Пробуем ходить с VM1 на VM2:
Size: a a a
2017 January 25
и наоборот:
Почему так происходит? В момент установления TCP сессии прилетает пакет TCP SYN (на него отвечается SYN ACK, а потом ACK и сессия считается установленной). первое правило которое мы записали (c NEW) разрешает форвардить пакеты TCP SYN из сети 192.168.0.0 в 172.16.0.0.
Когда второй участник отвечает на этот и любой последубщий пакет, то попадает под действие 2 правила об установленных сессиях и такие пакеты из сети 172.16.0.0 проходят. А вот если он сам попробует установить сессию (или просто пингануть) то не попадет по 1,2 правило, а попадет под 3-е, которое дропнет этот пакет. Voila!
Когда второй участник отвечает на этот и любой последубщий пакет, то попадает под действие 2 правила об установленных сессиях и такие пакеты из сети 172.16.0.0 проходят. А вот если он сам попробует установить сессию (или просто пингануть) то не попадет по 1,2 правило, а попадет под 3-е, которое дропнет этот пакет. Voila!
На этом я считаю занятие №1 законченным. Жду ваших комментариев и вопрсов. напоминаю про чятик для обсуждения: https://t.me/joinchat/AAAAAEBUOAcqLKMjf2b94A
2017 January 26
Черновик статьи для хабра
2017 January 28
Близится к завершению неделя и я набираю темы для новой лабораторной работы
На данный момент это такие темы:
-BGP
-bonding
-VPN
-namespaces
-l2tp
-BGP
-bonding
-VPN
-namespaces
-l2tp
Свои пожелания можете писать @bykva
2017 February 10
Схема сети для лабораторной работы №2
приветствую! После небольшого перерыва я созрел на вторую лабораторную работу. Будем углубляться в сети и рассмотрим следующие темы:
-BGP
-ospf
-bonding
-VPN (l2tp+ipsec; openvpn)
-namespaces
-SSH port forwarding
-BGP
-ospf
-bonding
-VPN (l2tp+ipsec; openvpn)
-namespaces
-SSH port forwarding
2017 March 11
В этой лабораторной работе я расскажу вам как настроить сети для бомжей. Почему для бомжей? да потому что так никто не делает, однако раз у кого-то был спрос. появилось и предложение. А значит такая технология есть и почему бы не попробовать ее настроить...?
Легенда: Завод рядом с деревней "Комаровка", до ближайшего города 3 дня пути на собаках. Состояние завода такое же, всюду совок, дощатый пол и моргающие лампочки в коридоре. Во дворе пасется стадо коров, а из-за главного корпуса выходят весело щебечущие бабы с граблями... И единственному пареньку из деревни, у которого есть компьютер, поручили задачу по настройке маршрутизации....
<cut />
Дано: 2 корпуса завода, у каждого есть своя автономная система (далее AS, подсеть белых адресов /24). Корпуса и провайдер связаны друг с другом.
Задача:
1. Настроить на Linux-роутерах BGP между корпусами, корпусами и провайдером
2. Настроить динамическую маршрутизацию OSPF внутри главного корпуса завода
-----
Эта сеть будет мною использована для следующей лабораторной работы, поэтому она построена именно так как построена. Вы можете вполне сократить кол-во маршрутизаторов и не делать виртуалки-хосты.
Легенда: Завод рядом с деревней "Комаровка", до ближайшего города 3 дня пути на собаках. Состояние завода такое же, всюду совок, дощатый пол и моргающие лампочки в коридоре. Во дворе пасется стадо коров, а из-за главного корпуса выходят весело щебечущие бабы с граблями... И единственному пареньку из деревни, у которого есть компьютер, поручили задачу по настройке маршрутизации....
<cut />
Дано: 2 корпуса завода, у каждого есть своя автономная система (далее AS, подсеть белых адресов /24). Корпуса и провайдер связаны друг с другом.
Задача:
1. Настроить на Linux-роутерах BGP между корпусами, корпусами и провайдером
2. Настроить динамическую маршрутизацию OSPF внутри главного корпуса завода
-----
Эта сеть будет мною использована для следующей лабораторной работы, поэтому она построена именно так как построена. Вы можете вполне сократить кол-во маршрутизаторов и не делать виртуалки-хосты.
<spoiler title="Схема сети (открывайте картинку в новом окне)">
<img src="https://habrastorage.org/files/346/d03/a99/346d03a991584bbab5c0fdba8d6e03bc.png"/>
</spoiler>
Разобьем нашу лабораторную работу на следующие пункты:
1. Настройка BGP между R1,R2,R3
2. Настройка OSPF между R2,R4,R5,R6
<h1> I. Настройка BGP </h1>
<b>Немножко wikipedia:</b>
<b>BGP</b> (англ. Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации. Относится к классу протоколов маршрутизации внешнего шлюза.
Основные реализации (клиенты): Cisco IOS, Juniper JunOS, Bird, OpenBGPD, Quagga, Huawei VRP, Mikrotik RouterOS.
Вот тут как раз отступление. Поскольку мы нищеброды - настраивать мы будем не на cisco\juniper\..., а используем софтовые решения: quagga, bird.
На текущий момент BGP является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети.
BGP поддерживает бесклассовую адресацию и использует суммирование маршрутов для уменьшения таблиц маршрутизации. С 1994 года действует четвёртая версия протокола, все предыдущие версии являются устаревшими. BGP, наряду с DNS, является одним из главных механизмов, обеспечивающих функционирование Интернета.
Начнем с установки нужного ПО, настроим R1:
<source lang="bash">apt install quagga</source>
Что умеет делать quagga? согласно документации вот список ее демонов:
<code>zebra: Interface declaration and static routing
bgpd: BGP routing protocol
ospfd: OSPF routing protocol
ospf6d: OSPF IPv6 routing protocol
ripd: RIP v2 routing protocol
ripngd: RIP Ipv6 routing protocol </code>
Одна из интересных особенностей - она может быть настроена через "vtysh" с cisco-like синтаксисом. Соответственно это очень удобно наличием тонн документации и примеров не только по самому демону, но и от монстра сетевой промышленности - cisco.
После установки нужно скопировать шаблоны конфигов в нужную директорию:
<source lang="bash">cp /usr/share/doc/quagga/examples/bgpd.conf.sample /etc/quagga/bgpd.conf
cp /usr/share/doc/quagga/examples/zebra.conf.sample /etc/quagga/zebra.conf
cp /usr/share/doc/quagga/examples/vtysh.conf.sample /etc/quagga/vtysh.conf</source>
<img src="https://habrastorage.org/files/346/d03/a99/346d03a991584bbab5c0fdba8d6e03bc.png"/>
</spoiler>
Разобьем нашу лабораторную работу на следующие пункты:
1. Настройка BGP между R1,R2,R3
2. Настройка OSPF между R2,R4,R5,R6
<h1> I. Настройка BGP </h1>
<b>Немножко wikipedia:</b>
<b>BGP</b> (англ. Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации. Относится к классу протоколов маршрутизации внешнего шлюза.
Основные реализации (клиенты): Cisco IOS, Juniper JunOS, Bird, OpenBGPD, Quagga, Huawei VRP, Mikrotik RouterOS.
Вот тут как раз отступление. Поскольку мы нищеброды - настраивать мы будем не на cisco\juniper\..., а используем софтовые решения: quagga, bird.
На текущий момент BGP является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети.
BGP поддерживает бесклассовую адресацию и использует суммирование маршрутов для уменьшения таблиц маршрутизации. С 1994 года действует четвёртая версия протокола, все предыдущие версии являются устаревшими. BGP, наряду с DNS, является одним из главных механизмов, обеспечивающих функционирование Интернета.
