EXAMENSARBETE
Nordsken
Installation | Konfiguration | Drift
Hadi Bitar
Sebastian Stenlund Robin Ågren
2013
Högskoleexamen Datornätverk
Luleå tekniska universitet Institutionen för system- och rymdteknik
T
Nordsken
Installation | Konfiguration | Drift
17-06-2013 Sebastian Stenlund | Hadi Bitar | Robin Ågren
Förord
Vi blev tillfrågade av föreningen Lan i Staan att sätta upp nätverket för eventet Nordsken.
Detta innebar att vi fick konfigurera switchar och accesspunkter, samt installera och
konfigurera olika tjänster på servrar för bland annat DHCP-utdelning och övervakning. Sedan satte vi upp nätverket och kopplade kablar mellan alla enheter och skötte övervakning samt support när vi väl var på plats.
Vi är väldigt tacksamma och glada över att ha fått göra detta arbete och hoppas kunna hjälpa
Lan i Staan även i framtiden.
Abstract
Nordsken is a game festival that shows the game and geek hobby to the public. Visitors can join in on tournaments and can try a large variety of computer and board games. Besides this, Nordsken invites different companies and lecturers who tell and show the best from the game and geek hobby.
600 participants gathered at Nordsken 2013 and over 1500 visitors came during these 3 days to play games and hangout with likeminded.
As being responsible for Nordsken’s network, we had as a task to set up, configure and monitor the network during the entire event and act as support when needed.
Ahead of the event a plan was introduced, which involved going through old documentation, buying a new server, renting switches and deployment of these devices. After a logical topology of the network was created, we began to configure all switches, wireless access points and the server.
The network was split into three layers, core, distribution and access. The switches within each layer were configured depending on its location and connection. VLAN’s were created and configured into different sections based on the placement of the tables.
On the server, we installed two virtual machines with Ubuntu 12.04, one which included all the services and another which included all the management tools that were necessary. The services provided were DHCP for every VLAN, NAT for the Management VLAN and some firewall functionality. The tools that were used were Adiscon LogAnalyzer, FTP, Ubiquity Unifi Controller Software and Cacti with both the plug-ins, Thold and Monitor. Guides for installing and configuring these services are included in this thesis.
All in all the event was a success when it comes to planning, installing, managing, and to take it down. The only big problem that occurred was that the wireless network didn´t function as well as we had hoped. We managed to solve the problem somewhat and the event went on as planned.
The software that was installed and used on the server was chosen based on our past
encounter with them during different labs at the university.
Sammanfattning
Nordsken är en spelfestival vars mål är att visa upp spel- och nördhobbyn för allmänheten.
Besökare erbjuds turneringar och prova-på i en mängd olika dator- samt bordsspel. Utöver spel bjuder Nordsken in olika föreningar, företag och föreläsare som berättar om och visar upp det bästa från spel- och nördhobbyn.
Nordsken 2013 samlade 600 deltagare och drygt 1500 dagsbesökare under tre dagar för att spela spel och umgås med likasinnade.
Som ansvariga för Nordskens nätverk hade vi som uppgift att sätta upp, konfigurera och övervaka nätverket under hela evenemanget samt agera support vid behov.
Inför Nordsken gjordes en planering som innehöll genomgång av gammal dokumentation, inköp av server, hyra av switchar samt utplacering av dessa enheter i lokalen. Efter att vi skapat en logisk topologi för nätverket började vi konfigurera switcharna, accesspunkterna och servrarna.
Nätverket delades upp i tre lager, core, distribution och access, där switcharna inom varje lager konfigurerades beroende på dess placering och koppling. VLAN skapades och konfigurerades baserat på de olika sektionerna som Nordsken delades upp i.
På Nordskens rackserver installerades två virtuella Ubuntu 12.04-servrar som tillhandahöll tjänster och verktyg för nätverket. Tjänsterna som tillhandahölls var DHCP för alla VLAN, NAT för Management-nätverket och viss brandväggsfunktionalitet. Verktygen som användes var Adiscon LogAnalyzer, FTP, Ubiquiti UniFi Controller Software och Cacti med tilläggen Thold och Monitor. Guider för konfiguration av dessa tjänster bifogas i rapporten.
Allt som allt gick Nordsken mycket bra avseende planering, installeraring, drift och nedtagning. Det enda stora problemet som egentligen dök upp var att det trådlösa inte fungerade så bra som det skulle på grund av oförutsedda störningar. Detta gick dock att lösa på ett någorlunda bra sätt och sedan flöt Nordsken på riktigt bra.
Programmen som användes under detta arbete valdes med utgångspunkt från program vi
använt på universitetet.
Innehållsförteckning
1. Introduktion ... 1
2. Teori ... 2
2.1 Cacti ... 2
2.1.1 Cacti Spine ... 2
2.1.2 Monitor ... 2
2.1.3 Thold ... 2
2.2 Adiscon LogAnalyzer ... 2
2.3 VSFTPD ... 2
2.4 Ubiquiti Unifi Controller Software ... 2
2.5 ISC-DHCP-Server ... 3
2.6 IP-tables ... 3
2.7 Multi-mode och Single-mode-fiber ... 3
2.8 ESXi ... 3
3. Metod ... 4
3.1 Inför Nordsken ... 4
3.1.1 Dokumentation... 4
3.1.2 Inköp ... 4
3.1.3 Hårdvara ... 4
3.1.4 Placering ... 4
3.1.5 Testning ... 5
3.2 Under Nordsken ... 5
3.2.1 Uppsättning & Kablage ... 5
3.2.2 Övervakning ... 5
3.2.3 Support ... 5
3.2.4 Schema ... 6
3.3 Efter Nordsken ... 7
3.4 Servrar ... 7
3.4.1 Verktyg ... 8
3.4.1.1 Cacti ... 8
3.4.1.2 Adiscon LogAnalyzer ... 8
3.4.1.3 FTP ... 8
3.4.1.4 Ubiquiti UniFi Controller Software ... 8
3.4.2 Tjänster ... 8
3.4.2.1 DHCP ... 8
3.4.2.2 NAT ... 9
3.4.2.3 Brandvägg ... 9
3.5 Nätverk ... 9
3.5.1 Core ... 11
3.5.2 Distribution ... 12
3.5.3 Access ... 12
3.5.4 Accesspunkter ... 13
4. Resultat ... 15
4.1 Inför Nordsken ... 15
4.2 Under Nordsken ... 15
4.3 Efter Nordsken ... 15
4.4 Servrar ... 15
4.5 Nätverk ... 15
5. Diskussion ... 16
5.1 Det trådlösa nätverket ... 16
5.2 Testning ... 16
5.3 Konfiguration ... 16
5.4 DHCP-snooping ... 17
5.5 FTP. ... 17
5.6 NAT ... 17
5.7 Övervakning ... 17
5.8 Ubiquiti UniFi Controller Software ... 18
5.9 Statistik ... 18
5.10 Guider ... 18
5.11 Slutsats ... 18
6. Litteraturlista ... 19
7. Bilagor ... 20
7.1 Bilaga: Lokal ... 20
7.2 Bilaga: Switch-placering ... 21
7.3 Bilaga: Förkortningslista ... 22
1
1. Introduktion
Föreningen Lan i Staan var i behov av hjälp med att lägga upp en komplett nätverkslösning för deras event ”Nordsken”. Detta involverade allt från att titta igenom gammal konfiguration av nätverket och server-tjänster till att förbättra det och komma med nya idéer. Det första som gjordes var att ta reda på hur många nätverksenheter som behövdes, samt var de skulle vara placerade i lokalen. Sedan undersökte vi vilka tjänster som skulle installeras på servrarna för att kunna göra nätverket effektivare och säkrare.
Syftet med denna rapport är, förutom att utgöra exjobbsrapport, att förbättra dokumentationen
över Nordskens nätverk då detta är och kommer att vara ett återkommande event, vilket gör
att deras framtida nätverkstekniker kommer få det lättare med att sätta upp nätverket och göra
det säkrare.
