Студенты: Модуль А. Настройка технических и программных средств информационно-коммуникационных систем.
Время на выполнение модуля 4 часа.
Доступ к маршрутизаторам RTR осуществляется по учетной записи admin и паролю P@ssw0rd. Учетная запись для Linux-машин – user с паролем resu. Пароль от суперпользователя – toor. Маршрутизатор ISP является маршрутизатором провайдера, доступа до которого у вас нет. Провайдер выдает маршрутизаторам HQ-RTR и BR-RTR IP-адреса по DHCP.
На коммутаторах предустановлен пакет openvswitch для реализации функционала коммутатора.
Задания: 1. Базовая настройка
e) Настройте имена устройств согласно топологии
a. Используйте полное доменное имя. Доменный суфикс – au.team.
config
hostname rtr-hq.au.team
do commit
do confirm
ex
Коммутаторы:
Hostnamectl hostname sw-hq.au.team
Hostname -f (проверка)
Reboot перезагрузка
f) На L2 и L3 устройствах необходимо создать пользователя sshuser с паролем P@$$w0rd.
g) На маршрутизаторах данный пользователь должен иметь максимальные привилегии.
configure
username ss26huser
password P@ssw0rd
privilege 15
exit
exit
commit
confirm
exit
h) На коммутаторах данный пользователь должен иметь возможность запуска sudo без дополнительной аутентификации.
useradd shuser
cd /etc/home (может понадобиться для установки пароля; если не устанавливается пароль)
passwd sshuser
P@ssw0rd
P@ssw0rd
control sudo (Проверяем какие группы пользователей могут пользоваться sudo без авторизации)
usermod -aG whell sshuser (Добавляем пользователя sshuser в группу)
id sshuser (Проверяем что пользователь видится в двух группах)
mcedit /etc/sudoers (Даем пользователю права авторизации в sudo (root) без ввода пароля)
Убираем комментарий с двух строчек
WHEEL_USERS ALL=(ALL:ALL) ALL
WHEEL_USERS ALL=(ALL;ALL) NOPASSWD: ALL
Строчки выше располагаются +- на 100 строке
F2 сохранить F10 выйти
*Проверяем доступ к авторизации без пароля к пользователю sshuser
sudo -i
2. Настройка адресации
a) Для офиса HQ используется сеть 192.168.100.0/23, для офиса BR - 192.168.200.0/25.
b) Сеть в офисе HQ и BR необходимо разделить на подсети для каждой VLAN.
c) Для серверов и клиентов используется сеть с маской 255.255.255.128.
RTR-HQ:
Определим
какие есть интерфейсы командой sh int status
По mac-адресу смотрим подключения сетевых инт. (т е куда
они «смотрят»)
Вводим последовательность команд для инт.,
«смотрящего» на ISP (например это gi1/0/4)
сonfigure
int gi1/0/3
ip firewall disabled
ip address 192.168.100.2/23
do commit
exit
do confirm
ip route 192.168.100.0/23
192.168.100.1 настройка
шлюза
do commit
do confirm
проверяем что настройки применились командой do sh ip int и do sh int status
проверяем связность между
устройством RTR-HQ и ISP ping 192.168.100.1
вводим последовательность команд для инт, «смотрящего» на SW-HQ (например это gi1/0/3) На этом инт вам необходимо
создать sub interface для
vlan
configure
int
gi1/0/4
ip
firewall disabled
no
ip address all
exit
do
commit
do
confirm
int
gi1/0/4.1000
ip
firewall disabled
ip
address 10.0.10.1/27
exit
do
commit
do
confirm
Аналогично
настраиваем RTR-BR
сonfigure
int gi1/0/3
ip firewall disabled
ip address 192.168.100.2/25
do commit
exit
do confirm
ip route 192.168.100.0/25 192.168.100.1 настройка шлюза
do commit
do confirm
configure
int
gi1/0/4
ip
firewall disabled
no
ip address all
exit
do
commit
do
confirm
int
gi1/0/4.2000
ip
firewall disabled
ip
address 10.0.10.33/27
exit
do
commit
do
confirm
int gi1/0/4.3000
ip
firewall disabled
ip
address 10.0.10.33/27
exit
do
commit
do
confirm
Проверяем что настройки применились
командой
do sh ip in
do sh int status
настройка по видео
HQ-SRV1
3. Настройка коммутации
a) Настройка коммутаторов осуществляется при помощи Open vSwitch
b) Имена коммутаторов совпадают с коротким именем устройства.
