ইম্প্রোভাইজড টুল ব্যবহার করে ত্রুটি-সহনশীল IPeE নেটওয়ার্ক

হ্যালো. এর মানে 5k ক্লায়েন্টের একটি নেটওয়ার্ক রয়েছে। সম্প্রতি একটি খুব আনন্দদায়ক মুহূর্ত এসেছে - নেটওয়ার্কের কেন্দ্রে আমাদের একটি ব্রোকেড RX8 রয়েছে এবং এটি প্রচুর অজানা-ইউনিকাস্ট প্যাকেট পাঠাতে শুরু করেছে, যেহেতু নেটওয়ার্কটি ভ্লানগুলিতে বিভক্ত - এটি আংশিকভাবে কোনও সমস্যা নয়, তবে সেখানে রয়েছে সাদা ঠিকানার জন্য বিশেষ ভ্লান, ইত্যাদি এবং তারা নেটওয়ার্কের সব দিক প্রসারিত হয়. সুতরাং এখন কল্পনা করুন যে একজন ক্লায়েন্টের ঠিকানায় একটি ইনকামিং প্রবাহ যা সীমান্তের ছাত্র হিসাবে অধ্যয়নরত নয় এবং এই প্রবাহটি কিছু (বা সমস্ত) গ্রামের একটি রেডিও লিঙ্কের দিকে উড়ে যায় - চ্যানেলটি আটকে আছে - ক্লায়েন্টরা রাগান্বিত - দুঃখ ...

লক্ষ্য হল একটি বাগকে একটি বৈশিষ্ট্যে পরিণত করা। আমি একটি পূর্ণাঙ্গ ক্লায়েন্ট ভ্লান দিয়ে q-in-q এর দিকে চিন্তা করছিলাম, কিন্তু P3310 এর মতো সব ধরণের হার্ডওয়্যার, যখন dot1q সক্ষম করা হয়, তখন DHCP এর মাধ্যমে যেতে দেওয়া বন্ধ করে দেয়, তারাও জানে না কীভাবে নির্বাচন করতে হয় এবং অনেকগুলি যে ধরনের ক্ষতি. ip-unnambered কি এবং এটি কিভাবে কাজ করে? খুব সংক্ষেপে: গেটওয়ে ঠিকানা + ইন্টারফেসে রুট। আমাদের কাজের জন্য, আমাদের প্রয়োজন: শেপার কাটা, ক্লায়েন্টদের ঠিকানা বিতরণ, নির্দিষ্ট ইন্টারফেসের মাধ্যমে ক্লায়েন্টদের রুট যোগ করা। এই সব কিভাবে করবেন? Shaper - lisg, dhcp - db2dhcp দুটি স্বাধীন সার্ভারে, dhcprelay অ্যাক্সেস সার্ভারে চলে, ucarp এছাড়াও অ্যাক্সেস সার্ভারে চলে - ব্যাকআপের জন্য। কিন্তু কিভাবে রুট যোগ করতে? আপনি একটি বড় স্ক্রিপ্ট দিয়ে আগাম সবকিছু যোগ করতে পারেন - কিন্তু এটি সত্য নয়। তাই আমরা একটি স্ব-লিখিত ক্রাচ তৈরি করব।

ইন্টারনেটে একটি পুঙ্খানুপুঙ্খ অনুসন্ধানের পরে, আমি C++ এর জন্য একটি দুর্দান্ত উচ্চ-স্তরের লাইব্রেরি পেয়েছি, যা আপনাকে সুন্দরভাবে ট্র্যাফিক স্নিফ করতে দেয়। যে প্রোগ্রামটি রুট যোগ করে তার অ্যালগরিদম নিম্নরূপ - আমরা ইন্টারফেসে আরপি অনুরোধ শুনি, যদি আমাদের কাছে অনুরোধ করা হয় সার্ভারে লো ইন্টারফেসে একটি ঠিকানা থাকে, তাহলে আমরা এই ইন্টারফেসের মাধ্যমে একটি রুট যোগ করি এবং একটি স্ট্যাটিক এআরপি যোগ করি এই আইপিতে রেকর্ড করুন - সাধারণভাবে, কয়েকটি কপি-পেস্ট, একটি সামান্য বিশেষণ এবং আপনার কাজ শেষ