2
2. Teori
I detta avsnitt beskrivs teoretiskt olika program som har använts, t.ex. Cacti, VSFTPD och Adiscon LogAnalyzer. Vi beskriver även skillnaden mellan en multi-mode och en single- mode SFP.
2.1 Cacti
Cacti är en mjukvara som används för övervakning via SNMP. Cactis huvudsakliga funktion är att skapa grafer över de element som övervakas via SNMP t.ex. bandbreddsanvändning och CPU-belastning. Med hjälp av tillägg så kan Cacti utgöra en komplett övervakningslösning.
2.1.1 Cacti Spine
Cacti Spine är en pollingmotor som hämtar information från SNMP-enheter och är effektivare än den pollingmotor som är standard i Cacti.
2.1.2 Monitor
Monitor är ett plug-in till Cacti som gör det möjligt att få en överskådlig bild över de enheter som är övervakade. På ett enkelt sätt visas vardera enhet i form av en ikon som kan befinna sig i tre lägen.
Grön: Normal
Röd: Down
Blå: Recovering 2.1.3 Thold
Thold är ett tillägg till Cacti som är till för att sätta upp tröskelvärden när ett larm ska skickas, till exempel om CPU belastningen börjar närma sig en kritisk nivå eller om ett interface går upp eller ner.
2.2 Adiscon LogAnalyzer
Adiscon LogAnalyzer är ett webgränssnitt för att underlätta hantering av information i syslogfilen och andra nätverksloggar.
2.3 VSFTPD
VSFTPD är en FTP-servermjukvara för Unix-liknande operativsystem. VSFTPD kan
konfigureras så att autentisering krävs för att användaren ska komma åt de filer som finns på servern.
2.4 Ubiquiti Unifi Controller Software
Ubiquiti Unifi Controller Software är en mjukvara som används för att konfigurera Ubiquiti Unifi accesspunkter, denna mjukvara finns tillgänglig för Mac, Windows och Linux.
I Ubiquiti UniFi Controller Software finns många inställningsmöjligheter t.ex. hur många
enheter som får vara anslutna per accesspunkt, hur mycket bandbredd som får användas av
varje enhet m.m. Ubiquiti UniFi Controller Software har även möjlighet att föra statistik över
antalet anslutna enheter, hur mycket bandbredd som används m.m.
3
2.5 ISC-DHCP-Server
Som namnet tyder på så är ISC-DHCP-Server en servermjukvara för dynamisk utdelning av IP-adresser. Genom att konfigurera scopes i konfigurationsfilen för mjukvaran så delar servern ut de adresser som finns tillgängliga i scopet. Förutom IP-adress och nätmask så kan även default-gateway, DNS-serveradress och mer konfigureras för inkludering i DHCP- paketet.
2.6 IP-tables
IP-tables används för att bestämma hur paket ska routas vid och mellan serverns
nätverksinterface och används för att möjliggöra adressöversättning via NAT samt för att konfigurera andra brandväggsfunktionaliteter.
2.7 Multi-mode och Single-mode-fiber
Det finns två olika SFP-standarder för fiberanslutningar med olika funktionalitet. Multi-mode- fiber använder sig av en tjockare kärna än single-mode-fiber och används för korta distanser.
2.8 ESXi
ESXi är en mjukvara från VMware som används för virtualisering av hårdvara. Fördelen med
att använda ESXi är att det är en typ 1 hypervisor, vilket innebär att inget underliggande
operativsystem krävs.
4
3. Metod
I detta avsnitt beskrivs hela processen av arbetet som har förflutit, vad som gjordes innan, under och efter Nordsken. Nätverks- och server-delen beskrivs även djupare vad som installerades och hur allting sattes upp.
3.1 Inför Nordsken
Innan Nordsken skulle köras igång var det mycket som skulle göras i god tid, som att hyra enheter, bestämma adressrymder, testa internet-åtkomsten i lokalen, konfigurera alla enheter, sätta upp övervakning och mer därtill.
3.1.1 Dokumentation
Det första som undersöktes var dokumentationen från föregående Nordsken.
Dokumentationen innehöll switcharnas konfiguration, deras kopplingar och hur de var placerade i lokalen. Någon direkt dokumentation av servrarna och deras tjänster fanns dock inte att tillgå. Vilket gjorde att detta fick lösas på egen hand med hjälp av handledare och olika guider på nätet. Det enda som stod något om i dokumentationen om servrarna var vilka sorters tjänster och verktyg som använts.
3.1.2 Inköp
Det bestämdes i god tid att det skulle köpas in en ny server till detta Nordsken. Vilket innebar att olika alternativ undersöktes för att hitta en server som var prisvärd och passade Nordskens behov. Hyrning av switchar gjordes i någorlunda god tid då företaget Playstar som ansvarade för uthyrningen var svårt att få tag på, blev det lite senare än tänkt. Switcharna kom fram i tid trots detta.
3.1.3 Hårdvara
Enheterna som användes under Nordsken var switchar, accesspunkter och en server. Dessa lånades, köptes in eller hyrdes från olika ställen. Alternativt fanns redan tillgängligt då Nordsken köpt in det under tidigare år.
LTU Campus Skellefteå: Det som lånades från LTU Campus Skellefteå var 17 st
2960 switchar och 1 st 3560G switch.
Playstar: Från Playstar hyrdes 10 st 2960 switchar, 2 st 2960G switchar, 1 st 3560G
switch och även 2 st Singlemode SFP.
Nordsken: Nordsken köpte in en ny server och ägde redan 9st accesspunkter som
användes.
3.1.4 Placering
Innan en topologi kunde sättas upp var det fördelaktigt att se hur helheten i lokalen skulle se ut, för att kunna placera switchar och accesspunkter på relevanta ställen för optimering av nätverket. Då märktes det hur stort antal switchar som skulle behövas, samt var accesspunkter skulle kunna placeras ut för att optimera täckningen i lokalen.
För mer information om hur lokalen såg ut, se bilaga 7.1 Bilaga: Lokal.
För mer information om hur switcharna placerades i lokalen, se bilaga 7.2 Bilaga: Switch-
placering.5 3.1.5 Testning
Innan Nordsken skulle dra igång undersöktes det om Core-switchen hade internet-åtkomst via fiberanslutningen. Vid de första testerna fanns ingen internet-åtkomst, vilket visade sig senare vara på grund av att det användes en Multimode SFP i switchen för att koppla in fibern. Det som behövdes för att switchen skulle få internet-åtkomst var att det skulle användas en Singlemode SFP. Detta löstes genom att två stycken Singlemode SFP hyrdes från Playstar.
3.2 Under Nordsken
Dagen innan Nordsken samlades alla Crew-medlemmar för att sätta upp och ställa i ordning allting inför den kommande dagen.
3.2.1 Uppsättning & Kablage
Vår uppgift dagen innan Nordsken var att dra alla nätverkskablar och fästa dem i taket eller väggarna, detta för att kablarna skulle vara i vägen så lite som möjligt. Sedan kopplades kablarna in i switcharna som sedan monterades fast. Detta gjordes för att förhindra stöld av hårdvara under själva evenemanget.
3.2.2 Övervakning
Då allting var uppsatt testades DHCP-servern för att se om den delade ut rätt IP-adresser till rätt VLAN. Sedan användes Cacti för att se vilka enheter som var uppkopplade och även för att kunna se ifall någon switch gick ner under själva evenemanget. Detta förenklade också felsökningen under evenemanget då ett mail skickades ut till oss alla ifall någon enhet gick ner.
3.2.3 Support
När väl Nordsken var igång och problemen som dök upp hade lösts allt eftersom blev det
väldigt lugnt. Detta innebar att vi gick omkring bland deltagarna och hjälpte dem ifall de
stötte på några nätverks-relaterade problem. De flesta problemen som deltagarna stötte på var
väldigt enkla då de antingen inte hade kopplat in sin Ethernet-kabel eller kopplat den till fel
port i switchen.
