Nordsken EXAMENSARBETE

EXAMENSARBETE

Nordsken

Installation | Konfiguration | Drift

Hadi Bitar

Sebastian Stenlund Robin Ågren

2013

Högskoleexamen Datornätverk

Luleå tekniska universitet Institutionen för system- och rymdteknik

T

Nordsken

Installation | Konfiguration | Drift

17-06-2013 Sebastian Stenlund | Hadi Bitar | Robin Ågren

Förord

Vi blev tillfrågade av föreningen Lan i Staan att sätta upp nätverket för eventet Nordsken.

Detta innebar att vi fick konfigurera switchar och accesspunkter, samt installera och

konfigurera olika tjänster på servrar för bland annat DHCP-utdelning och övervakning. Sedan satte vi upp nätverket och kopplade kablar mellan alla enheter och skötte övervakning samt support när vi väl var på plats.

Vi är väldigt tacksamma och glada över att ha fått göra detta arbete och hoppas kunna hjälpa

Lan i Staan även i framtiden.

Abstract

Nordsken is a game festival that shows the game and geek hobby to the public. Visitors can join in on tournaments and can try a large variety of computer and board games. Besides this, Nordsken invites different companies and lecturers who tell and show the best from the game and geek hobby.

600 participants gathered at Nordsken 2013 and over 1500 visitors came during these 3 days to play games and hangout with likeminded.

As being responsible for Nordsken’s network, we had as a task to set up, configure and monitor the network during the entire event and act as support when needed.

Ahead of the event a plan was introduced, which involved going through old documentation, buying a new server, renting switches and deployment of these devices. After a logical topology of the network was created, we began to configure all switches, wireless access points and the server.

The network was split into three layers, core, distribution and access. The switches within each layer were configured depending on its location and connection. VLAN’s were created and configured into different sections based on the placement of the tables.

On the server, we installed two virtual machines with Ubuntu 12.04, one which included all the services and another which included all the management tools that were necessary. The services provided were DHCP for every VLAN, NAT for the Management VLAN and some firewall functionality. The tools that were used were Adiscon LogAnalyzer, FTP, Ubiquity Unifi Controller Software and Cacti with both the plug-ins, Thold and Monitor. Guides for installing and configuring these services are included in this thesis.

All in all the event was a success when it comes to planning, installing, managing, and to take it down. The only big problem that occurred was that the wireless network didn´t function as well as we had hoped. We managed to solve the problem somewhat and the event went on as planned.

The software that was installed and used on the server was chosen based on our past

encounter with them during different labs at the university.

Sammanfattning

Nordsken är en spelfestival vars mål är att visa upp spel- och nördhobbyn för allmänheten.

Besökare erbjuds turneringar och prova-på i en mängd olika dator- samt bordsspel. Utöver spel bjuder Nordsken in olika föreningar, företag och föreläsare som berättar om och visar upp det bästa från spel- och nördhobbyn.

Nordsken 2013 samlade 600 deltagare och drygt 1500 dagsbesökare under tre dagar för att spela spel och umgås med likasinnade.

Som ansvariga för Nordskens nätverk hade vi som uppgift att sätta upp, konfigurera och övervaka nätverket under hela evenemanget samt agera support vid behov.

Inför Nordsken gjordes en planering som innehöll genomgång av gammal dokumentation, inköp av server, hyra av switchar samt utplacering av dessa enheter i lokalen. Efter att vi skapat en logisk topologi för nätverket började vi konfigurera switcharna, accesspunkterna och servrarna.

Nätverket delades upp i tre lager, core, distribution och access, där switcharna inom varje lager konfigurerades beroende på dess placering och koppling. VLAN skapades och konfigurerades baserat på de olika sektionerna som Nordsken delades upp i.

På Nordskens rackserver installerades två virtuella Ubuntu 12.04-servrar som tillhandahöll tjänster och verktyg för nätverket. Tjänsterna som tillhandahölls var DHCP för alla VLAN, NAT för Management-nätverket och viss brandväggsfunktionalitet. Verktygen som användes var Adiscon LogAnalyzer, FTP, Ubiquiti UniFi Controller Software och Cacti med tilläggen Thold och Monitor. Guider för konfiguration av dessa tjänster bifogas i rapporten.

Allt som allt gick Nordsken mycket bra avseende planering, installeraring, drift och nedtagning. Det enda stora problemet som egentligen dök upp var att det trådlösa inte fungerade så bra som det skulle på grund av oförutsedda störningar. Detta gick dock att lösa på ett någorlunda bra sätt och sedan flöt Nordsken på riktigt bra.

Programmen som användes under detta arbete valdes med utgångspunkt från program vi

använt på universitetet.

Innehållsförteckning

1. Introduktion ... 1

2. Teori ... 2

2.1 Cacti ... 2

2.1.1 Cacti Spine ... 2

2.1.2 Monitor ... 2

2.1.3 Thold ... 2

2.2 Adiscon LogAnalyzer ... 2

2.3 VSFTPD ... 2

2.4 Ubiquiti Unifi Controller Software ... 2

2.5 ISC-DHCP-Server ... 3

2.6 IP-tables ... 3

2.7 Multi-mode och Single-mode-fiber ... 3

2.8 ESXi ... 3

3. Metod ... 4

3.1 Inför Nordsken ... 4

3.1.1 Dokumentation... 4

3.1.2 Inköp ... 4

3.1.3 Hårdvara ... 4

3.1.4 Placering ... 4

3.1.5 Testning ... 5

3.2 Under Nordsken ... 5

3.2.1 Uppsättning & Kablage ... 5

3.2.2 Övervakning ... 5

3.2.3 Support ... 5

3.2.4 Schema ... 6

3.3 Efter Nordsken ... 7

3.4 Servrar ... 7

3.4.1 Verktyg ... 8

3.4.1.1 Cacti ... 8

3.4.1.2 Adiscon LogAnalyzer ... 8

3.4.1.3 FTP ... 8

3.4.1.4 Ubiquiti UniFi Controller Software ... 8

3.4.2 Tjänster ... 8

3.4.2.1 DHCP ... 8

3.4.2.2 NAT ... 9

3.4.2.3 Brandvägg ... 9

3.5 Nätverk ... 9

3.5.1 Core ... 11

3.5.2 Distribution ... 12

3.5.3 Access ... 12

3.5.4 Accesspunkter ... 13

4. Resultat ... 15

4.1 Inför Nordsken ... 15

4.2 Under Nordsken ... 15

4.3 Efter Nordsken ... 15

4.4 Servrar ... 15

4.5 Nätverk ... 15

5. Diskussion ... 16

5.1 Det trådlösa nätverket ... 16

5.2 Testning ... 16

5.3 Konfiguration ... 16

5.4 DHCP-snooping ... 17

5.5 FTP. ... 17

5.6 NAT ... 17

5.7 Övervakning ... 17

5.8 Ubiquiti UniFi Controller Software ... 18

5.9 Statistik ... 18

5.10 Guider ... 18

5.11 Slutsats ... 18

6. Litteraturlista ... 19

7. Bilagor ... 20

7.1 Bilaga: Lokal ... 20

7.2 Bilaga: Switch-placering ... 21

7.3 Bilaga: Förkortningslista ... 22

1

1. Introduktion

Föreningen Lan i Staan var i behov av hjälp med att lägga upp en komplett nätverkslösning för deras event ”Nordsken”. Detta involverade allt från att titta igenom gammal konfiguration av nätverket och server-tjänster till att förbättra det och komma med nya idéer. Det första som gjordes var att ta reda på hur många nätverksenheter som behövdes, samt var de skulle vara placerade i lokalen. Sedan undersökte vi vilka tjänster som skulle installeras på servrarna för att kunna göra nätverket effektivare och säkrare.

Syftet med denna rapport är, förutom att utgöra exjobbsrapport, att förbättra dokumentationen

över Nordskens nätverk då detta är och kommer att vara ett återkommande event, vilket gör

att deras framtida nätverkstekniker kommer få det lättare med att sätta upp nätverket och göra

det säkrare.

