Коммутатор и его конфигурация
Автор
Мудрость форума: Время для себя
- Посоветуйте фильм, от которого хочется плакать709 ответов
- Не с кем обсудить книги534 ответа
- Посоветуйте книги про подростков597 ответов
- Где и как справить День рождения, чтобы было весело и недорого?470 ответов
- Пересмотрела Титаник. Есть вопросы499 ответов
- Чем занимаются одинокие?1 547 ответов
- Положительные герои каких советских фильмов вас раздражают?803 ответа
- Самые страшные фильмы ужасов8 424 ответа
- Посоветуйте интересные фильмы771 ответ
- Ходите ли вы в церковь?450 ответов
10 ответов
Последний —
Перейти
Девки, кому сисадмин (айтишник) нужен! 👆 Хватайте, пока не убежал! 😅
Гость
Имя устройства IP-адрес Шлюз по умолчанию
ISP ens33: DHCP ------
ens34: 172.16.4.1 /28
ens35: 172.16.5.1 /28
HQ-RTR ens33: 172.16.4.2/28 172.16.4.1
ens34.vlan100: 192.168.100.1/26
ens34.vlan200: 192.168.200.1/28
ens34.vlan999: 192.168.99.1/29
BR-RTR ens33: 172.16.5.2/28 172.16.5.1
ens34: 172.30.100.1/27
HQ-SRV ens33.vlan100: 192.168.100.10/26 192.168.100.1
BR-SRV ens33: 172.30.100.10/27 172.30.100.1
HQ-CLI ens33.vlan200: DHCP DHCP
ОБНОВЛЯЕМ ИНТЕРФЕЙСЫ ОБЯЗАТЕЛЬНО
ISP ens33: DHCP ------
ens34: 172.16.4.1 /28
ens35: 172.16.5.1 /28
HQ-RTR ens33: 172.16.4.2/28 172.16.4.1
ens34.vlan100: 192.168.100.1/26
ens34.vlan200: 192.168.200.1/28
ens34.vlan999: 192.168.99.1/29
BR-RTR ens33: 172.16.5.2/28 172.16.5.1
ens34: 172.30.100.1/27
HQ-SRV ens33.vlan100: 192.168.100.10/26 192.168.100.1
BR-SRV ens33: 172.30.100.10/27 172.30.100.1
HQ-CLI ens33.vlan200: DHCP DHCP
ОБНОВЛЯЕМ ИНТЕРФЕЙСЫ ОБЯЗАТЕЛЬНО
Гость
динамическая сетевая трансляция
НА ISP
dnf install iptables-services -y
systemctl enable --now iptables
iptables -F
iptables -A FORWARD -s 172.16.0.0/16 -j ACCEPT
iptables -A FORWARD -d 172.16.0.0/16 -j ACCEPT
iptables -t nat -A POSTROUTING -o ens33 -s 172.16.0.0/16 -j MASQUERADE
systemctl stop firewalld
systemctl disable firewalld
iptables-save > /etc/sysconfig/iptables
ПРОВЕРЯЕМ ПИНГИ НА 10.39.0.1 С HQ-RTR и BR-RTR
Создайте пользователя sshuser на серверах HQ-SRV и BR-SRV
useradd -m -U -s /bin/bash -u 1010 sshuser
passwd sshuser
P@ssw0rd
P@ssw0rd
echo “sshuser ALL=(ALL) NOPASSWD: ALL” >> /etc/sudoers
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo sshuser ALL=(ALL) NOPASSWD: ALL >> /etc/sudoers
Создайте пользователя net_admin на маршрутизаторах HQ-RTR и
BR-RTR
useradd -m -U -s /bin/bash net_admin
passwd net_admin
P@$$w0rd
P@$$w0rd
echo “net_admin ALL=(ALL) NOPASSWD: ALL” >> /etc/sudoers
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo net_admin ALL=(ALL) NOPASSWD: ALL >> /etc/sudoers
НА ISP
dnf install iptables-services -y
systemctl enable --now iptables
iptables -F
iptables -A FORWARD -s 172.16.0.0/16 -j ACCEPT
iptables -A FORWARD -d 172.16.0.0/16 -j ACCEPT
iptables -t nat -A POSTROUTING -o ens33 -s 172.16.0.0/16 -j MASQUERADE
systemctl stop firewalld
systemctl disable firewalld
iptables-save > /etc/sysconfig/iptables
ПРОВЕРЯЕМ ПИНГИ НА 10.39.0.1 С HQ-RTR и BR-RTR
Создайте пользователя sshuser на серверах HQ-SRV и BR-SRV