6 3.2.4 Schema
Ett schema skapades inför Nordsken för att underlätta när vi skulle kunna ta ledigt och sova.
Detta är schemat som skapades:
Sebastian Hadi Ågren Torsdag ////////// ////////// //////////
10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Fredag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Lördag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00
Hur mycket vi trodde vi skulle vara där:
Sebastian Hadi Ågren Torsdag ////////// ////////// //////////
10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Fredag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Lördag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00
7
Hur mycket vi var närvarande:
Sebastian Hadi Ågren Torsdag ////////// ////////// //////////
10.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Fredag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 20.00 20.00 - 00.00
Lördag ////////// ////////// //////////
00.00 - 04.00 04.00 - 08.00 08.00 - 12.00 12.00 - 16.00 16.00 - 18.00
Enligt schemat var ingen av oss närvarande mellan 04.00 och 08.00 på fredagen men vår handledare befann sig då i lokalen ifall något skulle hända.
3.3 Efter Nordsken
När eventet var över rensades alla switchar på sin konfiguration och allting monterades ner.
När allt var nedplockat kördes alla hårdvaror tillbaka till Campus där skolans switchar ställdes in i Cisco-salen. De hyrda switcharna från Playstar packades ner i en pall för att skickas tillbaka. Accesspunkterna kördes tillbaka till Legend i Skellefteå, dock förlorades en PoE- adapter till en av accesspunkterna under eventet.
Då det inte fanns någon bra dokumentation över servrarnas tjänster eller verktyg, bestämdes det att vi skulle skriva egna guider för att underlätta installationerna för kommande år.
3.4 Servrar
För att tillhandahålla de tjänster och verktyg som krävdes installerades och konfigurerades två virtuella servrar. En server innehållande verktyg för övervakning, FTP och
administrationsverktyg för det trådlösa nätverket samt en server med tjänsterna DHCP, NAT och viss brandväggsfunktionalitet. På dessa servrar installerades Ubuntu Server 12.04 och uppdaterades med de senaste uppdateringarna via apt-get update och apt-get upgrade. Under installationen valdes även programpaketen OpenSSH och LAMP att installeras. Statisk IP konfigurerades även på båda servrarna.
Under tidigare Nordsken har två separata servrar använts, men eftersom Nordsken köpte in en
rackserver installerades servrarna på två virtuella maskiner i EsXi.
8 3.4.1 Verktyg
På verktygsservern installerades som sagt övervakning, FTP och administrationsverktyg för det trådlösa nätverket. De mjukvarorna som valdes att användas var Cacti och Adiscon LogAnalyzer för övervakning samt VSFTPD för FTP och Ubiquiti UniFi Controller Software för administration av det trådlösa nätverket. För att göra det möjligt att övervaka nätverket installerades först SNMP och SNMPd på verktygsservern.
3.4.1.1 Cacti
Cacti 0.8.8a valdes att installeras på grund av att version 0.8.8 har plug-in architecture implementerat från installation, efter att problem stötts på vid installation av 0.8.7s plug-in architecture. Version 0.8.7 är dessvärre den senaste version som stöds av Ubuntu 12.04 men genom att lägga till ett custom repository var det möjligt att installera nyaste versionen av Cacti. Cacti Spine installerades även för att möjliggöra effektivare hämtning av information från enheterna.
Alla nätverksenheter lades till i Cacti förutom accesspunkterna som inte stöder SNMP, vilket gjorde det möjligt att övervaka nästintill alla nätverksenheter via Cacti. Övervakningen av det trådlösa nätverket gjordes via Ubiquiti UniFi Controller Software.
Cactis mailtjänst användes för att meddela då en förändring i nätverket inträffade.
De tillägg som valdes att installeras för att underlätta övervakningen var Monitor och Thold.
3.4.1.2 Adiscon LogAnalyzer
Genom att konfigurera switchar och servrar att skicka loggmeddelanden till både
verktygsservern och dess egna loggfil så samlades alla nätverksloggar på ett och samma ställe.
3.4.1.3 FTP
På verktygsservern installerades en FTP mjukvara för att göra det möjligt att ladda upp konfigurationsfiler och liknande. Mjukvaran VSFTPD installerades och konfigurerades med användarnamn och lösenord för autentisering.
3.4.1.4 Ubiquiti UniFi Controller Software
Nordsken använder sig av Ubiquiti UniFi accesspunkter och med hjälp av dess mjukvara konfigurerades accesspunkterna efter önskemål.
3.4.2 Tjänster
På tjänsteservern installerades tjänster som är nyttiga för användarna, i huvudsak DHCP men även NAT för Management-nätverket och viss brandväggsfunktionalitet.
3.4.2.1 DHCP
För dynamisk utdelning av adresser installerades ISC-DHCP-server där ett scope för varje
VLAN konfigurerades. För varje VLAN exkluderades default gateway samt övriga eventuella
fasta IP-adresser i det scopet. I DHCP-paketen skickades även Googles DNS-serveradress
med.
9 3.4.2.2 NAT
Eftersom Nordsken tilldelats en /22-adressrymd från Bredband2 användes NAT bara för Management-nätverket då det inte använde sig av publika IP-adresser. Detta gjordes genom att konfigurera IP-tables så att trafik från de interna IP-adresserna för VLAN 137 översattes via PAT till en extern IP-adress i Crew-nätverket. Detta för att möjliggöra internetåtkomst från Management-nätverket.
3.4.2.3 Brandvägg
Med hjälp av ett script förenklades konfigurationen av brandväggsfunktionaliteten. Scriptet hjälpte främst till med att konfigurera IP-tables för att endast tillåta åtkomst från enheter i VLAN 137.
3.5 Nätverk
Evenemanget skulle klara av totalt 1000 enheter, trådbundna samt trådlösa. Det var då
lämpligast att dela upp nätverket i tre lager, Core, Distribution och Access. Totalt 29 switchar användes under evenemanget varav en Core, två Distribution och 26 Access-switchar.
Följande typer av enheter konfigurerades:
Cisco Catalyst 3560G-24TS
Cisco Catalyst 2960G-24TC
Cisco Catalyst 2960SL-24TS
Cisco Catalyst 2960-24TT
Ubiquiti UniFi 802.11N PoE AP
Bild 1. Nordskens topologi
Det första som gjordes var den grundläggande konfigurationen av alla switchar. Vilket
innebar konfiguration av hostname, användarnamn, lösenord samt en banner som meddelade
10
att bara behöriga fick tillgång till enheten. För att inte lösenord skulle synas i klartext
användes kommandot ”service password-encryption” för att kryptera dem. För snabbare konvergens aktiverades RSTP på alla switchar.
För VTY-åtkomst konfigurerades SSH på alla switchar, med undantag av switch E2 som bara tillåter VTY-åtkomst genom Telnet då den inte stöder SSH. För att switchen skall kunna autentisera samt kryptera SSH-data skapades en RSA-krypteringsnyckel med en nyckelmodul på 1024 bitar. En accesslista konfigurerades för att bara tillåta VTY-åtkomst genom SSH till enheter tillhörandes Management-nätverket.
För övervakning av switcharna konfigurerades SNMP. På switcharna aktiverades traps och pekade dem mot verktygsservern, som innehåller verktygen för övervakning av nätverket.
Switcharnas plats angavs i SNMP konfigurationen, för att enkelt kunna lokalisera dem ifall ett eventuellt fel inträffade. För dataloggning aktiverades ”service timestamp debug” och
”service timestamp log” på switcharna och pekade dem mot Syslog-servern.
All konfiguration säkerhetskopierades och sparades till en FTP-server. Användarnamn och lösenord till FTP-servern konfigurerades på switcharna, för att de skall kunna autentisera sig mot servern vid uppladdning av konfigurationsfilerna.
