DOKUMENTACJA TECHNICZNA DO PROJEKTU:



Podobne dokumenty
Zakresy prywatnych adresów IPv4: / / /24

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

System kontroli dostępu ACCO NET Instrukcja instalacji

Laboratorium Ericsson HIS NAE SR-16

4. Podstawowa konfiguracja

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Backup łącza WAN- ISDN jako łącze zapasowe WAN1

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

pasja-informatyki.pl

Telefon IP 620 szybki start.

Zadania do wykonania Firewall skrypt iptables

Telefon AT 530 szybki start.

ABA-X3 PXES v Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Serwer DHCP (dhcpd). Linux OpenSuse.

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Sieciowa instalacja Sekafi 3 SQL

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Kasowanie domyślnej konfiguracji Konfiguracja wstępna. Nadanie adresu IP i bramy domyślnej Konfiguracja nowego hotspota...

Problemy techniczne SQL Server

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Instrukcja instalacji v2.0 Easy Service Manager

CENNIK USŁUG TELEKOMUNIKACYJNYCH

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

QuickStart TechBase S.A. Technical contact - support.techbase.eu 1/8

UNIFON podręcznik użytkownika

Instrukcja konfiguracji programu Fakt z modułem lanfakt

1. INSTALACJA SERWERA

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

System operacyjny Linux

Backup łącza WAN WAN2 jako łącze zapasowe WAN1

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Bramka IP 1 szybki start.

DESlock+ szybki start

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

INSTRUKCJA OBSŁUGI SUPLEMENT

Laboratorium 2.8.2: Zaawansowana konfiguracja tras statycznych

Procedura wdrożeniowa program MERKURY QUATTRO wer. 1.0

Skrócona instrukcja konfiguracji połączeń sieciowych

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Usługi sieciowe systemu Linux

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

instrukcja INSTALACJI APi_proxy

Konfiguracja własnego routera LAN/WLAN

Instrukcja konfiguracji CONNECT GW

GPON Huawei HG8245/HG8245T/HG8245H

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Instrukcja obsługi programu CMS Dla rejestratorów HANBANG

Praca w sieci z serwerem

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

Instrukcja konfiguracji funkcji skanowania

SIECI KOMPUTEROWE Adresowanie IP

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Bramka IP 2R+L szybki start.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Urządzenie InelNET-01 służy do sterowania radiowym systemem SSN-04R firmy INEL poprzez internet.

instrukcja instalacji modemu SpeedTouch 605s

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Serwer druku w Windows Server

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

11. Autoryzacja użytkowników

Black Box. Gateway. Bridge. Wireless ISP. Tryb Gateway.

Rejestratory Trend szybka konfiguracja do obsługi przez sieć.

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Kancelaria Prawna.WEB - POMOC

Szybki start instalacji SUSE Linux Enterprise Server 11 SP1

1. Montaż i podłączenie do sieci Konfiguracja przez stronę 8

NWA1300-NJ. Skrócona instrukcja obsługi. Punkt dostępowy b/g/n PoE do montażu w ścianie

Podręcznik instalacji Command WorkStation 5.6 z aplikacjami Fiery Extended Applications 4.2

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Działanie komputera i sieci komputerowej.

Panel Konta - instrukcja. Warszawa, 2013 r

Instalacja i konfiguracja konsoli ShadowControl Instrukcja dla użytkownika

DHL CAS ORACLE Wymagania oraz instalacja

Pomoc: konfiguracja PPPoE

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Konfiguracja połączenia internetowego serwera w pracowni Microsoft

1. Rejestracja Partnera

Uwaga!!! Założono, że router jest poprawnie podłączony i skonfigurowany do obsługi dostępu do Internetu.

Zadanie1: Wykorzystując serwis internetowy Wikipedii odszukaj informacje na temat usługi DHCP.

ibok Internetowe Biuro Obsługi Klienta

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Instrukcja instalacji Control Expert 3.0

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

SERWER AKTUALIZACJI UpServ

T: Zabezpieczenie dostępu do komputera.

