တီထွင်ဖန်တီးထားသော ကိရိယာများကို အသုံးပြု၍ အမှား-ခံနိုင်ရည်ရှိသော IPeE ကွန်ရက်

မင်္ဂလာပါ။ ဆိုလိုသည်မှာ 5k client များကွန်ရက်တစ်ခုရှိသည်။ မကြာသေးမီက အလွန်သာယာသောအခိုက်အတန့်တစ်ခု ထွက်ပေါ်လာသည် - ကွန်ရက်၏အလယ်ဗဟိုတွင် ကျွန်ုပ်တို့တွင် Brocade RX8 ရှိပြီး ၎င်းသည် ကွန်ရက်ကို vlans များအဖြစ် ပိုင်းခြားထားသောကြောင့် ၎င်းသည် အမည်မသိ-unicast packet အများအပြားကို စတင်ပေးပို့လာသည် - ၎င်းသည် တစ်စိတ်တစ်ပိုင်းပြဿနာမဟုတ်သော်လည်း၊ အဖြူရောင်လိပ်စာများ စသည်တို့အတွက် အထူး vlan များ ၎င်းတို့သည် ကွန်ရက်၏ လမ်းကြောင်းအားလုံးကို ဆန့်ထုတ်ထားသည်။ ဒါကြောင့် အခု နယ်ခြားကျောင်းသားအဖြစ် စာမသင်တဲ့ ဖောက်သည်တစ်ယောက်ရဲ့ လိပ်စာဆီ ဝင်လာတာကို မြင်ယောင်ကြည့်တော့ ဒီစီးဆင်းမှုက တချို့ (သို့မဟုတ်) ရွာတစ်ရွာဆီ ရေဒီယို လင့်ခ်တစ်ခုဆီ ဦးတည်သွားပါတယ် - လိုင်းပိတ်နေတယ် - ဖောက်သည်တွေ ဒေါသတွေ ဝမ်းနည်းမှု...

ရည်ရွယ်ချက်မှာ bug တစ်ခုကို အင်္ဂါရပ်တစ်ခုအဖြစ် ပြောင်းလဲရန်ဖြစ်သည်။ ပြည့်စုံသော client vlan ဖြင့် q-in-q ၏ဦးတည်ချက်ကိုတွေးနေသော်လည်း dot3310q ကိုဖွင့်ထားသောအခါ P1 ကဲ့သို့သော hardware အမျိုးအစားအားလုံးသည် DHCP ကိုဖြတ်သန်းခွင့်မပြုတော့ဘဲ qinq နှင့်များစွာကိုရွေးချယ်ရမည်ကိုမသိကြပါ။ ထိုကဲ့သို့သော ချို့ယွင်းချက်များ၊ ip-အမည်မတပ်ထားခြင်းဟူသည် အဘယ်နည်း၊ ၎င်းသည် မည်သို့အလုပ်လုပ်သနည်း။ အတိုချုပ်- အင်တာဖေ့စ်ပေါ်ရှိ ဂိတ်ဝေးလိပ်စာ + လမ်းကြောင်း။ ကျွန်ုပ်တို့၏လုပ်ငန်းတာဝန်အတွက်၊ ကျွန်ုပ်တို့သည် ပုံသဏ္ဍာန်ဖြတ်တောက်ရန်၊ ဖောက်သည်များထံ လိပ်စာများဖြန့်ဝေရန်၊ အချို့သောအင်တာဖေ့စ်များမှတစ်ဆင့် သုံးစွဲသူများထံ လမ်းကြောင်းများထည့်ရန် လိုအပ်သည်။ ဒါတွေအားလုံး ဘယ်လိုလုပ်ရမလဲ။ သီးခြားဆာဗာနှစ်ခုရှိ Shaper - lisg၊ dhcp - db2dhcp၊ dhcprelay သည် ဝင်ခွင့်ဆာဗာများပေါ်တွင် အလုပ်လုပ်သည်၊ ucarp သည် အရန်သိမ်းရန်အတွက် access ဆာဗာများပေါ်တွင်လည်း လုပ်ဆောင်ပါသည်။ ဒါပေမယ့် လမ်းကြောင်းတွေ ဘယ်လိုထည့်မလဲ။ ကြီးမားသော script ဖြင့် အရာအားလုံးကို သင်ကြိုတင်ထည့်နိုင်သည် - သို့သော် ၎င်းသည် မမှန်ပါ။ ဒါကြောင့် ကိုယ်တိုင်ရေးထားတဲ့ ချိုင်းထောက်ကို လုပ်မယ်။

