Nms.fjfi.cvut.cz

From NMS
Revision as of 13:26, 29 September 2014 by Vokacpet (Talk | contribs) (Ostatní)

Jump to: navigation, search
Servery / Služby
Přístupné komukoliv
windows
srk
linux / unix
kmlinux
Omezený/individuální účet
linux / unix
bimbo · buon(KF) · km(KM) · lenochod(KJR) · linux · node(KM) · sunrise(KF) · unixlab(KFE) · vkstat(KM)
Služby
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www
Učebny
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115
Ostatní
Network · Blokované porty
[edit] · [view]

Základní informace o nms (Trojanova)

Správce 
Petr Vokáč
HW 
Supermicro X8STE, Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz, 12GB RAM, 2x250 SATA HDD (Intel RAID1), chasis 2U (6x3.5 HDD)
OS 
CentOS6
Využití 
Network Monitoring, User Account Configuration, WiFiFJFI, FJFI VPN Server, Admin Wiki, DHCP, caching DNS, ...
Konto 
---

Základní informace o nms-br (Břehová)

Správce 
Petr Vokáč
HW 
ASUS 1U server RS120-E5/PA4, Intel(R) Xeon(R) CPU X3220 @ 2.40GHz, 4GB RAM, 2x250GB SATA HDD (RAID1)
OS 
CentOS7
Využití 
Network monitoring for Břehová, WiFiFJFI, DHCP, caching DNS, Network device registration support, ...
Konto 
---

Základní informace o nms-vh (Trója)

Správce 
Petr Vokáč
HW 
Asus AT5NM10-I Mini-ITX, CPU Atom 510, 2GB RAM
OS 
CentOS6
Využití 
Network monitoring for Trója, IPv6 router for Trója, DHCP, caching DNS, Network device registration support, ...
Konto 
---

Základní informace o nms-dp (Děčín)

Správce 
Petr Vokáč
HW 
Dell PowerEdge SC430, Intel(R) Pentium(R) 4 CPU 2.80GHz, 2.5GB RAM, HDD 80GB
OS 
CentOS6
Využití 
Network Monitoring for Děčín, DHCP, caching DNS, WiFiFJFI, ...
Konto 
---

Puppet

  • server 3.1.1 běží na nms.fjfi.cvut.cz (2.6.x verze nespolupracují s 3.x klienty), novější je i facter
  • pro zpřístupnění konfigurací se používá rubygem-passenger, konfigurace /etc/httpd/conf.d/puppet.conf
  • po instalaci z RPM je potřeba doinstalovat některé standardní moduly
puppet module install puppetlabs-stdlib
puppet module install puppetlabs-ntp
...
  • pro puppet server je možné používat alias puppet.fjfi.cvut.cz (funkční/důvěryhodné certifikáty serveru)
  • slouží ke konfiguraci zákládních služeb na serveru
    • fnspe_rsyslog -- centrální logování
    • fnspe_krb5 -- konfigurace kerberos klienta
    • fnspe_dns -- caching DNS (bind)
    • fnspe_ntp -- NTP client
    • fnspe_openvpn -- OpenVPN konfigurace (pro přístup k lokálním privátním subnetům)

DHCP

  • failover konfigurace (druhý server vždy v Trojance s vyjímkou Trojanka-Břehovka)
    • DHCP relay na CISCO
      • Břehová - VLAN1 relay (147.32.9.2, 147.32.9.4, 147.32.9.66), VLAN9 147.32.9.66
      • Trojanova - VLAN1 relay (147.32.9.2, 147.32.9.4, 147.32.9.66), VLAN9 147.32.9.2, VLAN13 relay (147.32.9.2, 147.32.9.4, 147.32.9.66)
      • Trója - VLAN1 147.32.25.2 + realy (147.32.9.2, 147.32.9.4)
  • konfigurace z informací o registrovaných zařízeních

RADVD

  • zkonfigurováno na FJFI zakončení IPv6 tunelů, tj. nms-br, nms-tr, nms-vh

Ostatní

  • konfigurace parametrů jádra (sysctl.conf) - puppet
  • konfigurace síťových rozhraní - /etc/sysconfig/network-scripts/ifcfg-*
  • konfigurace firewallu (iptables, ip6tables, ipset)
yum install iptables-services ipset
# add missing ipset startup script from Fedora 20 ipset-service package
systemctl disable firewalld
systemctl enable ipset
systemctl enable iptables
systemctl enable ip6tables
# create configuration files using Iptables.py script
  • puppet agent
# install puppet client
rpm -Uvh http://mirror.slu.cz/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
yum install puppet
echo "server = puppet.fjfi.cvut.cz" >> /etc/puppet/puppet.conf
# apply puppet configuration for this node and enable automatic updates
puppet agent -t -d
systemctl enable puppet
systemctl start puppet
  • arpmon
yum install MySQL-python python-ldap python-netaddr libnet
rpm -Uvh python-pycap-0.2-14.el7.x86_64.rpm arpmon-0.9.16-0.noarch.rpm
# use backup of configs /etc/arpmon.conf.enp3s0*
systemctl enable arpmon@enp3s0.service
systemctl start arpmon@enp3s0.service
  • bacula
yum install bacula-client
# use backup of /etc/bacula/bacula-fd.conf
systemctl enable bacula-fd
systemctl start bacula-fd
  • ipsec (libreswan)
    • zabezpečené spojení mezi NMS servery (tj. včetně dat v GRE tunelech pro privátní adresy)
    • používá lokálně vygenerované vzájemně důvěryhodné certifikáty
  • httpd (konfigurace wififjfi logování)
  • tftp-server
  • presmerovani mailu pro root uzivatele /etc/aliases + newaliases
  • dinfo konfigurace
  • konfigurace cron tasků