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

PODŁĄCZENIE I KONFIGURACJA APARATU SIEMENS GIGASET A510IP (v )

INSTRUKCJA INSTALACJI I KONFIGURACJI APLIKACJI WEBSOFT CEIDG MONITOR

Instrukcja użytkownika

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Transkrypt:

DOKUMENTACJA TECHNICZNA DO PROJEKTU: SERWER AUTORYZUJĄCY + WYDAJNY ROUTER ISP Niniejszy podręcznik stanowi dokumentację techniczną do projektu umieszczonego pod adresem www.vberry.net i jest jego integralną częścią. 1. Czym różni się router i serwer autoryzujący w wykonaniu marki vberry.net od innych tego typu projektów? Zasadniczą różnicą jest podejście do zagadnienia z perspektywy średniego i dużego dostawcy usług internetowych (ISP). Router został zaprojektowany z myślą o uzyskaniu jak najwyższej wydajności w zadaniach kształtowania pasma ruchu użytkowników. Zastosowano technikę tablic mieszających (hash tables) oraz narzędzie list adresów (ipset), które pozwalają znacząco obniżyć zużycie procesora, co przekłada się na możliwość obsłużenia większej ilości klientów przez jeden router. Dodatkowo skonfigurowany serwer radius, pozwala zastosować autoryzację klientów pppoe na węzłach końcowych sieci szkieletowej w celu zabezpieczenia dostępu oraz rozłożenia obciążenia po wielu serwerach pppoe. Serwer radius skonfigurowany został również do autoryzacji klientów radiowych po adresie mac. Serwer został wyposażony w opcjonalny interfejs użytkownika LMS. 2. Założenia. Założenia użytkowe i techniczne dokonane na etapie projektowania systemu: Router wraz z serwerem autoryzującym radius instalowany jest na wersji netinstall systemu debian. Po instalacji router i serwer autoryzujący przyjmują domyślną konfigurację adresów i są natychmiast gotowe do użycia. Do użytkowania systemu nie są wymagane żadne umiejętności z zakresu obsługi systemu linux, wszystkie operacje związane z zarządzaniem klientami można wykonać z poziomu panelu www (LMS). Cała konfiguracja routera przechowywana jest w jednym katalogu /etc w postaci plików tekstowych. Projekt ten można bezproblemowo doinstalować do już istniejących instalacji. Na podstawie tekstowych plików konfiguracyjnych, przy użyciu skryptów generowane są pliki konfiguracyjne dla usług: freeradius (autoryzacja), bind (dns cache), dhcpd (automatyczny przydział adresów ip).

Wszystkie skrypty niezbędne do działania routera zostały napisane w języku powłoki systemowej bash, co zwiększa ich kompatybilność oraz prostotę w zarządzaniu lub ewentualnej modyfikacji. Na routerze domyślnie instalowany jest interfejs do zarządzania bazą klientów LMS (Lan Management System www.lms.org.pl), jednak jest to usługa opcjonalna, ponieważ konfiguracja niezbędna do działania routera i serwera autoryzującego znajduje się w plikach tekstowych. LMS został wyposażony w konfigurację, która w domyślnym ustawieniu umożliwia automatyczne generowanie plików konfiguracyjnych routera na podstawie danych pobranych z panelu LMS. Kod oraz struktura bazy LMS nie zostały w żaden sposób zmienione i są w 100% kompatybilne z oryginalną wersją projektu LMS. Router posiada dwa interfejsy sieciowe eth1 (dostęp do Internetu WAN) i eth0 (sieć szkieletowa operatora ISP). Na karcie sieciowej eth1 może znajdować się dowolny adres IP lub kilka przypisywany przez serwer dhpc lub wpisany statycznie. Na karcie sieciowej eth0 przypisane są statyczne adresy IP zdefiniowane w domyślnej konfiguracji. Po stronie interfejsu eth0 dopuszczalne są tylko podsieci z maską 255.255.255.0 (/24), ze względu na ograniczenia techniczne zastosowane w skryptach. Oznacza to, że w pliku konfiguracyjnym vberry_subnets wszystkie podsieci są traktowane z maską /24. 3. Domyślna konfiguracja. W panelu LMS skonfigurowane są trzy podsieci do wykorzystania dla klientów: Panel LMS oraz konsola SSH dostępne są pod adres IP routera 10.2.1.1 z poziomu podsieci technicznej, oraz od strony WAN pod adresem ip przypisanym przez usługę dhcp. Dostępność portów można zmienić w pliku vberry_local. Adres lms: http://10.2.1.1/lms, adres phpmyadmin: http://10.2.1.1/pma. Domyślny login i hasło do panelu LMS to admin/admin, natomiast do konsoli SSH taki jaki był ustawiony podczas instalacji systemu. KLIENCI1 10.1.1.0/24, KLIENCI2 10.1.2.0/24 klienci sieci z adresami niepublicznymi. KLIENCI_PUBLIC1 152.1.1.0/24 klienci z sieci z przedzielonymi adresami publicznymi (przykładowa podsieć, dla celów demonstracyjnych) Podsieć 10.0.0.1/24 nie jest widoczna w panelu LMS jest z założenia podsiecią do której przypisywani są klienci nie występujący w konfiguracji serwera DHCP (nie znani np. nowo podłączone komputery). Czas życia dzierżawy dla tej podsieci został ustawiony na 120 sekund, dzięki czemu po dodaniu nowego klienta i przeładowaniu konfiguracji bardzo szybko nowa stacja otrzyma prawidłowy adres IP umożliwiający dostęp do Internetu. NAS 10.2.1.0/24 jest to podsieć techniczna, w której znajdują się i komunikują urządzenia szkieletowe, stacje bazowy, itp.