useradd -m -U -s /bin/bash -u 1010 sshuser
passwd sshuser
P@ssw0rd
P@ssw0rd
echo “sshuser ALL=(ALL) NOPASSWD: ALL” >> /etc/sudoers
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo sshuser ALL=(ALL) NOPASSWD: ALL >> /etc/sudoers
Создайте пользователя net_admin на маршрутизаторах HQ-RTR и
BR-RTR
useradd -m -U -s /bin/bash net_admin
passwd net_admin
P@$$w0rd
P@$$w0rd
echo “net_admin ALL=(ALL) NOPASSWD: ALL” >> /etc/sudoers
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo net_admin ALL=(ALL) NOPASSWD: ALL >> /etc/sudoers
Гость
Настройка безопасного удаленного доступа на серверах HQ-SRV
и BR- SRV
Создаём баннер
echo “Authorized access only” > /etc/ssh/banner.txt
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo Authorized access only > /etc/ssh/banner.txt
Настраиваем SSH
nano /etc/ssh/sshd_config
Port 2024
AllowUsers sshuser
MaxAuthTries 2
Banner /etc/ssh/banner.txt
Разрешаем подключение по порту 2024
semanage port -m -t ssh_port_t -p tcp 2024
Перезапускаем ssh
systemctl restart sshd
Далее с HQ-RTR и BR-RTR проверяем доступ до соответствующих
серверов в своей локальной сети:
ssh -l sshuser 172.30.100.10 -p 2024 BR-RTR
ssh -l sshuser 192.168.100.10 -p 2024 HQ-RTR
и BR- SRV
Создаём баннер
echo “Authorized access only” > /etc/ssh/banner.txt
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo Authorized access only > /etc/ssh/banner.txt
Настраиваем SSH
nano /etc/ssh/sshd_config
Port 2024
AllowUsers sshuser
MaxAuthTries 2
Banner /etc/ssh/banner.txt
Разрешаем подключение по порту 2024
semanage port -m -t ssh_port_t -p tcp 2024
Перезапускаем ssh
systemctl restart sshd
Далее с HQ-RTR и BR-RTR проверяем доступ до соответствующих
серверов в своей локальной сети:
ssh -l sshuser 172.30.100.10 -p 2024 BR-RTR
ssh -l sshuser 192.168.100.10 -p 2024 HQ-RTR
Гость
Заходим в nmtui
Стрелочка вправо – добавить
Выбираем IP-Туннель
HQ-RTR BR-RTR
Имя профиля tun0 Имя профиля tun0
Устройство tun0 Устройство tun0
Режим GRE Режим GRE
Родительский ens33 Родительский ens33
Локальный IP 172.16.4.2 Локальный IP 172.16.5.2
Удаленный IP 172.16.5.2 Удаленный IP 172.16.4.2
Конфигурация IPv4 Вручную Конфигурация IPv4 Вручную
Адреса 10.10.10.1/30 Адреса 10.10.10.2/30
ПОСЛЕ ЭТОГО НА ОБОИХ РОУТЕРАХ ПИШЕМ:
nmcli connection modify tun0 ip-tunnel.ttl 64
И перезапускаем tunnel через nmtui (выключаем и включаем
интерфейс)
Проверяем пинги с двух роутеров на 10.10.10.1 и 10.10.10.2
HQ-RTR И BR-RTR
dnf install frr
systemctl enable --now frr
nano /etc/frr/daemons
заменить no на yes в ospfd=yes
systemctl restart frr
Стрелочка вправо – добавить
Выбираем IP-Туннель
HQ-RTR BR-RTR
Имя профиля tun0 Имя профиля tun0
Устройство tun0 Устройство tun0
Режим GRE Режим GRE
Родительский ens33 Родительский ens33
Локальный IP 172.16.4.2 Локальный IP 172.16.5.2
Удаленный IP 172.16.5.2 Удаленный IP 172.16.4.2
Конфигурация IPv4 Вручную Конфигурация IPv4 Вручную
Адреса 10.10.10.1/30 Адреса 10.10.10.2/30
ПОСЛЕ ЭТОГО НА ОБОИХ РОУТЕРАХ ПИШЕМ:
nmcli connection modify tun0 ip-tunnel.ttl 64
