Настройка S50-1A21

• Для чайников: редактировать в vim – нажать A английскую, перестать редактировать ctrl + c.
  

24 – 255.255.255.0, 256 устройств

25 – 255.255.255.128, 128 устройств

26 – 255.255.255.192, 64 устройства

27 – 255.255.255.224, 32 устройства

28 – 255.255.255.240, 16 устройств

29 – 255.255.255.248, 8 устройств

30 – 255.255.255.252, 4 устройства

редактировать в vim – нажать A английскую, перестать редактировать ctrl + c.

Маски сети

24 – 255.255.255.0, 256 устройств

25 – 255.255.255.128, 128 устройств

26 – 255.255.255.192, 64 устройства

27 – 255.255.255.224, 32 устройства

28 – 255.255.255.240, 16 устройств

29 – 255.255.255.248, 8 устройств

30 – 255.255.255.252, 4 устройства

BR-RTR

Изменение хостнейма

Configure

Hostname BR-RTR

Exit

Commit

confirm

Ip адреса

Если команды не работают, спамить ? после каждого слова

configure

interface gigabitethernet 1/0/1

ip firewall disable

ip address 172.16.5.2/28

no shutdown

exit

interface gigabitethernet 1/0/2

ip firewall disable

ip address 192.168.1.1/27

no shutdown

exit

ip route 0.0.0.0/0 172.16.5.1

exit

commit

confirm

Создание пользователя

configure

username net_admin

password P@ssw0rd

privilege 15

end

commit

confirm

Настройка GRE туннеля

configure

tunnel gre 1

ttl 16

mtu 1400

ip firewall disable

local address 172.16.5.2

remote address 172.16.4.2

ip address 172.16.1.2/30

enable

end

commit

confirm

Настройка OSPF

configure

router ospf 1

router-id 172.16.5.2

area 0.0.0.0

network 192.168.1.0/27

network 172.16.1.0/30

enable

exi

enable

exi

tun gre 1

ip ospf instance 1

ip ospf

exi

do com

do con

Безопасность OSPF

configure

key-chain ospf-key

key 1

key-string ascii-text P@ssw0rd

exi

exi

tunnel gre 1

ip ospf authentication key-chain ospf-key

ip ospf authentication algorithm md5

exi

do com

do con

Настройка NAT

config

security zone public

exi

interface gigabitethernet 1/0/1

security-zone public

exi

object-group network LOCAL

ip address-range 192.168.0.0-192.168.0.255

exi

nat source

ruleset MASQUERADE

to zone public

rule 1

description "SNAT"

action source-nat interface

enable

exi

exi

exi

do com

do con

BR-SRV

Внесение пользователя root в sudo

Visudo

Root = all раскоментировать

:wq!

Изменение хостнейма

sudo hostnamectl set-hostname BR-SRV

ip адрес

vim /etc/net/ifaces/ens33/options

TYPE=eth

DISABLED=no

NM_CONTROLLED=no

BOOTPROTO=static

CONFIG_IPv4=yes

:wq

Возможно, что в вируталке два файла options, заменить нужно в обоих!!!
vim /etc/net/ifaces/ens33/ipv4address

192.168.1.2/26

:wq!

Vim /etc/net/ifaces/ens33/ipv4route

192.168.1.1

:wq!

Vim /etc/net/ifaces/ens33/resolv.conf

192.168.0.2

:wq

Ip route add default via 192.168.1.1 dev ens33

Systemctl restart network

Ip a

Создание пользователя

useradd -m -u 1010 sshuser

passwd sshuser

Указание пароля

vim /etc/sudoers.d/sshuser

sshuser ALL=(ALL) NOPASSWD:ALL

vim /etc/sudoers

sshuser ALL=(ALL) NOPASSWD:ALL

:wq!

chmod 4755 /usr/bin/sudo

reboot

аутентификация под пользователем sshuser

Sudo whoami

Если вывод – root, права выданы

Настройка безопасности ssh

Vim /etc/openssh/sshd_config

Добавить в самом конце файла или раскоментировать параметры:

Port 2024

MaxAuthTries 2

PasswordAuthentication yes

Banner /etc/openssh/bannermotd

AllowUsers sshuser

В параметре AllowUsers вместо пробела используется Tab

:wq!

