Найти в Дзене
Добрая память
1 подписчик

Настройка сетевых интерфейсов и маршрутизации

11
10 мин
Настройка сетевых интерфейсов и маршрутизации — это краеугольный камень создания надёжной и безопасной сетевой инфраструктуры. В эпоху, когда организации всё чаще полагаются на сложные сети для связи между офисами, правильная конфигурация становится не просто технической задачей, а стратегическим шагом для обеспечения бесперебойной работы. В контексте ALT Server, российской серверной операционной системы от компании BaseALT, эти процессы приобретают особую значимость. ALT Server разработан для корпоративных сред, поддерживает архитектуры x86, AArch64 и Elbrus, и предлагает инструменты для управления доменами, такие как "Альт Домен" (на базе Samba DC) и FreeIPA. Эта система входит в реестр Минцифры и идеально подходит для организаций, стремящихся к импортозамещению. Эта статья предназначена для системных администраторов, которые хотят освоить настройку сетевых интерфейсов и маршрутизации на ALT Server. Мы подробно разберём процесс настройки трёх маршрутизаторов: isp-router, main-router
Оглавление

Подробное руководство по настройке сетевых интерфейсов и маршрутизации на ALT Server

Подробное руководство по настройке сетевых интерфейсов и маршрутизации на ALT Server

Введение

Настройка сетевых интерфейсов и маршрутизации — это краеугольный камень создания надёжной и безопасной сетевой инфраструктуры. В эпоху, когда организации всё чаще полагаются на сложные сети для связи между офисами, правильная конфигурация становится не просто технической задачей, а стратегическим шагом для обеспечения бесперебойной работы. В контексте ALT Server, российской серверной операционной системы от компании BaseALT, эти процессы приобретают особую значимость. ALT Server разработан для корпоративных сред, поддерживает архитектуры x86, AArch64 и Elbrus, и предлагает инструменты для управления доменами, такие как "Альт Домен" (на базе Samba DC) и FreeIPA. Эта система входит в реестр Минцифры и идеально подходит для организаций, стремящихся к импортозамещению.

Эта статья предназначена для системных администраторов, которые хотят освоить настройку сетевых интерфейсов и маршрутизации на ALT Server. Мы подробно разберём процесс настройки трёх маршрутизаторов: isp-router, main-router и branch-router, включая конфигурацию интерфейсов, VLAN, NAT, GRE-туннелей и OSPF. Команды представлены в стиле, использующем редактор vim с форматом (insert), (ctrl+c), :wq, что соответствует подходу ALT Server. Каждая команда сопровождается пояснением, чтобы вы понимали её назначение, могли проверить результат и устранить возможные ошибки.

Наша цель — не просто предоставить инструкцию, а объяснить, почему каждый шаг важен, какие проблемы могут возникнуть и как их решить. Это поможет вам не только выполнить настройку, но и глубже понять, как работает ваша сеть, и адаптировать её под свои нужды.

Почему настройка сетевых интерфейсов и маршрутизации важна?

Настройка сетевых интерфейсов и маршрутизации закладывает основу для всей сетевой инфраструктуры. Ошибки на этом этапе могут привести к серьёзным последствиям:

  • Проблемы с доступом к Интернету: Неправильно настроенный NAT может заблокировать доступ для внутренних сетей.
  • Сбои в межофисной связи: Некорректная конфигурация GRE-туннелей или OSPF может нарушить маршрутизацию между филиалами.
  • Уязвимости в безопасности: Отсутствие VLAN может привести к смешению трафика, что усложняет управление и увеличивает риски.

В ALT Server, ориентированной на корпоративные задачи, такие ошибки особенно критичны, так как система часто используется в сложных сетях с высокими требованиями к надёжности и безопасности. Использование VLAN позволяет разделить трафик на логические сегменты, что повышает безопасность и упрощает управление. GRE-туннели обеспечивают защищённое соединение между удалёнными офисами, а OSPF автоматизирует маршрутизацию, делая сеть более масштабируемой. Эти технологии, правильно настроенные, создают гибкую и эффективную сетевую инфраструктуру.

