🔋 👹 ☝️ दोष-सहिष्णु IPoE नेटवर्क हाथ में 🌅 👅 👨🏼‍💼

नमस्ते तो 5k क्लाइंट का एक नेटवर्क है। हाल ही में एक बहुत ही सुखद क्षण सामने आया - नेटवर्क के केंद्र में और हमारे पास ब्रोकेड आरएक्स 8 है और इसने बहुत सारे अनजान-यूनिकस्ट पैकेट भेजने शुरू कर दिए हैं, क्योंकि नेटवर्क को vlans में विभाजित किया गया है - यह आंशिक रूप से कोई समस्या नहीं है लेकिन सफेद पतों के लिए विशेष vlans हैं, आदि। और वे नेटवर्क की सभी दिशाओं में फैले हुए हैं। तो अब आने वाले स्ट्रीम की कल्पना एक ऐसे ग्राहक के पते पर करें जो बोर्डर के रूप में अध्ययन नहीं करता है और यह स्ट्रीम कुछ (और हर चीज पर) गाँव के रेडियो लिंक की ओर उड़ता है - चैनल भरा हुआ है - ग्राहक बुरे - बुरे ...

कार्य बग को फीचर में बदलना है। मैंने एक पूर्ण ग्राहक-वलन के साथ q-in-q की दिशा में सोचा था, लेकिन P3310 जैसे लोहे के सभी प्रकार के टुकड़े जब मैं डॉट 1 को चालू करता हूं, तो डीएचसीपी पास करना बंद कर देता है, फिर भी वे यह नहीं जानते कि चयनात्मक क्यूनीक और बहुत सारे पानी के नीचे बैसाखी कैसे। IP-unnambered क्या है और यह कैसे काम करता है? यदि बहुत संक्षेप में - इंटरफ़ेस पर प्रवेश द्वार का पता + मार्ग। हमारे कार्य के लिए, हमें यह करने की आवश्यकता है: आकार में कटौती, ग्राहकों को पते वितरित करना, विशिष्ट इंटरफेस के माध्यम से ग्राहकों के लिए मार्ग जोड़ना। यह सब कैसे करें? शेपर - दो स्वतंत्र सर्वर पर lisg, dhcp - db2dhcp, एक्सेस सर्वर पर dhcprelay चल रहा है, ucarp बैकअप के लिए एक्सेस सर्वर पर भी काम करता है। लेकिन मार्गों को कैसे जोड़ा जाए? आप पहले से एक बड़ी स्क्रिप्ट में सब कुछ जोड़ सकते हैं - लेकिन यह सच नहीं है। तो हम एक स्व-निर्मित बैसाखी को बाड़ देंगे।

इंटरनेट पर पूरी तरह से रमणीय होने के बाद, मैंने c ++ के लिए एक अद्भुत उच्च-स्तरीय पुस्तकालय पाया, जो आपको ट्रैफ़िक को खूबसूरती से सूँघने की अनुमति देता है। मार्गों को जोड़ने वाले कार्यक्रम की एल्गोरिथ्म निम्नलिखित है - हम इंटरफ़ेस पर arp के अनुरोधों को सुनते हैं, अगर हमारे पास lo इंटरफ़ेस पर एक सर्वर पता है, जो हम अनुरोध करते हैं, इस इंटरफ़ेस के माध्यम से मार्ग जोड़ें और इस आईपी में एक स्थिर arp प्रविष्टि जोड़ें - सामान्य तौर पर, कुछ कॉपी-पेस्ट, थोड़ा गैग और आप कर रहे हैं

