سلام. دا پدې مانا ده چې د 5k پیرودونکو شبکه شتون لري. پدې وروستیو کې یوه خورا خوندوره شیبه راپورته شوه - د شبکې په مرکز کې موږ یو بروکیډ RX8 لرو او دا د ډیری نامعلوم - یونیکاسټ پاکټونو لیږل پیل کړي ، ځکه چې شبکه په vlans ویشل شوې - دا په جزوي ډول کومه ستونزه نده ، مګر شتون لري. د سپینو پتو لپاره ځانګړي vlans، او نور. او دوی د شبکې ټولو لورو ته غځول شوي دي. نو اوس تصور وکړئ چې د پیرودونکي پته ته د راتلو جریان تصور کړئ چې د سرحدي زده کونکي په توګه نه زده کوي او دا جریان د یو څه (یا ټول) کلي ته د راډیو لینک په لور تیریږي - چینل بند دی - پیرودونکي په غوسه دي - غم ...
هدف دا دی چې یو بګ په فیچر بدل کړي. زه د بشپړ پیرودونکي vlan سره د q-in-q په لور فکر کوم ، مګر هر ډول هارډویر لکه P3310 ، کله چې dot1q فعال شي ، د DHCP له لارې پریږدي ، دوی هم نه پوهیږي چې څنګه qinq غوره کړي او ډیری د دې ډول زیانونه ip-unnambered څه شی دی او دا څنګه کار کوي؟ په خورا لنډ ډول: د دروازې پته + په انٹرفیس کې لاره. زموږ د دندې لپاره، موږ اړتیا لرو: شیپر پرې کړئ، پیرودونکو ته پتې وویشئ، د ځانګړو انٹرفیسونو له لارې پیرودونکو ته لارې اضافه کړئ. دا ټول څنګه کول؟ شاپر - lisg، dhcp - db2dhcp په دوه خپلواک سرورونو کې، dhcprelay د لاسرسي سرورونو کې چلیږي، ucarp د لاسرسي سرورونو کې هم چلوي - د بیک اپ لپاره. مګر څنګه لارې اضافه کړئ؟ تاسو کولی شئ هرڅه دمخه د لوی سکریپټ سره اضافه کړئ - مګر دا ریښتیا ندي. نو موږ به پخپله لیکلی کرچ جوړ کړو.
په انټرنیټ کې د یوې بشپړې پلټنې وروسته، ما د C++ لپاره په زړه پورې د لوړې کچې کتابتون وموند، کوم چې تاسو ته اجازه درکوي چې په ښکلي ډول ټرافيک ووینئ. د برنامه لپاره الګوریتم چې لارې اضافه کوي په لاندې ډول دي - موږ په انٹرفیس کې د آر پی غوښتنې اورو ، که چیرې موږ په سرور کې په لو انټرفیس کې پته ولرو چې غوښتنه شوې وي ، نو موږ د دې انٹرفیس له لارې لاره اضافه کوو او یو جامد آر پی اضافه کوو. دې ip ته ثبت کړئ - په عموم کې ، یو څو کاپي پیسټونه ، یو څه صفت او تاسو بشپړ شوي
د 'روټر' سرچینې
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
libtins د نصبولو سکریپټ
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
د بائنری جوړولو لپاره امر
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
څنګه یې پیل کړئ؟
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
هو - دا به د HUP سیګنال پراساس میزونه بیا جوړ کړي. تاسو ولې netlink نه کاروئ؟ دا یوازې سست دی او لینکس په سکریپټ کې سکریپټ دی - نو هرڅه سم دي. ښه، لارې لارې دي، بیا څه دي؟ بیا ، موږ اړتیا لرو هغه لارې چې پدې سرور کې دي سرحد ته ولیږو - دلته ، د ورته زوړ هارډویر له امله ، موږ د لږترلږه مقاومت لاره نیولې - موږ دا دنده BGP ته وسپارله.
bgp تشکیلکوربه نوم *******
رمز *******
د ننوتلو فایل /var/log/bgp.log
!
