bikedeadman228

Модуль 1 задание 1: hostnamectl set-hostname isp.au-team.irpo; exec bash hostnamectl set-hostname hq-rtr.au-team.irpo; exec bash hostnamectl set-hostname br-rtr.au-team.irpo; exec bash hostnamectl set-hostname hq-srv.au-team.irpo; exec bash hostnamectl set-hostname hq-cli.au-team.irpo; exec bash hostnamectl set-hostname br-srv.au-team.irpo; exec bash ip -c a сравнить мас Указываем адреса: ISP ISP-hq-rtr 172.16.4.1/28 ISP BR-RTR 172.16.5.1/28 HQ-RTR ISP_HQ-RTR 172.16.4.2/28 172.16.4.1 77.88.8.8 HQ_RTR_HQ_SRV 192.168.100.2/26 192.168.100.1 BR-RTR ISP_BR-RTR 172.16.5.2/28 172.16.5.1 77.88.8.8 BR-RTR BR-SRV 192.168.200.1/27 BR-SRV BR_RTR-BR_SRV 192.168.200.2/27 192.168.200.1 # ip а # ip -с а # ip -с -br а # nano /etc/sysctl.conf net.ipv4.ip_forward=1 Модуль 1 задание 2 Для настройки динамической трансляция адресов в сторону HQ-RTR и BR-RTR для доступа к сети Интернет необходимо настроить Nftables на ISP # nano /etc/nftables/isp.nft table inet nat { chain POSTROUTING { type nat hook postrouting priority srcnat ; oifname "ens18" masquerade } } # nano/etc/sysconfig/nftables.conf Ниже строки начинающейся на include, прописываем строку include "/etc/nftables/isp.nft" Запуск и добавление в автозагрузку сервиса nftables # systemctl еnablе --now nftables проверка ip -c –br a в машине hq-rtr ping -c4 ya.ru в машине br-rtr ping -c4 ya.ru Модуль 1 задание 3: Машины HQ-SRV, BR-SRV: # useradd sshuser -u 1010 -U # passwd sshuser <ввод пароля> <подтверждение пароля> Добавляем пользователя sshuser в группу wheel: # usermod -aG wheel sshuser Настроить команду sudo можно в файле /etc/sudoers, в нём хранятся все нужные параметры. # visudo вставляем в конфиг данную строку: sshuser ALL=(ALL) NOPASSWD: ALL на BR-SRV аналогично Проверка: выполняем вход под пользователем sshuser и выполняем sudo -i или другие команды требующую повышения привелегий до root Создание пользователя net_admin на на маршрутизаторах HQ-RTR и BR-RTR производится одинаково Создание юзера net_admin # useradd net_admin -U # passwd net_admin < вводим пароль пользователя > < повторяем ввод пароля > Возможность запускать sudo для пользователя net_admin без дополнительной аутентификации. Добавляем пользователя net_admin в группу wheel: # usermod -aG wheel net_admin Настроить команду sudo можно в файле /etc/sudoers, в нём хранятся все нужные параметры # visudo Правим конфигурационный файл добавив следующую строку net_admin ALL=(ALL) NOPASSWD: ALL Проверка Выполняем вход под пользователем net_admin и выполняем sudo -i или другие команды требующую повышения привелегий до root Модуль 1 Задание 4 Настройки производим на HQ-RTR: Устанавливаем Openvswitch # dfn install openvswitch NetworkManager-ovs -у Добавляем в автозагрузку и запускаем # systemctl еnаbе --now openvswitch Создаем мост (виртуальный коммутатор) hq-sw # ovs-vsctl add-br hq-sw Добавляем порт ens19 к hq-sw и назначаем ему vlan100 # ovs-vsctl add-port hq-sw ens19 tag=100 Добавляем порт ens20 к hq-sw и назначаем ему vlan200 # ovs-vsctl add-port hq-sw ens20 tag=200 Добавляем порт ens21 к hq-sw и назначаем ему vlan999 # ovs-vsctl add-port hq-sw ens21 tag=999 Добавляем внутренний порт vlan100 к мосту hq-sw в качестве порта доступа к VLAN 100 # ovs-vsctl