Windows Szerver · Windows Kliens · Linux · PowerShell · Cisco IOS · HSRP · RAID · LVM · ACL · Fájlkezelés
| SZAKMAI VIZSGA JEGYZET Szerverek telepítése és beállítása Windows Szerver │ Windows Kliens │ Linux Szerver |
|---|
| ⚠ SABLON JEGYZET |
|---|
Virtuális gép neve: windows_server_tl | Erdő: GYAKORLAS.tola (vizsgán a megadott névvel)
| Leírás | Érték / Parancs |
|---|---|
| Felhasználónév | TARTOMANY\Administrator |
| Jelszó | #Aa123456789@ (vizsgán a megadott jelszó) |
Nyisd meg: Server Manager → Tools → DHCP
| 1 | Server Manager → Tools → DHCP megnyitása |
|---|---|
| 2 | Bal oldalt: IPv4 → jobb klikk → New Scope… |
| 3 | Scope Name mezőbe írd be: Pl.: vizsga_scope (vizsgán: a megadott név) |
| 4 | IP Address Range: Start IP / End IP megadása: Pl.: 172.13.0.100 – 172.13.0.150 (vizsgán: a megadott tartomány) |
| 5 | Subnet mask: 255.255.255.0 (általában, vizsgán ellenőrizd) |
| 6 | Exclusions and Delay: üresen hagyni → Next |
| 7 | Lease Duration: 8 Days (vizsgán: a megadott időtartam) → Next |
| 8 | Configure DHCP Options: Yes, I want to configure… → Next |
| 9 | Router (Default Gateway): üresen hagyni → Next |
| 10 | Domain Name and DNS Servers: ne változtass semmit → Next |
| 11 | WINS Servers: üresen hagyni → Next |
| 12 | Activate Scope: Yes, I want to activate this scope now → Next → Finish |
| Leírás | Érték / Parancs |
|---|---|
| Scope neve | vizsga_scope ← vizsgán cseréld ki |
| IP tartomány start | 172.13.0.100 ← vizsgán cseréld ki |
| IP tartomány vége | 172.13.0.150 ← vizsgán cseréld ki |
| Kizárások | (semmi – üresen hagyni) |
| Bérleti idő | 8 nap ← vizsgán cseréld ki |
| Router/Gateway | (üresen hagyni) |
| DNS | Ne változtass |
| WINS | (üresen hagyni) |
| Scope aktiválás | Igen |
Fordított névkeresési zóna (Reverse Lookup Zone) létrehozása
Nyisd meg: Server Manager → Tools → DNS
| 1 | Server Manager → Tools → DNS megnyitása |
|---|---|
| 2 | Bal oldalt: kattints a szerverre → Reverse Lookup Zones → jobb klikk → New Zone… |
| 3 | Zone Type: Primary zone → Next |
| 4 | Replikáció: 'To all DNS servers running on domain controllers in this domain: TARTOMANY.nevterület' Pl.: To all DNS servers running on domain controllers in this domain: vizsga.lan |
| 5 | Reverse Lookup Zone Name: IPv4 Reverse Lookup Zone → Next |
| 6 | Network ID: az IP-cím első 3 oktetje Pl.: 172.13.0 (vizsgán: a megadott hálózati cím) |
| 7 | Dynamic Update: Allow only secure dynamic updates → Next → Finish |
| 1 | Reverse Lookup Zones → kattints az imént létrehozott zónára → jobb klikk → New Pointer (PTR)… |
|---|---|
| 2 | Host IP Address (utolsó oktet): az utolsó szám Pl.: 254 (vizsgán: a szerver IP-jének utolsó tagja) |
| 3 | Host name (FQDN): a szerver teljes neve Pl.: winserver.gyakorlas.tola (vizsgán: a megadott FQDN) |
| 4 | OK |
| Leírás | Érték / Parancs |
|---|---|
| Szerver IP | 172.13.0.254 ← vizsgán cseréld ki |
| Szerver FQDN | winserver.gyakorlas.tola ← vizsgán cseréld ki |
| Network ID | 172.13.0 ← vizsgán cseréld ki |
A rekord (host) létrehozása a Forward Lookup Zone-ban
| 1 | Forward Lookup Zones → kattints a domain nevére (pl.: vizsga.lan / gyakorlas.tola) → jobb klikk → New Host (A or AAAA)… |
|---|---|
| 2 | Name: www |
| 3 | IP address: a szerver IP-je Pl.: 172.13.0.254 (vizsgán: a megadott szerver IP) |
| 4 | Pipáld be: 'Create associated pointer (PTR) record' |
| 5 | Add Host → OK → Done |
Nyisd meg: Server Manager → Tools → Active Directory Users and Computers
Szervezeti egység (OU) létrehozása
| 1 | Server Manager → Tools → Active Directory Users and Computers |
|---|---|
| 2 | Bal oldalt: tartomány neve (pl.: gyakorlas.tola) → jobb klikk → New → Organizational Unit |
| 3 | Name: az OU neve Pl.: gyakorlas (vizsgán: a megadott OU-név) |
| 4 | OK |
| 1 | Az imént létrehozott OU-ra jobb klikk → New → User |
|---|---|
| 2 | First name + Last name: saját neved Pl.: Gipsz Jakab (vizsgán: saját neved) |
| 3 | User logon name: vezeteknev_keresztnev Pl.: gipsz_jakab (vizsgán: saját neved kisbetűsen, alulvonással) |
| 4 | Next |
| 5 | Password: #Bb123456789@ (vizsgán: a megadott jelszó) |
| 6 | Pipát VEDD KI: 'User must change password at next logon' |
| 7 | Next → Finish |
| 1 | Az OU-ban duplán kattints a felhasználóra |
|---|---|
| 2 | Account fül → Logon Hours… gomb |
| 3 | Alapértelmezetten mindenre van engedély → jelöld ki az összes sort → Logon Denied |
| 4 | Jelöld ki: Hétfőtől Péntekig, 8:00–20:00 közötti cellákat → Logon Permitted |
| 5 | OK → Apply → OK |
| ⚠ Hétvégét (szombat, vasárnap) TILTANI kell! Csak Hétfő–Péntek, 08:00–20:00 megengedett. |
| 1 | Az OU-ra jobb klikk → New → Group |
|---|---|
| 2 | Group name: osztálynév Pl.: 13_irau2 (vizsgán: a megadott osztálynév) |
| 3 | Group scope: Global │ Group type: Security → OK |
| 4 | A csoportra duplán kattints → Members fül → Add… |
| 5 | A felhasználó nevét írd be → Check Names → OK → Apply → OK |
| Leírás | Érték / Parancs |
|---|---|
| OU neve | gyakorlas ← vizsgán cseréld ki |
| Felhasználó valódi neve | Gipsz Jakab ← saját neved |
| Bejelentkezési név | gipsz_jakab ← saját neved |
| Felhasználó jelszava | #Bb123456789@ ← vizsgán cseréld ki |
| Csoport neve | 13_irau2 ← osztálynév |
| Bejelentkezési idő | Hétfő–Péntek 08:00–20:00 ← vizsgán cseréld ki |
| 1 | Server Manager → Manage → Add Roles and Features |
|---|---|
| 2 | Installation Type: Role-based or feature-based installation → Next |
| 3 | Server Selection: válaszd ki a szervert → Next |
| 4 | Server Roles listában keresd meg: Web Server (IIS) → pipáld be → Add Features → Next |
| 5 | Features: változtatás nélkül Next |
| 6 | Web Server Role (IIS): Next |
| 7 | Role Services: alapértelmezett, Next |
| 8 | Install → Finish |
index.html fájl létrehozása
Nyisd meg a Fájlkezelőt (Windows Explorer), majd navigálj ide:
| C:\inetpub\wwwroot |
|---|
| 1 | A wwwroot mappában: jobb klikk → New → Text Document |
|---|---|
| 2 | Nevezd át: index.html (ha kérdezi, hogy biztos vagy: Igen) |
| 3 | Jobb klikk → Open with → Notepad |
| 4 | Írd bele: Saját neved, osztályod, dátum – pl.: Gipsz Jakab, 13_irau2, 2026.05.20 |
| 5 | File → Save (Ctrl+S) → Notepad bezárása |
| ⚠ A fájl tartalma: a vizsgán a SAJÁT nevedet, osztályodat és az aktuális dátumot kell beírni! |
Virtuális gép neve: windows_client
| Leírás | Érték / Parancs |
|---|---|
| Felhasználónév | winadmin |
| Jelszó | #Aa123456789@ (vizsgán a megadott jelszó) |
| 1 | Windows kliens virtuális gép elindítása, bejelentkezés: winadmin / jelszó |
|---|---|
| 2 | Jobb klikk a Start menün (vagy This PC-n) → System (Rendszer) |
| 3 | Jobb oldalt: 'Change settings' vagy 'Rename this PC (advanced)' |
| 4 | Computer Name fülön: Change… gomb |
| 5 | Member of: pipáld be Domain → írd be a tartomány nevét Pl.: gyakorlas.tola (vizsgán: a megadott tartomány) |
| 6 | OK → felugrik belépési ablak |
| 7 | Felhasználónév: Administrator │ Jelszó: a szerver jelszava Pl.: #Aa123456789@ |
| 8 | OK → 'Welcome to the domain' üzenet → OK |
| 9 | Újraindítás (Restart) |
| 1 | Újraindítás után a bejelentkezési képernyőn: Other user |
|---|---|
| 2 | Felhasználónév: TARTOMANY\felhasznalonev Pl.: GYAKORLAS\gipsz_jakab |
| 3 | Jelszó: az AD-felhasználó jelszava Pl.: #Bb123456789@ |
| 4 | Belépés után nyiss egy böngészőt (Edge / Chrome) |
| 5 | Gépeld be a böngésző címsorába: http://www.gyakorlas.tola (vizsgán: a megadott DNS-cím) |
| 6 | Ellenőrizd, hogy megjelenik az index.html tartalma (neved, osztályod, dátum) |
| ⚠ Ha nem nyílik meg az oldal: ellenőrizd, hogy a DNS-szerver beállítása helyes-e a kliens hálózati adapterén (a Windows szerver IP-je legyen a DNS)! |
Virtuális gép neve: linux_server_tola | Csatlakozás: Putty → localhost:2222 vagy közvetlen VM-ablak
| Leírás | Érték / Parancs |
|---|---|
| Felhasználónév | (vizsgán megadott felhasználó, pl.: root vagy admin) |
| Jelszó | #Aa123456789@ (vizsgán a megadott jelszó) |
| PuTTY host | localhost |
| PuTTY port | 2222 |
sudo apt update sudo apt install apache2 -y sudo systemctl start apache2 sudo systemctl enable apache2 sudo systemctl status apache2 ⚠ A 'status' parancs kimenete kell képernyőképre! Legyen 'active (running)' sor látható.
