Серия RHCE: Как настроить и протестировать статическую сетевую маршрутизацию

RHCE (Сертифицированный инженер Red Hat) - это сертификат компании Red Hat, которая дает операционную систему и программное обеспечение с открытым исходным кодом. корпоративному сообществу, Он также предоставляет услуги по обучению, поддержке и консультированию для компании.

Этот RHCE (Сертифицированный инженер Red Hat) - экзамен на основе успеваемости (кодовое имя EX300), который обладает дополнительными навыками, знаниями и способностями, необходимыми для старшего системного администратора, ответственного за системы Red Hat Enterprise Linux (RHEL).

Важный: Сертифицированный системный администратор Red Hat (RHCSA) требуется для получения RHCE сертификация.

Ниже приведены цели экзамена, основанные на Red Hat Enterprise Linux 7 версия экзамена, который будет охватывать в этой серии RHCE:

Часть 1: Как настроить и протестировать статическую маршрутизацию в RHEL 7

Чтобы просмотреть сборы и зарегистрироваться на экзамен в своей стране, проверьте Сертификация RHCE страница.

В этом Часть 1 из RHCE В серии и в следующей мы представим основные, но типичные случаи, когда в игру вступают принципы статической маршрутизации, фильтрации пакетов и трансляции сетевых адресов.

Обратите внимание, что мы не будем рассматривать их подробно, а организуем это содержимое таким образом, чтобы было полезно сделать первые шаги и строить оттуда.

Статическая маршрутизация в Red Hat Enterprise Linux 7

Одно из чудес современных сетей - это широкая доступность устройств, которые могут соединять группы компьютеров, будь то в относительно небольшое количество и ограничено одной комнатой или несколькими машинами в одном здании, городе, стране или через континенты.

Однако, чтобы эффективно выполнить это в любой ситуации, сетевые пакеты должны быть маршрутизированы, или, другими словами, путь, по которому они следуют от источника к месту назначения, должен каким-то образом управляться.

Статическая маршрутизация - это процесс указания маршрута для сетевых пакетов, отличного от маршрута по умолчанию, который предоставляется сетевым устройством, известным как шлюз по умолчанию. Если не указано иное, через статическую маршрутизацию сетевые пакеты направляются на шлюз по умолчанию; при статической маршрутизации другие пути определяются на основе заранее определенных критериев, таких как место назначения пакета.

Давайте определим следующий сценарий для этого урока. У нас есть коробка Red Hat Enterprise Linux 7, подключенная к роутеру. #1 [192.168.0.1] для доступа к Интернету и машинам в 192.168.0.0/24.

Второй роутер (роутер №2) имеет две сетевые карты: enp0s3 также связан с роутер # 1 для доступа в Интернет и для связи с устройством RHEL 7 и другими машинами в той же сети, в то время как другой (enp0s8) используется для предоставления доступа к 10.0.0.0/24 сеть, в которой находятся внутренние службы, такие как веб-сервер и / или сервер базы данных.

Этот сценарий проиллюстрирован на диаграмме ниже:

В этой статье мы сосредоточимся исключительно на настройке таблицы маршрутизации на нашем RHEL 7 поле, чтобы убедиться, что он может получить доступ к Интернету через роутер # 1 и внутренняя сеть через роутер # 2.

В RHEL 7, вы будете использовать команда ip для настройки и отображения устройств и маршрутизации с помощью командной строки. Эти изменения могут немедленно вступить в силу в работающей системе, но, поскольку они не сохраняются после перезагрузки, мы будем использовать ifcfg-enp0sX и route-enp0sX файлы внутри /etc/sysconfig/network-scripts чтобы сохранить нашу конфигурацию навсегда.

Для начала распечатаем нашу текущую таблицу маршрутизации:

# ip route show. 

Из вышеприведенного вывода мы видим следующие факты:

1. IP-адрес шлюза по умолчанию: 192.168.0.1 и доступен через enp0s3 NIC.
2. Когда система загрузилась, она включила маршрут zeroconf к 169.254.0.0/16 (на всякий случай). Короче говоря, если машина настроена на получение IP-адреса через DHCP, но по какой-то причине не может этого сделать, ей автоматически назначается адрес в этой сети. Суть в том, что этот маршрут позволит нам общаться, в том числе через enp0s3, с другими машинами, которым не удалось получить IP-адрес от DHCP-сервера.
3. И последнее, но не менее важное: мы можем общаться с другими ящиками внутри 192.168.0.0/24 сеть через enp0s3, чей IP-адрес 192.168.0.18.