Przeznaczenie każdej z podsieci zostało oznaczone w panelu LMS przy pomocy wpisu w polu domena. Na tej podstawie generator plików konfiguracyjnych (lmsd), rozpoznaje przeznaczenie poszczególnych podsieci. 4. Pliki konfiguracyjne routera /etc/www_vberry_net. a. Skrypty wykonywalne: FW_RELOAD główny skrypt służący do przeładowania konfiguracji. Wywołuje wygenerowanie nowej konfiguracji z bazy lms (jeśli wybrano opcję pracy z panelem LMS), po czy sprawdza, które pliki konfiguracyjne zostały zmienione i przeładowuje odpowiednie usługi. Dzięki temu nie jest konieczne przeładowanie całości konfiguracji przy każdej zmianie. Dodatkowo skrypt po przeładowaniu archiwizuje poprzednio działającą konfigurację w katalogu /etc/www_vberry_net/_configurations_/previous. Aktualnie uruchomioną konfigurację skrypt kopiuje do katalogu /etc/www_vberry_net/_configurations_/current. rc.deny skrypt odpowiedzialny za dodawanie adresów ip do listy ipset, klientów którzy mają zablokowany (ograniczony) internet. rc.deny_unlock skrypt odblokowujący dostęp do Internetu. Wywoływany jest przez serwer www w momencie kiedy klient ma zdjętą blokadę Internetu, a mimo to jego adres widnieje na liście ipset klientów zablokowanych. Wtedy umożliwia to odblokowanie użytkownikowi dostępu zanim nastąpi przeładowanie cykliczne konfiguracji. rc.dhcp generuje pliki konfiguracyjne dla serwera dhcpd. rc.firewall głowny skrypt firewalla iptables. rc.iparp skrypt tworzący listę powiązań adresów ip z adresami mac tworzy odpowiedni zestaw ipset. rc.lmsd skrypt wywołujący demona lmsd (jeden raz, opcja q), co powoduje wygenerowanie konfiguracji na podstawie danych znalezionych w bazie mysql. Zdjęcie praw do wykonywania dla tego skryptu umożliwia pracę systemu, bez korzystania z panelu www. rc.qos skrypt Quality of Service tworzący zestaw kolejek na interfejsie od strony Internetu (WAN) w celu zapewnienia lepszej jakości usług na przeciążonych łączach. Skrypt posiada zaimplementowany algorytm drzewka, co oznacza, że nowe połączenie jest przydzielane do klasy o najwyższym priorytecie, następnie po przesłaniu 5MB przesuwane jest do klasy o priorytecie -1, następnie po przesłaniu 50MB ponownie przesuwane jest do klasy -1, następnie tak samo dla 500MB. Pakiety udp długości < niż 500 bajtów trafiają do oddzielnej klasy priorytetowej wraz z pakietami ack oraz icmp. Jest to prosty algorytm zapewniający płynne działanie usługą www (wraz z https), email, telefonii voip, grą online. Jeśli posiadasz dużo pasma, polecam wyłączyć skrypt rc.qos całkowicie, jeśli jest nie potrzebny. Odpowiednia ilość pasma jest najlepszym warrantem jakości usług! rc.speed skrypt tworzy kolejki i filtry dla ograniczania prędkości klientów do wartości ustalonej w abonamentach (taryfach). Wykorzystuje on wydajny mechanizm

