ПОРЯДОКВЫПОЛНЕНИЯ
Рекомендуемыйпорядоквыполнениязаданияпредставленследующимобразом:
Образецзадания
Рис. 1
Топология
ВЫПОЛНЕНИЕПРОЕКТИРОВАНИЯ
КАБЕЛЬНОЙСТРУКТУРЫКОМПЬЮТЕРНОЙСЕТИ
1. Виртуальныемашиныи коммутация
Необходимо выполнить работу по созданию виртуальных машин и их базовой конфи- гурации.
НаосновепредоставленныхВМилишаблоновВМсоздайтеотсутствующиевирту- альные машины в соответствии со схемой.
ХарактеристикиВМустановитевсоответствиисосхемойсети.
Коммутацию (если таковая выполнена) выполните в соответствии со схемой сети. ИменахостоввсозданныхВМдолжныбытьустановленывсоответствиисосхемой. Адресация должна быть выполнена в соответствии с таблицей 1.
2. Сетевая связанность
Врамкахданногомодулятребуетсяобеспечитьсетевуюсвязанностьмеждурегионами работы приложения, а также обеспечить выход ВМ в имитируемую сеть Интернет:
– сети,подключенныекISP,считаютсявнешними:запрещенопрямоепопаданиетрафика из внутренних сетей во внешние и наоборот.
Настройтестатическиймаршрутпоумолчаниюнамаршрутизаторах RTR-LиRTR-R. Настройте динамическую трансляцию портов (PAT):
– на маршрутизаторе RTR-L настройте динамическую трансляцию портов (PAT) для сети 192.168.200.0/24 в соответствующие адреса исходящего интерфейса;
– на маршрутизаторе RTR-R настройте динамическую трансляцию портов (PAT) для сети 172.16.100.0/24 в соответствующие адреса исходящего интерфейса.
3. Конфигурациявиртуальныхчастных сетей
Между платформами RTR-L и RTR-R должен быть установлен туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов со следующими параметрами:
a) используйтевкачествеVTIинтерфейс Tunnell;
b) между платформами должен быть установлен туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов.
4. Настройкасписковконтролядоступа
Платформа управления трафиком RTR-R выполняет контроль входящего трафика со- гласно следующим правилам:
a) разрешаютсяподключениякпортамHTTPиHTTPSдлявсехклиентов;
b) разрешаютсяподключениякпортамHTTPиHTTPSдлявсехклиентов:
– портынеобходимыдля работынастраиваемых служб;
c) разрешаетсяработавыбранногопротоколаорганизациизащищенной связи:
– разрешениепортовдолжнобытьвыполненопопринципу «необходимоидостаточно»;
d) разрешаетсяработапротоколов ICMP;
e) разрешаетсяработапротоколаSSH;
f) прочиеподключениязапрещены;
g) дляобращенийкплатформамсостороныхостов,находящихсявнутрирегионов, ограничений быть не должно.
ОбеспечьтенастройкуслужбSSHрегионов Left:
a) подключениясосторонывнешнихсетейпопротоколукплатформеуправления трафиком RTR-L на порт 2244 должны быть перенаправлены на ВМ WEB-L;
b) подключениясосторонывнешнихсетейпопротоколукплатформеуправления трафиком RTR-L на порт 2222 должны быть перенаправлены на ВМ WEB-R.
5. Инфраструктурныеслужбы
Врамкахданногомодулянеобходимонастроитьосновныеинфраструктурныеслужбы и настроить представленные ВМ на применение этих служб для всех основных функций.
ВыполнитенастройкупервогоуровняDNS-системыстенда:
a) используетсяВМISP;
b) обслуживаетсязонаdemo.wsr:
– наполнениезоныдолжнобытьреализовановсоответствиистаблицей2;
c) серверделегируетзону int.demo.wsrна SRV:
– посколькуSRVнаходитсявовнутреннейсетиЗападногорегиона,делегирование происходит на внешний адрес маршрутизатора данного региона;
– маршрутизаторрегионадолжентранслироватьсоответствующиепортыDNS- службы в порты сервера SRV;
d) внешнийклиентCLIдолжениспользоватьDNS-службу,развернутуюнаISPпо умолчанию.
5.2.Выполните настройку второгоуровня DNS-системы стенда:
a) используетсяВМSRV;
b) обслуживаетсязонаint.demo.wsr;
c) обслуживаютсяобратныезоныдлявнутреннихадресоврегионов;
d) серверпринимаетрекурсивныезапросы,исходящиеотадресоввнутреннихрегионов;
e) внутренние хосты регионов (равно как и платформы управления трафиком) должны использовать данную DNS-службу для разрешения всех запросов имен.
Выполнитенастройкупервогоуровнясинхронизациивремени:
a) используетсясерверISP;
b) серверсчитаетсобственныйисточниквремениверным, stratum=3;
c) сервердопускаетподключениетолькочерезвнешнийадрессоответствующей платформы управления трафиком:
– подразумеваетсяобращение SRVдлясинхронизации времени;
d) клиент CLI должен использовать службу времени ISP.ВыполнитеконфигурациюслужбывторогоуровнявременинаSRV:
a) серверсинхронизируетвремя схостомISP:
– синхронизациясдругимиисточникамизапрещена;
b) сервердолжендопускатьобращениявнутренниххостоврегионов,втомчислеи платформ управления трафиком, для синхронизации времени;
c) всевнутренниехосты(втомчислеиплатформыуправлениятрафиком)должны синхронизировать свое время с SRV.
Реализуйтефайловый SMB-серверна базе SRV:
a) сервердолженпредоставлятьдоступдляобменафайламисерверамиWEB-LиWEB-R;
b) сервер,взависимостиотОС,используетследующиекаталогидляхраненияфайлов:
– /mnt/storageдлясистемнабазеLinux;
– дискR:\ длясистем набазеWindows;
c) хранениефайловосуществляетсянадиске(смонтированномпоуказаннымвыше адресам), реализованном по технологии RAID типа «Зеркало».
СервераWEB-LиWEB-Rдолжныиспользоватьслужбу,настроеннуюнаSRV,для обмена файлами между собой:
a) служба файлового обмена должна позволять монтирование в виде стандартного ка- талога Linux:
– разделяемыйкаталогдолженбытьсмонтированпоадресу /opt/share;
b) каталогдолженпозволятьудалятьисоздаватьфайлывнемдлявсехпользователей.
5.7.ВыполнитенастройкуцентрасертификациинабазеSRV:
a) в случае применения решения на базе Linux используется центр сертификации типа OpenSSL и располагается по адресу /var/ca;
b) выдаваемыесертификатыдолжны иметьсрокдействия неменее300 дней;
c) параметрывыдаваемыхсертификатов:
– страна RU;
– организация(DEMO,WSR);
– прочиеполя(заисключениемCN)должныбытьпусты.
6. Инфраструктуравеб-приложения
Данный блок подразумевает установку и настройку доступа к веб-приложению, вы-полненному в формате контейнера Docker.
Образ Docker (содержащий веб-приложение) расположен на ISO-образе дополнитель- ных материалов:
a) выполнитеустановкуприложенияAppDocker0.
Пакеты для установки Docker расположены на дополнительном ISO-образе. ИнструкцияпоработесприложениемрасположенанадополнительномISO-образе. Необходимо реализовать следующую инфраструктуру приложения:
a) клиентомприложенияявляетсяCLI(браузер Edge);
b) хостингприложенияосуществляетсянаВМWEB-LиWEB-R;
c) доступкприложениюосуществляетсянаDNS-имениwww.demo.wsr:
– имя должно разрешаться во «внешние» адреса ВМ управления трафиком в обоих ре- гионах;
d) доступкприложениюдолженбытьзащищенсприменениемтехнологииTLS:
– необходимообеспечитькорректноедовериесертификатусайта,безприменения
«исключений»иподобных механизмов;
e) незащищенноесоединениедолжнопереводитьсяназащищенныйканалавтомати-
чески.
Необходимообеспечитьотказоустойчивостьприложения:
a) сайтдолженпродолжатьобслуживание(сзадержкойнеболее25с)вследующих
сценариях:
– отказоднойизВМWEB;
– отказоднойизВМуправлениятрафиком.
Принеобходимостидлядоступакприложениюдопускаетсяреализоватьреверс-прокси или трансляцию портов.
ЗАДАНИЯ
Задание 1. Имена хостов в созданных ВМ должны быть установлены в соответствии со схемой (рис. 2).
Рис. 2
Публичнаясхемаэкзаменационногозадания
nano /etc/apt/sources.list
apt update
apt upgrade
Как делать
Изначально имя машиныстандартное — localhost.
Учетная запись для работы с операционной системой настраивается самостоятельно(по умолчанию логин root с паролем toor).
Дляустановкиименивиртуальноймашинынеобходимовоспользоватьсяутилитой HOSTNAMECTL
hostnamectlset-hostname<hostname>; execbash.
Описаниеприменяемыхкоманд:
hostnamectl— программа дляуправления именем машины;
set-hostname—аргумент,позволяющийвыполнитьизменение хостнейма;
<hostname>— целевое имя машины;
execbash—перезапускоболочкиbashдляотображениянового хостнейма.
Как проверить
Перезагрузитекомпьютерспомощьюкомандыreboot.Послезагрузкикомпьютера изменилось приглашение системы к вводу команд.
Командаhostname выведет текущее названиемашины.
Дополнительная информация: hostname— это имя, которое присваивается компью- теру, подключенному к сети, которое однозначно идентифицирует его в сети и вашей инфра- структуре.