Az UFW (Uncomplicated Firewall) parancsai:
sudo ufw default deny incoming # minden bejövő tiltása sudo ufw default allow outgoing # minden kimenő engedélyezése sudo ufw allow ssh # SSH (22-es port) engedélyezése sudo ufw allow http # HTTP (80-as port) engedélyezése sudo ufw enable # tűzfal aktiválása (y-t nyomj) sudo ufw status # ellenőrzés (kell a képernyőkép!)
⚠ A 'sudo ufw status' kimenetén látszódjon: Status: active + az engedélyezett portok sorai. Ez kell a képernyőképre!
| Leírás | Érték / Parancs |
|---|---|
| Minden bejövő tiltás | sudo ufw default deny incoming |
| Minden kimenő engedélyezés | sudo ufw default allow outgoing |
| SSH engedélyezés | sudo ufw allow ssh |
| HTTP engedélyezés | sudo ufw allow http |
| Tűzfal aktiválás | sudo ufw enable |
| Tűzfal ellenőrzés | sudo ufw status |
A gazdagépen (fizikai számítógépen) nyiss egy böngészőt, és gépeld be:
| http://localhost:8080 |
|---|
| ⚠ Ha nem nyílik meg: ellenőrizd, hogy a VirtualBox port forwarding be van-e állítva (8080 host → 80 guest), és a tűzfal engedélyezi-e a http-t! |
Ellenőrzés: melyik az új lemez?
sudo fdisk -l
Az új (üres) lemez általában /dev/sdb. Indítsuk el a particionáló eszközt:
sudo fdisk /dev/sdb
fdisk lépések (interaktív parancsok)
| n | Új partíció → p (primary) → 1 (sorszám) → Enter (kezdőszektort fogadja el) → +5G (méret) |
|---|---|
| n | Még egy új partíció → p → 2 → Enter → Enter (a maradék terület) |
| p | Kilistázza a partíciókat – ellenőrizd, hogy mindkettő 5G |
| w | Írja a változásokat a lemezre (ment és kilép) |
sudo mkfs.ext4 /dev/sdb1 sudo mkfs.ext4 /dev/sdb2
Csatolási pont (mount point) létrehozása | sudo mkdir /mnt/sdb1 sudo mkdir /mnt/sdb2 |
Ideiglenes csatolás (teszteléshez)
sudo mount /dev/sdb1 /mnt/sdb1 sudo mount /dev/sdb2 /mnt/sdb2 df -h # ellenőrzés
Először kérdezd le a partíciók UUID azonosítóját:
sudo blkid /dev/sdb1 sudo blkid /dev/sdb2
Jegyezd fel mindkét UUID értéket! Majd nyisd meg az fstab fájlt:
sudo nano /etc/fstab
A fájl végére add hozzá ezeket a sorokat (UUID értékeket cseréld ki a valódiakra):
| UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /mnt/sdb1 ext4 defaults 0 2 UUID=yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy /mnt/sdb2 ext4 defaults 0 2 |
|---|
Mentés és kilépés: Ctrl+O → Enter → Ctrl+X
fstab tesztelése (ne indítsd újra előbb, teszteld!)
sudo mount -a # ha nincs hibaüzenet, helyes a beállítás df -h # ellenőrzés: látszódnak-e a csatolások ⚠ Ha az 'mount -a' parancs hibát ad, ellenőrizd az UUID-eket és az fstab sorait! Helytelen fstab esetén a rendszer nem indul el újraindítás után!
| Leírás | Érték / Parancs |
|---|---|
| Lemez ellenőrzés | sudo fdisk -l |
| Particionálás | sudo fdisk /dev/sdb |
| sdb1 formázás | sudo mkfs.ext4 /dev/sdb1 |
| sdb2 formázás | sudo mkfs.ext4 /dev/sdb2 |
| Mount point létrehozás | sudo mkdir /mnt/sdb1 && sudo mkdir /mnt/sdb2 |
| UUID lekérdezés | sudo blkid /dev/sdb1 && sudo blkid /dev/sdb2 |
| fstab szerkesztés | sudo nano /etc/fstab |
| fstab teszt | sudo mount -a |
| Ellenőrzés | df -h |
| Parancs | Mit csinál |
|---|---|
| sudo apt update | Csomagforrások frissítése (mindig futtasd először!) |
| sudo apt install CSOMAAGNÉV -y | Csomag telepítése, automatikus jóváhagyással |
| sudo systemctl start SZOLGÁLTATÁS | Szolgáltatás elindítása |
| sudo systemctl enable SZOLGÁLTATÁS | Autóindítás bekapcsolása |
| sudo systemctl status SZOLGÁLTATÁS | Szolgáltatás állapotának ellenőrzése |
| sudo ufw status | Tűzfal állapot és szabályok listája |
| sudo ufw enable | Tűzfal bekapcsolása |
| sudo fdisk -l | Lemezek és partíciók listája |
| sudo fdisk /dev/sdb | Interaktív particionálás |
| sudo mkfs.ext4 /dev/sdbX | Partíció formázása ext4-re |
| sudo mkdir /mnt/sdbX | Csatolási mappa létrehozása |
| sudo mount /dev/sdbX /mnt/sdbX | Ideiglenes csatolás |
| sudo blkid /dev/sdbX | UUID lekérdezése (fstab-hoz kell!) |
| sudo nano /etc/fstab | fstab megnyitása szerkesztésre |
| sudo mount -a | fstab újratöltése (teszt) |
| df -h | Csatolt lemezek és szabad hely |
| cat /etc/fstab | fstab tartalmának megjelenítése |
fstab sor sablon (másolható!)
| UUID=MÁSOLD_IDE_AZ_UUID_ÉRTÉKET /mnt/sdb1 ext4 defaults 0 2 UUID=MÁSOLD_IDE_AZ_UUID_ÉRTÉKET /mnt/sdb2 ext4 defaults 0 2 |
|---|
| ⚠ Az UUID értéket a 'sudo blkid /dev/sdb1' parancs adja meg. Pontosan másold be, különben a gép nem indul el! |
Teljes PowerShell útmutató vizsgára
Minden parancs magyarázattal, hibaelhárítással és tippekkel
A PowerShell a Windows parancssora, de sokkal erősebb. Parancsai (cmdlet-ek) mindig Ige-Főnév formában vannak, pl. Get-NetAdapter, Set-NetIPAddress, Install-WindowsFeature.
| Parancs | Mit csinál | Példa |
|---|---|---|
| Get-Command | Minden elérhető parancs listája | Get-Command *DHCP* |
| Get-Help | Súgó egy parancshoz | Get-Help Install-WindowsFeature -Full |
| Get-NetAdapter | Hálózati adapterek listája | Get-NetAdapter |
| ipconfig /all | IP konfiguráció részletesen | ipconfig /all |
| ping | Kapcsolat tesztelése | ping 172.25.100.254 |
| netstat -an | Nyitott portok listája | netstat -an │ findstr 3389 |
| Get-Service | Futó szolgáltatások | Get-Service -Name DHCP |
| Restart-Service | Szolgáltatás újraindítása | Restart-Service -Name DNS |
| Get-EventLog | Eseménynapló olvasása | Get-EventLog -LogName System -Newest 20 |
| Parancs | Leírás |
|---|---|
| Get-NetAdapter | Adapterek neve, indexe, státusza |
| Get-NetIPAddress | IP-címek listája adapterenként |
| Get-NetIPConfiguration | Teljes IP konfig (IP, GW, DNS) |
| Get-NetRoute | Útválasztó tábla |
| New-NetIPAddress | Új statikus IP hozzáadása |
| Remove-NetIPAddress | IP-cím törlése |
| Set-NetIPInterface | Adapter beállítások (DHCP on/off) |
| Set-DnsClientServerAddress | DNS szerver beállítása |
| Test-NetConnection | Kapcsolat és port tesztelése |
| Resolve-DnsName | DNS feloldás tesztelése |
ELSŐ LÉPÉS MINDIG: nézd meg milyen adapterek vannak és melyik melyik!