hashtables (tablice mieszające), dzięki czemu opóźnienia pakietów są dużo niższy, a interaktywność usług większa w przypadku dużej ilości klientów. Każda podsieć /24 to jest regułka w firewallu (iptables), a nie tak jak w przypadku klasycznego rozwiązania 254 regułki. rc.warning działanie takie jak w przypadku rc.deny, tylko że tym razem załączane jest wyświetlanie komunikatu informacyjnego. rc.warning_unlock skrypt uruchamiany przez serwer www w chwili kliknięcia przez użytkownika przycisku odblokuj na stronie z komunikatem. Powoduje usunięcie adresu klienta z listy ipset odpowiadającej za wyświetlanie komunikatu. b. Pliki konfiguracyjne: vberry_all jest to plik zawierający listę wszystkich komputerów klienckich w sieci i ich powiązanie z loginem. vberry_classid2speed jest to plik przypisujący prędkości abonamentowe kolejką htb do których następnie przydzielany jest ruch od hostów danego klienta. vberry_ip2classid jest to plik wiążący adresy ip hostów danego klienta z odpowiednią klasą htb. Razem z plikiem vberry_classid2speed stanowią kompletną informację o tym, które adresy ip przydzielić do jakich kolejek htb/hfsc i jakie im nadać prędkości. vberry_conf jest to główny plik konfiguracyjny zawierający ustawienia prędkości łącza WAN i LAN, prędkości zarezerwowane dla kolejek priorytetowych, nazwy interfejsów WAN i LAN, ograniczenie ilości połączeń per adres ip. Można ustawić czy do ograniczania taryf/abonamentów stosować mechanizm htb czy hfsc (htb domyślnie). Prędkość LAN zalecamy ustawić na wartość zgodną z fizyczną przepływnością karty sieciowej w routerze. Wartość WAN ustawić równą prędkości łącza do Internetu jeśli opóźnienia (latency) są niestabilne można obniżyć tą wartość o wartość od 1-10% całej wykupionej przepływności. vberry_deny lista komputerów, które nie mają dostępu do Internetu jest ograniczony. vberry_local dostęp do portów lokalnych serwera. Definiuje reguły dla polityki wejściowej (INPUT) routera, czyli pozwala odblokować port dla usług uruchomionych lokalnie (na routerze). vberry_mac plik zawiera powiązanie par ip-mac w celu filtracji błędnych adresów ip. vberry_nas plik zawierający listę urządzeń NAS (network access server), czyli koncentratorów pppoe, stacji bazowych WiFi wszystkich urządzeń, które mają mieć dostęp do lokalnego serwera radius. Domyślnie wszystkie hosty z podsieci sprzętowej (10.1.2.0/24) mają dostęp do serwera radius z hasłem: NAS_ALL. Z tego względu nie jest konieczne definiowanie wszystkich urządzeń nas w panelu lms. Jeśli chcemy, aby każde urządzenie NAS posiadało swoje hasło dostępu do serwera radius, należy zdefiniować odpowiednie urządzenia i ich dane logowania. vberry_speed plik zawierający powiązania ip prędkość abonamentowa, ale w postaci jeden adres ip jedna kolejka. Jest on wykorzystywany przez serwer pppoe w

przypadku ograniczania pasma na serwerze pppoe (np. Mikrotik). Wtedy prędkość abonamentowa jest dzielona przez ilość hostów jakie posiada klient. vberry_subnet lista podsieci jakie obsługuje router. Odpowiednie adresy ip na interfejsie LAN muszą być dodane ręcznie. vberry_warning lista adresów ip, którym należy wyświetlić komunikat z wiadomością. 5. Zarządzanie przy pomocy panelu www (LMS) lub bez użycia panelu. a. Przy pomocy LMS. Konfiguracja sprawdzana jest co 3 minuty czas domyślny po instalacji. Czas ten można zmienić w pliku /etc/cron.d/lmsd (podmieniamy wpis */3 na wybraną wartość < 60). Skrypt FW_RELOAD sprawdzi co się zmieniło w konfiguracji i w razie potrzeby przeładuje tylko te usługi/skrypty których zmiany dotyczą. Ręczne przeładowanie konfiguracji można uruchomić poprzez uruchomienie skryptu: /etc/www_vberry_net/fw_reload b. Bez użycia panelu LMS, z poziomu plików tekstowych. Aby korzystać z routera w tym trybie należy wyłączyć generowanie konfiguracji przez demona lmsd. W tym celu należy z konta root wydać komendę: chmod x /etc/www_vberry_net/rc.lmsd Ponowne włączenie lmsd następuje po wydaniu komendy: chmod +x /etc/www_vberry_net/rc.lmsd Ręczne przeładowanie konfiguracji można uruchomić poprzez uruchomienie skryptu: /etc/www_vberry_net/fw_reload Plik, które należy edytować znajdują się w katalogu: /etc/www_vberry_net Wszystkie inne pliki znajdujące się w podkatalogach generowane są automatycznie na ich podstawie.