add-port hq-sw vlan100 tag=100 -- set interface vlan100 type=interi Добавляем внутренний порт vlan200 к мосту hq-sw в качестве порта доступа к VLAN 200 # ovs-vsctl add-port hq-sw vlan200 tag=200 -- set interface vlan200 type=interi Добавляем внутренний порт vlan999 к мосту hq-sw в качестве порта доступа к VLAN 999 # ovs-vsctl add-port hq-sw vlan999 tag=999 -- set interface vlan999 type=interi Перезагружаем openvswi tch и Netwo rkManager # systemctl restart openvswitch # systemctl restart NetworkManager Включаем мост # ip link set hq-sws up Назначаем IP - адреса интерфейсам VLAN и включаем их # ip а add 192.168.100.1/26 dev vlan100 # ip а add 192.168.100.65/28 dev vlan200 # ip а add 192.168.100.81/29 dev vlan999 Модуль 1 Задание 5 Настройка Selinux Вариант 1 Если он включен - разрешить этот порт для работы по нему SSH. # semanage port -а -t ssh_port_t -р tcp 2024 # setenforce 0 Вариант 2 На время настройки переведите selinux в режим уведомлений. Для этого измените содержимое конфигурационного файла: # nano /etc/selinux/config Заменив текст SELINUX=enforcing на SELINUX=permissive. Затем выполните: # setenforce 0 Настройка на HQ-SRV Открываем файл конфигурации SSH /etc/ssh/sshd_config # nano /etc/ssh/sshd_config Находим директиву Роrt 22 Снимаем комментарий и прописываем номер порта 2024 Добавляем следующую строку: AllowUsers sshuser Находим директиву MaxAuthTries - количество попыток ввода пароля. По умолчанию 6. При неудачном переборе сеанс связи обрывается. Ставим значение MaxAuthTries 2 Находим директиву # Banner none Снимаем комментарий и указываем путь к файлу /etc/ssh-banner, который будет содержать текст баннера. banner /etc/ssh-banner Создаем файл в котором содержиться пользовательский баннер. # nano /etc/ssh-banner Чтобы применить изменения, перезапускаем службу SSH # systemctl restart sshd Проверка С HQ-CLI подключаемся по с SHH к HQ-SRV # ssh sshuser@192.168.100.2 -р 2024 Модуль 1 Задание 6 Настройка на BR-SRV Настройка на BR-SRV аналогичная Так как в РЕД ОС используется NetworkManager - следовательно переходим в nmtui: ► Выбираем «Изменить подключение» ► Выбираем «Добавить» ► Выбираем «IР-туннель ► Задаём понятные имена «Имя профиля» и «Устройство» ► «Режим работы» выбираем «GRE» «Родительский» указываем интерфейс в сторону ISP ( ens18 задаём «Локальный IP» (IP на интерфейсе HQ-RTR в сторону IPS 172.16.4.2) ► задаём «Удалённый IP» (IP на интерфейсе BR-RTR в сторону ISP 172.16.5.2) ► переходим к «КОНФИГУРАЦИЯ IPv4» Задаём адрес 1Pv4 для туннеля (10.10.0.1/30) Для корректной работы протокола динамической маршрутизации требуется увеличить параметр TTL на интерфейсе туннеля: # nmcli connection modify tun1 ip-tunnel.ttl 64 Активируем (перезагружаем) интерфейс tun1 Настройка GRE - туннеля на BR-RTR производится аналогично HQ-RTR ► Выбираем «Изменить подключение» ► Выбираем «Добавить» ► Выбираем «IР-туннель ► Задаём понятные имена «Имя профиля» и «Устройство» ► «Режим работы» выбираем «GRE» ► «Родительский» указываем интерфейс в сторону ISP (ens18) ► задаём «Локальный IP» (IP на интерфейсе BR-RTR в сторону IPS 172. 