При настройке любого сетевого оборудования, в т.ч. маршрутизаторов NSG, настоятельно рекомендуется соблюдать последовательность действий "снизу-вверх" по стеку протоколов. После каждого этапа необходимо, по возможности, убедиться в работоспособности сделанных настроек. Пока у вас не настроены все нижележащие уровни, вышестоящие уровни возможно настраивать только вслепую, никак не проверяя их; это приводит к вероятным ошибкам сразу в нескольких местах конфигурации, и вы будете очень долго метаться по ней, отыскивая ошибки наугад.
- Общая настройка системы (в части, не требующей подключения к сети): имя устройства, часовой пояс, локальные пользователи, псевдо-интерфейсы и т.п.
- Настройка физических портов, связанных с ними протоколов канального уровня и IP-интерфейсов над этими портами, и/или механизмов Ethernet (аппаратный коммутатор, bridge groups, bond groups).
Если предполагается перенастраивать порт eth0
и/или его встроенный коммутатор, настоятельно рекомендуется, в первую очередь, сконфигурировать для доступа к устройству какой-либо другой порт и переключиться на него. Если устройство не имеет выделенного консольного порта, рекомендуется назначить свободному порту RS–232 инкапсуляцию login
и подготовить консольный кабель для работы с ним.
Проверка: порты, работающие в сеансовом режиме (сотовые, Ethernet с настройкой по DHCP) должны получить адреса и другие параметры соединения — см. журнал и состояние порта. ping с устройства проходит на другие хосты в непосредственно подключённых сетях.
- Настройка IP-маршрутизации и NAT — ключевой функциональности маршрутизатора. Для маршрутов, принимаемых в процессе динамической настройки интерфейсов (PPP, DHCP) — проверить, что они действительно принимаются.
Проверка: ping с устройства проходит на любые интересующие IP-адреса.
- Настройка системы в части, требующей подключения к сети: клиент DNS, клиент NTP и т.п.
Проверка: ping с устройства проходит на любые интересующие хосты, указанные по доменным именам.
- Настройка прикладных служб (сервер DHCP, ретранслятор DNS, netping, обработчик событий и др.). Настройка средств управления. Настоятельно рекомендуется включить HTTPS и SSH, выключить Telnet, заблокировать HTTP (порт TCP 80) фильтром.
- Настройка туннелей. В зависимости от типа туннелей, может разделяться на два этапа: настройка собственно туннелей и настройка маршрутизации в них (аналогично пп. 2 и 3).
Проверка: требуемые хосты доступны через туннели.
- Настройка фильтров.
Проверка: Все настроенные службы продолжают работать, все требуемые хосты остаются доступны, запрещённые действия и маршруты — действительно недоступны.
- Чистка конфигурации. Рекомендуется удалить из конфигурации все излишние элементы: оставшиеся от неправильных фрагментов конфигурации, дублирующие друг друга, или тождественные установкам по умолчанию. Более короткая конфигурация не только легче читается, но и уменьшает вероятность ошибок и быстрее обрабатывается при старте системы. Понизить уровни детализации журналов до разумных значений, если они были увеличены в процессе отладки.
ВНИМАНИЕ! На момент подключения устройства к сетям общего пользования (в т.ч. сотовым) на нём должен быть установлен непустой пароль для пользователя nsg и, если открыт доступ для пользователя root, то обязательно содержательный пароль (длинный, случайный) для него.
На момент постановки устройства в регулярную эксплуатацию по окончании настройки необходимо установить содержательный пароль для пользователя nsg. Доступ для пользователя root следует запретить, если он требовался только в процессе настройки. Если он необходим по существу в процессе эксплуатации, то рекомендуется настроить доступ по ключам SSH и запретить доступ по паролю. В крайнем случае, необходимо использовать очень длинный и случайный пароль.