【技术实现步骤摘要】
本专利技术涉及一种多靶场联合调度的隔离机制分配方法与系统,属于网络安全。
技术介绍
1、网络靶场利用虚拟化技术,模拟真实的网络空间攻防作战环境,是支持作战能力研究和武器装备验证等各种试验的平台。随着网络安全试验规模的扩大,对靶场的仿真能力提出了更高的要求。传统的单个靶场模式在性能和仿真规模方面存在瓶颈,需通过多个靶场的联合仿真来支持更复杂的网络试验。
2、在扩展为多个靶场联合验证的方式时,各个分靶场内部可以使用原本的方式进行实例化,通过vlan或vxlan等技术实现不同网络拓扑间的隔离。跨靶场的链路同样使用vlan或vxlan进行通信,从而达到分靶场网络互联互通的目的。
3、单个靶场扩展到多个靶场时,这种方式面临以下几个问题(为了便于表述,下文统一使用vlan技术进行表述):1、在单个靶场中,通过vlan等技术进行网络隔离,每个靶场自行分配vlan编号以形成不同的网络。然而,当从单个靶场扩展到多靶场时,如果各靶场仍然自行分配vlan编号,可能会导致全局vlan冲突,进而导致网络失败。2、多个靶场之间需要对vlan编号,特别是联通不同靶场间网络链路的vlan编号,进行统一管理,以避免冲突。
技术实现思路
1、专利技术目的:针对上述现有技术存在的问题,本专利技术目的在于提供一种多靶场联合调度的隔离机制分配方法与系统,实现单靶场和多靶场模式的统一管理,保证vlan分配的效率,有效解决多靶场间全局vlan冲突问题。
2、技术方案:为实现上述专利技术目的,
3、一种多靶场联合调度的隔离机制分配方法,包括如下步骤:
4、按照节点归属靶场对逻辑网络拓扑图中的节点进行分类;
5、按照节点归属靶场对逻辑网络拓扑图中的连线进行分类,包括单靶场连线和跨靶场连线;
6、对单靶场连线,根据逻辑网络拓扑图中交换设备配置情况进行聚合,生成网络;
7、对跨靶场连线,每个连线生成一个网络;
8、对于单靶场的网络,从划分的单靶场号段中分配vlan/vxlan编号;所述单靶场号段中的vlan/vxlan编号在不同的靶场间复用;
9、对于跨靶场的网络,从划分的跨靶场号段中分配vlan/vxlan编号;所述跨靶场号段的vlan/vxlan编号全局唯一。
10、进一步地,在单靶场号段和/跨靶场号段中的vlan/vxlan编号不够分配时,从划分的缓冲区号段分配vlan/vxlan编号。
11、进一步地,在单靶场号段不够分配时,遍历逻辑网络拓扑图中每一个单靶场,计算单靶场需要从缓存区号段分配的编号数量,选择最大值作为单靶场实例化需要从缓冲区号段额外申请的编号数量。
12、进一步地,在一次逻辑网络拓扑图实例化存在单靶场号段和/跨靶场号段不够分配时,判断需要向缓冲区号段额外申请的总的编号数量,若缓冲区号段可用编号数量不足以支撑本次实例化,则实例化流程中止。
13、进一步地,每个单靶场在本地维护从单靶场号段中分配出去的vlan/vxlan编号;跨靶场号段和缓冲区号段由统一协调中心分配和维护。
14、作为优选,对单靶场连线,生成网络的方法,包括:
15、若连线一端为交换机,若在交换机上设置了多个网络,则根据交换机设置的网络生成网络,若未在交互机上设置多个网络,则将连接到同一交换机的终端节点聚合出一个抽象网络;
16、若连线一端为路由器,则为连线生成一个单独的网络。
17、作为优选,每次实例化多靶场,结合单靶场号段、跨靶场号段和缓冲区号段分配vlan/vxlan编号,步骤包括:
18、对于每个单靶场,网络集合net_i中元素的数量num(net_i)代表实例化需要的vlan编号数,单靶场本地剩余可用的vlan编号数记为left_i;如果left_i<num(net_i),则记需要分配的编号数量buffer_i=num(net_i)-left_i;否则buffer_i=0;遍历每一个单靶场,计算最大值max(buffer_i)为本次实例化多靶场需要从缓冲区额外申请的vlan编号数;
19、对于跨靶场,网络集合net_external中元素的数量num(net_external)是跨靶场互联互通需要的vlan编号数,统一协调中心剩余的跨靶场可用vlan编号数记为left_v2;如果left_v2<num(net_external),则记需要分配编号数量buffer_external=num(net_external)-left_v2;否则buffer_external=0;
20、记缓冲区剩余的可用vlan编号数为left_v3,如果left_v3<buffer_external+max(buffer_i),则当前可用的vlan编号不足以支撑实例化,流程中止;否则:统一协调中心将缓冲区中max(buffer_i)个vlan编号分配给单靶场使用,将缓冲区中buffer_external个vlan编号分配给跨靶场联通使,并维护此次分配出去的具体vlan编号。
21、一种多靶场联合调度的隔离机制分配系统,包括:
22、分类模块,用于按照节点归属靶场对逻辑网络拓扑图中的节点进行分类;以及,按照节点归属靶场对逻辑网络拓扑图中的连线进行分类,包括单靶场连线和跨靶场连线;
