മെച്ചപ്പെടുത്തിയ ഉപകരണങ്ങൾ ഉപയോഗിച്ച് തെറ്റ്-സഹിഷ്ണുതയുള്ള ഐപിഇഇ നെറ്റ്‌വർക്ക്

ഹലോ. ഇതിനർത്ഥം 5k ക്ലയന്റുകളുടെ ഒരു നെറ്റ്‌വർക്ക് ഉണ്ടെന്നാണ്. അടുത്തിടെ വളരെ സന്തോഷകരമല്ലാത്ത ഒരു നിമിഷം വന്നു - നെറ്റ്‌വർക്കിന്റെ മധ്യഭാഗത്ത് ഞങ്ങൾക്ക് ഒരു ബ്രോക്കേഡ് RX8 ഉണ്ട്, മാത്രമല്ല ഇത് ധാരാളം അജ്ഞാത-യൂണികാസ്റ്റ് പാക്കറ്റുകൾ അയയ്ക്കാൻ തുടങ്ങി, കാരണം നെറ്റ്‌വർക്ക് vlans ആയി തിരിച്ചിരിക്കുന്നു - ഇത് ഭാഗികമായി ഒരു പ്രശ്നമല്ല, പക്ഷേ ഉണ്ട് വെളുത്ത വിലാസങ്ങൾ മുതലായവയ്ക്കുള്ള പ്രത്യേക vlans. അവ ശൃംഖലയുടെ എല്ലാ ദിശകളിലേക്കും നീണ്ടുകിടക്കുന്നു. അതിനാൽ ഇപ്പോൾ ഒരു അതിർത്തി വിദ്യാർത്ഥിയായി പഠിക്കാത്ത ഒരു ക്ലയന്റ് വിലാസത്തിലേക്ക് ഒരു ഇൻകമിംഗ് ഫ്ലോ സങ്കൽപ്പിക്കുക, ഈ പ്രവാഹം ചില (അല്ലെങ്കിൽ എല്ലാ) ഗ്രാമങ്ങളിലേക്കും ഒരു റേഡിയോ ലിങ്കിലേക്ക് പറക്കുന്നു - ചാനൽ അടഞ്ഞുപോയി - ക്ലയന്റുകൾക്ക് ദേഷ്യം - സങ്കടം...

ഒരു ബഗ് ഒരു ഫീച്ചറാക്കി മാറ്റുകയാണ് ലക്ഷ്യം. ഒരു സമ്പൂർണ്ണ ക്ലയന്റ് vlan ഉപയോഗിച്ച് ഞാൻ q-in-q-ന്റെ ദിശയിലാണ് ചിന്തിച്ചത്, എന്നാൽ P3310 പോലെയുള്ള എല്ലാത്തരം ഹാർഡ്‌വെയറുകളും, dot1q പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, DHCP കടന്നുപോകുന്നത് നിർത്തുന്നു, അവർക്ക് qinq എങ്ങനെ തിരഞ്ഞെടുക്കാമെന്ന് അറിയില്ല, കൂടാതെ നിരവധി അപകടങ്ങളും ആ തരത്തിലുള്ള. എന്താണ് ip-unnambered, അത് എങ്ങനെയാണ് പ്രവർത്തിക്കുന്നത്? വളരെ ചുരുക്കത്തിൽ: ഗേറ്റ്‌വേ വിലാസം + ഇന്റർഫേസിലെ റൂട്ട്. ഞങ്ങളുടെ ചുമതലയ്‌ക്കായി, ഞങ്ങൾക്ക് ഇത് ആവശ്യമാണ്: ഷേപ്പർ മുറിക്കുക, ക്ലയന്റുകൾക്ക് വിലാസങ്ങൾ വിതരണം ചെയ്യുക, ചില ഇന്റർഫേസുകളിലൂടെ ക്ലയന്റുകളിലേക്ക് റൂട്ടുകൾ ചേർക്കുക. ഇതെല്ലാം എങ്ങനെ ചെയ്യാം? Shaper - lisg, dhcp - db2dhcp രണ്ട് സ്വതന്ത്ര സെർവറുകളിൽ, dhcprelay ആക്സസ് സെർവറുകളിൽ പ്രവർത്തിക്കുന്നു, ucarp ആക്സസ് സെർവറുകളിലും പ്രവർത്തിക്കുന്നു - ബാക്കപ്പിനായി. എന്നാൽ എങ്ങനെ റൂട്ടുകൾ ചേർക്കാം? ഒരു വലിയ സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് എല്ലാം മുൻകൂട്ടി ചേർക്കാൻ കഴിയും - എന്നാൽ ഇത് ശരിയല്ല. അതിനാൽ ഞങ്ങൾ സ്വയം എഴുതിയ ഊന്നുവടി ഉണ്ടാക്കും.