Краткаясправка
– присваивание имени компьютеру (Hostname) (Debian) (https://www.debian.org/doc/ manuals/debian-handbook/sect.hostname-name-service.ru.html; https://www.redhat.com/sysadmin/set-hostname-linux);
– присваиваниеименикомпьютеру(Hostname)(WindowsServer)(https://www.snel.com/support/hostname-change-on-windows-server-2019).
Задание2.Адресациядолжнабытьвыполненавсоответствиистаблицей1.
Как делать
НастройкаIP-адресоввсистемеDebianпроисходитвконфигурационномфайле
/etc/network/interfaces,носначаланужноузнатьвсюнеобходимуюинформацию.
Просмотрсуществующихинтерфейсоввыполняетсякомандой ip a
а=вывестиIP-адресацию.
.
Перейдя на вкладку Settings, можно увидеть список всех настроенных параметров виртуальной машины. Параметры сетевых интерфейсов просматриваются во вкладке Ad- vanced относительно каждого сетевого адаптера.
Настройка на ESXi.
Например, возьмем интерфейс под номером 3 с названием EXTERNAL-R, что по названию указывает на его принадлежность к внешней подсети провайдера в сторонуRIGHT. MAC-адрес оканчивается на 8F:16.
ЧтобысравнитьMAC-адреса,используетсякомандаip a.
Интерфейс имеет имя ens35, соответственно, именно его предстоит настроить как внешний интерфейс до RTR-R— с адресом 5.5.5.1/24. Соответствующие действия необхо- димо проделать с каждым интерфейсом ISP и других ВМ.
После того, как были определены подключения всех интерфейсов, можно переходитьк настройке.
Сетевые параметры интерфейсов в Debian 11 располагаются в файле /etc/network/ interfaces. Он открывается с помощью любого текстового редактора, в рамках примера ис- пользуется редактор vim
vim /etc/network/interfaces
Для установки vim необходимо подключить DVD-1 образ в настройках машины и произвести установку с DVD (apt-cdrom add, затем apt update. Если apt отклонит источник обновления как ненадежный (здесь и далее), следует добавить параметр [trusted=yes] через пробелы между deb и cdrom в /etc/apt/sources.list, если проверка безопасности не одобрит об- новляться)).
Далееопишем параметры,обязательныекуказаниювданномфайле.
Правила настройки
auto<interface_name>1— автоматическое включение интерфейса;
iface<interface_name>2inetstatic — переводинтерфейсав режим статическогоIP.
Также, в случае, если необходимо настроить получение адреса динамически, через протокол DHCP, то следует указать запись:
iface <interface_name>2inetdhcp;
address<IP>/<MASK>3—установкаIP-адресаимаскиподсети; gateway <gateway>4 — шлюз по умолчанию;
1<interface_name>—имясетевогоинтерфейса;
2<IP>—IP-адресвсоответствиистопологией;
3<MASK>—маскаподсетивсоответствиистопологией;
4<gateway>— IP-адрес шлюза по умолчанию. Для оконечных устройств шлюзом бу- дет являться вышестоящий маршрутизатор или сетевой экран.
Примерыописаниянастроекнавиртуальных машинахэкзаменационногостенда
После настройки конфигурационного файла /etc/network/interfaces необходимо пере- запустить службу networking (на всех виртуальных машинах, где производилась настройка): systemctl restart networking.
Какпроверить
Проверкаосуществляетсякомандой:ip a.
Дополнительнаяинформация
НаDebianможноустановитьПОnmtuiипроизводитьнастройкувграфическомре- жиме, с помощью данной команды выполняется его установка
aptinstall network-manager
Но стоит обратить внимание, что если изначальная настройка была произведена с по- мощью конфигурационного файла /etc/network/interfaces, то не рекомендуется настраивать сетевую адресацию через nmtui. Разные сетевые менеджеры вызовут в системе конфликт настроек, в итоге не применив ни одну из конфигураций.
Краткаясправка
–сетевая настройка на Debian (Debian) (https://wiki.debian.org/ru/NetworkConfiguration https://manpages.debian.org/buster/network-manager/nmtui.1).
Задание 3. На всех сетевых устройствах необходимо включить ip forwarding для включения маршрутизации на оборудовании.
Данногопунктазаданиянетвдокументе,ноонобязателендляуспешноговыполнения.
Как делать
На данных устройствах необходимо провести настройку. НаRTR-R,RTR-LиISPвыполняетсяследующаякоманда echo “net.ipv4.ip_forward=1” > /etc/sysctl.conf; sysctl -p
Есливсевыполненоверно—отобразитсявведенныйвышепараметр:
echo— утилита, которая возвращает текст, переданный ей в качестве аргумента. По умолчанию возврат происходит в stdout (в текущую сессию терминала), но можно перена- править вывод в файл при помощи указателя «>»;
net.ipv4.ip_forward=1— параметр ядра, разрешающий пересылку пакетов между ин- терфейсами;
/etc/sysctl.conf—файл,вкотором хранятсяопцииядра;
sysctl -p— команда, которая читает файл /etc/sysctl.conf и применяет перечисленные в нем параметры.
Дополнительнаяинформация
Пересылкапакетоввключаетсядляреализациивдальнейшеммаршрутизациипакетов
в сети.
Краткаясправка
– подробнеепро sysctl(https://manpages.debian.org/stretch/procps/sysctl.8.en.html);
– подробнеепронастройкусетевойинфраструктурынаDebian(Debian)(https://www.de-
bian.org/doc/manuals/debian-handbook/network-infrastructure.ru.html).
ОСУЩЕСТВЛЕНИЕ ВЫБОРА ТЕХНОЛОГИИ, ИНСТРУМЕНТАЛЬНЫХ СРЕДСТВ И СРЕДСТВ
ВЫЧИСЛИТЕЛЬНОЙТЕХНИКИПРИОРГАНИЗАЦИИ
ПРОЦЕССА РАЗРАБОТКИ И ИССЛЕДОВАНИЯ ОБЪЕКТОВ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ
Задание1.НастройтестатическиймаршрутпоумолчаниюнамаршрутизаторахRTR-Lи RTR-R. Настройте динамическую трансляцию портов (PAT):
– на маршрутизаторе RTR-L настройте динамическую трансляцию портов (PAT) для сети 192.168.200.0/24 в соответствующие адреса исходящего интерфейса;
– на маршрутизаторе RTR-R настройте динамическую трансляцию портов (PAT) для сети 172.16.100.0/24 в соответствующие адреса исходящего интерфейса.
Как делать
Однойизпроблемвразвитиисетейявляетсяограниченноеколичествосуществующих IPv4-адресов— их около 4,3млрд. Сповсеместным распространением Интернета и ростом количества пользователей стало очевидно, что этого недостаточно. Возникла потребность в инструменте, способном решить эту проблему (по крайней мере до момента, когда будут внедрены IPv6) — и одним из таких инструментов стала технология NAT (Network Address Translation).
Трансляция сетевых адресов (Network Address Translation, NAT) — это подмена како- го-либо адреса или порта в пакете. Она, как правило, требуется на границе между сетью компании и провайдером Интернет. Однако это далеко не единственная задача.
Настроить NAT можно с использованием разных пакетов. В качестве примера можно использовать nftables. В Debian 11 пакет установлен по умолчанию, что позволяет сразу пе- рейти к его настройке. Настройка производится при помощи описания конфигурации в фай- ле /etc/nftables.conf.
КонфигурацияRTR-L
КонфигурацияRTR-R
Пояснениекасательно настроек вконфигурационных файлах:
#!/usr/sbin/nft -f— системная конструкция указывает, что чтение данного файла нуж- но произвести при помощи команды /usr/sbin/nft -f;
flushruleset—очиститьвсесуществующиеправилапередзаписью новых;
tableipnat{} —созданиетаблицысназваниемnat.ИспользованиепротоколаIPv4; chain postrouting {} — создание цепочки с названием postrouting;
typenat —тип цепочки=nat;
hookpostrouting —толькотрафик,прошедшийпроцессмаршрутизации,попадаетв эту цепочку;
priority0 —цепочка выполняетсясамойпервойдля трафика;
ip saddr — указывает подсеть, трафик из которой должен попасть в nat; oifname — имя интерфейса, на который был смаршрутизирован трафик; counter—ключевоесловодляподсчетапакетов,попавшихвданноеправило;
masquerade—действие,производимоестрафиком(трансляциявадресисходящего интерфейса).
Данное правило можно прочитать как «В таблице nat, которая работает только с IPv4- трафиком, на этапе, когда трафик прошел процесс маршрутизации, необходимо выбрать па- кеты только из подсети 172.16.100.0 с 24маской, идущие на интерфейс ens35, посчитать их и произвести трансляцию в адрес исходящего интерфейса».
Как проверить
Для проверки корректности написания правил и немедленного применения можно выполнить команду nft -f /etc/nftables.conf
На данном этапе, в случае ошибок в правописании команд, программа nftables отпра- вит отчет, где подчеркнет опечатку.
После того, как правила были успешно применены, можно посмотреть список правил и счетчики при помощи команды nft list ruleset.
Для того чтобы активировать правила после перезагрузки, в поставке nftables присут- ствует сервис nftables, по умолчанию он выключен. Необходимо добавить его в автозагрузку и активировать при помощи команды systemctl enable --now nftables.
После этого можно на практике проверить работоспособность конфигурации. Для этого достаточно выполнить с WEB-L, WEB-R или SRV трассировку до сервера ISP при по- мощи команды traceroute -n 5.5.5.1.