'রাউটার' এর সূত্র

#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>

#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>

using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;

using namespace Tins;

class arp_monitor {
public:
    void run(Sniffer &sniffer);
    void reroute();
    void makegws();
    string iface;
    map <string, string> gws;
private:
    bool callback(const PDU &pdu);
    map <string, string> route_map;
    map <string, string> mac_map;
    map <IPv4Address, HWAddress<6>> addresses;
};

void  arp_monitor::makegws() {
    struct ifaddrs *ifAddrStruct = NULL;
    struct ifaddrs *ifa = NULL;
    void *tmpAddrPtr = NULL;
    gws.clear();
    getifaddrs(&ifAddrStruct);
    for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
        if (!ifa->ifa_addr) {
            continue;
        }
        string ifName = ifa->ifa_name;
        if (ifName == "lo") {
            char addressBuffer[INET_ADDRSTRLEN];
            if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
                // is a valid IP4 Address
                tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
                inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
            } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
                // is a valid IP6 Address
                tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
                inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
            } else {
                continue;
            }
            gws[addressBuffer] = addressBuffer;
            cout << "GW " << addressBuffer << " is added" << endl;
        }
    }
    if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}

void arp_monitor::run(Sniffer &sniffer) {
    cout << "RUNNED" << endl;
    sniffer.sniff_loop(
            bind(
                    &arp_monitor::callback,
                    this,
                    std::placeholders::_1
            )
    );
}

void arp_monitor::reroute() {
    cout << "REROUTING" << endl;
    map<string, string>::iterator it;
    for ( it = route_map.begin(); it != route_map.end(); it++ ) {
        if (this->gws.count(it->second) && !this->gws.count(it->second)) {
            string cmd = "ip route replace ";
            cmd += it->first;
            cmd += " dev " + this->iface;
            cmd += " src " + it->second;
            cmd += " proto static";
            cout << cmd << std::endl;
            cout << "REROUTE " << it->first << " SRC " << it->second << endl;
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += it->first;
            cmd += " ";
            cmd += mac_map[it->first];
            cout << cmd << endl;
            system(cmd.c_str());

        }
    }
    for ( it = gws.begin(); it != gws.end(); it++ ) {
	string cmd = "arping -U -s ";
	cmd += it->first;
	cmd += " -I ";
	cmd += this->iface;
	cmd += " -b -c 1 ";
	cmd += it->first;
        system(cmd.c_str());
    }
    cout << "REROUTED" << endl;
}

bool arp_monitor::callback(const PDU &pdu) {
    // Retrieve the ARP layer
    const ARP &arp = pdu.rfind_pdu<ARP>();

    if (arp.opcode() == ARP::REQUEST) {
	
        string target = arp.target_ip_addr().to_string();
        string sender = arp.sender_ip_addr().to_string();
        this->route_map[sender] = target;
        this->mac_map[sender] = arp.sender_hw_addr().to_string();
        cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
        if (this->gws.count(target) && !this->gws.count(sender)) {
            string cmd = "ip route replace ";
            cmd += sender;
            cmd += " dev " + this->iface;
            cmd += " src " + target;
            cmd += " proto static";
//            cout << cmd << std::endl;
/*            cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
                 << " for address " << arp.target_ip_addr()
                 << " sender hw address " << arp.sender_hw_addr() << std::endl
                 << " run cmd: " << cmd << endl;*/
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += arp.sender_ip_addr().to_string();
            cmd += " ";
            cmd += arp.sender_hw_addr().to_string();
            cout << cmd << endl;
            system(cmd.c_str());
        }
    }
    return true;
}