6.5.2) ► задаём «Удалённый IP» (IP на интерфейсе HQ-RTR в сторону ISP 172.16.4.2) ► переходим к «КОНФИГУРАЦИЯ IPv4» ► задаём адрес 1Pv4 для туннеля (10.10.0.2/30) nmcli connection modify tun1 ip-tunnel.ttl 64 Модуль 1 Задание 7 Реализация Настройка динамической (внутренней) маршрутизации средствами FRR Настройка протокола OSPF на HQ-RTR Устанавливаем пакет frr # dnf install -у frr Для настройки внутренней динамической маршрутизации для 1Pv4 используем протокол 0SPFv2 Для настройки ospf необходимо включить соответствующий демон в конфигурации /etc/frr/daemons # nano /etc/frr/daemons ospfd = yes - для OSPFv2 (1Pv4) Включаем и добавляем в автозагрузку службу FRR # systemctl еnаblе --now frr Переходим в интерфейс управление симуляцией FRR при помощи vtysh (аналог cisco) # vtysh Входим в режим глобальной конфигурации hq-rtr.au-team.irpo# configure terminal Переходим в режим конфигурации OSPFv2 hq-rtr.au-team.irpo(config)# router ospf Переводим все интерфейсы в пассивный режим hq-rtr.au-team.irpo(config-router)# passive-interface default hq-rtr.au-team.irpo(config-router)# network 192.168.100.0/26 area 0 hq-rtr.au-team.irpo(config-router)# network 192.168.100.64/28 area 0 hq-rtr.au-team.irpo(config-router)# network 10.10.0.0/30 area 0 Настройка аутентификации для области # area 0 authentication Выходим из режима конфигурации OSPFv2 hq-rtr.au-team.irpo(config-router)# exit Переходим в режим конфигурирования интерфейса tun1 hq-rtr.au-team.irpo(config)# interface tun1 Туннельный интерфейс tun1 делаем активным, для устанавления соседства с BR-RTR и обмена внутренними маршрутами hq-rtr.au-team.irpo(config-if)# nо ip ospf network broadcast Переводим интерфейс tun1 в активный режим hq-rtr.au-team.irpo(config-if)# по ip ospf passive Настройка аутентификации с открытым паролем password # ip ospf authentication # ip ospf authentication-key password Сохраняем текущую конфигурацию hq-rtr.au-team.irpott write Перезапускаем frr # systemctl restart frr Настройки OSPFv2 на BR-RTR аналогично HQ-RTR Модуль 1 Задание 8 Для настройки доступа в Интернет с офисов HQ и BR необходимо настроить Nftables на HQ-RTR и BR-RTR Настройка на HQ-RTR Создаем и открываем файл # nano /etc/nftables/hq-rtr.nft Прописываем следующие строки tаblе inet nat { chain P0STR0UTING type nat hook postrouting priority srcnat; oifname "ens18" masquerade } } # nano /etc/sysconfig/nftables.conf include "/etc/nftables/hq-rtr.nft" # systemctl enаblе --now nftables Настройка на BR-RTR Создаем и открываем файл # nano /etc/nftables/br-rtr.nft Прописываем следующие строки tablе inet nat { chain POSTROUTING { type nat hook postrouting priority srcnat ; oifname "ens18" masquerade } } # nano /etc/sysconfig/nftables.conf include "/etc/nftables/br-rtr.nft" Добавляем в автозагрузку: # systemctl еnаblе --now nftables Модуль 1 Задание 9 Настройка DHCP 1Pv4 на HQ-RTR Установка DHCP сервера # dnf install dhcp-server -у Копируем файл /us r / sha re/ doc/dhcp-se rver / dhcpd. conf. example в директорию /etc/dhcp/ с именем dhcpd.conf # ер /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf Открываем файл конфигурации # папа /etc/dhcp/dhcpd.conf и приводим его к следующему виду или прописываем в ручную: 1 subnet 192.168.100.64 netmask 255.255.255.240 { 2 range 192. 168. 100. 66 192. 168. 100. 