ค้นหาเว็บไซต์

ซีรี่ส์ RHCE: วิธีการตั้งค่าและทดสอบการกำหนดเส้นทางเครือข่ายแบบคงที่ - ตอนที่ 1


RHCE (วิศวกรที่ผ่านการรับรอง Red Hat) คือใบรับรองจากบริษัท Red Hat ซึ่งให้ระบบปฏิบัติการและซอฟต์แวร์โอเพ่นซอร์สแก่ชุมชนองค์กร นอกจากนี้ยังให้การฝึกอบรม การสนับสนุน และ บริการให้คำปรึกษาแก่บริษัท

RHCE (วิศวกรที่ผ่านการรับรอง Red Hat) นี้เป็นการสอบวัดผลการปฏิบัติงาน (ชื่อรหัส EX300) ซึ่งมีทักษะ ความรู้ และความสามารถเพิ่มเติม ต้องการของผู้ดูแลระบบอาวุโสที่รับผิดชอบระบบ Red Hat Enterprise Linux (RHEL)

ข้อสำคัญ: จำเป็นต้องมีการรับรองผู้ดูแลระบบที่ได้รับการรับรองจาก Red Hat (RHCSA) จึงจะได้รับการรับรอง RHCE

ต่อไปนี้คือวัตถุประสงค์ของการสอบตามเวอร์ชัน Red Hat Enterprise Linux 7 ซึ่งจะครอบคลุมในชุด RHCE นี้:

หากต้องการดูค่าธรรมเนียมและลงทะเบียนสอบในประเทศของคุณ โปรดดูหน้าการรับรอง RHCE

ใน ส่วนที่ 1 ของซีรีส์ RHCE และตอนถัดไป เราจะนำเสนอกรณีพื้นฐานแต่โดยทั่วไปซึ่งหลักการของการกำหนดเส้นทางแบบคงที่ การกรองแพ็กเก็ต และการแปลที่อยู่เครือข่าย เข้าสู่การเล่น

โปรดทราบว่าเราจะไม่ครอบคลุมเนื้อหาเหล่านี้ในเชิงลึก แต่จะจัดระเบียบเนื้อหาเหล่านี้ในลักษณะที่จะเป็นประโยชน์ในการเริ่มก้าวแรกและสร้างจากจุดนั้น

การกำหนดเส้นทางแบบคงที่ใน Red Hat Enterprise Linux 7

สิ่งมหัศจรรย์อย่างหนึ่งของระบบเครือข่ายสมัยใหม่คือความพร้อมของอุปกรณ์มากมายที่สามารถเชื่อมต่อกลุ่มคอมพิวเตอร์ได้ ไม่ว่าจะมีจำนวนค่อนข้างน้อยและจำกัดอยู่ในห้องเดียวหรือหลายเครื่องในอาคาร เมือง ประเทศ หรือข้ามทวีปเดียวกัน

อย่างไรก็ตาม เพื่อให้บรรลุผลสำเร็จอย่างมีประสิทธิผลในทุกสถานการณ์ แพ็กเก็ตเครือข่ายจำเป็นต้องได้รับการกำหนดเส้นทาง หรืออีกนัยหนึ่งคือ เส้นทางที่แพ็กเก็ตเหล่านั้นติดตามจากต้นทางไปยังปลายทางจะต้องถูกควบคุมด้วยวิธีใดวิธีหนึ่ง

การกำหนดเส้นทางแบบคงที่เป็นกระบวนการในการระบุเส้นทางสำหรับแพ็กเก็ตเครือข่ายอื่นที่ไม่ใช่ค่าเริ่มต้น ซึ่งจัดเตรียมโดยอุปกรณ์เครือข่ายที่เรียกว่าเกตเวย์เริ่มต้น เว้นแต่จะระบุไว้เป็นอย่างอื่นผ่านการกำหนดเส้นทางแบบคงที่ แพ็กเก็ตเครือข่ายจะถูกส่งไปยังเกตเวย์เริ่มต้น ด้วยการกำหนดเส้นทางแบบคงที่ เส้นทางอื่นๆ จะถูกกำหนดตามเกณฑ์ที่กำหนดไว้ล่วงหน้า เช่น ปลายทางแพ็กเก็ต