arp_monitor monitor;
void reroute(int signum) {
    monitor.makegws();
    monitor.reroute();
}

int main(int argc, char *argv[]) {
    string test;
    cout << sizeof(string) << endl;

    if (argc != 2) {
        cout << "Usage: " << *argv << " <interface>" << endl;
        return 1;
    }
    signal(SIGHUP, reroute);
    monitor.iface = argv[1];
    // Sniffer configuration
    SnifferConfiguration config;
    config.set_promisc_mode(true);
    config.set_filter("arp");

    monitor.makegws();

    try {
        // Sniff on the provided interface in promiscuous mode
        Sniffer sniffer(argv[1], config);

        // Only capture arp packets
        monitor.run(sniffer);
    }
    catch (std::exception &ex) {
        std::cerr << "Error: " << ex.what() << std::endl;
    }
}

libtins ইনস্টলেশন স্ক্রিপ্ট

#!/bin/bash

git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig

বাইনারি তৈরি করার আদেশ

g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

এটা কিভাবে চালু করবেন?

start-stop-daemon --start --exec  /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

হ্যাঁ - এটি HUP সংকেতের উপর ভিত্তি করে টেবিলগুলি পুনর্নির্মাণ করবে। আপনি নেটলিংক ব্যবহার করেননি কেন? এটা শুধু অলসতা এবং লিনাক্স একটি স্ক্রিপ্টের একটি স্ক্রিপ্ট - তাই সবকিছু ঠিক আছে। আচ্ছা, রুটগুলোই রুট, এরপর কি? এর পরে, আমাদের এই সার্ভারে থাকা রুটগুলিকে সীমান্তে পাঠাতে হবে - এখানে, একই পুরানো হার্ডওয়্যারের কারণে, আমরা ন্যূনতম প্রতিরোধের পথ নিয়েছি - আমরা এই কাজটি বিজিপিকে দিয়েছি।

bgp কনফিগারেশনহোস্টনাম *******
পাসওয়ার্ড *******
লগ ফাইল /var/log/bgp.log
!
# AS নম্বর, ঠিকানা এবং নেটওয়ার্ক কাল্পনিক
রাউটার bgp 12345
bgp রাউটার-আইডি 1.2.3.4
সংযুক্ত পুনরায় বিতরণ
স্ট্যাটিক পুনরায় বিতরণ
প্রতিবেশী 1.2.3.1 দূরবর্তী-12345 হিসাবে
প্রতিবেশী 1.2.3.1 next-hop-self
প্রতিবেশী 1.2.3.1 রুট-ম্যাপ এর মধ্যে নেই
প্রতিবেশী 1.2.3.1 রুট-ম্যাপ এক্সপোর্ট আউট
!
অ্যাক্সেস-লিস্ট এক্সপোর্ট পারমিট 1.2.3.0/24
!
রুট-ম্যাপ এক্সপোর্ট পারমিট 10
আইপি ঠিকানা এক্সপোর্ট মেলে
!
রুট-ম্যাপ রপ্তানি অস্বীকার 20

চল অবিরত রাখি. সার্ভারের arp অনুরোধে সাড়া দেওয়ার জন্য, আপনাকে অবশ্যই arp প্রক্সি সক্ষম করতে হবে।

echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

চলুন এগিয়ে চলুন - ucarp. এই অলৌকিক ঘটনার জন্য আমরা নিজেরাই লঞ্চ স্ক্রিপ্ট লিখি।

একটি ডেমন চালানোর উদাহরণ

start-stop-daemon --start --exec  /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

up.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

vlan=`echo $1 | sed "s/eth0.//"`


ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp

killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start


killall -HUP arp-rt

down.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp


killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start

dhcprelay একটি ইন্টারফেসে কাজ করার জন্য, এটির একটি ঠিকানা প্রয়োজন। অতএব, আমরা যে ইন্টারফেসগুলি ব্যবহার করি তাতে আমরা বাম ঠিকানা যোগ করব - উদাহরণস্বরূপ 10.255.255.1/32, 10.255.255.2/32, ইত্যাদি। আমি আপনাকে বলব না কিভাবে রিলে কনফিগার করবেন - সবকিছু সহজ।