Создать файл баннера

Vim /etc/openssh/bannermotd

Вносим в него данный текст в любом виде:

Authorized access only

systemctl restart sshd

проверка

с самого сервера на сам сервер подключаемся по ssh командой:

ssh sshuser@адрес_второго_порта -p 2024

просматриваем порт, если всё ок – значит всё ок

HQ-CLI

HOSTNAME

hostnamectl set-hostname HQ-CLI

ip адрес

центр управления(control center) – центр управления системой(system management center) – ethernet-интерфейсы(ethernet-interfaces), дополнительно(advanced), сетевая подсистема(network subsystem) – etcnet - галочку убрать, ок, конфигурация(configuration) DHCP, применить(apply)

HQ-RTR

Изменение хостнейма

Configure

Hostname HQ-RTR

Exit

Commit

Confirm

Настройка ip и "облачного коммутатора"

Int g 1/0/1

Ip firewall disable

Ip add 172.16.4.2/28

Int g 1/0/2.100

description "to SRV"

Ip firewall disable

Ip add 192.168.0.1/26

Int g 1/0/2.200

description "to CLI"

Ip firewall disable

Ip add 192.168.0.65/28

Int g 1/0/2.999

description "MGMT"

Ip firewall disable

Ip add 192.168.0.81/29

Ip route 0.0.0.0/0 172.16.4.1

End

Commit

Confirm

Создание пользователя

confgure

username net_admin

password P@ssw0rd

privilege 15

end

commit

confirm

Настройка GRE туннеля

configure

tunnel gre 1

ttl 16

mtu 1400

ip firewall disable

local address 172.16.4.2

remote address 172.16.5.2

ip address 172.16.1.1/30

enable

end

commit

confirm

проверка: отправить пинг ping 172.16.1.2

Настройка OSPF

router ospf 1

router-id 172.16.4.2

area 0.0.0.0

network 192.168.0.0/26

network 172.16.1.0/26

network 192.168.0.64/28

network 192.168.0.80/29

enable

exi

enable

exi

tunnel gre 1

ip ospf instance 1

ip ospf

exi

do com

do con

Безопасность OSPF

configure

key-chain ospf-key

key 1

key-string ascii-text P@ssw0rd

exi

exi

tunnel gre 1

ip ospf authentication key-chain ospf-key

ip ospf authentication algorithm md5

exi

do com

do con

Настройка NAT

config

security zone public

exi

interface gigabitethernet 1/0/1

security-zone public

exi

object-group network LOCAL

ip address-range 192.168.1.0-192.168.1.255

exi

nat source

ruleset MASQUERADE

to zone public

rule 1

description "SNAT"

action source-nat interface

enable

exi

exi

exi

do com

do con

Настройка DHCP HQ-RTR

ip dhcp-server pool VL200-CLI

network 192.168.0.64/28

address-range 192.168.0.65-192.168.0.78

excluded-address-range 192.168.0.65

default-router 192.168.0.65

domain-name "au-team.irpo"

dns-server 192.168.0.2

exi

ip dhcp-server

do com

do con

do sh ip dhcp server pool VL200-CLI

HQ-SRV

Внесение пользователя root в sudo

Visudo

Root = all раскоментировать

:wq

Изменение хостнейма

sudo hostnamectl set-hostname HQ-SRV

IP адрес

vim /etc/net/ifaces/ens33/options

TYPE=eth

DISABLED=no

NM_CONTROLLED=no

BOOTPROTO=static

CONFIG_IPv4=yes

:wq!
vim /etc/net/ifaces/ens33/ipv4address

192.168.0.2/26

:wq!