'मिनीबस' के स्रोत

#include <stdio.h> #include <sys/types.h> #include <ifaddrs.h> #include <netinet/in.h> #include <string.h> #include <arpa/inet.h> #include <tins/tins.h> #include <map> #include <iostream> #include <functional> #include <sstream> using std::cout; using std::endl; using std::map; using std::bind; using std::string; using std::stringstream; using namespace Tins; class arp_monitor { public: void run(Sniffer &sniffer); void reroute(); void makegws(); string iface; map <string, string> gws; private: bool callback(const PDU &pdu); map <string, string> route_map; map <string, string> mac_map; map <IPv4Address, HWAddress<6>> addresses; }; void arp_monitor::makegws() { struct ifaddrs *ifAddrStruct = NULL; struct ifaddrs *ifa = NULL; void *tmpAddrPtr = NULL; gws.clear(); getifaddrs(&ifAddrStruct); for (ifa = ifAddrStruct; ifa != NULL; ifa = ifa->ifa_next) { if (!ifa->ifa_addr) { continue; } string ifName = ifa->ifa_name; if (ifName == "lo") { char addressBuffer[INET_ADDRSTRLEN]; if (ifa->ifa_addr->sa_family == AF_INET) { // check it is IP4 // is a valid IP4 Address tmpAddrPtr = &((struct sockaddr_in *) ifa->ifa_addr)->sin_addr; inet_ntop(AF_INET, tmpAddrPtr, addressBuffer, INET_ADDRSTRLEN); } else if (ifa->ifa_addr->sa_family == AF_INET6) { // check it is IP6 // is a valid IP6 Address tmpAddrPtr = &((struct sockaddr_in6 *) ifa->ifa_addr)->sin6_addr; inet_ntop(AF_INET6, tmpAddrPtr, addressBuffer, INET6_ADDRSTRLEN); } else { continue; } gws[addressBuffer] = addressBuffer; cout << "GW " << addressBuffer << " is added" << endl; } } if (ifAddrStruct != NULL) freeifaddrs(ifAddrStruct); } void arp_monitor::run(Sniffer &sniffer) { cout << "RUNNED" << endl; sniffer.sniff_loop( bind( &arp_monitor::callback, this, std::placeholders::_1 ) ); } void arp_monitor::reroute() { cout << "REROUTING" << endl; map<string, string>::iterator it; for ( it = route_map.begin(); it != route_map.end(); it++ ) { if (this->gws.count(it->second) && !this->gws.count(it->second)) { string cmd = "ip route replace "; cmd += it->first; cmd += " dev " + this->iface; cmd += " src " + it->second; cmd += " proto static"; cout << cmd << std::endl; cout << "REROUTE " << it->first << " SRC " << it->second << endl; system(cmd.c_str()); cmd = "arp -s "; cmd += it->first; cmd += " "; cmd += mac_map[it->first]; cout << cmd << endl; system(cmd.c_str()); } } for ( it = gws.begin(); it != gws.end(); it++ ) { string cmd = "arping -U -s "; cmd += it->first; cmd += " -I "; cmd += this->iface; cmd += " -b -c 1 "; cmd += it->first; system(cmd.c_str()); } cout << "REROUTED" << endl; } bool arp_monitor::callback(const PDU &pdu) { // Retrieve the ARP layer const ARP &arp = pdu.rfind_pdu<ARP>(); if (arp.opcode() == ARP::REQUEST) { string target = arp.target_ip_addr().to_string(); string sender = arp.sender_ip_addr().to_string(); this->route_map[sender] = target; this->mac_map[sender] = arp.sender_hw_addr().to_string(); cout << "save sender " << sender << ":" << this->mac_map[sender] << " want taregt " << target << endl; if (this->gws.count(target) && !this->gws.count(sender)) { string cmd = "ip route replace "; cmd += sender; cmd += " dev " + this->iface; cmd += " src " + target; cmd += " proto static"; // cout << cmd << std::endl; /* cout << "ARP REQUEST FROM " << arp.sender_ip_addr() << " for address " << arp.target_ip_addr() << " sender hw address " << arp.sender_hw_addr() << std::endl << " run cmd: " << cmd << endl;*/ system(cmd.c_str()); cmd = "arp -s "; cmd += arp.sender_ip_addr().to_string(); cmd += " "; cmd += arp.sender_hw_addr().to_string(); cout << cmd << endl; system(cmd.c_str()); } } return true; } arp_monitor monitor; void reroute(int signum) { monitor.makegws(); monitor.reroute(); } int main(int argc, char *argv[]) { string test; cout << sizeof(string) << endl; if (argc != 2) { cout << "Usage: " << *argv << " <interface>" << endl; return 1; } signal(SIGHUP, reroute); monitor.iface = argv[1]; // Sniffer configuration SnifferConfiguration config; config.set_promisc_mode(true); config.set_filter("arp"); monitor.makegws(); try { // Sniff on the provided interface in promiscuous mode Sniffer sniffer(argv[1], config); // Only capture arp packets monitor.run(sniffer); } catch (std::exception &ex) { std::cerr << "Error: " << ex.what() << std::endl; } }

