CN114363021A - 网络靶场***、网络靶场***的虚拟网络实现方法及装置 - Google Patents

Abstract

本申请公开了网络靶场***、网络靶场***的虚拟网络实现方法及装置，所述网络靶场***，包括控制节点和至少两个计算节点，其中：所述控制节点，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将接收的所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各计算节点，其中，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；所述计算节点，用于根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发。

Description

网络靶场***、网络靶场***的虚拟网络实现方法及装置

技术领域

本申请涉及网络信息技术领域，尤其涉及网络靶场***、网络靶场***的虚拟网络实现方法及装置。

背景技术

网络靶场是一种基于虚拟化技术对真实网络空间中的网络架构、***设备、业务流程的运行状态及运行环境进行模拟和复现的技术，可以更有效地实现与网络安全相关的学***。

网络靶场***的基础设施主要包括虚拟机和虚拟交换设备，为了提高网络安全，还可以在网络靶场***中加入虚拟安全设备(如虚拟防火墙等)，其中，虚拟交换设备主要包括虚拟交换机和虚拟路由器，虚拟交换设备用于连通虚拟机与虚拟机之间的通信网络(如网络靶场***中包含虚拟安全设备，虚拟交换设备还用于连通虚拟机与虚拟安全设备之间的通信网络)。各虚拟设备均依托于网络靶场***在宿主机上进行构建，各虚拟设备均会占用宿主机的资源，宿主机的总资源和单个虚拟设备所占用的资源直接决定了一台宿主机能够仿真的虚拟设备的数量(即虚拟网络规模的大小)。为了实现网络靶场***中基本的二三层网络、虚实互联、DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)等功能，以及细粒度的网络隔离、流量控制等，需对虚拟交换设备进行统一的管理控制与配置。

现有的网络靶场***中的以OpenWRT作为三层路由设备结合OVS(Open VSwitch，开放虚拟交换机)实现虚拟网络的二三层网络通信方式中，OpenWRT是一个面向嵌入式设备的Linux操作***，在虚拟网络中可以作为虚拟交换设备使用，由于OpenWRT和OVS需要消耗一定的宿主机资源，并且在控制层面上，OpenWRT不支持现下主流的南向配置协议，在网络靶场***的统一管理控制上存在一定的难度。

现有的以SDN(Software Defined Network，软件定义网络)控制器，如ODL(OpenDaylight，是一个基于SDN开发的模块化、可扩展、可升级、支持多协议的控制器框架)、RYU(一种开源SDN控制器)等作为控制器，结合相关虚拟交换设备的方式以实现网络靶场***中的虚拟网络通信方式，虽然在一定程度上可以实现网络靶场***的统一管理控制，但是由于这些SDN控制器功能冗余功能较多，架构庞大，维护困难，同时虚拟交换设备消耗宿主机资源。

现有的以OpenStack(OpenStack是一个开源的云计算管理平台项目)的Neutron(Neutron是OpenStack核心项目之一，提供云计算环境下的虚拟网络功能)模块作为虚拟网络调度模块，以实现网络靶场***的虚拟网络通信的方式中，由于Neutron作为开源项目，其冗余功能较多，且其漏洞容易被利用，存在安全风险。

发明内容

为了解决现有的网络靶场***的虚拟网络通信的实现方式消耗宿主机资源且存在安全风险的问题，本申请实施例提供了一种网络靶场***、网络靶场***的虚拟网络实现方法及装置。

第一方面，本申请实施例提供了一种网络靶场***，包括控制节点和至少两个计算节点，其中：

所述控制节点，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将所述逻辑虚拟网络配置数据信息转换成开放虚拟网络OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各计算节点，其中，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

所述计算节点，用于根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至开放虚拟交换机OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发。

在一种可能的实施方式中，所述控制节点包括网络靶场配置模块和OVN集中控制模块，所述计算节点包括OVN控制器和OVS组件，网络靶场配置模块和所述OVN集中控制模块通过开放虚拟交换机数据库OVSDB管理协议进行连接，所述OVN集中控制模块分别和各个计算节点中的OVN控制器通过OVSDB管理协议进行连接，所述各个计算节点中的OVN控制器与OVS组件通过OVSDB管理协议进行连接；

所述网络靶场配置模块，具体用于根据所述逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将所述逻辑虚拟网络配置数据信息发送至所述OVN集中控制模块；