အင်တာနက်ပေါ်တွင် စေ့စေ့စပ်စပ်ရှာဖွေပြီးနောက်၊ လှပစွာအသွားအလာများကို ရှုရှိုက်နိုင်စေသည့် C++ အတွက် အံ့သြဖွယ်အဆင့်မြင့်စာကြည့်တိုက်တစ်ခုကို တွေ့ရှိခဲ့သည်။ လမ်းကြောင်းများကို ပေါင်းထည့်သည့် ပရိုဂရမ်အတွက် အယ်လဂိုရီသမ်မှာ အောက်ပါအတိုင်းဖြစ်သည် - ကျွန်ုပ်တို့သည် အင်တာဖေ့စ်ရှိ arp တောင်းဆိုမှုများကို နားထောင်သည်၊ တောင်းဆိုထားသော ဆာဗာပေါ်ရှိ lo interface တွင် လိပ်စာတစ်ခုရှိပါက၊ ထို့နောက် ကျွန်ုပ်တို့သည် ဤအင်တာဖေ့စ်မှတဆင့် လမ်းကြောင်းတစ်ခုကို ပေါင်းထည့်ကာ static arp ကိုထည့်သည် ဤ ip ကိုမှတ်တမ်းတင်ပါ - ယေဘုယျအားဖြင့်၊ ကော်ပီအနည်းငယ်၊ နာမဝိသေသနအနည်းငယ်နှင့်သင်ပြီးပြီ။

Router ၏အရင်းအမြစ်များ

#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>

#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>

using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;

using namespace Tins;

class arp_monitor {
public:
    void run(Sniffer &sniffer);
    void reroute();
    void makegws();
    string iface;
    map <string, string> gws;
private:
    bool callback(const PDU &pdu);
    map <string, string> route_map;
    map <string, string> mac_map;
    map <IPv4Address, HWAddress<6>> addresses;
};

void  arp_monitor::makegws() {
    struct ifaddrs *ifAddrStruct = NULL;
    struct ifaddrs *ifa = NULL;
    void *tmpAddrPtr = NULL;
    gws.clear();
    getifaddrs(&ifAddrStruct);
    for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
        if (!ifa->ifa_addr) {
            continue;
        }
        string ifName = ifa->ifa_name;
        if (ifName == "lo") {
            char addressBuffer[INET_ADDRSTRLEN];
            if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
                // is a valid IP4 Address
                tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
                inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
            } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
                // is a valid IP6 Address
                tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
                inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
            } else {
                continue;
            }
            gws[addressBuffer] = addressBuffer;
            cout << "GW " << addressBuffer << " is added" << endl;
        }
    }
    if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}

void arp_monitor::run(Sniffer &sniffer) {
    cout << "RUNNED" << endl;
    sniffer.sniff_loop(
            bind(
                    &arp_monitor::callback,
                    this,
                    std::placeholders::_1
            )
    );
}

void arp_monitor::reroute() {
    cout << "REROUTING" << endl;
    map<string, string>::iterator it;
    for ( it = route_map.begin(); it != route_map.end(); it++ ) {
        if (this->gws.count(it->second) && !this->gws.count(it->second)) {
            string cmd = "ip route replace ";
            cmd += it->first;
            cmd += " dev " + this->iface;
            cmd += " src " + it->second;
            cmd += " proto static";
            cout << cmd << std::endl;
            cout << "REROUTE " << it->first << " SRC " << it->second << endl;
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += it->first;
            cmd += " ";
            cmd += mac_map[it->first];
            cout << cmd << endl;
            system(cmd.c_str());