VLAN skapades och konfigurerades baserad på de olika sektioner som Nordsken delades upp i:
VLAN10: För deltagarna på bord A
VLAN20: För deltagarna på bord B
VLAN30: För deltagarna på bord C
VLAN40: För deltagarna på bord D
VLAN50: För deltagarna på bord E
VLAN60: För deltagarna på bord F
VLAN70: För deltagarna på bord G
VLAN80: För deltagarna på bord H
VLAN90: För deltagarna på borden I, J och K
VLAN100: Ett Spill VLAN för de adresser som blev över och kan behövas vid senare
fall.
VLAN110: För personalen på Nordsken (Crew)
VLAN137: Ett management VLAN för att hantera och konfigurera nätverket.
VLAN200: För det trådlösa nätverket
VLAN210: Ett reserv VLAN till det trådlösa nätverket
VLAN666: För kopplingen mellan Nordsken och Bredband2
Bredband2 tilldelade Nordsken följande adressrymder:
62.220.166.40/30: Denna adressrymd användes till kopplingen mellan Nordsken och
Bredband2.
11
31.208.24.0/22: Denna adressrymd användes till det interna nätet och subnettades
baserat på antalet klienter inom varje VLAN, där varje VLAN tillgavs en specifik adressrymd, med undantag av VLAN 137 som tilldelades ett eget internt nät.
3.5.1 Core
För att få tillgång till internet genom Bredband2s nät konfigurerades en routed-port i Core- switchen, en default gateway och en default route som pekar mot Bredband2. Två trunk-portar konfigurerades på Core-switchen, där all trafik från de konfigurerade VLAN tilläts passera till vardera switch i Distributions-lagret. En trunk-port mot EsXi-servern konfigurerades för att få åtkomst från utsidan och insidan.
För enkelhetens skull kopplades Gamecrew-switchen direkt till Core genom en trunk-port, där trafiken från VLAN 110, 137, 200 och 210 tilläts passera. VLAN 200 och 210 tilläts eftersom en accesspunkt kopplades till den switchen. Enligt planeringen kopplades två accesspunkter direkt till Core-switchen, där en trunk-port konfigurerades för vardera AP. På de portar med en accesspunkt kopplad till sig konfigurerades VLAN 137 som ett native VLAN för att AP skulle kunna skicka DHCP-requests över ett otaggat VLAN.
Ett SVI skapades för varje VLAN på nätverket för att relevant trafik skulle kunna dirigeras mellan dem. Eftersom alla enheter som är kopplade till Access-lagret samt accesspunkterna skulle kunna tilldelas en dynamisk IP-adress via DHCP, konfigurerades det en IP helper- address i varje SVI som pekade mot DHCP-servern.
Som en säkerhetsåtgärd flyttades alla portar från VLAN 1 till VLAN 137, alla oanvända portar konfigurerades om till access-portar och stängdes ner.
För mer information om konfigurationen på Core-switchen, se bilaga särskild guide.
Subnätnamn VLAN Antal Hostar Network Adress-range Broadcast Netmask /
Grundnät 1022 31.208.24.0 31.208.24.1 - 31.208.27.254 31.208.27.255 255.255.252.0 /22
BREDBAND2_WIFI_1 200 128 31.208.24.128 31.208.24.129 - 31.208.24.254 31.208.24.255 255.255.255.128 /25 BREDBAND2_WIFI_2 210 128 31.208.25.0 31.208.25.1 - 31.208.25.126 31.208.25.127 255.255.255.128 /25 CREW_VLAN 110 128 31.208.24.0 31.208.24.1 - 31.208.24.126 31.208.24.127 255.255.255.128 /25
VLAN_10 10 62 31.208.25.128 31.208.25.129 - 31.208.25.190 31.208.25.191 255.255.255.192 /26 VLAN_20 20 62 31.208.25.192 31.208.25.193 - 31.208.25.254 31.208.25.255 255.255.255.192 /26 VLAN_30 30 62 31.208.26.0 31.208.26.1 - 31.208.26.62 31.208.26.63 255.255.255.192 /26 VLAN_40 40 62 31.208.26.64 31.208.26.65 - 31.208.26.126 31.208.26.127 255.255.255.192 /26 VLAN_50 50 62 31.208.26.128 31.208.26.129 - 31.208.26.190 31.208.26.191 255.255.255.192 /26 VLAN_60 60 62 31.208.26.192 31.208.26.193 - 31.208.26.254 31.208.26.255 255.255.255.192 /26 VLAN_70 70 62 31.208.27.0 31.208.27.1 - 31.208.27.62 31.208.27.63 255.255.255.192 /26 VLAN_80 80 62 31.208.27.64 31.208.27.65 - 31.208.27.126 31.208.27.127 255.255.255.192 /26 VLAN_90 90 62 31.208.27.128 31.208.27.129 - 31.208.27.190 31.208.27.191 255.255.255.192 /26 VLAN_100 100 62 31.208.27.192 31.208.27.193 - 31.208.27.254 31.208.27.255 255.255.255.192 /26 VLAN_137 137 254 192.168.137.0 192.168.137.1 - 192.168.137.254 192.168.137.255 255.255.255.0 /24 VLAN_666 666 2 62.220.166.40 62.220.166.41 - 62.220.166.42 62.220.166.43 255.255.255.252 /30
12 3.5.2 Distribution
Distributions-switcharna (DIST1 & DIST2) konfigurerades med trunk-portar mot alla switchar i respektive deltagarbord. Till dessa switchar tilläts trafik från det VLAN som deltagarbordet tillhörde samt VLAN 137, med undantag av switcharna på bord C, H och K där trafik från VLAN 110, VLAN 200 och VLAN 210 tilläts, då dessa switchar hade accesspunkter kopplade till sig.
I DIST1 konfigurerades en extra trunk-port för Management-switchen, där trafik från VLAN 110 och VLAN 137 tilläts. Till skillnad från DIST1 kopplades det tre extra switchar till DIST2, en för respektive bord I, J, och K, där alla tre tillhörde samma VLAN. En accesspunkt kopplades till switchen på bord K, därför tilläts trafik från VLAN 110, VLAN 200 och VLAN 210 till den switchen ifrån DIST2.
Inga speciella säkerhetsåtgärder behövdes till Distribution-switcharna då dessa switchar placerades uppe i taket och var ej nåbara. Det enda som gjordes var att stänga ner alla oanvända portar. Ett SVI för VLAN137 skapades för att möjliggöra VTY-åtkomst genom SSH till switcharna.
För mer information om konfigurationen på Distribution-switcharna, se bilaga särskild guide.
3.5.3 Access
Som tidigare nämnts användes totalt 26 switchar i Access-lagret. I dessa switchar skapades det de VLAN som switchen tillhörde samt VLAN 137. Alla 24 fastethernet-portar
konfigurerades om till access-portar och flyttades till det VLAN som gällde för just den switchen. Portfast konfigurerades på alla access-portar för att deltagare och Crew-medlemmar skulle snabbt kunna koppla upp sig mot nätverket. En av gigabit-portarna konfigurerades som trunk och kopplades till en av Distributions-switcharna, den andra gigabit-porten stängdes ner.
Ett SVI för VLAN 137 skapades på alla Access-switchar.
Alla switchar inom Access-lagret hade en gemensam konfiguration, med några få undantag i switcharna avsedda för Crew:
Switch till Gamecrew: Till denna switch skapades VLAN 110, VLAN 137, VLAN
200 och VLAN 210. Båda gigabit-portarna konfigurerades om till trunk, varav en kopplades mot Core och den andra mot Legend. En trunk-port konfigurerades för accesspunkten som var kopplad till switchen.
Switch till Legend: Samma VLAN som skapades i Gamecrew-switchen skapades till
denna switch. Båda gigabit-portarna konfigurerades om till trunk, varav en mot Gamecrew switchen och den andra till en accesspunkt.