c) Сервера в двух офисах находятся во VLAN1000, клиенты – VLAN2000.
d) На маршрутизаторах создаются sub-интерфейсы для VLAN1000 и VLAN2000
e) Назначьте на sub-интерфейсы последние доступные адреса сетей VLAN
Для офиса HQ:
options
, иначе порты не привяжутсяВременное назначение ip-адреса (смотрящего в сторону rtr-hq):
ip link add link ens18 name ens18.300 type vlan id 300
ip link set dev ens18.300 up
ip addr add 10.0.10.66/27 dev ens18.300
ip route add 0.0.0.0/0 via 10.0.10.65
echo nameserver 8.8.8.8 > /etc/resolv.conf
Обновление пакетов и установка openvswitch
:
apt-get update && apt-get install -y openvswitch
Автозагрузка:
systemctl enable --now openvswitch
ens18 - rtr-hq
ens19 - cicd-hq - vlan200 ens20 - srv-hq - vlan100 ens21 - cli-hq - vlan200
Создаем каталоги для ens19,ens20,ens21:
mkdir /etc/net/ifaces/ens{19,20,21}
Для моста:
mkdir /etc/net/ifaces/ovs0
Management интерфейс:
mkdir /etc/net/ifaces/mgmt
Не удалять настройки openvswitch:
sed -i "s/OVS_REMOVE=yes/OVS_REMOVE=no/g" /etc/net/ifaces/default/options
Мост /etc/net/ifaces/ovs0/options
:
mgmt /etc/net/ifaces/mgmt/options
:
TYPE - тип интерфейса (internal);
BOOTPROTO - статически;
CONFIG_IPV4 - использовать ipv4;
BRIDGE - определяет к какому мосту необходимо добавить данный интерфейс;
VID - определяет принадлежность интерфейса к VLAN.
Поднимаем интерфейсы:
cp /etc/net/ifaces/ens18/options /etc/net/ifaces/ens19/options
cp /etc/net/ifaces/ens18/options /etc/net/ifaces/ens20/options
cp /etc/net/ifaces/ens18/options /etc/net/ifaces/ens21/options
Назначаем Ip, default gateway на mgmt:
echo 10.0.10.66/27 > /etc/net/ifaces/mgmt/ipv4address
echo default via 10.0.10.65 > /etc/net/ifaces/mgmt/ipv4route
Перезапуск network:
systemctl restart network
Проверка:
ip -c --br a
ovs-vsctl show
ens18 - rtr-hq делаем trunk и пропускаем VLANs:
ovs-vsctl set port ens18 trunk=100,200,300
ens19 - tag=200
ovs-vsctl set port ens19 tag=200
ens20 - tag=100:
ovs-vsctl set port ens20 tag=100
ens21 - tag=200
ovs-vsctl set port ens21 tag=200
Включаем инкапсулирование пакетов по 802.1q:
modprobe 8021q
Проверка включения
4. Настройка динамической трансляции адресов
a) Настройте динамическую трансляцию адресов для обоих офисов.
b) Доступ к интернету необходимо разрешить со всех устройств.
