你好。 這意味著網路中有 5 個客戶端。 最近出現了一個不太愉快的時刻 - 在網路中心我們有一個 Brocade RX8,它開始發送大量未知的單播資料包,因為網路被劃分為 VLAN - 這在一定程度上不是問題,但是有白色位址的特殊VLAN 等。 它們向網路的各個方向延伸。 現在想像一下,一個流入的流量流向一個沒有作為邊境學生學習的客戶的地址,並且該流量飛向某個(或所有)村莊的無線電鏈路- 通道被堵塞- 客戶很生氣- 悲傷.... ..
目標是將錯誤變成功能。 我正在考慮使用成熟的客戶端 vlan 進行 q-in-q 的方向,但是像 P3310 這樣的各種硬件,當啟用 dot1q 時,將停止讓 DHCP 通過,它們也不知道如何選擇性 qinq 和許多諸如此類的陷阱。 什麼是 ip-unnamed 以及它是如何運作的? 非常簡單:網關位址+介面上的路由。 對於我們的任務,我們需要:剪切整形器、向客戶端分發地址、透過某些介面向客戶端添加路由。 如何做到這一切? Shaper - lisg、dhcp - db2dhcp 在兩個獨立伺服器上,dhcprelay 在存取伺服器上運行,ucarp 也在存取伺服器上運行 - 用於備份。 但如何添加路由呢? 您可以使用大型腳本提前添加所有內容 - 但事實並非如此。 所以我們就製作一個自寫的拐杖。
在網路上徹底搜尋後,我發現了一個很棒的 C++ 進階函式庫,它可以讓你完美地嗅探流量。 新增路由的程式的演算法如下-我們在介面上監聽arp請求,如果我們在請求的伺服器上的lo介面上有位址,那麼我們透過這個介面新增路由並新增靜態arp記錄到這個IP - 一般來說,一些複製貼上,一些形容詞,你就完成了
“路由器”的來源
#include <stdio.h>
#include <sys/types.h>
#include <ifaddrs.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <tins/tins.h>
#include <map>
#include <iostream>
#include <functional>
#include <sstream>
using std::cout;
using std::endl;
using std::map;
using std::bind;
using std::string;
using std::stringstream;
using namespace Tins;
class arp_monitor {
public:
void run(Sniffer &sniffer);
void reroute();
void makegws();
string iface;
map <string, string> gws;
private:
bool callback(const PDU &pdu);
map <string, string> route_map;
map <string, string> mac_map;
map <IPv4Address, HWAddress<6>> addresses;
};
void arp_monitor::makegws() {
struct ifaddrs *ifAddrStruct = NULL;
struct ifaddrs *ifa = NULL;
void *tmpAddrPtr = NULL;
gws.clear();
getifaddrs(&ifAddrStruct);
for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) {
if (!ifa->ifa_addr) {
continue;
}
string ifName = ifa->ifa_name;
if (ifName == "lo") {
char addressBuffer[INET_ADDRSTRLEN];
if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4
// is a valid IP4 Address
tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr;
inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN);
} else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6
// is a valid IP6 Address
tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr;
inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN);
} else {
continue;
}
gws[addressBuffer] = addressBuffer;
cout << "GW " << addressBuffer << " is added" << endl;
}
}
if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct);
}
void arp_monitor::run(Sniffer &sniffer) {
cout << "RUNNED" << endl;
sniffer.sniff_loop(
bind(
&arp_monitor::callback,
this,
std::placeholders::_1
)
);
}
void arp_monitor::reroute() {
cout << "REROUTING" << endl;
map<string, string>::iterator it;
for ( it = route_map.begin(); it != route_map.end(); it++ ) {
if (this->gws.count(it->second) && !this->gws.count(it->second)) {
string cmd = "ip route replace ";
cmd += it->first;
cmd += " dev " + this->iface;
cmd += " src " + it->second;
cmd += " proto static";
cout << cmd << std::endl;
cout << "REROUTE " << it->first << " SRC " << it->second << endl;
system(cmd.c_str());
cmd = "arp -s ";
cmd += it->first;
cmd += " ";
cmd += mac_map[it->first];
cout << cmd << endl;
system(cmd.c_str());
}
}
for ( it = gws.begin(); it != gws.end(); it++ ) {
string cmd = "arping -U -s ";
cmd += it->first;
cmd += " -I ";
cmd += this->iface;
cmd += " -b -c 1 ";
cmd += it->first;
system(cmd.c_str());
}
cout << "REROUTED" << endl;
}
bool arp_monitor::callback(const PDU &pdu) {
// Retrieve the ARP layer
const ARP &arp = pdu.rfind_pdu<ARP>();
if (arp.opcode() == ARP::REQUEST) {
string target = arp.target_ip_addr().to_string();
string sender = arp.sender_ip_addr().to_string();
this->route_map[sender] = target;
this->mac_map[sender] = arp.sender_hw_addr().to_string();
cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl;
if (this->gws.count(target) && !this->gws.count(sender)) {
string cmd = "ip route replace ";
cmd += sender;
cmd += " dev " + this->iface;
cmd += " src " + target;
cmd += " proto static";
// cout << cmd << std::endl;
/* cout << "ARP REQUEST FROM " << arp.sender_ip_addr()
<< " for address " << arp.target_ip_addr()
<< " sender hw address " << arp.sender_hw_addr() << std::endl
<< " run cmd: " << cmd << endl;*/
system(cmd.c_str());
cmd = "arp -s ";
cmd += arp.sender_ip_addr().to_string();
cmd += " ";
cmd += arp.sender_hw_addr().to_string();
cout << cmd << endl;
system(cmd.c_str());
}
}
return true;
}
arp_monitor monitor;
void reroute(int signum) {
monitor.makegws();
monitor.reroute();
}
int main(int argc, char *argv[]) {
string test;
cout << sizeof(string) << endl;
if (argc != 2) {
cout << "Usage: " << *argv << " <interface>" << endl;
return 1;
}
signal(SIGHUP, reroute);
monitor.iface = argv[1];
// Sniffer configuration
SnifferConfiguration config;
config.set_promisc_mode(true);
config.set_filter("arp");
monitor.makegws();
try {
// Sniff on the provided interface in promiscuous mode
Sniffer sniffer(argv[1], config);
// Only capture arp packets
monitor.run(sniffer);
}
catch (std::exception &ex) {
std::cerr << "Error: " << ex.what() << std::endl;
}
}
libtins安裝腳本
#!/bin/bash
git clone https://github.com/mfontanini/libtins.git
cd libtins
mkdir build
cd build
cmake ../
make
make install
ldconfig
建置二進位檔案的命令
g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins
如何啟動它?