2

2. Teori

I detta avsnitt beskrivs teoretiskt olika program som har använts, t.ex. Cacti, VSFTPD och Adiscon LogAnalyzer. Vi beskriver även skillnaden mellan en multi-mode och en single- mode SFP.

2.1 Cacti

Cacti är en mjukvara som används för övervakning via SNMP. Cactis huvudsakliga funktion är att skapa grafer över de element som övervakas via SNMP t.ex. bandbreddsanvändning och CPU-belastning. Med hjälp av tillägg så kan Cacti utgöra en komplett övervakningslösning.

2.1.1 Cacti Spine

Cacti Spine är en pollingmotor som hämtar information från SNMP-enheter och är effektivare än den pollingmotor som är standard i Cacti.

2.1.2 Monitor

Monitor är ett plug-in till Cacti som gör det möjligt att få en överskådlig bild över de enheter som är övervakade. På ett enkelt sätt visas vardera enhet i form av en ikon som kan befinna sig i tre lägen.

 Grön: Normal

 Röd: Down

 Blå: Recovering 2.1.3 Thold

Thold är ett tillägg till Cacti som är till för att sätta upp tröskelvärden när ett larm ska skickas, till exempel om CPU belastningen börjar närma sig en kritisk nivå eller om ett interface går upp eller ner.

2.2 Adiscon LogAnalyzer

Adiscon LogAnalyzer är ett webgränssnitt för att underlätta hantering av information i syslogfilen och andra nätverksloggar.

2.3 VSFTPD

VSFTPD är en FTP-servermjukvara för Unix-liknande operativsystem. VSFTPD kan

konfigureras så att autentisering krävs för att användaren ska komma åt de filer som finns på servern.

2.4 Ubiquiti Unifi Controller Software

Ubiquiti Unifi Controller Software är en mjukvara som används för att konfigurera Ubiquiti Unifi accesspunkter, denna mjukvara finns tillgänglig för Mac, Windows och Linux.

I Ubiquiti UniFi Controller Software finns många inställningsmöjligheter t.ex. hur många

enheter som får vara anslutna per accesspunkt, hur mycket bandbredd som får användas av

varje enhet m.m. Ubiquiti UniFi Controller Software har även möjlighet att föra statistik över

antalet anslutna enheter, hur mycket bandbredd som används m.m.

3

2.5 ISC-DHCP-Server

Som namnet tyder på så är ISC-DHCP-Server en servermjukvara för dynamisk utdelning av IP-adresser. Genom att konfigurera scopes i konfigurationsfilen för mjukvaran så delar servern ut de adresser som finns tillgängliga i scopet. Förutom IP-adress och nätmask så kan även default-gateway, DNS-serveradress och mer konfigureras för inkludering i DHCP- paketet.

2.6 IP-tables

IP-tables används för att bestämma hur paket ska routas vid och mellan serverns

nätverksinterface och används för att möjliggöra adressöversättning via NAT samt för att konfigurera andra brandväggsfunktionaliteter.

2.7 Multi-mode och Single-mode-fiber

Det finns två olika SFP-standarder för fiberanslutningar med olika funktionalitet. Multi-mode- fiber använder sig av en tjockare kärna än single-mode-fiber och används för korta distanser.

2.8 ESXi

ESXi är en mjukvara från VMware som används för virtualisering av hårdvara. Fördelen med

att använda ESXi är att det är en typ 1 hypervisor, vilket innebär att inget underliggande

operativsystem krävs.

4

3. Metod

I detta avsnitt beskrivs hela processen av arbetet som har förflutit, vad som gjordes innan, under och efter Nordsken. Nätverks- och server-delen beskrivs även djupare vad som installerades och hur allting sattes upp.

3.1 Inför Nordsken

Innan Nordsken skulle köras igång var det mycket som skulle göras i god tid, som att hyra enheter, bestämma adressrymder, testa internet-åtkomsten i lokalen, konfigurera alla enheter, sätta upp övervakning och mer därtill.

3.1.1 Dokumentation

Det första som undersöktes var dokumentationen från föregående Nordsken.

Dokumentationen innehöll switcharnas konfiguration, deras kopplingar och hur de var placerade i lokalen. Någon direkt dokumentation av servrarna och deras tjänster fanns dock inte att tillgå. Vilket gjorde att detta fick lösas på egen hand med hjälp av handledare och olika guider på nätet. Det enda som stod något om i dokumentationen om servrarna var vilka sorters tjänster och verktyg som använts.

3.1.2 Inköp

Det bestämdes i god tid att det skulle köpas in en ny server till detta Nordsken. Vilket innebar att olika alternativ undersöktes för att hitta en server som var prisvärd och passade Nordskens behov. Hyrning av switchar gjordes i någorlunda god tid då företaget Playstar som ansvarade för uthyrningen var svårt att få tag på, blev det lite senare än tänkt. Switcharna kom fram i tid trots detta.

3.1.3 Hårdvara

Enheterna som användes under Nordsken var switchar, accesspunkter och en server. Dessa lånades, köptes in eller hyrdes från olika ställen. Alternativt fanns redan tillgängligt då Nordsken köpt in det under tidigare år.

 LTU Campus Skellefteå: Det som lånades från LTU Campus Skellefteå var 17 st

2960 switchar och 1 st 3560G switch.

 Playstar: Från Playstar hyrdes 10 st 2960 switchar, 2 st 2960G switchar, 1 st 3560G

switch och även 2 st Singlemode SFP.

 Nordsken: Nordsken köpte in en ny server och ägde redan 9st accesspunkter som

användes.

3.1.4 Placering

Innan en topologi kunde sättas upp var det fördelaktigt att se hur helheten i lokalen skulle se ut, för att kunna placera switchar och accesspunkter på relevanta ställen för optimering av nätverket. Då märktes det hur stort antal switchar som skulle behövas, samt var accesspunkter skulle kunna placeras ut för att optimera täckningen i lokalen.

För mer information om hur lokalen såg ut, se bilaga 7.1 Bilaga: Lokal.

För mer information om hur switcharna placerades i lokalen, se bilaga 7.2 Bilaga: Switch-

5 3.1.5 Testning

Innan Nordsken skulle dra igång undersöktes det om Core-switchen hade internet-åtkomst via fiberanslutningen. Vid de första testerna fanns ingen internet-åtkomst, vilket visade sig senare vara på grund av att det användes en Multimode SFP i switchen för att koppla in fibern. Det som behövdes för att switchen skulle få internet-åtkomst var att det skulle användas en Singlemode SFP. Detta löstes genom att två stycken Singlemode SFP hyrdes från Playstar.

3.2 Under Nordsken

Dagen innan Nordsken samlades alla Crew-medlemmar för att sätta upp och ställa i ordning allting inför den kommande dagen.

3.2.1 Uppsättning & Kablage

Vår uppgift dagen innan Nordsken var att dra alla nätverkskablar och fästa dem i taket eller väggarna, detta för att kablarna skulle vara i vägen så lite som möjligt. Sedan kopplades kablarna in i switcharna som sedan monterades fast. Detta gjordes för att förhindra stöld av hårdvara under själva evenemanget.

3.2.2 Övervakning

Då allting var uppsatt testades DHCP-servern för att se om den delade ut rätt IP-adresser till rätt VLAN. Sedan användes Cacti för att se vilka enheter som var uppkopplade och även för att kunna se ifall någon switch gick ner under själva evenemanget. Detta förenklade också felsökningen under evenemanget då ett mail skickades ut till oss alla ifall någon enhet gick ner.

3.2.3 Support

När väl Nordsken var igång och problemen som dök upp hade lösts allt eftersom blev det

väldigt lugnt. Detta innebar att vi gick omkring bland deltagarna och hjälpte dem ifall de

stötte på några nätverks-relaterade problem. De flesta problemen som deltagarna stötte på var

väldigt enkla då de antingen inte hade kopplat in sin Ethernet-kabel eller kopplat den till fel

port i switchen.

