你好。 这意味着网络中有 5 个客户端。 最近出现了一个不太愉快的时刻 - 在网络中心我们有一个 Brocade RX8,它开始发送大量未知的单播数据包,因为网络被划分为 VLAN - 这在一定程度上不是问题,但是有白色地址的特殊 VLAN 等。 它们向网络的各个方向延伸。 现在想象一下,一个流入的流量流向一个没有作为边境学生学习的客户的地址,并且该流量飞向某个(或所有)村庄的无线电链路 - 通道被堵塞 - 客户很生气 - 悲伤......
目标是将错误变成功能。 我正在考虑使用成熟的客户端 vlan 进行 q-in-q 的方向,但是像 P3310 这样的各种硬件,当启用 dot1q 时,将停止让 DHCP 通过,它们也不知道如何选择性 qinq 和许多诸如此类的陷阱。 什么是 ip-unnamed 以及它是如何工作的? 非常简单:网关地址+接口上的路由。 对于我们的任务,我们需要:剪切整形器、向客户端分发地址、通过某些接口向客户端添加路由。 如何做到这一切? Shaper - lisg、dhcp - db2dhcp 在两个独立服务器上,dhcprelay 在访问服务器上运行,ucarp 也在访问服务器上运行 - 用于备份。 但如何添加路由呢? 您可以使用大型脚本提前添加所有内容 - 但事实并非如此。 所以我们就制作一个自写的拐杖。
在互联网上彻底搜索后,我发现了一个很棒的 C++ 高级库,它可以让你完美地嗅探流量。 添加路由的程序的算法如下 - 我们在接口上监听arp请求,如果我们在请求的服务器上的lo接口上有地址,那么我们通过该接口添加路由并添加静态arp记录到这个IP - 一般来说,一些复制粘贴,一些形容词,你就完成了
“路由器”的来源
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
libtins安装脚本
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
构建二进制文件的命令
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
如何启动它?
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
是的 - 它将根据 HUP 信号重建表。 你为什么不使用netlink? 这只是懒惰,Linux 是脚本上的脚本 - 所以一切都很好。 好吧,路线就是路线,下一步是什么? 接下来,我们需要将该服务器上的路由发送到边界 - 在这里,由于同样过时的硬件,我们采取了阻力最小的路径 - 我们将此任务分配给 BGP。
边界网关协议配置主机名 *******
密码 *******
日志文件/var/log/bgp.log
!
# AS编号、地址和网络都是虚构的
路由器 BGP 12345
bgp 路由器 ID 1.2.3.4
重新分配连接
重新分配静态
邻居 1.2.3.1 远程-as 12345
邻居 1.2.3.1 下一跳自身
邻居 1.2.3.1 路由映射无
邻居 1.2.3.1 路由映射导出
!
访问列表出口许可证 1.2.3.0/24
!
路线图出口许可证 10
匹配ip地址导出
!
路由映射导出拒绝 20
我们继续吧。 为了使服务器能够响应arp请求,必须启用arp代理。
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
让我们继续前进-ucarp。 我们自己为这个奇迹编写了启动脚本。
运行一个守护进程的示例
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
up.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
向下
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
为了使 dhcprelay 在接口上工作,它需要一个地址。 因此,在我们使用的接口上,我们将添加左侧地址 - 例如 10.255.255.1/32、10.255.255.2/32 等。 我不会告诉你如何配置继电器——一切都很简单。
那么我们有什么呢? 网关备份、路由自动配置、dhcp。 这是最小的集合 - lisg 也包含了它周围的所有内容,并且我们已经有了一个整形器。 为什么一切都那么漫长而复杂? 采用accel-pppd 并一起使用pppoe 不是更容易吗? 不,这并不简单——人们几乎无法将跳线安装到路由器中,更不用说 pppoe 了。 accel-ppp 是一个很酷的东西 - 但它对我们不起作用 - 代码中有很多错误 - 它崩溃了,它被歪斜地切割,最可悲的是,如果它变亮了 - 那么人们需要重新加载一切 - 电话是红色的 - 根本不起作用。 使用ucarp比keepalived有什么优势? 是的,在所有方面 - 有 100 个网关、keepalived 和配置中的一个错误 - 一切都不起作用。 1 网关不能与 ucarp 一起使用。 关于安全性,他们说剩下的人将为自己注册地址并将在共享上使用它们 - 为了控制这一刻,我们在所有交换机/olts/base上设置了 dhcp-snooping + source-guard + arp 检查。 如果客户端没有 dhpc,但端口上有静态访问列表。
为什么要做这一切? 摧毁不需要的流量。 现在每台交换机都有自己的 VLAN,未知单播不再可怕,因为它只需要访问一个端口而不是所有端口......好吧,副作用是标准化的设备配置,分配地址空间的效率更高。
如何配置 lisg 是一个单独的主题。 附有库链接。 也许以上内容会帮助某人实现他们的目标。 版本 6 尚未在我们的网络上实施 - 但会有一个问题 - 有计划为版本 6 重写 lisg,并且有必要纠正添加路由的程序。