Vybavení a konfigurace lokalit
Z VirtlabWiki
(Rozdíly mezi verzemi)
| Verze z 04:59, 23. 8. 2007 Gry72 (Diskuse | příspěvky) ← Předchozí porovnání |
Aktuální verze Kuc274 (Diskuse | příspěvky) (→Lokalita Filakovo) |
||
| Řádka 1: | Řádka 1: | ||
| - | == Lokalita VSB-Poruba == | + | '''POZOR: V konfiguračních souborech popisujících připojení rozhraní a konzolí laboratorních prvků píšeme jména prvků i rozhraní výhradně malými písmeny.''' |
| - | == Lokalita SLU-Karvina == | + | == Lokalita Ostrava == |
| + | |||
| + | Lokalita VŠB-Technická univerzita Ostrava, kat. informatiky FEI / CNAP RCNA | ||
| + | * Zařízení z projektu Cesnet: 2xASA5510, 4xC2960 | ||
| + | * [http://config.viakis.net/equipment.php#ostrava Seznam laboratorních prvků] | ||
| + | * [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=ostrava vybaveni.xml] | ||
| + | * [http://config.viakis.net/configfile.php?site=ostrava Implicitní konfigurace prvků lokality Ostrava] | ||
| + | |||
| + | |||
| + | |||
| + | == Lokalita Karviná == | ||
| + | |||
| + | Lokalita Obchodně-podnikatelská fakulta v Karviné, Slezská univerzita v Opavě / CNAP LCNA | ||
| + | * Zařízení z projektu Cesnet: Cisco PIX501, 2x C3560, 4x C2960, C2811 | ||
| + | * Z VŠB zapůjčeno 8 ks kabelů Cisco SmartSerial-RS232 DTE a MOXA karta PCI. | ||
| + | * [http://config.viakis.net/equipment.php?site=karvina Seznam laboratorních prvků] | ||
| + | * [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=karvina vybaveni.xml] | ||
| + | * [http://config.viakis.net/configfile.php#karvina Implicitní konfigurace prvků lokality Karviná] | ||
| + | |||
| + | == Lokalita Filakovo (POZOR: LOKALITA ZRUSENA!!!!!!!) == | ||
| + | |||
| + | Testovací lokalita Filakovo | ||
| + | * [http://config.viakis.net/equipment.php?site=filakovo Seznam laboratorních prvků] | ||
| + | * [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=filakovo vybaveni.xml] | ||
| + | * [http://config.viakis.net/configfile.php?#filakovo Implicitní konfigurace prvků lokality Filakovo] | ||
| + | |||
| + | == ACL mezi Internetem a jednotlivými lokalitami == | ||
| + | |||
| + | Všechny softwarové servery běží zatím v obou lokalitách na jednom PC. Později bude vhodné tunelovací server oddělit, aby tunelovaný provoz laboratorní sítě neovlivňoval výkon PC se systémovými servery Virtlabu a WWW rozhraním. | ||
| + | |||
| + | Na řídící server v každé lokalitě je nutné z Internetu pustit tento provoz: | ||
| + | |||
| + | * HTTP, HTTPS odkudkoli - webové rozhraní | ||
| + | ** HTTP redirectován na HTTPS, využíváme výhradně HTTPS | ||
| + | * TCP/10000 odkudkoli - přístup na konzole laboratorních prvků z appletu ve webovém rozhraní uživatelů | ||
| + | * IPSec tunely z ostatních lokalit (v cílové konfiguraci full mesh tunelů) | ||
| + | ** zatím tunel mezi virtlab.cs.vsb.cz a virtlab.opf.slu.cz (ESP) | ||
| + | |||
| + | |||
| + | === Bezpečnostní opatření === | ||
| + | |||
| + | [[Private:Zabezpečení serverů]] | ||
| + | |||
| + | |||
| + | === Porty jednotlivých serverů === | ||
| + | |||
| + | common.h | ||
| + | |||
| + | <pre> | ||
| + | // Implicitni port consoloveho serveru | ||
| + | #define DEFAULT_PORT 10000 | ||
| + | #define STR_DEFAULT_PORT "10000" | ||
| + | // Port tulenlovaciho serveru | ||
| + | #define TUN_SERVER_PORT 40001 | ||
| + | #define UDP_RESEND_PORT 40002 | ||
| + | // port of RS protocol | ||
| + | #define RSVSRV_PORT 50001 | ||
| + | // port of AS protocol | ||
| + | #define ACT_SERVER_PORT 50002 | ||
| + | // port konfiguracniho serveru/ | ||
| + | #define CONF_PORT_NUM 60001 | ||
| + | // port mazaciho serveru | ||
| + | #define ERASE_PORT_NUM 60002 | ||
| + | |||
| + | PORTSETTER 60003 | ||
| + | </pre> | ||
| + | |||
| + | === Konfigurace XEN serverů === | ||
| + | Konfigurace je v lokalitě karvina i ostrava shodná. | ||
| + | |||