ให้เรากำหนดสถานการณ์ต่อไปนี้สำหรับบทช่วยสอนนี้ เรามีกล่อง Red Hat Enterprise Linux 7 ที่เชื่อมต่อกับเราเตอร์ #1 [192.168.0.1] เพื่อเข้าถึงอินเทอร์เน็ตและเครื่องใน 192.168.0.0/24

เราเตอร์ตัวที่สอง (เราเตอร์ #2) มีการ์ดอินเทอร์เฟซเครือข่ายสองการ์ด: enp0s3 ยังเชื่อมต่อกับ เราเตอร์ #1 เพื่อเข้าถึงอินเทอร์เน็ตและเพื่อการสื่อสาร ด้วยกล่อง RHEL 7 และเครื่องอื่นๆ ในเครือข่ายเดียวกัน ในขณะที่อีกเครื่องหนึ่ง (enp0s8) ถูกใช้เพื่อให้สิทธิ์การเข้าถึงเครือข่าย 10.0.0.0/24 ที่มีบริการภายในอยู่ เช่นเว็บและ/หรือเซิร์ฟเวอร์ฐานข้อมูล

สถานการณ์นี้แสดงไว้ในแผนภาพด้านล่าง:

ในบทความนี้ เราจะเน้นไปที่การตั้งค่าตารางเส้นทางบนกล่อง RHEL 7 ของเราโดยเฉพาะ เพื่อให้แน่ใจว่าทั้งสามารถเข้าถึงอินเทอร์เน็ตผ่าน เราเตอร์ #1 และเครือข่ายภายในได้ ผ่าน เราเตอร์ #2

ใน RHEL 7 คุณจะใช้คำสั่ง ip เพื่อกำหนดค่าและแสดงอุปกรณ์และเส้นทางโดยใช้บรรทัดคำสั่ง การเปลี่ยนแปลงเหล่านี้สามารถมีผลทันทีกับระบบที่ทำงานอยู่ แต่เนื่องจากจะไม่คงอยู่ตลอดในการรีบูต เราจะใช้ไฟล์ ifcfg-enp0sX และ route-enp0sX ภายใน /etc /sysconfig/network-scripts เพื่อบันทึกการกำหนดค่าของเราอย่างถาวร

ในการเริ่มต้น ให้พิมพ์ตารางเส้นทางปัจจุบันของเรา:

ip route show

จากผลลัพธ์ข้างต้น เราจะเห็นข้อเท็จจริงต่อไปนี้:

  1. ที่อยู่ IP ของเกตเวย์เริ่มต้นคือ 192.168.0.1 และสามารถเข้าถึงได้ผ่าน enp0s3 NIC
  2. เมื่อระบบบูทขึ้น ระบบจะเปิดใช้งานเส้นทาง zeroconf ไปที่ 169.254.0.0/16 (เผื่อไว้) พูดง่ายๆ ก็คือ หากเครื่องได้รับการตั้งค่าให้รับที่อยู่ IP ผ่าน DHCP แต่ไม่สามารถทำได้ด้วยเหตุผลบางประการ เครื่องจะได้รับการกำหนดที่อยู่ในเครือข่ายนี้โดยอัตโนมัติ ประเด็นสำคัญคือ เส้นทางนี้จะช่วยให้เราสื่อสารผ่าน enp0s3 กับเครื่องอื่นๆ ที่ไม่สามารถรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP ได้
  3. สุดท้ายแต่ไม่ท้ายสุด เราสามารถสื่อสารกับกล่องอื่นๆ ภายในเครือข่าย 192.168.0.0/24 ผ่านทาง enp0s3 ซึ่งมีที่อยู่ IP คือ 192.168.0.18 .

