Linux Switch

Aus Xinux Wiki
Version vom 12. April 2025, 13:26 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ = Switch = * Für den Anfang erstellen nur einen einfachen Layer 2 Switch ohne jegliche Filterregeln * Dazu muss auf der Maschine '''bridge-utils''' installi…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Switch

  • Für den Anfang erstellen nur einen einfachen Layer 2 Switch ohne jegliche Filterregeln
  • Dazu muss auf der Maschine bridge-utils installiert werden
  • apt install bridge-utils
  • Anschließend muss eine Bridge-Schnittstelle erstellt werden, die zwischen allen anderen realen Schnittstellen weiterleiten kann
  • vim /etc/network/interfaces 
auto lo
iface lo inet loopback

auto enp0s3
iface enp0s3 inet manual

auto enp0s8
iface enp0s8 inet manual

auto enp0s9
iface enp0s9 inet manual
 
auto enp0s10
iface enp0s10 inet manual

auto br0
iface br0 inet static
 address 172.16.1xx.2/24
 gateway 172.16.1xx.1
 bridge_ports all
  • systemctl restart networking
  • Die IP-Konfiguration auf der Bridge ermöglicht Remote-Zugriff auf den Switch

Bridge Firewall

  • Auf dem Switch für das Admin-Netzwerk und das LAN werden Firewall-Regeln erstellt, die die Auflösung aus dem LAN in das Admin-Netzwerk verhindern sollen
  • vim /etc/nftables.conf 
#!/usr/sbin/nft -f

flush ruleset

define admin_port = enp0s8
define lan = 172.17.1xx.0/24

table bridge bridge_filter {
	chain postrouting {
		type filter hook postrouting priority 0; policy accept;
		oif $admin_port arp saddr ip $lan log prefix "nftables drop ARP von LAN zu Admin-Netzwerk: " drop
	}
}
  • systemctl enable --now nftables

VLANs konfigurieren

  • Als Alternative zu Bridge Firewalls können VLANs konfiguriert werden
  • Dazu muss das Modul 8021q in den Linux-Kernel geladen werden
  • apt install vlan
  • modprobe 8021q
  • Für eine persistente Lösung sollte man das Modul in die Datei /etc/modules eintragen
  • vim /etc/modules 
8021q
  • Ein Layer 2 Switch mit VLANs kann folgendermaßen konfiguriert werden: Linux Layer 2 VLAN Switch
  • Der DHCP-Server muss angepasst werden, damit die neuen Schnittstellen auch die Anfragen beantworten können
  • vim /etc/default/isc-dhcp-server 
...
INTERFACES="enp0s8.2 enp0s9"

VLAN alternative

DNS für das Labor einrichten

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • SSH-Schlüssel des Kit Hosts für User kit und root hinterlegen
  • statische IP-Adresse nach dem Netzwerkplan setzen (/etc/network/interfaces)
  • Hostname ändern zu dns
  • SSH-Server anpassen
Abgerufen von „http://wiki.ixheim.de/index.php?title=Linux_Switch&oldid=61447