Բարեւ Ձեզ. Սա նշանակում է, որ կա 5 հազար հաճախորդների ցանց: Վերջերս մի ոչ այնքան հաճելի պահ եկավ. ցանցի կենտրոնում մենք ունենք Brocade RX8, և այն սկսեց ուղարկել բազմաթիվ անհայտ-unicast փաթեթներ, քանի որ ցանցը բաժանված է vlan-ների, սա մասամբ խնդիր չէ, ԲԱՅՑ կան: հատուկ վլաններ սպիտակ հասցեների համար և այլն: և դրանք ձգվում են ցանցի բոլոր ուղղություններով։ Այսպիսով, հիմա պատկերացրեք մուտքային հոսք դեպի հաճախորդի հասցե, ով չի սովորում որպես սահմանային ուսանող, և այս հոսքը թռչում է ռադիոհաղորդիչով դեպի ինչ-որ (կամ բոլոր) գյուղ. ալիքը խցանված է, հաճախորդները զայրացած են - տխրություն...
Նպատակը սխալը հատկանիշի վերածելն է: Ես մտածում էի q-in-q-ի ուղղությամբ լիարժեք հաճախորդի vlan-ով, բայց P3310-ի նման բոլոր տեսակի ապարատները, երբ dot1q-ը միացված է, դադարում են թույլ տալ DHCP-ին անցնել, նրանք նաև չգիտեն, թե ինչպես ընտրել qinq և շատերը: նման թակարդներ. Ի՞նչ է ip-unnamebered-ը և ինչպես է այն աշխատում: Շատ հակիրճ՝ դարպասի հասցե + երթուղի ինտերֆեյսի վրա: Մեր առաջադրանքի համար մենք պետք է կտրենք ձևավորողը, բաժանենք հասցեները հաճախորդներին, որոշ միջերեսների միջոցով երթուղիներ ավելացնենք հաճախորդներին: Ինչպե՞ս անել այս ամենը: Shaper - lisg, dhcp - db2dhcp երկու անկախ սերվերների վրա, dhcprelay-ն աշխատում է մուտքի սերվերների վրա, ucarp-ն աշխատում է նաև մուտքի սերվերների վրա՝ կրկնօրինակման համար։ Բայց ինչպե՞ս ավելացնել երթուղիները: Դուք կարող եք նախապես ավելացնել ամեն ինչ մեծ սցենարով, բայց դա ճիշտ չէ: Այսպիսով, մենք կպատրաստենք ինքնագիր հենակ:
Համացանցում մանրակրկիտ որոնումից հետո ես գտա մի հրաշալի բարձր մակարդակի գրադարան C++-ի համար, որը թույլ է տալիս գեղեցիկ հոտոտել տրաֆիկը: Ծրագրի ալգորիթմը, որն ավելացնում է երթուղիները, հետևյալն է. մենք լսում ենք arp հարցումները ինտերֆեյսի վրա, եթե մենք ունենք հասցե սերվերի lo ինտերֆեյսի վրա, որը պահանջվում է, ապա մենք երթուղի ենք ավելացնում այս ինտերֆեյսի միջոցով և ավելացնում ենք ստատիկ arp: ձայնագրեք այս ip-ին - ընդհանուր առմամբ, մի քանի copy-paste, մի փոքր ածական և վերջ
«Երթուղիչի» աղբյուրները
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
libtins տեղադրման սցենար
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
Երկուականը ստեղծելու հրաման
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
Ինչպե՞ս գործարկել այն:
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
Այո, այն կվերակառուցի աղյուսակները՝ հիմնվելով HUP ազդանշանի վրա: Ինչու՞ չօգտագործեցիր netlink-ը: Դա պարզապես ծուլություն է, և Linux-ը սցենար է սցենարի վրա, այնպես որ ամեն ինչ լավ է: Դե, երթուղիները երթուղիներ են, ինչ է հաջորդը: Հաջորդը, մենք պետք է ուղարկենք երթուղիները, որոնք գտնվում են այս սերվերի վրա, դեպի սահման - այստեղ, նույն հնացած սարքաշարի պատճառով, մենք բռնեցինք նվազագույն դիմադրության ճանապարհը.
bgp կոնֆիգուրացիահյուրընկալողի անունը *******
գաղտնաբառը ******
log ֆայլ /var/log/bgp.log
!
