S小魚仔S 網誌搜尋

2021年5月28日 星期五

S小魚仔S Centos 7 安裝 Zabbix 5.0

 本次安裝採用「Centos 7」 安裝「Zabbix 5.0」這是最後一個支持版本,簡單來說「Zabbix 5.0」以後版本必須使用「Centos 8」或「Centos 8 Stream」。


#修改「電腦」名稱

hostnamectl set-hostname zabbix


#關閉「selinux 」

PS.關閉「Selinux」為「disabled」才不會阻擋「服務連線」服務

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

setenforce 0


#開啟「防火牆」允許端口

sudo firewall-cmd --add-port=80/tcp --permanent 

sudo firewall-cmd --add-port=3306/tcp --permanent 

sudo firewall-cmd --add-port=10051/tcp --permanent 

sudo firewall-cmd --add-port=10051/udp --permanent

sudo firewall-cmd --add-port=10050/tcp --permanent

sudo firewall-cmd --add-port=10050/udp --permanent

sudo firewall-cmd --reload


#安装「Zabbix Rpm」及「阿里」源

rpm -Uvh https://mirrors.aliyun.com/zabbix/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.noarch.rpm


#更換「YUM」源為「阿里雲」

PS. 如果您人在「中國」建議更換「YUM」源

sed -i 's#http://repo.zabbix.com#https://mirrors.aliyun.com/zabbix#' /etc/yum.repos.d/zabbix.repo

yum clean all

#安装「zabbix server」 和 「zabbix agent」

yum install zabbix-server-mysql zabbix-agent -y


#安装 Software Collections,便于后续安装高版本的 php,默认 yum 安装的 php 版本为 5.4 过低

yum install centos-release-scl -y


#修改「zabbix.repo」將「zabbix-frontend」底下參數改為「enabled=1」

vi /etc/yum.repos.d/zabbix.repo

[zabbix-frontend] 

enabled=1



#安装 zabbix 前端和相关环境

yum install zabbix-web-mysql-scl zabbix-apache-conf-scl -y


#安裝「mariadb server」

yum install mariadb-server -y


#啟用「mariadb」並設定「開機啟動」

systemctl enable --now mariadb


#使用以下命令初始化 mariadb 并配置 root 密码

PS. 初始化完成後可以使用「mysql -u root -p」驗證「帳戶」與「密碼」

mysql_secure_installation


#建立「zabbix」資料庫 並 設定「語系」

create database zabbix character set utf8 collate utf8_bin;

#配置「zabbix」帳號 與 密碼 並 限制「本機」登入「zabbix」資料庫

GRANT ALL PRIVILEGES on zabbix.* to 'zabbix'@'localhost' IDENTIFIED BY 'password';

FLUSH PRIVILEGES;

quit


#使用以下命令导入 zabbix 数据库,zabbix 数据库用户为 zabbix,需要驗證密碼「password」

zcat /usr/share/doc/zabbix-server-mysql*/create.sql.gz | mysql -uzabbix -p zabbix


#修改「zabbix_server.conf」驗證「mariadb」密碼

vi /etc/zabbix/zabbix_server.conf

DBPassword=password



#配置「zabbix.conf」修改「時區」

vi /etc/opt/rh/rh-php72/php-fpm.d/zabbix.conf

php_value[date.timezone] = Asia/Shanghai


#启动相关服务,并配置开机自动启动

systemctl restart zabbix-server zabbix-agent httpd rh-php72-php-fpm

systemctl enable zabbix-server zabbix-agent httpd rh-php72-php-fpm


#登入「zabbix」進入「導引配置」==

http://IP/zabbix/setup.php


#配置完成最後遇到此問題==

1. 下載「Download the configuration file」

2. 放到「/etc/zabbix/web/」底下即可。


2021年5月18日 星期二

S小魚仔S Sangfor VPN 與 H3C SecPath V7 搭建 IP SEC VPN

 因為工作關係需要對接「Sangfor VPN」與「H3C SecPath」做 IP SEC VPN ( Site To Site ) 這邊會簡易做一個拓譜環境。

PS. 注意 H3C SecPath WEB UI 操作 IP SEC VPN 問題非常多推薦使用「指令」方式配置 ( WEB UI 不支持 IKE V2 配置 ),本環境採用「IKE V1」配置指令。

簡易拓譜環境


檢查「Sangfor VPN」配置

一. 第一階段 ( IKE Version 1 )


二.  第二阶段 - 入站策略 (對端內網)


三. 第二阶段 - 出站策略 (本地端內網)




四. 安全选项 ( 第二阶段 IPSec 参数 )

配置「H3C SecPath」(指令方式)
PS. 這邊只會講「IP SEC VPN」配置並不會講「策略」應該如何放行這是您自己應該學習的內功。

## Proposal configuration For IKE Version 1 ##
ike proposal 200
authentication-algorithm sha256
encryption-algorithm aes-cbc-256
authentication-method pre-share
dh group5
sa duration 86400
quit

## Keychain configuration For IKE Version 1 ##
ike keychain sangfor_key
pre-shared-key address 193.55.77.2 255.255.255.255 key simple landy
quit

## Profile configuration For IKE Version 1 ##
ike profile sangfor_profile
keychain sangfor_key
local-identity address 193.55.77.1
PS. 若您的「IP SEC VPN」採用「旁掛」透過「Firewall」映射, 就必須採用 (野蠻模式) aggressive」。
PS. 若您的「IP SEC VPN」直接是在「防火牆」配置請採用 (主模式)。
exchange-mode aggressive
match remote identity address 193.55.77.2 255.255.255.255
match local address 193.55.77.1
proposal 200
quit

## ACL Configuration of Customer VPN ##
acl advanced 3111
    rule 10 permit ip source 172.30.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

## Transform Set For IPSec ## ( Sangfor 安全选项 )
ipsec transform-set ipsec-sangfor
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-128
pfs dh-group5
quit

## Policy configuration For IPSec ##
PS. 建立連結「策略名稱」為VPN」優先等級「1
ipsec policy vpn 1 isakmp
transform-set ipsec-sangfor
security acl 3111
local-address 193.55.77.1
    remote-address 193.55.77.2
    ike-profile sangfor_profile
    sa duration time-based 3600
#保證「數據」有流量,如果沒有該指令「兩邊沒有數據」就會斷
sa trigger-mode auto
quit

## Apply IPsec Policy  to Outbound Interface ##

PS. 綁定物理「出接口」

interface GigabitEthernet1/0/3

tcp mss 1379

PS. 引用策略名稱為「VPN

ipsec apply policy vpn

quit


## 配置雙方「內網」不做「NAT」數據轉換 ##

object-group ip address h3c_lan

0 network subnet 172.30.0.0 255.255.255.0

object-group ip address sangfor_lan

0 network subnet 172.16.0.0 255.255.255.0


nat policy

rule name VPN_NO_NAT

source-ip h3c_lan

destination-ip sangfor_lan

outbound-interface GigabitEthernet1/0/3

action no-nat


# 檢查「IP SEC VPN」協議是/否協商成功 ##

display ikev sa


PS. 如果「H3C Firewall」同時有「連結」兩組「IP SEC VPN Site」,千萬要注意「名稱要依樣」但「優先級」要分開,這是「H3C Firewall」自身設備「BUG」。