编者按:最近涉及的一个实验,需要获取链路接口的实时信息,比如带宽、流量统计等。起初打算从OpenFlow协议中的计数器入手,OpenFlow交换机对每一个流维护一个计数器,控制器可以从这些计数器上查询每条链路的实时流量信息。随着网络规模增大,流量增加,对计数器管理会变得越来越消耗系统资源,如FloodlightFAQ所提到对控制器而言这样的监控很难准确的,所以否定了在控制器上实现流量监控的想法,转而考虑通过第三方平台监控每条链路的实时流量信息。sFlow可以提供周期性的网络接口统计采样和数据包采样,能够提供各接口的流量信息,且几乎不会对被统计设备造成任何负担,管理成本极低。sFlow的部署分为两部分:sflow agent和sflow collector。sflow agent内嵌入网络设备中获取设备的实时信息并封装成sFlow报文发送给sflow collector。sflow collector汇总后得出统计数据。初次使用sFlow监控流量,做了一个DDOS防御及队列调整实验。
一、sFlow监控之DDOS防御实验
1.1 实验环境
本实验是在一台物理主机上完成实验拓扑,主要工作是进行控制器部署和sFlow部署。通过Mininet模拟一个switch、三台host。控制器使用Floodlight,由于Mininet已经部署了sflow agent,所以只需要部署sflow collector。
实验拓扑如下图:
sFlow官网推荐了几款sFlow软件如sflow-trend,sflow-rt等,这里我选择的是sflow-rt,安装sflow-rt很简单。
1.下载官方压缩包(注:也可参考《基于Mininet的网络流量监控》);
2.解压安装:
$tar-zxvf sflow.tar.gz
$cdsflow/sflow-rt
$./start.sh
在ovs交换机上还要配置sflow agent,输入以下命令:
$sudoovs-vsctl -- --id=@sflow create sflow agent=eth0target=\"192.168.2.233:6343\" header=128 sampling=10 polling=1 -- setbridge s1 sflow=@sflow
注意:agent是要监听的网卡,这个网卡一定要能监听到我们所需的交换机的流量,target是sflow collector所在的ip地址,bridge设定需要监听的交换机。
1.2 实验原理
sflow-rt统计到的每个接口的流量信息,可以通过sflow-rt的rest api获取json数据并对json数据进行解析获得。对解析到的数据进行判断分析后即可实施策略。本次实验原理如下:
1.首先对sflow-rt进行配置,设定metric=ddos,并设定它的阈值,当监测到的流量超过这个阈值时即判断为ddos;
定义地址组:
curl -H"Content-Type:application/json" -X PUT --data"{external:['0.0.0.0/0'], internal:['10.0.0.0/8']}"http://localhost:8008/group/json
定义流 :
curl -H"Content-Type:application/json" -X PUT --data"{keys:'ipsource,ipdestination', value:'frames',filter:'sourcegroup=external&destinationgroup=internal'}"http://localhost:8008/flow/incoming/json
定义阈值:
curl -H"Content-Type:application/json" -X PUT --data "{metric:'ddos',value:1000}" http://localhost:8008/threshold/incoming/json
2.若判断为ddos,即调用Floodlight的staticflowentrypusher对ddos攻击包进行丢弃;
由于sflow获取的的openflow信息是使用snmp中定义的ifindex对各接口进行标记,而openflow有它自己的标记方式,所以应该对openflow端口号和ifindex端口号进行映射。本次实验采用nodejs作为应用语言。
1.3 实验结果
本文未完,详细原文地址:http://www.sdnlab.com/12333.html
1069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