start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800
是的 - 它將根據 HUP 訊號重建表。 為什麼不使用netlink? 這只是懶惰,Linux 是腳本上的腳本 - 所以一切都很好。 好吧,路線就是路線,下一步是什麼? 接下來,我們需要將該伺服器上的路由發送到邊界 - 在這裡,由於同樣過時的硬件,我們採取了阻力最小的路徑 - 我們將此任務分配給 BGP。
邊界網關協定配置主機名稱 *******
密碼 *******
日誌檔/var/log/bgp.log
!
# AS編號、地址和網路都是虛構的
路由器 BGP 12345
bgp 路由器 ID 1.2.3.4
重新分配連接
重新分配靜態
鄰居 1.2.3.1 遠程-as 12345
鄰居 1.2.3.1 下一跳自身
鄰居 1.2.3.1 路由映射無
鄰居 1.2.3.1 路由映射導出
!
存取清單出口許可證 1.2.3.0/24
!
路線圖出口許可證 10
匹配ip位址導出
!
路由映射導出拒絕 20
我們繼續吧。 為了使伺服器能夠回應arp請求,必須啟用arp代理。
echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp
讓我們繼續前進-ucarp。 我們自己為這個奇蹟編寫了啟動腳本。
運行一個守護程序的範例
start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"
up.sh
#!/bin/bash
iface=$1
addr=$2
gw=$3
vlan=`echo $1 | sed "s/eth0.//"`
ip ad ad $addr/32 dev lo
ip ro add blackhole $gw
echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
killall -HUP arp-rt
向下
#!/bin/bash
iface=$1
addr=$2
gw=$3
ip ad d $addr/32 dev lo
ip ro de blackhole $gw
echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp
killall -9 dhcrelay
/etc/init.d/dhcrelay zap
/etc/init.d/dhcrelay start
為了使 dhcprelay 在介面上工作,它需要一個位址。 因此,在我們使用的介面上,我們將新增左側位址 - 例如 10.255.255.1/32、10.255.255.2/32 等。 我不會告訴你如何配置繼電器——一切都很簡單。
那我們有什麼呢? 網關備份、路由自動設定、dhcp。 這是最小的集合 - lisg 也包含了它周圍的所有內容,並且我們已經有了一個整形器。 為什麼一切都那麼漫長且令人困惑? 採用accel-pppd 並一起使用pppoe 不是更容易嗎? 不,這並不簡單——人們幾乎無法將跳線安裝到路由器中,更不用說 pppoe 了。 accel-ppp 是一個很酷的東西 - 但它對我們不起作用 - 程式碼中有很多錯誤 - 它崩潰了,它被歪斜地切割,最可悲的是,如果它變亮了 - 那麼人們需要重新加載一切- 電話是紅色的- 根本不起作用。 使用ucarp比keepalived有什麼優勢? 是的,在所有方面 - 有 100 個網關、keepalived 和配置中的一個錯誤 - 一切都不起作用。 1 網關不能與 ucarp 一起使用。 關於安全性,他們說剩下的人將為自己註冊地址並在共享上使用它們 - 為了控制這一刻,我們在所有交換機/olts/base上設置了 dhcp-snooping + source-guard + arp 檢查。 如果用戶端沒有 dhpc,但連接埠上有靜態存取清單。
為什麼要做這一切? 摧毀不需要的流量。 現在每台交換器都有自己的VLAN,未知單播不再可怕,因為它只需要存取一個連接埠而不是所有連接埠......好吧,副作用是標準化的設備配置,分配位址空間的效率更高。
如何配置 lisg 是一個單獨的主題。 附有庫連結。 也許以上內容會幫助某人實現他們的目標。 版本 6 尚未在我們的網路上實施 - 但會有一個問題 - 有計劃為版本 6 重寫 lisg,並且有必要修正新增路由的程式。