        }
    }
    for ( it = gws.begin(); it != gws.end(); it++ ) {
	string cmd = "arping -U -s ";
	cmd += it->first;
	cmd += " -I ";
	cmd += this->iface;
	cmd += " -b -c 1 ";
	cmd += it->first;
        system(cmd.c_str());
    }
    cout << "REROUTED" << endl;
}

bool arp_monitor::callback(const PDU &pdu) {
    // Retrieve the ARP layer
    const ARP &arp = pdu.rfind_pdu<ARP>();

    if (arp.opcode() == ARP::REQUEST) {
	
        string target = arp.target_ip_addr().to_string();
        string sender = arp.sender_ip_addr().to_string();
        this->route_map[sender] = target;
        this->mac_map[sender] = arp.sender_hw_addr().to_string();
        cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
        if (this->gws.count(target) && !this->gws.count(sender)) {
            string cmd = "ip route replace ";
            cmd += sender;
            cmd += " dev " + this->iface;
            cmd += " src " + target;
            cmd += " proto static";
//            cout << cmd << std::endl;
/*            cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
                 << " for address " << arp.target_ip_addr()
                 << " sender hw address " << arp.sender_hw_addr() << std::endl
                 << " run cmd: " << cmd << endl;*/
            system(cmd.c_str());
            cmd = "arp -s ";
            cmd += arp.sender_ip_addr().to_string();
            cmd += " ";
            cmd += arp.sender_hw_addr().to_string();
            cout << cmd << endl;
            system(cmd.c_str());
        }
    }
    return true;
}

arp_monitor monitor;
void reroute(int signum) {
    monitor.makegws();
    monitor.reroute();
}

int main(int argc, char *argv[]) {
    string test;
    cout << sizeof(string) << endl;

    if (argc != 2) {
        cout << "Usage: " << *argv << " <interface>" << endl;
        return 1;
    }
    signal(SIGHUP, reroute);
    monitor.iface = argv[1];
    // Sniffer configuration
    SnifferConfiguration config;
    config.set_promisc_mode(true);
    config.set_filter("arp");

    monitor.makegws();

    try {
        // Sniff on the provided interface in promiscuous mode
        Sniffer sniffer(argv[1], config);

        // Only capture arp packets
        monitor.run(sniffer);
    }
    catch (std::exception &ex) {
        std::cerr << "Error: " << ex.what() << std::endl;
    }
}

libtins တပ်ဆင်မှုဇာတ်ညွှန်း

#!/bin/bash

git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig

binary တည်ဆောက်ရန် အမိန့်ပေးသည်။

g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

အဲဒါကို ဘယ်လိုဖွင့်ရမလဲ။

start-stop-daemon --start --exec  /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

ဟုတ်သည် - HUP အချက်ပြမှုအပေါ် အခြေခံ၍ ဇယားများကို ပြန်လည်တည်ဆောက်ပါမည်။ အဘယ်ကြောင့် netlink ကိုမသုံးခဲ့သနည်း။ ၎င်းသည် ပျင်းရိခြင်းမျှသာဖြစ်ပြီး Linux သည် script တစ်ခုပေါ်ရှိ script တစ်ခုဖြစ်သည် - ထို့ကြောင့် အရာအားလုံးအဆင်ပြေပါသည်။ ကောင်းပြီ၊ လမ်းကြောင်းများသည် လမ်းကြောင်းများ၊ နောက်တစ်ခုက ဘာလဲ။ နောက်တစ်ခု၊ ကျွန်ုပ်တို့သည် ဤဆာဗာပေါ်ရှိ လမ်းကြောင်းများကို နယ်စပ်သို့ ပို့ရန် လိုအပ်သည် - ဤနေရာတွင် ခေတ်မမီတော့သော ဟာ့ဒ်ဝဲတစ်ခုတည်းကြောင့်၊ ကျွန်ုပ်တို့သည် ခံနိုင်ရည်အနည်းဆုံးလမ်းကြောင်းကို ယူခဲ့သည် - ဤတာဝန်ကို BGP သို့ တာဝန်ပေးအပ်ပါသည်။

