Поочередная настройка оборудования на конкретном примере сети: различия между версиями

NAT На всех роуторах iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE iptables-save -f /etc/sysconfig/iptables systemctl enable --now iptables mcedit /etc/net/sysctl.conf ----- forward - 1

TUNNEL Настроим туннель на RTR-HQ командой nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 ipv4.address 10.0.0.1/30 ipv4.method manual remote <172.16.5.2 IP-адрес RTR-BR> local <172.16.4.2 IP-адрес RTR-HQ> Настроим туннель на RTR-BR командой nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 ipv4.address 10.0.0.2/30 ipv4.method manual remote <172.16.4.2 IP-адрес RTR-HQ> local <172.16.5.2 IP-адрес RTR-BR> VLAN SWITCH Обновим список пакетов командой apt-get update Установим пакет OpenVSwitch командой apt-get install openvswitch Если сервис не запущен, то включаем его и сразу же добавляем в автозагрузку командой systemctl enable --now openvswitch Проверим что сервис OpenVSwitch работает командой systemctl status openvswitch Создадим виртуальный коммутатор HQ-SW командой ovs-vsctl add-br HQ-SW Настроим порт на созданном коммутаторе в сторону роутера командой ovs-vsctl add-port HQ-SW ens3 trunks=100, 200, где ensX - это интерфейс в сторону RTR-HQ Настроим порт доступа в сторону первого клиента командой ovs-vsctl add-port HQ-SW ens4 tag=200, где ensX - это интерфейс в сторону HQ-SRV Настроим порт доступа в сторону второго клиента командой ovs-vsctl add-port HQ-SW ens5 tag=100, где ensX - это интерфейс в сторону HQ-CLI HQ-RTR Перейдем на RTR-HQ Удалим созданный Нами в начале практической интерфейс в сторону внутренней сети командой nmcli con del ensX, где ensX - это интерфейс в сторону внутренней сети. Добавим интерфейс для 100 VLAN командой nmcli con add type vlan con-name ens4 dev ens4 id 100 ipv4.address 192.168.1.1/26 ipv4.method manual, где ensX - интерфейс в сторону SW-HQ Добавим интерфейс для 200 VLAN командой nmcli con add type vlan con-name ens4 dev ens4 id 200 ipv4.address 192.168.2.1/28 ipv4.method manual, где ensX - интерфейс в сторону SW-HQ SSH Переходим на SRV1 Перед началом Открываем файл настройки SSH командой mcedit /etc/openssh/sshd_config Раскомментируем строку Port и изменяем 22 на 2024 Укажем количество попыток входа, для этого раскомментируем строку MaxAuthTries и изменим количество попыток на 2 Настроим баннер при подключении для пользователя, для этого раскомментируем строку Banner и укажем путь к файлу с текстом заменив значение по-умолчания на /etc/motd Сохраним и выйдем Создадим файл /etc/motd командой mcedit /etc/motd Заполним файл следующим содержимым:

Authorized access only!

Сохраним и выйдем apt-get update apt-get install dhcpd cp /etc/dhcp/dhcpd.conf.sample /etc/dhcp/dhcpd.conf mcedit /etc/dhcp/dhcp.conf

ddns-update-style none;

subnet 192.168.1.0 netmask 255.255.255.192 { option routers 192.168.1.1; option subnet-mask 255.255.255.192; option domain-name "au-team.ipo"; option domain-name-servers 192.168.2.2;

range dynamic-bootp 192.168.1.2 192.168.1.10; default-lease-tame 21600; max-lease-time 43200; } host HQ-CLI {

hardware ethernet 50:5f:c8:0d:00;
fixed-address 192.168.1.2;
}

Сохраним и выйдем Настроим на каком интерфейсе будет работать Наш DHCP-сервер, для этого откроем файл mcedit /etc/sysconfig/dhcpd В строке DHCPARGS после знака = ens4.100(без vlan ens4) Сохраним и выйдем. Перезапустим службу, отвечающую за DHCP-сервер командой systemctl restart dhcpd.service Добавим службу в автозагрузку командой systemctl enable --now dhcpd.service OSPF Перейдем на RTR-HQ Обновим список пакетов командой apt-get update Установим пакет frr командой apt-get install frr Включим демон ospfd для этого: Откроем файл /etc/frr/daemons командой mcedit /etc/frr/deamons Поменяем в строке ospfd с no на yes Выходим Перезагружаем службу frr командой systemctl restart frr Добавим frr в автозагрузку командой systemctl enable --now frr Заходим в frr командой vtysh Переходим в режим глобальной конфигурации командой conf t Заходим в процесс маршрутизации командой router ospf Настроим Router ID равным 1.1.1.1 командой ospf router-id 1.1.1.1 Объявим сеть туннеля в ospf командой network 10.0.0.0/30 area 0 Объявим сеть первого VLAN 192.168.1.0/26 командой network 192.168.1.0/26 area 1 Объявим сеть второго VLAN 192.168.2.0/28 командой network 192.168.2.0/28 area 1 Выйдем в режим глобальной конфигурации командой exit Перейдем в режим настройки интерфейса командой interface tun0 Включим аутентификацию OSPF командой ip ospf authentication Настроим авторизацию OSPF по ключу DEMO командой ip ospf authentication-key DEMO Выйдем из режима настройки интерфейса командой exit Перейдем на подинтерфейс в сторону первого VLAN командой interface ens4.100 Отключим рассылку пакетов ospf на этом интерфейсе командой ip ospf passive Перейдем на подинтерфейс в сторону второго VLAN командой interface ens4.200 Отключим рассылку пакетов ospf на этом интерфейсе командой ip ospf passive Перейдем на интерфейс в сторону внешней сети командой interface ens3 Отключим рассылку пакетов ospf на этом интерфейсе командой ip ospf passive Сохраним настройки для этого выйдем в пользовательский режим сочетанием клавиш Ctrl+Z и сохраним командой write Выходим из vtysh командой exit IP-ADDRESS ISP-NET-DHCP-DHCP

     -HQRTR-172.16.4.1/28
     -BR-RTR-172.16.5.1/28

HQ-RTR-ISP-172.16.4.2/28-GATEWAY-172.16.4.1

     -HQ-SRV-192.168.1.1/26
     -HQ-CLI-192.168.2.1/28

BR-RTR-ISP-172.16.5.2/28-GATEWAY-172.16.5.1

      -BR-SRV-192.168.3.1/27

HQ-SRV-HQ-RTR 192.168.2.2/28-GATEWAY-192.168.2.1 BR-SRV-BR-RTR-192.168.3.2/27-GATEWAY-192.168.3.1 HQ-CLI-HQ-RTR-192.168.1.2/26-GATEWAY-192.168.1.1