Get-NetAdapter
Kimenet példa:
Ethernet Intel PRO/1000 3 Up
Ethernet 2 Intel PRO/1000 #2 5 Disconnected
Ethernet 3 Intel PRO/1000 #3 7 Up
Ha az adapter DHCP-n van, először le kell tiltani, majd beállítani a statikus IP-t.
**Módszer 1 – netsh (mindig működik, régi módszer):** netsh interface ip set address "Ethernet" static 172.25.100.254 255.255.0.0 172.25.100.1 netsh interface ip set dns "Ethernet" static 172.25.100.254
# 1. DHCP letiltása Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Disabled # 2. IP beállítása New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 172.25.100.254 -PrefixLength 16 -DefaultGateway 172.25.100.1 # 3. DNS beállítása Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 172.25.100.254 **⚠️ Ha 'Already exists' hibát kapsz: Remove-NetIPAddress -InterfaceAlias 'Ethernet' -Confirm:$false** **⚠️ Ha 'Inconsistent parameters / DHCP Enabled' hibát kapsz: előbb futtasd a Set-NetIPInterface -Dhcp Disabled parancsot!**
ipconfig /all Get-NetIPAddress -InterfaceAlias 'Ethernet' Get-NetIPConfiguration
# Tűzfal teljes kikapcsolása (teszteléshez) Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False # Tűzfal visszakapcsolása Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True # Konkrét port engedélyezése (pl. RDP) New-NetFirewallRule -DisplayName 'Allow RDP' -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow
# Elérhető szerepkörök listája Get-WindowsFeature # Keresés névben Get-WindowsFeature | Where-Object Name -like '*DHCP*' # Telepítés – mindig -IncludeManagementTools-szal! Install-WindowsFeature AD-Domain-Services, DNS, DHCP -IncludeManagementTools # Telepítés ellenőrzése Get-WindowsFeature AD-Domain-Services, DNS, DHCP
Ez a legfontosabb lépés – a domain létrehozása. Előbb telepítsd az AD-Domain-Services szerepkört!
Install-ADDSForest `
-DomainName 'fesztival.lan' `
-DomainNetbiosName 'FESZTIVAL' `
-SafeModeAdministratorPassword (ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force) `
-InstallDns `
-Force
Get-ADDomain Get-ADDomainController
Mindig az AD telepítése és az újraindítás UTÁN csináld!
# Scope létrehozása Add-DhcpServerv4Scope `
-Name 'fesztival_scope' `
-StartRange 172.25.100.100 `
-EndRange 172.25.100.150 `
-SubnetMask 255.255.0.0
# DNS domain beállítása Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -DnsDomain 'fesztival.lan' # DNS szerver beállítása Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -DnsServer 172.25.100.254 # Átjáró beállítása Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -Router 172.25.100.1 # DHCP engedélyezése Active Directory-ban Add-DhcpServerInDC -DnsName 'fesztival.lan' -IPAddress 172.25.100.254 # Ellenőrzés Get-DhcpServerv4Scope Get-DhcpServerv4OptionValue -ScopeId 172.25.100.0
# Reverse Lookup Zone létrehozása (172.25.100.0/24) Add-DnsServerPrimaryZone -NetworkID '172.25.100.0/24' -ReplicationScope 'Forest' # PTR rekord – Windows szerver (254) Add-DnsServerResourceRecordPtr `
-ZoneName '100.25.172.in-addr.arpa' `
-Name '254' `
-PtrDomainName 'winsrv.fesztival.lan'
# PTR rekord – Linux szerver (253) Add-DnsServerResourceRecordPtr `
-ZoneName '100.25.172.in-addr.arpa' `
-Name '253' `
-PtrDomainName 'linux.fesztival.lan'
# Forward A rekord (www) Add-DnsServerResourceRecordA `
-ZoneName 'fesztival.lan' `
-Name 'www' `
-IPv4Address '172.25.100.253'
# DNS ellenőrzés Get-DnsServerZone
Resolve-DnsName www.fesztival.lan -Server 172.25.100.254
# Fő OU New-ADOrganizationalUnit -Name 'Fesztival_Helyszinek' -Path 'DC=fesztival,DC=lan' # Al-OU-k (sorban) New-ADOrganizationalUnit -Name 'Nagy_Szinpad' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan' New-ADOrganizationalUnit -Name 'VIP_Sator' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan' New-ADOrganizationalUnit -Name 'Kemping' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan' # Ellenőrzés Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName
$pass = ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force $OUbase = 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan' # Nagy_Szinpad felhasználó New-ADUser -Name 'Nagy_Szinpad_User' ` -AccountPassword $pass `
-Enabled $true `
-Path "OU=Nagy_Szinpad,$OUbase" `
-PasswordNeverExpires $true
# VIP_Sator felhasználó New-ADUser -Name 'VIP_Sator_User' ` -AccountPassword $pass `
-Enabled $true `
-Path "OU=VIP_Sator,$OUbase" `
-PasswordNeverExpires $true
# Kemping felhasználó New-ADUser -Name 'Kemping_User' ` -AccountPassword $pass `
-Enabled $true `
-Path "OU=Kemping,$OUbase" `
-PasswordNeverExpires $true
# Ellenőrzés Get-ADUser -Filter * -SearchBase $OUbase | Select-Object Name, Enabled
# Csoportok létrehozása New-ADGroup -Name 'Nagy_Szinpad' -GroupScope Global -Path "OU=Nagy_Szinpad,$OUbase" New-ADGroup -Name 'VIP_Sator' -GroupScope Global -Path "OU=VIP_Sator,$OUbase" New-ADGroup -Name 'Kemping' -GroupScope Global -Path "OU=Kemping,$OUbase" # Felhasználók hozzáadása csoportokhoz Add-ADGroupMember -Identity 'Nagy_Szinpad' -Members 'Nagy_Szinpad_User' Add-ADGroupMember -Identity 'VIP_Sator' -Members 'VIP_Sator_User' Add-ADGroupMember -Identity 'Kemping' -Members 'Kemping_User' # Ellenőrzés Get-ADGroupMember -Identity 'Nagy_Szinpad'
Ez egy bájt tömb, ami jelöli az engedélyezett órákat heti bontásban.
$hours = New-Object byte[] 21
For ($day = 0; $day -lt 7; $day++) {
For ($hour = 9; $hour -lt 16; $hour++) {$bit = $day * 24 + $hour
$hours[$bit / 8] = $hours[$bit / 8] -bor (1 -shl ($bit % 8))
}
}
Set-ADUser 'Nagy_Szinpad_User' -LogonHours $hours Set-ADUser 'VIP_Sator_User' -LogonHours $hours Set-ADUser 'Kemping_User' -LogonHours $hours
# GPO létrehozása New-GPO -Name 'Fesztival_Policy' # GPO linkelése az OU-hoz New-GPLink -Name 'Fesztival_Policy' -Target 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan' # Ellenőrzés Get-GPO -Name 'Fesztival_Policy' Get-GPInheritance -Target 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
Set-GPRegistryValue -Name 'Fesztival_Policy' `
-Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' `
-ValueName 'NoControlPanel' `
-Type DWord -Value 1
Set-GPRegistryValue -Name 'Fesztival_Policy' `
-Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System' `
-ValueName 'DisableRegistryTools' `
-Type DWord -Value 1
Set-GPRegistryValue -Name 'Fesztival_Policy' `
-Key 'HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers' `
-ValueName 'DefaultLevel' `
-Type DWord -Value 0
Rename-Computer -NewName 'C10-1' -Force -Restart
# Credential objektum létrehozása $cred = Get-Credential # Felhasználó: FESZTIVAL\Administrator, Jelszó: Titok!2026 # Domainbe léptetés Add-Computer -DomainName 'fesztival.lan' -Credential $cred -Restart -Force
Add-Computer -DomainName 'fesztival.lan' `
-Credential (New-Object PSCredential('FESZTIVAL\Administrator', `
(ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force))) `-Restart -Force
# Ellenőrzés (újraindítás után) (Get-WmiObject Win32_ComputerSystem).Domain
Add-Computer -DomainName 'fesztival.lan' -NewName 'C10-1' `
-Credential (New-Object PSCredential('FESZTIVAL\Administrator', `
(ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force))) `-Restart -Force
A MikroTik NEM PowerShell, de a konzol parancsai hasonló logikát követnek.