ISP
Краткаясправка
– подробнеепроfirewalld(https://access.redhat.com/documentation/en-us/red_hat_enter- prise_linux/7/html/security_guide/sec-viewing_current_status_and_settings_of_firewalld);
– подробнеепроiptables(https://wiki.debian.org/iptables).
Задание2. Сети, подключенные к ISP,считаются внешними:
– запрещенопрямоепопаданиетрафикаизвнутреннихсетейвовнешниеи наоборот.
ТаккаквнутренниесетитеперьрасположенызаNAT-трафикизвнешнихсетейне сможет попасть к ним напрямую. Данный пункт выполнен в связи с настройками NAT.
КОНФИГУРАЦИЯВИРТУАЛЬНЫХЧАСТНЫХСЕТЕЙ
Задание 1. Между платформами RTR-L и RTR-R должен быть установлен защищен- ный туннель, позволяющий осуществлять связь между регионами с применением внутрен- них адресов:
– трафик,проходящийподанномутуннелю,долженбытьзащищен;
– платформа ISP не должна иметь возможности просматривать содержимое пакетов, идущих из одной внутренней сети в другую;
– туннель должен позволять защищенное взаимодействие между платформами управ- ления трафиком по их внутренним адресам;
– взаимодействие по внешним адресам должно происходить без применения туннеляи шифрования;
– трафик, идущий по туннелю между регионами по внутренним адресам, не должен транслироваться.
Как делать
Для формирования защищенного канала связи между регионами есть множество ре- шений, например, IPSec-туннели, SSL VPN и прочее. Как пример, можно настроить— GRE over IPSec.
GRE— это протокол, не предоставляющий шифрование, из чего следует, что соеди- нение окажется небезопасным. Вдальнейшем будет настроена технология IPSec, которая обеспечит приватность соединения.
Сначала необходимо создать GRE-туннель для обеспечения незащищенного соедине- ния между регионами. Для его настройки на каждой машине создается скрипт конфигуриро- вания туннеля по пути — /etc/gre.up.
RTR-L
RTR-R
Описаниеприменимыхкоманд
iptunneladd<имя_интерфейса>—командадлясозданиятуннеля; mode gre — указываем режим инкапсуляции gre;
local — адрес источника, откуда будет происходить подключение; remote—адресназначения,кудабудетпроисходитьподключение;
ip addr add <адрес/маска_подсети> dev <имя_интерфейса>— команда для добавления IP-адреса на интерфейс;
iplink setup<имя_интерфейса>—команда,включающая интерфейс;
ip route add <адрес_сети_региона/маска_подсети> via <туннельный_адрес_роутера_ напротив>— команда для добавления маршрута в сеть другого региона, таким образом мы сразу же добавим в автонастройку подключение сетей двух регионов.
После того, как скрипты были написаны, необходимо дать им права на выполнение при помощи команды
chmod +x /etc/gre.up
Проверитькорректностьработыскриптовможноихвыполнениемприпомощикоманды
/etc/gre.up—такойкомандойпередаетсяскриптнавыполнениеоперационнойсистемой.
В случае опечаток в написании скрипта на данном этапе система укажет на допущен- ные ошибки.
После этого необходимо добавить скрипт в автозагрузку. Для этого на RTR-R и RTR- L редактируется файл /etc/crontab и в конце добавляется строка @reboot root /etc/gre.up
Как проверить
Послевыполнениякомандыдолженпоявитьсятуннельный интерфейс.
Такжепроверяетсясоединениеврамках туннеляспомощьюутилитыping.
Для проверки пути трафика можно запустить сквозную трассировку от хоста WEB-L до WEB-R.
Незащищенное соединение между регионами настроено, осталось его защитить. За- щита соединения производится при помощи стандарта IPSec. Стандарт IPSec в Debian11 ре- ализуется пакетом strongswan. Впервую очередь необходимо установить данный пакет на RTR-R и RTR-L при помощи команды
aptinstall strongswan
Предварительно необходимо подключить DVD-3-образ в настройках машины и про- извести установку с DVD (apt-cdrom add, потом apt update).
После успешной установки пакета необходимо добавить конфигурацию в два основ- ных конфигурационных файла: /etc/ipsec.conf и /etc/ipsec.secrets.
В файле /etc/ipsec.conf содержится основная информация о параметрах соединения, ниже представлены примеры на RTR-L и RTR-R:
RTR-R
RTR-L
connvpn — созданиесоединения сименем vpn;
auto=start — запускать соединение автоматически при старте демона IPSec;type=tunnel—указываетIPSecработатьвтуннельномрежиме.Туннельныйрежимрабо-
тышифруетизначальныйIP-пакетполностьюидобавляетновыйзаголовокIP.Транспортный режимработышифруетвсе,чтовышеуровняIP,азаголовокIPоставляетбезизменений.
Грубо говоря, туннельный режим используется для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование (что-то вроде безопасного GRE). Транспортный же актуален тогда, когда IP-связность уже достигнута, но трафик между узла- ми нужно шифровать;
authby=secret—указываетIPSecнааутентификациюпоключуизфайла
/etc/ipsec.secrets;
left—указываетлокальныйадрес(откудаподключаемся); right — указывает удаленный адрес (куда подключаемся);
leftsubnet — локальные подсети, трафик из которых необходимо шифровать; rightsubnet—удаленныеподсети,трафикккоторымнеобходимошифровать; leftprotoport — локальный транспортный протокол для шифрования; rightprotoport — удаленный транспортный протокол для шифрования;
ike—параметрыпервойфазыIPSec; esp—параметрывторойфазы IPSec.
Файл/etc/ipsec.secretsнаобоиххостах одинаковый.
Комментариикнастройке
УказываютсядвапубличныхIP-адреса,которыеиспользуютсядлясозданиятуннеля.
Порядокихзаписиневажен.Далееразделительввидедвоеточия.
PSK— Pre-Shared Key— в криптографии предварительный общий ключ— это об- щий секретный ключ, который принят между двумя сторонами, использующими некоторый защищенный канал, прежде чем его нужно зашифровать.
Далее указывается секрет\пароль, он должен быть одинаковым для обеих сторон. Послетого,какконфигурациянаписана,необходимодобавитьвавтозагрузкуизапу-
ститьIPSecприпомощикоманды systemctlenable--nowipsec Как проверить
Проверить работоспособность защищенного соединения можно при помощи команды IPSecStatus.Еслинепоказываетсоединения,тозапускаемIPSecUpdate,затемIPSec Restart — программа выдаст сообщение об ошибке синтаксиса в конфигах (строчку):
Краткаясправка
СправкаIPSec(https://wiki.debian.org/IPsec).
ПодробнеепроIPSec(https://linkmeup.gitbook.io/sdsm/7.-vpn/2.-ipsec).
ДокументацияразработчиковпакетаStrongSwan(https://wiki.strongswan.org/projects/ strongswan/wiki/UserDocumentation).
НАСТРОЙКАСПИСКОВКОНТРОЛЯДОСТУПА
Задание 1. Платформа управления трафиком RTR-L выполняет контроль входящеготрафика согласно следующим правилам:
– разрешаютсяподключениякпортамDNS, HTTPиHTTPSдлявсех К[к]лиентов;
– портынеобходимыдля работынастраиваемых служб;
– разрешаетсяработавыбранногопротоколаорганизациизащищенной связи;
– разрешениепортовдолжнобытьвыполненопопринципу «необходимоидостаточно»;
– разрешаетсяработа протокола ICMP;
– разрешаетсяработа протокола SSH;
– прочиеподключениязапрещены;
– дляобращенийкплатформамсостороныхостов,находящихсявнутрирегионов, ограничений быть не должно.
Как делать
Длянастройкимежсетевогоэкранаиспользуетсязнакомыйnftables.Внутрифайла
/etc/nftables.confнеобходимодобавитьновуютаблицузаписейtableinetfilter.
Стоит обратить внимание на то, что на скриншоте правил nftables присутствует нуме- рация правил, ссылки на них можно прочитать ниже:
– разрешаетработуDNS(порт53,зарегистрированныйIANA);
– разрешаетработуHTTP(порт80,зарегистрированныйIANA);
– разрешаетработуHTTPS(порт443,зарегистрированный IANA);
– отслеживаниесостояниясоединений;
– разрешаетработуGRE;
– разрешает работу ICMP;
– разрешаетработуIPSec(порт500,зарегистрированныйIANA);
– разрешаетобращениеклиентовизофисаLeft;
– разрешаетобращениеклиентовизофисаRight;
– запрещаетвесьпрочийтрафикпопротоколуIPv4.
Какпроверить
После написания конфигурации необходимо применить правила при помощи коман- ды nft -f /etc/nftables.conf.
Также можно использовать команду nft list ruleset, чтобы отобразить список всех те- кущих настроек.
Краткаясправка
– справочник (https://wiki.debian.org/nftables);
– краткийсправочникпоNFTABLES(https://habr.com/ru/company/ruvds/blog/580648);
– официальнаядокументацияNFTABLES(https://wiki.nftables.org/wiki-nftables/index. php/Main_Page).
Задание 2. Платформа управления трафиком RTR-R выполняет контроль входящего трафика согласно следующим правилам:
– разрешаютсяподключения к портам HTTPиHTTPSдлявсех клиентов;
– портынеобходимыдля работынастраиваемых служб;
– разрешаетсяработавыбранногопротоколаорганизациизащищеннойсвязи;
– разрешениепортовдолжнобытьвыполненопо принципу«необходимоидостаточно»;
– разрешаетсяработапротоколов ICMP;
– разрешаетсяработа протокола SSH;
– прочиеподключениязапрещены;
– дляобращенийкплатформамсостороныхостов,находящихсявнутрирегионов, ограничений быть не должно.
