SDN基礎(chǔ)應(yīng)用開發(fā)01SDN應(yīng)用開發(fā)簡介02防DDoS攻擊SDN應(yīng)用開發(fā)03

服務(wù)器災(zāi)備SDN應(yīng)用開發(fā)04

簡易負(fù)載均衡SDN應(yīng)用開發(fā)SDN應(yīng)用開發(fā)場景SDN的應(yīng)用場景非常廣泛，常見的SDN應(yīng)用開發(fā)場景按照功能可劃分為以下3種：基于SDN的流量調(diào)度、流量可視化應(yīng)用開發(fā)流量采集模塊--數(shù)據(jù)分析模塊--前端展示模塊--控制模塊基于SDN的網(wǎng)絡(luò)安全應(yīng)用開發(fā)防火墻模塊--網(wǎng)絡(luò)策略分析模塊--前端展示模塊基于SDN的上層業(yè)務(wù)應(yīng)用開發(fā)。

上層應(yīng)用模塊--上層應(yīng)用管理模塊--策略轉(zhuǎn)化模塊01SDN應(yīng)用開發(fā)簡介02防DDoS攻擊SDN應(yīng)用開發(fā)03

服務(wù)器災(zāi)備SDN應(yīng)用開發(fā)04

簡易負(fù)載均衡SDN應(yīng)用開發(fā)DDoS攻擊簡介DoS（DenialofService，即拒絕服務(wù)）攻擊是一種很簡單但又很有效的進(jìn)攻方式。它的目的是拒絕服務(wù)訪問，破壞組織的正常運(yùn)行。DoS攻擊的基本過程如右圖所示首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡DDoS攻擊典型場景DDoS攻擊場景現(xiàn)象流量型（直接）SYN\ACK\ICMP\UDP\ConnectionFLOOD等DDoS告警流量型（反射）NTP\DNS\SSDP\ICMPFLOOD等DDoS告警CC流量變化可能不明顯，業(yè)務(wù)訪問緩慢，超時嚴(yán)重，大量訪問請求指向同一個或少數(shù)幾個頁面HTTP慢速流量變化可能不明顯，業(yè)務(wù)訪問緩慢，超時嚴(yán)重，大量不完整的HTTPGET請求，出現(xiàn)有規(guī)律大小（通常很?。┑腍TTPPOST請求的報文URL反射流量變化明顯，業(yè)務(wù)訪問緩慢，超時嚴(yán)重，大量請求的Referer字段相同，表明均來自同一跳轉(zhuǎn)頁面各種DoS效果漏洞利用入侵檢測防御設(shè)備可能出現(xiàn)告警，DDoS攻擊檢測設(shè)備告警不明顯針對典型DDoS攻擊通過攻擊特征進(jìn)行分類，轉(zhuǎn)換為攻擊場景：SDN應(yīng)用開發(fā)示例：防DDoS攻擊核心技術(shù)——sFlowsFlow技術(shù)是一種以設(shè)備端口為基本單元的數(shù)據(jù)流隨機(jī)采樣的流量監(jiān)控技術(shù)，不僅可以提供完整的第二層到第四層甚至全網(wǎng)范圍內(nèi)的實(shí)時流量信息，而且可以適應(yīng)超大網(wǎng)絡(luò)流量環(huán)境下的流量分析。sFlow監(jiān)控工具由sFlowAgent和sFlowCollector兩部分組成。Agent作為客戶端，一般內(nèi)嵌于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備，通過獲取設(shè)備上的接口統(tǒng)計信息和數(shù)據(jù)信息，將信息封裝成sFlow報文，當(dāng)sFlow報文緩沖區(qū)滿或是在sFlow報文緩存時間超時后，sFlowAgent會將sFlow報文發(fā)送到指定的Collector。Collector作為遠(yuǎn)端服務(wù)器SDN應(yīng)用開發(fā)示例：防DDoS攻擊本示例中，Collector作為遠(yuǎn)端服務(wù)器，部署在OpenDayLight控制器中，負(fù)責(zé)對sFlow報文分析、匯總、生成流量報告。