所述OVN集中控制模块，具体用于将接收的所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述各个计算节点中的OVN控制器；

所述OVN控制器，具体用于根据接收的所述OVN逻辑流表信息在其所属的计算节点上创建相应的虚拟机，并将所述OVN逻辑流表信息同步至所述计算节点上的OVS组件的OVS流表中，所述虚拟机通过虚拟网卡连接于所述OVS组件的网桥上；

所述OVS组件，具体用于根据所述OVN逻辑流表信息进行数据报文转发。

在一种可能的实施方式中，所述OVN集中控制模块包括OVN北向数据库、OVN集中控制器和OVN南向数据库，所述OVN北向数据库和所述OVN集中控制器通过OVSDB管理协议进行连接，所述OVN集中控制器与所述OVN南向数据库通过OVSDB管理协议进行连接；

所述OVN北向数据库，具体用于接收所述网络靶场配置模块发送的所述逻辑虚拟网络配置数据信息并存储；

所述OVN集中控制器，具体用于当监测到所述OVN北向数据库存储的所述逻辑虚拟网络配置数据信息时，将所述逻辑虚拟网络配置数据信息转换成所述OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述OVN南向数据库；

所述OVN南向数据库，具体用于接收所述OVN集中控制器发送的所述OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述各个计算节点中的OVN控制器。

在一种可能的实施方式中，所述OVN控制器，具体用于在其所属计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

在一种可能的实施方式中，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换设备的端口信息进行数据报文的封装与解封装。

在一种可能的实施方式中，所述OVS组件，具体用于配置OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换设备的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

第二方面，本申请实施例提供了一种网络靶场***的虚拟网络实现方法，应用于本申请实施例所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述方法，包括：

所述控制节点根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

将所述逻辑虚拟网络配置数据信息转换成开放虚拟网络OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各个计算节点，以使所述各个计算机节点根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至自身的开放虚拟交换机OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发，所述虚拟机通过虚拟网卡连接于所述计算节点的OVS组件的网桥上。

在一种可能的实施方式中，所述各计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

在一种可能的实施方式中，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换设备的端口信息进行数据报文的封装与解封装。

在一种可能的实施方式中，所述各计算节点配置各自的OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换设备的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

第三方面，本申请实施例提供了一种网络靶场***的虚拟网络实现装置，应用于本申请实施例所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述装置，包括：

生成单元，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

发送单元，用于将所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各个计算节点，以使所述各个计算机节点根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至自身的OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发，所述虚拟机通过虚拟网卡连接于所述计算节点的OVS组件的网桥上。

在一种可能的实施方式中，所述各计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

在一种可能的实施方式中，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换机的端口信息进行数据报文的封装与解封装。

在一种可能的实施方式中，所述各计算节点配置各自的OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换机的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

第四方面，本申请实施例提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本申请所述的网络靶场***的虚拟网络实现方法。

第五方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本申请所述的网络靶场***的虚拟网络实现方法中的步骤。

本申请实施例的有益效果如下：

本申请实施例提供的网络靶场***包括控制节点和至少两个计算节点，控制节点用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，将OVN逻辑流表信息发送至各计算节点，其中，逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，逻辑交换设备至少包括逻辑交换机，计算机节点用于根据接收的控制节点发送的OVN逻辑流表信息创建相应的虚拟机，并将OVN逻辑流表信息同步至自身的OVS流表中，根据OVN逻辑流表信息进行数据报文转发，本申请实施例提供的网络靶场***，实现了将用户易于理解的逻辑交换设备及其配置等信息映射成底层虚拟网络配置，实现了对网络靶场***的虚拟网络的配置一致性与统一管理控制，并且，基于OVN逻辑流表承载虚拟网络，使得逻辑交换设备不占用或极少占用宿主机资源，相比于现有技术中需要在虚拟机的宿主机上创建虚拟机的同时还需创建虚拟交换设备，有效地节约了虚拟机的宿主机的资源，使得宿主机可创建出更多的虚拟机，在节约了网络靶场***资源的同时，避免了安全风险。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的网络靶场***的结构示意图；

图2为本申请实施例提供的逻辑虚拟网络拓扑结构示例图；

图3为本申请实施例提供的网络靶场***的虚拟网络实现方法的实施流程示意图；

图4为本申请实施例提供的网络靶场***的虚拟网络实现装置的结构示意图；

图5为本申请实施例提供的电子设备的结构示意图。

具体实施方式

为了解决背景技术中的问题，本申请实施例提供了一种网络靶场***、网络靶场***的虚拟网络实现方法及装置。

以下结合说明书附图对本申请的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本申请，并不用于限定本申请，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本文中，需要理解的是，本申请所涉及的技术术语中：