Как делать
Длянастройкимежсетевогоэкранаиспользуетсяnftables.В файле/etc/nftables.conf необходимо добавить новую таблицу записей table inet filter.
Стоит обратить внимание, что на скриншоте правил nftables присутствует нумерация правил, ссылки на них можно прочитать ниже:
– разрешаетработуHTTP(порт80,зарегистрированныйIANA);
– разрешаетработуHTTPS(порт443,зарегистрированный IANA);
– отслеживаниесостояниясоединения;
– разрешает работу GRE;
– разрешаетработуICMP;
– разрешаетработуIPSec(порт500,зарегистрированныйIANA);
– разрешаетобращениеклиентовизофисаLeft;
– разрешаетобращениеклиентовизофисаRight;
– запрещаетвесьпрочийтрафикпопротоколуIPv4.
После написания конфигурации необходимо применить правила припомощи команды nft -f /etc/nftables.conf
Как проверить
Ввестикоманду—nftlistruleset.
АДМИНИСТРИРОВАНИЕ
ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ И ПРИНЯТИЕ МЕР ПО УСТРАНЕНИЮ ВОЗМОЖНЫХ СБОЕВ
Задание1. Обеспечьтенастройку службSSH региона Left:
– подключения со стороны внешних сетей по протоколу к платформе управления тра- фиком RTR-L на порт 2222 должны быть перенаправлены на ВМ WEB-L;
– подключения со стороны внешних сетей по протоколу к платформе управления тра- фиком RTR-R на порт 2244 должны быть перенаправлены на ВМ WEB-R.
Как делать
Для настройки достаточно добавить правила в таблицы prerouting в nftables на маши- нах RTR-L и RTR-R. Необходимо открыть файл /etc/nftables.conf и настроить его согласно скриншоту.
RTR-LОписаниевведенныхправил:
– открытьпорт 2222;
– перенаправлениетрафикаспорта2222наадрес192.168.100.100порт22.
RTR-R
Описаниевведенныхправил:
– открытьпорт 2244;
– перенаправлениетрафикаспорта2244наадрес172.16.100.100порт22.
Как проверить
После написания конфигурации необходимо применить правила при помощи коман- ды nft -f /etc/nftables.conf.
ДляпроверкивыполняетсяподключениепоSSHнаданныепорты. Предварительнона WEB-L и WEB-R необходимо выполнить команды
su-user passwd
Затем необходимо ввести пароль (на свое усмотрение, в примере— resu) и повторить его ввод.
Подключениенеобходимовыполнятьсвнешнегоклиента,парольдляuserзаданбыл
выше.
ДляWEB-R командаизменится наssh root@5.5.5.100-p2244.
АДМИНИСТРИРОВАНИЕ СЕТЕВЫХ РЕСУРСОВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Задание.ВыполнитенастройкупервогоуровняDNS-системыстенда:
– используетсяВМISP;
– обслуживается зона demo.wsr;
– наполнениезоныдолжнобытьреализовановсоответствиистаблицей2;
– серверделегируетзону int.demo.wsrна SRV;
– посколькуSRVнаходитсявовнутреннейсетизападногорегиона,делегирование происходит на внешний адрес маршрутизатора данного региона;
– маршрутизаторрегионадолжентранслироватьсоответствующиепортыDNS- службы в порты сервера SRV;
– внешнийклиентCLIдолжениспользоватьDNS-службу,развернутуюнаISP,по умолчанию.
Как делать
ВкачествеDNS-сервераиспользуемBIND.НеобходимоустановитьегонаISPпри помощи команды
aptinstall bind9
Предварительно необходимо подключить DVD-2 образ в настройках машины и про-извести установку с DVD (apt-cdrom add, потом apt update).
Послеуспешнойустановкинеобходимоотредактироватьконфигурационныефайлы. Выполняетсяконфигурацияфайла /etc/bind/named.conf.optionsсогласноскриншоту
Описаниеизмененныхпараметроввконфигурационном файле
– пересылка запросов на внешние DNS-сервера для доступа к локальным репозитори- ям или репозиториям в Интернете. Стоит обратить внимание на то, что конструкция forwarders по умолчанию вся закомментирована, необходимо убрать // перед конфигуриро- ванием этого параметра;
– отключитьDNSSec;
– разрешитьзапросыотвсех клиентов;
– разрешитьрекурсивныезапросы;
– слушатьнавсех интерфейсах.
Выполняетсяконфигурацияфайла /etc/bind/named.conf.default-zonesсогласноскриншоту
Разборконфигурации
zone“demo.wsr” {— описаниезоны, которая контролируется нашим сервером;
type master;— указание типа зоны. Master — указывает на то, что наш сервер— ос-новной владелец зоны и имеет право редактировать ее;
file “/etc/bind/demo.wsr”; — файл зоны, где хранятся все записи зоны demo.wsr; forwarders {}; — отключение пересылкидля зонынеобходимо для нормальнойработы
делегирования
};
Для создания шаблона зоны demo.wsr необходимо перейти в каталог /etc/bind и ско- пировать файл db.local в /etc/bind с названием demo.wsr. Сделать это можно при помощи ко- манды
cd/etc/bind;cpdb.localdemo.wsr
Далее необходимо открыть файл с помощью любого текстового редактора demo.wsr и сформировать таблицу DNS-имен.
После того, как файл зоны сформирован, необходимо выполнить проверку конфигу- рации, проверку файла зоны и перезапустить bind9.
Как проверить
Проверки выполняются при помощи команд named-checkconf и named-checkconf- z соответственно.
В случае, если в выводе команд named-checkconf отображается результат, похожий на то, что можно увидеть в скриншотах ниже, значит, синтаксических ошибок в конфигурации зон нет.
ПослеэтоговыполняетсяперезагрузкасервераDNS,длязагрузкисервиса—systemctl restart bind9.
На остальных машинах убираем последний nameserver!!!!!
чтобы сохранить /etc/resolv.conf нужно:
apt install resolvconf
systemctl enable —now resolvconf
nano /etc/network/interfaces
где стоит строка с dhcp вписать ниже dns-nameserver 127.0.0.1 как с адресами отступ
перезапустить файл - systemctl restart networking
Выполнить практическую проверку можно при помощи утилиты host, поставляемой в пакете dnsutils
host<запрашиваемый_ресурс><ip_адрес_сервера_для_опроса>
Если проверки прошли успешно — на внешнем клиенте необходимо настроить адрес DNS сервера ISP. Удаленная машина CLI имеет операционную систему Windows 10. Даль- нейшая конфигурация производится на компьютере CLI.
Правой кнопкой мыши необходимо открыть настройки сети. Далее в меню нужно от- крыть параметр Change Adapter Options.
Правойкнопкоймышинеобходимооткрытьсвойствасетевогоадаптера,далее— Internet Protocol Version 4 и его свойства.
НеобходимонастроитьсетевыереквизитымашиныCLIвсоответствиисосхемойсети.
Также необходимо добавить правило для трансляции портов на RTR-L. Вданный мо- мент работоспособность зоны int.demo.wsr не проверяется, так как данная зона не сконфигу- рирована. Внутри файла /etc/nftables.conf необходимо произвести настройку согласно скриншоту ниже.
#new— строчка указывает на переброс всех запросов на 53-йпорт внешнего адреса RTR-L на сервер 192.168.100.200:53.
Дополнительнаяинформация
Прямые зоны служат для преобразования имен узлов в IP-адреса. Наиболее часто ис- пользуются для этого записи: A, CNAME, SRV.
Для определения имени узла по его IP-адресу служат обратные зоны, основной тип за- писивобратныхзонах—PTR.Длярешенияданнойзадачисозданспециальныйдоменсиме- немin-addr.arpa.ДлякаждойIP-сетивтакомдоменесоздаютсясоответствующие поддомены, образованные из идентификатора сети, записанного в обратном порядке. Например, для сети 192.168.0.0/24 необходимо создать зону с именем 0.168.192.in-addr.arpa. Для узла с адресом 192.168.0.10иименемexample.ruвданнойзонедолжнабытьсозданазапись10PTRexample.ru.
Взаданиииспользовалисьобратныезоны16.172.in-addr.arpaи168.192.in-addr.arpa(для сетей172.16.0.0/16и192.168.0.0/16соответственно).Новозникаетвопрос—ведьтакихсетейв заданиинет.Всеоченьпросто.Длятогочтобынесоздаватьзоныдлякаждойподсети,аих 5шт., просто используют «вышестоящую сеть», так как сеть 172.16.x.0/24 является подсетью 172.16.0.0./16,и,соответственно,сеть192.168.x.0/24являетсяподсетью192.168.0.0/16.
Краткаясправка
– подробнеепроBIND(https://wiki.debian.org/Bind9);
– обширная документация по BIND от разработчиков (https://downloads.isc.org/ isc/bind9/9.17.1/doc/arm/Bv9ARM.pdf).
Задание2.Выполнитенастройкувторого уровняDNS-системы стенда:
– используетсяВМSRV;
– обслуживается зона int.demo.wsr;
– наполнениезоныдолжнобытьреализовановсоответствиистаблицей2;
– обслуживаютсяобратныезоныдлявнутреннихадресов регионов;
– именадляразрешенияобратныхзаписейследуетбратьизтаблицы2;
– серверпринимаетрекурсивныезапросы,исходящиеотадресоввнутреннихрегионов;
– обслуживаниеклиентов(внешнихивнутренних),обращающихсякзонеint.demo.wsr, должно производиться без каких-либо ограничений по адресу источника;
– внутренние хосты регионов (равно как и платформы управления трафиком) должны использовать данную DNS-службу для разрешения всех запросов имен.