23、网络生成模块,用于根据逻辑网络拓扑图中交换设备配置情况进行聚合,生成网络;以及,对跨靶场连线,每个连线生成一个网络;
24、vlan/vxlan编号分配模块,用于对于单靶场的网络,从划分的单靶场号段中分配vlan/vxlan编号;所述单靶场号段中的vlan/vxlan编号在不同的靶场间复用;以及,对于跨靶场的网络,从划分的跨靶场号段中分配vlan/vxlan编号;所述跨靶场号段的vlan/vxlan编号全局唯一。
25、进一步地,所述系统还包括缓冲区号段分配模块,用于在单靶场号段和/跨靶场号段中的vlan/vxlan编号不够分配时,从划分的缓冲区号段分配vlan/vxlan编号。
26、一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现所述的一种多靶场联合调度的隔离机制分配方法的步骤。
27、有益效果:与现有技术相比,本专利技术具有如下优点:1、本专利技术将vlan/vxlan号段基于单靶场以及多靶场两种模式进行划分,每种模式有其特定的号段,单靶场模式的号段可以在不同的靶场间重复使用,多靶场模式的号段需要保证全局唯一;这种模式在保证vlan/vxlan分配的效率、并且有效解决多靶场间全局vlan/vxlan冲突问题。2、本专利技术进一步定义了vlan/vxlan缓冲区,增加了vlan/vxlan分配的灵活性。可以有效减少因为单靶场、以及跨靶场之间vlan/vxlan分配不均衡导致的饥饿问题,提高跨靶场构建成功的概率。3、本专利技术中跨靶场号本文档来自技高网...
【技术保护点】
1.一种多靶场联合调度的隔离机制分配方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在单靶场号段和/跨靶场号段中的VLAN/VXLAN编号不够分配时,从划分的缓冲区号段分配VLAN/VXLAN编号。
3.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在单靶场号段不够分配时,遍历逻辑网络拓扑图中每一个单靶场,计算单靶场需要从缓存区号段分配的编号数量,选择最大值作为单靶场实例化需要从缓冲区号段额外申请的编号数量。
4.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在一次逻辑网络拓扑图实例化存在单靶场号段和/跨靶场号段不够分配时,判断需要向缓冲区号段额外申请的总的编号数量,若缓冲区号段可用编号数量不足以支撑本次实例化,则实例化流程中止。
5.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,每个单靶场在本地维护从单靶场号段中分配出去的VLAN/VXLAN编号;跨靶场号段和缓冲区号段由统一协调中心分配和维护。>
6.根据权利要求1所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,对单靶场连线,生成网络的方法,包括:
7.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,每次实例化多靶场,结合单靶场号段、跨靶场号段和缓冲区号段分配VLAN/VXLAN编号,步骤包括:
8.一种多靶场联合调度的隔离机制分配系统,其特征在于,包括:
9.根据权利要求8所述的一种多靶场联合调度的隔离机制分配系统,其特征在于,还包括缓冲区号段分配模块,用于在单靶场号段和/跨靶场号段中的VLAN/VXLAN编号不够分配时,从划分的缓冲区号段分配VLAN/VXLAN编号。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现根据权利要求1-7任一项所述的一种多靶场联合调度的隔离机制分配方法的步骤。
...【技术特征摘要】
1.一种多靶场联合调度的隔离机制分配方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在单靶场号段和/跨靶场号段中的vlan/vxlan编号不够分配时,从划分的缓冲区号段分配vlan/vxlan编号。
3.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在单靶场号段不够分配时,遍历逻辑网络拓扑图中每一个单靶场,计算单靶场需要从缓存区号段分配的编号数量,选择最大值作为单靶场实例化需要从缓冲区号段额外申请的编号数量。
4.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,在一次逻辑网络拓扑图实例化存在单靶场号段和/跨靶场号段不够分配时,判断需要向缓冲区号段额外申请的总的编号数量,若缓冲区号段可用编号数量不足以支撑本次实例化,则实例化流程中止。
5.根据权利要求2所述的一种多靶场联合调度的隔离机制分配方法,其特征在于,每个单靶场在本地维护从单...
【专利技术属性】
技术研发人员:向锡博,包华宇,盛明伟,殷庆荣,
申请(专利权)人:南京赛宁信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。