1、OVS：即开放虚拟交换机，其是一个支持多层数据转发的高质量虚拟交换机，可部署在服务器上，相比传统交换机具有很好的编程扩展性，同时具备传统交换机实现的网络隔离和数据转发功能。

2、OVN(Open Virtual Network，开放虚拟网络)，是一款支持虚拟网络抽象的软件***。OVN在OVS现有功能进行了一定程度的扩展，例如基础虚拟二层、三层网络交换以及高阶的NAT(Network Address Translation，网络地址转换)、DHCP、ACL(Access ControlLists，访问控制列表)、Qos(Quality of Service，服务质量)等功能。

3、OVSDB(Open VSwitch Database，开放虚拟交换机数据库)管理协议:OVSDB管理协议管理的主要对象是OVSDB，OVSDB管理协议提供了OVSDB的可编程性入口。OVSDB是OVS的唯一数据库，而OVSDB管理协议也是OVS在管理层的唯一协议，同时OVN也支持OVSDB管理协议。

4、Overlay:Overlay技术是在现有的物理网络之上构建一个虚拟网络，上层应用只与虚拟网络相关。

5、Geneve(Generic Network Virtualization Encapsulation，通用网络虚拟封装)：一种Overlay协议，通过抽象Overlay平面实现跨虚拟机宿主机通信。

6、Br-int(网桥)：OVS的默认网桥。

如图1所示，其为本申请实施例提供的网络靶场***的结构示意图，网络靶场***可包括控制节点11和至少两个计算节点12。控制节点11可以包括网络靶场配置模块111和OVN集中控制模块112，计算节点12可以包括OVN控制器(即：OVN Controller)121和OVS组件122，网络靶场配置模块111和OVN集中控制模块112通过OVSDB管理协议进行连接，OVN集中控制模块112分别和各个计算节点12中的OVN控制器121通过OVSDB管理协议进行连接，各个计算节点12中的OVN控制器121与OVS组件122通过OVSDB管理协议进行连接，其中：

控制节点11，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将OVN逻辑流表信息发送至各计算节点，其中，逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，逻辑交换设备至少包括逻辑交换机(Logical Switch)。

具体实施时，网络靶场配置模块111，具体用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将逻辑虚拟网络配置数据信息发送至OVN集中控制模块112。

在具体实施过程中，控制节点11和计算节点12可以为服务器。本申请实施例仅以两个计算节点(如图1中计算节点1和计算节点2)为例进行说明。

网络靶场配置模块111根据网络靶场***的虚拟网络的需求构建逻辑虚拟网络拓扑结构并存储，逻辑虚拟网络拓扑结构可以包括虚拟机和逻辑交换设备，还可以包括虚拟安全设备，逻辑交换设备可以包括逻辑交换机，还可以包括逻辑路由器(Logical Router)。假设构建的逻辑虚拟网络拓扑结构如图2所示，包括逻辑路由器、逻辑交换机1、逻辑交换机2、虚拟机1、虚拟机2、虚拟机3和虚拟机4，其中，逻辑路由器通过其端口1和逻辑交换机1的端口1与逻辑交换机1相连接，逻辑路由器通过其端口2和逻辑交换机2的端口1与逻辑交换机2相连接，虚拟机1通过逻辑交换机1的端口2和逻辑交换机1相连接，虚拟机2通过逻辑交换机1的端口3和逻辑交换机1相连接，虚拟机3通过逻辑交换机2的端口2和逻辑交换机2相连接，虚拟机4通过逻辑交换机2的端口3和逻辑交换机2相连接，则网络靶场配置模块111可根据图2中所示的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，可以但不限于包括以下信息：逻辑路由器的静态路由信息、NAT配置信息、网关路由器配置信息；逻辑交换机ACL、Qos、DHCP等配置信息；以及逻辑路由器、各逻辑交换机和各虚拟机的连接关联关系，即逻辑虚拟网络链路信息。

OVN集中控制模块112，具体用于将接收的逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将OVN逻辑流表信息发送至各个计算节点12中的OVN控制器121。