Switch till Konsol: Till denna switch skapades VLAN 110 och VLAN 137. En
gigabit-port konfigurerades om till trunk och kopplades mot G2-switchen. Konsol-
switchen kopplades till G2 för enkelhetens skull, då G2 hade en ledig port och var
placerad närmast konsol-sektionen. LTUs monter kopplade sig till en access-port på
Konsol-switchen, då LTU hade en enkel plug-and-play switch som icket var
13
managerbar. Porten mot LTUs switch tillät att max tio mac-adresser kunde koppla sig till den.
Switch till Management: Denna switch använde vi oss av för att hantera och
övervaka nätverket. VLAN 110 och 137 skapades på denna switch. Båda gigabit- portarna konfigurerades om till trunk, varav en kopplades mot DIST1 och den andra mot Mediacrew-switchen. Efter att projektledaren för Nordsken begärt en extra switch till Scenmedia-sektionen, konfigurerades en extra trunk-port på Management- switchen som kopplades mot Scenmedia-switchen.
Switch till Mediacrew: Samma VLAN som skapades till Management-switchen
skapades till denna switch. En gigabit-port konfigurerades om till trunk och kopplades mot Management-switchen.
Switch till Scenmedia: Samma VLAN som skapades till Management-switchen
skapades till denna switch. En gigabit-port konfigurerades om till trunk och kopplades mot Management-switchen.
Som säkerhetsåtgärd aktiverades DHCP-snooping och konfigurerades på alla portar i Access- switcharna för att förhindra att en Man-In-the-Middle attack skulle uppstå. En DHCP limit rate, där max 20 packet per sekund kunde skickas, satts på alla opålitliga portar. På alla pålitliga portar dvs. upplänkarna skrevs kommandot ”ip dhcp snooping trust”. Port-security konfigurerades på alla portar ifall antalet DHCP-packet som skickas är mer än 20 per sekund ignoreras all trafik på den porten.
För mer information om alla switchar på Access-lagret, se bilaga särskild guide.
3.5.4 Accesspunkter
Accesspunkterna konfigurerades genom Ubiquiti UniFi Controller Software, som är ett medföljande program och kan laddas ner ifrån UniFis hemsida. På accesspunkterna konfigurerades tre olika trådlösa nätverk med varsitt SSID:
Ett öppet nätverk för alla deltagare på Nordsken samt gäster. VLAN 200 användes för
detta nätverk.
Ett låst nätverk för alla Crew-medlemmar. VLAN 110 användes för detta nätverk.
Ett låst nätverk för Management. VLAN 137 användes för detta nätverk.
Totalt antal accesspunkter som användes var nio och de kopplades på följande switchar:
Core: Två AP.
Gamecrew: En AP.
Legend: En AP.
Switch H1: En AP.
Switch H2: En AP.
Switch C1: En AP.
Switch C2: En AP.
Switch K1: En AP.
14
Accesspunkten kopplad till switch K1 användes först som en signalförstärkare ute i lobbyn,
men flyttades senare till K1 på grund av tekniska problem.
15
4. Resultat
I detta avsnitt redovisas resultaten av arbetet med Nordskens nätverk, vilka tjänster och funktioner som användes och vad som fungerade bra eller mindre bra.
4.1 Inför Nordsken
All konfiguration och alla inköp som skulle göras behövde planeras i god tid, vilket krävde ett bra samarbete då det fanns en tidig deadline. Arbetet delades upp för att hinna allt, samarbetet gjorde dock att delarna gick ihop i varandra, vilket gjorde det till en bra helhetslösning.
4.2 Under Nordsken
Efter att allt var installerat och konfigurerat klart fungerade det perfekt förutom det trådlösa nätverket. Sedan användes Cacti för att hämta data från alla enheter med SNMP installerat.
4.3 Efter Nordsken
Här var arbetet klart och allt som återstod var att rensa konfigurationen, ta ner all hårdvara och paketera en del av enheterna för transport till Campus. En annan del packeterades för att skickas tillbaka till Playstar.
4.4 Servrar
Den fysiska och de virtuella servrarna samt de installerade tjänsterna och verktygen fungerade bra under hela Nordsken. Det var problem med NAT för Management-nätverket,
översättningen fungerade men var under vissa tillfällen långsamt. NAT valdes att installeras på server då vi valde att använda så lite routingfunktionalitet på switcharna som möjligt.
4.5 Nätverk
Resultatet av arbetet med Nordskens nätverk uppfyllde de behov och krav som ställdes när det gällde det trådade nätverket med undantag av det egna interna nätet för VLAN 137,där
uppkopplingen var under förväntan på grund av NAT. Det trådlösa nätverket uppfyllde inte
till en början de krav som ställdes då flera problem uppstod under evenemanget, mestadels på
grund av oförutsedda faktorer.
16
5. Diskussion
I detta avsnitt beskriver vi hur arbetet har gått, vad som gick bra och vad som gick dåligt eller mindre bra. Vi pekar också på saker att tänka på i framtiden då Nordsken ska sättas upp.
5.1 Det trådlösa nätverket
Det trådlösa nätverket tog tyvärr ett tag att få funktionellt. Till en början var det väldigt dålig uppkoppling mot det trådlösa nätverket och de kan ha berott på att vi ställde in fasta kanaler på accesspunkterna. Vi bytte dock senare tillbaka till automatiska kanaler och då blev
uppkopplingen snabbare. Vi hade även förberett ett VLAN (VLAN 210) som skulle ha agerat som ett extra trådlöst VLAN ifall antalet IP-adresser skulle ta slut. Det som vi glömde göra var att lägga in VLAN 210 i accesspunkterna och när vi väl kom på det kändes det dumt att starta om alla accesspunkter för att lösa det.
I ett försök att förbättra det trådlösa nätverket testade vi även att flytta en accesspunkt för att försöka få bättre täckning. För att lätta trycket på Gäst-nätverket satte vi en gräns för 20 IP- adresser per accesspunkt. När vi väl fått det trådlösa nätverket att fungera gick det fortfarande lite segt och vi försökte hitta vad som skulle kunna vara problemet. Tyvärr satt inte problemet i våra inställningar eller konfigurationer, vilket innebär att det skulle ha kunnat vara
störningar från t.ex. datorer, mikrovågsugnar, Scandics trådlösa nätverk eller hörslingan som löpte i hela lokalen.
Det som vi tror skulle kunna fixa problemen nu i efterhand är:
Sätta automatiska kanaler från början.
Bara köra två olika SSID på accesspunkterna istället för tre, då Management inte
behöver ett eget trådlöst.
Under besökstid gick trycket upp på det trådlösa väldigt mycket, det kan vi dock inte
göra något åt.
Sätta ett trådlöst VLAN för gäster som är 256 adresser istället för 128, vilket
förhindrar att adress-rymden tar slut.
5.2 Testning
Som vi nämnt tidigare hade vi problem med att få internet-åtkomst för Core-switchen med den SFP vi lånat från LTU Campus Skellefteå. Efter att vi tittat igenom vår konfiguration för Core-switchen kom vi fram till att den var funktionell och problemet var antingen i kabeln eller i SFP. Vi kollade lite mer noga på vår SFP och pratade med vår handledare, vi fick då veta att det var en Multimode SFP och att det måste vara en Singlemode SFP för att kunna få internet-åtkomst. När vi fick tag i en Singlemode SFP och gick till Scandic för att testa och med den fungerade allt direkt.
5.3 Konfiguration
Då vi hade tillgång till gammal konfiguration av switcharna var de inga problem att sätta upp
switcharna som vi ville ha dem, den gamla konfigurationen var till stor hjälp när vi bestämde
hur vi ville sätta upp det men vi ändrade även en del saker för att förbättra och göra hela
nätverket säkrare.