bgp configလက်ခံသူအမည် *******
စကားဝှက် *******
မှတ်တမ်းဖိုင် /var/log/bgp.log
!
# AS နံပါတ်၊ လိပ်စာများနှင့် ကွန်ရက်များသည် စိတ်ကူးယဉ်ဆန်သည်။
router bgp 12345
bgp router-id 1.2.3.4
ချိတ်ဆက်ပြီး ပြန်လည်ဖြန့်ဝေပါ။
static ကိုပြန်လည်ဖြန့်ဝေ
အိမ်နီးချင်း 1.2.3.1 အဝေးထိန်း-အဖြစ် 12345
အိမ်နီးချင်း 1.2.3.1 next-hop-self
အိမ်နီးချင်း 1.2.3.1 လမ်းကြောင်း-မြေပုံ အဘယ်သူမျှမ
အိမ်နီးချင်း 1.2.3.1 လမ်းကြောင်း-မြေပုံ တင်ပို့မှု ထွက်လာသည်။
!
ဝင်ရောက်ခွင့်စာရင်း တင်ပို့ခွင့် 1.2.3.0/24
!
လမ်းကြောင်းမြေပုံ တင်ပို့ခွင့် ၁၀
ip လိပ်စာကို တင်ပို့ခြင်းနှင့် ကိုက်ညီသည်။
!
route-map export deny 20

ဆက်ကြရအောင်။ ဆာဗာသည် arp တောင်းဆိုမှုများကို တုံ့ပြန်ရန်အတွက်၊ သင်သည် arp proxy ကိုဖွင့်ရပါမည်။

echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

ဆက်ကြရအောင် - ucarp ဤအံ့ဖွယ်အမှုအတွက် ကျွန်ုပ်တို့ကိုယ်တိုင် လွှင့်တင်ထားသော ဇာတ်ညွှန်းများကို ရေးသားပါသည်။

daemon တစ်ခုလည်ပတ်ခြင်း၏ဥပမာ

start-stop-daemon --start --exec  /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

up.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

vlan=`echo $1 | sed "s/eth0.//"`


ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp

killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start


killall -HUP arp-rt

down.sh

#!/bin/bash

iface=$1
addr=$2
gw=$3

ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp


killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start

dhcprelay သည် အင်တာဖေ့စ်တစ်ခုပေါ်တွင် အလုပ်လုပ်ရန်အတွက်၊ ၎င်းသည် လိပ်စာတစ်ခု လိုအပ်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့အသုံးပြုသော အင်တာဖေ့စ်များတွင် ကျွန်ုပ်တို့သည် ဘယ်ဘက်လိပ်စာများကို ပေါင်းထည့်ပါမည် - ဥပမာ 10.255.255.1/32၊ 10.255.255.2/32 စသည်ဖြင့်။ relay ကို ဘယ်လို configure လုပ်ရမလဲဆိုတာ မပြောတော့ပါဘူး - အရာအားလုံးက ရိုးရှင်းပါတယ်။