Vim /etc/net/ifaces/ens33/ipv4route

192.168.0.1

:wq!

Systemctl restart network

Ip a

Ip route add default via 192.168.0.0 dev ens33(команда слетает при перезагрузке)

Создание пользователя

useradd -m -u 1010 sshuser

passwd sshuser

Указывается пароль P@ssw0rd

vim /etc/sudoers.d/sshuser

sshuser ALL=(ALL) NOPASSWD:ALL

:wq!

chmod 4755 /usr/bin/sudo\

reboot

аутентификация под пользователем sshuser

Sudo whoami

Если вывод – root, права выданы

Настройка безопасности ssh

Vim /etc/openssh/sshd_config

Добавить в самом конце файла или раскоментировать параметры:

Port 2024

MaxAuthTries 2

PasswordAuthentication yes

Banner /etc/openssh/bannermotd

AllowUsers sshuser

В параметре AllowUsers вместо пробела используется Tab

:wq!

Создать файл баннера

Vim /etc/openssh/bannermotd

Вносим в него текст в любом виде с текстом

Authorized access only

systemctl restart sshd

проверка

с самого сервера на сам сервер подключаемся по ssh командой:

ssh sshuser@адрес_второго_порта -p 2024

просматриваем порт, если всё ок – значит всё ок

ISP

Для внесения пользователя sudo в файл sudoers надо:

Vim /etc/default/grub, дописать в строчке GRUB_CMDLINE_LINUX='failsafe vga=normal security=none'

:wq!

Update-grub

Перезагрузить машину

Vim /etc/sudoers

Внести

Defaults env_reset

Defaults secure_path="/usr/sbin:usr/bin:/sbin/bin"

Root ALL=(ALL) ALL

Изменение хостнейма

hostnamectl set-hostname ISP

ip адресация

mkdir /etc/net/ifaces/ens160

mkdir /etc/net/ifaces/ens192

mkdir /etc/net/ifaces/ens224

vim /etc/net/ifaces/ens160/options

BOOTPROTO=static

TYPE=eth

NM CONTROLLED=no

DISABLED=no

CONFIG_WIRELESS=no

SYSTEMD_BOOTPROTO=static

CONFIG_IPv4=yes

SYSTEMS_CONTROLLED=no

ONBOOT=yes

CONFIG_IPv6=no

:wq!

Cp /etc/net/ifaces/ens160/options /etc/net/ifaces/ens192

Cp /etc/net/ifaces/ens160/options /etc/net/ifaces/ens224

Vim etc/net/ifaces/ens160/options

Отредактировать на ens160

Vim /etc/net/ifaces/ens160/options

BOOTPROTO=dhcp

TYPE=eth

NM CONTROLLED=yes

DISABLED=no

CONFIG_WIRELESS=no

SYSTEMD_BOOTPROTO=dhcp4

CONFIG_IPv4=yes

SYSTEMS_CONTROLLED=no

CONFIG_IPv6=no

Vim /etc/net/ifaces/ens160/ipv4address

192.168.64.129/24

Vim /etc/net/ifaces/ens192/ipv4address

172.16.4.1/28

Vim /etc/net/ifaces/ens224/ipv4address

172.16.5.1/28

Настрока NAT

echo 1 > /proc/sys/net/ipv4/ip_forward

echo net.ipv4.ip_forward = 1 > /etc/sysctl.conf

apt-get update

apt-get install iptables -y

очистка старых правил

iptables -F

iptables -t nat -F

iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE

iptables -A FORWARD -i ens192 -o ens160 -j ACCEPT

iptables -A FORWARD -i ens224 -o ens160 -j ACCEPT

iptables -A FORWARD -i ens160 -o ens192 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i ens160 -o ens224 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables-save > /etc/sysconfig/iptables

systemctl enable iptables

проверка:

ping 8.8.8.8 с устройств hq-rtr и br-rtr

Итоги – должен быть пинг с hq-srv на br-srv, но пинг не идет, разобраться