具体地，OVN集中控制模块包括OVN北向数据库(OVN Northbound DB)1121、OVN集中控制器(OVN Northd)1122和OVN南向数据库(OVN southbound DB)1123，网络靶场配置模块111和OVN北向数据库1121通过管理协议进行连接，OVN北向数据库1121和OVN集中控制器1122通过OVSDB管理协议进行连接，OVN集中控制器1122与OVN南向数据库1123通过OVSDB管理协议进行连接。

具体地，OVN北向数据库1121，具体用于接收网络靶场配置模块111发送的逻辑虚拟网络配置数据信息并存储。

OVN集中控制器1122，具体用于当监测到OVN北向数据库1121存储的逻辑虚拟网络配置数据信息时，将逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将OVN逻辑流表信息发送至OVN南向数据库1123。

OVN南向数据库1123，具体用于接收OVN集中控制器1122发送的OVN逻辑流表信息，并将OVN逻辑流表信息发送至各个计算节点12中的OVN控制器121。

计算节点12，用于根据接收的OVN逻辑流表信息创建相应的虚拟机，并将OVN逻辑流表信息同步至OVS流表中，根据OVN逻辑流表信息进行数据报文转发。

具体实施时，OVN控制器121，具体用于根据接收的OVN逻辑流表信息在其所属的计算节点12上创建相应的虚拟机，并将OVN逻辑流表信息同步至计算节点上的OVS组件的OVS流表中，虚拟机通过虚拟网卡连接于OVS组件的网桥上。

具体地，任一计算节点12上的OVN控制器121，用于根据OVN逻辑流表信息中包含的逻辑虚拟网络链路信息在该计算节点12上创建相应的虚拟机，仍以图2中的逻辑虚拟网络拓扑结构为例，可以在图1的计算节点1上创建虚拟机1和虚拟机2，在计算节点2上创建虚拟机3和虚拟机4，虚拟机1、虚拟机2通过各自的虚拟网卡连接于计算节点1的OVS组件122的网桥上，虚拟机3、虚拟机4通过各自的虚拟网卡连接于计算节点2的OVS组件122的网桥上，也即：将逻辑虚拟网络拓扑结构中包含的若干个虚拟机分散在不同的计算节点上创建，而无需创建逻辑交换设备：逻辑交换机1、逻辑交换机2和逻辑路由器，这是由于逻辑交换机和逻辑路由器并非真实存在的，逻辑交换机的实质是一组用于指导数据流量进行二层转发的流表集合，逻辑路由器的实质是一组用于指导数据流量进行三层转发的流表集合，因此，逻辑交换设备不会占用计算节点的资源，相比于现有技术中需要在虚拟机的宿主机上创建虚拟机的同时还需创建虚拟交换设备，有效地节约了虚拟机的宿主机的资源，进而，计算节点1上的OVN控制器121将OVN逻辑流表信息同步至计算节点1上的OVS组件122的OVS流表，计算节点2上的OVN控制器121将OVN逻辑流表信息同步至计算节点2上的OVS组件122的OVS流表。其中，ovsdb-server和ovs-vswitch两个OVS进程共同组成OVS组件122。

在具体实施过程中，任一计算节点12上的OVN控制器121，具体用于在其所属计算节点12与其他计算节点12之间构建Geneve隧道，使得各计算节点12上的虚拟机通过构建的Geneve隧道进行跨宿主机通信。

具体地，Geneve隧道通过封装OVN逻辑流表信息中的逻辑交换设备的端口信息进行数据报文的封装与解封装。

本申请实施例中，配置OVN隧道封装类型为Geneve，相比于VXLAN(VirtualExtensible Local Area Network，虚拟可扩展局域网)封装更加适用于逻辑虚拟网络中，Geneve可以直接封装逻辑交换设备(如逻辑交换机)端口，与OVN虚拟网络更加兼容，从而实现建立一条Geneve隧道供所有数据报文的转发公用，在节约计算节点资源的同时，提高了数据转发效率。

OVS组件122，具体用于根据OVN逻辑流表信息进行数据报文转发。

具体地，任一计算节点12上的OVS组件122，具体用于配置OVS组件的网桥为安全模式，配置OVS流表中的OVS接口标识指向OVN逻辑流表信息中的逻辑交换设备的端口，使得连接于OVS组件122的网桥上的虚拟机流经OVS接口上的数据报文根据OVN逻辑流表信息进行转发。

