Bonghjornu. Questu significa chì ci hè una reta di clienti 5k. Ricertamenti hè ghjuntu un momentu micca assai piacevule - in u centru di a reta avemu un Brocade RX8 è hà cuminciatu à mandà assai pacchetti unicast scunnisciutu, postu chì a reta hè divisa in vlans - questu hè parzialmente micca un prublema, MA ci sò vlans speciali per indirizzi bianchi, etc. è sò stesi in tutte e direzzione di a reta. Allora avà imaginate un flussu in entrata à l'indirizzu di un cliente chì ùn studia micca cum'è studiente di cunfini è stu flussu vola versu un ligame radio à qualchì (o tutti) paesi - u canali hè intasatu - i clienti sò arrabbiati - tristezza...
U scopu hè di trasfurmà un bug in una funzione. Pensava in a direzzione di q-in-q cù un client vlan full-fledged, ma ogni tipu di hardware cum'è P3310, quandu dot1q hè attivatu, ferma di lascià DHCP attraversu, ùn sanu micca ancu cume selezziunà qinq è assai. trappule di stu tipu. Cosa hè ip-unnambered è cumu funziona? Moltu brevi: indirizzu gateway + rotta nantu à l'interfaccia. Per u nostru compitu, avemu bisognu di: cut the shaper, distribuisce indirizzi à i clienti, aghjunghje rotte à i clienti attraversu certi interfacce. Cumu fà tuttu questu? Shaper - lisg, dhcp - db2dhcp nantu à dui servitori indipendenti, dhcprelay corre nantu à i servitori d'accessu, ucarp corre ancu nantu à i servitori d'accessu - per a copia di salvezza. Ma cumu aghjunghje rotte? Pudete aghjunghje tuttu in anticipu cù un grande script - ma questu hè micca veru. Allora faremu una crutch auto-scritta.
Dopu una ricerca approfondita in Internet, aghju trovu una maravigliosa biblioteca d'altu livellu per C++, chì vi permette di sniff bellissima u trafficu. L'algoritmu per u prugramma chì aghjunghje rotte hè u seguitu - ascoltemu e dumande arp nantu à l'interfaccia, se avemu un indirizzu nantu à l'interfaccia lo in u servitore chì hè dumandatu, allora aghjunghje una strada attraversu questa interfaccia è aghjunghje un arp staticu. arregistrà à questu ip - in generale, uni pochi di copie-paste, un pocu aggettivu è avete finitu
Fonti di u "router"
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
script d'installazione di libtins
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
Cumanda per custruisce u binariu
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
Cumu lancià?
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
Iè - ricustruisce e tavule basatu annantu à u signale HUP. Perchè ùn avete micca usatu netlink? Hè solu pigrizia è Linux hè un script nantu à un script - cusì tuttu hè bè. Ebbè, e rotte sò rotte, chì hè dopu ? In seguitu, avemu bisognu di mandà e rotte chì sò in questu servitore à a fruntiera - quì, per via di u stessu hardware obsoletu, avemu pigliatu a strada di a minima resistenza - avemu assignatu stu compitu à BGP.
bgp confighostname ******
codice *******
log file /var/log/bgp.log
!
# U numeru AS, l'indirizzi è e rete sò fittizi
router bgp 12345
bgp router-id 1.2.3.4
redistribute cunnessu
ridistribuisce static
vicinu 1.2.3.1 remote-as 12345
vicinu 1.2.3.1 next-hop-self
vicinu 1.2.3.1 route-map nimu in
vicinu 1.2.3.1 rotta-mappa export out
!
permessu d'esportazione di lista d'accessu 1.2.3.0/24
!
permessu d'esportazione di carte di rotta 10
match export IP address
!
export map route deny 20
Cuntinuemu. Per chì u servitore risponde à e dumande arp, deve attivà u proxy arp.
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
Andemu avanti - ucarpu. Scrivemu i script di lanciamentu per stu miraculu noi stessi.
Esempiu di esecuzione di un daemon
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
up.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
giù.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
Per dhcprelay per travaglià in una interfaccia, hà bisognu di un indirizzu. Per quessa, nantu à l'interfaccia chì avemu aduprà avemu aghjunghje indirizzi manca - per esempiu 10.255.255.1/32, 10.255.255.2/32, etc. Ùn vi diceraghju micca cumu cunfigurà u relay - tuttu hè simplice.
Allora chì avemu? Backup di gateway, auto-configurazione di rotte, dhcp. Questu hè u minimu set - lisg avvolge ancu tuttu intornu è avemu digià un shaper. Perchè tuttu hè cusì longu è cunfusu? Ùn hè micca più faciule per piglià accel-pppd è aduprà pppoe in tuttu? Innò, ùn hè micca più simplice - a ghjente ùn pò micca mette un patchcord in un router, per ùn dì micca pppoe. accel-ppp hè una cosa bella - ma ùn hà micca travagliatu per noi - ci sò assai errori in u codice - si sfracicà, si taglia crookedly, è a cosa più trista hè chì s'ellu si illuminava - allora a ghjente hà bisognu di ricaricà. tuttu - i telefoni sò rossi - ùn hà micca travagliatu in tuttu. Chì hè u vantaghju di l'usu di l'ucarpu piuttostu chè di mantene a vita ? Iè, in tuttu - ci sò 100 gateway, keepalived è un errore in a cunfigurazione - tuttu ùn funziona micca. 1 gateway ùn funziona micca cù ucarp. In quantu à a sicurità, dicenu chì quelli di manca registrà l'indirizzi per elli stessi è l'utilizanu nantu à a spartera - per cuntrullà stu mumentu, avemu stabilitu dhcp-snooping + source-guard + arp inspection in tutti i switches / olts / basi. Se u cliente ùn hà micca dhpc ma static - access-list in u portu.
Perchè tuttu questu hè fattu? Per distrughje u trafficu indesideratu. Avà ogni switch hà u so propiu vlan è unknown-unicast ùn hè più scantu, postu ch'ellu hè solu bisognu à andà in un portu è micca à tutti ... Ebbè, l'effetti side sò una cunfigurazione di l'equipaggiu standardizatu, più efficienza in l'assignazione di u spaziu di l'indirizzu.
Cumu cunfigurà lisg hè un tema separatu. I ligami à e biblioteche sò attaccati. Forsi u sopra aiuterà qualcunu à ottene i so scopi. A versione 6 ùn hè ancu implementata in a nostra reta - ma ci sarà un prublema - ci sò prughjetti di riscriva lisg per a versione 6, è serà necessariu di correggerà u prugramma chì aghjunghje rotte.
Source: www.habr.com