Как делать
В качестве DNS-сервера необходимо использовать ПО bind9. Для начала необходимо установить bind9 на SRV с использованием команды
aptinstall bind9
УстановкапакетовпроисходитпоаналогиисустановкойнаISP.
Послеустановкинеобходимоотредактироватьконфигурационныефайлы. Сначала необходимо открыть файл /etc/bind/named.conf.options.
Стоитобратитьвниманиенацифровыеуказаниянаскриншоте,ихописаниепред- ставлено ниже:
– пересылкавсехнеизвестныхзапросовнаISP;
– отключениеDNSSEC;
– слушатьнавсех интерфейсах;
– приниматьрекурсивныезапросы;
– приниматьзапросыот всех;
– рекурсивныезапросыпринимаютсятолько извнутреннихсетей регионов.
После этого необходимо открыть файл /etc/bind/named.conf.default-zones и создать там три зоны, пример на скриншоте:
Пояснения по поводу правил описания зон указаны выше. Проясним, что конкретносоздается в данном пункте задания:
int.demo.wsr—внутренняязонадляпрямогообслуживания; 100.168.192.in-addr.arpa — обратная зона для региона Left; 100.16.172.in-addr.arpa — обратная зона для региона Right.
Далеенеобходимоперейтивдиректорию/etc/bind/исоздатьшаблоныдлятрехзон,необходимоименоватьихтакже,какописаниезонвконфигурационныхфайлах
/etc/bind/named.conf.default-zones.
Сначаланужнозаполнитьпрямуюзону—int.demo.wsr.
ПослеэтогонужнозаполнитьобратнуюзонудляподсетиLEFT —100.168.192.in- addr.arpa.
АтакжеобратнуюзонудляподсетиRIGHT—100.16.172.in-addr.arpa.
После того, как заполнение файлов зон закончено, можно проверить конфигурацион- ные файлы и перезапустить bind9:
named-checkconf—проверкаконфигурационныхфайлов; namec-checkconf -z — проверка файлов зон.
Проверкуможнопроизвестиприпомощиутилитыhost:
host<запрашиваемый_ресурс><ip_адрес_сервера_для_опроса>
Также заполняем и обратные зоны:
host<запрашиваемый_ресурс><ip_адрес_сервера_для_опроса>
Такжеможновыполнитьпроверкусвнешнего клиента:
nslookup<запрашиваемый_ресурс><ip_адрес_сервера_для_опроса>
Задание3.Выполнитенастройкупервогоуровнясистемысинхронизации времени:
– используется сервер ISP;
– серверсчитаетсобственныйисточниквремениверным, stratum=4;
– сервердопускаетподключениетолькочерезвнешнийадрес;
– соответствующейплатформыуправлениятрафиком;
– подразумеваетсяобращениеSRVдлясинхронизации времени;
– клиентCLIдолжениспользоватьслужбувремениISP.
Какделать
NTP— сетевой протокол для синхронизации внутренних часов компьютера с исполь- зованием серверов времени. Для реализации NTP-сервера используется ПО chrony. Chrony необходимо установить при помощи команды
aptinstall chrony
Предварительно необходимо подключить DVD-2-образ в настройках машины и про- извести установку с DVD (apt-cdrom add, потом apt update).
Послеустановкинеобходимооткрытьконфигурационныйфайл/etc/chrony/chrony.confи добавить в него следующую конфигурацию.
1—вкачествеисточникавременииспользовать localhost;
2–4— указать, устройства с каких подсетей имеют возможность синхронизироватьсяс сервером;
5 — указать стратум (англ. stratum), т.е. слой. NTP использует иерархическую сеть,где каждый уровень имеет свой номер, называемый слоем. Слой 1 — первичные серверы, непосредственно синхронизирующиеся с национальными службами времени через спутник, радио или телефонный модем. Слой 2— вторичные серверы, синхронизирующиеся с пер- вичными серверами, и т.д. Как правило, клиенты и серверы NTP с относительно небольшим числом клиентов не синхронизируются с первичными серверами.
Послеизмененияконфигурациинеобходимоперезапуститьchronyприпомощико-
манды
systemctl restart chronyd
Какпроверить
НаISPиспользуетсякомандаChronycSources —онаукажетнасервера,ккоторым
подключилсясконфигурированныйсервервремениISP.
ПослезавершениянастройкиNTP-серверанеобходимоподключитьNTPклиентов.
Вкачестве клиентавыступает машина CLI.
В первую очередь необходимо выполнить команду regedit при помощи утилиты Run, вызвать её можно нажатием клавиш (Win + R).
В открывшемся окне редактора реестра необходимо перейти по пути HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters и найти ключ NtpServer.
НеобходимоизменитьполеNtpServer,указаввкачествезначенияадрессервераISP.
После внесения изменения в реестр необходимо перезапустить сервис w32time. Сде- лать это можно из командной строки, запустив ее от имени администратора.
Вкоманднойстрокевведемкомандыпоперезагрузкесервисавремениw32time: net stop w32time — отключаем сервис w32time;
netstartw32time—включаемсервисw32time.
После перезапуска сервера необходимо выполнить команду w32tm /resync /rediscover для синхронизации с новым NTP-сервером.
Далееможновыполнитьпроверкусостояниясинхронизацииприпомощикоманды w32tm /query /status
Обратите внимание, что в поле SOURCE IP указан адрес того сервера времени, к ко- торому подключилась машина CLI.
НасерверевремениISPможноввестикомандуchronycclients:
Серверукажетвсехклиентов,срединихвиденCLIсадресом3.3.3.100.
Краткаясправка
– установкаNTP (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/ html/deployment_guide/sect-date_and_time_configuration-command_line_configuration-network_ time_protocol);
– крупнейшийсайт-агрегаторсервероввременивРоссии(https://www.ntp-servers.net);
– сайтпротоколаNTP(http://www.ntp.org).
Задание4. Реализуйте файловыйSMB-сервер на базе SRV.
СервердолженпредоставлятьдоступдляобменафайламисерверамWEB-LиWEB-R. Сервер, в зависимости от ОС, использует следующие каталоги для хранения файлов:
– /mnt/storageдлясистемынабазеLinux;
– ДискR:\ для системна базе Windows.
Хранение файлов осуществляется на диске (смонтированном по указанным выше ад- ресам), реализованном по технологии RAID типа «Зеркало».
Как делать
После того как дали папке общий доступ, заходим на WEB-l и R и делаем все одинаково:
apt install cifs-utils
apt install mc
mkdir /mnt/zov
Zov-название папки
Ip-сервера
Пользоваетль и пароль сервера
Потом все сохраняем в nano /etc/fstab
RAID— технология виртуализации данных для объединения нескольких физических дисковых устройств в логический модуль для повышения отказоустойчивости и (или) произ- водительности. Существует множество реализации RAID, как правило, выделяется 7 (от 0 до 6) основных базовых уровней RAID, остальные реализации считаются комбинированными.В рамках выполнения задания нам необходимо настроить RAID «Зеркало» или RAID1.
Это делается при помощи утилиты mdadm, которую необходимо установить при помощи команды
aptinstall mdadm
Предварительно необходимо подключить DVD-1 образ в настройках машины и про- извести установку с DVD (apt-cdrom add, потом apt update).
Далеенеобходимопроверить,присутствуютливнастройкахвиртуальноймашиныSRV подключенныежесткиедиски.НужнооткрытьнастройкивиртуальногокомпьютераSRV.
Как можно заметить, в настройках виртуальной машины SRV существует только диск на 18GB, на котором установлена операционная система. Необходимо добавить диск нажа- тием на Add...
Далеесистемауточнит,какоеустройстводобавляетсявВМ,нужновыбратьHard
Disk.
Далее система запрашивает указать тип подключения диска к ВМ, Vmware рекомен-дует SCSI, необходимо оставить данную настройку по умолчанию.
Далеесистемауточнит,создатьлиновыйдискилидобавитьужесуществующий.
Необходимосоздатьновыйдиск,этовариантпо умолчанию.
В новом окне нужно указать объем диска, подключаемого к ВМ. Стоит обратить вни- мание, что для виртуальных дисков используется доступное физическое дисковое простран- ство сервера.
Далее указывается имя добавляемого диска, рекомендуется изменить имя на любое удобное. Смена имени со значения по умолчанию позволит избежать в будущем возможные проблемы с конфликтом имен.
После этого завершается добавление устройства нажатием на кнопку Finish. Необхо- димо повторить процедуру еще раз, создав второй жесткий диск объемом в 2 Гб.
После завершения настроек следует перезагрузить виртуальную машину, а после за- грузки ввести команду lsblk.
Стоить обратить внимание на два диска объемом по 2Гб— sda и sdc, они без размет- ки диска, поэтому не имеют цифрового идентификатора, в отличие от диска sdb, который имеет подразделы:
– sdb1;
– sdb2;
– sdb5.
Все разделы, перечисленные выше,— системные, в столбце MOUNTPOINT указано,в какую директорию смонтированы данные разделы диска.
Нановыхнеразмеченныхдискахнеобходимосоздатьразделыприпомощиутилиты
cfdisk
cfdisk/dev/sdX,гдеХ—букватогодиска,которыйвыжелаетеформатировать.
Например,разметкадиска/dev/sdaбудетвыглядетьвоттак: cfdisk /dev/sda — введите данную команду в терминал.
Откроется псевдографическая утилита, на данном этапе необходимо указать метку раздела — значение по умолчанию, GPT.
ДалеенеобходимовыбратьNewдлясозданиянового раздела.
