IPeE мрежа толерантна за грешки со помош на импровизирани алатки

Здраво. Ова значи дека има мрежа од 5 илјади клиенти. Неодамна се појави не многу пријатен момент - во центарот на мрежата имаме Brocade RX8 и почна да испраќа многу непознати-уникастични пакети, бидејќи мрежата е поделена на vlans - ова делумно не е проблем, НО има специјални влан за бели адреси итн. и тие се развлечени во сите правци на мрежата. Па сега замислете дојдовен проток на адреса на клиент кој не студира како пограничен студент и овој тек лета кон радио врска до некое (или сите) село - каналот е затнат - клиентите се лути - тага...

Целта е да се претвори бубачката во функција. Размислував во правец q-in-q со полноправно клиент vlan, но секаков хардвер како P3310, кога е овозможен dot1q, престанува да го пропушта DHCP, исто така не знаат како да селективно qinq и многу стапици од тој вид. Што е ip-неименувана и како функционира? Многу кратко: адреса на портата + рута на интерфејсот. За нашата задача, потребно е: да го исечеме обликувачот, да дистрибуираме адреси до клиентите, да додаваме рути до клиентите преку одредени интерфејси. Како да се направи сето ова? Shaper - lisg, dhcp - db2dhcp на два независни сервери, dhcprelay работи на серверите за пристап, ucarp исто така работи на серверите за пристап - за резервна копија. Но, како да додадете маршрути? Можете да додадете сè однапред со голема скрипта - но тоа не е точно. Така ќе направиме самонапишана патерица.

По темелно пребарување на Интернет, најдов прекрасна библиотека на високо ниво за C++, која ви овозможува убаво да го шмркате сообраќајот. Алгоритмот за програмата што додава маршрути е следен - слушаме барања за arp на интерфејсот, ако имаме адреса на интерфејсот lo на серверот што се бара, тогаш додаваме рута преку овој интерфејс и додаваме статичен arp снимај на оваа ип - општо, неколку copy-paste, малку придавка и готово

Извори на „рутерот“

#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>

#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>

using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;

using namespace Tins;

class arp_monitor {
public:
    void run(Sniffer &sniffer);
    void reroute();
    void makegws();
    string iface;
    map <string, string> gws;
private:
    bool callback(const PDU &pdu);
    map <string, string> route_map;
    map <string, string> mac_map;
    map <IPv4Address, HWAddress<6>> addresses;
};

void  arp_monitor::makegws() {
    struct ifaddrs *ifAddrStruct = NULL;
    struct ifaddrs *ifa = NULL;
    void *tmpAddrPtr = NULL;
    gws.clear();
    getifaddrs(&ifAddrStruct);
    for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
        if (!ifa->ifa_addr) {
            continue;
        }
        string ifName = ifa->ifa_name;
        if (ifName == "lo") {
            char addressBuffer[INET_ADDRSTRLEN];
            if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
                // is a valid IP4 Address
                tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
                inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
            } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
                // is a valid IP6 Address
                tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
                inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
            } else {
                continue;
            }
            gws[addressBuffer] = addressBuffer;
            cout << "GW " << addressBuffer << " is added" << endl;
        }
    }
    if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}

void arp_monitor::run(Sniffer &sniffer) {
    cout << "RUNNED" << endl;
    sniffer.sniff_loop(
            bind(
                    &arp_monitor::callback,
                    this,
                    std::placeholders::_1
            )
    );
}

void arp_monitor::reroute() {
    cout << "REROUTING" << endl;
    map<string, string>::iterator it;
    for ( it = route_map.begin(); it != route_map.end(); it++ ) {
        if (this->gws.count(it->second) && !this->gws.count(it->second)) {
            string cmd = "ip route replace ";
            cmd += it->first;
            cmd += " dev " + this->iface;
            cmd += " src " + it->second;
            cmd += " proto static";
            cout << cmd << std::endl;
            cout << "REROUTE " << it->first << " SRC " << it->second << endl;
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += it->first;
            cmd += " ";
            cmd += mac_map[it->first];
            cout << cmd << endl;
            system(cmd.c_str());

        }
    }
    for ( it = gws.begin(); it != gws.end(); it++ ) {
	string cmd = "arping -U -s ";
	cmd += it->first;
	cmd += " -I ";
	cmd += this->iface;
	cmd += " -b -c 1 ";
	cmd += it->first;
        system(cmd.c_str());
    }
    cout << "REROUTED" << endl;
}

bool arp_monitor::callback(const PDU &pdu) {
    // Retrieve the ARP layer
    const ARP &arp = pdu.rfind_pdu<ARP>();

    if (arp.opcode() == ARP::REQUEST) {
	
        string target = arp.target_ip_addr().to_string();
        string sender = arp.sender_ip_addr().to_string();
        this->route_map[sender] = target;
        this->mac_map[sender] = arp.sender_hw_addr().to_string();
        cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
        if (this->gws.count(target) && !this->gws.count(sender)) {
            string cmd = "ip route replace ";
            cmd += sender;
            cmd += " dev " + this->iface;
            cmd += " src " + target;
            cmd += " proto static";
//            cout << cmd << std::endl;
/*            cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
                 << " for address " << arp.target_ip_addr()
                 << " sender hw address " << arp.sender_hw_addr() << std::endl
                 << " run cmd: " << cmd << endl;*/
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += arp.sender_ip_addr().to_string();
            cmd += " ";
            cmd += arp.sender_hw_addr().to_string();
            cout << cmd << endl;
            system(cmd.c_str());
        }
    }
    return true;
}