ഇൻറർനെറ്റിലെ സമഗ്രമായ തിരച്ചിലിന് ശേഷം, C++ നായുള്ള അതിശയകരമായ ഒരു ഹൈ-ലെവൽ ലൈബ്രറി ഞാൻ കണ്ടെത്തി, അത് ട്രാഫിക്ക് മനോഹരമായി മണക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. റൂട്ടുകൾ ചേർക്കുന്ന പ്രോഗ്രാമിന്റെ അൽഗോരിതം ഇപ്രകാരമാണ് - ഞങ്ങൾ ഇന്റർഫേസിലെ arp അഭ്യർത്ഥനകൾ ശ്രദ്ധിക്കുന്നു, അഭ്യർത്ഥിച്ച സെർവറിലെ ലോ ഇന്റർഫേസിൽ ഞങ്ങൾക്ക് ഒരു വിലാസമുണ്ടെങ്കിൽ, ഞങ്ങൾ ഈ ഇന്റർഫേസിലൂടെ ഒരു റൂട്ട് ചേർക്കുകയും ഒരു സ്റ്റാറ്റിക് ആർപ്പ് ചേർക്കുകയും ചെയ്യുന്നു ഈ ഐപിയിൽ രേഖപ്പെടുത്തുക - പൊതുവേ, കുറച്ച് കോപ്പി-പേസ്റ്റുകൾ, ഒരു ചെറിയ നാമവിശേഷണം, നിങ്ങൾ പൂർത്തിയാക്കി

'റൂട്ടറിന്റെ' ഉറവിടങ്ങൾ

#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>

#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>

using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;

using namespace Tins;

class arp_monitor {
public:
    void run(Sniffer &sniffer);
    void reroute();
    void makegws();
    string iface;
    map <string, string> gws;
private:
    bool callback(const PDU &pdu);
    map <string, string> route_map;
    map <string, string> mac_map;
    map <IPv4Address, HWAddress<6>> addresses;
};

void  arp_monitor::makegws() {
    struct ifaddrs *ifAddrStruct = NULL;
    struct ifaddrs *ifa = NULL;
    void *tmpAddrPtr = NULL;
    gws.clear();
    getifaddrs(&ifAddrStruct);
    for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
        if (!ifa->ifa_addr) {
            continue;
        }
        string ifName = ifa->ifa_name;
        if (ifName == "lo") {
            char addressBuffer[INET_ADDRSTRLEN];
            if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
                // is a valid IP4 Address
                tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
                inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
            } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
                // is a valid IP6 Address
                tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
                inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
            } else {
                continue;
            }
            gws[addressBuffer] = addressBuffer;
            cout << "GW " << addressBuffer << " is added" << endl;
        }
    }
    if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}

void arp_monitor::run(Sniffer &sniffer) {
    cout << "RUNNED" << endl;
    sniffer.sniff_loop(
            bind(
                    &arp_monitor::callback,
                    this,
                    std::placeholders::_1
            )
    );
}

void arp_monitor::reroute() {
    cout << "REROUTING" << endl;
    map<string, string>::iterator it;
    for ( it = route_map.begin(); it != route_map.end(); it++ ) {
        if (this->gws.count(it->second) && !this->gws.count(it->second)) {
            string cmd = "ip route replace ";
            cmd += it->first;
            cmd += " dev " + this->iface;
            cmd += " src " + it->second;
            cmd += " proto static";
            cout << cmd << std::endl;
            cout << "REROUTE " << it->first << " SRC " << it->second << endl;
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += it->first;
            cmd += " ";
            cmd += mac_map[it->first];
            cout << cmd << endl;
            system(cmd.c_str());