具体地，配置OVS组件122的网桥(Br-int)为安全模式，即OVS组件122的网桥不指导任何数据流量转发，通过配置OVS Interface(接口)表中external_ids的iface_id字段指向逻辑交换设备的端口，指导OVS Interface上的数据流量依据逻辑交换设备端口的流表(即OVN逻辑流表)进行转发，从而实现OVN逻辑数据模型到OVS流量转发的映射关系，实现了通过OVS组件122接入的虚拟机的数据报文由OVN逻辑流表进行转发，使得靶场网络***用户从复杂的流表配置中脱离出来。

本申请实施例提供的网络靶场***，实现了将用户易于理解的逻辑交换设备及其配置等信息映射成底层虚拟网络配置，统一使用OVSDB管理协议作为逻辑虚拟网络的通信管理协议，实现了对网络靶场***的虚拟网络的配置一致性与统一管理控制，并且，基于OVN逻辑流表承载虚拟网络，使得逻辑交换设备不占用或极少占用宿主机资源，从而节约了网络靶场***资源，可创建出更多虚拟机。

基于同一发明构思，本申请实施例还提供了一种网络靶场***的虚拟网络实现方法，由于上述网络靶场***的虚拟网络实现方法解决问题的原理与网络靶场***相似，因此上述方法的实施可以参见***的实施，重复之处不再赘述。

如图3所示，为本申请实施例提供的网络靶场***的虚拟网络实现方法的实施流程示意图，应用于本申请实施例所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述方法，包括：

S21、控制节点根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，逻辑交换设备至少包括逻辑交换机。

S22、将逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将OVN逻辑流表信息发送至各个计算节点，以使各个计算机节点根据接收的OVN逻辑流表信息创建相应的虚拟机，并将OVN逻辑流表信息同步至自身的OVS流表中，根据OVN逻辑流表信息进行数据报文转发。

其中，虚拟机通过虚拟网卡连接于计算节点的OVS组件的网桥上。

在一种可能的实施方式中，所述各计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

在一种可能的实施方式中，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换设备的端口信息进行数据报文的封装与解封装。

在一种可能的实施方式中，所述各计算节点配置各自的OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换设备的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

基于同一发明构思，本申请实施例还提供了一种网络靶场***的虚拟网络实现装置，由于上述网络靶场***的虚拟网络实现装置解决问题的原理与网络靶场***相似，因此上述装置的实施可以参见***的实施，重复之处不再赘述。

如图4所示，为本申请实施例提供的网络靶场***的虚拟网络实现装置的结构示意图，应用于本申请实施例所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述装置，包括：

生成单元31，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

发送单元32，用于将所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各个计算节点，以使所述各个计算机节点根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至自身的OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发，所述虚拟机通过虚拟网卡连接于所述计算节点的OVS组件的网桥上。

在一种可能的实施方式中，所述各计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

在一种可能的实施方式中，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换机的端口信息进行数据报文的封装与解封装。

在一种可能的实施方式中，所述各计算节点配置各自的OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换机的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

基于同一技术构思，本申请实施例还提供了一种电子设备400，参照图5所示，电子设备400用于实施上述方法实施例记载的网络靶场***的虚拟网络实现方法，该实施例的电子设备400可以包括：存储器401、处理器402以及存储在所述存储器中并可在所述处理器上运行的计算机程序，例如网络靶场***的实现程序。所述处理器执行所述计算机程序时实现上述各个网络靶场***实施例中的步骤，例如图3所示的步骤S21。或者，所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能，例如31。

本申请实施例中不限定上述存储器401、处理器402之间的具体连接介质。本申请实施例在图5中以存储器401、处理器402之间通过总线403连接，总线403在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线403可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器401可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器401也可以是非易失性存储器(non-volatilememory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器401是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器401可以是上述存储器的组合。

处理器402，用于实现如图2所示的一种网络靶场***的虚拟网络实现方法。

本申请实施例还提供了一种计算机可读存储介质，存储为执行上述处理器所需执行的计算机可执行指令，其包含用于执行上述处理器所需执行的程序。

在一些可能的实施方式中，本申请提供的网络靶场***的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使所述电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络靶场***的虚拟网络实现方法中的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为***、方法、装置、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种网络靶场***，其特征在于，包括控制节点和至少两个计算节点，其中：

所述控制节点，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将所述逻辑虚拟网络配置数据信息转换成开放虚拟网络OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各计算节点，其中，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