6. Przeładowanie konfiguracji. Konfiguracja przechowywana jest w katalogu /etc/www_vberry_net, a przeładowanie następuje po uruchomieniu skryptu FW_RELOAD. Skrypt ten jest regularnie uruchamiany przez usługę cron (domyślnie co 3 minuty), czas ten możemy zmienić w pliku /etc/cron.d/lmsd. Jeśli nie korzystamy z panelu lms i zdjęliśmy prawa wykonywania z pliku /etc/www_vberry_net/rc.lmsd, wtedy skrypt FW_RELOAD nie będzie uruchamiany automatycznie przez usługę cron, wymagane jest aby administrator uruchamiał go ręcznie po dokonaniu zmian w plikach konfiguracyjnych, co jest naturalnym działaniem. Administrator decyduje w takim przypadku o momencie wprowadzenia w życie nowej konfiguracji. Aktualnie działają na routerze konfiguracja znajduje się w katalogu /etc/www_vberry_net/_configurations_/current i umożliwia poprzez ręczne skopiowanie do katalogu /etc/www_vberry_net/ cofnięcie zmian wprowadzonych do plików konfiguracyjnych, a jeszcze nie wprowadzonych w życie. Każde przeładowanie konfiguracji, w przypadku wykrycia zmiany powoduje automatyczne wykonanie kopii bezpieczeństwa aktualnie pracującej konfiguracji do katalogu /etc/www_vberry_net/_configurations_/previous. 7. Serwer radius (freeradius). Usługa radius umożliwia centralizację bazy danych użytkowników, w celu autoryzacji dostępu oraz przydzielania ograniczeń pasma przez urządzenia dostępowe NAS (Network Access Server), takie jak stacje bazowe WiFi, czy serwery PPPoE. Jest to niezmiernie wygodne narzędzie w przypadku dużych sieci. W założeniu tego projektu urządzenia dostępowe NAS znajdują się w podsieci technicznej 10.2.1.1. Sewer radius został skonfigurowany tak, że zawiera kilka instancji (równocześnie działających serwerów radius) w zależności od zastosowania. Każdy serwer pracuje na innym porcie: Port 1712 serwer autoryzujący klientów radiowych. Klienci będący w bazie (plik /etc/www_vberry_net/vberry_mac). Port 1812 autoryzacja połączeń PPPoE, bez ograniczania prędkości. Port 1912 autoryzacja połączeń PPPoE, do wartości prędkości abonamentowej/ilość hostów klienta. Serwer radius został przetestowany do pracy z oprogramowaniem Mikrotik, jeśli posiadasz urządzenia innego producenta, dla wsparcie chciałbyś dodać, a niniejsza konfiguracja nie działa napisz na forum (forum.vberry.net). Możliwe jest dodawanie każdego urządzenia NAS z oddzielnymi danymi logowania, lub skorzystanie z domyślnego wpisu, który pozwala wszystkim hostom z podsieci 10.2.10/24 na dostęp do serwera radius. Domyślne hasło do serwera radius brzmi w tym przypadku: NAS_ALL, a adres to 10.2.1.1. Jest to rozwiązanie wygodne i szybkie, gdyż nie wymaga dopisywania każdego urządzenia NAS oddzielnie. W przypadku sieci radiowych może okazać

się bardzo pożytecznym rozwiązaniem (autoryzacja mac na wielu rozproszonych punktach bazowych). 8. Uwagi. Wszelkie uwagi dotyczące niniejszej dokumentacji proszę kierować na forum.vberry.net. Postaram się je uwzględniać w miarę możliwości.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres