1. Выполните базовую настройку всех устройств:
- Присвоить имена в соответствии с топологией
- Рассчитайте IP-адресацию IPv4 и IPv6. Необходимо заполнить таблицу № 1, чтобы эксперты могли проверить ваше рабочее место.
- Пул адресов для сети офиса BRANCH — не более 16
- Пул адресов для сети офиса HQ — не более 64
Сетевой пул BRANCH — 10.5.5.0 /28 = 255.255.255.240
Сетевой пул HQ — 10.4.4.0 / 26 = 255.255.255.192
На всякий случай таблица масок (ссылка нажать).
Распределение ip-адресов между другими машинами:
CLI — ipv4: 10.1.1.2/24
ipv6: 2001:1::2/64
ISP — ipv4: 10.1.1.1/24; 10.2.2.1/24; 10.3.3.1/24
ipv6: 2001:1::1; 2001:2::1; 2001:3::1
HQ-R — ipv4: 10.2.2.2/24; 10.4.4.1/26
ipv6: 2001:2::2; 2001:4::1
HQ-SRV — ipv4/6 DHCP
BR-R — ipv4: 10.3.3.2/24; 10.5.5.1/28
ipv6: 2001:3::2; 2001:5::1
BR-SRV — ipv4: 10.5.5.2/28
ipv6: 2001:5::2
пример записи ipv4 адреса:
auto ens192
iface ens192 inet static
address ….
netmask ….
gateway ….
пример записи ipv6 адреса:
iface ens192 inet6 static
address ….
gateway ….
netmask ….
ДИСКЛЕЙМЕР: на скринах адресация не соответствует действительности, поэтому с них не переписываем, а проявляем фантазию
Открываем (nano) /etc/sysctl.conf
Раскомментируем на трех вышеперечисленных машинах.
Устанавливаем apt install frr (HQ-R, ISP, BR-R).
Переходим в (cd) /etc/frr, открываем (nano) daemons в пункте
opsfd = yes, ospf6d = yes
Настройка ospf
#vtysh
#conf t
#router ospf
#router-id (id роутера для обозначения)
#network сети, к которым подключен роутер area 1 — чтобы все сети были в одной зоне.
HQ-R
show ip ospf neighbor
ЕСЛИ ПОСЛЕ ДАННЫХ МАНИПУЛЯЦИЙ СЕРВЕРА ВСЕ РАВНО НЕ ПИНГУЮТ И НЕ КАЧАЮТ. ОТКРЫВАЕМ КОНФИГ FRR
nano /etc/frr/frr.conf
ЕСЛИ У ВАС СТРОЧКА ЕСТЬ
no ip forwarding
СТИРАЕМ БУКВЫ NO
чтобы разрешить пересылку
ЕСЛИ ТАКОГО НЕТ, ТО ПИШЕМ ПОСЛЕ (!)
ip forwarding
Настройка пересылки ipv6
3. Настройте автоматическое распределение IP-адресов на роутере HQ-R.
- Учтите, что у сервера должен быть зарезервирован адрес.
Устанавливаем apt install isc-dhcp-server
Указываем интерфейс с которого будет раздача dhcp.
nano /etc/default/isc-dhcp-server
—force-badname — обязательно, иначе не получится.
touch network_backup.sh
#!/bin/bash
NETWORK_BACKUP_DIR=»/opt/backup/$(date +’%d.%m.%Y-%H:%M:%S’)/»
mkdir -p «$NETWORK_BACKUP_DIR»
cp -r /etc/network/* «$NETWORK_BACKUP_DIR»
echo «Backup completed: $NETWORK_BACKUP_DIR»
Делаем файл исполняемым.
chmod +777 network_backup.sh
Устанавливаем apt install openssh-server, на другие просто openssh для подключения.
Открываем (nano) /etc/ssh/sshd_config
Меняем порт, запрещаем подключаться root пользователям
Port 2222
Открываем (nano) /etc/hosts.deny и вписываем ip-адрес CLI
1. Настройте DNS-сервер на сервере HQ-SRV:
- На DNS сервере необходимо настроить 2 зоны
Устанавливаем apt install bind9
mkdir /etc/bind/hq.work -p
mkdir /etc/bind/br.work -p
Переходим в (cd) /etc/bind
Создаем конфигурационный файл наших зон.
touch named.conf.zones
Открываем, пишем зоны hq.work, br.work
отключаем dnssec,v6
вписываем listen-on { any; };
полная команда: cp /etc/bind/db.empty /etc/bind/hq.work/hq.db
Переходим, открываем и начинаем править
cd hq.work
nano hq.db
NS — HQ.WORK
cp hq.db hq-back.zone
Открываем, редачим
br.db
NS — BR.WORK
2. Настройте синхронизацию времени между сетевыми устройствами по протоколу NTP.