งานเหล่านี้เป็นงานทั่วไปที่คุณจะต้องดำเนินการในสภาพแวดล้อมดังกล่าว เว้นแต่จะระบุไว้เป็นอย่างอื่น งานต่อไปนี้ควรดำเนินการใน เราเตอร์ #2:

ตรวจสอบให้แน่ใจว่า NIC ทั้งหมดได้รับการติดตั้งอย่างถูกต้อง:

ip link show

หากหนึ่งในนั้นล้มลง ให้นำมันขึ้นมา:

ip link set dev enp0s8 up

และกำหนดที่อยู่ IP ในเครือข่าย 10.0.0.0/24 ให้กับ:

ip addr add 10.0.0.17 dev enp0s8

อ๊ะ! เราทำผิดพลาดในที่อยู่ IP เราจะต้องลบอันที่เรากำหนดไว้ก่อนหน้านี้ออก แล้วเพิ่มอันที่ถูกต้อง (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

ขณะนี้ โปรดทราบว่าคุณสามารถเพิ่มเส้นทางไปยังเครือข่ายปลายทางผ่านเกตเวย์ที่สามารถเข้าถึงได้เท่านั้น ด้วยเหตุนี้ เราจึงต้องกำหนดที่อยู่ IP ภายในช่วง 192.168.0.0/24 ให้กับ enp0s3 เพื่อให้กล่อง RHEL 7 ของเราสามารถสื่อสารกับที่อยู่ดังกล่าวได้:

ip addr add 192.168.0.19 dev enp0s3

สุดท้ายนี้ เราจะต้องเปิดใช้งานการส่งต่อแพ็กเก็ต:

echo "1" > /proc/sys/net/ipv4/ip_forward

และหยุด/ปิดการใช้งาน (ในขณะนี้ - จนกว่าเราจะครอบคลุมการกรองแพ็กเก็ตในบทความถัดไป) ไฟร์วอลล์:

systemctl stop firewalld
systemctl disable firewalld

ย้อนกลับไปในช่อง RHEL 7 ของเรา (192.168.0.18) มากำหนดค่าเส้นทางเป็น 10.0.0.0/24 ถึง 192.168.0.19 (enp0s3 ใน เราเตอร์ #2):

ip route add 10.0.0.0/24 via 192.168.0.19

หลังจากนั้นตารางเส้นทางจะมีลักษณะดังนี้:

ip route show

ในทำนองเดียวกัน ให้เพิ่มเส้นทางที่เกี่ยวข้องในเครื่องที่คุณพยายามเข้าถึงใน 10.0.0.0/24:

ip route add 192.168.0.0/24 via 10.0.0.18

คุณสามารถทดสอบการเชื่อมต่อพื้นฐานได้โดยใช้ ping:

ในกล่อง RHEL 7 ให้เรียกใช้

ping -c 4 10.0.0.20

โดยที่ 10.0.0.20 คือที่อยู่ IP ของเว็บเซิร์ฟเวอร์ในเครือข่าย 10.0.0.0/24

ในเว็บเซิร์ฟเวอร์ (10.0.0.20) ให้เรียกใช้

ping -c 192.168.0.18

โดยที่ 192.168.0.18 คือที่อยู่ IP ของเครื่อง RHEL 7 ของเรา

อีกทางหนึ่ง เราสามารถใช้ tcpdump (คุณอาจต้องติดตั้งด้วย yum install tcpdump) เพื่อตรวจสอบการสื่อสารแบบ 2 ทางผ่าน TCP ระหว่างกล่อง RHEL 7 ของเราและเว็บเซิร์ฟเวอร์ที่ 10.0.0.20 .