6 3.2.4 Schema

Ett schema skapades inför Nordsken för att underlätta när vi skulle kunna ta ledigt och sova.

Detta är schemat som skapades:

Sebastian Hadi Ågren Torsdag ////////// ////////// //////////

10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Fredag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Lördag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00

Hur mycket vi trodde vi skulle vara där:

Sebastian Hadi Ågren Torsdag ////////// ////////// //////////

10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Fredag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Lördag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00

7

Hur mycket vi var närvarande:

Sebastian Hadi Ågren Torsdag ////////// ////////// //////////

10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Fredag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00

Lördag ////////// ////////// //////////

00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00

Enligt schemat var ingen av oss närvarande mellan 04.00 och 08.00 på fredagen men vår handledare befann sig då i lokalen ifall något skulle hända.

3.3 Efter Nordsken

När eventet var över rensades alla switchar på sin konfiguration och allting monterades ner.

När allt var nedplockat kördes alla hårdvaror tillbaka till Campus där skolans switchar ställdes in i Cisco-salen. De hyrda switcharna från Playstar packades ner i en pall för att skickas tillbaka. Accesspunkterna kördes tillbaka till Legend i Skellefteå, dock förlorades en PoE- adapter till en av accesspunkterna under eventet.

Då det inte fanns någon bra dokumentation över servrarnas tjänster eller verktyg, bestämdes det att vi skulle skriva egna guider för att underlätta installationerna för kommande år.

3.4 Servrar

För att tillhandahålla de tjänster och verktyg som krävdes installerades och konfigurerades två virtuella servrar. En server innehållande verktyg för övervakning, FTP och

administrationsverktyg för det trådlösa nätverket samt en server med tjänsterna DHCP, NAT och viss brandväggsfunktionalitet. På dessa servrar installerades Ubuntu Server 12.04 och uppdaterades med de senaste uppdateringarna via apt-get update och apt-get upgrade. Under installationen valdes även programpaketen OpenSSH och LAMP att installeras. Statisk IP konfigurerades även på båda servrarna.

Under tidigare Nordsken har två separata servrar använts, men eftersom Nordsken köpte in en

rackserver installerades servrarna på två virtuella maskiner i EsXi.

8 3.4.1 Verktyg

På verktygsservern installerades som sagt övervakning, FTP och administrationsverktyg för det trådlösa nätverket. De mjukvarorna som valdes att användas var Cacti och Adiscon LogAnalyzer för övervakning samt VSFTPD för FTP och Ubiquiti UniFi Controller Software för administration av det trådlösa nätverket. För att göra det möjligt att övervaka nätverket installerades först SNMP och SNMPd på verktygsservern.

3.4.1.1 Cacti

Cacti 0.8.8a valdes att installeras på grund av att version 0.8.8 har plug-in architecture implementerat från installation, efter att problem stötts på vid installation av 0.8.7s plug-in architecture. Version 0.8.7 är dessvärre den senaste version som stöds av Ubuntu 12.04 men genom att lägga till ett custom repository var det möjligt att installera nyaste versionen av Cacti. Cacti Spine installerades även för att möjliggöra effektivare hämtning av information från enheterna.

Alla nätverksenheter lades till i Cacti förutom accesspunkterna som inte stöder SNMP, vilket gjorde det möjligt att övervaka nästintill alla nätverksenheter via Cacti. Övervakningen av det trådlösa nätverket gjordes via Ubiquiti UniFi Controller Software.

Cactis mailtjänst användes för att meddela då en förändring i nätverket inträffade.

De tillägg som valdes att installeras för att underlätta övervakningen var Monitor och Thold.

3.4.1.2 Adiscon LogAnalyzer

Genom att konfigurera switchar och servrar att skicka loggmeddelanden till både

verktygsservern och dess egna loggfil så samlades alla nätverksloggar på ett och samma ställe.

3.4.1.3 FTP

På verktygsservern installerades en FTP mjukvara för att göra det möjligt att ladda upp konfigurationsfiler och liknande. Mjukvaran VSFTPD installerades och konfigurerades med användarnamn och lösenord för autentisering.

3.4.1.4 Ubiquiti UniFi Controller Software

Nordsken använder sig av Ubiquiti UniFi accesspunkter och med hjälp av dess mjukvara konfigurerades accesspunkterna efter önskemål.

3.4.2 Tjänster

På tjänsteservern installerades tjänster som är nyttiga för användarna, i huvudsak DHCP men även NAT för Management-nätverket och viss brandväggsfunktionalitet.

3.4.2.1 DHCP

För dynamisk utdelning av adresser installerades ISC-DHCP-server där ett scope för varje

VLAN konfigurerades. För varje VLAN exkluderades default gateway samt övriga eventuella

fasta IP-adresser i det scopet. I DHCP-paketen skickades även Googles DNS-serveradress

med.

9 3.4.2.2 NAT

Eftersom Nordsken tilldelats en /22-adressrymd från Bredband2 användes NAT bara för Management-nätverket då det inte använde sig av publika IP-adresser. Detta gjordes genom att konfigurera IP-tables så att trafik från de interna IP-adresserna för VLAN 137 översattes via PAT till en extern IP-adress i Crew-nätverket. Detta för att möjliggöra internetåtkomst från Management-nätverket.

3.4.2.3 Brandvägg

Med hjälp av ett script förenklades konfigurationen av brandväggsfunktionaliteten. Scriptet hjälpte främst till med att konfigurera IP-tables för att endast tillåta åtkomst från enheter i VLAN 137.

3.5 Nätverk

Evenemanget skulle klara av totalt 1000 enheter, trådbundna samt trådlösa. Det var då

lämpligast att dela upp nätverket i tre lager, Core, Distribution och Access. Totalt 29 switchar användes under evenemanget varav en Core, två Distribution och 26 Access-switchar.

Följande typer av enheter konfigurerades:

 Cisco Catalyst 3560G-24TS

 Cisco Catalyst 2960G-24TC

 Cisco Catalyst 2960SL-24TS

 Cisco Catalyst 2960-24TT

 Ubiquiti UniFi 802.11N PoE AP

Bild 1. Nordskens topologi

Det första som gjordes var den grundläggande konfigurationen av alla switchar. Vilket

innebar konfiguration av hostname, användarnamn, lösenord samt en banner som meddelade

10

att bara behöriga fick tillgång till enheten. För att inte lösenord skulle synas i klartext

användes kommandot ”service password-encryption” för att kryptera dem. För snabbare konvergens aktiverades RSTP på alla switchar.

För VTY-åtkomst konfigurerades SSH på alla switchar, med undantag av switch E2 som bara tillåter VTY-åtkomst genom Telnet då den inte stöder SSH. För att switchen skall kunna autentisera samt kryptera SSH-data skapades en RSA-krypteringsnyckel med en nyckelmodul på 1024 bitar. En accesslista konfigurerades för att bara tillåta VTY-åtkomst genom SSH till enheter tillhörandes Management-nätverket.

För övervakning av switcharna konfigurerades SNMP. På switcharna aktiverades traps och pekade dem mot verktygsservern, som innehåller verktygen för övervakning av nätverket.

Switcharnas plats angavs i SNMP konfigurationen, för att enkelt kunna lokalisera dem ifall ett eventuellt fel inträffade. För dataloggning aktiverades ”service timestamp debug” och

”service timestamp log” på switcharna och pekade dem mot Syslog-servern.

All konfiguration säkerhetskopierades och sparades till en FTP-server. Användarnamn och lösenord till FTP-servern konfigurerades på switcharna, för att de skall kunna autentisera sig mot servern vid uppladdning av konfigurationsfilerna.

