Vybavení a konfigurace lokalit

Z VirtlabWiki

Verze z 16:55, 13. 9. 2007 Mil051 (Diskuse | příspěvky) (→Servery) ← Předchozí porovnání		Aktuální verze Kuc274 (Diskuse | příspěvky) (→Lokalita Filakovo)
Řádka 1:		Řádka 1:
-	== Lokalita VSB-Poruba ==	+	'''POZOR: V konfiguračních souborech popisujících připojení rozhraní a konzolí laboratorních prvků píšeme jména prvků i rozhraní výhradně malými písmeny.'''
-	=== Servery ===	+	== Lokalita Ostrava ==
-	OS: Debian Etch.	+	Lokalita VŠB-Technická univerzita Ostrava, kat. informatiky FEI / CNAP RCNA
		+	* Zařízení z projektu Cesnet: 2xASA5510, 4xC2960
		+	* [http://config.viakis.net/equipment.php#ostrava Seznam laboratorních prvků]
		+	* [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=ostrava vybaveni.xml]
		+	* [http://config.viakis.net/configfile.php?site=ostrava Implicitní konfigurace prvků lokality Ostrava]
-	* Rezervační, konfigurační, konzolový, aktivační a mazací server: 4U Abacus z produkčního Virtlabu (pořízený VŠB).
-	* Tunelovací server - 1U Abacus (pořízený z grantu Cesnetu). Z počátku možná bude také provozován na 4U serveru, pozdeji bychom ho měli přesunout, aby nám provoz z laboratorní konfigurace nemohl znepřístupnit řídící GUI Virtlabu.
-	* XEN: 1U Abacus z produkčního Virtlabu (pořízený z grantu FRVŠ na síťové prvky).
-	R2 - C2501
-	RAM 6144K/2048K, Flash: 16384K, IOS: c2500-is-l.120-28d.bin
-	Processor board ID 21875569
-	*Ethernet0
-	*Serial0
-	*Serial1
-	R3 - C2501	+	== Lokalita Karviná ==
-	RAM 6144K/2048K, Flash: 8192K, IOS: c2500-is-l.120-28d.bin	+
-	Processor board ID	+
-	*Ethernet0	+
-	*Serial0	+
-	*Serial1	+
-	R0 - C4000M+	+	Lokalita Obchodně-podnikatelská fakulta v Karviné, Slezská univerzita v Opavě / CNAP LCNA
-	RAM 32768K/4096K, Flash: 4096K, IOS: c4000-is-mz.120-28d.bin	+	* Zařízení z projektu Cesnet: Cisco PIX501, 2x C3560, 4x C2960, C2811
-	Processor board ID 5015077	+	* Z VŠB zapůjčeno 8 ks kabelů Cisco SmartSerial-RS232 DTE a MOXA karta PCI.
-	*Ethernet0	+	* [http://config.viakis.net/equipment.php?site=karvina Seznam laboratorních prvků]
-	*Ethernet1	+	* [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=karvina vybaveni.xml]
-	*Serial0	+	* [http://config.viakis.net/configfile.php#karvina Implicitní konfigurace prvků lokality Karviná]
-	*Serial1	+
-	*Serial2	+
-	*Serial3	+
-	R6 - C4500M ???	+	== Lokalita Filakovo (POZOR: LOKALITA ZRUSENA!!!!!!!) ==
-	RAM 32768K/8192K, Flash: 8192K/4096K, IOS: c4500-i-mz.121-15.bin	+
-	Processor board ID 01804219	+
-	*Ethernet0	+
-	*Ethernet1	+
-	*Serial0	+
-	*Serial1	+
-	R7 - C4500M ???	+	Testovací lokalita Filakovo
-	RAM 32768K/8192K, Flash: 8192K/4096K, IOS: c4500-i-mz.121-15.bin	+	* [http://config.viakis.net/equipment.php?site=filakovo Seznam laboratorních prvků]
-	Processor board ID 03426741	+	* [http://config.viakis.net/getfile.php?config=vybaveni.xml&site=filakovo vybaveni.xml]
-	*Ethernet0	+	* [http://config.viakis.net/configfile.php?#filakovo Implicitní konfigurace prvků lokality Filakovo]
-	*Ethernet1	+
-	*Serial0	+
-	*Serial1	+