โดยมาเริ่มการบันทึกในเครื่องแรกด้วย:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

และจากเทอร์มินัลอื่นในระบบเดียวกันให้ telnet ไปยังพอร์ต 80 ในเว็บเซิร์ฟเวอร์ (สมมติว่า Apache กำลังฟังบนพอร์ตนั้น มิฉะนั้น ให้ระบุ พอร์ตที่ถูกต้องในคำสั่งต่อไปนี้):

telnet 10.0.0.20 80

บันทึก tcpdump ควรมีลักษณะดังนี้:

ในกรณีที่การเชื่อมต่อเริ่มต้นอย่างถูกต้อง ดังที่เราสามารถบอกได้โดยดูที่การสื่อสาร 2 ทางระหว่างกล่อง RHEL 7 ของเรา (192.168.0.18) และเว็บเซิร์ฟเวอร์ (< แข็งแกร่ง>10.0.0.20)

โปรดจำไว้ว่าการเปลี่ยนแปลงเหล่านี้จะหายไปเมื่อคุณรีสตาร์ทระบบ หากคุณต้องการทำให้ไฟล์เหล่านี้คงอยู่ คุณจะต้องแก้ไข (หรือสร้าง (หากยังไม่มี) ไฟล์ต่อไปนี้ ในระบบเดียวกับที่เราดำเนินการคำสั่งข้างต้น

แม้ว่าจะไม่จำเป็นอย่างเคร่งครัดสำหรับกรณีทดสอบของเรา แต่คุณควรทราบว่า /etc/sysconfig/network มีพารามิเตอร์เครือข่ายทั้งระบบ /etc/sysconfig/network โดยทั่วไปจะมีลักษณะดังนี้:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

เมื่อพูดถึงการตั้งค่าตัวแปรและค่าเฉพาะสำหรับ NIC แต่ละตัว (เช่นเดียวกับที่เราทำกับเราเตอร์ #2) คุณจะต้องแก้ไข /etc/sysconfig/network-scripts/ifcfg-enp0s3 และ /etc/sysconfig/network-scripts/ifcfg-enp0s8

ภายหลังกรณีของเรา

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

และ

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

สำหรับ enp0s3 และ enp0s8 ตามลำดับ

สำหรับการกำหนดเส้นทางในเครื่องไคลเอ็นต์ของเรา (192.168.0.18) เราจะต้องแก้ไข /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

ตอนนี้ รีบูต ระบบของคุณ และคุณควรเห็นเส้นทางนั้นในตารางของคุณ

สรุป

ในบทความนี้ เราได้กล่าวถึงสิ่งสำคัญของการกำหนดเส้นทางแบบคงที่ใน Red Hat Enterprise Linux 7 แม้ว่าสถานการณ์อาจแตกต่างกันไป แต่กรณีที่นำเสนอในที่นี้แสดงให้เห็นถึงหลักการที่จำเป็นและขั้นตอนในการปฏิบัติงานนี้ ก่อนที่จะสรุป ฉันขอแนะนำให้คุณดูบทที่ 4 ของส่วน การรักษาความปลอดภัยและเพิ่มประสิทธิภาพ Linux ในไซต์โครงการเอกสาร Linux เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับหัวข้อที่กล่าวถึงที่นี่

eBook ฟรีเกี่ยวกับ การรักษาความปลอดภัยและการเพิ่มประสิทธิภาพ Linux: โซลูชันการแฮ็ก (v.3.0) – eBook 800+ เล่มนี้ประกอบด้วยคอลเลกชันเคล็ดลับการรักษาความปลอดภัยของ Linux ที่ครอบคลุม และวิธีการใช้งานอย่างปลอดภัยและง่ายดาย เพื่อกำหนดค่าแอปพลิเคชันและบริการบน Linux

ดาวน์โหลดเดี๋ยวนี้

ในบทความถัดไป เราจะพูดถึงการกรองแพ็กเก็ตและการแปลที่อยู่เครือข่ายเพื่อสรุปทักษะพื้นฐานด้านเครือข่ายที่จำเป็นสำหรับการรับรอง RHCE

เช่นเคย เราหวังว่าจะได้รับการติดต่อจากคุณ ดังนั้นอย่าลังเลที่จะฝากคำถาม ความคิดเห็น และข้อเสนอแนะของคุณโดยใช้แบบฟอร์มด้านล่าง