17
När vi väl var på plats och skulle koppla in allt började vi med att koppla in Core-switchen och sedan servern för att se att det funkade och efter ett tag stötte vår handledare på ett problem, han fick ingen internet-åtkomst. Efter att vi letat efter fel ett tag frågade vi om han hade ändrat något då det hade funkat dagen innan. Det visade sig att han hade bytt IP-adress för DHCP-servern och alla våra DHCP-helper kommandon pekade då mot fel adress. När vi väl upptäckt detta bytte han alla DHCP-helper kommandon så att de pekade mot rätt IP- adress.
5.4 DHCP-snooping
DHCP-snooping konfigurerades på alla switchar inom Access-lagret. Vi stötte dock på problem under konfigurationen av denna säkerhetsparameter, då vissa switchar inte delade ut IP-adresser till den inkopplade enheten då DHCP-snooping var aktiverad. Efter en tidsperiod av felsökning kom vi fram till att kommandot ”ip dhcp-snooping trust” måste skrivas in på alla portar när det gällde switcharna vi lånat från LTU Campus Skellefteå. När det gällde de inhyrda switcharna behövde vi bara skriva in kommandot på upplänkarna d.v.s. trunk- portarna. Allt detta berodde på en skillnad i IOS-versionerna mellan de inlånade switcharna från LTU och de inhyrda switcharna från Playstar.
5.5 FTP
Från början valde vi att köra med TFTP då det är mindre resurskrävande än FTP men efter att vi installerat TFTP upptäckte vi ett problem. När vi försökte lägga in filer fick vi ett
felmeddelande med ”File does not exist” vilket vi tyckte var konstigt då TFTP ska skapa filen då den läggs in och ska inte behöva skapas i förväg. Detta problem lyckades vi aldrig lösa och därför valde vi att använda FTP istället, för att spara alla konfigurationsfiler. Med FTP var det inga problem att lägga in filer då den skapade dem som inte redan fanns, annars sparades den befintliga filen över.
5.6 NAT
Management-nätverket gick lite segt ibland och vi misstänker att det var på grund av NAT då vi satt på ett eget internt nätverk. Vi hade kunnat skippa NAT om vi hade konfigurerat hälften av portarna på vår switch till Crew-nätverket och använt de portarna för internet-access. Sen låtit den andra hälften vara kvar på Management-nätverket för övervakning.
5.7 Övervakning
Från början hade vi stora problem med Cacti, speciellt med att installera Plug-In Architecture som tillåter en att installera tillägg i Cacti. När man väljer att installera Cacti i Ubuntu 12.04 installeras version 0.8.7 och med den medföljer inte PIA och man måste försöka
implementera det själv. Detta var väldigt svårt att göra då vi satt mer än en dag och försökte göra det. Tillslut läste vi att i version 0.8.8 är PIA inbyggt i Cacti. Då valde vi att uppdatera Cacti från version 0.8.7 till 0.8.8 vilket löste problemet.
Ett annat problem som dök upp när vi höll på att konfigurera Cacti på skolan var att få
mailtjänsten på tillägget Monitor att fungera. Vår handledare fick detta att fungera när vi väl
var på Scandic och skulle sätta upp allt. Vi kom fram till att mailen förmodligen inte kom
18
fram på grund av att Campus nätverk kan ha blockerat trafiken, då han gjorde exakt samma inställningar som vi hade gjort tidigare.
5.8 Ubiquiti UniFi Controller Software
Först installerade vi detta på en Windows 7 Management-burk då det verkade lättare än att försöka implementera det i Ubuntu, senare hittade vi dock ett sätt att installera UniFi i Ubuntu på Ubiquitis hemsida.
5.9 Statistik
Mitt under Nordsken fick vi veta att de ville ha statistik på antalet användare som var uppkopplade mot respektive switch under en viss tid. Hade vi fått veta detta tidigare hade vi t.ex. kunnat installera OpenNMS för att automatisera detta. Eftersom vi fick veta det sent var vi tvungna att sitta och titta i ”show ip interface brief” för att se vilka interface som var uppe och räkna ihop alla.
5.10 Guider
Som det nämnts tidigare fanns det inte någon bra dokumentation över servrarna och deras tjänster, vad som installerats och hur det hade konfigurerats. Då kände vi att det kan vara bra att ha noggrann dokumentation inför nästa år. Vi hörde med vår arbetsgivare om det var något de skulle vara intresserade av och han tyckte det lät som en jättebra idé. Dessa guider kommer då att spara mycket möda och besvär för de som ska vara nätverks-tekniker på Nordsken kommande år.
5.11 Slutsats
Allt som allt tycker vi att Nordsken gick riktigt bra. Det fanns 396 datorplatser och nästan alla
var bokade och det trådade nätverket de använde fungerade bra, eftersom vi inte fick några
klagomål från deltagarna. För Crew som använde det trådlösa fick vi en hel del klagomål tills
vi löst problemen som vi nämnde tidigare, då vi väl lyckats få en stabil om än inte snabb
uppkoppling kunde de i alla fall använda trådlösa enheter för att komma ut på internet. När
alla problem var lösta blev det väldigt lugnt för oss och då gick vi omkring och hjälpte
deltagare med problem ifall de hade några.
19
6. Litteraturlista
1.
Arnold, S. (den 14 Augusti 2012). Steve's Blog. Hämtat från stevesbog.blogspot.se:
http://stevesbog.blogspot.se/2012/08/installing-and-configuring-loganalyzer.html den 7 Maj 2013
2.
Cacti Documentation and Howtos. (u.d.). Cacti Documentation and Howtos. Hämtat från docs.cacti.net: http://docs.cacti.net/manual:087:1_installation.9_pia den 6 Maj 2013
3.
DigitalOcean. (u.d.). DigitalOcean. Hämtat från DigitalOcean.com:
https://www.digitalocean.com/community/articles/how-to-set-up-vsftpd-on-ubuntu- 12-04 den 1 Maj 2013
4.
Gowifi. (den 23 Augusti 2012). Go Wireless NZ Ltd. Hämtat från blog.gowifi.co.nz:
http://blog.gowifi.co.nz/2012/08/install-ubiquiti-unifi-controller-on.html den 8 Maj 2013
5.
Maggotbrain. (den 12 November 2012). AskUbuntu. Hämtat från askubuntu.com:
http://askubuntu.com/questions/138283/how-do-i-install-cacti-8-7i-with-pia-3-1plug- in-architecture-for-12-04-server/223723#223723 den 6 Maj 2013
6.
Ubuntu Geek. (den 14 September 2012). Ubuntu Geek. Hämtat från ubuntugeek.com:
http://www.ubuntugeek.com/how-to-install-dhcp-server-in-ubuntu-12-04-precise-
server.html den 2 Maj 2013
20
7. Bilagor
7.1 Bilaga: Lokal
21
7.2 Bilaga: Switch-placering
22
7.3 Bilaga: Förkortningslista
AP: Accesspunkt
En accesspunkt är en enhet som sprider trådlösa nätverk.
DHCP: Dynamic Host Configuration Protocol
DHCP delar dynamiskt ut IP-adresser till de enheter som efterfrågar en IP-adress.
DNS: Domain Name System
DNS är ett system för att förenkla adresseringen av datorer på nätverket och kopplar ihop domännamn med IP-adresser.
FTP: File Transfer Protocol
FTP är ett protokoll för att överföra filer mellan enheter.
IP: Internet Protocol
Är ett kommunikationsprotokoll som används vid överföring av information i nätverk.
LAMP: Linux, Apache, MySQL, PHP
Är en samling program som används för att skapa en enkel webb-server.
LTU: Luleå Tekniska Universitet
Är ett universitet med sitt huvudsäte i Luleå.
NAT: Network Address Translation
Användes för att översätta interna IP-adresser till yttre IP-adresser.
PAT: Port Address Translation
Är ett sätt att översätta flera interna IP-adresser till en yttre IP-adress genom att även översätta portnummer.
