Загрузил meloch19977

обучение

реклама
1. Присвоить имена каждой машине в соответствии с заданием
нарисовать топологию сети и соответствия портов. Подписать на них сразу ip и вланы
Делим ответственность и 1-ин начинает качать пакеты и сервисы на хосты, второй
настраивает адресацию на свитчах и роутерах
2. Настроить базовую адресацию на роутере в сторону ISP и SW1 SW2
пример настройки интерфейсов на HQ-RTR(в примере уже проброшены вланы)
nano /etc/network/interfaces
systemctl restart networking
ens18 – в сторону ISP( ip роутера hq RTR)
ens19 – в сторону HQ-SW1 (серверный влан)
ens20 – в сторону HQ-SW2 (клиентский влан)
Накидываем на интерфейс только влан, который будем использовать
чтобы прописать хостнейм на роутере
nano /etc/hostname
3. Далее прописываем в транк интерфейсы на HQ-SW1 и HQ-SW2 в сторону роутера
Прописываем в acsess интерфейсы в сторону хостов
добавляем отдельный влан для клиентов
Присваиваем Ip свитча на влан для хостов
Аналогично прописать на SW2
4. Заходим на каждый хост и настраиваем ему адрессацию через nmtui
Ens выбирается исходя из того, куда он смотрит команда ip a
Чтобы настроить прямое соединение с интернетом в случае если свитч будет резать скорость –
пробрасываем примой псевдопровд до интернета
В ином случае
добавляем влан интерфейс через nmtui
Если потребуется, на испе пробрасываем адресацию в виде гейт вея в сторону роутеров(nmtui)
Включаем ipv4 адресацию и tcp протоколы на роутерах и ISP
/etc/sysctl.conf и разкомментируем белые строчки
Прописываем nat (nftables) на ISP(если требуется) и router
Nano /etc/nftables.conf
isp
Router
применяем изменения с помощью команды nft -f /etc/nftables.conf
И systemctl start nftables
Проверить работоспособность можно, пинганув гугловский днс 8.8.8.8
После настройки роуетра создадим site-to-site vpn соединение между роутерами с защищенным
ipsec tunnel.
Если настройка производится на линукс машине, то создаем скрипт на баше в корневой
директории
nano /etc/gre.up
Ip тунеля – любой.
local – машина текущая, remote подключаемый хост.
Даем файлу права на запуск, пишем команду chmod +x /etc/gre.up
Запуск скрипта – путь до файла /etc/gre.up
Не забываем добавить скрипт в автозагрузку, т.к после ребута системы, тунель упадет.
Nano /etc/crontab
в нем добавляем строчку в конце файла @reboot root /etc/gre.up
аналогично настраиваем тунель на второй машине
Следующим шагом нужно обновить линукс роутер, скачать frr (apt install frr) для ospf
и strongswan для IPsec (apt install strongswan). Для этого переходим в файл
/etc/apt/sources.list
комментируем все и добавляем туда строку deb http://mirror.yandex.ru/debian bullseye main contrib
non-free
после чего обновляем пакетный менеджер apt update
Для настройки OSPF:
открывает демонов(службы)
nano /etc/frr/daemons
Пишем yes в bgp и ospf
После чего заходим в режим роутера cisco командой vtysh
enable
conf t
На втором роутере аналогично, только со своими адресами сетей свитчей
На этом настройка ospf заканчивается. Приступаем к IPsec тунелю, для нашего VPN.
Не забываем скачать strongswan для IPsec (apt install strongswan).
Переходим в файл конфигурации ipsec
Nano /ect/ipsec.conf
Left – local, right- remote
Пишем следующие строки
Потом идем в файл ipsec.secrets в нем прописываем ключ шифрования
Nano /etc/ipsec.secrets
Ip local ip remote : PSK “P@ssw0rd” пароль любой
Аналогично со сменой ip пишем на втором роутере
и перезапускаем ipsec
ipsec restart
Проверить статус тунеля
ipsec status
И пингуем машины с другого офиса
Так же командой s hip ospf neigbours проверить соседа
А сейчас мы настроем BGP
Переходим на HQ-DC подключаем интернет
прописываем доменное имя на машине HQ – hq-dc.company.work
На BR-DC- branch.company.work можно через /etc/hostname можно через nmtui
Далее включаем интернет и скачиваем пакет FreeIPA
Вводим команду yum -y install bind bind-dyndb-ldap ipa-server ipa-server-dns ipa-server-trust-ad
После скачивания устанавливаем ипа сервер
Ipa-server-instal –mkhomedir в момент установски, мы задаем пароль домен и логин
пишем команду kinit admin чтобы залогиниться в сервере. Далее создаем группы для
пользователей
командой ipa group-add branch, ipa group-add main, ipa group-add businesstripuser
теперь мы можем создать пользователей. Делаем это с помошью скрипта на bash
пишем nano /etc/ipausers.sh
Чтобы скрипт запустился, даем ему права, вводим команду
chmod +x /etc/ipausers.sh
Запускаю /etc/ipausers.sh
Заходим в графич оболочку и проверяем, что пользователи добавились. 127.0.0.1
либо пишем id user №
Повторить все для остальных хостов.
Скачать