Seri RHCE: Cara Mengatur dan Menguji Perutean Jaringan Statis - Bagian 1

RHCE (Red Hat Certified Engineer) adalah sertifikasi dari perusahaan Red Hat, yang memberikan sistem operasi dan perangkat lunak sumber terbuka kepada komunitas perusahaan, serta memberikan pelatihan, dukungan dan jasa konsultasi bagi perusahaan.

RHCE (Red Hat Certified Engineer) ini adalah ujian berbasis kinerja (nama kode EX300), yang memiliki keterampilan, pengetahuan, dan kemampuan tambahan diperlukan oleh administrator sistem senior yang bertanggung jawab atas sistem Red Hat Enterprise Linux (RHEL).

Penting: Sertifikasi Red Hat Certified System Administrator (RHCSA) diperlukan untuk mendapatkan sertifikasi RHCE.

Berikut adalah tujuan ujian berdasarkan ujian versi Red Hat Enterprise Linux 7, yang akan dibahas dalam seri RHCE ini:

Untuk melihat biaya dan mendaftar ujian di negara Anda, periksa halaman Sertifikasi RHCE.

Dalam Bagian 1 dari rangkaian RHCE ini dan selanjutnya, kami akan menyajikan kasus-kasus dasar namun tipikal yang mencakup prinsip-prinsip perutean statis, pemfilteran paket, dan penerjemahan alamat jaringan. ikut bermain.

Harap dicatat bahwa kami tidak akan membahasnya secara mendalam, melainkan mengatur konten ini sedemikian rupa sehingga akan berguna untuk mengambil langkah pertama dan membangun dari sana.

Perutean Statis di Red Hat Enterprise Linux 7

Salah satu keajaiban jaringan modern adalah ketersediaan luas perangkat yang dapat menghubungkan sekelompok komputer, baik dalam jumlah yang relatif kecil dan terbatas pada satu ruangan atau beberapa mesin di gedung, kota, negara, atau lintas benua yang sama.

Namun, untuk mencapai hal ini secara efektif dalam situasi apa pun, paket jaringan perlu dirutekan, atau dengan kata lain, jalur yang mereka ikuti dari sumber ke tujuan harus diatur.

Perutean statis adalah proses menentukan rute untuk paket jaringan selain default, yang disediakan oleh perangkat jaringan yang dikenal sebagai gateway default. Kecuali ditentukan lain melalui perutean statis, paket jaringan diarahkan ke gateway default; dengan perutean statis, jalur lain ditentukan berdasarkan kriteria yang telah ditentukan sebelumnya, seperti tujuan paket.

Mari kita tentukan skenario berikut untuk tutorial ini. Kami memiliki kotak Red Hat Enterprise Linux 7 yang terhubung ke router #1 [192.168.0.1] untuk mengakses Internet dan mesin di 192.168.0.0/24.

Router kedua (router #2) memiliki dua kartu antarmuka jaringan: enp0s3 juga terhubung ke router #1 untuk mengakses Internet dan berkomunikasi dengan kotak RHEL 7 dan mesin lain di jaringan yang sama, sedangkan yang lain (enp0s8) digunakan untuk memberikan akses ke jaringan 10.0.0.0/24 tempat layanan internal berada , seperti server web dan/atau database.

Skenario ini diilustrasikan dalam diagram di bawah ini:

Dalam artikel ini kami akan fokus secara eksklusif pada pengaturan tabel perutean pada kotak RHEL 7 untuk memastikan bahwa kotak tersebut dapat mengakses Internet melalui router #1 dan jaringan internal melalui router #2.

Di RHEL 7, Anda akan menggunakan perintah ip untuk mengonfigurasi dan menampilkan perangkat dan perutean menggunakan baris perintah. Perubahan ini dapat langsung diterapkan pada sistem yang sedang berjalan, namun karena perubahan tersebut tidak persisten saat reboot, kita akan menggunakan file ifcfg-enp0sX dan route-enp0sX di dalam /etc /sysconfig/network-scripts untuk menyimpan konfigurasi kita secara permanen.

Untuk memulai, mari cetak tabel routing kita saat ini:

ip route show

Dari output di atas kita dapat melihat fakta sebagai berikut:

  1. Alamat IP gateway default adalah 192.168.0.1 dan dapat diakses melalui NIC enp0s3.
  2. Saat sistem boot, rute zeroconf ke 169.254.0.0/16 diaktifkan (untuk berjaga-jaga). Singkatnya, jika suatu mesin diatur untuk mendapatkan alamat IP melalui DHCP tetapi gagal melakukannya karena alasan tertentu, maka secara otomatis diberi alamat di jaringan ini. Intinya adalah, rute ini memungkinkan kita berkomunikasi, juga melalui enp0s3, dengan mesin lain yang gagal mendapatkan alamat IP dari server DHCP.
  3. Terakhir, namun tidak kalah pentingnya, kita dapat berkomunikasi dengan kotak lain di dalam jaringan 192.168.0.0/24 melalui enp0s3, yang alamat IP-nya adalah 192.168.0.18 .