Начнем с установки нужного ПО, настроим R1:
<source lang="bash">apt install quagga</source>
Что умеет делать quagga? согласно документации вот список ее демонов:
<code>zebra: Interface declaration and static routing
bgpd: BGP routing protocol
ospfd: OSPF routing protocol
ospf6d: OSPF IPv6 routing protocol
ripd: RIP v2 routing protocol
ripngd: RIP Ipv6 routing protocol </code>
Одна из интересных особенностей - она может быть настроена через "vtysh" с cisco-like синтаксисом. Соответственно это очень удобно наличием тонн документации и примеров не только по самому демону, но и от монстра сетевой промышленности - cisco.
После установки нужно скопировать шаблоны конфигов в нужную директорию:
<source lang="bash">cp /usr/share/doc/quagga/examples/bgpd.conf.sample /etc/quagga/bgpd.conf
cp /usr/share/doc/quagga/examples/zebra.conf.sample /etc/quagga/zebra.conf
cp /usr/share/doc/quagga/examples/vtysh.conf.sample /etc/quagga/vtysh.conf</source>
Разрешим запуск нужных демонов в файле /etc/quagga/daemons
...
zebra=yes
bgpd=yes
...
Перезапустим и глянем что получилось:
/etc/init.d/quagga restart
root@debian:/etc/quagga# ps -ef | grep quagga
root 17441 1 0 22:46 ? 00:00:00 /usr/lib/quagga/watchquagga -d zebra bgpd
quagga 17510 1 0 22:48 ? 00:00:00 /usr/lib/quagga/zebra --daemon -A 127.0.0.1
quagga 17514 1 0 22:48 ? 00:00:00 /usr/lib/quagga/bgpd --daemon -A 127.0.0.1
добавим удобную переменную окружения, чтобы не воевать с консолью.
Это замечание я взял из официальной документации, а пока его не встретил приходил в неописуемое бешенство, потому что после каждой команды мне приходилось вводить дополнительно «q» (к чему я тоже пришел опытным путем через боль и слезы, а точнее через простое тыкание и упорное нежелание включать мозг или читать документацию)
root@debian:/etc/quagga# VTYSH_PAGER=more
Выдадим права пользователю quagga на конфигурационные файлы:
chown quagga.quagga /etc/quagga/*
cp /etc/quagga/zebra.conf /etc/quagga/zebra.conf.sav
cp /etc/quagga/bgpd.conf /etc/quagga/bgpd.conf.sav
...
zebra=yes
bgpd=yes
...
Перезапустим и глянем что получилось:
/etc/init.d/quagga restart
root@debian:/etc/quagga# ps -ef | grep quagga
root 17441 1 0 22:46 ? 00:00:00 /usr/lib/quagga/watchquagga -d zebra bgpd
quagga 17510 1 0 22:48 ? 00:00:00 /usr/lib/quagga/zebra --daemon -A 127.0.0.1
quagga 17514 1 0 22:48 ? 00:00:00 /usr/lib/quagga/bgpd --daemon -A 127.0.0.1
добавим удобную переменную окружения, чтобы не воевать с консолью.
Это замечание я взял из официальной документации, а пока его не встретил приходил в неописуемое бешенство, потому что после каждой команды мне приходилось вводить дополнительно «q» (к чему я тоже пришел опытным путем через боль и слезы, а точнее через простое тыкание и упорное нежелание включать мозг или читать документацию)
root@debian:/etc/quagga# VTYSH_PAGER=more
Выдадим права пользователю quagga на конфигурационные файлы:
chown quagga.quagga /etc/quagga/*
cp /etc/quagga/zebra.conf /etc/quagga/zebra.conf.sav
cp /etc/quagga/bgpd.conf /etc/quagga/bgpd.conf.sav
2017 June 06
Виртуальная лаборатория для обучения настройки сетей.
http://www.eve-ng.net/
http://www.eve-ng.net/
Облачные лаборатории #vmware. Можно онлайн потыкать любую уже готовую развернутую продукцию vmware.
https://labs.vmware.com
https://labs.vmware.com
Cопровождение собственной, более или менее кастомизированной версии #Redmine, которая может быть развернута с помощью одной команды оболочки, когда это необходимо.
https://habrahabr.ru/company/southbridge/blog/329872/
https://habrahabr.ru/company/southbridge/blog/329872/