        }
    }
    for ( it = gws.begin(); it != gws.end(); it++ ) {
	string cmd = "arping -U -s ";
	cmd += it->first;
	cmd += " -I ";
	cmd += this->iface;
	cmd += " -b -c 1 ";
	cmd += it->first;
        system(cmd.c_str());
    }
    cout << "REROUTED" << endl;
}

bool arp_monitor::callback(const PDU &pdu) {
    // Retrieve the ARP layer
    const ARP &arp = pdu.rfind_pdu<ARP>();

    if (arp.opcode() == ARP::REQUEST) {
	
        string target = arp.target_ip_addr().to_string();
        string sender = arp.sender_ip_addr().to_string();
        this->route_map[sender] = target;
        this->mac_map[sender] = arp.sender_hw_addr().to_string();
        cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
        if (this->gws.count(target) && !this->gws.count(sender)) {
            string cmd = "ip route replace ";
            cmd += sender;
            cmd += " dev " + this->iface;
            cmd += " src " + target;
            cmd += " proto static";
//            cout << cmd << std::endl;
/*            cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
                 << " for address " << arp.target_ip_addr()
                 << " sender hw address " << arp.sender_hw_addr() << std::endl
                 << " run cmd: " << cmd << endl;*/
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += arp.sender_ip_addr().to_string();
            cmd += " ";
            cmd += arp.sender_hw_addr().to_string();
            cout << cmd << endl;
            system(cmd.c_str());
        }
    }
    return true;
}

arp_monitor monitor;
void reroute(int signum) {
    monitor.makegws();
    monitor.reroute();
}

int main(int argc, char *argv[]) {
    string test;
    cout << sizeof(string) << endl;

    if (argc != 2) {
        cout << "Usage: " << *argv << " <interface>" << endl;
        return 1;
    }
    signal(SIGHUP, reroute);
    monitor.iface = argv[1];
    // Sniffer configuration
    SnifferConfiguration config;
    config.set_promisc_mode(true);
    config.set_filter("arp");

    monitor.makegws();

    try {
        // Sniff on the provided interface in promiscuous mode
        Sniffer sniffer(argv[1], config);

        // Only capture arp packets
        monitor.run(sniffer);
    }
    catch (std::exception &ex) {
        std::cerr << "Error: " << ex.what() << std::endl;
    }
}

libtins ഇൻസ്റ്റലേഷൻ സ്ക്രിപ്റ്റ്

#!/bin/bash

git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig

ബൈനറി നിർമ്മിക്കാനുള്ള കമാൻഡ്

g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

അത് എങ്ങനെ വിക്ഷേപിക്കും?

start-stop-daemon --start --exec  /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

അതെ - ഇത് HUP സിഗ്നലിനെ അടിസ്ഥാനമാക്കി പട്ടികകൾ പുനർനിർമ്മിക്കും. എന്തുകൊണ്ടാണ് നിങ്ങൾ നെറ്റ്ലിങ്ക് ഉപയോഗിക്കാത്തത്? ഇത് വെറും അലസതയാണ്, ലിനക്സ് ഒരു സ്ക്രിപ്റ്റിലെ ഒരു സ്ക്രിപ്റ്റാണ് - അതിനാൽ എല്ലാം ശരിയാണ്. ശരി, റൂട്ടുകൾ റൂട്ടുകളാണ്, അടുത്തത് എന്താണ്? അടുത്തതായി, ഈ സെർവറിലെ റൂട്ടുകൾ ബോർഡറിലേക്ക് അയയ്‌ക്കേണ്ടതുണ്ട് - ഇവിടെ, അതേ കാലഹരണപ്പെട്ട ഹാർഡ്‌വെയർ കാരണം, ഞങ്ങൾ ഏറ്റവും കുറഞ്ഞ പ്രതിരോധത്തിന്റെ പാത സ്വീകരിച്ചു - ഞങ്ങൾ ഈ ടാസ്‌ക് ബിജിപിയെ ഏൽപ്പിച്ചു.

