こんにちは。 これは、5 のクライアントのネットワークがあることを意味します。 最近、あまり快適ではない瞬間が起こりました - ネットワークの中心に Brocade RX8 があり、ネットワークが VLAN に分割されているため、未知のユニキャスト パケットが大量に送信され始めました - これは部分的には問題ではありませんが、問題があります。ホワイトアドレス用の特別な VLAN など。 そしてそれらはネットワークのあらゆる方向に伸びています。 ここで、国境の学生として勉強していないクライアントのアドレスへの受信フローを想像してください。このフローは、いくつかの (またはすべての) 村への無線リンクに向かって飛んでいきます - チャネルが詰まっています - クライアントは怒っています - 悲しみ...
目標は、バグを機能に変えることです。 本格的なクライアント VLAN を備えた q-in-q の方向で考えていましたが、P3310 のようなあらゆる種類のハードウェアは、dot1q が有効になっていると DHCP の通過を停止し、qinq を選択する方法もわかりません。そういう落とし穴。 ip-unnambered とは何ですか?またどのように機能しますか? 非常に簡単に説明すると、ゲートウェイ アドレス + インターフェイス上のルートです。 私たちのタスクでは、シェーパーをカットし、クライアントにアドレスを配布し、特定のインターフェイスを介してクライアントにルートを追加する必要があります。 これをすべて行うにはどうすればよいでしょうか? Shaper - lisg、dhcp - db2dhcp は XNUMX つの独立したサーバー上で実行され、dhcprelay はアクセス サーバー上で実行され、ucarp もバックアップのためにアクセス サーバー上で実行されます。 しかし、ルートを追加するにはどうすればよいでしょうか? 大規模なスクリプトを使用して事前にすべてを追加することもできますが、これは真実ではありません。 そこで、自作の松葉杖を作成します。
インターネットで徹底的に検索した結果、トラフィックを美しく嗅ぎ分けることができる C++ 用の素晴らしい高レベル ライブラリを見つけました。 ルートを追加するプログラムのアルゴリズムは次のとおりです。インターフェイスで arp リクエストをリッスンし、要求されたサーバーの lo インターフェイスにアドレスがある場合は、このインターフェイスを介してルートを追加し、静的 arp を追加します。この IP に記録します - 通常、いくつかのコピー&ペーストと少しの形容詞で完了です
「ルーター」のソース
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}libtins インストール スクリプト
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
バイナリをビルドするコマンド
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltinsどうやって起動するのでしょうか?
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
はい - HUP 信号に基づいてテーブルを再構築します。 なぜネットリンクを使わなかったのですか? それは単なる怠惰であり、Linux はスクリプト上のスクリプトであるため、すべて問題ありません。 さて、ルートはルートですが、次は何でしょうか? 次に、このサーバー上のルートを境界に送信する必要があります。ここでは、同じ古いハードウェアのため、最も抵抗の少ないパスを選択しました。このタスクを BGP に割り当てました。
bgp 構成ホスト名 *******
パスワード *******
ログファイル /var/log/bgp.log
!
# AS 番号、アドレス、ネットワークは架空のものです
ルーターの bgp 12345
bgp ルーター ID 1.2.3.4
接続された再配布
静的な再配布
隣人 1.2.3.1 リモートとして 12345
ネイバー 1.2.3.1 next-hop-self
ネイバー 1.2.3.1 ルートマップなし
ネイバー 1.2.3.1 ルートマップのエクスポート出力
!
アクセスリストのエクスポート許可 1.2.3.0/24
!
ルートマップのエクスポート許可 10
一致する IP アドレスのエクスポート
!
ルート マップ エクスポート拒否 20
続けましょう。 サーバーが arp リクエストに応答するには、arp プロキシを有効にする必要があります。
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
先に進みましょう - ウカープ。 私たちはこの奇跡の起動スクリプトを自分たちで書きます。
XNUMX つのデーモンを実行する例
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
アップ.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
ダウン.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
dhcprelay がインターフェイス上で動作するには、アドレスが必要です。 したがって、使用するインターフェイスには、左側のアドレス (たとえば、10.255.255.1/32、10.255.255.2/32 など) を追加します。 リレーの設定方法については説明しません。すべてが簡単です。
それで、私たちは何を持っているのでしょうか? ゲートウェイのバックアップ、ルートの自動構成、dhcp。 これは最小セットです。lisg はその周囲にすべてをラップしており、すでにシェイパーが存在します。 なぜすべてがこれほど長くて複雑なのでしょうか? accel-pppd を使用して pppoe を完全に使用する方が簡単ではないでしょうか? いいえ、それは単純ではありません。pppoe は言うまでもなく、パッチコードをルーターに取り付けることはほとんどできません。 accel-ppp は素晴らしいものです - しかし、私たちにはうまくいきませんでした - コードには多くのエラーがあります - 崩れたり、曲がったりします、そして最も悲しいことは、明るくなった場合はリロードする必要があることですすべて - 電話は赤です - まったく機能しませんでした。 keepalived ではなく ucarp を使用する利点は何ですか? はい、すべてにおいて、ゲートウェイが 100 個あり、キープアライブがあり、設定にエラーが 1 つあり、すべてが機能しません。 XNUMX ゲートウェイは ucarp では動作しません。 セキュリティに関しては、左の者が自分自身のアドレスを登録し、共有上で使用すると言われています。この瞬間を制御するために、すべてのスイッチ/OLT/ベースに dhcp-snooping + ソース ガード + arp インスペクションを設定しています。 クライアントに dhpc がなく、ポート上に static - acces-list がある場合。
なぜこのようなことが行われたのでしょうか? 不要なトラフィックを破棄するため。 各スイッチには独自の VLAN があり、すべてのポートではなく XNUMX つのポートにのみ送信する必要があるため、未知のユニキャストはもう怖くありません... まあ、副作用としては、標準化された機器構成、アドレス空間の割り当て効率の向上です。
lisg の構成方法は別のトピックです。 ライブラリへのリンクが貼られています。 おそらく上記の内容は、誰かが目標を達成するのに役立つでしょう。 バージョン 6 はまだ私たちのネットワークに実装されていませんが、問題が発生します。バージョン 6 用に lisg を書き直す計画があり、ルートを追加するプログラムを修正する必要があります。
出所: habr.com