| Parancs | Mit csinál |
|---|---|
| /user set admin password=Titok!2026 | Admin jelszó beállítása |
| /ip address print | IP-címek listája |
| /ip route print | Útvonaltábla |
| /ip firewall nat print | NAT szabályok |
| /interface print | Interfészek listája |
| /ping 172.25.100.254 | Ping teszt |
| /ip dhcp-client print | DHCP kliens státusz |
/ip dhcp-client add interface=ether1 disabled=no /ip address add address=172.25.100.1/24 interface=ether2 /ip address add address=172.25.56.99/24 interface=ether3
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
# RDP portátirányítás (30000 -> 172.25.100.254:3389)
/ip firewall nat add chain=dstnat in-interface=ether3 protocol=tcp dst-port=30000 action=dst-nat to-addresses=172.25.100.254 to-ports=3389
# SSH portátirányítás (2222 -> 172.25.100.253:22)
/ip firewall nat add chain=dstnat in-interface=ether3 protocol=tcp dst-port=2222 action=dst-nat to-addresses=172.25.100.253 to-ports=22
sudo apt install -y realmd sssd adcli samba-common-bin krb5-user # Domain felfedezése realm discover fesztival.lan # Domainbe léptetés sudo realm join fesztival.lan -U Administrator # Jelszó: Titok!2026
sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow 'Apache Full' sudo ufw allow 'OpenSSH' sudo ufw allow 'Samba' sudo ufw enable sudo ufw status verbose
# Könyvtár létrehozása sudo mkdir -p /mnt/sdb1/shares sudo chown root:'Domain Admins' /mnt/sdb1/shares sudo chmod 770 /mnt/sdb1/shares # Samba konfig szerkesztése sudo nano /etc/samba/smb.conf
A fájl végére add hozzá:
[shares]
path = /mnt/sdb1/shares
valid users = @'FESZTIVAL\Domain Admins'
writable = yes
browseable = yes
sudo systemctl restart smbd
| Hiba | Ok | Megoldás |
|---|---|---|
| Media disconnected | VirtualBox kábel nincs bedugva | VM Settings > Network > Advanced > Cable connected |
| 169.254.x.x IP | APIPA – nincs DHCP szerver | Statikus IP beállítása netsh-val |
| Ping timeout | Tűzfal blokkolja | Set-NetFirewallProfile -Enabled False |
| Ping timeout | Hálózati szegmens eltérés | Ellenőrizd VirtualBox adapter neveket (intnet) |
| RDP nem csatlakozik | Remote Desktop disabled | Server Manager > Local Server > Enable RD |
| Already exists | IP már be van állítva | Remove-NetIPAddress majd újra New-NetIPAddress |
| Inconsistent DHCP | DHCP aktív statikus IP előtt | Előbb: Set-NetIPInterface -Dhcp Disabled |
| Hiba | Ok | Megoldás |
|---|---|---|
| Access Denied AD parancshoz | Nem domain admin-ként futtatsz | Futtasd FESZTIVAL\Administrator-ként |
| DHCP scope nem jön létre | AD nincs telepítve | Előbb Install-ADDSForest, majd újraindítás |
| DNS feloldás nem megy | DNS szerver rossz IP | Set-DnsClientServerAddress -ServerAddresses 172.25.100.254 |
| Domain join sikertelen | DNS nem éri el a DC-t | Ellenőrizd a DNS beállítást a kliensen |
| gpupdate /force hiba | Nem éri el a DC-t | Ellenőrizd hálózati kapcsolatot |
# Hálózati kapcsolat tesztelése port ellenőrzéssel
Test-NetConnection -ComputerName 172.25.100.254 -Port 3389
# DNS feloldás tesztelése
Resolve-DnsName fesztival.lan -Server 172.25.100.254
# AD kapcsolat tesztelése nltest /sc_query:fesztival.lan # DHCP leases listája Get-DhcpServerv4Lease -ScopeId 172.25.100.0 # Eseménynapló hibák Get-EventLog -LogName System -EntryType Error -Newest 10 # Szolgáltatások ellenőrzése Get-Service DHCP, DNS, ADWS | Select-Object Name, Status
| Kép | Mit kell mutatnia | Parancs/Hely |
|---|---|---|
| KEP-1 | EC2 linux_web_server Networking fül (VPC, Subnet, SG) | AWS Console > EC2 > Instances |
| KEP-2 | SSH terminál sikeres bejelentkezéssel | ssh -i keypair.pem admin@<IP> |
| KEP-3 | UFW tűzfal státusz | sudo ufw status verbose |
| KEP-4 | PHP verzió | php -v |
| KEP-5 | MySQL SHOW DATABASES (drupal látszik) | SHOW DATABASES; |
| KEP-6 | WinSCP ablak /var/www/ mappával | WinSCP > /var/www/html/ |
| KEP-7 | Drupal weboldal böngészőben (IP látszik) | http://<ELASTIC_IP>/drupal |
| Kép | Mit kell mutatnia | Parancs/Hely |
|---|---|---|
| KEP-8 | MikroTik ip address print + nat print | /ip address print és /ip firewall nat print |
| KEP-9 | DHCP scope + DNS Reverse Lookup Zone | Server Manager kliensgépen |
| KEP-10 | AD OU struktúra + GPO Management | AD Users & Computers + Group Policy Mgmt |
| KEP-11 | Linux shares mappa jogosultságok | ls -ld /mnt/sdb1/shares |
| KEP-12 | Felhasználó Profile füle (vándorló profil) | AD > User Properties > Profile fül |
Ezt a sort sorban futtasd a Windows Serveren (újraindítás után folytatva):
# === 1. HÁLÓZAT ===
netsh interface ip set address 'Ethernet' static 172.25.100.254 255.255.0.0 172.25.100.1
netsh interface ip set dns 'Ethernet' static 172.25.100.254
# === 2. SZEREPKÖRÖK ===
Install-WindowsFeature AD-Domain-Services, DNS, DHCP -IncludeManagementTools
# === 3. DOMAIN (ÚJRAINDUL!) ===
Install-ADDSForest -DomainName 'fesztival.lan' -DomainNetbiosName 'FESZTIVAL' -SafeModeAdministratorPassword (ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force) -InstallDns -Force
# === 4. DHCP (ÚJRAINDÍTÁS UTÁN) ===
Add-DhcpServerv4Scope -Name 'fesztival_scope' -StartRange 172.25.100.100 -EndRange 172.25.100.150 -SubnetMask 255.255.0.0
Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -DnsDomain 'fesztival.lan'
Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -DnsServer 172.25.100.254
Set-DhcpServerv4OptionValue -ScopeId 172.25.100.0 -Router 172.25.100.1
Add-DhcpServerInDC -DnsName 'fesztival.lan' -IPAddress 172.25.100.254
# === 5. DNS ===
Add-DnsServerPrimaryZone -NetworkID '172.25.100.0/24' -ReplicationScope 'Forest'
Add-DnsServerResourceRecordPtr -ZoneName '100.25.172.in-addr.arpa' -Name '254' -PtrDomainName 'winsrv.fesztival.lan'
Add-DnsServerResourceRecordPtr -ZoneName '100.25.172.in-addr.arpa' -Name '253' -PtrDomainName 'linux.fesztival.lan'
Add-DnsServerResourceRecordA -ZoneName 'fesztival.lan' -Name 'www' -IPv4Address '172.25.100.253'
# === 6. AD STRUKTÚRA ===
New-ADOrganizationalUnit -Name 'Fesztival_Helyszinek' -Path 'DC=fesztival,DC=lan'
New-ADOrganizationalUnit -Name 'Nagy_Szinpad' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