| + | * Management XEN serveru po vnitřní síti přes VLAN1 na adrese 10.0.0.100. | ||
| + | * Jsou trvale vytvořené instance '''PC0@ostrava - PC9@ostrava''', resp. '''PC0@karvina - PC9@karvina'''. Jejich eth0 jsou připojeny na VLAN 1000-1009 (v obou lokalitách stejně). | ||
| + | * Přístup na konzoly je přes TCP 10.0.0.100 port 10000-10009 | ||
| + | |||
| + | |||
| + | |||
| + | === Systém přiřazení portů laboratorních prvků do VLAN === | ||
| + | |||
| + | VLAN, do které je přiřazeno každé Ethernet rozhraní laboratorního prvku, se určí podle schematu | ||
| + | |||
| + | '''Spp''' | ||
| + | |||
| + | kde S je číslo spojovacího přepínače VLMUX C3560/C3550 (1,2) a pp je číslo portu případně doplněné na 2 pozice zleva nulou. | ||
| + | |||
| + | Jednotlivé porty C3550/C3560 připojující laboratorní zařízení jsou konfigurovány jako QinQ tunely s přiřazenou VLAN podle výše uvedeného systému. Porty spojující VLMUXy, připojující XEN a vedoucí k tunnel serveru jsou konfigurovány jako trunk. MTU je na obou VLMUX globálně nastaveno na 1500+4 (2xQinQ hlavička). Konfigurace je pevně uložena ve Flash. | ||
| + | |||
| + | === VLANy používané pro generování virtuálních topologií vyžádaných jednotlivými lokalitami === | ||
| + | |||
| + | * Lokální VLANy všech lokalit: 4001+ | ||
| + | ** mohou se opakovat, protože se nikdy netunelují, slouží pro držení portů "up" a izolovaně od ostatních | ||
| + | * ostrava: 2-499 | ||
| + | * karviná 500-999 | ||
| + | |||
| + | == Zálohování == | ||
| + | |||
| + | === Karviná === | ||
| + | |||
| + | Zálohování pomocí Amanda (spouštěno přes inetd) | ||
| + | |||
| + | * Automaticky zálohované /opt/virtlab, /etc, /boot /lib/modules | ||
| + | * /usr/local/bin/backup - pre-backup skript (věci k backupování zkopíruje do /var/backups, který zálohuje Amanda) | ||
| + | ** spouštěno z Cron (denně 0:30) | ||
| + | ** obsahuje dump MySQL | ||
| + | ** další datové soubory Virtlabu jsou v /opt/virtlab/data, ty se zkopírují s /opt/virtlab automaticky | ||
| + | * Amanda začíná zálohovat 0:45 | ||
| + | |||
| + | |||
| + | === Ostrava === | ||
| + | |||
| + | Bude doplněno, po dohodě s CIT. | ||
| + | |||
| + | == Implicitní konfigurace laboratorních prvků (startup-config) == | ||
| + | <pre> | ||
| + | hostname XXX | ||
| + | no ip domain-lookup | ||
| + | no service config | ||
| + | line con 0 | ||
| + | logging synchronous | ||
| + | interface I | ||
| + | shutdown | ||
| + | mtu 1492 | ||
| + | ! na Ethernetech, kvuli 2-nasobnemu taggingu 802.1q, Karvinsky tunserver (USB-Ethernet) neumi prenest | ||
| + | ! vetsi MTU (musi byt vsude, tedy i v Ostrave) | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | [https://svn.cs.vsb.cz/websvn/listing.php?repname=virtlab&path=%2FDISTR%2FCONFIGS%2FPRODUCTION%2Fostrava%2FDEVICES-DEFAULT-CONFIGS%2F&rev=0&sc=0 Implicitní konfigurace prvků lokality Ostrava] | ||
| + | |||
| + | [https://svn.cs.vsb.cz/websvn/listing.php?repname=virtlab&path=%2FDISTR%2FCONFIGS%2FPRODUCTION%2Fkarvina%2FDEVICES-DEFAULT-CONFIGS%2F&rev=0&sc=0 Implicitní konfigurace prvků lokality Karviná] | ||
| + | |||
| + | |||
| + | [[Kategorie:Vybavení a konfigurace lokalit]] | ||
Aktuální verze
POZOR: V konfiguračních souborech popisujících připojení rozhraní a konzolí laboratorních prvků píšeme jména prvků i rozhraní výhradně malými písmeny.
Obsah |
[editovat]
Lokalita Ostrava
Lokalita VŠB-Technická univerzita Ostrava, kat. informatiky FEI / CNAP RCNA
- Zařízení z projektu Cesnet: 2xASA5510, 4xC2960
- Seznam laboratorních prvků
- vybaveni.xml
- Implicitní konfigurace prvků lokality Ostrava
[editovat]
Lokalita Karviná
Lokalita Obchodně-podnikatelská fakulta v Karviné, Slezská univerzita v Opavě / CNAP LCNA
- Zařízení z projektu Cesnet: Cisco PIX501, 2x C3560, 4x C2960, C2811
- Z VŠB zapůjčeno 8 ks kabelů Cisco SmartSerial-RS232 DTE a MOXA karta PCI.