Agent部署在OpenFlow交換機(jī)中，負(fù)責(zé)流量數(shù)據(jù)的收集。核心技術(shù)——sFlowSDN應(yīng)用開發(fā)示例：防DDoS攻擊本示例采用的sFlow軟件為sFlow-RT，sFlow-RT可統(tǒng)計到每個接口的流量信息，實(shí)驗通過sFlow-RT的RESTAPI獲取JSON數(shù)據(jù)并對JSON數(shù)據(jù)進(jìn)行解析，對解析到的數(shù)據(jù)進(jìn)行分析判斷后即可實(shí)施策略。通過對sFlow-RT進(jìn)行配置，設(shè)定metric=ddos，并設(shè)定它的閾值，當(dāng)監(jiān)測到的流量超過這個閾值時即判斷為DDoS。sFlow-RT調(diào)用預(yù)制的OpenDaylight腳本：odl.js來調(diào)用OpenDaylightRESTfulAPI下發(fā)匹配DDoS攻擊包流表，并進(jìn)行丟棄操作，完成模擬DDOS攻擊防御。控制器：主機(jī)1:主機(jī)2:0SDN應(yīng)用開發(fā)示例：防DDoS攻擊控制器安裝sFlow執(zhí)行解壓命令，命令如下。#tar-xvzfsflow-rt.tar.gz執(zhí)行如下命令拷貝腳本。#cp/home/openlab/openlab/ddos/json2.js/home/sflow-rt/extras#cp/home/openlab/openlab/ddos/odl.js/home/sflow-rt3.進(jìn)入控制器主機(jī)的/home/sflow-rt目錄，編輯腳本odl.js。用上述獲取的主機(jī)IP信息以及連接到OpenDaylight的node信息進(jìn)行替換，如下所示。修改start.sh腳本，將execjava${JVM_OPTS}${RT_OPTS}${RTPROP}-jar${JAR}替換成如下內(nèi)容：SCRIPTS="-Dscript.file=odl.js"execjava${JVM_OPTS}${RT_OPTS}${RTPROP}${SCRIPTS}-jar${JAR}SDN應(yīng)用開發(fā)示例：防DDoS攻擊交換機(jī)部署sFlow使用root用戶登錄交換機(jī)，執(zhí)行以下命令，部署sFlowAgent。#ovs-vsctl----id=@sflowcreatesflowagent=s1target=\":6343\"header=128sampling=10polling=1--setbridgebr-swsflow=@sflow2.執(zhí)行以下命令查看已經(jīng)配置的sFlowAgent信息。#ovs-vsctllistsflow查看結(jié)果如下：登錄控制器，進(jìn)入/home/sflow-rt，執(zhí)行命令./start.sh啟動sFlow。SDN應(yīng)用開發(fā)示例：防DDoS攻擊odl.js主控函數(shù)，接收sFlow事件，調(diào)用流表處理函數(shù)構(gòu)造并發(fā)送流表SDN應(yīng)用開發(fā)示例：防DDoS攻擊成果驗證登錄主機(jī)1執(zhí)行sudoping0-f命令模擬DDoS攻擊主機(jī)2，如下所示。執(zhí)行如下命令，查看交換機(jī)上的對DDoS處理的流表，如下所示。#ovs-ofctldump-flowsbr-sw-OOpenFlow13|grepdrop登錄控制器，打開瀏覽器，輸入:8008/agents/html，單擊，進(jìn)入該虛擬機(jī)所監(jiān)控的端口列表頁面，搜索DDoS，單擊進(jìn)入流量視圖頁面，具體如圖所示。01SDN應(yīng)用開發(fā)簡介02防DDoS攻擊SDN應(yīng)用開發(fā)03