VLAN skapades och konfigurerades baserad på de olika sektioner som Nordsken delades upp i:

 VLAN10: För deltagarna på bord A

 VLAN20: För deltagarna på bord B

 VLAN30: För deltagarna på bord C

 VLAN40: För deltagarna på bord D

 VLAN50: För deltagarna på bord E

 VLAN60: För deltagarna på bord F

 VLAN70: För deltagarna på bord G

 VLAN80: För deltagarna på bord H

 VLAN90: För deltagarna på borden I, J och K

 VLAN100: Ett Spill VLAN för de adresser som blev över och kan behövas vid senare

fall.

 VLAN110: För personalen på Nordsken (Crew)

 VLAN137: Ett management VLAN för att hantera och konfigurera nätverket.

 VLAN200: För det trådlösa nätverket

 VLAN210: Ett reserv VLAN till det trådlösa nätverket

 VLAN666: För kopplingen mellan Nordsken och Bredband2

Bredband2 tilldelade Nordsken följande adressrymder:

 62.220.166.40/30: Denna adressrymd användes till kopplingen mellan Nordsken och

Bredband2.

11

 31.208.24.0/22: Denna adressrymd användes till det interna nätet och subnettades

baserat på antalet klienter inom varje VLAN, där varje VLAN tillgavs en specifik adressrymd, med undantag av VLAN 137 som tilldelades ett eget internt nät.

3.5.1 Core

För att få tillgång till internet genom Bredband2s nät konfigurerades en routed-port i Core- switchen, en default gateway och en default route som pekar mot Bredband2. Två trunk-portar konfigurerades på Core-switchen, där all trafik från de konfigurerade VLAN tilläts passera till vardera switch i Distributions-lagret. En trunk-port mot EsXi-servern konfigurerades för att få åtkomst från utsidan och insidan.

För enkelhetens skull kopplades Gamecrew-switchen direkt till Core genom en trunk-port, där trafiken från VLAN 110, 137, 200 och 210 tilläts passera. VLAN 200 och 210 tilläts eftersom en accesspunkt kopplades till den switchen. Enligt planeringen kopplades två accesspunkter direkt till Core-switchen, där en trunk-port konfigurerades för vardera AP. På de portar med en accesspunkt kopplad till sig konfigurerades VLAN 137 som ett native VLAN för att AP skulle kunna skicka DHCP-requests över ett otaggat VLAN.

Ett SVI skapades för varje VLAN på nätverket för att relevant trafik skulle kunna dirigeras mellan dem. Eftersom alla enheter som är kopplade till Access-lagret samt accesspunkterna skulle kunna tilldelas en dynamisk IP-adress via DHCP, konfigurerades det en IP helper- address i varje SVI som pekade mot DHCP-servern.

Som en säkerhetsåtgärd flyttades alla portar från VLAN 1 till VLAN 137, alla oanvända portar konfigurerades om till access-portar och stängdes ner.

För mer information om konfigurationen på Core-switchen, se bilaga särskild guide.

Subnätnamn VLAN Antal Hostar Network Adress-range Broadcast Netmask /

Grundnät 1022 31.208.24.0 31.208.24.1 - 31.208.27.254 31.208.27.255 255.255.252.0 /22

BREDBAND2_WIFI_1 200 128 31.208.24.128 31.208.24.129 - 31.208.24.254 31.208.24.255 255.255.255.128 /25 BREDBAND2_WIFI_2 210 128 31.208.25.0 31.208.25.1 - 31.208.25.126 31.208.25.127 255.255.255.128 /25 CREW_VLAN 110 128 31.208.24.0 31.208.24.1 - 31.208.24.126 31.208.24.127 255.255.255.128 /25

VLAN_10 10 62 31.208.25.128 31.208.25.129 - 31.208.25.190 31.208.25.191 255.255.255.192 /26 VLAN_20 20 62 31.208.25.192 31.208.25.193 - 31.208.25.254 31.208.25.255 255.255.255.192 /26 VLAN_30 30 62 31.208.26.0 31.208.26.1 - 31.208.26.62 31.208.26.63 255.255.255.192 /26 VLAN_40 40 62 31.208.26.64 31.208.26.65 - 31.208.26.126 31.208.26.127 255.255.255.192 /26 VLAN_50 50 62 31.208.26.128 31.208.26.129 - 31.208.26.190 31.208.26.191 255.255.255.192 /26 VLAN_60 60 62 31.208.26.192 31.208.26.193 - 31.208.26.254 31.208.26.255 255.255.255.192 /26 VLAN_70 70 62 31.208.27.0 31.208.27.1 - 31.208.27.62 31.208.27.63 255.255.255.192 /26 VLAN_80 80 62 31.208.27.64 31.208.27.65 - 31.208.27.126 31.208.27.127 255.255.255.192 /26 VLAN_90 90 62 31.208.27.128 31.208.27.129 - 31.208.27.190 31.208.27.191 255.255.255.192 /26 VLAN_100 100 62 31.208.27.192 31.208.27.193 - 31.208.27.254 31.208.27.255 255.255.255.192 /26 VLAN_137 137 254 192.168.137.0 192.168.137.1 - 192.168.137.254 192.168.137.255 255.255.255.0 /24 VLAN_666 666 2 62.220.166.40 62.220.166.41 - 62.220.166.42 62.220.166.43 255.255.255.252 /30

12 3.5.2 Distribution

Distributions-switcharna (DIST1 & DIST2) konfigurerades med trunk-portar mot alla switchar i respektive deltagarbord. Till dessa switchar tilläts trafik från det VLAN som deltagarbordet tillhörde samt VLAN 137, med undantag av switcharna på bord C, H och K där trafik från VLAN 110, VLAN 200 och VLAN 210 tilläts, då dessa switchar hade accesspunkter kopplade till sig.

I DIST1 konfigurerades en extra trunk-port för Management-switchen, där trafik från VLAN 110 och VLAN 137 tilläts. Till skillnad från DIST1 kopplades det tre extra switchar till DIST2, en för respektive bord I, J, och K, där alla tre tillhörde samma VLAN. En accesspunkt kopplades till switchen på bord K, därför tilläts trafik från VLAN 110, VLAN 200 och VLAN 210 till den switchen ifrån DIST2.

Inga speciella säkerhetsåtgärder behövdes till Distribution-switcharna då dessa switchar placerades uppe i taket och var ej nåbara. Det enda som gjordes var att stänga ner alla oanvända portar. Ett SVI för VLAN137 skapades för att möjliggöra VTY-åtkomst genom SSH till switcharna.

För mer information om konfigurationen på Distribution-switcharna, se bilaga särskild guide.

3.5.3 Access

Som tidigare nämnts användes totalt 26 switchar i Access-lagret. I dessa switchar skapades det de VLAN som switchen tillhörde samt VLAN 137. Alla 24 fastethernet-portar

konfigurerades om till access-portar och flyttades till det VLAN som gällde för just den switchen. Portfast konfigurerades på alla access-portar för att deltagare och Crew-medlemmar skulle snabbt kunna koppla upp sig mot nätverket. En av gigabit-portarna konfigurerades som trunk och kopplades till en av Distributions-switcharna, den andra gigabit-porten stängdes ner.

Ett SVI för VLAN 137 skapades på alla Access-switchar.

Alla switchar inom Access-lagret hade en gemensam konfiguration, med några få undantag i switcharna avsedda för Crew:

 Switch till Gamecrew: Till denna switch skapades VLAN 110, VLAN 137, VLAN

200 och VLAN 210. Båda gigabit-portarna konfigurerades om till trunk, varav en kopplades mot Core och den andra mot Legend. En trunk-port konfigurerades för accesspunkten som var kopplad till switchen.

 Switch till Legend: Samma VLAN som skapades i Gamecrew-switchen skapades till

denna switch. Båda gigabit-portarna konfigurerades om till trunk, varav en mot Gamecrew switchen och den andra till en accesspunkt.