New-ADOrganizationalUnit -Name 'VIP_Sator' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
New-ADOrganizationalUnit -Name 'Kemping' -Path 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
# === 7. FELHASZNÁLÓK ÉS CSOPORTOK ===
$pass = ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force
$OUbase = 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
New-ADUser -Name 'Nagy_Szinpad_User' -AccountPassword $pass -Enabled $true -Path "OU=Nagy_Szinpad,$OUbase" -PasswordNeverExpires $true
New-ADUser -Name 'VIP_Sator_User' -AccountPassword $pass -Enabled $true -Path "OU=VIP_Sator,$OUbase" -PasswordNeverExpires $true
New-ADUser -Name 'Kemping_User' -AccountPassword $pass -Enabled $true -Path "OU=Kemping,$OUbase" -PasswordNeverExpires $true
New-ADGroup -Name 'Nagy_Szinpad' -GroupScope Global -Path "OU=Nagy_Szinpad,$OUbase"
New-ADGroup -Name 'VIP_Sator' -GroupScope Global -Path "OU=VIP_Sator,$OUbase"
New-ADGroup -Name 'Kemping' -GroupScope Global -Path "OU=Kemping,$OUbase"
Add-ADGroupMember -Identity 'Nagy_Szinpad' -Members 'Nagy_Szinpad_User'
Add-ADGroupMember -Identity 'VIP_Sator' -Members 'VIP_Sator_User'
Add-ADGroupMember -Identity 'Kemping' -Members 'Kemping_User'
# === 8. GPO ===
New-GPO -Name 'Fesztival_Policy'
New-GPLink -Name 'Fesztival_Policy' -Target 'OU=Fesztival_Helyszinek,DC=fesztival,DC=lan'
Set-GPRegistryValue -Name 'Fesztival_Policy' -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -ValueName 'NoControlPanel' -Type DWord -Value 1
Set-GPRegistryValue -Name 'Fesztival_Policy' -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System' -ValueName 'DisableRegistryTools' -Type DWord -Value 1
# === 9. WINDOWS KLIENS ===
Add-Computer -DomainName 'fesztival.lan' -NewName 'C10-1' -Credential (New-Object PSCredential('FESZTIVAL\Administrator', (ConvertTo-SecureString 'Titok!2026' -AsPlainText -Force))) -Restart -ForceSzakmai Vizsga Jegyzet – Szerverek telepítése és beállítása | Sablon
Cisco IOS szintaxissal, Packet Tracer környezethez
OSPFv3 konfiguráció (IPv6) – Packet Tracer 5
Globális (area-szintű) OSPF hitelesítés 6
Port visszaállítása shutdown után (err-disabled) 7
DHCP Snooping (Option 82) 7
Inter-VLAN routing – Router-on-a-Stick (ROAS) 10
Inter-VLAN routing – Multilayer Switch (SVI) – ajánlott! 10
Rapid-PVST + PortFast + BPDU Guard – Packet Tracer 11
SSH csak egy IP-ről – ACL + VTY 13
ACL szerkesztés (sequence number) 13
PAT (Overload) – Packet Tracer 15
CHAP konfiguráció – Packet Tracer (ajánlott!) 16
/24 = 255.255.255.0 → 254 host wildcard: 0.0.0.255
/25 = 255.255.255.128 → 126 host wildcard: 0.0.0.127
/26 = 255.255.255.192 → 62 host wildcard: 0.0.0.63
/27 = 255.255.255.224 → 30 host wildcard: 0.0.0.31
/28 = 255.255.255.240 → 14 host wildcard: 0.0.0.15
/30 = 255.255.255.252 → 2 host wildcard: 0.0.0.3 (pont-pont link!)
Router> enable Router# configure terminal Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# description LAN interface Router(config-if)# exit ! Pont-pont serial link (/30) Router(config)# interface Serial0/0/0 Router(config-if)# ip address 10.0.0.1 255.255.255.252 Router(config-if)# clock rate 64000 ! csak DCE oldalon Router(config-if)# no shutdown
Router(config)# ipv6 unicast-routing Router(config)# interface GigabitEthernet0/0 Router(config-if)# ipv6 address 2001:db8:1::1/64 Router(config-if)# ipv6 address fe80::1 link-local Router(config-if)# no shutdown ! SLAAC: PC automatikusan kap IPv6 cimet ! DHCPv6 stateless: Router(config-if)# ipv6 nd other-config-flag ! DHCPv6 stateful pool: Router(config)# ipv6 dhcp pool IPV6POOL Router(config-dhcp)# address prefix 2001:db8:1::/64 Router(config-dhcp)# dns-server 2001:db8::53
show ip interface brief ! IPv4 interfészek show ipv6 interface brief ! IPv6 interfészek show ip route ! routing tábla IPv4 show ipv6 route ! routing tábla IPv6 ping 192.168.20.1 ! IPv4 ping ping 2001:db8:2::1 ! IPv6 ping
! Alap statikus útvonal R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.2 ! célhálózat maszk next-hop ! Alternatíva: kimenő interfész megadása R1(config)# ip route 192.168.20.0 255.255.255.0 GigabitEthernet0/1 ! Alapértelmezett útvonal (internet felé) R1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 ! Úszó statikus (backup) – magasabb AD = 5 R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.1.2 5
R1(config)# ipv6 route 2001:db8:2::/64 2001:db8:12::2 R1(config)# ipv6 route ::/0 2001:db8:12::2 ! default route IPv6
show ip route ! routing tábla – S = statikus show ip route static ! csak statikus útvonalak show ip route 192.168.20.0 ! adott hálózat részletei ping 192.168.20.10 ! end-to-end teszt traceroute 192.168.20.10 ! útvonal nyomkövetés
R1(config)# router ospf 1 ! process ID (csak lokális) R1(config-router)# router-id 1.1.1.1 ! manuális Router ID (ajánlott!) R1(config-router)# network 192.168.10.0 0.0.0.255 area 0 R1(config-router)# network 10.0.0.0 0.0.0.3 area 0 R1(config-router)# passive-interface GigabitEthernet0/0 ! LAN – ne küldjön hello-t R1(config-router)# default-information originate ! default route hirdetése ! Cost manuális beállítása R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip ospf cost 10 ! Auto-cost referencia sávszélesség (100G-hoz igazítva) R1(config-router)# auto-cost reference-bandwidth 100000
OSPFv3 konfiguráció (IPv6) – Packet Tracer
R1(config)# ipv6 unicast-routing R1(config)# ipv6 router ospf 1 R1(config-rtr)# router-id 1.1.1.1 R1(config-rtr)# passive-interface GigabitEthernet0/0 ! Interfészeken engedélyezés (nem network parancs!) R1(config)# interface GigabitEthernet0/0 R1(config-if)# ipv6 ospf 1 area 0 R1(config)# interface Serial0/0/0 R1(config-if)# ipv6 ospf 1 area 0
show ip ospf neighbor ! szomszédok (State: FULL = OK!) show ip ospf interface brief ! OSPF interfészek show ip route ospf ! OSPF tanult útvonalak (O jelölés) show ip ospf database ! LSDB adatbázis show ipv6 ospf neighbor ! OSPFv3 szomszédok show ipv6 route ospf ! OSPFv3 útvonalak debug ip ospf hello ! hello debug (óvatosan!)