# AS համարը, հասցեները և ցանցերը ֆիկտիվ են
երթուղիչ bgp 12345
bgp երթուղիչ-id 1.2.3.4
վերաբաշխել կապված
վերաբաշխել ստատիկ
հարևան 1.2.3.1 հեռավար-որպես 12345
հարեւան 1.2.3.1 հաջորդ-հոփ-ես
հարեւան 1.2.3.1 երթուղի-քարտեզ չկա
հարեւան 1.2.3.1 երթուղի-քարտեզ արտահանում
!
մուտքի ցուցակի արտահանման թույլտվություն 1.2.3.0/24
!
երթուղային քարտեզի արտահանման թույլտվություն 10
համընկնել ip հասցեի արտահանում
!
երթուղային քարտեզի արտահանման մերժում 20
Շարունակենք. Որպեսզի սերվերը պատասխանի arp հարցումներին, դուք պետք է միացնեք arp պրոքսին:
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
Անցնենք առաջ - ուկարպ։ Մենք ինքներս ենք գրում այս հրաշքի գործարկման սցենարները:
Մեկ դեյմոն վարելու օրինակ
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
վեր.շ
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
ներքեւ.շ
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
Որպեսզի dhcprelay-ն աշխատի ինտերֆեյսի վրա, անհրաժեշտ է հասցե: Հետևաբար, ինտերֆեյսների վրա, որոնք մենք օգտագործում ենք, մենք կավելացնենք ձախ հասցեներ, օրինակ՝ 10.255.255.1/32, 10.255.255.2/32 և այլն: Ես ձեզ չեմ ասի, թե ինչպես կարգավորել ռելեը, ամեն ինչ պարզ է:
Ուրեմն ի՞նչ ունենք։ Դարպասների կրկնօրինակում, երթուղիների ավտոմատ կազմաձևում, dhcp: Սա նվազագույն հավաքածուն է. lisg-ը նաև ամեն ինչ փաթաթում է իր շուրջը, և մենք արդեն ունենք ձևավորող: Ինչու է ամեն ինչ այդքան երկար և բարդ: Ավելի հեշտ չէ՞ accel-pppd վերցնել և ընդհանրապես օգտագործել pppoe: Ոչ, դա ավելի պարզ չէ. մարդիկ դժվար թե կարողանան կարկատել երթուղիչի մեջ տեղավորել, էլ չեմ խոսում pppoe-ի մասին: accel-ppp-ը հիանալի բան է, բայց դա մեզ մոտ չաշխատեց. կոդի մեջ շատ սխալներ կան. այն քանդվում է, կտրվում է ծուռումուռ, և ամենացավալին այն է, որ եթե այն պայծառացավ, ապա մարդիկ պետք է վերաբեռնեն: ամեն ինչ - հեռախոսները կարմիր են - ընդհանրապես չի աշխատում: Ո՞րն է ucarp-ի օգտագործման առավելությունը, քան պահպանվածը: Այո, ամեն ինչում. կան 100 դարպասներ, պահպանված և մեկ սխալ կոնֆիգուրայում, ամեն ինչ չի աշխատում: 1 gateway-ը չի աշխատում ucarp-ով։ Անվտանգության հետ կապված ասում են, որ ձախերն իրենց համար հասցեներ կգրանցեն ու կօգտագործեն share-ի վրա՝ այս պահը վերահսկելու համար մենք բոլոր անջատիչների/օլտների/բազաների վրա դրեցինք dhcp-snooping + source-guard + arp inspection։ Եթե հաճախորդը չունի dhpc, այլ ստատիկ - մուտքի ցուցակ պորտում:
Ինչու՞ արվեց այս ամենը։ Անցանկալի երթեւեկությունը ոչնչացնելու համար: Այժմ յուրաքանչյուր անջատիչ ունի իր սեփական vlan-ը, և անհայտ-unicast-ն այլևս սարսափելի չէ, քանի որ այն պետք է գնա միայն մեկ պորտ և ոչ բոլորին... Դե, կողմնակի էֆեկտները ստանդարտացված սարքավորումների կոնֆիգուրացիա են, հասցեների տարածք հատկացնելու ավելի մեծ արդյունավետություն:
Ինչպես կարգավորել lisg-ը առանձին թեմա է։ Գրադարանների հղումները կցված են: Թերևս վերը նշվածը կօգնի ինչ-որ մեկին հասնելու իր նպատակներին: 6-րդ տարբերակը դեռ չի ներդրվում մեր ցանցում, բայց խնդիր կլինի, պլաններ կան վերաշարադրել 6-րդ տարբերակի ցուցակը, և անհրաժեշտ կլինի ուղղել երթուղիներ ավելացնող ծրագիրը:
Source: www.habr.com