arp_monitor monitor;
void reroute(int signum) {
    monitor.makegws();
    monitor.reroute();
}

int main(int argc, char *argv[]) {
    string test;
    cout << sizeof(string) << endl;

    if (argc != 2) {
        cout << "Usage: " << *argv << " <interface>" << endl;
        return 1;
    }
    signal(SIGHUP, reroute);
    monitor.iface = argv[1];
    // Sniffer configuration
    SnifferConfiguration config;
    config.set_promisc_mode(true);
    config.set_filter("arp");

    monitor.makegws();

    try {
        // Sniff on the provided interface in promiscuous mode
        Sniffer sniffer(argv[1], config);

        // Only capture arp packets
        monitor.run(sniffer);
    }
    catch (std::exception &ex) {
        std::cerr << "Error: " << ex.what() << std::endl;
    }
}

скрипта за инсталација на libtins

#!/bin/bash

git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig

Команда за изградба на бинарното

g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

Како да го лансирате?

start-stop-daemon --start --exec  /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

Да - ќе ги обнови табелите врз основа на сигналот HUP. Зошто не користеше нетлинк? Тоа е само мрзеливост и Linux е скрипта на скрипта - така што сè е во ред. Па, рутите се правци, што е следно? Следно, треба да ги испратиме маршрутите што се на овој сервер до границата - овде, поради истиот застарен хардвер, тргнавме по патот на најмал отпор - оваа задача ја доделивме на BGP.

bgp конфигурацијаиме на домаќин *******
лозинка *******
лог датотека /var/log/bgp.log
!
# AS бројот, адресите и мрежите се фиктивни
рутер bgp 12345
bgp рутер-ид 1.2.3.4
прераспредели поврзани
прераспределува статички
сосед 1.2.3.1 далечински - како 12345
сосед 1.2.3.1 следен-хоп-себе
сосед 1.2.3.1 маршрута-мапа нема во
сосед 1.2.3.1 извоз на мапа на маршрута
!
Дозвола за извоз на листа за пристап 1.2.3.0/24
!
маршрута-мапа дозвола за извоз 10
извоз на IP адреса
!
маршрута-мапа за извоз одбивање 20

Да продолжиме. За да може серверот да одговори на барањата arp, мора да го овозможите проксито arp.

echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

Одиме понатаму - укарп. Ние самите ги пишуваме скриптите за лансирање на ова чудо.

Пример за водење на еден демон

start-stop-daemon --start --exec  /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

горе.ш

#!/bin/bash

iface=$1
addr=$2
gw=$3

vlan=`echo $1 | sed "s/eth0.//"`


ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp

killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start


killall -HUP arp-rt

долу.ш

#!/bin/bash

iface=$1
addr=$2
gw=$3

ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp


killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start

За dhcprelay да работи на интерфејс, потребна му е адреса. Затоа, на интерфејсите што ги користиме ќе додадеме леви адреси - на пример 10.255.255.1/32, 10.255.255.2/32, итн. Нема да ви кажам како да го конфигурирате релето - сè е едноставно.

Па што имаме? Резервна копија на порти, автоматска конфигурација на рути, dhcp. Ова е минималниот сет - lisg исто така обвиткува сè околу себе и веќе имаме обликувач. Зошто сè е толку долго и збунувачки? Зарем не е полесно да се земе accel-pppd и целосно да се користи pppoe? Не, не е поедноставно - луѓето тешко можат да вклопат patchcord во рутер, а да не зборуваме за pppoe. accel-ppp е кул работа - но не ни успеа - има многу грешки во кодот - се рони, криво сече, а најтажно е што ако се осветли - тогаш луѓето треба повторно да вчитаат сè - телефоните се црвени - воопшто не работеше. Која е предноста да се користи укарп наместо да се задржи? Да, во сè - има 100 порти, задржани и една грешка во конфигурацијата - сè не функционира. 1 портал не работи со ucarp. За безбедноста велат дека левите сами ќе си регистрираат адреси и ќе ги користат на share - за да го контролираме овој момент поставивме dhcp-snooping + source-guard + arp inspection на сите прекинувачи/олти/бази. Ако клиентот нема dhpc туку статичен - пристапен список на портата.

Зошто сето ова беше направено? Да се ​​уништи несаканиот сообраќај. Сега секој прекинувач има свој vlan и непознатото-уникаст веќе не е страшно, бидејќи треба да оди само на една порта, а не на сите... Па, несаканите ефекти се стандардизирана конфигурација на опремата, поголема ефикасност во распределбата на адресниот простор.

Како да конфигурирате sg е посебна тема. Линкови до библиотеки се прикачени. Можеби горенаведеното ќе помогне некому да ги постигне своите цели. Верзијата 6 сè уште не се имплементира на нашата мрежа - но ќе има проблем - има планови за препишување на списокот за верзијата 6 и ќе треба да се коригира програмата што додава рути.

Linux ISG
DB2DHCP
Либтинс

Извор: www.habr.com