И перезапускаем tunnel через nmtui (выключаем и включаем
интерфейс)
Проверяем пинги с двух роутеров на 10.10.10.1 и 10.10.10.2
HQ-RTR И BR-RTR
dnf install frr
systemctl enable --now frr
nano /etc/frr/daemons
заменить no на yes в ospfd=yes
systemctl restart frr
Гость
vtysh
ДАЛЕЕ РАБОТА КАК В CISCO
conf t
router ospf
Команды для HQ-RTR Команды для BR-RTR
network 192.168.100.0/26 area 0 network 172.30.100.0/27 area 0
network 192.168.200.0/28 area 0 network 10.10.10.0/30 area 0
network 192.168.99.0/29 area 0
network 10.10.10.0/30 area 0
ospf router-id 172.16.4.2 ospf router-id 172.16.5.2
passive-interface ens33 passive-interface ens33
passive-interface ens34 passive-interface ens34
passive-interface ens35
area 0 authentication
exit
interface tun0
ip ospf authentication
ip ospf authentication-key P@ssw0rd
do wr
exit
exit
exit
ДАЛЕЕ РАБОТА КАК В CISCO
conf t
router ospf
Команды для HQ-RTR Команды для BR-RTR
network 192.168.100.0/26 area 0 network 172.30.100.0/27 area 0
network 192.168.200.0/28 area 0 network 10.10.10.0/30 area 0
network 192.168.99.0/29 area 0
network 10.10.10.0/30 area 0
ospf router-id 172.16.4.2 ospf router-id 172.16.5.2
passive-interface ens33 passive-interface ens33
passive-interface ens34 passive-interface ens34
passive-interface ens35
area 0 authentication
exit
interface tun0
ip ospf authentication
ip ospf authentication-key P@ssw0rd
do wr
exit
exit
exit
Гость
НА HQ-RTR И BR-RTR:
systemctl --now enable firewalld
firewall-cmd --set-default-zone=trusted
firewall-cmd --zone=trusted --add-masquerade --permanent
systemctl restart firewalld
НА HQ-RTR
dnf install dhcp-server
nano /etc/dhcp/dhcpd.conf
Пишем это в файле:
subnet 192.168.200.0 netmask 255.255.255.240 {
range 192.168.200.2 192.168.200.14;
option routers 192.168.200.1;
option broadcast-address 192.168.200.15;
option domain-name-servers 192.168.100.10;
option domain-name “au-team.irpo”;
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
option domain-name au-team.irpo;
}
это уже после на самом hq-rtr
systemctl enable --now dhcpd
dhcpd
ПРОВЕРЯЕМ НА HQ-RTR, ЧТО ЕСТЬ ЗАПИСЬ В ФАЙЛЕ, УКАЗЫВАЮЩАЯ
НА ПОЛУЧЕНИЕ АДРЕС КЛИЕНТОМ: ЕСЛИ на HQ-CLI перезагрузить интрефейс
и ввести ip a ,то должен появиться ip 192.168.200.2
cat /var/lib/dhcpd/dhcpd.leases
systemctl --now enable firewalld
firewall-cmd --set-default-zone=trusted
firewall-cmd --zone=trusted --add-masquerade --permanent
systemctl restart firewalld
НА HQ-RTR
dnf install dhcp-server
nano /etc/dhcp/dhcpd.conf
Пишем это в файле:
subnet 192.168.200.0 netmask 255.255.255.240 {
range 192.168.200.2 192.168.200.14;
option routers 192.168.200.1;
option broadcast-address 192.168.200.15;
option domain-name-servers 192.168.100.10;
option domain-name “au-team.irpo”;
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
option domain-name au-team.irpo;
}
это уже после на самом hq-rtr
systemctl enable --now dhcpd
dhcpd
ПРОВЕРЯЕМ НА HQ-RTR, ЧТО ЕСТЬ ЗАПИСЬ В ФАЙЛЕ, УКАЗЫВАЮЩАЯ
НА ПОЛУЧЕНИЕ АДРЕС КЛИЕНТОМ: ЕСЛИ на HQ-CLI перезагрузить интрефейс