所述计算节点，用于根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至开放虚拟交换机OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发。

2.如权利要求1所述的***，其特征在于，所述控制节点包括网络靶场配置模块和OVN集中控制模块，所述计算节点包括OVN控制器和OVS组件，网络靶场配置模块和所述OVN集中控制模块通过开放虚拟交换机数据库OVSDB管理协议进行连接，所述OVN集中控制模块分别和各个计算节点中的OVN控制器通过OVSDB管理协议进行连接，所述各个计算节点中的OVN控制器与OVS组件通过OVSDB管理协议进行连接；

所述网络靶场配置模块，具体用于根据所述逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，将所述逻辑虚拟网络配置数据信息发送至所述OVN集中控制模块；

所述OVN集中控制模块，具体用于将接收的所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述各个计算节点中的OVN控制器；

所述OVN控制器，具体用于根据接收的所述OVN逻辑流表信息在其所属的计算节点上创建相应的虚拟机，并将所述OVN逻辑流表信息同步至所述计算节点上的OVS组件的OVS流表中，所述虚拟机通过虚拟网卡连接于所述OVS组件的网桥上；

所述OVS组件，具体用于根据所述OVN逻辑流表信息进行数据报文转发。

3.如权利要求2所述的***，其特征在于，所述OVN集中控制模块包括OVN北向数据库、OVN集中控制器和OVN南向数据库，所述OVN北向数据库和所述OVN集中控制器通过OVSDB管理协议进行连接，所述OVN集中控制器与所述OVN南向数据库通过OVSDB管理协议进行连接；

所述OVN北向数据库，具体用于接收所述网络靶场配置模块发送的所述逻辑虚拟网络配置数据信息并存储；

所述OVN集中控制器，具体用于当监测到所述OVN北向数据库存储的所述逻辑虚拟网络配置数据信息时，将所述逻辑虚拟网络配置数据信息转换成所述OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述OVN南向数据库；

所述OVN南向数据库，具体用于接收所述OVN集中控制器发送的所述OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至所述各个计算节点中的OVN控制器。

4.如权利要求2所述的***，其特征在于，

所述OVN控制器，具体用于在其所属计算节点与其他计算节点之间构建通用网络虚拟封装Geneve隧道，使得各计算节点上的虚拟机进行跨宿主机通信。

5.如权利要求4所述的***，其特征在于，所述Geneve隧道通过封装所述OVN逻辑流表信息中的逻辑交换设备的端口信息进行数据报文的封装与解封装。

6.如权利要求2所述的***，其特征在于，

所述OVS组件，具体用于配置OVS组件的网桥为安全模式，配置所述OVS流表中的OVS接口标识指向所述OVN逻辑流表信息中的逻辑交换设备的端口，使得连接于所述OVS组件的网桥上的虚拟机流经所述OVS接口上的数据报文根据所述OVN逻辑流表信息进行转发。

7.一种网络靶场***的虚拟网络实现方法，其特征在于，应用于如权利要求1～6任一项所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述方法，包括：

所述控制节点根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

将所述逻辑虚拟网络配置数据信息转换成开放虚拟网络OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各个计算节点，以使所述各个计算机节点根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至自身的开放虚拟交换机OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发，所述虚拟机通过虚拟网卡连接于所述计算节点的OVS组件的网桥上。

8.一种网络靶场***的虚拟网络实现装置，其特征在于，应用于如权利要求1～6任一项所述的网络靶场***，所述网络靶场***包括控制节点和至少两个计算节点，所述装置，包括：

生成单元，用于根据存储的逻辑虚拟网络拓扑结构生成逻辑虚拟网络配置数据信息，所述逻辑虚拟网络拓扑结构至少包括虚拟机和逻辑交换设备，所述逻辑交换设备至少包括逻辑交换机；

发送单元，用于将所述逻辑虚拟网络配置数据信息转换成OVN逻辑流表信息，并将所述OVN逻辑流表信息发送至各个计算节点，以使所述各个计算机节点根据接收的所述OVN逻辑流表信息创建相应的虚拟机，并将所述OVN逻辑流表信息同步至自身的OVS流表中，根据所述OVN逻辑流表信息进行数据报文转发，所述虚拟机通过虚拟网卡连接于所述计算节点的OVS组件的网桥上。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求7所述的网络靶场***的虚拟网络实现方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求7所述的网络靶场***的虚拟网络实现方法中的步骤。

Images