Поочередная настройка оборудования на конкретном примере сети: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
Строка 183: Строка 183:
Выходим из vtysh командой  
Выходим из vtysh командой  
exit
exit
DNS
'''DNS'''
Установим локальный DNS-сервер и текстовый редактор nano командой apt-get install nano bind bind-utils -y
Установим локальный DNS-сервер и текстовый редактор nano командой apt-get install nano bind bind-utils -y
Открываем файл /etc/bind/options.conf командой nano /etc/bind/options.conf
Открываем файл /etc/bind/options.conf командой nano /etc/bind/options.conf
Строка 190: Строка 190:
Также раскомментируем строку allow-query и меняем в ней localnets на any
Также раскомментируем строку allow-query и меняем в ней localnets на any
Сохраняем и закрываем файл.
Сохраняем и закрываем файл.
3. Настройка файла named.conf.local
Переходим непосредственно к настройке зоны. Для этого открываем файл /etc/bind/local.conf командой nano /etc/bind/local.conf
Добавьте зону в конфигурацию BIND:
Добавляем в конец информацию о Нашей зоне:
 
zone "domain.test" {
bash
                      type master;
Копировать код
                      file "domain.test.db";
sudo nano /etc/bind/named.conf.local
Добавьте следующие строки:
 
text
Копировать код
zone "au-team.irpo" {
    type master;
    file "/etc/bind/zones/au-team.irpo.db";
};
};
Для PTR записей нужно настроить обратную зону. Например, если IP-адреса в сети 192.168.1.0/24:
zone "2.168.192.in-addr.arpa" {
 
                      type master;
text
                      file "domain_rev2.test.db";
Копировать код
zone "1.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/zones/1.168.192.in-addr.arpa.db";
};
};
sudo nano /etc/bind/zones/au-team.irpo.db
Сохраняем и выходим
sudo nano /etc/bind/zone/au-team.irpo.db
Заполните его следующими данными:
Заполните его следующими данными:


text
 
Копировать код
$TTL    86400
$TTL    86400
@      IN      SOA    ns1.au-team.irpo. admin.au-team.irpo. (
@      IN      SOA    ns1.au-team.irpo. admin.au-team.irpo. (

Версия от 20:55, 16 декабря 2024

NAT

На всех роуторах 

iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 65
iptables-save -f /etc/sysconfig/iptables
systemctl enable --now iptables 
mcedit /etc/net/sysctl.conf ----- forward - 1

TUNNEL

Настроим туннель на RTR-HQ командой 

nmcli connection add type ip-tunnel  ip-tunnel.mode ipip  con-name tun0 ifname tun0 ipv4.address 10.0.0.1/30 ipv4.method manual remote <172.16.5.2 IP-адрес RTR-BR> local <172.16.4.2 IP-адрес RTR-HQ>

Настроим туннель на RTR-BR командой nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 ipv4.address 10.0.0.2/30 ipv4.method manual remote <172.16.4.2 IP-адрес RTR-HQ> local <172.16.5.2 IP-адрес RTR-BR>

VLAN

SWITCH

Обновим список пакетов командой 

apt-get update

Установим пакет OpenVSwitch командой 

apt-get install openvswitch

Если сервис не запущен, то включаем его и сразу же добавляем в автозагрузку командой 

systemctl enable --now openvswitch

Проверим что сервис OpenVSwitch работает командой 

systemctl status openvswitch

Создадим виртуальный коммутатор HQ-SW командой 

ovs-vsctl add-br HQ-SW

Настроим порт на созданном коммутаторе в сторону роутера командой 

ovs-vsctl add-port HQ-SW ens3 trunks=100, 200

, где ensX - это интерфейс в сторону RTR-HQ

Настроим порт доступа в сторону первого клиента командой 

ovs-vsctl add-port HQ-SW ens4 tag=200

где ensX - это интерфейс в сторону HQ-SRV

Настроим порт доступа в сторону второго клиента командой 

ovs-vsctl add-port HQ-SW ens5 tag=100

где ensX - это интерфейс в сторону HQ-CLI

HQ-RTR

Перейдем на RTR-HQ

Удалим созданный Нами в начале практической интерфейс в сторону внутренней сети командой 

nmcli con del ensX

где ensX - это интерфейс в сторону внутренней сети.

Добавим интерфейс для 100 VLAN командой 

nmcli con add type vlan con-name ens4 dev ens4 id 100 ipv4.address 192.168.1.1/26 ipv4.method manual

где ensX - интерфейс в сторону SW-HQ

Добавим интерфейс для 200 VLAN командой 

nmcli con add type vlan con-name ens4 dev ens4 id 200 ipv4.address 192.168.2.1/28 ipv4.method manual

где ensX - интерфейс в сторону SW-HQ

SSH

Переходим на SRV1

Перед началом

Открываем файл настройки SSH командой 

mcedit /etc/openssh/sshd_config

Раскомментируем строку Port и изменяем 22 на 2024

Укажем количество попыток входа, для этого раскомментируем строку MaxAuthTries и изменим количество попыток на 2

Настроим баннер при подключении для пользователя, для этого раскомментируем строку Banner и укажем путь к файлу с текстом заменив значение по-умолчания на /etc/motd

Сохраним и выйдем

Создадим файл /etc/motd командой mcedit /etc/motd

Заполним файл следующим содержимым: 

--------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
Authorized access only! 
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------

Сохраним и выйдем 

apt-get update
apt-get install dhcp-server
cp /etc/dhcp/dhcpd.conf.sample /etc/dhcp/dhcpd.conf

mcedit /etc/dhcp/dhcp.conf

ddns-update-style none;

subnet 192.168.1.0 netmask 255.255.255.192 {
option routers 192.168.1.1;
option subnet-mask 255.255.255.192;
option domain-name "au-team.ipo";
option domain-name-servers 192.168.2.2;

range dynamic-bootp 192.168.1.2 192.168.1.10;
default-lease-tame 21600;
max-lease-time 43200;
}
host HQ-CLI {
 hardware ethernet 50:5f:c8:0d:00;
 fixed-address 192.168.1.2;
 }

Сохраним и выйдем

Настроим на каком интерфейсе будет работать Наш DHCP-сервер, для этого откроем файл 

mcedit /etc/sysconfig/dhcpd

В строке DHCPARGS после знака = ens4.100(без vlan ens4)

Сохраним и выйдем.

Перезапустим службу, отвечающую за DHCP-сервер командой 

systemctl restart dhcpd.service

Добавим службу в автозагрузку командой 

systemctl enable --now dhcpd.service

OSPF

Перейдем на RTR-HQ

Обновим список пакетов командой 

apt-get update

Установим пакет frr командой 

apt-get install frr

Включим демон ospfd для этого:

Откроем файл /etc/frr/daemons командой 

mcedit /etc/frr/deamons

Поменяем в строке ospfd с no на yes

Выходим

Перезагружаем службу frr командой 

systemctl restart frr

Добавим frr в автозагрузку командой 

systemctl enable --now frr

Заходим в frr командой 

vtysh

Переходим в режим глобальной конфигурации командой 

conf t

Заходим в процесс маршрутизации командой 

router ospf

Настроим Router ID равным 1.1.1.1 командой 

ospf router-id 1.1.1.1

Объявим сеть туннеля в ospf командой 

network 10.0.0.0/30 area 0

Объявим сеть первого VLAN 192.168.1.0/26 командой 

network 192.168.1.0/26 area 1

Объявим сеть второго VLAN 192.168.2.0/28 командой 

network 192.168.2.0/28 area 1

Выйдем в режим глобальной конфигурации командой 

exit

Перейдем в режим настройки интерфейса командой 

interface tun0

Включим аутентификацию OSPF командой 

ip ospf authentication

Настроим авторизацию OSPF по ключу DEMO командой 

ip ospf authentication-key DEMO

Выйдем из режима настройки интерфейса командой 

exit

Перейдем на подинтерфейс в сторону первого VLAN командой 

interface ens4.100

Отключим рассылку пакетов ospf на этом интерфейсе командой 

ip ospf passive

Перейдем на подинтерфейс в сторону второго VLAN командой 

interface ens4.200

Отключим рассылку пакетов ospf на этом интерфейсе командой 

ip ospf passive

Перейдем на интерфейс в сторону внешней сети командой 

interface ens3

Отключим рассылку пакетов ospf на этом интерфейсе командой 

ip ospf passive

Сохраним настройки для этого выйдем в пользовательский режим сочетанием клавиш Ctrl+Z и сохраним командой 

write

Выходим из vtysh командой exit DNS Установим локальный DNS-сервер и текстовый редактор nano командой apt-get install nano bind bind-utils -y Открываем файл /etc/bind/options.conf командой nano /etc/bind/options.conf В строке listen-on меняем 127.0.0.1 на any Раскомментируем строку forwarders (убираем //) и между фигурными скобками указываем адрес DNS-сервера на который будем ссылаться при отсутствии необходимой записи на локальном сервере. В нашем случае указываем 77.88.8.8; Также раскомментируем строку allow-query и меняем в ней localnets на any Сохраняем и закрываем файл. Переходим непосредственно к настройке зоны. Для этого открываем файл /etc/bind/local.conf командой nano /etc/bind/local.conf Добавляем в конец информацию о Нашей зоне: zone "domain.test" { 

                     type master;
                     file "domain.test.db";

}; zone "2.168.192.in-addr.arpa" { 

                     type master;
                     file "domain_rev2.test.db";

}; Сохраняем и выходим sudo nano /etc/bind/zone/au-team.irpo.db Заполните его следующими данными:


$TTL 86400 @ IN SOA ns1.au-team.irpo. admin.au-team.irpo. ( 

                       2024121701 ; Serial
                       3600       ; Refresh
                       1800       ; Retry
                       1209600    ; Expire
                       86400 )    ; Minimum TTL
NS Records

@ IN NS ns1.au-team.irpo.

A Records

hgq-rtr IN A 192.168.1.1 br-rtr IN A 192.168.1.2 hg-srv IN A 192.168.1.3 hg-cli IN A 192.168.1.4 br-srv IN A 192.168.1.5

PTR Records (reverse zone must be configured separately)

1 IN PTR hgq-rtr.au-team.irpo. 3 IN PTR hg-srv.au-team.irpo. 4 IN PTR hg-cli.au-team.irpo.

CNAME Records

moodle IN CNAME hgq-rtr.au-team.irpo. wiki IN CNAME hgq-rtr.au-team.irpo.

IP-ADDRESS

ISP-NET-DHCP-DHCP
     -HQRTR-172.16.4.1/28
     -BR-RTR-172.16.5.1/28
HQ-RTR-ISP-172.16.4.2/28-GATEWAY-172.16.4.1
     -HQ-SRV-192.168.1.1/26
     -HQ-CLI-192.168.2.1/28
BR-RTR-ISP-172.16.5.2/28-GATEWAY-172.16.5.1
      -BR-SRV-192.168.3.1/27
HQ-SRV-HQ-RTR 192.168.2.2/28-GATEWAY-192.168.2.1
BR-SRV-BR-RTR-192.168.3.2/27-GATEWAY-192.168.3.1
HQ-CLI-HQ-RTR-192.168.1.2/26-GATEWAY-192.168.1.1