и ввести ip a ,то должен появиться ip 192.168.200.2
cat /var/lib/dhcpd/dhcpd.leases
Гость
НА HQ-SRV
dnf install bind
nano /etc/named.conf
Изменить строчки
listen-on port 53 { any; };
allow-query { any; };
forwarders { 10.39.0.1; };
И в конец добавить:
zone "au-team.irpo" IN {
type master;
file "/opt/dns/au-team.irpo";
};
zone "100.168.192.in-addr.arpa" IN {
type master;
file "/opt/dns/100.168.192.in-addr.arpa";
};
zone "200.168.192.in-addr.arpa" IN {
type master;
file "/opt/dns/200.168.192.in-addr.arpa";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
zone au-team.irpo IN {
type master;
file /opt/dns/au-team.irpo;
};
zone 100.168.192.in-addr.arpa IN {
type master;
file /opt/dns/100.168.192.in-addr.arpa;
};
zone 200.168.192.in-addr.arpa IN {
type master:
file /opt/dns/200.168.192.in-addr.arpa;
};
include /etc/named.rfc1912.zones;
include /etc/named.root.key;
dnf install bind
nano /etc/named.conf
Изменить строчки
listen-on port 53 { any; };
allow-query { any; };
forwarders { 10.39.0.1; };
И в конец добавить:
zone "au-team.irpo" IN {
type master;
file "/opt/dns/au-team.irpo";
};
zone "100.168.192.in-addr.arpa" IN {
type master;
file "/opt/dns/100.168.192.in-addr.arpa";
};
zone "200.168.192.in-addr.arpa" IN {
type master;
file "/opt/dns/200.168.192.in-addr.arpa";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
zone au-team.irpo IN {
type master;
file /opt/dns/au-team.irpo;
};
zone 100.168.192.in-addr.arpa IN {
type master;
file /opt/dns/100.168.192.in-addr.arpa;
};
zone 200.168.192.in-addr.arpa IN {
type master:
file /opt/dns/200.168.192.in-addr.arpa;
};
include /etc/named.rfc1912.zones;
include /etc/named.root.key;
Гость
Далее
mkdir /opt/dns
cd /opt/dns
cp /var/named/named.empty au-team.irpo
nano au-team.irpo
au-team.irpo. IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
hq-rtr A 192.168.100.1
hq-rtr A 192.168.200.1
br-rtr A 172.30.100.1
hq-srv A 192.168.100.10
hq-cli A 192.168.200.2
br-srv A 172.30.100.10
wiki CNAME hq-rtr.au-team.irpo.
moodle CNAME hq-rtr.au-team.irpo.
cp /var/named/named.empty 100.168.192.in-addr.arpa
nano 100.168.192.in-addr.arpa
@ IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
1 PTR hq-rtr
10 PTR hq-srv
cp /var/named/named.empty 200.168.192.in-addr.arpa
nano 200.168.192.in-addr.arpa
@ IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
1 PTR hq-rtr
2 PTR hq-cli
mkdir /opt/dns
cd /opt/dns
cp /var/named/named.empty au-team.irpo
nano au-team.irpo
au-team.irpo. IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
hq-rtr A 192.168.100.1
hq-rtr A 192.168.200.1
br-rtr A 172.30.100.1
hq-srv A 192.168.100.10
hq-cli A 192.168.200.2
br-srv A 172.30.100.10
wiki CNAME hq-rtr.au-team.irpo.
moodle CNAME hq-rtr.au-team.irpo.
cp /var/named/named.empty 100.168.192.in-addr.arpa
nano 100.168.192.in-addr.arpa
@ IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
1 PTR hq-rtr
10 PTR hq-srv
cp /var/named/named.empty 200.168.192.in-addr.arpa
nano 200.168.192.in-addr.arpa
@ IN SOA au-team.irpo. au-team.irpo. (
NS hq-srv.au-team.irpo.