 Switch till Konsol: Till denna switch skapades VLAN 110 och VLAN 137. En

gigabit-port konfigurerades om till trunk och kopplades mot G2-switchen. Konsol-

switchen kopplades till G2 för enkelhetens skull, då G2 hade en ledig port och var

placerad närmast konsol-sektionen. LTUs monter kopplade sig till en access-port på

Konsol-switchen, då LTU hade en enkel plug-and-play switch som icket var

13

managerbar. Porten mot LTUs switch tillät att max tio mac-adresser kunde koppla sig till den.

 Switch till Management: Denna switch använde vi oss av för att hantera och

övervaka nätverket. VLAN 110 och 137 skapades på denna switch. Båda gigabit- portarna konfigurerades om till trunk, varav en kopplades mot DIST1 och den andra mot Mediacrew-switchen. Efter att projektledaren för Nordsken begärt en extra switch till Scenmedia-sektionen, konfigurerades en extra trunk-port på Management- switchen som kopplades mot Scenmedia-switchen.

 Switch till Mediacrew: Samma VLAN som skapades till Management-switchen

skapades till denna switch. En gigabit-port konfigurerades om till trunk och kopplades mot Management-switchen.

 Switch till Scenmedia: Samma VLAN som skapades till Management-switchen

skapades till denna switch. En gigabit-port konfigurerades om till trunk och kopplades mot Management-switchen.

Som säkerhetsåtgärd aktiverades DHCP-snooping och konfigurerades på alla portar i Access- switcharna för att förhindra att en Man-In-the-Middle attack skulle uppstå. En DHCP limit rate, där max 20 packet per sekund kunde skickas, satts på alla opålitliga portar. På alla pålitliga portar dvs. upplänkarna skrevs kommandot ”ip dhcp snooping trust”. Port-security konfigurerades på alla portar ifall antalet DHCP-packet som skickas är mer än 20 per sekund ignoreras all trafik på den porten.

För mer information om alla switchar på Access-lagret, se bilaga särskild guide.

3.5.4 Accesspunkter

Accesspunkterna konfigurerades genom Ubiquiti UniFi Controller Software, som är ett medföljande program och kan laddas ner ifrån UniFis hemsida. På accesspunkterna konfigurerades tre olika trådlösa nätverk med varsitt SSID:

 Ett öppet nätverk för alla deltagare på Nordsken samt gäster. VLAN 200 användes för

detta nätverk.

 Ett låst nätverk för alla Crew-medlemmar. VLAN 110 användes för detta nätverk.

 Ett låst nätverk för Management. VLAN 137 användes för detta nätverk.

Totalt antal accesspunkter som användes var nio och de kopplades på följande switchar:

 Core: Två AP.

 Gamecrew: En AP.

 Legend: En AP.

 Switch H1: En AP.

 Switch H2: En AP.

 Switch C1: En AP.

 Switch C2: En AP.

 Switch K1: En AP.

14

Accesspunkten kopplad till switch K1 användes först som en signalförstärkare ute i lobbyn,

men flyttades senare till K1 på grund av tekniska problem.

15

4. Resultat

I detta avsnitt redovisas resultaten av arbetet med Nordskens nätverk, vilka tjänster och funktioner som användes och vad som fungerade bra eller mindre bra.

4.1 Inför Nordsken

All konfiguration och alla inköp som skulle göras behövde planeras i god tid, vilket krävde ett bra samarbete då det fanns en tidig deadline. Arbetet delades upp för att hinna allt, samarbetet gjorde dock att delarna gick ihop i varandra, vilket gjorde det till en bra helhetslösning.

4.2 Under Nordsken

Efter att allt var installerat och konfigurerat klart fungerade det perfekt förutom det trådlösa nätverket. Sedan användes Cacti för att hämta data från alla enheter med SNMP installerat.

4.3 Efter Nordsken

Här var arbetet klart och allt som återstod var att rensa konfigurationen, ta ner all hårdvara och paketera en del av enheterna för transport till Campus. En annan del packeterades för att skickas tillbaka till Playstar.

4.4 Servrar

Den fysiska och de virtuella servrarna samt de installerade tjänsterna och verktygen fungerade bra under hela Nordsken. Det var problem med NAT för Management-nätverket,

översättningen fungerade men var under vissa tillfällen långsamt. NAT valdes att installeras på server då vi valde att använda så lite routingfunktionalitet på switcharna som möjligt.

4.5 Nätverk

Resultatet av arbetet med Nordskens nätverk uppfyllde de behov och krav som ställdes när det gällde det trådade nätverket med undantag av det egna interna nätet för VLAN 137,där

uppkopplingen var under förväntan på grund av NAT. Det trådlösa nätverket uppfyllde inte

till en början de krav som ställdes då flera problem uppstod under evenemanget, mestadels på

grund av oförutsedda faktorer.

16

5. Diskussion

I detta avsnitt beskriver vi hur arbetet har gått, vad som gick bra och vad som gick dåligt eller mindre bra. Vi pekar också på saker att tänka på i framtiden då Nordsken ska sättas upp.

5.1 Det trådlösa nätverket

Det trådlösa nätverket tog tyvärr ett tag att få funktionellt. Till en början var det väldigt dålig uppkoppling mot det trådlösa nätverket och de kan ha berott på att vi ställde in fasta kanaler på accesspunkterna. Vi bytte dock senare tillbaka till automatiska kanaler och då blev

uppkopplingen snabbare. Vi hade även förberett ett VLAN (VLAN 210) som skulle ha agerat som ett extra trådlöst VLAN ifall antalet IP-adresser skulle ta slut. Det som vi glömde göra var att lägga in VLAN 210 i accesspunkterna och när vi väl kom på det kändes det dumt att starta om alla accesspunkter för att lösa det.

I ett försök att förbättra det trådlösa nätverket testade vi även att flytta en accesspunkt för att försöka få bättre täckning. För att lätta trycket på Gäst-nätverket satte vi en gräns för 20 IP- adresser per accesspunkt. När vi väl fått det trådlösa nätverket att fungera gick det fortfarande lite segt och vi försökte hitta vad som skulle kunna vara problemet. Tyvärr satt inte problemet i våra inställningar eller konfigurationer, vilket innebär att det skulle ha kunnat vara

störningar från t.ex. datorer, mikrovågsugnar, Scandics trådlösa nätverk eller hörslingan som löpte i hela lokalen.

Det som vi tror skulle kunna fixa problemen nu i efterhand är:

 Sätta automatiska kanaler från början.

 Bara köra två olika SSID på accesspunkterna istället för tre, då Management inte

behöver ett eget trådlöst.

 Under besökstid gick trycket upp på det trådlösa väldigt mycket, det kan vi dock inte

göra något åt.

 Sätta ett trådlöst VLAN för gäster som är 256 adresser istället för 128, vilket

förhindrar att adress-rymden tar slut.

5.2 Testning

Som vi nämnt tidigare hade vi problem med att få internet-åtkomst för Core-switchen med den SFP vi lånat från LTU Campus Skellefteå. Efter att vi tittat igenom vår konfiguration för Core-switchen kom vi fram till att den var funktionell och problemet var antingen i kabeln eller i SFP. Vi kollade lite mer noga på vår SFP och pratade med vår handledare, vi fick då veta att det var en Multimode SFP och att det måste vara en Singlemode SFP för att kunna få internet-åtkomst. När vi fick tag i en Singlemode SFP och gick till Scandic för att testa och med den fungerade allt direkt.

5.3 Konfiguration

Då vi hade tillgång till gammal konfiguration av switcharna var de inga problem att sätta upp

switcharna som vi ville ha dem, den gamla konfigurationen var till stor hjälp när vi bestämde

hur vi ville sätta upp det men vi ändrade även en del saker för att förbättra och göra hela

nätverket säkrare.