bgp കോൺഫിഗറേഷൻഹോസ്റ്റ് നാമം *******
password *******
ലോഗ് ഫയൽ /var/log/bgp.log
!
# AS നമ്പറും വിലാസങ്ങളും നെറ്റ്‌വർക്കുകളും സാങ്കൽപ്പികമാണ്
റൂട്ടർ bgp 12345
bgp റൂട്ടർ-ഐഡി 1.2.3.4
ബന്ധിപ്പിച്ച പുനർവിതരണം
സ്റ്റാറ്റിക് പുനർവിതരണം ചെയ്യുക
അയൽക്കാരൻ 1.2.3.1 റിമോട്ട്-ആസ് 12345
അയൽക്കാരൻ 1.2.3.1 നെക്സ്റ്റ്-ഹോപ്പ്-സെൽഫ്
അയൽക്കാരൻ 1.2.3.1 റൂട്ട്-മാപ്പ് ഒന്നുമില്ല
അയൽക്കാരൻ 1.2.3.1 റൂട്ട്-മാപ്പ് കയറ്റുമതി ഔട്ട്
!
ആക്സസ്-ലിസ്റ്റ് കയറ്റുമതി പെർമിറ്റ് 1.2.3.0/24
!
റൂട്ട്-മാപ്പ് കയറ്റുമതി പെർമിറ്റ് 10
ഐപി വിലാസ കയറ്റുമതിയുമായി പൊരുത്തപ്പെടുക
!
റൂട്ട്-മാപ്പ് കയറ്റുമതി നിഷേധിക്കുന്നു 20

നമുക്ക് തുടരാം. arp അഭ്യർത്ഥനകളോട് സെർവർ പ്രതികരിക്കുന്നതിന്, നിങ്ങൾ arp പ്രോക്സി പ്രവർത്തനക്ഷമമാക്കണം.

echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

നമുക്ക് മുന്നോട്ട് പോകാം - ucarp. ഈ അത്ഭുതത്തിന്റെ ലോഞ്ച് സ്ക്രിപ്റ്റുകൾ ഞങ്ങൾ സ്വയം എഴുതുന്നു.

ഒരു ഡെമൺ പ്രവർത്തിപ്പിക്കുന്നതിന്റെ ഉദാഹരണം

start-stop-daemon --start --exec  /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

up.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

vlan=`echo $1 | sed "s/eth0.//"`


ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp

killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start


killall -HUP arp-rt

down.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp


killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start

dhcprelay ഒരു ഇന്റർഫേസിൽ പ്രവർത്തിക്കുന്നതിന്, അതിന് ഒരു വിലാസം ആവശ്യമാണ്. അതിനാൽ, ഞങ്ങൾ ഉപയോഗിക്കുന്ന ഇന്റർഫേസുകളിൽ ഞങ്ങൾ ഇടത് വിലാസങ്ങൾ ചേർക്കും - ഉദാഹരണത്തിന് 10.255.255.1/32, 10.255.255.2/32, മുതലായവ. റിലേ എങ്ങനെ ക്രമീകരിക്കാമെന്ന് ഞാൻ നിങ്ങളോട് പറയില്ല - എല്ലാം ലളിതമാണ്.

