网络安全
文章平均质量分 92
楊木木8023
我是风,我是雨,我是神奇的小海螺
展开
-
ovs的生成树协议(STP)实验
一、相关概念(1) 概述为了提高网络可靠性,交换机网络中通常会使用冗余链路,冗余链路会给交换机带来环路风险,并导致广播风暴以及MAC地址表不稳定等问题,生成树协议STP(Spanning Tree Protocol)可以在提高可靠性的同时又避免环路带来的各种问题。随着局域网规模的不断扩大,越来越多的交换机被用来实现主机之间的互连。如果交换机之间仅使用一条链路互连,则可能会出现单点故障,导致业务中断。为了解决此类问题,交换机在互连时一般都会使用冗余链路来实现备份。 冗余链路虽然增强了网络的可靠性,原创 2021-05-08 22:08:19 · 1949 阅读 · 1 评论 -
LACP(网络聚合)与openflow group表Fast failover类型的对比试验
一、LACP:1、概念链路聚合控制协议LACP(Link Aggregation Control Protocol),是基于IEEE802.3ad标准的一种实现链路动态聚合与解聚合的协议,以供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据,LACP模式就是采用LACP的一种链路聚合模式。聚合链路形成以后,LACP负责维护链路状态,在聚合条件发生变化时,自动调整链路聚合。具体工作方式参考(https://support.huawei.com/enterprise/zh/doc/EDOC11原创 2021-05-04 11:37:24 · 1248 阅读 · 1 评论 -
ryu实例---流表的操作
本文章基于https://ryu.readthedocs.io/en/latest/ofproto_v1_3_ref.html里面的Modify State Messages的内容进行讲解的,即openflow1.3的流表的操作的简单实现。通过这里的讲解,可以实现控制器对交换机的流表的增加删除等操作。接下来,着重讲一下ryu如何实现对交换机的流表的操作。(重点以默认流表项的添加为例)第一部分:涉及的openflow知识在学习ryu之前,我认为初学者需要先大致的了解openflow协议,理解交换机原创 2021-04-18 19:39:56 · 5273 阅读 · 0 评论 -
Open vSwitch---流表控制主机数据转发实验(五)---group表实践
一、group表介绍OpenFlow v1.1中增加了组表(Group Table)的概念,并一直被后续的版本所沿用。OpenFlow支持四种组表类型:Indirect:执行该group中一个已定义的bucket,该组仅支持一个bucket。 允许多个流表项或组表项指向一个公共的组(例如IP转发的下一跳)。 这是最简单的group类型,交换机通常比较支持这种类型的group。 All:执行该group中所有的bucket。这种类型的group用来进行multicast和broadcast。为.原创 2021-02-02 21:59:31 · 3189 阅读 · 0 评论 -
Open vSwitch---流表控制主机数据转发实验(二)
上一节的试验中讲到了ovs的控制管理类和流表类的简单试验(详见:https://blog.csdn.net/weixin_40042248/article/details/112854471)。这一节,继续根据上节内容对ovs的匹配项和指令动作进行讲解,并讲解控制器ryu的安装和连接。一、ryu控制器的安装(1)安装python套件apt install python3-eventletapt install python3-routesapt install python3-webo原创 2021-01-21 18:16:42 · 2073 阅读 · 0 评论 -
iptables之state模块使用
为了防止恶意攻击主动连接到你的主机,我们需要通过iptables的扩展模块判断报文是为了回应我们之前发出的报文还是主动向我们发送的报文,state模块可以让iptables实现 连接追踪机制 ,报文状态可以分成NEWESTAVLISHEDRELATEDINVALIDUNTRACKED。具体的连接跟踪的原理详见(https://blog.csdn.net/weixin_40042248/article/details/112568071)。本次实验是为了验证iptables的state模块如何进...原创 2021-01-15 10:54:25 · 3190 阅读 · 0 评论 -
netfilter之connnection track(连接跟踪)简述
1、什么是连接跟踪?报文过滤和连接跟踪可以说是Netfilter提供的两大基本功能。连接跟踪可以让Netfilter知道某个特定连接的状态,运行连接跟踪的防火墙称作带有状态机制的防火墙,以下简称为状态防火墙。状态防火墙比非状态防火墙要安全,因为它允许我们编写更严密的规则。无状态防火墙通常会查看经过它的流量,并使用诸如它的地址、来源地址和其他预定义的统计信息。这是最简单、最容易使用的防火墙类型;大多数基于软件的防火墙都使用这种技术。它不像有状态防火墙那样安全,但它通常更快,因为它不必处理太多的信息。有原创 2021-01-13 16:37:47 · 1268 阅读 · 0 评论 -
iptables之nat表的学习和实验
本次实验接着上一篇博客《iptables之filter表的学习和实验》进行(https://blog.csdn.net/weixin_40042248/article/details/112477946),主要实现iptables的nat表的功能。实验目标:实现在ns1空间访问其他的外部网址、添加nat规则后对数据抓包分析ns1访问ns2或者ns3的过程、实现ns1访问www.baidu.com。理论知识补充:1、什么是NAT:nat:Network Address Translatin,网原创 2021-01-12 21:37:33 · 2136 阅读 · 0 评论 -
iptables之filter表的学习和实验
