海运的博客

新安装的XenServer6默认为Open vSwitch，XenServer5.6默认为网桥模式，查看当前网络模式：

cat /etc/xensource/network.conf
openvswitch

更改网络为虚拟交换机Open vSwitch模式：

#https://www.haiyun.me
xe-switch-network-backend openvswitch

切换回网桥bridge模式：

xe-switch-network-backend bridge

配置虚拟交换机输出NetFlow数据到分析端，可参考：Linux下Nfsen和Nfdump配置Netflow分析端。

ovs-vsctl -- --id=@netflow create netflow targe=\"192.168.1.5:9995\" active_timeout=30 \
-- set bridge xenbr0 netflow=@netflow

输出sFlow数据：

ovs-vsctl -- --id=@sflow create sflow agent=eth1 targe=\"192.168.1.5:9995\" header=128 sampling=512 polling=30 \
-- set bridge xenbr0 sflow=@sflow

查看是否有NetFlow数据输出：

tcpdump -nn port 9995
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
18:12:16.535132 IP 192.168.1.15.55104 > 192.168.1.3.9995: UDP, length 600
18:12:17.544569 IP 192.168.1.15.55104 > 192.168.1.3.9995: UDP, length 216

更改Netflow或sFlow参数：

ovs-vsctl set NetFlow xenbr0  targe=\"192.168.1.3:9995\"

查看Netflow或sFlow列表：

ovs-vsctl list netflow/sflow

删除Netflow/sFlow：

ovs-vsctl remove bridge xenbr0 netflow/sflow <uuid>

据说Open vSwitch模式在XenServer下并不稳定，只为输出NetFlow可使用Fprobe。

之前有介绍Nfsen和Nfdump安装，本次记录下Nfsen端口查看插件PortTracker安装。
重编译Nfdump开启nftrack：

cd /usr/local/src/nfdump-1.6.6/
./configure --enable-nfprofile --enable-nftrack --with-rrdpath=/usr/bin
make
cp bin/nftrack /usr/local/bin/

新建PortTracker数据存放目录：

mkdir /usr/local/nfsen/ports-db
chown -R apache:apache /usr/local/nfsen/ports-db/

编辑PortTracker.pm修改$PORTSDBDIR目录：

vim /usr/local/src/nfsen-1.3.6p1/contrib/PortTracker/PortTracker.pm
my $PORTSDBDIR = "/usr/local/nfsen/ports-db";

复制PortTracker插件至相应目录：

cp PortTracker.pm /usr/local/nfsen/plugins/
cp PortTracker.php /var/www/html/nfsen/plugins/

修改Nfsen配置文件添加插件信息：

vim /usr/local/nfsen/etc/nfsen.conf 
#https://www.haiyun.me
@plugins = (
[ 'live',   'PortTracker'], 
);

生成PortTracker数据：

sudo -u apache nftrack -I -d /usr/local/nfsen/ports-db/

重新加载Nfsen：

/usr/local/nfsen/bin/nfsen reload

等5分钟左右访问Nfsen界面选择Plugins即可看到相应信息：

Nfdump是linux下netflow数据采集分析工具，Nfsen是基于nfdump是web界面工具，服务器需先安装web服务器和php环境。
安装rrdtool及所需组件：

yum install perl-rrdtool rrdtool rrdtool-devel rrdutils flex byacc

安装所需perl模块：

yum install perl-Socket6 perl-MailTools perl-Mail-Sender

安装Nfdump工具：

cd /usr/local/src/
wget http://downloads.sourceforge.net/project/nfdump/stable/nfdump-1.6.6/nfdump-1.6.6.tar.gz
tar zxvf nfdump-1.6.6.tar.gz 
cd nfdump-1.6.6/
./configure --enable-nfprofile --with-rrdpath=/usr/bin
make
make install
cd ../

下载配置Nfsen：

mkdir -p /usr/local/nfsen
wget http://downloads.sourceforge.net/project/nfsen/stable/nfsen-1.3.6p1/nfsen-1.3.6p1.tar.gz
tar zxvf nfsen-1.3.6p1.tar.gz 
cd nfsen-1.3.6p1/
cp etc/nfsen-dist.conf etc/nfsen.conf

修改Nfsen配置文件：

cat etc/nfsen.conf
#https://www.haiyun.me
$BASEDIR = "/usr/local/nfsen";
$HTMLDIR    = "/var/www/html/nfsen/";
$USER    = "apache";
$WWWUSER  = "apache";
$WWWGROUP = "apache";
%sources = (
    'upstream1'    => { 'port' => '9995', 'col' => '#0000ff', 'type' => 'netflow' },
);

安装Nfsen：

./install.pl etc/nfsen.conf 

启动Nfsen：

/usr/local/nfsen/bin/nfsen start

配置路由或交换机将netflow数据发送到nfsen配置的端口，然后访问www.haiyun.me/nfsen/nfsen.php即可通过Nfsen浏览netflow数据。

ROS配置Hotspot允许radius验证：

ip hotspot profile set hsprof use-radius=yes

添加radius客户端：

radius add service=hotspot address=192.168.1.1 secret=onovps

ROS增加user-manger用户：

tool user-manager customer add login="onovps" password="onovps" permissions=owner

增加radius验证客户：

tool user-manager router add name=Hotspot ip-address=192.168.1.1 shared-secret=123456 customer=onovps

添加用户组规则：

tool user-manager profile add name=hotspot owner=onovps

添加验证用户：

tool user-manager user add name=user password=passwd customer=onovps

也可通过Web界面www.haiyun.me/userman登录user-manager进行设置。

HotSpot是一种通过Web网页认证访问网络的方法，用户可以使网页浏览器通过HTTP快速接入网络。
ROS开启HotSpot通过以下几个步骤：
1.配置用户IP地址池：

#https://www.haiyun.me
ip pool add name=hotspot ranges=192.168.1.2-192.168.1.254

2.添加认证用户组规则：

ip hotspot user profile add name=hotspot address-pool=hotspot shared-users=1 idle-timeout=00:10 rate-limit=128k/1024k

3.添加认证用户和密码：

ip hotspot user add name=hotspot profile=hotspot server=all user=user password=passwd

4.配置服务器规则：

ip hotspot profile add name=hotspot login-by=http-chap hotspot-address=192.168.1.1 

5.新增并开启HotSpot服务：

ip hotspot add name=hotspot profile=hotspot interface=br-lan disabled=no 

然后通过ROS访问外网浏览器会自动转向hotspot认证页面：