🥇즉석 수단을 사용하는 내결함성 IPeE 네트워크

안녕하세요. 이는 5명의 클라이언트로 구성된 네트워크가 있음을 의미합니다. 최근에 그다지 유쾌하지 않은 순간이 나타났습니다. 네트워크 중앙에 Brocade RX8이 있고 네트워크가 VLAN으로 분할되어 있기 때문에 알 수 없는 유니캐스트 패킷을 많이 보내기 시작했습니다. 이는 부분적으로 문제가 되지 않지만 흰색 주소 등을 위한 특수 VLAN 그리고 그것들은 네트워크의 모든 방향으로 뻗어있습니다. 이제 국경 학생으로 공부하지 않는 고객의 주소로 들어오는 흐름이 있고 이 흐름이 일부(또는 전체) 마을에 대한 무선 링크를 향해 날아간다고 상상해 보십시오. 채널이 막혔습니다. 고객은 화가났습니다. 슬픔...

목표는 버그를 기능으로 바꾸는 것입니다. 나는 본격적인 클라이언트 VLAN을 사용하여 q-in-q 방향으로 생각하고 있었지만 P3310과 같은 모든 종류의 하드웨어는 dot1q가 활성화되면 DHCP 통과를 중지하고 qinq 및 많은 항목을 선택하는 방법도 모릅니다. 그런 종류의 함정. IP 번호 없음이란 무엇이며 어떻게 작동하나요? 매우 간단히 말하면 게이트웨이 주소 + 인터페이스의 경로입니다. 작업을 위해서는 셰이퍼를 잘라내고, 클라이언트에 주소를 배포하고, 특정 인터페이스를 통해 클라이언트에 경로를 추가해야 합니다. 이 모든 작업을 수행하는 방법은 무엇입니까? Shaper - lisg, dhcp - db2dhcp는 두 개의 독립 서버에 있으며, dhcprelay는 액세스 서버에서 실행되고, ucarp는 백업을 위해 액세스 서버에서도 실행됩니다. 그런데 경로를 추가하는 방법은 무엇입니까? 큰 스크립트를 사용하면 모든 것을 미리 추가할 수 있지만 이는 사실이 아닙니다. 그래서 우리는 스스로 쓴 목발을 만들 것입니다.

인터넷에서 철저하게 검색한 후 트래픽을 효과적으로 스니핑할 수 있는 훌륭한 C++용 고급 라이브러리를 찾았습니다. 경로를 추가하는 프로그램의 알고리즘은 다음과 같습니다. 인터페이스에서 arp 요청을 수신합니다. 요청된 서버의 lo 인터페이스에 주소가 있는 경우 이 인터페이스를 통해 경로를 추가하고 정적 arp를 추가합니다. 이 IP에 기록하세요. 일반적으로 몇 개의 복사-붙여넣기, 약간의 형용사만 있으면 완료됩니다.

'라우터'의 소스

#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>

#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>

using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;

using namespace Tins;

class arp_monitor {
public:
    void run(Sniffer &sniffer);
    void reroute();
    void makegws();
    string iface;
    map <string, string> gws;
private:
    bool callback(const PDU &pdu);
    map <string, string> route_map;
    map <string, string> mac_map;
    map <IPv4Address, HWAddress<6>> addresses;
};

void  arp_monitor::makegws() {
    struct ifaddrs *ifAddrStruct = NULL;
    struct ifaddrs *ifa = NULL;
    void *tmpAddrPtr = NULL;
    gws.clear();
    getifaddrs(&ifAddrStruct);
    for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
        if (!ifa->ifa_addr) {
            continue;
        }
        string ifName = ifa->ifa_name;
        if (ifName == "lo") {
            char addressBuffer[INET_ADDRSTRLEN];
            if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
                // is a valid IP4 Address
                tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
                inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
            } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
                // is a valid IP6 Address
                tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
                inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
            } else {
                continue;
            }
            gws[addressBuffer] = addressBuffer;
            cout << "GW " << addressBuffer << " is added" << endl;
        }
    }
    if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}