लिप्टिन इंस्टॉलेशन स्क्रिप्ट

 #!/bin/bash git clone https://github.com/mfontanini/libtins.git cd libtins mkdir build cd build cmake ../ make make install ldconfig

बाइनरी बनाने की कमान

 g++ main.cpp -o arp-rt -O3 -std=c++11 -lpthread -ltins

इसे कैसे चलाएं?

 start-stop-daemon --start --exec /opt/ipoe/arp-routes/arp-rt -b -m -p /opt/ipoe/arp-routes/daemons/eth0.800.pid -- eth0.800

हां - यह HUP सिग्नल पर तालिकाओं को ओवरराइड करता है। नेटलिंक का उपयोग क्यों नहीं किया? आलस्य बस हाँ है, और लिनक्स एक स्क्रिप्ट पर एक स्क्रिप्ट है - ताकि सब कुछ ठीक हो। अच्छी तरह से मार्गों मार्गों, आगे क्या है? अगला, हमें उन मार्गों को भेजने की आवश्यकता है जो इस सर्वर पर सीमा पर हैं - यहां, लोहे के एक ही पुराने टुकड़े के कारण, हम कम से कम प्रतिरोध के साथ रास्ता तय करते हैं - हमने इस कार्य को बीजीपी पर रखा।

बीजीपी विन्यास

होस्टनाम *******
पासवर्ड *******
लॉग फ़ाइल /var/log/bgp.log
!
# पता, पता और नेटवर्क का नंबर
रूटर bgp 12345
bgp राउटर-आईडी 1.2.3.4
पुनर्वितरण जुड़ा हुआ है
स्थैतिक पुनर्वितरण
पड़ोसी 1.2.3.1 रिमोट के रूप में 12345
पड़ोसी 1.2.3.1 अगले-हॉप-स्व
पड़ोसी 1.2.3.1 मार्ग-मानचित्र में कोई नहीं
पड़ोसी 1.2.3.1 मार्ग-मानचित्र निर्यात बाहर
!
पहुंच-सूची निर्यात परमिट 1.2.3.0/24
!
मार्ग-मानचित्र निर्यात परमिट 10
मैच आईपी पते के निर्यात
!
मार्ग-मानचित्र निर्यात 20 से इनकार करते हैं

हम जारी रखते हैं। सर्वर के लिए arp अनुरोधों का जवाब देने के लिए, आपको arp प्रॉक्सी सक्षम करने की आवश्यकता है।

 echo 1 > /proc/sys/net/ipv4/conf/eth0.800/proxy_arp

आगे बढ़ो - ucarp। इस चमत्कार को लॉन्च करने का प्रयास हम खुद लिखते हैं

एकल डेमॉन शुरू करने का उदाहरण

 start-stop-daemon --start --exec /usr/sbin/ucarp -b -m -p /opt/ipoe/ucarp-gen2/daemons/$iface.$vhid.$virtualaddr.pid -- --interface=eth0.800 --srcip=1.2.3.4 --vhid=1 --pass=carpasword --addr=10.10.10.1 --upscript=/opt/ipoe/ucarp-gen2/up.sh --downscript=/opt/ipoe/ucarp-gen2/down.sh -z -k 10 -P --xparam="10.10.10.0/24"

up.sh

 #!/bin/bash iface=$1 addr=$2 gw=$3 vlan=`echo $1 | sed "s/eth0.//"` ip ad ad $addr/32 dev lo ip ro add blackhole $gw echo 1 > /proc/sys/net/ipv4/conf/$iface/proxy_arp killall -9 dhcrelay /etc/init.d/dhcrelay zap /etc/init.d/dhcrelay start killall -HUP arp-rt

down.sh

 #!/bin/bash iface=$1 addr=$2 gw=$3 ip ad d $addr/32 dev lo ip ro de blackhole $gw echo 0 > /proc/sys/net/ipv4/conf/$iface/proxy_arp killall -9 dhcrelay /etc/init.d/dhcrelay zap /etc/init.d/dhcrelay start

Dhcprelay के लिए एक इंटरफ़ेस पर काम करने के लिए, इसे एक पते की आवश्यकता होती है। इसलिए, हमारे द्वारा उपयोग किए जाने वाले इंटरफेस पर, हम बाएं पते जोड़ देंगे - उदाहरण के लिए, 10.255.255.1/32, 10.255.255.2/32, आदि। मैंने आपको रिले स्थापित करने का तरीका नहीं बताया - वहां सब कुछ सरल है।

तो हमारे पास क्या है। बैकअप गेटवे, ऑटो-ट्यूनिंग मार्ग, dhcp। यह न्यूनतम सेट है - यहां तक कि इस पर लिस्ग भी खराब है और हमारे पास पहले से ही एक शेपर है। सब कुछ इतना लंबा और ठंडा क्यों है? क्या यह त्वरित-पीपीपी लेना आसान नहीं है और आम तौर पर पप्पू का उपयोग करते हैं? नहीं, यह आसान नहीं है - लोग शायद ही किसी राउटर में पैचकार्ड को हिला सकते हैं, न कि पप्पी को। स्पीड-पीपीपी एक ठंडी चीज है - लेकिन यह हमारे लिए काम नहीं करता है - कोड में त्रुटियों का एक गुच्छा - यह रोल करता है, कुटिलता से कटता है, और दुख की बात यह है कि अगर यह उज्ज्वल हो जाता है, तो लोगों को सब कुछ फिर से शुरू करने की आवश्यकता है - फोन लाल हैं - सामान्य रूप से, यह फिट नहीं है। रखने के बजाय ucarp का उपयोग करने का प्लस क्या है? हां, हर चीज में - 100 प्रवेश द्वार हैं, रखने के लिए और विन्यास में एक त्रुटि - सब कुछ काम नहीं करता है। 1 गेटवे ucarp के साथ काम नहीं करता है। सुरक्षा के बारे में, वे कहते हैं कि पते बाएं-हाथ के होंगे और गेंद पर उपयोग किए जाएंगे - इस पल को नियंत्रित करने के लिए, हम सभी स्विच / alt / अड्डों पर dhcp-snooping + source-guard + arp निरीक्षण कॉन्फ़िगर करते हैं। यदि क्लाइंट के पास dhpc नहीं है, लेकिन स्टैटिक्स - पोर्ट पर एसेस-लिस्ट है।

यह सब क्यों किया गया? यातायात को नष्ट करने के लिए हम पसंद नहीं करते हैं। अब, प्रत्येक स्विच का अपना वलान है और अज्ञात-यूनिकस्ट अब डरता नहीं है, क्योंकि इसे केवल एक पोर्ट पर जाने की आवश्यकता है और यह सब नहीं ... खैर, साइड इफेक्ट एक मानकीकृत हार्डवेयर कॉन्फ़िगरेशन और एड्रेस स्पेस आवंटन की एक उच्च दक्षता है।

कैसे कॉन्फ़िगर करने के लिए lisg एक अलग विषय है। पुस्तकालयों के लिंक संलग्न हैं। शायद कोई अपने कार्यों के कार्यान्वयन में उपरोक्त मदद करेगा। हम अभी तक अपने नेटवर्क पर संस्करण 6 को पेश नहीं कर रहे हैं - लेकिन एक समस्या होगी - संस्करण 6 के लिए लिस्ग को फिर से लिखने की योजना है और, ठीक है, कार्यक्रम को मोड़ना आवश्यक होगा, जो मार्गों को जोड़ता है।

लिनक्स ISG
DB2DHCP
Libtins

युपीडी।

सब कुछ थोड़ा और जटिल हो गया ... मुझे कम या ज्यादा सामान्य दानव लिखना पड़ा। और प्रॉक्सी arp के बिना करते हैं। अब मेरा डेमन जवाब देता है, यह सबनेट पर रूट को क्लाइंट्स में जोड़ता / हटाता है, मुझे यह भी सीखना था कि नेटलिंक के साथ कैसे काम करना है। और इसने एक विशेषता का पता लगाया - जब लिनक्स कुछ पते के लिए arp को पहचानता है, तो इंटरफ़ेस खोजने के बाद - यह पहला पता लेता है कि यह आखिरी से आता है - जो कुछ ग्राहक प्रतिक्रिया नहीं करते हैं - का उपयोग करके हल किया जाता है।

सामान्य तौर पर, लिंक के लिए पहले से ही एक सामान्य विकल्प होता है - वहाँ, वैसे, मार्गों और पतों में परिवर्तन को सुनना और नेटलिंक के माध्यम से मार्ग हटाने को लागू करना (बाद के साथ, सिरदर्द भयानक था)

GitHub

दोष-सहिष्णु IPoE नेटवर्क हाथ में

More articles: