Конспект / шпаргалка

Настройка сети и системы

Пошаговое руководство по базовой настройке инфраструктуры: хост, адресация IPv4, пользователи, коммутация OVS, SSH, GRE-туннели, OSPF, NAT, DHCP и синхронизация времени. Команды для Linux (ALT/RHEL-семейство) и роутеров EcoRouter.

1 Настройка хоста

Linux

bash
Hostnamectl set-hostname "имя хоста"; exec bash

Имя хоста заполняется в формате имя_хоста.домен (например isp.ledi-gaga.com).

Проверить:

bash
hostname -f

EcoRouter

EcoRouter CLI
hostname "имя хоста"
ip domain-name "домен"

2 Настройка IPv4

На всех устройствах необходимо сконфигурировать IPv4:

  • Локальная сеть в сторону VLAN 100 — необходимо выделить сеть размером не более 32 адресов из адресного пространства 10.10.100.0/27.
  • Локальная сеть в сторону VLAN 200 — необходимо выделить сеть размером не более 16 адресов из адресного пространства 10.10.200.0/28.
  • Локальная сеть для управления VLAN 999 — необходимо выделить сеть размером не более 8 адресов из адресного пространства 10.10.30.0/29.
  • В локальной сети в сторону сервера — необходимо выделить сеть размером не более 16 адресов из адресного пространства 10.20.20.0/28.
  • В локальной сети в сторону компьютера — необходимо выделить сеть размером не более 8 адресов из адресного пространства 10.20.30.0/29.

Linux

Проверить адреса интерфейсов:

bash
ip -br a

Основные директории для редактирования конфигурации интерфейса: 

/etc/net/ifaces/ensX/options
Пример содержимого файла options
Пример содержимого файла options
  • Type — тип подключения.
  • Config wireless — конфигурировать ли беспроводную сеть.
  • Bootproto — использование статического адреса или dhcp.
  • Config_ipv4 — конфигурировать ли ipv4.
  • Disabled — отключен интерфейс или нет.

В /etc/net/ifaces/ensX/ipv4address содержится адрес интерфейса в формате: 

172.16.1.1/28    # ip address / маска подсети

После внесения изменений в конфигурацию сети, чтобы изменения вступили в силу, необходимо перезапустить службу network:

bash
systemctl restart network

3 Настройка пользователя

Linux

Перед тем как редактировать или добавлять пользователя, необходимо проверить, существует ли он:

bash
cat /etc/psswd | grep hahauser

Для того чтобы добавить пользователя, необходимо ввести следующую команду:

bash
useradd -u 2026 hahauser
useradd -u идентификатор_пользователя имя_пользователя

Для того чтобы поменять или назначить пароль пользователю:

bash
passwd hahauser
passwd имя_пользователя

Для того чтобы проверить идентификатор пользователя:

bash
id sshuser -u
id имя_пользователя -u

Чтобы добавить пользователя в группу суперпользователей:

bash
usermod -aG wheel hahauser
usermod -aG wheel имя_пользователя

Для того чтобы проверить, может ли пользователь пользоваться sudo без ввода пароля, следует сначала проверить файл по следующей директории:

bash
cat /etc/sudoers | grep hahauser

Если его там нет, проверить следующую директорию:

bash
ls /etc/sudoers.d/
ls /etc/sudoers.d/ | grep hahauser

И проверить содержимое файла, если он там есть:

bash
cat /etc/sudoers.d/hahauser

Пример вывода:

hahauser ALL=(ALL) NOPSSWD: ALL

EcoRouter

Чтобы проверить список созданных пользователей:

EcoRouter CLI
show users localdb

Если пользователя нет, можно создать следующими командами.

Создание пользователя:

EcoRouter CLI
Router_a(config)#username haha_root

Назначение пароля пользователю:

EcoRouter CLI
Router_a(config-user)#password Pa$$w0rd

4 Настройка коммутатора через утилиту OVS

Чтобы посмотреть, что настроено на коммутаторе, нужно ввести команду:

bash
ovs-vsctl show
  • Port — физический порт.
  • Tag — какому VLAN принадлежит порт.
  • Interface — логический интерфейс.
  • Type — тип интерфейса, указывается, если он логический.

Чтобы добавить мост, необходимо вписать команду:

bash
ovs-vsctl add-br "название моста"

Для того чтобы добавить порт к мосту:

bash
ovs-vsctl add-port "название_моста" "название_порта"
ovs-vsctl add-port "название_моста" "название_порта" tag="влан_тег"

По аналогии вы также добавляете всё остальное.

Также необходимо проверить интерфейс менеджмента (MGMT) по пути /etc/net/ifaces/MGMT/options, адрес /etc/net/ifaces/MGMT/ipv4address и маршрут по умолчанию /etc/net/ifaces/MGMT/ipv4route.

MGMT / options
MGMT / options
MGMT / ipv4address
MGMT / ipv4address
MGMT / ipv4route
MGMT / ipv4route

5 Настройка SSH

Для настройки конфига необходимо перейти в директорию: 

/etc/openssh/sshd_config

Чтобы ограничить количество попыток, необходимо найти следующий параметр и указать кол-во попыток: 

MaxAuthTries 2

Чтобы настроить баннер, необходимо найти или ввести в документ следующую строку, указав путь до баннера: 

Banner /etc/openssh/banner

Путь может быть любым, но должен быть абсолютным. Затем создаём файл с необходимой надписью внутри него:

bash
vim /etc/openssh/banner

После чего перезапускаем службу:

bash
systemctl restart sshd

6 Настройка GRE туннеля

Router-a (с комментариями):

EcoRouter CLI — Router-a
router-a(config)#interface tunnel.0                       # создаём интерфейс
router-a(config-if-tunnel)#description "GRE"               # даём название интерфейсу
router-a(config-if-tunnel)#ip address 10.10.10.1/30        # назначаем адрес интерфейсу
router-a(config-if-tunnel)#ip tunnel 172.16.1.2 172.16.2.2 mode gre
# адреса роутера, из которого идёт трафик, и в который мы будем посылать трафик

Аналогично делаем на другом роутере:

EcoRouter CLI — Router-b
router-b(config)#interface tunnel.0
router-b(config-if-tunnel)#description "GRE"
router-b(config-if-tunnel)#ip address 10.10.10.2/30
router-b(config-if-tunnel)#ip tunnel 172.16.2.2 172.16.1.2 mode gre
router-b(config-if-tunnel)#exit
router-b(config)#write memory

Также не забудьте поставить маршрут по умолчанию:

EcoRouter CLI
router-b(config)#ip route 0.0.0.0/0 172.16.2.1
router-a(config)#ip route 0.0.0.0/0 172.16.1.1

7 Настройка OSPF

Firewall

В левом столбце выбираем Маршрутизация → OSPF:

Меню: Маршрутизация → OSPF
Меню: Маршрутизация → OSPF

В основных задаём параметры аутентификации соседей:

Параметры аутентификации соседей
Параметры аутентификации соседей

Добавляем локальный интерфейс:

Добавление локального интерфейса
Добавление локального интерфейса

Перейдя в дополнительные настройки, смотрим, чтобы всё было проставлено как на скриншоте.

Router-a

EcoRouter CLI — Router-a
Router-a(config)#router ospf 1
Router-a(config-router)#ospf router-id 10.10.10.1
Router-a(config-router)#passive-interface default
Router-a(config-router)#no passive-interface tunnel.0
Router-a(config-router)#network 10.10.100.0/27 area 0
Router-a(config-router)#network 10.10.200.0/28 area 0
Router-a(config-router)#network 10.10.30.0/29 area 0
Router-a(config-router)#network 10.10.10.0/30 area 0
Router-a(config-router)#exit
Router-a(config-router)#interface tunnel.0
Router-a(config-if-tunnel)#ip ospf authentication message-digest
Router-a(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd

Router-b

EcoRouter CLI — Router-b
Router-b(config)#router ospf 1
Router-b(config-router)#ospf router-id 10.10.10.2
Router-b(config-router)#passive-interface default
Router-b(config-router)#no passive-interface tunnel.0
Router-b(config-router)#no passive-interface fw
Router-b(config-router)#network 10.10.10.0/30 area 0
Router-b(config-router)#network 10.20.10.1/30 area 0
Router-b(config-router)#exit
Router-b(config)#interface tunnel.0
Router-b(config-if-tunnel)#ip ospf authentication message-digest
Router-b(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd
Router-b(config)#exit
Router-b(config)#interface fw
Router-b(config-if)#ip ospf authentication message-digest
Router-b(config-if)#ip ospf message-digest-key 1 md5 P@ssw0rd

8 Настройка NAT

ISP

Проверяем переадресацию:

bash
[root@isp ~]# sysctl -a | grep ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0

Настраиваем NAT с помощью iptables:

bash
[root@isp ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/28 -o ens3 -j MASQUERADE
[root@isp ~]# iptables -t nat -A POSTROUTING -s 172.16.2.0/28 -o ens3 -j MASQUERADE

Сохраняем конфигурацию:

bash
[root@isp ~]# iptables-save >> /etc/sysconfig/iptables

Активируем службу:

bash
[root@isp ~]# systemctl enable --now iptables

Перезапускаем службу:

bash
[root@isp ~]# systemctl restart network

Router-a

EcoRouter CLI — Router-a
Router-a(config)#interface isp
Router-a(config-if)#ip nat outside
Router-a(config-if)#ex
Router-a(config)#interface vl100
Router-a(config-if)#ip nat inside
Router-a(config-if)#ex
Router-a(config)#interface vl200
Router-a(config-if)#ip nat inside
Router-a(config-if)#ex
Router-a(config)#interface vl999
Router-a(config-if)#ip nat inside
Router-a(config)#ip nat pool INTERNET 10.10.100.1-10.10.100.32,10.10.200.1-10.10.200.16,10.10.30.1-10.10.30.8
Router-a(config)#ip nat source dynamic inside-to-outside pool INTERNET overload interface isp

Router-b

EcoRouter CLI — Router-b
Router-b(config)#interface isp
Router-b(config-if)#ip nat outside
Router-b(config)#interface fw
Router-b(config-if)#ip nat inside
Router-b(config)#ip nat pool INTERNET 10.20.10.1-10.20.10.2,10.20.20.1-10.20.20.14,10.20.30.1-10.20.30.6
Router-b(config)#ip nat source dynamic inside-to-outside pool INTERNET overload interface isp

9 Настройка DHCP с помощью nmcli

Смотрим наши подключения:

bash
nmcli connection show

Удаляем подключение:

bash
[root@cli ~]# nmcli connection delete uuid b311a571-ca77-37d3-8f68-50e9e4b2a577

И добавляем новое:

bash
[root@cli ~]# nmcli connection add ifname ens3 type ethernet autoconnect yes con-name dhcp ipv4.method auto

10 Настройка часового пояса

EcoRouter

EcoRouter CLI
Router_a(config)#ntp timezone utc+3
router_a(config)#do show ntp timezone
System Time zone: Europe/Moscow
Router_a(config)#

Linux

bash
timedatectl
[root@srv ~]# timedatectl set-timezone Europe/Moscow
Модуль 1 · Сетевое и системное администрирование · конспект