ဒါဆို ငါတို့မှာ ဘာရှိလဲ။ ဂိတ်ဝများ၏ အရန်သိမ်းခြင်း၊ လမ်းကြောင်းများ အလိုအလျောက်ဖွဲ့စည်းပုံ၊ dhcp။ ဤသည်မှာ အနိမ့်ဆုံးသတ်မှတ်မှုဖြစ်သည် - lisg သည် ၎င်းနှင့်ပတ် ၀ န်းကျင်ရှိအရာအားလုံးကို ခြုံငုံပြီး ကျွန်ုပ်တို့တွင် ပုံသဏ္ဍာန်တစ်ခုရှိပြီးသားဖြစ်သည်။ အရာအားလုံးက ဘာကြောင့် ဒီလောက်ရှည်ပြီး ရှုပ်ထွေးရတာလဲ။ accel-pppd ကိုယူပြီး pppoe ကို လုံးလုံးသုံးရတာ မလွယ်ဘူးလား။ မဟုတ်ပါ၊ ၎င်းသည်ပိုမိုလွယ်ကူသည်မဟုတ်ပါ - လူများသည် pppoe ကိုဖော်ပြရန်မလိုဘဲ router တွင် patchcord ကိုတပ်ဆင်ရန်ခက်ခဲသည်။ accel-ppp သည် မိုက်သော အရာဖြစ်သည် - သို့သော် ၎င်းသည် ကျွန်ုပ်တို့အတွက် အဆင်မပြေပါ - ကုဒ်တွင် အမှားအယွင်းများစွာ ရှိသည် - ပြိုပျက်သွားသည်၊ ကောက်ကောက်ပါအောင် ဖြတ်သွားသည် ၊ ဝမ်းနည်းစရာအကောင်းဆုံးမှာ ၎င်းသည် တောက်ပလာပါက လူများ ပြန်လည်စတင်ရန် လိုအပ်သည် ။ ဖုန်းတွေ အားလုံး အနီရောင်တွေ ဖြစ်နေတယ် ၊ လုံးဝ အလုပ်မလုပ်ဘူး ။ သိမ်းဆည်းထားခြင်းထက် ucarp ကိုအသုံးပြုခြင်း၏အားသာချက်ကဘာလဲ။ ဟုတ်ကဲ့၊ အရာအားလုံးမှာ - တံခါးပေါက် 100 ရှိပါတယ်၊ ထိန်းသိမ်းထားပြီး config မှာ error တစ်ခုရှိပါတယ် - အရာအားလုံးက အလုပ်မလုပ်ပါဘူး။ 1 gateway သည် ucarp နှင့် အလုပ်မလုပ်ပါ။ လုံခြုံရေးနှင့်ပတ်သက်၍၊ ကျန်သူများသည် ၎င်းတို့အတွက် လိပ်စာများကို စာရင်းသွင်းပြီး မျှဝေမှုတွင် ၎င်းတို့ကို အသုံးပြုမည်ဟု ဆိုကြသည် - ဤအခိုက်အတန့်ကို ထိန်းချုပ်ရန်အတွက်၊ ကျွန်ုပ်တို့သည် switches/olts/bases အားလုံးတွင် dhcp-snooping + source-guard + arp စစ်ဆေးခြင်းကို စနစ်ထည့်သွင်းထားပါသည်။ အကယ်၍ client တွင် dhpc မရှိသော်လည်း port တွင် static -acces-list

ဒါတွေအားလုံး ဘာကြောင့်ပြီးသွားတာလဲ။ မလိုလားအပ်သော အသွားအလာများကို ဖျက်ဆီးရန်။ ယခု switch တစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင် vlan ရှိပြီး အမည်မသိ-unicast သည် တစ်ခုတည်းသော port သို့သွားရန်သာလိုအပ်သောကြောင့် အားလုံးနှင့်မသက်ဆိုင်တော့ပါ။

lisg ကိုမည်သို့ configure လုပ်နည်းသည် သီးခြားအကြောင်းအရာတစ်ခုဖြစ်သည်။ စာကြည့်တိုက်များသို့ လင့်ခ်များ တွဲတင်ထားသည်။ အထက်ပါအချက်များသည် တစ်စုံတစ်ဦးအား ၎င်းတို့၏ ရည်မှန်းချက်များ အောင်မြင်စေရန် အထောက်အကူဖြစ်ကောင်းဖြစ်နိုင်သည်။ ဗားရှင်း 6 ကို ကျွန်ုပ်တို့၏ကွန်ရက်ပေါ်တွင် အကောင်အထည်မဖော်ရသေးပါ - သို့သော် ပြဿနာတစ်ခုရှိလိမ့်မည် - ဗားရှင်း 6 အတွက် lisg ကို ပြန်လည်ရေးသားရန် အစီအစဉ်များရှိနေပြီး လမ်းကြောင်းများထည့်သည့်ပရိုဂရမ်ကို ပြုပြင်ရန် လိုအပ်ပါလိမ့်မည်။

Linux ISG
DB2DHCP
လစ်ဘင်များ

source: www.habr.com