void arp_monitor::run(Sniffer &sniffer) {
    cout << "RUNNED" << endl;
    sniffer.sniff_loop(
            bind(
                    &arp_monitor::callback,
                    this,
                    std::placeholders::_1
            )
    );
}

void arp_monitor::reroute() {
    cout << "REROUTING" << endl;
    map<string, string>::iterator it;
    for ( it = route_map.begin(); it != route_map.end(); it++ ) {
        if (this->gws.count(it->second) && !this->gws.count(it->second)) {
            string cmd = "ip route replace ";
            cmd += it->first;
            cmd += " dev " + this->iface;
            cmd += " src " + it->second;
            cmd += " proto static";
            cout << cmd << std::endl;
            cout << "REROUTE " << it->first << " SRC " << it->second << endl;
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += it->first;
            cmd += " ";
            cmd += mac_map[it->first];
            cout << cmd << endl;
            system(cmd.c_str());

        }
    }
    for ( it = gws.begin(); it != gws.end(); it++ ) {
	string cmd = "arping -U -s ";
	cmd += it->first;
	cmd += " -I ";
	cmd += this->iface;
	cmd += " -b -c 1 ";
	cmd += it->first;
        system(cmd.c_str());
    }
    cout << "REROUTED" << endl;
}

bool arp_monitor::callback(const PDU &pdu) {
    // Retrieve the ARP layer
    const ARP &arp = pdu.rfind_pdu<ARP>();

    if (arp.opcode() == ARP::REQUEST) {
	
        string target = arp.target_ip_addr().to_string();
        string sender = arp.sender_ip_addr().to_string();
        this->route_map[sender] = target;
        this->mac_map[sender] = arp.sender_hw_addr().to_string();
        cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
        if (this->gws.count(target) && !this->gws.count(sender)) {
            string cmd = "ip route replace ";
            cmd += sender;
            cmd += " dev " + this->iface;
            cmd += " src " + target;
            cmd += " proto static";
//            cout << cmd << std::endl;
/*            cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
                 << " for address " << arp.target_ip_addr()
                 << " sender hw address " << arp.sender_hw_addr() << std::endl
                 << " run cmd: " << cmd << endl;*/
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += arp.sender_ip_addr().to_string();
            cmd += " ";
            cmd += arp.sender_hw_addr().to_string();
            cout << cmd << endl;
            system(cmd.c_str());
        }
    }
    return true;
}

arp_monitor monitor;
void reroute(int signum) {
    monitor.makegws();
    monitor.reroute();
}

int main(int argc, char *argv[]) {
    string test;
    cout << sizeof(string) << endl;

    if (argc != 2) {
        cout << "Usage: " << *argv << " <interface>" << endl;
        return 1;
    }
    signal(SIGHUP, reroute);
    monitor.iface = argv[1];
    // Sniffer configuration
    SnifferConfiguration config;
    config.set_promisc_mode(true);
    config.set_filter("arp");

    monitor.makegws();

    try {
        // Sniff on the provided interface in promiscuous mode
        Sniffer sniffer(argv[1], config);

        // Only capture arp packets
        monitor.run(sniffer);
    }
    catch (std::exception &ex) {
        std::cerr << "Error: " << ex.what() << std::endl;
    }
}

libtins 설치 스크립트

#!/bin/bash

git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig

바이너리를 빌드하는 명령

g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

어떻게 시작하나요?


start-stop-daemon --start --exec  /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

예 - HUP 신호를 기반으로 테이블을 다시 작성합니다. 왜 넷링크를 사용하지 않았나요? 그것은 단지 게으름일 뿐이고 Linux는 스크립트 상의 스크립트이므로 모든 것이 괜찮습니다. 음, 경로는 경로입니다. 다음은 무엇입니까? 다음으로 이 서버에 있는 경로를 국경으로 보내야 합니다. 여기서는 동일한 오래된 하드웨어로 인해 저항이 가장 적은 경로를 선택했습니다. 이 작업을 BGP에 할당했습니다.