# AS شمیره، ادرسونه او شبکې جعلي دي
روټر bgp 12345
bgp راوټر-id 1.2.3.4
بیا توزیع نښلول
جامد بیا توزیع کول
ګاونډی 1.2.3.1 12345 لرې
ګاونډی 1.2.3.1 راتلونکی-هوپ-ځان
ګاونډی 1.2.3.1 د لارې نقشه هیڅ نه
ګاونډی 1.2.3.1 د لارې نقشه صادرول
!
د لاسرسي لیست صادرولو اجازه 1.2.3.0/24
!
د لارې نقشې صادرولو اجازه 10
د آی پي پتې صادرات سره سمون خوري
!
د لارې نقشه صادرات رد کول 20
راځئ چې دوام ورکړو. د دې لپاره چې سرور د arp غوښتنو ته ځواب ووايي، تاسو باید د arp پراکسي فعال کړئ.
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
راځئ چې پرمخ لاړ شو - ucarp. موږ پخپله د دې معجزې لپاره د لانچ سکریپټونه لیکو.
د یو ډیمون چلولو بیلګه
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
up.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
down.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
د دې لپاره چې dhcprelay په انٹرفیس کې کار وکړي، دا یو پته ته اړتیا لري. له همدې امله، په انټرفیسونو کې چې موږ یې کاروو موږ به کیڼ پتې اضافه کړو - د مثال په توګه 10.255.255.1/32، 10.255.255.2/32، او داسې نور. زه به تاسو ته ونه وایم چې څنګه ریل تنظیم کړئ - هرڅه ساده دي.
نو موږ څه لرو؟ د دروازې بیک اپ، د لارو اتوماتیک ترتیب، dhcp. دا لږترلږه سیټ دی - لیسګ هم د هغې شاوخوا هر څه پوښي او موږ دمخه یو شیفر لرو. ولې هرڅه دومره اوږد او پیچلي دي؟ ایا دا اسانه نه ده چې accel-pppd واخلئ او په بشپړ ډول pppoe وکاروئ؟ نه، دا ساده نده - خلک په سختۍ سره په روټر کې پیچ کارډ فټ کولی شي ، نه د pppoe ذکر کول. accel-ppp یو ښه شی دی - مګر دا زموږ لپاره کار نه کوي - په کوډ کې ډیری غلطۍ شتون لري - دا ټوټه ټوټه کوي، دا په کراره توګه پرې کوي، او د افسوس خبره دا ده چې که دا روښانه شي - نو خلک اړتیا لري چې بیا پورته کړي. هرڅه - تلیفونونه سور دي - دا هیڅ کار نه کوي. د ساتلو پرځای د ucarp کارولو ګټه څه ده؟ هو، په هرڅه کې - 100 دروازې شتون لري، ساتل شوي او په ترتیب کې یوه تېروتنه - هرڅه کار نه کوي. 1 ګیټس د ucarp سره کار نه کوي. د امنیت په اړه، دوی وايي چې پاتې کسان به د ځان لپاره پتې ثبت کړي او په ونډې کې به یې وکاروي - د دې شیبې د کنټرول لپاره، موږ په ټولو سویچونو/olts/اډو کې dhcp-snooping + Source-guard + arp معاینه جوړه کړه. که چیرې پیرودونکي dhpc نلري مګر جامد - په بندر کې د لاسرسي لیست.
دا ټول ولې وشول؟ د ناغوښتل شوي ترافیک له مینځه وړو لپاره. اوس هر سویچ خپل ویلان لري او نامعلوم - یونیکاسټ نور ویره نلري ، ځکه چې دا یوازې یو بندر ته اړتیا لري او ټولو ته نه ... ښه ، ضمني اغیزې د معیاري تجهیزاتو ترتیب دي ، د پتې ځای په تخصیص کې خورا موثریت.
د لیسګ تنظیم کولو څرنګوالی یوه جلا موضوع ده. د کتابتونونو لینکونه ضمیمه دي. شاید پورتني به د یو چا سره د خپلو اهدافو په ترلاسه کولو کې مرسته وکړي. نسخه 6 لاهم زموږ په شبکه کې نه پلي کیږي - مګر ستونزه به وي - د 6 نسخې لپاره د لیست بیا لیکلو پلانونه شتون لري ، او دا به اړین وي چې هغه برنامه سمه کړئ چې لارې اضافه کوي.
سرچینه: www.habr.com