അപ്പോൾ നമുക്ക് എന്താണ് ഉള്ളത്? ഗേറ്റ്‌വേകളുടെ ബാക്കപ്പ്, റൂട്ടുകളുടെ യാന്ത്രിക കോൺഫിഗറേഷൻ, dhcp. ഇതാണ് ഏറ്റവും കുറഞ്ഞ സെറ്റ് - ലിസ്‌ഗ് എല്ലാം ചുറ്റിപ്പറ്റിയാണ്, ഞങ്ങൾക്ക് ഇതിനകം ഒരു ഷേപ്പർ ഉണ്ട്. എന്തുകൊണ്ടാണ് എല്ലാം വളരെ ദൈർഘ്യമേറിയതും ആശയക്കുഴപ്പത്തിലാക്കുന്നതും? accel-pppd എടുത്ത് pppoe മൊത്തത്തിൽ ഉപയോഗിക്കുന്നത് എളുപ്പമല്ലേ? ഇല്ല, ഇത് ലളിതമല്ല - ആളുകൾക്ക് ഒരു പാച്ച്കോർഡ് ഒരു റൂട്ടറിൽ ഘടിപ്പിക്കാൻ കഴിയില്ല, pppoeയെ പരാമർശിക്കേണ്ടതില്ല. accel-ppp ഒരു രസകരമായ കാര്യമാണ് - പക്ഷേ ഇത് ഞങ്ങൾക്ക് വേണ്ടി പ്രവർത്തിച്ചില്ല - കോഡിൽ ധാരാളം പിശകുകൾ ഉണ്ട് - അത് തകരുന്നു, അത് വളഞ്ഞതായി മുറിക്കുന്നു, ഏറ്റവും സങ്കടകരമായ കാര്യം അത് തിളങ്ങുകയാണെങ്കിൽ - ആളുകൾ വീണ്ടും ലോഡുചെയ്യേണ്ടതുണ്ട് എല്ലാം - ഫോണുകൾ ചുവന്നതാണ് - അത് ഒട്ടും പ്രവർത്തിച്ചില്ല. നിലനിർത്തുന്നതിനുപകരം യൂകാർപ്പ് ഉപയോഗിക്കുന്നതിന്റെ പ്രയോജനം എന്താണ്? അതെ, എല്ലാത്തിലും - 100 ഗേറ്റ്‌വേകൾ ഉണ്ട്, കീപലൈവ്, കോൺഫിഗറേഷനിൽ ഒരു പിശക് - എല്ലാം പ്രവർത്തിക്കുന്നില്ല. 1 ഗേറ്റ്‌വേ യുകാർപ്പിനൊപ്പം പ്രവർത്തിക്കുന്നില്ല. സുരക്ഷയെ സംബന്ധിച്ച്, ഇടത് പക്ഷം തങ്ങൾക്കായി വിലാസങ്ങൾ രജിസ്റ്റർ ചെയ്യുകയും അവ പങ്കിടലിൽ ഉപയോഗിക്കുകയും ചെയ്യുമെന്ന് അവർ പറയുന്നു - ഈ നിമിഷം നിയന്ത്രിക്കാൻ, ഞങ്ങൾ എല്ലാ സ്വിച്ചുകളിലും/ഓൾട്ട്‌സ്/ബേസുകളിലും dhcp-snooping + source-guard + arp പരിശോധന സജ്ജീകരിക്കുന്നു. ക്ലയന്റിന് dhpc ഇല്ലെങ്കിൽ സ്റ്റാറ്റിക് - പോർട്ടിലെ ആക്സസ്-ലിസ്റ്റ്.

എന്തുകൊണ്ടാണ് ഇതെല്ലാം ചെയ്തത്? അനാവശ്യ ട്രാഫിക് നശിപ്പിക്കാൻ. ഇപ്പോൾ ഓരോ സ്വിച്ചിനും അതിന്റേതായ vlan ഉണ്ട്, അജ്ഞാത-യൂണികാസ്റ്റ് ഇനി ഭയാനകമല്ല, കാരണം ഇതിന് ഒരു പോർട്ടിലേക്ക് മാത്രമേ പോകേണ്ടതുള്ളൂ, എല്ലാവരിലേക്കും പോകേണ്ടതില്ല... ശരി, പാർശ്വഫലങ്ങൾ ഒരു സ്റ്റാൻഡേർഡ് ഉപകരണ കോൺഫിഗറാണ്, വിലാസ ഇടം അനുവദിക്കുന്നതിലെ കൂടുതൽ കാര്യക്ഷമതയാണ്.

ലിസ്ഗ് എങ്ങനെ ക്രമീകരിക്കാം എന്നത് ഒരു പ്രത്യേക വിഷയമാണ്. ലൈബ്രറികളിലേക്കുള്ള ലിങ്കുകൾ അറ്റാച്ച് ചെയ്തിട്ടുണ്ട്. ഒരുപക്ഷേ മേൽപ്പറഞ്ഞവ ആരെയെങ്കിലും അവരുടെ ലക്ഷ്യങ്ങൾ കൈവരിക്കാൻ സഹായിക്കും. ഞങ്ങളുടെ നെറ്റ്‌വർക്കിൽ പതിപ്പ് 6 ഇതുവരെ നടപ്പിലാക്കിയിട്ടില്ല - പക്ഷേ ഒരു പ്രശ്‌നമുണ്ടാകും - പതിപ്പ് 6-നായി ലിസ്‌ഗ് മാറ്റിയെഴുതാൻ പദ്ധതിയുണ്ട്, കൂടാതെ റൂട്ടുകൾ ചേർക്കുന്ന പ്രോഗ്രാം ശരിയാക്കേണ്ടത് ആവശ്യമാണ്.

Linux ISG
DB2DHCP
ലിബ്റ്റിൻസ്

അവലംബം: www.habr.com