- Seznam laboratorních prvků
- vybaveni.xml
- Implicitní konfigurace prvků lokality Karviná
[editovat]
Lokalita Filakovo (POZOR: LOKALITA ZRUSENA!!!!!!!)
Testovací lokalita Filakovo
[editovat]
ACL mezi Internetem a jednotlivými lokalitami
Všechny softwarové servery běží zatím v obou lokalitách na jednom PC. Později bude vhodné tunelovací server oddělit, aby tunelovaný provoz laboratorní sítě neovlivňoval výkon PC se systémovými servery Virtlabu a WWW rozhraním.
Na řídící server v každé lokalitě je nutné z Internetu pustit tento provoz:
- HTTP, HTTPS odkudkoli - webové rozhraní
- HTTP redirectován na HTTPS, využíváme výhradně HTTPS
- TCP/10000 odkudkoli - přístup na konzole laboratorních prvků z appletu ve webovém rozhraní uživatelů
- IPSec tunely z ostatních lokalit (v cílové konfiguraci full mesh tunelů)
- zatím tunel mezi virtlab.cs.vsb.cz a virtlab.opf.slu.cz (ESP)
[editovat]
Bezpečnostní opatření
[editovat]
Porty jednotlivých serverů
common.h
// Implicitni port consoloveho serveru #define DEFAULT_PORT 10000 #define STR_DEFAULT_PORT "10000" // Port tulenlovaciho serveru #define TUN_SERVER_PORT 40001 #define UDP_RESEND_PORT 40002 // port of RS protocol #define RSVSRV_PORT 50001 // port of AS protocol #define ACT_SERVER_PORT 50002 // port konfiguracniho serveru/ #define CONF_PORT_NUM 60001 // port mazaciho serveru #define ERASE_PORT_NUM 60002 PORTSETTER 60003
[editovat]
Konfigurace XEN serverů
Konfigurace je v lokalitě karvina i ostrava shodná.
- Management XEN serveru po vnitřní síti přes VLAN1 na adrese 10.0.0.100.
- Jsou trvale vytvořené instance PC0@ostrava - PC9@ostrava, resp. PC0@karvina - PC9@karvina. Jejich eth0 jsou připojeny na VLAN 1000-1009 (v obou lokalitách stejně).
- Přístup na konzoly je přes TCP 10.0.0.100 port 10000-10009
[editovat]
Systém přiřazení portů laboratorních prvků do VLAN
VLAN, do které je přiřazeno každé Ethernet rozhraní laboratorního prvku, se určí podle schematu
Spp
kde S je číslo spojovacího přepínače VLMUX C3560/C3550 (1,2) a pp je číslo portu případně doplněné na 2 pozice zleva nulou.
Jednotlivé porty C3550/C3560 připojující laboratorní zařízení jsou konfigurovány jako QinQ tunely s přiřazenou VLAN podle výše uvedeného systému. Porty spojující VLMUXy, připojující XEN a vedoucí k tunnel serveru jsou konfigurovány jako trunk. MTU je na obou VLMUX globálně nastaveno na 1500+4 (2xQinQ hlavička). Konfigurace je pevně uložena ve Flash.
[editovat]
VLANy používané pro generování virtuálních topologií vyžádaných jednotlivými lokalitami
- Lokální VLANy všech lokalit: 4001+
- mohou se opakovat, protože se nikdy netunelují, slouží pro držení portů "up" a izolovaně od ostatních
- ostrava: 2-499
- karviná 500-999
[editovat]
Zálohování
[editovat]
Karviná
Zálohování pomocí Amanda (spouštěno přes inetd)
- Automaticky zálohované /opt/virtlab, /etc, /boot /lib/modules
- /usr/local/bin/backup - pre-backup skript (věci k backupování zkopíruje do /var/backups, který zálohuje Amanda)
- spouštěno z Cron (denně 0:30)
- obsahuje dump MySQL
- další datové soubory Virtlabu jsou v /opt/virtlab/data, ty se zkopírují s /opt/virtlab automaticky
- Amanda začíná zálohovat 0:45
[editovat]
Ostrava
Bude doplněno, po dohodě s CIT.
[editovat]
Implicitní konfigurace laboratorních prvků (startup-config)
hostname XXX no ip domain-lookup no service config line con 0 logging synchronous interface I shutdown mtu 1492 ! na Ethernetech, kvuli 2-nasobnemu taggingu 802.1q, Karvinsky tunserver (USB-Ethernet) neumi prenest ! vetsi MTU (musi byt vsude, tedy i v Ostrave)