RTR-HQ:
config
security zone public
exit
int te1/0/2
security-zone public
exit
object-group network COMPANY
ip address-range 10.0.10.1-10.0.10.254
exit
object-group network WAN
ip address-range 11.11.11.11
exit
nat source
pool WAN
ip address-range 11.11.11.11
exit
ruleset SNAT
to zone public
rule 1
match source-address COMPANY
action source-nat pool WAN
enable
exit
exit
commit
confirm
RTR-BR:
5. Создайте GRE туннель между офисами HQ и BR
a) Настройка производится на HQ-RTR и BR-RTR
b) IP-адрес туннеля на HQ-RTR – 10.10.10.11/30, BR-RTR – 10.10.10.12/30
c) Используйте протокол динамической маршрутизации OSPF для обеспечения свзяности устройств из двух офисов
На оборудовании в офисе HQ:
config
tunnel gre 5
interface Tunnel0
description GRE Tunnel to BR Office
local address 10.10.10.11
tunnel source 192.168.100.0
tunnel destination 192.168.200.0
router rip
network 10.0.0.0
sh interfaces Tunne10
(
посмотреть
состояние
туннеля
)
На оборудовании в офисе BR:
interface Tunnel0
description GRE Tunnel to HQ Office
ip address 10.10.10.12/30
tunnel source 192.168.200.0
tunnel destination 192.168.100.0
router rip
network 10.0.0.0
sh interfaces Tunne10 (посмотреть состояние туннеля)
6. Настройка протокола динамической конфигурации хостов.
a) Для офиса HQ в качестве сервера DHCP выступает HQ-SRV1, офиса BR – BR-SRV.
b) Клиентами являются машины HQ-CLI, BR-CLI.
c) Адрес сети выдаётся согласно топологии;
d) Адрес шлюза по умолчанию - адреса маршрутизаторов HQ-RTR и BR-RTR
e) Адрес DNS-сервера для машины HQ-CLI – 8.8.8.8, для машины BR-CLI - адрес сервера 94.232.137.104.
RTR-HQ
DNS-сервер - srv-hq
configure terminal
ip dhcp-server pool COMPANY-HQ
network 10.0.10.32/27
default-lease-time 3:00:00
address-range 10.0.10.33-10.0.10.62
excluded-address-range 10.0.10.33
default-router 10.0.10.33
dns-server 10.0.10.2
domain-name company.prof
exit
Включение DHCP-сервера:
ip dhcp-server
7. Запустите сервиса MediaWiki на сервере BR-SRV
a) Используйте веб-сервер Apache. В качестве системы управления базами данных используйте MySQL.
apt-get install MySQL-server
chkconfig mysqld on
service mysqld start
b) Создайте базу данных ‘mediawiki’ для использования с MediaWiki.
mysql -u root -p
CREATE DATABASE mediawiki;
c) Создайте пользователя ‘wiki’ с паролем ‘WikiP@ssw0rd’ и предоставьте ему права доступа к этой базе данных.
CREATE USER 'wiki'@'localhost' IDENTIFIED BY 'WikiP@ssw0rd';
GRANT ALL PRIVILEGES ON mediawiki.* TO 'wiki'@'localhost';
FLUSH PRIVILEGES;
exit
d) Установите последнюю версию MediaWiki/
wget https://releases.wikimedia.org/mediawiki/1.35/mediawiki-1.35.0.tar.gz
tar xvzf mediawiki-*.tar.gz
sudo mv mediawiki-1.35.0/* /var/www/html/
e) MediaWiki должна быть доступна на порту 8080.
sudo nano /etc/apache2/ports.conf
Измените Listen
80
на Listen
8080
, затем сохраните и закройте файл
Перезапуск апачи
sudo systemctl restart apache2
8. Реализуйте мониторинг по средствам rsyslog
a) Сервер сбора логов расположен на HQ-SRV1.
b) Собирать логи необходимо со всех устройств двух офисов
c) Приоритет сообщений должен быть не ниже warning.
d) Все журналы должны находиться в директории /opt. Для каждого хоста должна выделяться своя директория, которая совпадает с именем машины, например, для сервера HQ-SRV2 должна создаваться директория hq-srv2.au.team.