服務(wù)器災(zāi)備SDN應(yīng)用開發(fā)04

簡易負(fù)載均衡SDN應(yīng)用開發(fā)災(zāi)備原理災(zāi)備是指建立兩套或多套功能相同的IT系統(tǒng)，互相之間可以進(jìn)行健康狀態(tài)監(jiān)視和功能切換，當(dāng)一處系統(tǒng)因意外（如火災(zāi)、地震等）停止工作時，整個應(yīng)用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作。容災(zāi)技術(shù)是系統(tǒng)的高可用性技術(shù)的一個組成部分，容災(zāi)系統(tǒng)更加強(qiáng)調(diào)處理外界環(huán)境對系統(tǒng)的影響，特別是災(zāi)難性事件對整個IT節(jié)點(diǎn)的影響，提供節(jié)點(diǎn)級別的系統(tǒng)恢復(fù)功能。災(zāi)備技術(shù)分類在傳統(tǒng)網(wǎng)絡(luò)下，通過硬組網(wǎng)方式實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部、跨數(shù)據(jù)中心、跨地域的不同容災(zāi)方案SDN技術(shù)使容災(zāi)網(wǎng)絡(luò)配置更加靈活，配合傳統(tǒng)容災(zāi)技術(shù)，使容災(zāi)切換更加平滑，對網(wǎng)絡(luò)的沖擊更加可控。數(shù)據(jù)中心整體災(zāi)備技術(shù)可以分為四種：冷備、暖備、熱備和雙活。冷備：冷備技術(shù)就是在整個數(shù)據(jù)中心故障無法提供服務(wù)時，數(shù)據(jù)中心會臨時找到空閑設(shè)備或者租用外界企業(yè)的數(shù)據(jù)中心臨時恢復(fù)，當(dāng)自己數(shù)據(jù)中心恢復(fù)時，再將業(yè)務(wù)切回。暖備：暖備技術(shù)是在主備數(shù)據(jù)中心的基礎(chǔ)上實(shí)現(xiàn)的，備用數(shù)據(jù)中心為暖備部署，應(yīng)用業(yè)務(wù)由主用數(shù)據(jù)中心響應(yīng)，當(dāng)主用數(shù)據(jù)中心出現(xiàn)故障造成該業(yè)務(wù)不可用時，需要在規(guī)定的RTO（RecoverTimeObjective，即災(zāi)難發(fā)生后，信息系統(tǒng)從停頓到恢復(fù)正常的時間要求）時間以內(nèi)，實(shí)現(xiàn)數(shù)據(jù)中心的整體切換。熱備：相比暖備，熱備最重要的特點(diǎn)是實(shí)現(xiàn)了整體自動切換，其它和暖備實(shí)現(xiàn)基本一致雙活：通過雙活技術(shù)可以實(shí)現(xiàn)主備數(shù)據(jù)中心均對外提供服務(wù)，正常工作時兩個數(shù)據(jù)中心的業(yè)務(wù)可根據(jù)權(quán)重做負(fù)載分擔(dān)，沒有主備之分，分別響應(yīng)一部分用戶，權(quán)重可以是按地域劃分，或數(shù)據(jù)中心服務(wù)能力或?qū)ν鈳?。?dāng)其中一個數(shù)據(jù)中心出現(xiàn)故障時，另一數(shù)據(jù)中心將承擔(dān)所有業(yè)務(wù)。SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備通過流表實(shí)現(xiàn)多臺服務(wù)器對外使用同一個虛擬IP提供相關(guān)的服務(wù)，如下圖中服務(wù)器為、兩個機(jī)器，對外統(tǒng)一暴露的服務(wù)虛擬IP為00。其中機(jī)器為正常使用的服務(wù)器，為備用服務(wù)器。當(dāng)機(jī)器發(fā)生故障時，自動切換使用機(jī)器。SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備mkdir~/.m2cp-n~/.m2/settings.xml{,.orig};\wget-q-O-/opendaylight/odlparent/master/settings.xml>~/.m2/settings.xml如果在windows系統(tǒng)下，下載/opendaylight/odlparent/master/settings.xml在maven的.m2目錄下直接拷入settings.xmlmavensettings.xml配置SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備生成項目骨架(Archetype)mvnarchetype:generate\-DarchetypeGroupId=org.opendaylight.controller\-DarchetypeArtifactId=opendaylight-startup-archetype\-DarchetypeVersion=1.3.0-Carbon\-DarchetypeRepository=/content/repositories/public/\-DarchetypeCatalog=/content/repositories/public/archetype-catalog.xmldplb-v3-aggregator是父工程包含了api,artifacts,features,impl,it,karaf六個子工程SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備YANG的定義：SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備核心代碼實(shí)現(xiàn)：Dplb配置數(shù)據(jù)庫監(jiān)聽作用：監(jiān)聽用戶關(guān)于災(zāi)備實(shí)驗配置數(shù)據(jù)的

新增、修改、刪除。根據(jù)用于災(zāi)備

配置數(shù)據(jù)的下發(fā)。實(shí)現(xiàn)：通過實(shí)現(xiàn)DataTreeChangerListener<DplbConfig>接口

重構(gòu)OnDataChanged（Collection<DataTreeModification<DplbConfig>>changes）方法SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備核心代碼實(shí)現(xiàn)：拓?fù)滏溌繁O(jiān)聽作用：監(jiān)聽災(zāi)備實(shí)驗網(wǎng)絡(luò)拓?fù)滏溌纷兓?dāng)