Устройства и IP-адреса

Для настройки сети мы используем три маршрутизатора, каждый из которых выполняет определённую роль. Ниже приведён список устройств с их IP-адресами и назначением:

Пояснение

  • IP-адреса: Выбраны из частных диапазонов, определённых в RFC 1918, чтобы избежать конфликтов с публичными адресами. Например, диапазон 192.168.10.0/24 используется для серверов, 192.168.20.0/24 — для клиентов, а 192.168.99.0/24 — для управления.
  • VLAN: Виртуальные локальные сети (VLAN) используются для логического разделения трафика, что повышает безопасность и упрощает маршрутизацию. Например, VLAN 99 предназначена только для административного доступа.
  • GRE-туннель: Обеспечивает защищённое соединение между основным офисом и филиалом через Интернет, создавая виртуальную частную сеть.
  • ISP-router: Выполняет роль шлюза в Интернет, используя DHCP для получения публичного IP-адреса от провайдера, и соединяет основной офис и филиал.

Советы по планированию сети

Перед началом настройки рекомендуется:

  • Составить схему сети, указав все устройства, их IP-адреса и роли. Это поможет избежать путаницы и упростит диагностику проблем.
  • Использовать инструменты вроде draw.io для создания диаграмм сети.
  • Убедиться, что IP-адреса не пересекаются с другими сетями в вашей организации.
  • Проверить совместимость оборудования с ALT Server, особенно если используются архитектуры AArch64 или Elbrus.

Особенности ALT Server

ALT Server использует уникальную систему конфигурации сетевых интерфейсов, основанную на директориях /etc/net/ifaces/. Для каждого интерфейса создаётся отдельная папка, содержащая файлы options, ipv4address и другие, что отличается от стандартных Linux-дистрибутивов, таких как Debian, где используется файл /etc/network/interfaces. Эта структура требует внимательного подхода к настройке, но обеспечивает гибкость и прозрачность.

Если вы используете ALT Server в доменной среде с "Альт Домен" или FreeIPA, убедитесь, что IP-адреса и VLAN соответствуют вашей сетевой архитектуре. Например, VLAN 99 для управления может быть настроен для доступа только администраторов, что повысит безопасность.

Шаги и команды

1. Настройка isp-router

isp-router является точкой входа в Интернет для всей сети. Он имеет три интерфейса: enp0s3 для подключения к Интернету через DHCP, enp0s8 для связи с main-router и enp0s9 для связи с branch-router.

1.1. Настройка интерфейсов

Интерфейс enp0s3 (DHCP):

cd /etc/net/ifaces/
mkdir enp0s3
cd enp0s3
vim options
(insert)
TYPE=eth
DISABLED=no
BOOTPROTO=dhcp
(ctrl+c)
:wq

Пояснение:
Этот интерфейс настроен на получение IP-адреса автоматически от внешнего провайдера через DHCP. Это позволяет isp-router подключаться к Интернету без необходимости вручную задавать публичный IP-адрес, который может меняться.

Проверка:

ip a

Интерфейс enp0s3 должен иметь динамический IP-адрес, например, 203.0.113.10.

Интерфейс enp0s8 (к main-router):

cd /etc/net/ifaces/
mkdir enp0s8
cd enp0s8
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
172.16.10.1/24
(ctrl+c)
:wq

Пояснение:
Задаёт статический IP-адрес 172.16.10.1/24 для связи с main-router.

Проверка:

ip a

Интерфейс enp0s8 должен иметь IP 172.16.10.1/24.

Интерфейс enp0s9 (к branch-router):

cd /etc/net/ifaces/
mkdir enp0s9
cd enp0s9
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
172.16.20.1/24
(ctrl+c)
:wq

Пояснение:
Задаёт статический IP-адрес 172.16.20.1/24 для связи с branch-router.

Проверка:

ip a

Интерфейс enp0s9 должен иметь IP 172.16.20.1/24.

1.2. Включение IP-форвардинга

vim /etc/sysctl.conf
(insert)
net.ipv4.ip_forward=1
(ctrl+c)
:wq
sysctl -p

Пояснение:
Включает пересылку IP-пакетов, необходимую для маршрутизации и NAT.