Далее указывается размер создаваемого раздела, по умолчанию указывается все сво- бодное пространство целевого диска. Нажатием Enter происходит соглашение с размером раздела.
После чего необходимо перейти в опцию меню Type, чтобы указать, какой формат разметки выбрать. По умолчанию выбирается Linux Filesystem, но для создания RAID- массива потребуется отформатировать диск в Linux RAID.
Вуказанном списке выбирается Linux RAID.
Вручнуюпишетсясловоyes,чтобыпринятьизмененияиотформатироватьдиск.
Послевнесенныхправокнеобходимопокинутьутилитуcfdisk,выбравпараметрQuit.
Необходимоповторитьданнуюпроцедурутакжеисовторымдобавленнымдиском.
Как проверить
Созданныеразделыможноувидетьввыводекоманды lsblk.
Краткаясправка
– управление RAID (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/ 9/html/managing_storage_devices/managing-raid_managing-storage-devices);
– краткооRAID-массивах(https://ru.bmstu.wiki/RAID_(Redundant_Array_of_Indepen- dent_Disks));
– дополнительная информация о RAID (https://ru.wikipedia.org/wiki/RAID#RAID_1E). Далее необходимо собрать RAID1-массив. Для этого необходимо воспользоваться ко-
мандой
mdadm--create/dev/md0–level=1--raid-devices=2/dev/sda1 /dev/sdc1
Комментарииквведеннойкоманде
– mdadm—обращение к утилитеmdadm;
– --create—создатьновый массив;
– /dev/md0—указывается,какбудетназыватьсялогическийтомRAID-массива,
/dev/mdX,гдеХ—порядковыйномерRAID-массива,аmdX—зарезервированноеимяустройства для RAID в Linux;
– --level=1—указываетсяуровеньRAID-массива. 1—указываетнаRAID1(«Зеркало»);
– --raid-devices=2—указываетсяколичествоустройств,добавленныхвRAID-массив;
– /dev/sda1/dev/sdc1—перечисляютсядиски,которыедобавимвRAID-массив. После этого утилита mdadm начнет создание RAID-массива.
ПроцесссборкиRAID-массиваможнонаблюдатьввыводефайла/proc/mdstat cat /proc/mdstat:
ОбозначениебуквUU(use;use)указываетнато,чтообадискапрошлиинициализа- цию и сборку в RAID-массив и готовы к работе.
Послетого,какмассивсобран,егонеобходимосохранитьприпомощикомандыmdadm --detail --scan --verbose | tee -a /etc/mdadm/mdadm.conf
Комментарииквведеннойкоманде
– mdadm—обращение к утилитеmdadm;
– --detail—вывестиинформациюоактивныхRAID-массивах;
– --scan— просканировать все RAID-массивы с целью получения актуализированной информации;
– --verbose—вывестирасширеннуюинформациюповыводукоманды--detail.Дан- ный ключ работает только в связке с опциями --detail --scan или --examine –scan;
– |-указатель,чтовыводпредыдущейкомандынеобходимоперенаправитьвдругой
файл;
– tee—считываетданныеизстандартногоустройствавводаизаписываетихнастан-
дартноеустройствовыводаилив файл;
– -a—добавитьданныекуказаннымфайлам,безперезаписи;
– /etc/mdadm/mdadm.conf —указатьфайл,ккоторомудобавляетсявывод mdadm.
Далее необходимо пересоздать initramfs с поддержкой данного массива при помощи команды update-initramfs-u— данная команда обновит информацию о монтируемых при за- грузке разделах RAID.
Готовыймассивтакжеотобразится ввыводеутилитыlsblk.
После того, как массив собран, необходимо форматировать его в файловую системуext4 и настроить автоматическое монтирование при загрузке.
Форматированиеможнопроизвестиприпомощикоманды mkfs.ext4 /dev/md0
Даннаякомандаотформатируетфайловыйразделвфайловуюсистемуext4.
Далее необходимо создать точку монтирования данного массива, сделать это можнопри помощи команды
mkdir/mnt/storage
Послеэтогонеобходимодобавитьзаписьвфайл/etc/fstab.
Комментарииквведеннойстроке
– /dev/md0— указывается устройство, планируемое к монтированию в операционную систему;
– /mnt/storage—указываетсяточкамонтирования—созданнаяранее директория;
– ext4—указывается файловаясистемацелевогоустройства;
– defaults— указывает, что параметры монтирования файловой системы будут вы- полнены по умолчанию;
– первый ноль— указывает параметр, который должен использоваться, если в систе- ме установлены утилиты резервного копирования. Если установлен 0, значит, резервное ко- пирование выключено;
– второй ноль — если установлен 0, то данный раздел не проверяется на ошибки раз- делов утилитой fsck, иные значения указывают на проверку раздела.
Как проверить
Протестировать автоматическое монтирование без перезагрузки машины можно при помощи команды mount –av.
шины.
Послеэтогоможнопротестироватьавтоматическоемонтированиеперезагрузкойма-
Необходимоперезагрузитьмашинуспомощьюкомандыreboot. После успешной перезагрузки вводится команда lsblk.
Дополнительнаяинформация
– автоматическоемонтированиесистемныхфайловспомощьюfstab(https://access.redhat. com/documentation/en-us/red_hat_enterprise_linux/4/html/introduction_to_system_administration/s2- storage-mount-fstab);
– подробнеепроfstab(https://linoxide.com/understanding-each-entry-of-linux-fstab-etcfstab-
file);
– подробнеепроmdadm (http://xgu.ru/wiki/mdadm);
– далеенеобходимореализоватьфайловыйсерверпопротоколуSMB.Дляэтого
необходимоустановитьпакетSAMBAприпомощикоманды apt install samba
После установки пакета необходимо открыть его конфигурационный файл
/etc/samba/smb.conf.
Не меняяостальныхпараметров,вконцефайланеобходимоописатьновыйобщийре-
сурс.
Если в задании указано, что файлы, создаваемые средствами сетевого обмена, при- надлежат специально созданному пользователю smbuser вне зависимости от того, кто их со- здал, либо все созданные файлы в рамках обмена должны принадлежать одному специаль- ному пользователю, выполняем следующие шаги.
Необходимо создать пользователя командой useradd smbuser и внести следующие из- менения в /etc/samba/smb.conf:
Подробнее:https://www.thegeekdiary.com/how-to-force-user-group-ownership-of-files-on-a-samba-share.
Стоит обратить внимание, что каждая строчка пронумерована, комментарии к каждой из строчек:
1 — название общего ресурса;
2 —физическийпутькобщей папке;
3 —разрешитьобнаружение папки;
4 —включитьрежимчтенияизаписи;
5 —разрешитьанонимныйдоступ.
ПослевнесенияконфигурациинеобходимоперезапуститьсервисыSMBDиNMBD при помощи команд
systemctl restart smbd systemctlrestartnmbd
Далее необходимо установить максимальные права на каталог для обеспечения пол-нофункционального анонимного доступа при помощи команды chmod 777 /mnt/storage.
Вцеляхтестированиясоздаетсяпустойфайлвдиректории/mnt/storageспомощью команды
touch /mnt/storage/test
Дополнительнаяинформация
– использование SAMBA как сервера (https://access.redhat.com/documentation/en- us/red_hat_enterprise_linux/8/html/deploying_different_types_of_servers/assembly_using-samba-as-a-server_deploying-different-types-of-servers);
– документацияпротокола SAMBA(https://www.samba.org/samba/docs);
– информацияопакетеNMBD(https://www.opennet.ru/man.shtml?topic=nmbd&category
=8&russian=0).
На данном этапе выполнить функциональную проверку не получится, поэтому необ- ходимо перейти к следующему заданию, по формулировке которого становится очевидно,что созданный на машине SRV сетевой ресурс по SAMBA используется для серверов WEB-L и WEB-R.
Задание 5. Сервера WEB-L и WEB-R должны использовать службу, настроенную на SRV, для обмена файлами между собой:
– служба файлового обмена должна позволять монтирование в виде стандартного ка- талога Linux;
– разделяемыйкаталогдолженбытьсмонтированпоадресу /opt/share;
– каталогдолженпозволятьудалятьисоздаватьфайлывнемдлявсехпользователей.
Как делать
ДлямонтированияразделяемогоресурсанасервераWEB-LиWEB-Rнеобходимо установить пакеты samba-client и cifs-utils при помощи команды
aptinstall samba-client cifs-utils
После установки пакетов необходимо использовать команду mount для монтирования каталога.
Комментариикрядувведенныхкоманд
– mkdir/opt/share—создатькаталог/opt/share;
– mount//192.168.100.200/share/opt/share-o guest —монтированиесетевойпапкипо протоколу SMB в папку /opt/share, -o указывает на логин пользователя для монтирования;
– ls /opt/share — указывается содержимое папки /opt/share. Смонтированныйресурсотображаетсяввыводекомандыdf–h.
Дляавтоматическогомонтированиянеобходимодобавитьзаписьв /etc/fstab.
Параметры монтирования уже обсуждались ранее, добавленная запись guest указыва- ет на то, что при монтировании указывается логин guest, а строка rw— указывает права на монтируемый ресурс для чтения и записи.
Как проверить
Проверитьвозможностьмонтированиябезперезагрузкиможноприпомощикоманды mount -av
Командойtouchможносоздатьлюбойфайлвсмонтированнойдиректории/opt/share.
Дополнительнаяинформация
– монтированиеSAMBA-папоквLinux(https://wiki.samba.org/index.php/Mounting_ samba_shares_from_a_unix_client);
– созданиеSAMBA-папок(http://linuxsql.ru/content/nastroika-failovogo-servera-samba-na-debian-chast-tretya).