-	R8 - C4500M ???	+	== ACL mezi Internetem a jednotlivými lokalitami ==
-	RAM 32768K/8192K, Flash: 8192K/4096K, IOS: c4500-i-mz.121-15.bin	+
-	Processor board ID 01847000	+
-	*Ethernet0	+
-	*Ethernet1	+
-	*Serial0	+
-	*Serial1	+
-	R9 - C4500M ???	+	Všechny softwarové servery běží zatím v obou lokalitách na jednom PC. Později bude vhodné tunelovací server oddělit, aby tunelovaný provoz laboratorní sítě neovlivňoval výkon PC se systémovými servery Virtlabu a WWW rozhraním.
-	RAM 32768K/8192K, Flash: 8192K/4096K, IOS: c4500-i-mz.121-15.bin	+
-	Processor board ID 01943599	+
-	*Ethernet0	+
-	*Ethernet1	+
-	*Serial0	+
-	*Serial1	+
-	R5 - C26???	+	Na řídící server v každé lokalitě je nutné z Internetu pustit tento provoz:
-	== Lokalita SLU-Karvina ==	+	* HTTP, HTTPS odkudkoli - webové rozhraní
		+	** HTTP redirectován na HTTPS, využíváme výhradně HTTPS
		+	* TCP/10000 odkudkoli - přístup na konzole laboratorních prvků z appletu ve webovém rozhraní uživatelů
		+	* IPSec tunely z ostatních lokalit (v cílové konfiguraci full mesh tunelů)
		+	** zatím tunel mezi virtlab.cs.vsb.cz a virtlab.opf.slu.cz (ESP)
-	* Rezervační, konfigurační, tunelovací, konzolový, aktivační a mazací server: 1U Abacus (pořízený z grantu Cesnetu). MOXA karta. Trunk do segment virtuálního spojovacího pole pomocí USB Ethernet karty, která podporuje 802.1q stanardním způsobem.
-	* XEN: Předinstalovaný dodá Lukáš Macura
-	=== Servery ===	+	=== Bezpečnostní opatření ===
-	OS: Debian Etch.	+	[[Private:Zabezpečení serverů]]
-	RA - C2620XM ???	+	=== Porty jednotlivých serverů ===
-	RAM 94208K/4096K, Flash: 32768K, IOS: C2600-JK8O3S-M, 12.2(23)	+
-	Processor board ID ???	+
-	*FastEthernet0/0	+
-	*FastEthernet0/1	+
-	*Serial0/0	+
-	*Serial0/1	+
-	RB - C2620XM	+	common.h
-	RAM 94208K/4096K, Flash: 32768K ??? , IOS: C2600-JK8O3S-M, 12.2(23)	+
-	Processor board ID JAE07350M93	+
-	*FastEthernet0/0	+
-	*Serial0/0	+
-	*Serial0/1	+
-	RC - C2620XM	+	<pre>
-	RAM ???, Flash: ??? , IOS: ???	+	// Implicitni port consoloveho serveru
-	Processor board ID JAE07350M9W	+	#define DEFAULT_PORT 10000
-	*FastEthernet0/0	+	#define STR_DEFAULT_PORT "10000"
-	*Serial0/0	+	// Port tulenlovaciho serveru
-	*Serial0/1	+	#define TUN_SERVER_PORT 40001
		+	#define UDP_RESEND_PORT 40002
		+	// port of RS protocol
		+	#define RSVSRV_PORT 50001
		+	// port of AS protocol
		+	#define ACT_SERVER_PORT 50002
		+	// port konfiguracniho serveru/
		+	#define CONF_PORT_NUM 60001
		+	// port mazaciho serveru
		+	#define ERASE_PORT_NUM 60002
-	RD - cisco 2621XM	+	PORTSETTER 60003
-	RAM: 93184K/5120K, Flash: 32768K, IOS: C2600-ENTSERVICESK9-M, 12.3(3h)	+	</pre>
-	Processor board ID JAE07390JYT (1492337352)	+
-	*FastEthernet0/1	+
-	*Serial0/0	+
-	*Serial0/1	+
-	SW1 - C3560-24TS	+	=== Konfigurace XEN serverů ===
-	RAM 118784K/12280K, IOS: c3560-ipbase-mz.122-25.SEB4.bin	+	Konfigurace je v lokalitě karvina i ostrava shodná.
-	Motherboard serial number : CAT094704F1	+
-	*FastEthernet0/1-FastEthernet0/24	+
-	*GigabitEthernet0/1	+
-	*GigabitEthernet0/2	+