Проверка:

sysctl net.ipv4.ip_forward

Ожидаемый результат: net.ipv4.ip_forward = 1.

1.3. Настройка NAT

apt-get install iptables
iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.20.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -L
iptables-save > /root/rules
export EDITOR=vim
crontab -e
(insert)
@reboot /sbin/iptables-restore < /root/rules
(ctrl+c)
:wq

Пояснение:
Устанавливает NAT для преобразования частных IP-адресов сетей 172.16.10.0/24 и 172.16.20.0/24 в публичный IP-адрес интерфейса enp0s3.

Проверка:

iptables -t nat -L

Должны отобразиться правила MASQUERADE.

1.4. Перезапуск сети и перезагрузка

systemctl restart network
systemctl reboot

Пояснение:
Перезапускает сетевые службы и устройство для применения настроек.

Проверка:

  • ip a: Все интерфейсы должны иметь правильные IP-адреса.
  • iptables -t nat -L: Правила NAT должны сохраниться.

2. Настройка main-router

main-router управляет сетью основного офиса, включая VLAN и GRE-туннель для связи с филиалом.

2.1. Настройка интерфейсов

Интерфейс enp0s3 (к isp-router):

cd /etc/net/ifaces/
mkdir enp0s3
cd enp0s3
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
172.16.10.2/24
(ctrl+c)
:wq
vim ipv4route
(insert)
default via 172.16.10.1
(ctrl+c)
:wq

Пояснение:
Задаёт IP 172.16.10.2/24 и маршрут по умолчанию через isp-router.

Проверка:

  • ip a: Интерфейс enp0s3 — 172.16.10.2/24.
  • ping 172.16.10.1: Должен быть ответ.

Интерфейс enp0s8 (для VLAN):

cd /etc/net/ifaces/
mkdir enp0s8
cd enp0s8
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq

Пояснение:
Активирует интерфейс для VLAN.

Проверка:

ip a

Интерфейс enp0s8 должен быть активен.

VLAN 10 (сеть серверов):

cd /etc/net/ifaces/
mkdir enp0s8.10
cd enp0s8.10
vim options
(insert)
TYPE=vlan
DISABLED=no
VID=10
HOST=enp0s8
(ctrl+c)
:wq
vim ipv4address
(insert)
192.168.10.1/24
(ctrl+c)
:wq

Пояснение:
Создаёт VLAN 10 с IP 192.168.10.1/24.

Проверка:

ip a

Интерфейс enp0s8.10 — 192.168.10.1/24.

VLAN 20 (сеть клиентов):

cd /etc/net/ifaces/
mkdir enp0s8.20
cd enp0s8.20
vim options
(insert)
TYPE=vlan
DISABLED=no
VID=20
HOST=enp0s8
(ctrl+c)
:wq
vim ipv4address
(insert)
192.168.20.1/24
(ctrl+c)
:wq

Пояснение:
Создаёт VLAN 20 с IP 192.168.20.1/24.

Проверка:

ip a

VLAN 99 (сеть управления):

cd /etc/net/ifaces/
mkdir enp0s8.99
cd enp0s8.99
vim options
(insert)
TYPE=vlan
DISABLED=no
VID=99
HOST=enp0s8
(ctrl+c)
:wq
vim ipv4address
(insert)
192.168.99.1/24
(ctrl+c)
:wq

Пояснение:
Создаёт VLAN 99 с IP 192.168.99.1/24.