! Mindkét routeren: R1(config)# interface Serial0/0/0 R1(config-if)# ip ospf message-digest-key 1 md5 TitkosJelszo R1(config-if)# ip ospf authentication message-digest R2(config)# interface Serial0/0/0 R2(config-if)# ip ospf message-digest-key 1 md5 TitkosJelszo R2(config-if)# ip ospf authentication message-digest
Globális (area-szintű) OSPF hitelesítés
! Mindkét routeren: R1(config)# router ospf 1 R1(config-router)# area 0 authentication message-digest R1(config)# interface Serial0/0/0 R1(config-if)# ip ospf message-digest-key 1 md5 TitkosJelszo R2(config)# router ospf 1 R2(config-router)# area 0 authentication message-digest R2(config)# interface Serial0/0/0 R2(config-if)# ip ospf message-digest-key 1 md5 TitkosJelszo
show ip ospf neighbor ! FULL = hitelesítés sikeres show ip ospf interface Serial0/0/0 ! Message digest auth. enabled debug ip ospf adj ! adjacency debug
SW1(config)# interface FastEthernet0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 ! Port Security engedélyezése SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security maximum 2 ! max 2 MAC SW1(config-if)# switchport port-security mac-address sticky ! auto-tanulás ! Manuális MAC rögzítés SW1(config-if)# switchport port-security mac-address 00AA.BB11.2233 ! Violation mód: shutdown (default) – port leáll + log üzenet SW1(config-if)# switchport port-security violation shutdown ! Violation mód: restrict – eldobja + log (port marad aktív!) SW1(config-if)# switchport port-security violation restrict
Port visszaállítása shutdown után (err-disabled)
SW1# show interfaces FastEthernet0/1 ! err-disabled állapot? SW1(config)# interface FastEthernet0/1 SW1(config-if)# shutdown SW1(config-if)# no shutdown ! port újraindítása ! Automatikus helyreállítás időzítővel SW1(config)# errdisable recovery cause psecure-violation SW1(config)# errdisable recovery interval 30 ! 30 mp után auto-recovery
show port-security ! összefoglaló show port-security interface Fa0/1 ! részletes: MAC, violation count show port-security address ! tárolt MAC-ek show interfaces Fa0/1 status ! connected / err-disabled DHCP Snooping (Option 82)
SW1(config)# ip dhcp snooping SW1(config)# ip dhcp snooping vlan 10,20 ! engedélyezés VLAN-onként ! Uplink (DHCP szerver felé) = trusted SW1(config)# interface GigabitEthernet0/1 SW1(config-if)# ip dhcp snooping trust ! Option 82 letiltása (ha a DHCP szerver nem ismeri) SW1(config)# no ip dhcp snooping information option ! Rate limiting untrusted porton SW1(config)# interface FastEthernet0/1 SW1(config-if)# ip dhcp snooping limit rate 15 ! max 15 csomag/mp
show ip dhcp snooping ! állapot, VLAN-ok show ip dhcp snooping binding ! tanuló tábla: MAC-IP-Port-VLAN show ip dhcp snooping statistics ! dropped csomagok
! SW1 – active mód (kezdeményez) SW1(config)# interface range FastEthernet0/1-2 SW1(config-if-range)# switchport mode trunk SW1(config-if-range)# switchport trunk native vlan 99 SW1(config-if-range)# switchport trunk allowed vlan 10,20,99 SW1(config-if-range)# channel-group 1 mode active ! LACP active SW1(config-if-range)# exit SW1(config)# interface port-channel 1 SW1(config-if)# switchport mode trunk ! SW2 – passive mód (válaszol) SW2(config)# interface range FastEthernet0/1-2 SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# channel-group 1 mode passive ! LACP passive
! SW1 – desirable (Cisco–Cisco esetén) SW1(config)# interface range FastEthernet0/3-4 SW1(config-if-range)# switchport mode trunk SW1(config-if-range)# channel-group 2 mode desirable ! PAgP ! SW2 SW2(config)# interface range FastEthernet0/3-4 SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# channel-group 2 mode auto ! PAgP auto
show etherchannel summary ! Po1 – SU = layer2 up show etherchannel port-channel ! protokoll, tag show interfaces port-channel 1 ! logikai interfész részletei show lacp neighbor ! LACP szomszéd infó
SW1(config)# vlan 10 SW1(config-vlan)# name SALES SW1(config)# vlan 20 SW1(config-vlan)# name HR SW1(config)# vlan 99 SW1(config-vlan)# name MANAGEMENT ! Access portok SW1(config)# interface FastEthernet0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# spanning-tree portfast ! Trunk port (natív VLAN 99!) SW1(config)# interface GigabitEthernet0/1 SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk native vlan 99 SW1(config-if)# switchport trunk allowed vlan 10,20,99
Inter-VLAN routing – Router-on-a-Stick (ROAS)
! Router oldal – subinterfészek R1(config)# interface GigabitEthernet0/0 R1(config-if)# no shutdown R1(config)# interface GigabitEthernet0/0.10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# ip address 192.168.10.1 255.255.255.0 R1(config)# interface GigabitEthernet0/0.20 R1(config-subif)# encapsulation dot1Q 20 R1(config-subif)# ip address 192.168.20.1 255.255.255.0 ! Natív VLAN subinterfész (ha kell) R1(config)# interface GigabitEthernet0/0.99 R1(config-subif)# encapsulation dot1Q 99 native R1(config-subif)# ip address 192.168.99.1 255.255.255.0
Inter-VLAN routing – Multilayer Switch (SVI) – ajánlott!
! 3560/3750 switch
SW(config)# ip routing
SW(config)# interface vlan 10 SW(config-if)# ip address 192.168.10.1 255.255.255.0
SW(config-if)# no shutdown
SW(config)# interface vlan 20 SW(config-if)# ip address 192.168.20.1 255.255.255.0
SW(config-if)# no shutdown
show vlan brief ! VLAN-ok és portjaik show interfaces trunk ! trunk portok, allowed VLAN-ok show ip interface brief ! SVI-k IP-je ping 192.168.20.10 ! cross-VLAN ping teszt
Rapid-PVST + PortFast + BPDU Guard – Packet Tracer
! Rapid-PVST engedélyezése SW1(config)# spanning-tree mode rapid-pvst ! Root bridge beállítása VLAN-onként SW1(config)# spanning-tree vlan 10 root primary SW1(config)# spanning-tree vlan 20 root secondary ! Manuális priority beállítás SW1(config)# spanning-tree vlan 10 priority 4096 ! PortFast + BPDU Guard access portokon SW1(config)# interface range FastEthernet0/1-10 SW1(config-if-range)# spanning-tree portfast SW1(config-if-range)# spanning-tree bpduguard enable ! Globálisan minden portfast porton BPDU Guard SW1(config)# spanning-tree portfast bpduguard default
show spanning-tree vlan 10 ! STP állapot VLAN 10-re show spanning-tree summary ! összefoglaló show spanning-tree interface Fa0/1 detail ! port részletei show interfaces Fa0/1 status ! err-disabled?
! Kizárások (ne ossza ki ezeket) R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10 R1(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10 ! Pool létrehozás – VLAN 10 R1(config)# ip dhcp pool VLAN10_POOL R1(config-dhcp)# network 192.168.10.0 255.255.255.0 R1(config-dhcp)# default-router 192.168.10.1 R1(config-dhcp)# dns-server 8.8.8.8 R1(config-dhcp)# lease 7 ! bérleti idő: 7 nap ! Pool létrehozás – VLAN 20 R1(config)# ip dhcp pool VLAN20_POOL R1(config-dhcp)# network 192.168.20.0 255.255.255.0 R1(config-dhcp)# default-router 192.168.20.1 R1(config-dhcp)# dns-server 8.8.8.8
! Ha a DHCP szerver (pl. 10.0.0.100) más alhálózatban van: ! A kliens felé néző interfészen kell beállítani R1(config)# interface GigabitEthernet0/0 ! VLAN 10 felé néző int. R1(config-if)# ip helper-address 10.0.0.100 ! DHCP szerver IP-je R1(config)# interface GigabitEthernet0/1 ! VLAN 20 felé néző int. R1(config-if)# ip helper-address 10.0.0.100
show ip dhcp pool ! pool-ok és szabad cím tartomány show ip dhcp binding ! kiosztott IP – MAC párok show ip dhcp server statistics ! kérések, Offer-ok száma show ip dhcp conflict ! konfliktus (ha IP már foglalt) ipconfig /release / /renew ! PC oldalon (Windows)
! Numbered standard ACL R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# access-list 10 deny any ! Named standard ACL R1(config)# ip access-list standard ALLOW_LAN10 R1(config-std-nacl)# 10 permit 192.168.10.0 0.0.0.255 R1(config-std-nacl)# 20 deny any ! Alkalmazás – célhoz közel, kifelé R1(config)# interface GigabitEthernet0/1 R1(config-if)# ip access-group ALLOW_LAN10 out
! Named extended ACL R1(config)# ip access-list extended TUZFAL R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq 80 R1(config-ext-nacl)# 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1(config-ext-nacl)# 30 deny tcp 192.168.20.0 0.0.0.255 any eq 23 ! Telnet tiltás R1(config-ext-nacl)# 40 permit ip any any ! többi engedélyezve ! ICMP (ping) engedélyezés R1(config-ext-nacl)# 15 permit icmp any any ! Alkalmazás – forráshoz közel, befelé R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip access-group TUZFAL in
SSH csak egy IP-ről – ACL + VTY
! Csak 192.168.10.5-ről engedélyezett SSH R1(config)# ip access-list standard SSH_ONLY R1(config-std-nacl)# permit host 192.168.10.5 R1(config-std-nacl)# deny any ! VTY sorokra alkalmazva R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local R1(config-line)# access-class SSH_ONLY in ! SSH beállítás (ha még nincs) R1(config)# ip domain-name vizsga.local R1(config)# crypto key generate rsa modulus 2048 R1(config)# ip ssh version 2 R1(config)# username admin privilege 15 secret Jelszo123
ACL szerkesztés (sequence number)
! Új sor beszúrása 10 és 20 közé R1(config)# ip access-list extended TUZFAL R1(config-ext-nacl)# 15 permit udp 192.168.10.0 0.0.0.255 any eq 53 ! Sor törlése R1(config-ext-nacl)# no 30
show access-lists ! összes ACL + hit count show ip access-lists TUZFAL ! adott ACL részletei show running-config | section access-list show ip interface GigabitEthernet0/0 ! melyik ACL van alkalmazva
! Interfészek jelölése R1(config)# interface GigabitEthernet0/0 ! belső R1(config-if)# ip nat inside R1(config)# interface GigabitEthernet0/1 ! külső R1(config-if)# ip nat outside ! Statikus mapping: belső 192.168.10.10 → publikus 203.0.113.10 R1(config)# ip nat inside source static 192.168.10.10 203.0.113.10 ! Port-alapú statikus NAT (PAT statikus) R1(config)# ip nat inside source static tcp 192.168.10.10 80 203.0.113.10 80
PAT (Overload) – Packet Tracer
! ACL a belső hálózathoz R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255 ! PAT – külső interfész IP-jére fordít R1(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload ! PAT – pool-ra fordít (ha több publikus IP van) R1(config)# ip nat pool PUBLIC_POOL 203.0.113.5 203.0.113.10 netmask 255.255.255.248 R1(config)# ip nat inside source list 1 pool PUBLIC_POOL overload
show ip nat translations ! aktív fordítások show ip nat translations verbose ! hit count részletekkel show ip nat statistics ! statisztika, miss count clear ip nat translation * ! fordítások törlése debug ip nat ! debug (óvatosan!)