-	SW2 - C3550-12T	+	* Management XEN serveru po vnitřní síti přes VLAN1 na adrese 10.0.0.100.
-	RAM: 65526K/8192K, IOS: c3550-i5k2l2q3-mz.121-14.EA1.bin	+	* Jsou trvale vytvořené instance '''PC0@ostrava - PC9@ostrava''', resp. '''PC0@karvina - PC9@karvina'''. Jejich eth0 jsou připojeny na VLAN 1000-1009 (v obou lokalitách stejně).
-	Motherboard serial number: CAT070905E3	+	* Přístup na konzoly je přes TCP 10.0.0.100 port 10000-10009
-	*GigabitEthernet0/1-GigabitEthernet0/12	+
-	SW3 - C2950T-24	+
-	RAM 20839K, IOS: c2950-i6q4l2-mz.121-13.EA1.bin", 12.1(13)EA1	+
-	Motherboard serial number: FOC07360GNL	+	=== Systém přiřazení portů laboratorních prvků do VLAN ===
-	*FastEthernet0/1-FastEthernet0/24	+
-	*GigabitEthernet0/1	+	VLAN, do které je přiřazeno každé Ethernet rozhraní laboratorního prvku, se určí podle schematu
-	*GigabitEthernet0/2	+
		+	'''Spp'''
		+
		+	kde S je číslo spojovacího přepínače VLMUX C3560/C3550 (1,2) a pp je číslo portu případně doplněné na 2 pozice zleva nulou.
		+
		+	Jednotlivé porty C3550/C3560 připojující laboratorní zařízení jsou konfigurovány jako QinQ tunely s přiřazenou VLAN podle výše uvedeného systému. Porty spojující VLMUXy, připojující XEN a vedoucí k tunnel serveru jsou konfigurovány jako trunk. MTU je na obou VLMUX globálně nastaveno na 1500+4 (2xQinQ hlavička). Konfigurace je pevně uložena ve Flash.
		+
		+	=== VLANy používané pro generování virtuálních topologií vyžádaných jednotlivými lokalitami ===
		+
		+	* Lokální VLANy všech lokalit: 4001+
		+	** mohou se opakovat, protože se nikdy netunelují, slouží pro držení portů "up" a izolovaně od ostatních
		+	* ostrava: 2-499
		+	* karviná 500-999
		+
		+	== Zálohování ==
		+
		+	=== Karviná ===
		+
		+	Zálohování pomocí Amanda (spouštěno přes inetd)
		+
		+	* Automaticky zálohované /opt/virtlab, /etc, /boot /lib/modules
		+	* /usr/local/bin/backup - pre-backup skript (věci k backupování zkopíruje do /var/backups, který zálohuje Amanda)
		+	** spouštěno z Cron (denně 0:30)
		+	** obsahuje dump MySQL
		+	** další datové soubory Virtlabu jsou v /opt/virtlab/data, ty se zkopírují s /opt/virtlab automaticky
		+	* Amanda začíná zálohovat 0:45
		+
		+
		+	=== Ostrava ===
		+
		+	Bude doplněno, po dohodě s CIT.
		+
		+	== Implicitní konfigurace laboratorních prvků (startup-config) ==
		+	<pre>
		+	hostname XXX
		+	no ip domain-lookup
		+	no service config
		+	line con 0
		+	logging synchronous
		+	interface I
		+	shutdown
		+	mtu 1492
		+	! na Ethernetech, kvuli 2-nasobnemu taggingu 802.1q, Karvinsky tunserver (USB-Ethernet) neumi prenest
		+	! vetsi MTU (musi byt vsude, tedy i v Ostrave)
		+	</pre>
		+
		+
		+	[https://svn.cs.vsb.cz/websvn/listing.php?repname=virtlab&path=%2FDISTR%2FCONFIGS%2FPRODUCTION%2Fostrava%2FDEVICES-DEFAULT-CONFIGS%2F&rev=0&sc=0 Implicitní konfigurace prvků lokality Ostrava]
		+
		+	[https://svn.cs.vsb.cz/websvn/listing.php?repname=virtlab&path=%2FDISTR%2FCONFIGS%2FPRODUCTION%2Fkarvina%2FDEVICES-DEFAULT-CONFIGS%2F&rev=0&sc=0 Implicitní konfigurace prvků lokality Karviná]
		+
		+
		+	[[Kategorie:Vybavení a konfigurace lokalit]]

---

Aktuální verze

POZOR: V konfiguračních souborech popisujících připojení rozhraní a konzolí laboratorních prvků píšeme jména prvků i rozhraní výhradně malými písmeny.

Obsah 1 Lokalita Ostrava 2 Lokalita Karviná 3 Lokalita Filakovo (POZOR: LOKALITA ZRUSENA!!!!!!!) 4 ACL mezi Internetem a jednotlivými lokalitami 4.1 Bezpečnostní opatření 4.2 Porty jednotlivých serverů 4.3 Konfigurace XEN serverů 4.4 Systém přiřazení portů laboratorních prvků do VLAN 4.5 VLANy používané pro generování virtuálních topologií vyžádaných jednotlivými lokalitami 5 Zálohování 5.1 Karviná 5.2 Ostrava 6 Implicitní konfigurace laboratorních prvků (startup-config)

Lokalita Ostrava

Lokalita VŠB-Technická univerzita Ostrava, kat. informatiky FEI / CNAP RCNA

• Zařízení z projektu Cesnet: 2xASA5510, 4xC2960
• Seznam laboratorních prvků
• vybaveni.xml
• Implicitní konfigurace prvků lokality Ostrava

Lokalita Karviná

Lokalita Obchodně-podnikatelská fakulta v Karviné, Slezská univerzita v Opavě / CNAP LCNA

• Zařízení z projektu Cesnet: Cisco PIX501, 2x C3560, 4x C2960, C2811
• Z VŠB zapůjčeno 8 ks kabelů Cisco SmartSerial-RS232 DTE a MOXA karta PCI.
• Seznam laboratorních prvků
• vybaveni.xml
• Implicitní konfigurace prvků lokality Karviná

Lokalita Filakovo (POZOR: LOKALITA ZRUSENA!!!!!!!)

Testovací lokalita Filakovo

• Seznam laboratorních prvků
• vybaveni.xml
• Implicitní konfigurace prvků lokality Filakovo

ACL mezi Internetem a jednotlivými lokalitami

Všechny softwarové servery běží zatím v obou lokalitách na jednom PC. Později bude vhodné tunelovací server oddělit, aby tunelovaný provoz laboratorní sítě neovlivňoval výkon PC se systémovými servery Virtlabu a WWW rozhraním.

Na řídící server v každé lokalitě je nutné z Internetu pustit tento provoz:

• HTTP, HTTPS odkudkoli - webové rozhraní
  • HTTP redirectován na HTTPS, využíváme výhradně HTTPS
• TCP/10000 odkudkoli - přístup na konzole laboratorních prvků z appletu ve webovém rozhraní uživatelů
• IPSec tunely z ostatních lokalit (v cílové konfiguraci full mesh tunelů)
  • zatím tunel mezi virtlab.cs.vsb.cz a virtlab.opf.slu.cz (ESP)

Bezpečnostní opatření

Private:Zabezpečení serverů

Porty jednotlivých serverů

common.h

// Implicitni port consoloveho serveru
#define DEFAULT_PORT 10000
#define STR_DEFAULT_PORT "10000"
// Port tulenlovaciho serveru
#define TUN_SERVER_PORT 40001
#define UDP_RESEND_PORT 40002
// port of RS protocol
#define RSVSRV_PORT 50001
// port of AS protocol
#define ACT_SERVER_PORT 50002
// port konfiguracniho serveru/
#define CONF_PORT_NUM 60001
// port mazaciho serveru
#define ERASE_PORT_NUM 60002

PORTSETTER 60003

Konfigurace XEN serverů

Konfigurace je v lokalitě karvina i ostrava shodná.

• Management XEN serveru po vnitřní síti přes VLAN1 na adrese 10.0.0.100.
• Jsou trvale vytvořené instance PC0@ostrava - PC9@ostrava, resp. PC0@karvina - PC9@karvina. Jejich eth0 jsou připojeny na VLAN 1000-1009 (v obou lokalitách stejně).
• Přístup na konzoly je přes TCP 10.0.0.100 port 10000-10009

Systém přiřazení portů laboratorních prvků do VLAN

VLAN, do které je přiřazeno každé Ethernet rozhraní laboratorního prvku, se určí podle schematu

Spp

kde S je číslo spojovacího přepínače VLMUX C3560/C3550 (1,2) a pp je číslo portu případně doplněné na 2 pozice zleva nulou.

Jednotlivé porty C3550/C3560 připojující laboratorní zařízení jsou konfigurovány jako QinQ tunely s přiřazenou VLAN podle výše uvedeného systému. Porty spojující VLMUXy, připojující XEN a vedoucí k tunnel serveru jsou konfigurovány jako trunk. MTU je na obou VLMUX globálně nastaveno na 1500+4 (2xQinQ hlavička). Konfigurace je pevně uložena ve Flash.

VLANy používané pro generování virtuálních topologií vyžádaných jednotlivými lokalitami

• Lokální VLANy všech lokalit: 4001+
  • mohou se opakovat, protože se nikdy netunelují, slouží pro držení portů "up" a izolovaně od ostatních
• ostrava: 2-499
• karviná 500-999

Zálohování

Karviná

Zálohování pomocí Amanda (spouštěno přes inetd)

• Automaticky zálohované /opt/virtlab, /etc, /boot /lib/modules
• /usr/local/bin/backup - pre-backup skript (věci k backupování zkopíruje do /var/backups, který zálohuje Amanda)
  • spouštěno z Cron (denně 0:30)
  • obsahuje dump MySQL
  • další datové soubory Virtlabu jsou v /opt/virtlab/data, ty se zkopírují s /opt/virtlab automaticky
• Amanda začíná zálohovat 0:45

Ostrava

Bude doplněno, po dohodě s CIT.

Implicitní konfigurace laboratorních prvků (startup-config)

hostname XXX
no ip domain-lookup
no service config
line con 0
 logging synchronous
interface I
 shutdown
 mtu 1492
! na Ethernetech, kvuli 2-nasobnemu taggingu 802.1q, Karvinsky tunserver (USB-Ethernet) neumi prenest
! vetsi MTU (musi byt vsude, tedy i v Ostrave)

Implicitní konfigurace prvků lokality Ostrava

Implicitní konfigurace prvků lokality Karviná