Это типичные задачи, которые вам придется выполнять в такой обстановке. Если не указано иное, следующие задачи должны выполняться в роутер # 2:

Убедитесь, что все сетевые карты были правильно установлены:

# IP link show. 

Если один из них не работает, вызовите его:

# ip link set dev enp0s8 up. 

и назначьте IP-адрес в 10.0.0.0/24 сеть к нему:

# ip addr add 10.0.0.17 dev enp0s8. 

Ой! Мы ошиблись в IP-адресе. Нам придется удалить тот, который мы назначили ранее, а затем добавить правильный (10.0.0.18):

# ip адрес del 10.0.0.17 dev enp0s8. # ip addr add 10.0.0.18 dev enp0s8. 

Обратите внимание, что вы можете добавить маршрут к сети назначения только через шлюз, который сам уже доступен. По этой причине нам необходимо назначить IP-адрес в 192.168.0.0/24 диапазон до enp0s3 чтобы наш блок RHEL 7 мог связываться с ним:

# ip addr add 192.168.0.19 dev enp0s3. 

Наконец, нам нужно будет включить пересылку пакетов:

# echo "1"> / proc / sys / net / ipv4 / ip_forward. 

и остановим / отключим (пока - пока мы не рассмотрим фильтрацию пакетов в следующей статье) брандмауэр:

# systemctl stop firewalld. # systemctl отключить firewalld. 

Вернувшись в нашу RHEL 7 коробка (192.168.0.18), давайте настроим маршрут до 10.0.0.0/24 через 192.168.0.19 (enp0s3 в роутер # 2):

# ip route добавить 10.0.0.0/24 через 192.168.0.19. 

После этого таблица маршрутизации выглядит следующим образом:

# ip route show. 

Аналогичным образом добавьте соответствующий маршрут в машины, на которых вы пытаетесь добраться. 10.0.0.0/24:

# ip route добавить 192.168.0.0/24 через 10.0.0.18. 

Вы можете проверить базовое подключение, используя пинг:

в RHEL 7 коробка, беги

# ping -c 4 10.0.0.20. 

куда 10.0.0.20 это IP-адрес веб-сервера в 10.0.0.0/24 сеть.

На веб-сервере (10.0.0.20), запустить

# пинг -c 192.168.0.18. 

куда 192.168.0.18 как вы помните, это IP-адрес нашей машины RHEL 7.

В качестве альтернативы мы можем использовать tcpdump (вам может потребоваться установить его с помощью ням установить tcpdump), чтобы проверить двустороннюю связь по TCP между нашим сервером RHEL 7 и веб-сервером на 10.0.0.20.

Для этого давайте начнем регистрацию на первом компьютере с:

# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20. 

и с другого терминала в той же системе давайте телнет портировать 80 на веб-сервере (при условии Apache прослушивает этот порт; в противном случае укажите правильный порт в следующей команде):

# telnet 10.0.0.20 80. 

В tcpdump лог должен выглядеть следующим образом:

Где соединение было правильно инициализировано, как мы можем сказать, посмотрев на двустороннюю связь между нашими RHEL 7 коробка (192.168.0.18) и веб-сервер (10.0.0.20).

Помните, что эти изменения исчезнут после перезапуска системы. Если вы хотите сделать их постоянными, вам нужно будет отредактировать (или создать, если они еще не существуют) следующие файлы в тех же системах, где мы выполняли вышеуказанные команды.

Хотя это и не обязательно для нашего тестового примера, вы должны знать, что /etc/sysconfig/network содержит общесистемные сетевые параметры. Типичный /etc/sysconfig/network выглядит следующим образом:

# Включить сеть в этой системе? СЕТЬ = да. # Имя хоста. Должно соответствовать значению в / etc / hostname. HOSTNAME = yourhostnamehere. # Шлюз по умолчанию. ШЛЮЗ = XXX.XXX.XXX.XXX. # Устройство, используемое для подключения к шлюзу по умолчанию. Замените X соответствующим числом. GATEWAYDEV = enp0sX. 

Когда дело доходит до установки определенных переменных и значений для каждой сетевой карты (как мы это делали для маршрутизатора №2), вам придется отредактировать /etc/sysconfig/network-scripts/ifcfg-enp0s3 и /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Следуя нашему случаю,

ТИП = Ethernet. BOOTPROTO = статический. IPADDR = 192.168.0.19. NETMASK = 255.255.255.0. ШЛЮЗ = 192.168.0.1. ИМЯ = enp0s3. ONBOOT = да. 

и

ТИП = Ethernet. BOOTPROTO = статический. IPADDR = 10.0.0.18. NETMASK = 255.255.255.0. ШЛЮЗ = 10.0.0.1. ИМЯ = enp0s8. ONBOOT = да. 

для enp0s3 и enp0s8, соответственно.

Что касается маршрутизации на нашей клиентской машине (192.168.0.18), нам нужно будет отредактировать /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 через 192.168.0.19 dev enp0s3. 

Сейчас же перезагружать ваша система, и вы должны увидеть этот маршрут в своей таблице.

Резюме

В этой статье мы рассмотрели основы статической маршрутизации в Red Hat Enterprise Linux 7. Хотя сценарии могут различаться, представленный здесь случай иллюстрирует необходимые принципы и процедуры для выполнения этой задачи. Прежде чем закончить, предлагаю вам взглянуть на Глава 4 из Защита и оптимизация Linux на сайте Linux Documentation Project для получения более подробной информации по темам, затронутым здесь.

Бесплатная электронная книга на Защита и оптимизация Linux: решение для взлома (версия 3.0) - Этот 800+ Электронная книга содержит исчерпывающий сборник советов по безопасности Linux и способы их безопасного и простого использования для настройки приложений и служб на базе Linux.

Скачать сейчас

В следующей статье мы поговорим о фильтрации пакетов и трансляции сетевых адресов, чтобы обобщить базовые навыки работы в сети, необходимые для сертификации RHCE.

Как всегда, мы с нетерпением ждем вашего ответа, поэтому не стесняйтесь оставлять свои вопросы, комментарии и предложения, используя форму ниже.