তাহলে কি আমরা আছি? গেটওয়ের ব্যাকআপ, রুটের স্বয়ংক্রিয় কনফিগারেশন, ডিএইচসিপি। এটি সর্বনিম্ন সেট - lisg এটির চারপাশে সবকিছু মোড়ানো এবং আমাদের ইতিমধ্যে একটি শেপার রয়েছে। কেন সবকিছু এত দীর্ঘ এবং বিভ্রান্তিকর? accel-pppd নেওয়া এবং pppoe ব্যবহার করা কি সহজ নয়? না, এটি সহজ নয় - লোকেরা খুব কমই একটি রাউটারে একটি প্যাচকর্ড ফিট করতে পারে, pppoe উল্লেখ করার মতো নয়। accel-ppp একটি দুর্দান্ত জিনিস - কিন্তু এটি আমাদের জন্য কাজ করেনি - কোডে অনেক ত্রুটি রয়েছে - এটি ভেঙে যায়, এটি কুটিলভাবে কেটে যায় এবং সবচেয়ে দুঃখের বিষয় হল এটি যদি উজ্জ্বল হয় - তাহলে লোকেদের পুনরায় লোড করতে হবে সবকিছু - ফোনগুলি লাল - এটি মোটেও কাজ করেনি৷ Keepalived পরিবর্তে ucarp ব্যবহার করার সুবিধা কি? হ্যাঁ, সবকিছুর মধ্যে - 100টি গেটওয়ে, Keepalived এবং কনফিগারেশনে একটি ত্রুটি রয়েছে - সবকিছু কাজ করে না। 1 গেটওয়ে ucarp এর সাথে কাজ করে না। নিরাপত্তার বিষয়ে, তারা বলে যে বামরা নিজেদের জন্য ঠিকানা নিবন্ধন করবে এবং শেয়ারে সেগুলি ব্যবহার করবে - এই মুহূর্তটি নিয়ন্ত্রণ করার জন্য, আমরা সমস্ত সুইচ/ওল্টস/বেসগুলিতে dhcp-snooping + source-guard + arp পরিদর্শন সেট আপ করি৷ যদি ক্লায়েন্টের dhpc না থাকে তবে স্ট্যাটিক - পোর্টে অ্যাক্সেস-তালিকা থাকে।

কেন এই সব করা হয়েছিল? অবাঞ্ছিত ট্রাফিক ধ্বংস করতে. এখন প্রতিটি সুইচের নিজস্ব ভ্লান রয়েছে এবং অজানা-ইউনিকাস্ট আর ভীতিকর নয়, কারণ এটি শুধুমাত্র একটি পোর্টে যেতে হবে এবং সকলের কাছে নয়... ঠিক আছে, পার্শ্ব প্রতিক্রিয়া হল একটি প্রমিত সরঞ্জাম কনফিগার, ঠিকানার স্থান বরাদ্দ করার ক্ষেত্রে অধিকতর দক্ষতা।

কিভাবে lisg কনফিগার করবেন একটি পৃথক বিষয়। লাইব্রেরি লিঙ্ক সংযুক্ত করা হয়. সম্ভবত উপরের কাউকে তাদের লক্ষ্য অর্জনে সহায়তা করবে। সংস্করণ 6 এখনও আমাদের নেটওয়ার্কে প্রয়োগ করা হচ্ছে না - তবে একটি সমস্যা হবে - সংস্করণ 6 এর জন্য lisg পুনরায় লেখার পরিকল্পনা রয়েছে এবং রুট যোগ করে এমন প্রোগ্রামটি সংশোধন করা প্রয়োজন।

লিনাক্স আইএসজি
DB2DHCP
লিবটিনস

উত্স: www.habr.com