Проверка:

ip a

2.2. Включение IP-форвардинга

vim /etc/sysctl.conf
(insert)
net.ipv4.ip_forward=1
(ctrl+c)
:wq
sysctl -p

Проверка:

sysctl net.ipv4.ip_forward

2.3. Настройка NAT

apt-get install iptables
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.99.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -L
iptables-save > /root/rules
export EDITOR=vim
crontab -e
(insert)
@reboot /sbin/iptables-restore < /root/rules
(ctrl+c)
:wq

Проверка:

iptables -t nat -L

2.4. Настройка GRE-туннеля

cd /etc/net/ifaces/
mkdir gre1
cd gre1
vim options
(insert)
TUNLOCAL=172.16.10.2
TUNREMOTE=172.16.20.2
TUNTYPE=gre
TYPE=iptun
TUNTTL=64
TUNMTU=1476
TUNOPTIONS='ttl 64'
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
10.10.10.1/30
(ctrl+c)
:wq

Проверка:

  • ip link show gre1
  • ping 10.10.10.2

2.5. Настройка OSPF

apt-get install frr
vim /etc/frr/daemons
(insert)
ospfd=yes
(ctrl+c)
:wq
systemctl restart frr
vtysh
conf t
router ospf
network 10.10.10.0/30 area 0
network 192.168.10.0/24 area 0
network 192.168.20.0/24 area 0
network 192.168.99.0/24 area 0
do wr mem

Парольная защита GRE:

vtysh
conf t
int gre1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 NetworkPass789
do wr mem

Проверка:

  • vtysh -c "show ip ospf neighbor"
  • vtysh -c "show ip route"

2.6. Перезапуск сети

systemctl restart network

Проверка:

ip a

3. Настройка branch-router

branch-router управляет сетью филиала и связывает её с основным офисом.

3.1. Настройка интерфейсов

Интерфейс enp0s3 (к isp-router):

cd /etc/net/ifaces/
mkdir enp0s3
cd enp0s3
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
172.16.20.2/24
(ctrl+c)
:wq
vim ipv4route
(insert)
default via 172.16.20.1
(ctrl+c)
:wq

Проверка:

  • ip a
  • ping 172.16.20.1

Интерфейс enp0s8 (локальная сеть):

cd /etc/net/ifaces/
mkdir enp0s8
cd enp0s8
vim options
(insert)
TYPE=eth
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
192.168.30.1/24
(ctrl+c)
:wq

Проверка:

ip a

3.2. Включение IP-форвардинга

vim /etc/sysctl.conf
(insert)
net.ipv4.ip_forward=1
(ctrl+c)
:wq
sysctl -p

Проверка:

sysctl net.ipv4.ip_forward

3.3. Настройка NAT

apt-get install iptables
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o enp0s3 -j MASQUERADE
iptables -t nat -L
iptables-save > /root/rules
export EDITOR=vim
crontab -e
(insert)
@reboot /sbin/iptables-restore < /root/rules
(ctrl+c)
:wq

Проверка:

iptables -t nat -L

3.4. Настройка GRE-туннеля

cd /etc/net/ifaces/
mkdir gre1
cd gre1
vim options
(insert)
TUNLOCAL=172.16.20.2
TUNREMOTE=172.16.10.2
TUNTYPE=gre
TYPE=iptun
TUNTTL=64
TUNMTU=1476
TUNOPTIONS='ttl 64'
DISABLED=no
(ctrl+c)
:wq
vim ipv4address
(insert)
10.10.10.2/30
(ctrl+c)
:wq

Проверка:

  • ip link show gre1
  • ping 10.10.10.1

3.5. Настройка OSPF

apt-get install frr
vim /etc/frr/daemons
(insert)
ospfd=yes
(ctrl+c)
:wq
systemctl restart frr
vtysh
conf t
router ospf
network 10.10.10.0/30 area 0
network 192.168.30.0/24 area 0
do wr mem

Парольная защита GRE:

vtysh
conf t
int gre1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 NetworkPass789
do wr mem

Проверка:

  • vtysh -c "show ip ospf neighbor"
  • vtysh -c "show ip route"

3.6. Перезапуск сети

systemctl restart network

Проверка:

ip a

Заключение

Настройка сетевых интерфейсов и маршрутизации на ALT Server — это сложный, но выполнимый процесс. Используя VLAN, NAT, GRE и OSPF, вы можете создать гибкую и безопасную сеть, обеспечивающую связь между офисами и доступ в Интернет. Понимание каждого шага и проверка результатов помогут вам избежать ошибок и адаптировать конфигурацию под ваши нужды.