[0001] 本发明涉及一种在网络靶场中可以跨地域多靶场实装设备组网的方法与系统，属于网络安全技术领域。

[0002] 网络靶场可以模拟网络环境，用于进行网络攻防训练。它通常是一个虚拟的网络系统，由一系列计算机、服务器、网络设备和应用程序组成，旨在模拟真实世界中的网络环境，用户可以在网络靶场中操作各自的虚拟机节点进行网络攻防演练。

[0003] 在网络靶场中，目前的实装设备拓扑编排组网方案主要是通过一层交换机来实现实装设备之间的拓扑灵活组网的，如图1，通过该方案实现的组网需要将实装设备都连接到同一个一层交换机上，但是多靶场环境是跨地区的，无法使用该方案来实现跨地区的实装设备连线组网。

[0030] 下面将结合附图和具体实施例，对本发明的技术方案进行清楚、完整的描述。

[0031] 本发明实施例公开的一种跨地域多靶场实装设备组网方法，在各个区域网络靶场配置一层交换机和vxlan交换机，将一层交换机的预留端口与vxlan交换机的预留端口相连，并记录预留端口及对应关系；实装设备连接到各自区域的一层交换机上，并记录实装设备与一层交换机的互联的端口映射关系；在启动实装场景时，根据场景配置获取实装设备的位置，以及实装设备连接到一层交换机的端口号；解析实装场景拓扑，获取需要跨地域互联的实装设备及其所连接端口，在一层交换机上选取未被使用的预留端口，并连接需要跨区域互联的端口和选取的预留端口；生成一个未使用的隧道标签号，并记录vxlan交换机预留端口与vxlan隧道标签号的对应关系；在跨区域互联的vxlan交换机分别创建流表规则，用于将从vxlan交换机预留端口进入的流量打上对应的标签，以及将从隧道口收到的流量，根据标签号与预留端口的对应关系转发到对应的预留端口。

[0032] 本发明实施例结合一层交换机和vxlan交换机打通了跨区域的实体网络，从而实现跨区域的实装设备连线组网的需求。下面结合图2所示组网拓扑，对本发明实施例的详细步骤进行示例性说明。

[0033] 具体地，本发明实施例中，需要在进行实装设备组网的区域靶场配置一台一层交换机和一台vxlan交换机，一层交换机的预留口与vxlan交换机的预留口使用网线相连，并将预留口及对应关系信息存储到网络靶场管理平台数据库中。

[0034] 表1：预留端口表结构示例

[0035]

[0036] 所有的实装设备也需要提前连接到一层交换机上，并在网络靶场管理平台数据库中记录实装设备与一层交换机的互联的端口映射关系。

[0037] 表2：实装设备映射端口表结构示例

[0038]

[0039] 以区域A到区域B的实装设备组网连线及通信流程为例，示例性说明详细操作和配置过程。

[0040] 1、在网络靶场管理平台上创建实装场景，拖入实装设备并互相连线组网，然后保存场景拓扑。

[0041] 2、在网络靶场管理平台上点击启动实装场景。

[0042] 3、网络靶场管理平台根据场景配置查询实装设备映射端口表，获取实装设备的位置，以及实装设备连接到一层交换机的端口号。

[0043] 4、网络靶场管理平台解析实装场景拓扑，获取实装设备的连接关系，优先调用区域配置代理连接在同一个区域一层交换机上的实装设备，如图2中所示先连接区域A一层交换机上的1、3口。

[0044] 5、网络靶场管理平台解析出需要跨地区互联的设备及其所连接的端口号(图2中为区域A的5口和区域B的1口)，然后查询数据库预留接口表中记录，随机获取一个一层交换机上未被使用的预留口(如图2中区域A的2口和区域B的2口)。

[0045] 6、网络靶场管理平台依次调用需要互联区域的区域配置代理连接一层交换机上需要跨区域互联的端口及预留的端口(如图2中区域A的5口与2口相连，区域B的1口与2口相连)。

[0046] 7、随机一个未使用的隧道标签号，并在数据库中记录vxlan交换机预留口与vxlan隧道标签号的对应关系。

[0047] 表3：预留口与标签号映射关系表结构示例

[0048]

[0049] 8、网络靶场管理平台依次调用需要互联区域的配置代理，在vxlan交换机上创建流表规则：将从vxlan交换机预留口进入vxlan交换机的流量打上对应的标签，并从隧道口发到其他地区。

[0050] 流表示例：

[0051] 区域A：

[0052] in_port＝1actions＝mod_vlan_vid:4001,output:"areab_vxlan_tunnel"[0053] 区域B：

[0054] in_port＝1actions＝mod_vlan_vid:4001,output:"areaa_vxlan_tunnel"[0055] 9、网络靶场管理平台依次调用需要互联区域的配置代理，在vxlan交换机上创建流表规则：匹配从隧道口收到的其他区域发来流量中的标签，并根据数据库中的标签与端口号的对应关系，将流量转发到对应的预留口上。

[0056] 流表示例：

[0057] 区域A：

[0058] in_port＝"areab_vxlan_tunnel",dl_vlan＝4001actions＝strip_vlan,output:1

[0059] 区域B：

[0060] in_port＝"area1_vxlan_tunnel",dl_vlan＝4001actions＝strip_vlan,output:1

[0061] 10、最后流量在通过vxlan交换机转发到流量标签对应的预留端口后，流量会经由一层交换机转发到对应的物理设备上。至此即可实现跨区域的实装设备连线组网。

[0062] 基于相同的发明构思，本发明实施例公开了一种跨地域多靶场实装设备组网系统，包括设在各个区域网络靶场的实装设备、一层交换机和vxlan交换机，以及设于网络靶场管理平台的组网模块、数据存储模块，所述一层交换机的预留端口与所述vxlan交换机的预留端口相连，所述实装设备连接到各自区域的一层交换机上；所述数据存储模块，用于记录一层交换机的预留端口与vxlan交换机的预留端口的对应关系，以及实装设备与一层交换机的互联的端口映射关系；所述组网模块，用于在启动实装场景时，根据场景配置获取实装设备的位置，以及实装设备连接到一层交换机的端口号；解析实装场景拓扑，获取需要跨地域互联的实装设备及其所连接端口，在一层交换机上选取未被使用的预留端口，并连接需要跨区域互联的端口和选取的预留端口；生成一个未使用的隧道标签号，并记录vxlan交换机预留端口与vxlan隧道标签号的对应关系；以及，在跨区域互联的vxlan交换机分别创建流表规则，用于将从vxlan交换机预留端口进入的流量打上对应的标签，以及将从隧道口收到的流量，根据标签号与预留端口的对应关系转发到对应的预留端口。

[0063] 在一些实施例中，所述组网模块，在连接需要跨区域互联的端口和选取的预留端口之前，优先连接在同一个区域一层交换机上的实装设备。

[0064] 在一些实施例中，在各区域靶场设有配置代理模块，用于接收组网模块的指令，配置所在区域的一层交换机和vxlan交换机。

[0065] 本发明实施例还公开了一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现所述的跨地域多靶场实装设备组网方法的步骤。