БЛОГ НА HUSL


Настройка iptables2

Автор вопроса: User

Создайте подсеть управления с ID VLAN 999

Настройка на HQ-RTR:

port te1  
Service-instance toSW  
Encapsulation untagged  
end  
wr mem  
en  
conf t  
Int vl999
ip add 192.168.0.81/29  
description toSW  
connect port te1 service-instance toSW  
end  
wr mem

Настройка на HQ-SW:
Перед настройкой линк ens3 в nmtui должен быть в состоянии - отключено Адресации так же не должно быть

ovs-vsctl add-br ovs0  
ovs-vsctl add-port ovs0 ens3  
ovs-vsctl set port ens3 vlan_mode=native-untagged tag=999 trunks=999,100,200  
ovs-vsctl add-port ovs0 ovs0-vlan999 tag=999 -- set interface ovs0-
vlan999 type=internal  
ifconfig ovs0-vlan999 inet 192.168.0.82/29 up

Сервер HQ-SRV должен находиться в ID VLAN 100 Настройка на HQ-RTR:

port te1  
service-instance te1.100  
encapsulation dot1q 100  
rewrite pop 1  
end  
wr mem  
int te1.100  
ip add 192.168.0.62/26  
connect port te1 service-instance te1.100  
end  
wr mem

Настройка на HQ-SW:

Перед настройкой линк ens4 в nmtui должен быть в состоянии - отключено

Адресации так же не должно быть

Так как при настройке на HQ-SW бридж ovs0 уже создан, его создавать не нужно

ovs-vsctl add-port ovs0 ens4  
ovs-vsctl set port ens4 tag=100 trunks=100  
ovs-vsctl add-port ovs0 ovs0-vlan100 tag=100 -- set interface ovs0-vlan100 type=internal  
ifconfig ovs0-vlan100 inet up

Источник

Ответы (2 шт):

Автор решения: User

Клиент HQ-CLI в ID VLAN 200 Настройка на HQ-RTR:

port te1  
service-instance te1.200  
encapsulation dot1q 200  
rewrite pop 1  
end  
wr mem  
int te1.200  
ip add 192.168.1.78/28  
connect port te1 service-instance te1.200 
end  
wr mem

Настройка на HQ-SW:

Перед настройкой линк ens5 в nmtui должен быть в состоянии - отключено

Адресации так же не должно быть

Так как при настройке на HQ-SW бридж ovs0 уже создан, его создавать не нужно

ovs-vsctl add-port ovs0 ens5  
ovs-vsctl set port ens5 tag=200 trunks=200  
ovs-vsctl add-port ovs0 ovs0-vlan200 tag=200 -- set interface ovs0-
vlan200 type=internal  
ifconfig ovs0-vlan200 inet up
→ Ссылка
Автор решения: User
  1. Настройка безопасного удаленного доступа на серверах HQ-SRV и BR-SRV: ● Для подключения используйте порт 2024

Перед настройкой выполните команду setenforce 0, далее переводим selinux в состояние
disabled в файле /etc/selinux/config dnf install openssh - если не установлен systemctl enable --now sshd echo Port 2024 >> /etc/ssh/sshd_config

● Разрешите подключения только пользователю sshuser

eccho AllowUsers sshuser >> nano /etc/ssh/sshd_config

● Ограничьте количество попыток входа до двух

echo MaxAuthTries 2 >> /etc/ssh/sshd_config

● Настройте баннер «Authorized access only»

echo «Authorized access only» > /etc/ssh/sshd_banner echo Banner /etc/ssh/sshd_banner >> /etc/ssh/sshd_config systemctl restart sshd

  1. Между офисами HQ и BR необходимо сконфигурировать ip туннель o Сведения о туннеле занесите в отчёт

Настройка на HQ-RTR: Interface tunnel.1
Ip add 172.16.0.1/30
Ip mtu 1476
ip ospf network broadcast
ip ospf mtu-ignore
Ip tunnel 172.16.4.1 172.16.5.1 mode gre
end
wr mem
Conf t Router ospf 1 Ospf router-id 172.16.0.1 network 172.16.0.0 0.0.0.3 area 0 network 192.168.0.0 0.0.0.63 area 0 network 192.168.1.78 0.0.0.15 area 0 passive-interface default no passive-interface tunnel.1 Настройка на BR-RTR: Interface tunnel.1 Ip add 172.16.0.2/30 Ip mtu 1476 ip ospf mtu-ignore ip ospf network broadcast Ip tunnel 172.16.5.1 172.16.4.1 mode gre end Conf t Router ospf 1 Ospf router-id 172.16.0.2 Network 172.16.0.0 0.0.0.3 area 0 Network 192.168.2.0 0.0.0.31 area 0 Passive-interface default no passive-interface tunnel.1

o На выбор технологии GRE или IP in IP 7. Обеспечьте динамическую маршрутизацию: ресурсы одного офиса должны быть доступны из другого офиса. Для обеспечения динамической маршрутизации используйте link state протокол на ваше усмотрение.

● Разрешите выбранный протокол только на интерфейсах в ip туннеле ● Маршрутизаторы должны делиться маршрутами только друг с другом ● Обеспечьте защиту выбранного протокола посредством парольной защиты

Настройка производится на EcoRouter HQ-RTR: router ospf 1 area 0 authentication ex interface tunnel.1
ip ospf authentication-key ecorouter
wr mem
Настройка производится на EcoRouter BR-RTR: router ospf 1
area 0 authentication ex
interface tunnel.1
ip ospf authentication-key ecorouter
wr mem

● Сведения о настройке и защите протокола занесите в отчёт 8. Настройка динамической трансляции адресов. ● Настройте динамическую трансляцию адресов для обоих офисов.

Настройка производится на EcoRouter HQ-RTR: ip nat pool nat1 192.168.0.1-192.168.0.254
ip nat source dynamic inside-to-outside pool nat1 overload interface ISP ip nat pool nat2 192.168.1.65-192.168.1.79
ip nat source dynamic inside-to-outside pool nat2 overload interface ISP
Настройка производится на EcoRouter BR-RTR: ip nat pool nat3 192.168.2.2-192.168.2.31
ip nat source dynamic inside-to-outside pool nat3 overload interface ISP

● Все устройства в офисах должны иметь доступ к сети Интернет

Настройка производится на EcoRouter HQ-RTR: en conf t int ISP ip nat outside ex int vl999 ip nat inside ex int te1.100 ip nat inside ex int te1.200 ip nat inside Настройка производится на EcoRouter BR-RTR: en conf t int ISP ip nat outside ex int SRV ip nat inside ex
Настройка производится на HQ-SRV: В nmtui прописывеем шлюз - 192.168.0.62/26
Настройка производится на BR-SRV:
В nmtui прописывет шлюз - 192.168.2.1/27

  1. Настройка протокола динамической конфигурации хостов.

● Настройте нужную подсеть ● Для офиса HQ в качестве сервера DHCP выступает маршрутизатор HQ-RTR.

Настройка производится на EcoRouter HQ-RTR: ip pool dhcpHQ 192.168.1.65-192.168.1.79 en conf t dhcp-server 1 pool dhcpHQ 1 domain-name au-team.irpo mask 255.255.255.240
dns 192.168.0.2
gateway 192.168.1.78
end
wr mem

● Клиентом является машина HQ-CLI.

interface te1.200 dhcp-server 1

→ Ссылка

licensed under cc by-sa 3.0 with attribution.