! R1 oldal R1(config)# username R2 password Jelszo123 ! R2 = másik router neve R1(config)# interface Serial0/0/0 R1(config-if)# encapsulation ppp R1(config-if)# ppp authentication pap R1(config-if)# ppp pap sent-username R1 password Jelszo123 R1(config-if)# no shutdown ! R2 oldal R2(config)# username R1 password Jelszo123 R2(config)# interface Serial0/0/0 R2(config-if)# encapsulation ppp R2(config-if)# ppp authentication pap R2(config-if)# ppp pap sent-username R2 password Jelszo123 R2(config-if)# no shutdown
CHAP konfiguráció – Packet Tracer (ajánlott!)
! R1 oldal R1(config)# username R2 password CsapJelszo123 ! R2 = másik router R1(config)# interface Serial0/0/0 R1(config-if)# clock rate 64000 ! csak DCE oldalon! R1(config-if)# encapsulation ppp R1(config-if)# ppp authentication chap R1(config-if)# ppp chap hostname R1 R1(config-if)# no shutdown ! R2 oldal R2(config)# username R1 password CsapJelszo123 ! R1 = másik router R2(config)# interface Serial0/0/0 R2(config-if)# encapsulation ppp R2(config-if)# ppp authentication chap R2(config-if)# ppp chap hostname R2 R2(config-if)# no shutdown
show interfaces serial0/0/0 ! line protocol up? encapsulation PPP? show ppp all ! aktív PPP munkamenetek debug ppp authentication ! PAP/CHAP debug
. Feladat – VLAN-ok konfigurálása VTP segítségével
A VTP (VLAN Trunking Protocol) segítségével a VLAN-okat csak a szerveren kell létrehozni, a kliens switchek automatikusan megkapják.
SW1> enable SW1# configure terminal SW1(config)# vtp mode server SW1(config)# vtp domain iskola.hu SW1(config)# vtp password cisco SW1(config)# vtp version 2 ! VLAN-ok létrehozása SW1(config)# vlan 10 SW1(config-vlan)# name TEREM1 SW1(config-vlan)# exit SW1(config)# vlan 20 SW1(config-vlan)# name TEREM2 SW1(config-vlan)# exit SW1(config)# vlan 30 SW1(config-vlan)# name ADMIN SW1(config-vlan)# exit SW1(config)# end SW1# write memory
Magyarázat: SW1 szerver módban van, ő hirdeti a VLAN adatbázist. A VTP domain neve 'iskola.hu', a jelszó 'cisco', a verzió 2.
SW2> enable SW2# configure terminal SW2(config)# vtp mode client SW2(config)# vtp domain iskola.hu SW2(config)# vtp password cisco SW2(config)# end SW2# write memory ! Ugyanígy SW3-on is: SW3> enable SW3# configure terminal SW3(config)# vtp mode client SW3(config)# vtp domain iskola.hu SW3(config)# vtp password cisco SW3(config)# end SW3# write memory
Magyarázat: A kliens switchek (SW2, SW3) nem hozhatnak létre VLAN-okat, csak fogadják az SW1-től érkező VLAN-infót a trunk portokon keresztül.
! SW1 – PC1 (fa0/1) → VLAN10, PC2 (fa0/2) → VLAN20 SW1(config)# interface fa0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# exit SW1(config)# interface fa0/2 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 20 SW1(config-if)# exit ! SW2 – PC3 (fa0/1) → VLAN10, PC4 (fa0/2) → VLAN20 SW2(config)# interface fa0/1 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 10 SW2(config-if)# exit SW2(config)# interface fa0/2 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 20 SW2(config-if)# exit
Magyarázat: Az access portok az adott VLAN-hoz rendelik a PC-ket. VLAN10=TEREM1 (192.168.1.0/26), VLAN20=TEREM2 (192.168.1.64/26).
Az R1 forgalomirányító DHCP szerverként osztja ki az IP-címeket a két VLAN számára.
R1> enable R1# configure terminal ! DHCP pool VLAN10-hez (TEREM1) R1(config)# ip dhcp pool VLAN10 R1(dhcp-config)# network 192.168.1.0 255.255.255.192 R1(dhcp-config)# default-router 192.168.1.1 R1(dhcp-config)# dns-server 8.8.8.8 R1(dhcp-config)# exit ! DHCP pool VLAN20-hoz (TEREM2) R1(config)# ip dhcp pool VLAN20 R1(dhcp-config)# network 192.168.1.64 255.255.255.192 R1(dhcp-config)# default-router 192.168.1.65 R1(dhcp-config)# dns-server 8.8.8.8 R1(dhcp-config)# exit ! Kizárt IP-k (alapértelmezett átjárók) R1(config)# ip dhcp excluded-address 192.168.1.1 R1(config)# ip dhcp excluded-address 192.168.1.65 R1(config)# end R1# write memory
Magyarázat: A DHCP pool meghatározza a hálózatot, az alapértelmezett átjárót és a DNS szervert. Az excluded-address gondoskodik arról, hogy az átjáró IP-je ne kerüljön kiosztásra.
Telnet lehetővé teszi a távoli parancssori hozzáférést a hálózati eszközökhöz.
! R1 – Telnet konfiguráció R1(config)# username bob password cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input telnet R1(config-line)# exit ! Ugyanígy SW1, SW2, SW3-on is: SW1(config)# username bob password cisco SW1(config)# line vty 0 4 SW1(config-line)# login local SW1(config-line)# transport input telnet SW1(config-line)# exit SW1(config)# end SW1# write memory
Magyarázat: A 'username bob password cisco' helyi felhasználót hoz létre. A 'line vty 0 4' konfigurálja az 5 virtuális terminált Telnet hozzáféréshez.
Az SSH biztonságos, titkosított alternatíva a Telnet helyett. R1-en konfiguráljuk.
R1(config)# ip domain-name iskola.hu R1(config)# crypto key generate rsa ! --> Adja meg a kulcs méretét: 1024 R1(config)# ip ssh version 2 R1(config)# username bob password cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit R1(config)# end R1# write memory
Magyarázat: Az RSA kulcspár generálásához domain nevet kell beállítani. Az 'ip ssh version 2' csak SSHv2-t engedélyez, ami biztonságosabb. A 'transport input ssh' letiltja a Telnetet az SSH javára.
Az R1 router-on-a-stick módszerrel végzi az inter-VLAN forgalomirányítást a SW3 felé. Alinterfészeket (subinterface) hozunk létre.
! R1 – g0/1 interfész konfigurálása (SW3 felé) R1(config)# interface g0/1 R1(config-if)# no shutdown R1(config-if)# exit ! VLAN10 subinterface R1(config)# interface g0/1.10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# ip address 192.168.1.1 255.255.255.192 R1(config-subif)# exit ! VLAN20 subinterface R1(config)# interface g0/1.20 R1(config-subif)# encapsulation dot1Q 20 R1(config-subif)# ip address 192.168.1.65 255.255.255.192 R1(config-subif)# exit ! VLAN30 subinterface (ADMIN) R1(config)# interface g0/1.30 R1(config-subif)# encapsulation dot1Q 30 R1(config-subif)# ip address 192.168.1.129 255.255.255.248 R1(config-subif)# exit ! SW3 – Trunk port az R1 felé SW3(config)# interface fa0/24 SW3(config-if)# switchport mode trunk SW3(config-if)# exit SW3(config)# end
Magyarázat: A router-on-a-stick megoldásban egyetlen fizikai linken haladnak a különböző VLAN-ok forgalmai IEEE 802.1Q (dot1Q) tagelés segítségével. Minden VLAN-hoz egy-egy alinterfész tartozik.
Az OSPF (Open Shortest Path First) dinamikus routing protokoll. Minden routeren process 1-es azonosítóval konfiguráljuk.
R1 – OSPF konfiguráció (RID: 1.1.1.1)
R1(config)# router ospf 1 R1(config-router)# router-id 1.1.1.1 R1(config-router)# network 192.168.1.144 0.0.0.3 area 0 R1(config-router)# network 192.168.1.148 0.0.0.3 area 0 R1(config-router)# network 192.168.1.0 0.0.0.63 area 0 R1(config-router)# network 192.168.1.64 0.0.0.63 area 0 R1(config-router)# network 192.168.1.128 0.0.0.7 area 0 R1(config-router)# exit
R2 – OSPF konfiguráció (RID: 2.2.2.2)
R2(config)# router ospf 1 R2(config-router)# router-id 2.2.2.2 R2(config-router)# network 192.168.1.148 0.0.0.3 area 0 R2(config-router)# network 192.168.1.156 0.0.0.3 area 0 R2(config-router)# exit
R3 – OSPF konfiguráció (RID: 3.3.3.3)
R3(config)# router ospf 1 R3(config-router)# router-id 3.3.3.3 R3(config-router)# network 192.168.1.144 0.0.0.3 area 0 R3(config-router)# network 192.168.1.152 0.0.0.3 area 0 R3(config-router)# exit
R4 – OSPF konfiguráció (RID: 4.4.4.4)
R4(config)# router ospf 1 R4(config-router)# router-id 4.4.4.4 R4(config-router)# network 192.168.1.152 0.0.0.3 area 0 R4(config-router)# network 192.168.1.156 0.0.0.3 area 0 R4(config-router)# exit
Magyarázat: Az OSPF area 0 az alapterület (backbone area). A 'network' parancs meghatározza, melyik interfészek vegyenek részt az OSPF-ben. A wildcard maszk az alhálózati maszk fordítottja.