1 PTR hq-rtr
2 PTR hq-cli
Гость
это уже в консоли
chmod -R 777 /opt/dns
ПРОВЕРЯЕМ КОНФИГУРАЦИЮ И ИСПРАВЛЯЕМ ОШИБКИ ЕСЛИ ЕСТЬ
named-checkconf -z
systemctl restart named
Далее заходим в nmtui и меняем ДНС сервер с (10.39.0.1) на
192.168.100.10. Так же указываем домен поиска au-team.irpo.
После этого в nmtui переходим на вкладку «Активировать
подключение». Выключаем и включаем интерфейс, на который ставили ДНС.
НА HQ-CLI И ПРОВЕРЯЕМ РАБОТОСПОБНОСТЬ
ping br-rtr
ping br-srv
ping hq-rtr
ping hq-srv
ping ya.ru
на всякий случай если спросят как это делать
Настройте часовой пояс на всех устройствах, согласно месту
проведения экзамена.
timedatectl set-timezone Europe/Moscow
timedatectl (ПРОВЕРИТЬ ЗОНУ, ПО ЗАДАНИЮ ВРЕМЯ МЕНЯТЬ НЕ
ПРОСЯТ
chmod -R 777 /opt/dns
ПРОВЕРЯЕМ КОНФИГУРАЦИЮ И ИСПРАВЛЯЕМ ОШИБКИ ЕСЛИ ЕСТЬ
named-checkconf -z
systemctl restart named
Далее заходим в nmtui и меняем ДНС сервер с (10.39.0.1) на
192.168.100.10. Так же указываем домен поиска au-team.irpo.
После этого в nmtui переходим на вкладку «Активировать
подключение». Выключаем и включаем интерфейс, на который ставили ДНС.
НА HQ-CLI И ПРОВЕРЯЕМ РАБОТОСПОБНОСТЬ
ping br-rtr
ping br-srv
ping hq-rtr
ping hq-srv
ping ya.ru
на всякий случай если спросят как это делать
Настройте часовой пояс на всех устройствах, согласно месту
проведения экзамена.
timedatectl set-timezone Europe/Moscow
timedatectl (ПРОВЕРИТЬ ЗОНУ, ПО ЗАДАНИЮ ВРЕМЯ МЕНЯТЬ НЕ
ПРОСЯТ
Форум: Время для себя
Всего: 50 004 темы
Новые темы за сутки: 24 темы
- Командная строка17 ответов
- Какие пословицы, поговорки, присказки вы знаете?20 ответов
- Коммутатор и его конфигурация10 ответов
- Считаете ли вы ображенку красивой и эстетичной?9 ответов
- Какие радости в жизни вы находите для себя?6 ответов
- Базовая настройка DHCP на роутерах9 ответов
- Смотрите ли вы расследования ?5 ответов
- Как часто вы гуляете в городе летом?8 ответов
- Вы верите в Бореадов?Нет ответов
- Когда последний выпуск тележурнала «Дикий, дикий мир» на РЕН ТВ?Нет ответов
Популярные темы за сутки: 4 темы
- Какие пословицы, поговорки, присказки вы знаете?20 ответов
- Командная строка17 ответов
- Коммутатор и его конфигурация10 ответов
- Базовая настройка DHCP на роутерах9 ответов
- Считаете ли вы ображенку красивой и эстетичной?9 ответов
- Как часто вы гуляете в городе летом?8 ответов
- Какие радости в жизни вы находите для себя?6 ответов
- Смотрите ли вы расследования ?5 ответов
- Вы верите в Бореадов?Нет ответов
- Когда последний выпуск тележурнала «Дикий, дикий мир» на РЕН ТВ?Нет ответов
Предыдущая тема
Задаем имена
hostnamectl hostname isp.au-team.irpo
hostnamectl hostname hq-rtr.au-team.irpo
hostnamectl hostname hq-srv.au-team.irpo
hostnamectl hostname br-rtr.au-team.irpo
hostnamectl hostname br-srv.au-team.irpo
hostnamectl hostname hq-cli.au-team.irpo
На всех устройствах необходимо сконфигурировать IPv4
На маршрутизаторах (ISP/BR-RTR/HQ-RTR) включаем параметр, отвечающий за пересылку пакетов:
echo “net.ipv4.ip_forward=1” >> /etc/sysctl.conf
sysctl -p
КАВЫЧКИ НЕ ДАЮТ ВСТАВЛЯТЬ. ИХ ДОБАВЛЯЕМ САМИ
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p