Задание6. Выполнитенастройку центрасертификации набазе SRV.
В случае применения решения на базе Linux используется центр сертификации типаOpenSSL и располагается по адресу /var/ca.
Выдаваемыесертификатыдолжныиметьсрокжизнинеменее300дней. Параметры выдаваемых сертификатов:
– страна RU;
– организация DEMO.WSR;
– прочиеполя(заисключениемCN)должныбытьпусты.
Какделать
Для настройки центра сертификации используется утилита CA.pl. Данная утилита присутствует в Debian 11 по умолчанию, но стоит указать, что в случае недоступности дан- ную утилиту можно установить с помощью команды
aptinstalllibcrypt-openssl-*-y
Во-первых, необходимо изменить конфигурационный файл /usr/lib/ssl/openssl.cnf. На строке 48 следует изменить значение dir на /var/ca. Также нужно указать директорию хране- ния конфигурации центра сертификации, согласно условиям задания.
В строке 78 изменить default_days на 1024 (или любое значение больше 300), так как по условиям задания сказано, что срок действия сертификата должен быть больше 300 дней.
Встроке134изменитьзначениестранынаRU,согласноусловиямзадания.
В строке 139 поставить точку вместо значения, в строке 144 прописать DEMO.WSR, согласно условиям задания. На этом пункте указывается название организации, которая за- нимается поддержкой данного центра сертификации.
Необходимо убрать комментарий из строки 151 и также поставить точку, в данном пункте можно указать имя подразделения или отдела в указанной выше компании, который занимается поддержкой данного центра сертификации.
Послеэтогонеобходимосохранитьизакрытьфайл,затемперейтивдиректорию
/usr/lib/ssl/misc и открыть для редактирования скрипт CA.pl. Этот скрипт используется для удобного и автоматизированного управления центром сертификации с помощью пакета openssl.
Встроке28изменитьзначениеdaysна1024(илилюбоезначениебольше500).
Встроке37изменитьзначениена /var/ca.
После того, как конфигурация центра сертификации отредактирована, можно присту- пать к его развертыванию. Для этого необходимо из каталога /usr/lib/ssl/misc выполнить ко- манду-вызов скрипта
./CA.pl -newca
Даннаякомандавыполнитскриптипередастемуключ-newca,небходимыйдляиници- ализациицентрасертификациииконфигурированияегокорневогосертификата.
Системапотребуетввестипароль,необходимоповторитьегодважды.
Комментарииккаждойстрочкевпроцессесозданиясертификата
– запрашивается область или штат центра сертификации. Если нажать Enter без ввода параметров, поле будет заполнено тем содержимым, что видно в квадратных скобках, в нашем случае это символ точки;
– запрашиваетсягород.ЕслинажатьEnterбезвводапараметров,полебудет заполнено содержимым в квадратных скобках;
– указывается имя организации. Если нажать Enter без ввода параметров, поле будет заполнено содержимым в квадратных скобках, в данном случае это слово DEMO.WSR;
– запрашивается имя отдела-поддержки центра сертификации, данный пункт пропус- кается;
– запрашиваетсяимяцентрасертификации,необходимовручнуюуказать—WSR CA;
– запрашивается электронная почта администратора данного центра сертификации, необходимо оставить поле пустым;
– запрашиваетсяпарольдлясертификата,необходимооставитьполе пустым;
– запрашиваетсяальтернативноеназваниекомпании,необходимооставитьполепу-
стым.
Послевводаэтихпараметровсистеманачнетпроцесссозданиякорневогосертификата.
Центрсертификацииразвернут,осталосьдобавитькорневойсертификатвдоверенные. Файл с корневым сертификатом можно найти по пути
/var/ca/cacert.pem
Для Linux-машин необходимо скопировать данный файл в директорию
/usr/local/share/ca-certificatesсрасширением.crt
cp/var/ca/cacert.pem/usr/local/share/ca-certificates/cacert.crt и выполнить команду
update-ca-certificates —для обновленияхранилища сертификатов.
Как проверить
Проверитьработоспособностьдоверияможноприпомощикоманды openssl verify /usr/local/share/ca-certificates/cacert.crt
Есликомандавернет ОК— всесделано правильно.
Для Windows-машин установка сертификата выполняется при помощи установщика сертификатов.
Во-первых, необходимо отправить сертификат с расширением .crt на Windows- машину. Сделать это можно при помощи SCP, например:
SCP— утилита для копирования файлов между хостами через SSH. Для начала необ- ходимо настроить SSH-сервер на машине SRV и WEB-L, для входа под именем пользователя root
/etc/ssh/sshd_config — необходимо открыть с помощью текстового редактора данный документ.
Отредактировать 34-юстрочку в данном документе, такая настройка позволит поль- зователю root подключаться к машине по протоколу SSH с использованием логина и пароля, по умолчанию такая функция запрещена из соображений безопасности.
Послеизменениянастроекнеобходимоперезагрузитьсервисsshd systemctl restart sshd
Так как машина CLI находится в Интернете, прямого доступа к машине SRV у неенет. Для передачи сертификата следует воспользоваться машиной WEB-L, так как машина RTR-L транслирует 2222-й порт из внешнего Интернета на 22-й порт именно WEB-L.
Для начала необходимо передать сертификат с SRV в директорию /root/ на машине WEB-L.
Командавыглядит следующим образом
scproot@192.168.100.200:/var/ca/cacert.pem./cacert.crt
Комментарииквведеннойкоманде
– SCP—обращениек утилитеSCP,дословноее можноперевестикак ssh-copy;
– root@192.168.100.200—указываетсялогин пользователяиадрес, ккоторомупро- исходит подключение;
– /var/ca/cacert.pem —указываетсяфайлнасторонеудаленноймашины,которыйнеобходимо перенести;
– ./cacert.crt — с помощью специального символа ./ указывается, что планируется со- хранить файл в текущей директории с именем cacert.crt.
ПривводеEnterсистемапотребуетподтвердитьподключение—необходимонаписать словоyes.Послеэтоговводитсяпарольотпользователяrootиожидаетсязагрузкафайла.
Убедиться в том, что файл точно появился в текущей директории на сервере WEB-L, можно с помощью команды ls.
Такженеобходимоотредактировать/etc/ssh/sshd_config. После на машине CLI вводим следующее:
Файл cacert.crt был успешно перемещен и сохранен по пути— C:\Users\user1, необхо- димо перейти по этому пути.
Послеэтогонеобходимонажатьна файлПКМивыбратьinstall certificate.
ВкачествеместахранилищанеобходимовыбратьLocal Machine.
Вкачествехранилища—TrustedRoot Certification Authorities.
Проверить, доверяет ли клиент сертификату, можно просто открыв файл с сертифика- том и перейдя во вкладку Certification Path.
Дополнительнаяинформация
– использование OpenSSL (https://access.redhat.com/documentation/en-us/red_hat_enterp- rise_linux/7/html/security_guide/sec-using_openssl);
– чтотакоеЦентрысертификации?(https://www.globalsign.com/ru-ru/ssl-information-center/what-are-certification-authorities-trust-hierarchies);
– официальнаядокументациянапакетOpenSSL(https://www.openssl.org/docs).
ВЗАИМОДЕЙСТВИЕСОСПЕЦИАЛИСТАМИ
СМЕЖНОГО ПРОФИЛЯ ПРИ РАЗРАБОТКЕ МЕТОДОВ, СРЕДСТВ И ТЕХНОЛОГИЙ ПРИМЕНЕНИЯ ОБЪЕКТОВ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ
DOCKER:
НА WEB-L:
apt install docker docker.io
docker image pull nginx
docker run -d -p 80:80 —name zov nginx
apt install curl
curl 192.168.100.100(WEB-L)
НА SRV:
в браузере вводим http://192.168.100.100
Задание1.Выполните установкуприложения AppDocker0.
Образ Docker (содержащий веб-приложение) расположен на ISO-образе дополнитель- ных материалов.
Пакеты для установки Docker расположены на дополнительном ISO-образе. ИнструкцияпоработесприложениемрасположенанадополнительномISO-образе. Необходимо реализовать следующую инфраструктуру приложения:
– клиентомприложения являетсяCLI (браузер Edge);
– хостингприложенияосуществляетсянаВМWEB-LиWEB-R;
– доступкприложениюосуществляетсяпоDNS-имени www.demo.wsr;
– имя должно разрешаться во «внешние» адреса ВМ управления трафиком в обоих ре- гионах;
– принеобходимостидлядоступакприложениюдопускаетсяреализоватьреверс- прокси или трансляцию портов;
– доступкприложениюдолженбытьзащищенсприменениемтехнологииTLS;
– необходимообеспечитькорректноедовериесертификатусайта,безприменения
«исключений»иподобных механизмов;
– незащищенноесоединениедолжнопереводитьсяназащищенныйканалавтоматически;
– необходимообеспечитьотказоустойчивостьприложения;
– сайтдолженпродолжатьобслуживание(сзадержкойнеболее25с)вследующих сценариях:
a) отказоднойизВМWeb;
b) отказоднойизВМуправлениятрафиком.
Какделать
На ВМ WEB-L и WEB-R необходимо выполнить установку Docker. Это можно сде-лать при помощи команды
aptinstalldocker docker.io
Если работа идет без интернета, то требуется наличие диска с ОС DVD 1, загруженно- го с сайта производителя ОС.
После того, как установка была выполнена, необходимо смонтировать к VM образ сдополнительными материалами и скопировать образ приложения.
Для подключения диска ISO-формата к виртуальной машине необходимо выполнить следующие действия:
– правойкнопкоймышинажатьнаимямашины,далееоткрыть настройки.
СледуетвыбратьустройствоCD/DVDпривод:
– указывается,чтопланируетсясмонтироватьISO-образ;
– с помощью Browse... (обзор) выбирается необходимый диск app.iso (важное уточне- ние: название образа с приложением Docker может отличаться, в данном примере он называ- ется app.iso).
Стоит обратить внимание на то, что в окне программы Vmware Workstation изменился смонтированный ISO-файл.
Посленастройкивиртуальноймашинынеобходимоввестикомандуmount/dev/cdrom
/media/cdrom.
ДаннаякомандамонтируетустройствоDVD-привод(/dev/cdrom)вдиректорию (/media/cdrom).
Далеенужноскопироватьархивapp.tarсобразавдомашнююдиректорию /root/
cp /media/cdrom/app.tar /root (или, как в примере ниже, поставить символ «точка», при условии, что работа производится в папке /root).
Послетого,какприложениескопировано,образнеобходимоимпортироватьвDocker.
Дляэтогоиспользуетсякоманда docker load < app.tar
Проверить,чтообразимпортировалсякорректно,можноприпомощикоманды docker images
Далее приложение необходимо запустить. Вданном примере приложение работает на 5000-мпорту, поэтому необходимо запустить с прямой трансляцией 5000-гопорта. Сделать это можно при помощи команды docker run -d -p 5000:5000 --name app app.
Комментарииквведеннойкоманде
– docker—обращениек утилите docker;
– run— опция, указывающая на запуск контейнера;
– -d— включать контейнер в режиме daemon. Данный ключ необходим, так какDocker по умолчанию запускает контейнер в текущем stdout, и все логи отправляются в тер- минал пользователя;
– -p 5000:5000— ключ, указывающий, как выполнять трансляцию обращений от ад- реса на хостовой машине к контейнеру. Первым числом указывается порт хоста, вторым числом порт контейнера. Винструкции к приложению может быть сказано, что оно работает на порту 1337, но необходимо обеспечить его работоспособность на порту 80 (стандартном для HTTP), в таком случае описать конфигурацию нужно будет так: docker run -d -p 80:1337;
– --name— указать имя контейнера Docker вручную. Если этого не сделать, Docker сформирует имя самостоятельно случайным образом, что может быть неудобно для даль- нейшего администрирования;
– app—указываетсяимяконтейнера;
– app—указывается имяобраза,котороеназываетсятакже,как исам контейнер.
Для внесения ясности следует запомнить, что в Docker существуют образа и контей- неры. Образ Docker — упаковывает приложение и среду, необходимые приложению для за- пуска, во что-то, похожее на архив (как, например, zip), что позволит передавать данный об- раз на другие устройства, а контейнер является запущенным экземпляром образа на кон- кретной хостовой машине.
Как проверить
Проверить,запущенолиприложение,можноприпомощикомандыdockerps.
Посмотретьлогиприложенияможноприпомощикомандыdockerlogsapp.
Протестировать работоспособность приложения можно при помощи утилиты curl, от- правив запрос на 127.0.0.1:5000
curl 127.0.0.1:5000
ВответприходитHTML-код,которыйрасположенвданномконтейнере. Необходимо выполнить такую же операцию на машине WEB-R.
Задание2.Настроитьreverse-проксинаплатформахуправлениятрафиком.
В качестве reverse-прокси используем HAProxy. Так как необходимо обеспечить за- щищенное соединение через SSL (сертификаты, выписанные центром сертификации на ма- шине SRV), перед конфигурированием HAProxy необходимо выпустить сертификаты.
Сделать это нужно на SRV. Сначала нужно сформировать файл запроса при помощи команды
./CA.pl-newreq-nodes
Комментарииккаждойстрочкевданномконфигурационномфайле
– запрашивается код страны, оставляя значение по умолчанию, применяется значение из квадратных скобок, в данном случае — RU;
– запрашиваетсяштатили область;
– запрашивается город;
– запрашиваетсяимяорганизации, котораявыпустила сертификат;
– запрашиваетсяподразделение,котороевыпускает сертификат;
– запрашивается имя, на которое будет выпущен сертификат, в данный момент необ- ходимо указать имя — www.demo.wsr — доменное имя будущего сайта;
– почтовыйадресадминистратора.
Дальнейшиезапросыскриптаможноопустить,нажавEnter:
Послетого,какзапросбылсформирован,егонеобходимоподписать.Сделатьэто можно при помощи команды
./CA.pl -sign
ВводомYможносогласитьсясподпискойсертификата
newcert.pem
Далее необходимо переместить сертификат и его приватный ключ в какую-нибудь от- дельную директорию на сервере для удобства. В данном примере будет использована дирек- тория /root/www.
Используется команда ls, чтобы обнаружить новый сертификат newcert.pem в дирек- тории со скриптом CA.pl.
Создаетсяпапка/root/www-mkdir/root/www.
Переносятсяфайлывновуюдиректориюспомощьюкомандыmv.
После этого данные сертификаты, а также корневой сертификат центра сертификации необходимо передать на платформы управления трафиком. Сделать это можно при помощи SCP.
ПредварительнодляRTR-LиRTR-Rтоженеобходимоотредактировать/etc/ssh/sshd_config по аналогии с предыдущим заданием.
КомандапоотправкеключейисертификатанаRTR-L scp new* root@192.168.100.254:/root/
ДляRTR-R
scp new* root@172.16.100.254:/root/
Вследзасертификатомиключомсайтанеобходимоотправитьикорневойсертификат: scp /var/ca/cacert.pem root@192.168.100.254:/root/
scp/var/ca/cacert.pem root@172.16.100.254:/root/
После этого на RTR-R и RTR-L необходимо установить HAProxy. Сделать это можно при помощи команды
aptinstall haproxy
(пакетрасположеннаDVD-3).
Перед конфигурацией HAProxy следует создать папку /root/www для удобного хране- ния сертификатов. Перенести все скопированные сертификаты в данную папку
mkdir/root/www/ cd /root/www/
cp/root/newcert.pem/root/www/ cp/root/newkey.pem /root/www/
Необходимопереименоватьфайлnewkey.pemвnewcert.pem.keyспомощьюкоманды mv newkey.pem newcert.pem.key
Следует убедиться с помощью команды ls в том, что сертификаты расположены в ди- ректории /root/www.
Следует убедиться, что на машине RTR-R данные файлы расположены по тому же пу- ти — /root/www.
Данную команду необходимо повторить на устройстве RTR-L и убедиться, что дан-ные файлы расположены там же.
Корневойсертификатследуетскопироватьвхранилищелокальныхсертификатов cp /root/cacert.pem /usr/local/share/ca-certificates/cacert.crt
НеобходимоповторитьданнуюкомандунамашинеRTR-R соответственно.
После установки HAProxy и передачи сертификатов необходимо отредактировать ос- новной конфигурационный файл HAProxy
/etc/haproxy/haproxy.cfg
Вконецнеобходимодобавитьсекцииbackendиfrontend. RTR-R:
Комментариикстрочкам,введеннымвданномфайле
– указывается, на каком адресе и порту HAProxy принимает запросы (80 — стандарт- ный порт протокола HTTP);
– указывается, на каком адресе и порту HAProxy принимает запросы (443 — стан- дартный порт протокола HTTPS), а также указываются ключевые слова ssl crt /root/ www/newcert.pem — указывается путь до сертификата в директории /root/www;
– данная опция включается для поддержки редиректа с HTTP на HTTPS с сохранени- ем URL-запроса;
– указывается,ккакимсерверам ссылаетсяfrontend HAProxy;
– указывается, каким образом происходит балансировка нагрузки между контейнера- ми, в данном случае ROUNDROBIN — запросы идут по принципу 1 к 1, часть запросов на сервер WEB-R, а часть на WEB-L;
– указывается опция проверки, в данном случае HTTPCHK — это означает, что HAProxy периодически отправляет HTTP-запрос, а в случае отсутствия ответа HAProxy по- считаетданныйсервернерабочимиперестанетотправлятьклиентовнаданнуюмашину. В целом HAProxy имеет множество опций проверки доступности разных ресурсов;
– указывается первый сервер для балансировки, дописанная в конце опция check ука- зывает на проверку данного сервера по указанному выше параметру;
– указывается второй сервер для балансировки, опция check указывает на проверку данного сервера, по указанному выше параметру ssl ca-file необходим.
На машине RTR-L необходимо выполнить аналогичную настройку, за исключением разных IP-адресов в параметре frontend
RTR-L:
Как проверить
После того, как конфигурация изменена, необходимо перезапустить HAProxy с помо- щью команды
systemctlrestarthaproxy
иможнопроверитьсCLIдоступностьданногоресурсапоимениwww.demo.wsr:
Дополнительнаяинформация
– установка и настройка HAProxy (https://access.redhat.com/documentation/en- us/red_hat_enterprise_linux/7/html/load_balancer_administration/install_haproxy_example1);
– документациянаHAProxy(https://www.haproxy.com/documentation/hapee/latest/onepage);
– методыпроксированияна основеHAProxy (https://habr.com/ru/post/244027);
– введениев HAProxy (https://russianblogs.com/article/2064998131).
ПРИЛОЖЕНИЯ
Приложение1
ПРОВЕРКА IPSEC
apt install tcpdump на ISP
tcpdump -i enp0s8 -w dump.bin
telnet 172.16.100.100 22 на WEB-L
потом вводим сообщения
потом на ISP идем в mc
там в dump > F4 > F7, вводим сообщение если ничего не находит, то все верно