PIA: Plug-in Architecture
PIA är en mjukvara tillhörandes Cacti som installeras för att möjliggöra installation av tillägg i Cacti.
PoE: Power over Ethernet
Är ett sätt att skicka ström över ethernet-kabeln.
RSA-krypteringsnyckel: Rivest, Shamir, Adleman
Är en nyckel till en känd krypteringsalgoritm.
RSTP: Rapid Spanning Tree Protocol
Convergerar enheterna snabbare än STP efter att en ändring har gjorts i nätverket.
SFP: Small Form-Factor Pluggable Transceiver
En modul som kan kopplas till switchar för att få fler eller andra interface på enheten.
SNMP: Simple Network Management Protocol
Är ett protokoll som används för att övervaka enheter på nätverket.
SNMPD: Simple Network Management Protocol Daemon
Är en daemon för att använda SNMP på Linux.
SSH: Secure Shell
Är ett sätt att ansluta sig säkert till andra enheter över internet, då datan krypteras.
SVI: Switch Virtual Interface
Är ett virtuellt interface som man kan använda för att styra trafik.
Thold: Threshold
Är ett tillägg till Cacti för att kunna sätta gränser då larm ska skickas från enheterna.
VLAN: Virtual Local Area Network
23
VLAN är logisk segmentering av ett fysisk LAN.
VSFTPD: Very Secure FTPD
Är en FTP-servermjukvara för Linux.
VTY: Virtual Terminal Line
Det är via detta interface man kommer åt switchars konfiguration via nätverket.
Brandvägg &
NAT
I Ubuntu 12.04
2013-05-26 Sebastian Stenlund | Hadi Bitar |Robin Ågren
Innehållsförteckning
Installation och konfiguration av brandvägg med NAT-egenskaper. ... 2 Scriptet ... 2 Hur man använder scriptet ... 3
Installation och konfiguration av brandvägg med NAT-funktionalitet.
Istället för att konfigurera IP-tables manuellt valde vi att köra ett standardscript innehållande de viktigaste konfigurationerna för vårt ändamål.
Scriptet
Här nedan finns det scriptet vi använde oss av, det krävs vissa modifikationer för att det ska fungera beroende på hur nätverket är designat.
#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# delete all existing rules.
#
iptables -F
iptables -t mangle -F iptables -X
# Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT
#Allow established connections, and those not coming from the outside
#Beroende på vilket interface som används som outside/inside interface
#så kan eth0 behöva ändras.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Trusted machines
#Nätverksadressen måste ändras till den adressen som används för
#management nätverket.
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
#
#Beroende på vilket interface som används som outside/inside interface
#så kan eth0 och eth1 behöva ändras.
#Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#Beroende på vilket interface som används som outside/inside interface
#så kan eth0 behöva ändras.
#Masquerade
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#
#
# Port forwarding
# Enable routing
echo 1 > /proc/sys/net/ipv4/ip_forward
#
#
# External rules
#Nedan följer inställningar för externa regler, dessa kan
#kommenteras/avkommenteras efter behov.
#
# SSH server
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# MySQL server
2
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
# FTP server
#iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport 1024:1124 -j ACCEPT
# Apache server
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Ventrilo server
iptables -A INPUT -p tcp -m tcp --dport 3784:3785 -j ACCEPT
# RADIUS server
iptables -A INPUT -p udp -m udp --dport 1812 -j ACCEPT
# Ping
iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
#
# Routing
#Nedan följer inställningar för port forwarding, dessa kan
#kommenteras/avkommenteras efter behov.
#
# Radmin till Windows XP
iptables -A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 8000 -j DNAT --to- destination 192.168.1.5:8000
# RDP Till Windows 7 Tiny
iptables -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to- destination 192.168.1.8:3389
#
# Fucking end
#
# Packet-killer-motherfucker iptables -P INPUT DROP
Hur man använder scriptet
För att köra scriptet så börjar vi med att spara filen på valfri plats, antingen genom att överföra filen via samba/FTP eller kopiera in den i en fil via SSH.
1. För att kopiera in filen via SSH kör
sudo nano /home/username/s41iptables 2. Kopiera in texten och spara filen.
3
3. Kör sedan.
sudo bash /home/username/s41iptables 4. För att kolla om iptables har uppdaterats kör.
sudo iptables -L
4
Cacti, Thold och Monitor
I Ubuntu 12.04
2013-05-20 Sebastian Stenlund | Hadi Bitar | Robin Ågren
Innehållsförteckning
Installation och konfiguration av Cacti med pluginen Thold och Monitor... 2 Cacti ... 2 Plugins ... 4 Lägga till enheter ... 5 Mail ... 5
Installation och konfiguration av Cacti med pluginen Thold och Monitor.
Cacti
1. Installera LAMP och SSH vid installationen av Ubuntu 12.04.
2. Börja med att sätta en fast IP-adress.
3. Installera snmp och snmpd.
sudo apt-get install snmp sudo apt-get install snmpd
4. Byt namn på konfigurationsfilen från ”snmpd.conf” till ”snmpd.conf.org”.
sudo mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.org
5. Skapa en ny fil med namnet ”snmpd.conf” och öppna den.
sudo nano /etc/snmp/snmpd.conf
6. Lägg till följande rader.
rwcommunity private rocommunity public
7. Öppna ”/etc/default/snmpd”.
sudo nano /etc/default/snmpd
8. Ändra SNMPDOPTS raden så att den ser ut så här
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'
2
9. Starta om snmpd.
service snmpd restart
10. Börja med att installera python-software-properties för att göra det möjligt att lägga till custom repositories.
sudo apt-get install python-software-properties
11. Lägg sedan till repositoryn ”micahg”.
sudo add-apt-repository ppa:micahg/ppa
12. Tryck enter för att bekräfta.
13. Kör sedan.
sudo apt-get update
För att uppdatera apt-get registret.
14. Installera sedan Cacti med kommandot.
sudo apt-get install cacti
15. Tryck enter.
16. Välj apache2.
17. Ange mysql lösenord.
18. Besök ”http://ip-adress/cacti/”.
19. Tryck next tills installationen är slutförd.
20. Använd användarnamn admin och lösenord admin för att logga in.
3
21. Skriv sedan in det lösenord som du vill använda två gånger.
22. Installera sedan Cacti Spine för effektivare polling.
sudo apt-get install cacti-spine
Plugins
1. Besök ”http://docs.cacti.net/plugins” för att hitta plugins till Cacti. Vi valde att installera Thold och Monitor.
2. För att installera plugins gå in i ”/usr/local/share/cacti/plugins/”.
cd /usr/local/share/cacti/plugins/
3. Ladda ner Monitor pluginet.
sudo wget http://docs.cacti.net/_media/plugin:monitor-v1.3-1.tgz
4. Byt namn på filen från ”plugin\:monitor-v1.3-1.tgz” till ”monitor-v1.3-1.tgz”.
sudo mv plugin\:monitor-v1.3-1.tgz monitor-v1.3-1.tgz
5. Packa upp filen.
sudo tar -xvf monitor-v1.3-1.tgz
6. Gå in i Cacti och klicka på Plugin Management i menyn, allternativt gå till ”http://ip- adress/cacti/plugins.php”.
7. Klicka först på den blå pilen för att installera Monitor klicka sen på den gröna pilen för att starta pluginet.
8. Om man nu klickar på Monitor fliken så möts man av ett felmeddelande. Detta löses genom att skapa en mjuklänk mellan ”/usr/local/share/cacti/” och
”/usr/share/cacti/site/include”.
