Dia dhuit. Ciallaíonn sé seo go bhfuil líonra de chliaint 5k. Le déanaí tháinig nóiméad nach bhfuil an-taitneamhach suas - i lár an líonra tá Brocade RX8 againn agus thosaigh sé ag seoladh go leor paicéid anaithnid-unicast, ós rud é go bhfuil an líonra roinnte ina vlans - ní fadhb í seo go páirteach, ACH tá vlans speisialta do sheoltaí bána, etc. agus tá siad sínte i ngach treo den líonra. Mar sin, samhlaigh anois sreabhadh isteach chuig seoladh cliant nach bhfuil ag staidéar mar mhac léinn teorann agus aistríonn an sreabhadh seo i dtreo nasc raidió chuig sráidbhaile éigin (nó go léir) - tá an cainéal clogged - tá na cliaint feargach - brón ...
Is é an sprioc ná fabht a iompú ina ghné. Bhí mé ag smaoineamh i dtreo q-in-q le vlan cliant lán-chuimsitheach, ach stopann gach cineál crua-earraí cosúil le P3310, nuair a bhíonn dot1q cumasaithe, ag ligean do DHCP trí, níl a fhios acu freisin conas qinq roghnach agus go leor. gaistí den chineál sin. Cad é ip-unambered agus conas a oibríonn sé? Go hachomair: seoladh geata + bealach ar an gcomhéadan. Chun ár dtasc, ní mór dúinn: an shaper a ghearradh, seoltaí a dháileadh ar chliaint, bealaí a chur le cliaint trí chomhéadain áirithe. Conas é seo go léir a dhéanamh? Shaper - lisg, dhcp - db2dhcp ar dhá fhreastalaithe neamhspleácha, ritheann dhcprelay ar na freastalaithe rochtana, ritheann ucarp freisin ar na freastalaithe rochtana - le haghaidh cúltaca. Ach conas bealaí a chur leis? Is féidir leat gach rud a chur leis roimh ré le script mhór - ach níl sé seo fíor. Mar sin déanfaimid crutch féinscríofa.
Tar éis cuardach críochnúil ar an Idirlíon, fuair mé leabharlann ardleibhéil iontach do C ++, a ligeann duit trácht a sniff go hálainn. Seo a leanas algartam an chláir a chuireann bealaí leis - éistimid le hiarratais arp ar an gcomhéadan, má tá seoladh againn ar an gcomhéadan lo ar an bhfreastalaí a iarrtar, cuirimid bealach tríd an gcomhéadan seo agus cuirimid stua statach leis. taifead don IP seo - go ginearálta, cúpla cóip-ghreamú, aidiacht bheag agus tá tú críochnaithe
Foinsí an 'ródaire'
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
Script suiteáil libtins
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
Ordú a thógáil ar an dénártha
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
Conas é a sheoladh?
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
Sea - déanfaidh sé na táblaí a atógáil bunaithe ar chomhartha HUP. Cén fáth nár úsáid tú netlink? Níl ann ach leisce agus tá Linux mar script ar script - mar sin tá gach rud go breá. Bhuel, is bealaí iad bealaí, cad atá le teacht? Ansin, ní mór dúinn na bealaí atá ar an bhfreastalaí seo a sheoladh chuig an teorainn - anseo, mar gheall ar na crua-earraí céanna as dáta, ghlacamar cosán na friotaíochta is lú - sannadh an tasc seo do BGP.
cumraíocht bgpóstainm *******
pasfhocal *******
comhad log /var/log/bgp.log
!
# Tá uimhir AS, seoltaí agus líonraí bréige
Tiománaí bgp 12345
ródaire bgp 1.2.3.4
athdháileadh ceangailte
athdháileadh statach
comharsa 1.2.3.1 cianda - mar 12345
comharsa 1.2.3.1 next-hop-féin
comharsa 1.2.3.1 bealach-léarscáil none in
comharsa 1.2.3.1 easpórtáil léarscáile bealaigh amach
!
cead easpórtála liosta rochtana 1.2.3.0/24
!
cead onnmhairiúcháin léarscáile bealaigh 10
mheaitseáil onnmhairiú seoladh ip
!
easpórtáil léarscáil bealaigh 20 a dhiúltú
Leanaimis ar aghaidh. Ionas gur féidir leis an bhfreastalaí freagra a thabhairt ar iarratais arp, ní mór duit an seachfhreastalaí stua a chumasú.
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
A ligean ar bogadh ar aghaidh - ucarp. Scríobhaimid na scripteanna seolta don mhíorúilt seo sinn féin.
Sampla de dheamhan amháin a rith
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
suas.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
síos.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
Chun go n-oibreoidh dhcprelay ar chomhéadan, teastaíonn seoladh uaidh. Mar sin, ar na comhéadain a úsáidimid cuirfimid seoltaí clé - mar shampla 10.255.255.1/32, 10.255.255.2/32, etc. Ní inseoidh mé duit conas an sealaíochta a chumrú - tá gach rud simplí.
Mar sin, cad atá againn? Cúltaca geataí, uathchumrú bealaí, dhcp. Is é seo an t-íosmhéid tacar - fillteann liosta gach rud timpeall air freisin agus tá shaper againn cheana féin. Cén fáth go bhfuil gach rud chomh fada agus mearbhall? Nach bhfuil sé níos éasca accel-pppd a ghlacadh agus pppoe a úsáid ar fad? Níl sé níos simplí - is ar éigean gur féidir le daoine corda paiste a chur isteach i ródaire, gan trácht ar pppoe. Is rud iontach é accel-ppp - ach níor oibrigh sé dúinn - tá go leor earráidí sa chód - scoiteann sé, gearrann sé go cam, agus is é an rud is brónach ná má éiríonn sé geal - ansin caithfidh daoine athlódáil gach rud - tá na fóin dearg - níor oibrigh sé ar chor ar bith. Cad é an buntáiste a bhaineann le ucarp a úsáid seachas coinnithe beo? Sea, i ngach rud - tá 100 geataí, coimeádta beo agus earráid amháin sa chumraíocht - ní oibríonn gach rud. Ní oibríonn 1 gheata le ucarp. Maidir le slándáil, deir siad go gcláróidh na cinn ar chlé seoltaí dóibh féin agus go n-úsáidfidh siad iad ar an sciar - chun an nóiméad seo a rialú, socróimid dhcp-snooping + source-guard + iniúchadh stua ar gach lasc / olts / bonn. Mura bhfuil dhpc ag an gcliant ach statach - acces-list ar an gcalafort.
Cén fáth a ndearnadh é seo go léir? Chun trácht nach dteastaíonn a scriosadh. Anois tá a vlan féin ag gach lasc agus níl anaithnid-unicast scanrúil a thuilleadh, ós rud é nach gá dó ach dul go calafort amháin agus ní go léir... Bhuel, is cumraíocht trealaimh chaighdeánaithe iad na fo-iarsmaí, éifeachtúlacht níos fearr maidir le spás seoltaí a leithdháileadh.
Is ábhar ar leith é conas liosta a chumrú. Tá naisc chuig leabharlanna ceangailte. B'fhéidir go gcuideoidh an méid thuas le duine a gcuid spriocanna a bhaint amach. Níl leagan 6 á chur i bhfeidhm ar ár líonra fós - ach beidh fadhb ann - tá pleananna ann liosta a athscríobh do leagan 6, agus beidh gá leis an gclár a chuireann bealaí isteach a cheartú.