78 ; 3 option domain-name-servers 192.168.100.2 ; 4 option domain-name "au-team.irpo" ; 5 option routers 192.168.100.1 ; 6 default-lease-time 600 ; 7 max-lease-time 7200 ; 8 } Запускаем и добавляем в автозагрузку службу dhcpd: # systemctl еnаЫе --now dhcpd Проверка на HQ-CLI Перезагружаем интерфейс на HQ-CLI и убеждаемся в работоспособности DHCP сервера Модуль 1 Задание 10 Для установки пакетов bind и bind-utils в настройках HQ-SRV добавим адрес DNS - сервер 77.88.8.8 Устанавливаем пакета DNS-cepвepa bind # dnf install bind bind-utils # nano /etc/named.conf listen-on port 53 ; listen-on-vб port 53 ; allow-query ; forwarders ; (дописать строку) dnssec-validation (заменить на none ) и привести их к виду: Объявляем файлы зон, дописываем в конец файла /var/named. conf следующие строки zопе "." IN { type }1 i пt; file "пarned.ca"; }; zопе "aн-tearn. irpo" { type rnaster; file "rnaster/aн-tearn.db"; }; zопе "100.168.192.iп-addr.arpa" { type rnaster; file "rnaster/aн-tearn_reu.db"; }; iпс lнde ''/etc/пarned .rfc1912 .zoпes''; i пс l нdе '' /etc/пarned . root . key''; С помощью утилиты named-checkconf проверяется наличие ошибок в конфигурационном файле, если результат выполнения команды пуст- ошибок нет. 1 1 # named-checkconf Создание локальных зон DNS Создайте папку с мастер зонами: 1 1 # mkdir /var/named/master Зона прямого просмотра Для сокращения времени написания файла прямой зоны ( au-team. db ) скопируем шаблон и отредактируем его 1 1 # ер /var/named/named.localhost /var/named/master/au-team.db Открываем на редактирование файл зоны au-team. db 1 1 # папо /var/named/master/au-team.db И приводим его к следующему виду Зона обратного просмотра Для сокращения времени написания файла обратной зоны ( au-team_ rev. d Ь ) скопируем шаблон и отредактируем его # cр /var/named/named.loopback /var/named/master/au-team_rev.db Открываем на редактирование файл зоны au-team_rev. db # nano /var/named/master/au-team.db И приводим его к следующему виду Назначаем владельца и права. # chown -R root:named /var/named/master # chmod 0640 /var/named/master/* С помощью утилиты named-checkconf -z проверяется наличие ошибок в конфигурационном файле и файлах зон. # named-checkconf -z На HQ-SRV в настройках сетевого интерфейса убедиться, что в качестве первичного DNS сервера указан его собственный IP - адрес Также необходимо проверить на BR-SRV , что в качестве первичного DNS сервера указан IP - адрес HQ-SRV HQ-CLI - должен получать автоматически по DHCP Запуск и добавление в автозагрузку DNS - сервера: # systemctl еnаЫе --now named Тестирование Проверяем работу DNS на HQ-SRV с BR-SRV с помощью команды host Проверка работоспособности DNS с помощью nslookup Для определения IР-адреса сервера по его доменному: 1 1 # nslookup <доменное_имя> Также с помощью утилиты nslookup может быть выполнено обратное преобразование IР-адреса в доменное имя. # nslookup <IР-адрес> Модуль 1 Задание 11 ВРЕМЯ!!! # timedatectl Список доступных часовых поясов можно посмотреть командой # Ls /usr/share/zoneinfo/ Посмотреть список регионов и городов # Ls /usr/share/zoneinfo/Europe/ ставим время москва # timedatectl set-timezone Europe/Moscow значение даты и времени при необходимости Для изменения даты и времени используется команда: timedatectl set-time "<дата> <время>/ проверка # timedatectl