cd /usr/local/share/cacti/
sudo ln -s ../../../share/cacti/site/include/ ./
9. För att installera Thold gå in i.
cd /usr/local/share/cacti/plugins/
10. Ladda ner Thold pluginet.
sudo wget http://docs.cacti.net/_media/plugin:thold-v0.4.9-3.tgz
11. Byt namn på filen från ”plugin\:thold-v0.4.9-3.tgz” till ”thold-v0.4.9-3.tgz”.
sudo mv plugin\:thold-v0.4.9-3.tgz thold-v0.4.9-3.tgz
12. Packa upp filen.
sudo tar -xvf thold-v0.4.9-3.tgz
13. Gå in i Cacti och klicka på Plugin Management i menyn, alternativt gå till ”http://ip- adress/cacti/plugins.php”.
4
14. Klicka först på den blå pilen för att installera Thold klicka sen på den gröna pilen för att starta pluginet.
15. För att köra Thold så krävs även pluginet Settings.
16. För att installera Settings, gå in i.
cd /usr/local/share/cacti/plugins/
17. Ladda ner Settings pluginet.
sudo wget http://docs.cacti.net/_media/plugin:settings-v0.71-1.tgz
18. Byt namn på filen från ”plugin\:settings-v0.71-1.tgz” till ”settings-v0.71-1.tgz”.
sudo mv plugin\:settings-v0.71-1.tgz settings-v0.71-1.tgz
19. Packa upp filen.
sudo tar -xvf settings-v0.71-1.tgz
20. Gå in i Cacti och klicka på Plugin Management i menyn, alternativt gå till ”http://ip- adress/cacti/plugins.php”.
21. Klicka först på den blå pilen för att installera Settings klicka sen på den gröna pilen för att starta pluginet.
Lägga till enheter
1. För att lägga till enheter gå till ”http://ip-adress/cacti/host.php”.
2. Klicka på Add.
3. Fyll i Hostname, IP-adress, vilken Host Template som ska användas, vilken SNMP version samt SNMP Community.
4. För att göra det möjligt för Cacti att skicka mail vid händelser så gå till ”http://ip- adress/cacti/settings.php” och klicka på Mail/DNS fliken.
1. Fyll i fältet Test Email med den email-adress som du vill att meddelandet ska skickas till
2. Välj SMTP i dropdown menyn Mail Services.
3. I fälten From Email Address och From Name så kan valfritt namn och email-adress fyllas i.
4. Fyll i SMTP-hostname, Port, Username och Password, detta måste vara giltiga inställningar för att mailfunktionen ska fungera.
5. Fyll i Primary DNS IP Adress, förslagsvis Googles.
5
6
ISC-DHCP- Server
I Ubuntu 12.04
2013-05-22 Sebastian Stenlund | Hadi Bitar | Robin Ågren
Innehållsförteckning
Installation och konfiguration av ISC-DHCP-Server. ... 2 Vår konfiguration ... 4
Installation och konfiguration av ISC-DHCP-Server.
1. För att installera ISC-DHCP-Server i Ubuntu kör.
sudo apt-get install isc-dhcp-server
2. Öppna och editera filen /etc/default/isc-dhcp-server ändra INTERFACES=”eth0” till korrekt interface.
3. Byt namn på filen dhcpd.conf till dhcpd.conf.back för att göra en backup.
sudo mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.back 4. Skapa och editera filen dhcpd.conf, i den konfigureras DHCP-servern.
sudo nano /etc/dhcp/dhcpd.conf
5. Börja med att skriva in de parametrar som gäller för alla scopes dvs. ddns-update-style, default- lease-time, max-lease-time, authoritative, log-facility local7 och option domain-name-servers.
6. Fyll sedan i de parametrar som är individuella för varje scope dvs. namn, subnät, nätmask, range och option routers. Bilden nedan visar ett exempel.
2
7. Starta om DHCP-tjänsten.
sudo service isc-dhcp-server restart
8. Om DHCP-tjänsten inte startar korrekt sök efter skrivfel i dhcpd.conf.
3
Vår konfiguration
4
FTP
I Ubuntu 12.04
2013-05-24 Sebastian Stenlund | Hadi Bitar | Robin Ågren
Innehållsförteckning
Installation och konfiguration av FTP ... 2
Installation och konfiguration av FTP
1. Börja med att installera vsftpd.
sudo apt-get install vsftpd
2. Öppna konfigurationsfilen “/etc/vsftpd.conf”.
sudo nano /etc/vsftpd.conf
3. Ändra raden ”anonymous_enable”=YES till ”anonymous_enable=NO”.
4. Avkommentera ”#local_enable=YES” så att det står ”local_enable=YES”.
5. Avkommentera ”#write_enable=YES” så att det står ”write_enable=YES”.
6. Avkommentera ” #chroot_local_user=YES” så att det står ”chroot_local_user=YES”.
2
7. Skapa en ny mapp i ”/home/username/” vi har valt att döpa den till files.
mkdir /home/username/files
8. Ändra rättigheterna på den mappen.
sudo chown root:root /home/username
9. Starta om vsftpd.
sudo service vsftpd restart
10. Gå nu till ” ftp://ip-adress/” för att bekräfta att FTPn fungerar.
3
Ubiquiti UniFi Controller
I Ubuntu 12.04
2013-05-24 Sebastian Stenlund | Hadi Bitar | Robin Ågren
Innehållsförteckning
Installation av Ubiquiti UniFi Controller i Ubuntu 12.04 ... 2 Installera MongoDB ... 2 Installera UniFi Controller ... 2
Installation av Ubiquiti UniFi Controller i Ubuntu 12.04 Installera MongoDB
1. Importera 10gens publika GPG-nyckel.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 7F0CEB10
2. Skapa och editera filen ”/etc/apt/sources.list.d/10gen.list”.
sudo nano /etc/apt/sources.list.d/10gen.list
3. Lägg till raden.
deb http://downloads-distro.mongodb.org/repo/ubuntu-upstart dist 10gen
4. Kör sedan en update av apt-get registret.
sudo apt-get update
5. Installera sedan mongodb-10gen.
sudo apt-get install mongodb-10gen
Installera UniFi Controller
1. Lägg till följande rad i slutet av ”/etc/apt/sources.list”.
deb http://www.ubnt.com/downloads/unifi/distros/deb/precise precise ubiquiti
2. Lägg till GPG-nyckeln.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
2
3. Kör sedan en update av apt-get registret.
sudo apt-get update
4. Installera UniFi.
sudo apt-get install unifi
5. Surfa till https://ip-adress:8443 för att se om det fungerar.
6. Välj språk och land och tryck Next.
7. Om du har enheter kopplade till samma nätverk och de är nollställda så syns de här men gör de inte det så fortsätt ändå genom att trycka Next.
8. Fyll i SSID för det trådlösa nätverket samt lösenord, klicka sedan Next.
9. Fyll i användarnamn och lösenord för administratörkontot och klicka på Next.
10. Se till så att allt stämmer och klicka på Finish för att slutföra installationen.
3
Konfiguration Core
Sebastian Stenlund | Hadi Bitar | Robin Ågren
Innehållsförteckning
Konfiguration Core ... 2
Konfiguration Core
!
version 12.2 service pad
service timestamps debug datetime msec service timestamps log datetime localtime service password-encryption
!
hostname CORE3560G
!
boot-start-marker boot-end-marker
!
enable secret 5 $1$WGZw$KvzJozycB0a4OVu1Mw/XX1
!
username Lager3 secret 5 $1$W5R2$Jqj74s6ETt/Wu4G.79QBs/
aaa new-model
!
!
aaa authentication login default local
!
!
!
aaa session-id common system mtu routing 1500 vtp mode transparent ip subnet-zero
ip routing
no ip domain-lookup
ip domain-name network.nordsken.se
!
!
!
!
crypto pki trustpoint TP-self-signed-2674227968 enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2674227968 revocation-check none
rsakeypair TP-self-signed-2674227968
!
!
crypto pki certificate chain TP-self-signed-2674227968 certificate self-signed 01
30820255 308201BE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32363734 32323739 3638301E 170D3933 30333031 30303031
33315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
2