- В качестве сервера должен выступать роутер HQ-R со стратумом 5
- Используйте Loopback интерфейс на HQ-R, как источник сервера времени.
- Все остальные устройства и сервера должны синхронизировать свое время с роутером HQ-R
- Все устройства и сервера настроены на московский часовой пояс (UTC +3)
Устанавливаем apt install chrony
Открываем конфиг хрони на HQ-R
nano /etc/chorny/chonry.conf
systemctl restart chrony
systemctl restart chrony
МОДУЛЬ 2
НАСТРОЙКА DNS на HQ-SRV
Нужно настроить 2 зоны hq.work и branch.work (и создать к ним обратные)
НАСТРАИВАЕМ HQ.WORK
переходим в директорию bind
создаем директорию master, в ней будут храниться базы адресов для наших зон
с помощью тач создаем named.conf.zones — конфигурационный файл наших зон
открываем его через нано и заполняем
ОБРАТНАЯ ЗОНА ЭТО — ОБРАТНЫЙ АЙПИ БЕЗ ПОСЛЕДНЕГО ОКТЕТА
пример: 192.168.100.1 =100.168.192
1 — название зоны
2 — тип зоны
3 — путь к базе адресов
сохраняем выходим
открываем named.conf, добавляем строчку к файлу named.conf.zones
сохраняем выходим
заходим в named.conf.options
пишем в форвардерс айпи нашего сервера
отключаем днссек
отключаем v6
дописываем listen-on {any;};
теперь копируем db.empty в master с названием, которое указывали в named.conf.zones это будет наша база адресов
открываем, видим это
Добавляем $ORIGIN hq.work. это будет наша зона днс (ТОЧКА ОБЯЗАТЕЛЬНА — ЭТО ПОЛНОЕ ИМЯ)
меняем localhost. на название нашего сервака, root.localhost. по такому же принципу пишем наш сервак вместо локалхост
видим такую картину
теперь начинаем писать записи типа А
ПЕРВАЯ ЗАПИСЬ — НАЗВАНИЕ НАШЕЙ МАШИНЫ ВМЕСТЕ С НАЗВАНИЕМ ЗОНЫ
ВТОРАЯ — ОБЪЯВЛЯЕМ ЧТО ЭТО АЙПИШНИК ЭТОЙ МАШИНЫ
ТРЕТЬЯ — ОБЪЯВЛЯЕМ ЧТО ПО HQ-SRV МЫ ПРИЙДЕМ НА АЙПИШНИК ЭТОЙ МАШИНЫ
ЧЕТВЕРТАЯ — ОБЪЯВЛЯЕМ ИМЯ РОУТЕРА HQ-R И ЕГО АЙПИШНИК
отлично прямая зона настроена
теперь создаем обратную
копируем только что написанный файл и называем его файлом для обратной зоны
открываем и меняем названия нашей зоны днс на название обратной зоны
К HQ-SRV ПРИПИСЫВАЕМ НАШУ ЗОНУ ДНС
переходим к записям
1 — первый столбик это последний октет айпишника этого устройства
2 — тип записи
3 — название
то есть мы поменяли местами и дополнили название нашей зоной днс
СУПЕР МЫ НАСТРОИЛИ, ЕСЛИ ВСЕ ВЕРНО, ТО ЗАПУСТИТСЯ
сначала рестартим наш сервис
смотрим статус
отлично все работает
теперь нам нужно указать в настройках на роутере и на серваке днс сервер
чтобы можно было пинговать по имени
заходим на сервере resolv.conf
пишем
на HQ-R мы поднимали DHCP
так что идем в конфиг и дописываем наш сервер там
теперь на этом же роутере идем в reslov.conf
пишем нашу днс зону и айпишник сервера
перезагружаем машины и пингуем по имени
первая есть
вторая тоже
отлично мы настроили зону hq.work
ТЕПЕПЕРЬ настраиваем br.work на этом же сервере
действия такие же, только меняются цифры и буквы
заходим в named.conf.zones и прописываем новые зоны
вот что у нас получилось, в обратной зоне пишем
ОБРАТНАЯ ЗОНА ЭТО — ОБРАТНЫЙ АЙПИ БЕЗ ПОСЛЕДНЕГО ОКТЕТА
пример: 192.168.100.1 =100.168.192
теперь открываем named.conf.options и добавляем сервер br.work
сохраняем выходим
заходим в директорию мастер и копируем hq.work