17

När vi väl var på plats och skulle koppla in allt började vi med att koppla in Core-switchen och sedan servern för att se att det funkade och efter ett tag stötte vår handledare på ett problem, han fick ingen internet-åtkomst. Efter att vi letat efter fel ett tag frågade vi om han hade ändrat något då det hade funkat dagen innan. Det visade sig att han hade bytt IP-adress för DHCP-servern och alla våra DHCP-helper kommandon pekade då mot fel adress. När vi väl upptäckt detta bytte han alla DHCP-helper kommandon så att de pekade mot rätt IP- adress.

5.4 DHCP-snooping

DHCP-snooping konfigurerades på alla switchar inom Access-lagret. Vi stötte dock på problem under konfigurationen av denna säkerhetsparameter, då vissa switchar inte delade ut IP-adresser till den inkopplade enheten då DHCP-snooping var aktiverad. Efter en tidsperiod av felsökning kom vi fram till att kommandot ”ip dhcp-snooping trust” måste skrivas in på alla portar när det gällde switcharna vi lånat från LTU Campus Skellefteå. När det gällde de inhyrda switcharna behövde vi bara skriva in kommandot på upplänkarna d.v.s. trunk- portarna. Allt detta berodde på en skillnad i IOS-versionerna mellan de inlånade switcharna från LTU och de inhyrda switcharna från Playstar.

5.5 FTP

Från början valde vi att köra med TFTP då det är mindre resurskrävande än FTP men efter att vi installerat TFTP upptäckte vi ett problem. När vi försökte lägga in filer fick vi ett

felmeddelande med ”File does not exist” vilket vi tyckte var konstigt då TFTP ska skapa filen då den läggs in och ska inte behöva skapas i förväg. Detta problem lyckades vi aldrig lösa och därför valde vi att använda FTP istället, för att spara alla konfigurationsfiler. Med FTP var det inga problem att lägga in filer då den skapade dem som inte redan fanns, annars sparades den befintliga filen över.

5.6 NAT

Management-nätverket gick lite segt ibland och vi misstänker att det var på grund av NAT då vi satt på ett eget internt nätverk. Vi hade kunnat skippa NAT om vi hade konfigurerat hälften av portarna på vår switch till Crew-nätverket och använt de portarna för internet-access. Sen låtit den andra hälften vara kvar på Management-nätverket för övervakning.

5.7 Övervakning

Från början hade vi stora problem med Cacti, speciellt med att installera Plug-In Architecture som tillåter en att installera tillägg i Cacti. När man väljer att installera Cacti i Ubuntu 12.04 installeras version 0.8.7 och med den medföljer inte PIA och man måste försöka

implementera det själv. Detta var väldigt svårt att göra då vi satt mer än en dag och försökte göra det. Tillslut läste vi att i version 0.8.8 är PIA inbyggt i Cacti. Då valde vi att uppdatera Cacti från version 0.8.7 till 0.8.8 vilket löste problemet.

Ett annat problem som dök upp när vi höll på att konfigurera Cacti på skolan var att få

mailtjänsten på tillägget Monitor att fungera. Vår handledare fick detta att fungera när vi väl

var på Scandic och skulle sätta upp allt. Vi kom fram till att mailen förmodligen inte kom

18

fram på grund av att Campus nätverk kan ha blockerat trafiken, då han gjorde exakt samma inställningar som vi hade gjort tidigare.

5.8 Ubiquiti UniFi Controller Software

Först installerade vi detta på en Windows 7 Management-burk då det verkade lättare än att försöka implementera det i Ubuntu, senare hittade vi dock ett sätt att installera UniFi i Ubuntu på Ubiquitis hemsida.

5.9 Statistik

Mitt under Nordsken fick vi veta att de ville ha statistik på antalet användare som var uppkopplade mot respektive switch under en viss tid. Hade vi fått veta detta tidigare hade vi t.ex. kunnat installera OpenNMS för att automatisera detta. Eftersom vi fick veta det sent var vi tvungna att sitta och titta i ”show ip interface brief” för att se vilka interface som var uppe och räkna ihop alla.

5.10 Guider

Som det nämnts tidigare fanns det inte någon bra dokumentation över servrarna och deras tjänster, vad som installerats och hur det hade konfigurerats. Då kände vi att det kan vara bra att ha noggrann dokumentation inför nästa år. Vi hörde med vår arbetsgivare om det var något de skulle vara intresserade av och han tyckte det lät som en jättebra idé. Dessa guider kommer då att spara mycket möda och besvär för de som ska vara nätverks-tekniker på Nordsken kommande år.

5.11 Slutsats

Allt som allt tycker vi att Nordsken gick riktigt bra. Det fanns 396 datorplatser och nästan alla

var bokade och det trådade nätverket de använde fungerade bra, eftersom vi inte fick några

klagomål från deltagarna. För Crew som använde det trådlösa fick vi en hel del klagomål tills

vi löst problemen som vi nämnde tidigare, då vi väl lyckats få en stabil om än inte snabb

uppkoppling kunde de i alla fall använda trådlösa enheter för att komma ut på internet. När

alla problem var lösta blev det väldigt lugnt för oss och då gick vi omkring och hjälpte

deltagare med problem ifall de hade några.

19

6. Litteraturlista

1.

Arnold, S. (den 14 Augusti 2012). Steve's Blog. Hämtat från stevesbog.blogspot.se:

http://stevesbog.blogspot.se/2012/08/installing-and-configuring-loganalyzer.html den 7 Maj 2013

2.

Cacti Documentation and Howtos. (u.d.). Cacti Documentation and Howtos. Hämtat från docs.cacti.net: http://docs.cacti.net/manual:087:1_installation.9_pia den 6 Maj 2013

3.

DigitalOcean. (u.d.). DigitalOcean. Hämtat från DigitalOcean.com:

https://www.digitalocean.com/community/articles/how-to-set-up-vsftpd-on-ubuntu- 12-04 den 1 Maj 2013

4.

Gowifi. (den 23 Augusti 2012). Go Wireless NZ Ltd. Hämtat från blog.gowifi.co.nz:

http://blog.gowifi.co.nz/2012/08/install-ubiquiti-unifi-controller-on.html den 8 Maj 2013

5.

Maggotbrain. (den 12 November 2012). AskUbuntu. Hämtat från askubuntu.com:

http://askubuntu.com/questions/138283/how-do-i-install-cacti-8-7i-with-pia-3-1plug- in-architecture-for-12-04-server/223723#223723 den 6 Maj 2013

6.

Ubuntu Geek. (den 14 September 2012). Ubuntu Geek. Hämtat från ubuntugeek.com:

http://www.ubuntugeek.com/how-to-install-dhcp-server-in-ubuntu-12-04-precise-

server.html den 2 Maj 2013

20

7. Bilagor

7.1 Bilaga: Lokal

21

7.2 Bilaga: Switch-placering

22

7.3 Bilaga: Förkortningslista

 AP: Accesspunkt

En accesspunkt är en enhet som sprider trådlösa nätverk.

 DHCP: Dynamic Host Configuration Protocol

DHCP delar dynamiskt ut IP-adresser till de enheter som efterfrågar en IP-adress.

 DNS: Domain Name System

DNS är ett system för att förenkla adresseringen av datorer på nätverket och kopplar ihop domännamn med IP-adresser.

 FTP: File Transfer Protocol

FTP är ett protokoll för att överföra filer mellan enheter.

 IP: Internet Protocol

Är ett kommunikationsprotokoll som används vid överföring av information i nätverk.

 LAMP: Linux, Apache, MySQL, PHP

Är en samling program som används för att skapa en enkel webb-server.

 LTU: Luleå Tekniska Universitet

Är ett universitet med sitt huvudsäte i Luleå.

 NAT: Network Address Translation

Användes för att översätta interna IP-adresser till yttre IP-adresser.

 PAT: Port Address Translation

Är ett sätt att översätta flera interna IP-adresser till en yttre IP-adress genom att även översätta portnummer.

 PIA: Plug-in Architecture

PIA är en mjukvara tillhörandes Cacti som installeras för att möjliggöra installation av tillägg i Cacti.