实验目标:本次实验主要完成以下内容:DROP掉外界主机的icmp协议的流量、DROP掉向外界主机发出的icmp协议的流量、DROP掉特定的源IP发送过来的流量,完成试验后删除所有规则。实验设备:Ubuntu20实验拓扑:3个namesapce代表三个主机,主机1作为流量接收设备,主机2、3作为流量发送设备。具体的拓扑构建见上一篇博客《两个network namesapce通过路由实现互通》(https://blog.csdn.net/weixin_40042248/article/details/.原创 2021-01-12 14:16:36 · 1664 阅读 · 0 评论 -
两个network namespace通过路由实现互通
本次实验主要是测试两个namespace之间的网络互通,即在一个物理机上新建两个namespace空间,然后新建几个虚拟网卡,通过设置网卡的ip和路由实现两个namespace之间相互ping通,具体入下图所示。首先,进入Linux终端,此时使用命令ip netns add nsx新建两个网络空间,如下图所示,新建完成后,使用命令ip netns查看是否新建成功。图中,新建了ns1,ns2两个网络空间。网络空间新建完成后,就需要新建虚拟网卡,使用命令ip link add veth1-.原创 2021-01-10 16:09:50 · 1580 阅读 · 2 评论 -
基于ryu实现网络的流量监控--monitor
程序均为ryubook的案例,在此记录一下我对程序的理解和实验的执行步骤。如系统学习,可以下载ryubook进行学习,此外可以参考https://ryu.readthedocs.io/en/latest/getting_started.html,这是官方的网站,里面详细阐述了各种功能和开发步骤。背景:流量监控,即针对交换机加入流量监控的功能,包括监控错包,发送包的数量等一系列的操作。因为,网络已经成为许多服务或业务的基础建设,所以维护一个稳定的网络环境是必要的。但是网络问题总是不断地发生。网络发生异原创 2020-12-27 21:51:52 · 5997 阅读 · 0 评论 -
利用mininet进行链路拥塞造成数据丢包的实验
实验原理网络链路拥塞是指在分组交换网络中传送分组的数目太多时,由于存储转发节点的资源有限而造成网络传输性能下降的情况。当网络发生拥塞时,一般会出现数据丢失,时延增加,吞吐量下降,严重时甚至会导致“拥塞崩溃”。通常情况下,当网络中负载过度增加致使网络性能下降时,就会发生网络拥塞。因此,根据这些特征,构建了一个网络拓扑(SDN网络拓扑,普通拓扑也行,但是我这是构建的SDN架构,为了方便我后续的学习),设计了一种逐渐增加链路中发送的数据包,从而观察各个主机的丢包率和链路带宽的情况。实验设备:2台Ubu原创 2020-12-24 14:33:13 · 3577 阅读 · 1 评论 -
基于ryu实现集线器的功能---Hub实现
Hub实现环境:两台Ubuntu虚拟机、mininet、ryu控制器、pycharm环境搭建见前几篇文章,有具体的搭建步骤。对于ryu的开发,推荐ryubook这本工具书。首先,在Ubuntu上安装pycharm,安装完成后,导入ryu项目,若出现无法修改或者权限问题,则需要通过命令chmod [ u / g / o / a ] [ + / - / = ] [ r / w / x ] file修改文件的权限。接下来,就解释一下代码的编写:导入包,将导包放在最前面,主要是刚开始学实在不知道原创 2020-12-23 12:25:44 · 751 阅读 · 1 评论 -
利用mininet模拟SDN架构并进行DDoS攻击与防御模拟(Ryu+mininet+sflow+postman)
1、知识概述(1)软件定义网络:(2)mininet:Mininet是一个强大的网络仿真平台,通过这个平台,我们可以很方便的模拟真实环境中的网络操作与架构。特别是SDN,在真实网络中进行相关的网络实验有一定难度,自然需要一个仿真平台可以学习这种新型的网络架构,而Mininet就应运而生,承担了这个光荣而艰巨的使命。Mininet自带交换机(switchs)、主机(hosts)、控制器(controllers),同时,在mininet上可以安装OpenvSwitch、多种控制器(NOX\POX原创 2020-11-02 10:54:56 · 14006 阅读 · 6 评论 -
利用mininet的可视化界面miniedit进行拓扑构建
Mininet 2.2.0之后的版本内置了一个构建网络拓扑的可视化工具miniedit,使用miniedit可视化界面方便了用户自定义网络拓扑的创建,为不熟悉python脚本的使用者创造了更简单的环境,界面直观,可操作性强。因此,这篇文章介绍一下miniedit的使用方法。miniedit的各项操作都是在root用户进行的,所有首先我们进入root用户下。那么miniedit的位置在哪呢?找到miniedit,我们需要进入mininet的目录下,miniedit的目录如下图的操作所示,可以看见一原创 2020-10-25 17:08:15 · 9217 阅读 · 7 评论 -
Mininet构造常见网络拓扑图+openDaylight显示拓扑结构
Mininet是一个网络仿真器,可简单理解为 SDN 网络系统中的一种基于进程虚拟化平台,它支持 OpenFlow、Open vSwith 等各种协议,它可以在单个 Linux 内核上模拟和运行一个完整的网络主机、链接和交换机,在同一台计算机上且有助于互动开发、测试和演示。本篇演示的实验环境是使用虚拟机虚拟Ubuntu系统,并在系统上搭建mininet、openDaylight等控制器实现的,具体配置操作和打开实验环境的准备工作见上一篇博客(https://blog.csdn.net/weixin_40原创 2020-09-26 20:54:25 · 6579 阅读 · 1 评论 -
利用虚拟机配置SDN网络实验平台(virtual box+Ubuntu+jdk配置+mininet+floodlight/openDaylight)
利用虚拟机配置SDN网络实验平台 (virtual box+Ubuntu+jdk配置+mininet+floodlight/openDaylight)一、安装Virtual Box步骤 至于VMware,当然也可以,二者都是虚拟机软件。但是VMware的安装文件很大,安装相对麻烦,而virtual box安装过程中,是中文的,安装较快且方便,比较适合新手学习使用。 ...原创 2020-09-20 14:21:31 · 4792 阅读 · 9 评论