主服務(wù)器相關(guān)鏈路出現(xiàn)故障時，能夠

自動的切換到備用服務(wù)器上。實(shí)現(xiàn)：實(shí)現(xiàn)方法較多，此處我們通過實(shí)現(xiàn)OpendaylightInventoryListener接口

重構(gòu)OnDataChanged（Collection<DataTreeModification<DplbConfig>>changes）方法重構(gòu)onNodeConnectorRemoved（Collection<DataTreeModification<DplbConfig>>changes）方法

SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備impl-blueprint.xml的定義：SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備下發(fā)災(zāi)備應(yīng)用初始配置字段解釋：switch_id為多個物理服務(wù)器掛在的SDN

交換機(jī)id virtual-ip為虛擬服務(wù)器ippractical-ip為客戶端ip port-number為客戶端掛在的portgroup-list為物理服務(wù)器列表信息作用：下發(fā)災(zāi)備實(shí)驗初始配置配置下發(fā)后就可以進(jìn)行訪問測試，使用客戶端去訪問虛擬ipSDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備災(zāi)備實(shí)現(xiàn)和測試作用：當(dāng)鏈路故障時，刪除虛擬ip對主

服務(wù)器的映射流量。獲取備用服

務(wù)器相關(guān)配置信息，下發(fā)虛擬ip和備用服務(wù)器的映射流表。測試：繼續(xù)使用客戶端訪問虛擬ip。在備用

服務(wù)器上抓包。

SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備流表：SDN應(yīng)用開發(fā)示例：服務(wù)器災(zāi)備構(gòu)建安裝:

執(zhí)行mvncleaninstall測試驗證

01SDN應(yīng)用開發(fā)簡介02防DDoS攻擊SDN應(yīng)用開發(fā)03

服務(wù)器災(zāi)備SDN應(yīng)用開發(fā)04

簡易負(fù)載均衡SDN應(yīng)用開發(fā)什么是負(fù)載均衡負(fù)載均衡包括服務(wù)器負(fù)載均衡和網(wǎng)絡(luò)負(fù)載均衡。服務(wù)器負(fù)載均衡是指采用一定策略將并發(fā)的訪問分?jǐn)偟讲煌姆?wù)器上完成；網(wǎng)絡(luò)負(fù)載均衡是指通過一定的路由策略將流量負(fù)荷分?jǐn)偟讲煌穆窂缴蠌亩_(dá)到路徑和節(jié)點(diǎn)負(fù)荷的最優(yōu)配置。服務(wù)器負(fù)載均衡網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)負(fù)載均衡SDN技術(shù)的出現(xiàn)，為網(wǎng)絡(luò)負(fù)載均衡系統(tǒng)提出了一種新的技術(shù)實(shí)現(xiàn)思路指定路由：指定路由可配合協(xié)議綁定，先分別指定哪個應(yīng)用服務(wù)、哪個IP網(wǎng)段、哪個目的網(wǎng)址，走哪個WAN端口。策略路由：基于策略的路由允許應(yīng)用一個策略控制數(shù)據(jù)包應(yīng)如何走而非基于路由表選路。IP路由基于目標(biāo)地，而PBR允許基于源的路由，即來自何處而應(yīng)到哪去，從而根據(jù)需要走一條特殊的路徑。缺點(diǎn)：不靈活，配置維護(hù)復(fù)雜SDN應(yīng)用開發(fā)實(shí)驗：簡易負(fù)載均衡在本實(shí)驗中，主要的工作是對鏈路負(fù)載的計算，最優(yōu)路徑的規(guī)劃。對于鏈路負(fù)載的計算，我們簡單通過一定時間內(nèi)鏈路上傳輸?shù)臄?shù)據(jù)包的數(shù)量（假設(shè)包大小差不多），將傳輸包的數(shù)量作為該鏈路的權(quán)值，通過迪杰斯特拉算法計算出最優(yōu)路徑。通過OpenDaylightREST接口，將規(guī)劃好的路徑轉(zhuǎn)換成流表。下發(fā)給各個交換機(jī)節(jié)點(diǎn)，最終達(dá)到路徑最優(yōu)規(guī)劃的效果。SDN應(yīng)用開發(fā)實(shí)驗：簡易負(fù)載均衡topology.py拓?fù)涠xSDN應(yīng)用開發(fā)實(shí)驗：簡易負(fù)載均衡odl_loadblance.py獲取拓?fù)涔?jié)點(diǎn)和路徑信息SDN應(yīng)用開發(fā)實(shí)驗：簡易負(fù)載均衡odl_loadblance.py獲取路徑信