Ini adalah tugas umum yang harus Anda lakukan dalam situasi seperti itu. Kecuali ditentukan lain, tugas berikut harus dilakukan di router #2:

Pastikan semua NIC telah terinstal dengan benar:

ip link show

Jika salah satunya down, angkat:

ip link set dev enp0s8 up

dan tetapkan alamat IP di jaringan 10.0.0.0/24 ke alamat tersebut:

ip addr add 10.0.0.17 dev enp0s8

Ups! Kami membuat kesalahan dalam alamat IP. Kita harus menghapus yang kita tetapkan sebelumnya dan kemudian menambahkan yang benar (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

Sekarang, harap diperhatikan bahwa Anda hanya dapat menambahkan rute ke jaringan tujuan melalui gateway yang sudah dapat dijangkau. Oleh karena itu, kita perlu menetapkan alamat IP dalam kisaran 192.168.0.0/24 ke enp0s3 sehingga kotak RHEL 7 kita dapat berkomunikasi dengannya:

ip addr add 192.168.0.19 dev enp0s3

Terakhir, kita perlu mengaktifkan penerusan paket:

echo "1" > /proc/sys/net/ipv4/ip_forward

dan hentikan/nonaktifkan (hanya untuk saat ini – hingga kita membahas pemfilteran paket di artikel berikutnya) firewall:

systemctl stop firewalld
systemctl disable firewalld

Kembali ke kotak RHEL 7 (192.168.0.18), mari konfigurasikan rute ke 10.0.0.0/24 hingga 192.168.0.19 (enp0s3 di router #2):

ip route add 10.0.0.0/24 via 192.168.0.19

Setelah itu, tabel routingnya terlihat seperti berikut:

ip route show

Demikian pula, tambahkan rute yang sesuai di mesin yang ingin Anda jangkau di 10.0.0.0/24:

ip route add 192.168.0.0/24 via 10.0.0.18

Anda dapat menguji konektivitas dasar menggunakan ping:

Di kotak RHEL 7, jalankan

ping -c 4 10.0.0.20

dengan 10.0.0.20 adalah alamat IP server web di jaringan 10.0.0.0/24.

Di server web (10.0.0.20), jalankan

ping -c 192.168.0.18

di mana 192.168.0.18 adalah, seperti yang Anda ingat, alamat IP mesin RHEL 7 kami.

Alternatifnya, kita dapat menggunakan tcpdump (Anda mungkin perlu menginstalnya dengan yum install tcpdump) untuk memeriksa komunikasi 2 arah melalui TCP antara kotak RHEL 7 dan server web di 10.0.0.20 .

Untuk melakukannya, mari mulai login di mesin pertama dengan:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

dan dari terminal lain dalam sistem yang sama, mari telnet ke port 80 di server web (dengan asumsi Apache mendengarkan port tersebut; jika tidak, tunjukkan port yang tepat dalam perintah berikut):

telnet 10.0.0.20 80

Log tcpdump akan terlihat seperti berikut:

Dimana koneksi telah diinisialisasi dengan benar, seperti yang dapat kita ketahui dengan melihat komunikasi 2 arah antara kotak RHEL 7 kita (192.168.0.18) dan server web (< kuat>10.0.0.20).

Harap diingat bahwa perubahan ini akan hilang ketika Anda me-restart sistem. Jika Anda ingin membuatnya tetap ada, Anda perlu mengedit (atau membuat, jika belum ada) file berikut, dalam sistem yang sama tempat kami menjalankan perintah di atas.

Meskipun tidak sepenuhnya diperlukan untuk kasus pengujian kami, Anda harus tahu bahwa /etc/sysconfig/network berisi parameter jaringan seluruh sistem. /etc/sysconfig/network umumnya terlihat seperti berikut:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Ketika mengatur variabel dan nilai tertentu untuk setiap NIC (seperti yang kami lakukan untuk router #2), Anda harus mengedit /etc/sysconfig/network-scripts/ifcfg-enp0s3 dan /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Mengikuti kasus kami,

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

Dan

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

masing-masing untuk enp0s3 dan enp0s8.

Sedangkan untuk perutean di mesin klien kita (192.168.0.18), kita perlu mengedit /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Sekarang reboot sistem Anda dan Anda akan melihat rute tersebut di tabel Anda.

Ringkasan

Dalam artikel ini kami telah membahas esensi perutean statis di Red Hat Enterprise Linux 7. Meskipun skenarionya mungkin berbeda-beda, kasus yang disajikan di sini menggambarkan prinsip-prinsip dan prosedur yang diperlukan untuk melakukan tugas ini. Sebelum mengakhiri, saya menyarankan Anda untuk melihat Bab 4 dari bagian Mengamankan dan Mengoptimalkan Linux di situs Proyek Dokumentasi Linux untuk rincian lebih lanjut tentang topik yang dibahas di sini.

EBook gratis tentang Mengamankan & Mengoptimalkan Linux: Solusi Peretasan (v.3.0) – EBook 800+ ini berisi kumpulan tips keamanan Linux yang komprehensif dan cara menggunakannya dengan aman dan mudah untuk mengkonfigurasi aplikasi dan layanan berbasis Linux.

Unduh sekarang

Pada artikel berikutnya kita akan membahas tentang pemfilteran paket dan terjemahan alamat jaringan untuk merangkum keterampilan dasar jaringan yang diperlukan untuk sertifikasi RHCE.

Seperti biasa, kami menantikan tanggapan Anda, jadi silakan tinggalkan pertanyaan, komentar, dan saran Anda menggunakan formulir di bawah ini.