终端1:
打开opendaylight:
cd /distribution-karaf-0.6.4-Carbon
ls
cd bin
sudo ./karaf
本机浏览器访问:http://<虚拟机ens网卡的IP>:8080/index.html
或者打开RYU:
ryu-manager ofctl_rest.py simple_switch.py
终端2:
打开mininet,运行脚本
chomd u+x MyTopo1.py
sudo mn --custom MyTopo1.py --topo mytopo --controller remote -x --switch ovsk,protocols=OpenFlow13
pingall
测试TCP带宽
终端3:
安装URL工具:
sudo apt-get install curl
安装/查看JDK
安装sflow:
下载安装包:wget http://www.inmon.com/products/sFlow-RT/sflow-rt.tar.gz,
解压安装包:tar -zxvf sflow-rt.tar.gz
查看安装包:ls
输入命令cd sflow-rt
然后启动:sudo ./start.sh
看到下列信息证明启动成功。其中 6343 是sFlow Collector 的默认端口,8008 则是 sFlow 的WebUI端口
终端4:
配置sFlow Agent,虚拟交换机配置sFlow Agent,sFlow Collector 才能收集到流量信息进行分析和呈现。
键入以下指令部署sFlow Agent:
sudo ovs-vsctl -- --id=@sflow create sflow agent=s1-eth0 target=\"127.0.0.1:6343\" sampling=10 polling=20 -- -- set bridge s1 sflow=@sflow
上述命令的主要意思如下:
1)agent:监控s1-eth0 网卡产生的流量;s1-eth0是为s1创建的端口;
2)target:sFlow-RT的IP,默认端口6343;
3)bridge:需要开启sFlow的网桥;
4)sampling:采样率,表示每隔N个Packet就取样一次
5)polling:轮询时间,每隔N秒polling一次
(提示:如果有N个网桥,就需要执行N次部署 sFlowAgent 的指令,我们本次实验中只有一个网桥,所以执行一次就可以了。)
查看已经配置的 sFlow Agent信息,通过命令:sudo ovs-vsctl list sflow
查看虚拟交换机端口与端口编号的映射:ip link
Agent 是否配置成功,我们可以通过其WebUI进行查看,在浏览器中输入网址http://127.0.0.1:8008/html/index.html
终端4:
打开cd sflow-rt/
运行sh get-app.sh sflow-rt flow-trend
然后将之前的sFlow重新启动,点击sFlow中Apps或者:浏览器访问:http://localhost:8008/app/flow-trend/html/index.html
分别在Keys,Value列输入:ipsource,ipdestination,stack、bytes ,然后点击右面的 Submit提交,然后将自动转到图形化流量监控页面。
终端2:
在mininet窗口下:
打开 Host1,和Host3的终端:xterm h1 h3
在Host1上启动一个http服务python -m http.server 80&
在Host3上curl http://Host1:80
ping Host1
h3的窗口ping h1的地址,在sflow的页面中观察流量走向;
终端5:
运行抓包工具,抓取对应网卡的包查看报文信息(注意选对网卡)
终端2:
模拟Ddos攻击
在 mininet 终端中执行,h3 ping -f h1 (-f 参数的意思就是 Ping Flood ,模拟 Flood Attack)
观察交换机的流量走向
运行抓包工具,抓取对应网卡的包查看报文信息;
终端6:
Ddos防御
监测到流量异常之后,需要利用控制器向OpenFlow交换机下发流表,抑制攻击流量。
由于前面的DDoS采用的ping洪范攻击,因此我们需要下发流表,将攻击流down掉,因此利用postman添加流表
拷贝安装包至终端
安装包:sudo dpkg -i 这是要安装的软件包名称,如果遇到依赖不全的问题,再输入sudo apt install -f
安装完成后直接双击打开
首先进入Apifox,利用get操作可以获得已有的流表,url填控制器首页的地址,出现200K即可或者http://192.168.137.143:8080/restconf/operational/network-topology:network-topology;
终端1打开的web页面:
Yang UI>Opendaylight-inventory>config>nodes>table>flow
node/openflow:1 交换机编号
table/0 流表编号
flow/不超过1024,不冲突即可 流表项编号
•match fields:它们由入口端口和包头组成以及以及前一个表指定的元数据组成。
•priority:流表项的匹配优先级
•countres:更新匹配的数据包
•instructions:修改动作集或流水线处理的说明
•timeout:交换机流匹配最大计数时间和流有效时间
idle_time 匹配流表的最大计数时间
hard_time 下发流表后有效时间
•cookie:控制器选择的不透明数据值。控制器可以用来过滤流量统计、流修改和流删除信息,处理报文时不使用。
L2层流表下发与验证
L2层即对应OSI模型的二层,也就是说通过匹配源MAC(Ether source)、目的MAC地址(Ether dst)、以太网类型(Ether Type)VLAN id、VLAN优先级等字段来实现流的转发。本实验将基于源和目的MAC进行数据流的转发。
下发第一条流表,选择PUT,填写URL和Headers信息,选择提交方式“PUT”。
URL地址栏输入如下形式的地址:http://{controllerip}:8080/restconf/config/opendaylight-inventory:nodes/node/{node-id}/table/{table-id}/flow/{flow-id}。
其中,{controller-ip}为控制器的ip地址,node-id为上面获取到的交换机id信息,table-id这里为0,flow-id根据下发不同流表变化,可自定义。
例如:http://虚拟机ens网卡的IP:8080/restconf/config/opendaylight-inventory:nodes/node/openflow:1/table/0/flow/107
填写Headers信息:
填写body:流表:匹配源MAC(host1)为########,目的MAC(host2)为########的流量,出端口为???。
“body”中选择“raw”,格式为XML(application/xml),并填写如下消息体:
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<flow xmlns="urn:opendaylight:flow:inventory">
<priority>200</priority>
<flow-name>Foo1</flow-name>
<idle-timeout>0</idle-timeout>
<hard-timeout>0</hard-timeout>
<match>
<ethernet-match>
<ethernet-source>
<address>MAC</address>
</ethernet-source>
<ethernet-destination>
<address>MAC</address>
</ethernet-destination>
</ethernet-match>
</match>
<id>107</id>
<table_id>0</table_id>
<instructions>
<instruction>
<order>0</order>
<apply-actions>
<action>
<order>0</order>
<output-action>
<output-node-connector>出端口</output-node-connector>
</output-action>
</action>
</apply-actions>
</instruction>
</instructions>
</flow>
SEND 发送下发流表,在mininet下查找流表
mininet>sh ovs-vsctl dump-flows s1
07-08
1337
1337
05-30
110
110
05-11
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