открываем br.work и меняем hq на br
теперь меняем записи
выглядят теперь вот так
сохраняем выходим
теперь таким же принципом копируем 20.20.20.in-addr.arpa.zone
открываем, меняем все 20 на 30 и hq на br
выглядит это вот так
сохраняем выходим
проверяем
все настроено нормально
теперь перезапускаем службу
смотрим статус
видим заветные слова о том что все зоны загружены
это прекрасно
теперь нам нужно перейти на роутер и сервак
для того чтобы прописать днс сервер
перезагружаемся
идем на сервак
перезагружаемся
пингуем
отлично первое задание второго модуля выполнено
НАСТРОЙКА NTP CHRONY
На всех машинах должен быть установлен chrony
Все устройства должны синхронизировать с hq-r
Заходим в кфг хрони
Объявляем имя нашенго NTP сервера, задаем локальный стратум 5, разрешаем сети, которые будут брать время
Выходим сохраняем
Теперь устанавливаем время UTC +3
Перезагружаем службу синхронизации
Заходим в конфиг хрони на ISP
Ребутаем службу
Пишем chronyc sources
Теперь по аналогии пишем pool HQ-R iburst на других устройствах
3,4 ДОМЕН И ФАЙЛОВЫЙ СЕРВЕР
Заходим nano /etc/samba/smb.conf
Workgroup = это наш домен
Realm = каким будет нащ домен на винде
Server_string = описание сервера
Переходим на BR-SRV
Заходим nano /etc/samba/smb.conf
HQ-SRV :
Заходим nano /etc/samba/smb.conf
Листаем до конца файла
Добавляем наши сетевые папки
Comment = описание в сети что это за папка
Path = путь до шареной папки на нашем серваке
Read only = no – запрещаем только чтение
Browsable = отображение в списке шар
Valid users = ИЗБРАННЫЕ, КОМУ МОЖНО ЮЗАТЬ ПАПКУ
Создаем группы избранных
Устанавливаем сетевой пароль на пользователя (чтобы подключаться к шаре)
Теперь добавляем пользователей в группы избранных
usermod -aG admin Admin
usermod -aG network Network_admin
Создаем папки которые будут шарами
Теперь меняем владельцев папок
Для каждой папки будет свой
Далее изменяем доступ
0770 это себе, группе, но не чужим
Папки готовы, теперь их можно монтировать на других машинах
Начнем с HQ-R
Создаем юзверя Network_admin, ставим ему сетевой пароль
Теперь Admin
Для монтирования заходим nano /etc/fstab
И пишем
//40.40.40.30/Admin_files = адрес сетевой папки
/mnt/All_files/ = куда монтируем папку
Cifs = файловая система граничная с windows
Username = Admin = кто будет подключаться
Пароль не пишем, чтобы логиниться при mount -a
Uid = 1001 = уникальный айди пользователя, которого мы создали
Iocharset = utf8 = хз что это, думаю что можно не писать
Nofail = без ошибок (этим все сказано)
_netdev = сетевое устройство = будет отключаться, при выключении машины
0 0 = так надо, доверьтесь
Для монтирования папки network = пишем то же и самое, только меняем пользователя, юид и само название папки и куда монтируем
Выходим сохраняем
Создаем папки куда будем монтировать
Пишем mount -a
СПЕЦИАЛЬНО РУИНИМ ПЕРВЫЙ ВВОД ПАРОЛЯ ДЛЯ ПЕРВОЙ ПАПКИ
ВТОРУЮ ПИШЕМ НОРМАЛЬНО
ОДНА ПАПКА СМОНТИРОВАЛАСЬ
ПИШЕМ mount -a ЗАНОВО
МОНТИРУЕМ ВТОРУЮ ПАПКУ
ЭТИ МАХИНАЦИИ ДЛЯ ТОГО ЧТОБЫ СМОНТИРОВАЛОСЬ ПО ОЧЕРЕДИ ИНАЧЕ ТАМ СТРАШНО
Чекаем папки ls -l и видим наших сетевых юзверей
Осталось повторить такие же манипуляции на других машинах, делаем так же по гайду, не забывая менять буковы и цифры