 PoE: Power over Ethernet

Är ett sätt att skicka ström över ethernet-kabeln.

 RSA-krypteringsnyckel: Rivest, Shamir, Adleman

Är en nyckel till en känd krypteringsalgoritm.

 RSTP: Rapid Spanning Tree Protocol

Convergerar enheterna snabbare än STP efter att en ändring har gjorts i nätverket.

 SFP: Small Form-Factor Pluggable Transceiver

En modul som kan kopplas till switchar för att få fler eller andra interface på enheten.

 SNMP: Simple Network Management Protocol

Är ett protokoll som används för att övervaka enheter på nätverket.

 SNMPD: Simple Network Management Protocol Daemon

Är en daemon för att använda SNMP på Linux.

 SSH: Secure Shell

Är ett sätt att ansluta sig säkert till andra enheter över internet, då datan krypteras.

 SVI: Switch Virtual Interface

Är ett virtuellt interface som man kan använda för att styra trafik.

 Thold: Threshold

Är ett tillägg till Cacti för att kunna sätta gränser då larm ska skickas från enheterna.

 VLAN: Virtual Local Area Network

23

VLAN är logisk segmentering av ett fysisk LAN.

 VSFTPD: Very Secure FTPD

Är en FTP-servermjukvara för Linux.

 VTY: Virtual Terminal Line

Det är via detta interface man kommer åt switchars konfiguration via nätverket.

Brandvägg &

NAT

I Ubuntu 12.04

2013-05-26 Sebastian Stenlund | Hadi Bitar |Robin Ågren

Innehållsförteckning

Installation och konfiguration av brandvägg med NAT-egenskaper. ... 2 Scriptet ... 2 Hur man använder scriptet ... 3

Installation och konfiguration av brandvägg med NAT-funktionalitet.

Istället för att konfigurera IP-tables manuellt valde vi att köra ett standardscript innehållande de viktigaste konfigurationerna för vårt ändamål.

Scriptet

Här nedan finns det scriptet vi använde oss av, det krävs vissa modifikationer för att det ska fungera beroende på hur nätverket är designat.

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

#

# delete all existing rules.

#

iptables -F

iptables -t mangle -F iptables -X

# Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT

#Allow established connections, and those not coming from the outside

#Beroende på vilket interface som används som outside/inside interface

#så kan eth0 behöva ändras.

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Trusted machines

#Nätverksadressen måste ändras till den adressen som används för

#management nätverket.

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

#

#Beroende på vilket interface som används som outside/inside interface

#så kan eth0 och eth1 behöva ändras.

#Allow outgoing connections from the LAN side.

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Beroende på vilket interface som används som outside/inside interface

#så kan eth0 behöva ändras.

#Masquerade

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#

#

# Port forwarding

# Enable routing

echo 1 > /proc/sys/net/ipv4/ip_forward

#

#

# External rules

#Nedan följer inställningar för externa regler, dessa kan

#kommenteras/avkommenteras efter behov.

#

# SSH server

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

# MySQL server

2

iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

# FTP server

#iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

#iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT

#iptables -A INPUT -p tcp -m tcp --dport 1024:1124 -j ACCEPT

# Apache server

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

#iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Ventrilo server

iptables -A INPUT -p tcp -m tcp --dport 3784:3785 -j ACCEPT

# RADIUS server

iptables -A INPUT -p udp -m udp --dport 1812 -j ACCEPT

# Ping

iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#

#

# Routing

#Nedan följer inställningar för port forwarding, dessa kan

#kommenteras/avkommenteras efter behov.

#

# Radmin till Windows XP

iptables -A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT

iptables -A PREROUTING -t nat -p tcp --dport 8000 -j DNAT --to- destination 192.168.1.5:8000

# RDP Till Windows 7 Tiny

iptables -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT

iptables -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to- destination 192.168.1.8:3389

#

# Fucking end

#

# Packet-killer-motherfucker iptables -P INPUT DROP

Hur man använder scriptet

För att köra scriptet så börjar vi med att spara filen på valfri plats, antingen genom att överföra filen via samba/FTP eller kopiera in den i en fil via SSH.

1. För att kopiera in filen via SSH kör

sudo nano /home/username/s41iptables 2. Kopiera in texten och spara filen.

3

3. Kör sedan.

sudo bash /home/username/s41iptables 4. För att kolla om iptables har uppdaterats kör.

sudo iptables -L

4

Cacti, Thold och Monitor

I Ubuntu 12.04

2013-05-20 Sebastian Stenlund | Hadi Bitar | Robin Ågren

Innehållsförteckning

Installation och konfiguration av Cacti med pluginen Thold och Monitor... 2 Cacti ... 2 Plugins ... 4 Lägga till enheter ... 5 Mail ... 5

Installation och konfiguration av Cacti med pluginen Thold och Monitor.

Cacti

1. Installera LAMP och SSH vid installationen av Ubuntu 12.04.

2. Börja med att sätta en fast IP-adress.

3. Installera snmp och snmpd.

sudo apt-get install snmp sudo apt-get install snmpd

4. Byt namn på konfigurationsfilen från ”snmpd.conf” till ”snmpd.conf.org”.

sudo mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.org

5. Skapa en ny fil med namnet ”snmpd.conf” och öppna den.

sudo nano /etc/snmp/snmpd.conf

6. Lägg till följande rader.

rwcommunity private rocommunity public

7. Öppna ”/etc/default/snmpd”.

sudo nano /etc/default/snmpd

8. Ändra SNMPDOPTS raden så att den ser ut så här

SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'

2

9. Starta om snmpd.

service snmpd restart

10. Börja med att installera python-software-properties för att göra det möjligt att lägga till custom repositories.

sudo apt-get install python-software-properties

11. Lägg sedan till repositoryn ”micahg”.

sudo add-apt-repository ppa:micahg/ppa

12. Tryck enter för att bekräfta.

13. Kör sedan.

sudo apt-get update

För att uppdatera apt-get registret.

14. Installera sedan Cacti med kommandot.

sudo apt-get install cacti

15. Tryck enter.

16. Välj apache2.

17. Ange mysql lösenord.

18. Besök ”http://ip-adress/cacti/”.

19. Tryck next tills installationen är slutförd.

20. Använd användarnamn admin och lösenord admin för att logga in.

3

21. Skriv sedan in det lösenord som du vill använda två gånger.

22. Installera sedan Cacti Spine för effektivare polling.

sudo apt-get install cacti-spine

Plugins

1. Besök ”http://docs.cacti.net/plugins” för att hitta plugins till Cacti. Vi valde att installera Thold och Monitor.

2. För att installera plugins gå in i ”/usr/local/share/cacti/plugins/”.

cd /usr/local/share/cacti/plugins/

3. Ladda ner Monitor pluginet.

sudo wget http://docs.cacti.net/_media/plugin:monitor-v1.3-1.tgz

4. Byt namn på filen från ”plugin\:monitor-v1.3-1.tgz” till ”monitor-v1.3-1.tgz”.

sudo mv plugin\:monitor-v1.3-1.tgz monitor-v1.3-1.tgz

5. Packa upp filen.

sudo tar -xvf monitor-v1.3-1.tgz

6. Gå in i Cacti och klicka på Plugin Management i menyn, allternativt gå till ”http://ip- adress/cacti/plugins.php”.

7. Klicka först på den blå pilen för att installera Monitor klicka sen på den gröna pilen för att starta pluginet.

8. Om man nu klickar på Monitor fliken så möts man av ett felmeddelande. Detta löses genom att skapa en mjuklänk mellan ”/usr/local/share/cacti/” och

”/usr/share/cacti/site/include”.