bgp 구성호스트 이름 *******
비밀번호 *******
로그 파일 /var/log/bgp.log
!
# AS 번호, 주소, 네트워크는 허구입니다.
라우터 bgp 12345
bgp 라우터 ID 1.2.3.4
연결된 재배포
정적 재분배
이웃 1.2.3.1 원격-12345
이웃 1.2.3.1 다음 홉-자체
이웃 1.2.3.1 경로 맵 없음
이웃 1.2.3.1 경로 맵 내보내기
!
액세스 목록 수출 허가 1.2.3.0/24
!
노선도 수출 허가 10
IP 주소 내보내기 일치
!
경로 맵 내보내기 거부 20

계속합시다. 서버가 arp 요청에 응답하려면 arp 프록시를 활성화해야 합니다.


echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

계속 진행합시다-ucarp. 우리는 이 기적을 위한 실행 스크립트를 직접 작성합니다.

하나의 데몬을 실행하는 예


start-stop-daemon --start --exec  /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

up.sh


#!/bin/bash

iface=$1
addr=$2
gw=$3

vlan=`echo $1 | sed "s/eth0.//"`


ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp

killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start


killall -HUP arp-rt

down.sh


#!/bin/bash

iface=$1
addr=$2
gw=$3

ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp


killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start

dhcprelay가 인터페이스에서 작동하려면 주소가 필요합니다. 따라서 우리가 사용하는 인터페이스에 왼쪽 주소(예: 10.255.255.1/32, 10.255.255.2/32 등)를 추가합니다. 릴레이 구성 방법은 설명하지 않겠습니다. 모든 것이 간단합니다.

그럼 우리는 무엇을 가지고 있습니까? 게이트웨이 백업, 경로 자동 구성, dhcp. 이것은 최소 세트입니다. Lisg는 또한 그 주위의 모든 것을 감싸며 이미 셰이퍼를 가지고 있습니다. 왜 모든 것이 그렇게 길고 복잡합니까? accel-pppd를 사용하고 pppoe를 모두 사용하는 것이 더 쉽지 않습니까? 아니요, 더 간단하지 않습니다. 사람들은 pppoe는 말할 것도 없고 패치코드를 라우터에 거의 장착할 수 없습니다. accel-ppp는 멋진 것이지만 우리에게는 작동하지 않았습니다. 코드에 많은 오류가 있습니다. 무너지고, 비뚤어지게 잘리고, 가장 슬픈 것은 밝아지면 사람들이 다시 로드해야 한다는 것입니다. 모든 것 – 전화기가 빨간색입니다 – 전혀 작동하지 않았습니다. keepalived보다 ucarp를 사용하면 어떤 이점이 있습니까? 예, 모든 것에는 100개의 게이트웨이, 연결 유지 및 구성에 한 가지 오류가 있습니다. 모든 것이 작동하지 않습니다. 1 게이트웨이는 ucarp에서 작동하지 않습니다. 보안과 관련하여 그들은 왼쪽 사람들이 스스로 주소를 등록하고 공유에서 사용할 것이라고 말합니다. 이 순간을 제어하기 위해 우리는 모든 스위치/olts/베이스에 dhcp-snooping + source-guard + arp 검사를 설정했습니다. 클라이언트에 dhpc가 없지만 정적 포트가 있는 경우 - 포트에 액세스 목록이 있습니다.

이 모든 일이 왜 이루어졌습니까? 원치 않는 트래픽을 파괴합니다. 이제 각 스위치에는 자체 VLAN이 있으며 알 수 없는 유니캐스트는 더 이상 두렵지 않습니다. 모든 포트가 아닌 하나의 포트로만 이동하면 되기 때문입니다... 음, 부작용은 표준화된 장비 구성으로 인해 주소 공간 할당의 효율성이 높아집니다.

목록을 구성하는 방법은 별도의 주제입니다. 도서관 링크가 첨부되어 있습니다. 아마도 위의 내용은 누군가가 목표를 달성하는 데 도움이 될 것입니다. 버전 6은 아직 우리 네트워크에서 구현되지 않습니다. 하지만 문제가 있을 것입니다. 버전 6용 목록을 다시 작성할 계획이 있으며 경로를 추가하는 프로그램을 수정해야 합니다.

리눅스 ISG
DB2DHCP
리틴스

출처 : habr.com

즉석 도구를 사용한 내결함성 IPeE 네트워크

코멘트를 추가 답장을 취소