cd /usr/local/share/cacti/

sudo ln -s ../../../share/cacti/site/include/ ./

9. För att installera Thold gå in i.

cd /usr/local/share/cacti/plugins/

10. Ladda ner Thold pluginet.

sudo wget http://docs.cacti.net/_media/plugin:thold-v0.4.9-3.tgz

11. Byt namn på filen från ”plugin\:thold-v0.4.9-3.tgz” till ”thold-v0.4.9-3.tgz”.

sudo mv plugin\:thold-v0.4.9-3.tgz thold-v0.4.9-3.tgz

12. Packa upp filen.

sudo tar -xvf thold-v0.4.9-3.tgz

13. Gå in i Cacti och klicka på Plugin Management i menyn, alternativt gå till ”http://ip- adress/cacti/plugins.php”.

4

14. Klicka först på den blå pilen för att installera Thold klicka sen på den gröna pilen för att starta pluginet.

15. För att köra Thold så krävs även pluginet Settings.

16. För att installera Settings, gå in i.

cd /usr/local/share/cacti/plugins/

17. Ladda ner Settings pluginet.

sudo wget http://docs.cacti.net/_media/plugin:settings-v0.71-1.tgz

18. Byt namn på filen från ”plugin\:settings-v0.71-1.tgz” till ”settings-v0.71-1.tgz”.

sudo mv plugin\:settings-v0.71-1.tgz settings-v0.71-1.tgz

19. Packa upp filen.

sudo tar -xvf settings-v0.71-1.tgz

20. Gå in i Cacti och klicka på Plugin Management i menyn, alternativt gå till ”http://ip- adress/cacti/plugins.php”.

21. Klicka först på den blå pilen för att installera Settings klicka sen på den gröna pilen för att starta pluginet.

Lägga till enheter

1. För att lägga till enheter gå till ”http://ip-adress/cacti/host.php”.

2. Klicka på Add.

3. Fyll i Hostname, IP-adress, vilken Host Template som ska användas, vilken SNMP version samt SNMP Community.

4. För att göra det möjligt för Cacti att skicka mail vid händelser så gå till ”http://ip- adress/cacti/settings.php” och klicka på Mail/DNS fliken.

Mail

1. Fyll i fältet Test Email med den email-adress som du vill att meddelandet ska skickas till

2. Välj SMTP i dropdown menyn Mail Services.

3. I fälten From Email Address och From Name så kan valfritt namn och email-adress fyllas i.

4. Fyll i SMTP-hostname, Port, Username och Password, detta måste vara giltiga inställningar för att mailfunktionen ska fungera.

5. Fyll i Primary DNS IP Adress, förslagsvis Googles.

5

6

ISC-DHCP- Server

I Ubuntu 12.04

2013-05-22 Sebastian Stenlund | Hadi Bitar | Robin Ågren

Innehållsförteckning

Installation och konfiguration av ISC-DHCP-Server. ... 2 Vår konfiguration ... 4

Installation och konfiguration av ISC-DHCP-Server.

1. För att installera ISC-DHCP-Server i Ubuntu kör.

sudo apt-get install isc-dhcp-server

2. Öppna och editera filen /etc/default/isc-dhcp-server ändra INTERFACES=”eth0” till korrekt interface.

3. Byt namn på filen dhcpd.conf till dhcpd.conf.back för att göra en backup.

sudo mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.back 4. Skapa och editera filen dhcpd.conf, i den konfigureras DHCP-servern.

sudo nano /etc/dhcp/dhcpd.conf

5. Börja med att skriva in de parametrar som gäller för alla scopes dvs. ddns-update-style, default- lease-time, max-lease-time, authoritative, log-facility local7 och option domain-name-servers.

6. Fyll sedan i de parametrar som är individuella för varje scope dvs. namn, subnät, nätmask, range och option routers. Bilden nedan visar ett exempel.

2

7. Starta om DHCP-tjänsten.

sudo service isc-dhcp-server restart

8. Om DHCP-tjänsten inte startar korrekt sök efter skrivfel i dhcpd.conf.

3

Vår konfiguration

4

FTP

I Ubuntu 12.04

2013-05-24 Sebastian Stenlund | Hadi Bitar | Robin Ågren

Innehållsförteckning

Installation och konfiguration av FTP ... 2

Installation och konfiguration av FTP

1. Börja med att installera vsftpd.

sudo apt-get install vsftpd

2. Öppna konfigurationsfilen “/etc/vsftpd.conf”.

sudo nano /etc/vsftpd.conf

3. Ändra raden ”anonymous_enable”=YES till ”anonymous_enable=NO”.

4. Avkommentera ”#local_enable=YES” så att det står ”local_enable=YES”.

5. Avkommentera ”#write_enable=YES” så att det står ”write_enable=YES”.

6. Avkommentera ” #chroot_local_user=YES” så att det står ”chroot_local_user=YES”.

2

7. Skapa en ny mapp i ”/home/username/” vi har valt att döpa den till files.

mkdir /home/username/files

8. Ändra rättigheterna på den mappen.

sudo chown root:root /home/username

9. Starta om vsftpd.

sudo service vsftpd restart

10. Gå nu till ” ftp://ip-adress/” för att bekräfta att FTPn fungerar.

3

Ubiquiti UniFi Controller

I Ubuntu 12.04

2013-05-24 Sebastian Stenlund | Hadi Bitar | Robin Ågren

Innehållsförteckning

Installation av Ubiquiti UniFi Controller i Ubuntu 12.04 ... 2 Installera MongoDB ... 2 Installera UniFi Controller ... 2

Installation av Ubiquiti UniFi Controller i Ubuntu 12.04 Installera MongoDB

1. Importera 10gens publika GPG-nyckel.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 7F0CEB10

2. Skapa och editera filen ”/etc/apt/sources.list.d/10gen.list”.

sudo nano /etc/apt/sources.list.d/10gen.list

3. Lägg till raden.

deb http://downloads-distro.mongodb.org/repo/ubuntu-upstart dist 10gen

4. Kör sedan en update av apt-get registret.

sudo apt-get update

5. Installera sedan mongodb-10gen.

sudo apt-get install mongodb-10gen

Installera UniFi Controller

1. Lägg till följande rad i slutet av ”/etc/apt/sources.list”.

deb http://www.ubnt.com/downloads/unifi/distros/deb/precise precise ubiquiti

2. Lägg till GPG-nyckeln.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50

2

3. Kör sedan en update av apt-get registret.

sudo apt-get update

4. Installera UniFi.

sudo apt-get install unifi

5. Surfa till https://ip-adress:8443 för att se om det fungerar.

6. Välj språk och land och tryck Next.

7. Om du har enheter kopplade till samma nätverk och de är nollställda så syns de här men gör de inte det så fortsätt ändå genom att trycka Next.

8. Fyll i SSID för det trådlösa nätverket samt lösenord, klicka sedan Next.

9. Fyll i användarnamn och lösenord för administratörkontot och klicka på Next.

10. Se till så att allt stämmer och klicka på Finish för att slutföra installationen.

3

Konfiguration Core

Sebastian Stenlund | Hadi Bitar | Robin Ågren

Innehållsförteckning

Konfiguration Core ... 2

Konfiguration Core

!

version 12.2 service pad

service timestamps debug datetime msec service timestamps log datetime localtime service password-encryption

!

hostname CORE3560G

!

boot-start-marker boot-end-marker

!

enable secret 5 $1$WGZw$KvzJozycB0a4OVu1Mw/XX1

!

username Lager3 secret 5 $1$W5R2$Jqj74s6ETt/Wu4G.79QBs/

aaa new-model

!

!

aaa authentication login default local

!

!

!

aaa session-id common system mtu routing 1500 vtp mode transparent ip subnet-zero

ip routing

no ip domain-lookup

ip domain-name network.nordsken.se

!

!

!

!

crypto pki trustpoint TP-self-signed-2674227968 enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-2674227968 revocation-check none

rsakeypair TP-self-signed-2674227968

!

!

crypto pki certificate chain TP-self-signed-2674227968 certificate self-signed 01

30820255 308201BE A0030201 02020101 300D0609 2A864886 F70D0101 04050030

31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 32363734 32323739 3638301E 170D3933 30333031 30303031

33315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649

2