R4(config)# ip route 0.0.0.0 0.0.0.0 80.90.100.2 ! Alapértelmezett útvonal hirdetése OSPF-ben R4(config)# router ospf 1 R4(config-router)# default-information originate R4(config-router)# exit R4(config)# end R4# write memory
Magyarázat: A '0.0.0.0 0.0.0.0' az összes célállomást jelenti (default route). A 'default-information originate' gondoskodik arról, hogy R4 hirdesse ezt az útvonalat az OSPF szomszédainak.
! R1 – fa2/0 interfész (R2 felé) – MD5 hitelesítés R1(config)# interface fa2/0 R1(config-if)# ip ospf authentication message-digest R1(config-if)# ip ospf message-digest-key 1 md5 cisco R1(config-if)# exit ! R1 – fa1/0 interfész (R3 felé) – MD5 hitelesítés R1(config)# interface fa1/0 R1(config-if)# ip ospf authentication message-digest R1(config-if)# ip ospf message-digest-key 1 md5 cisco R1(config-if)# exit ! R2 – fa2/0 interfész (R1 felé) – MD5 hitelesítés R2(config)# interface fa2/0 R2(config-if)# ip ospf authentication message-digest R2(config-if)# ip ospf message-digest-key 1 md5 cisco R2(config-if)# exit ! R3 – fa1/0 interfész (R1 felé) – MD5 hitelesítés R3(config)# interface fa1/0 R3(config-if)# ip ospf authentication message-digest R3(config-if)# ip ospf message-digest-key 1 md5 cisco R3(config-if)# exit
Magyarázat: Az MD5 hitelesítés megakadályozza, hogy illetéktelen eszközök OSPF szomszédságot építsenek. A kulcs azonosítója '1', a jelszó 'cisco'. Mindkét interfészen be kell állítani.
A passive-interface megakadályozza, hogy az OSPF Hello-csomagokat küldjön olyan interfészeken, amelyek felé nem kell szomszédság. | ! R1 – VLAN interfészek passzívra (g0/1.10, g0/1.20, g0/1.30) R1(config)# router ospf 1 R1(config-router)# passive-interface g0/1.10 R1(config-router)# passive-interface g0/1.20 R1(config-router)# passive-interface g0/1.30 R1(config-router)# exit ! R4 – s6/0 interfész passzívra (ISP felé nem kell OSPF) R4(config)# router ospf 1 R4(config-router)# passive-interface s6/0 R4(config-router)# exit |
Magyarázat: A belső hálózati interfészeken (PC-k felé) nem szükséges OSPF szomszédság, csak a routerek közötti linkeken. Ez csökkenti a felesleges forgalmat és növeli a biztonságot.
! R4 – Soros interfész + CHAP hitelesítés R4(config)# interface s6/0 R4(config-if)# encapsulation ppp R4(config-if)# ppp authentication chap R4(config-if)# ip address 80.90.100.2 255.255.255.252 R4(config-if)# no shutdown R4(config-if)# exit R4(config)# username ISP password csico ! ISP – Soros interfész + CHAP hitelesítés ISP(config)# interface s6/0 ISP(config-if)# encapsulation ppp ISP(config-if)# ppp authentication chap ISP(config-if)# ip address 80.90.100.1 255.255.255.252 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# username R4 password csico
Magyarázat: A CHAP (Challenge Handshake Authentication Protocol) PPP hitelesítési eljárás. A jelszó 'csico' (ahogy a feladatban szerepel). Mindkét eszközön be kell állítani, a felhasználónév a másik fél neve.
Az EtherChannel több fizikai linket egyetlen logikai linkké von össze. LACP az IEEE 802.3ad szabvány.
! SW1 – fa0/21 és fa0/22 portok összevonása LACP-val SW1(config)# interface range fa0/21 - 22 SW1(config-if-range)# channel-group 1 mode active SW1(config-if-range)# switchport mode trunk SW1(config-if-range)# exit ! SW3 – fa0/21 és fa0/22 portok összevonása LACP-val SW3(config)# interface range fa0/21 - 22 SW3(config-if-range)# channel-group 1 mode active SW3(config-if-range)# switchport mode trunk SW3(config-if-range)# exit ! Port-channel interfész konfigurálása SW1(config)# interface port-channel 1 SW1(config-if)# switchport mode trunk SW1(config-if)# exit SW3(config)# interface port-channel 1 SW3(config-if)# switchport mode trunk SW3(config-if)# exit
Magyarázat: LACP 'active' módban aktívan tárgyalja a csatorna kialakítását. A 'channel-group 1' azonosítja a csoportot, ez lesz a Port-Channel1 logikai interfész.
PAgP a Cisco saját EtherChannel protokollja. A 'desirable' mód aktívan kezdeményezi a csatorna felépítését.
! SW2 – fa0/23 és fa0/24 portok összevonása PAgP-val SW2(config)# interface range fa0/23 - 24 SW2(config-if-range)# channel-group 2 mode desirable SW2(config-if-range)# switchport mode trunk SW2(config-if-range)# exit ! SW3 – fa0/23 és fa0/24 portok összevonása PAgP-val SW3(config)# interface range fa0/23 - 24 SW3(config-if-range)# channel-group 2 mode desirable SW3(config-if-range)# switchport mode trunk SW3(config-if-range)# exit ! Port-channel interfész konfigurálása SW2(config)# interface port-channel 2 SW2(config-if)# switchport mode trunk SW2(config-if)# exit SW3(config)# interface port-channel 2 SW3(config-if)# switchport mode trunk SW3(config-if)# exit
Magyarázat: A PAgP 'desirable' mindkét oldalon egyenértékű aktív módot jelent. A 2-es csoportazonosítót használjuk, mivel az 1-es már LACP-ra foglalt.
A WR1 wireless router hozzáférési pontként funkcionál az LT1 laptop számára.
| ! WR1 – Wireless Router beállítása (GUI-ban Packet Tracerben): ! Network Setup: ! SSID: WLAN ! Security Mode: WPA2-PSK ! Passphrase: wifipasswd ! DHCP Server: Enable ! Start IP: 192.168.0.10 ! End IP: 192.168.0.100 ! Default Gateway: 192.168.0.1 ! LT1 – Laptop beállítása (GUI-ban): ! Desktop → PC Wireless: ! Keresés: WLAN ! WPA2-PSK jelszó: wifipasswd ! Kapcsolódás és IP ellenőrzés: ip config |
|---|
Magyarázat: A WR1 router grafikus felületén (Config → Wireless) kell beállítani az SSID-t és a biztonsági beállításokat. A DHCP a 192.168.0.10-192.168.0.100 tartományból oszt ki IP-t.
A SYSLOG szerver összegyűjti a hálózati eszközök naplóüzeneteit. A szerver IP-je: 192.168.1.136.
! R1, R2, R3, R4 – SYSLOG konfiguráció R1(config)# logging 192.168.1.138 R1(config)# logging on R1(config)# end ! Ugyanígy R2, R3, R4, SW1, SW2, SW3-on is: R2(config)# logging 192.168.1.138 R2(config)# logging on R3(config)# logging 192.168.1.138 R3(config)# logging on R4(config)# logging 192.168.1.138 R4(config)# logging on SW1(config)# logging 192.168.1.138 SW1(config)# logging on SW2(config)# logging 192.168.1.138 SW2(config)# logging on SW3(config)# logging 192.168.1.138 SW3(config)# logging on
Magyarázat: A 'logging' parancs megadja a SYSLOG szerver IP-jét. A 192.168.1.138 a feladat topológiájában jelölt SYSLOG szerver IP-je (.138 végű cím).
! Minden switchen engedélyezzük a Rapid PVST+-t SW1(config)# spanning-tree mode rapid-pvst SW2(config)# spanning-tree mode rapid-pvst SW3(config)# spanning-tree mode rapid-pvst ! SW3 legyen a gyökérpont minden VLAN-ban SW3(config)# spanning-tree vlan 1,10,20,30 root primary ! Ellenőrzés: SW3# show spanning-tree
Magyarázat: A Rapid PVST+ (Rapid Per-VLAN Spanning Tree Plus) gyorsabb konvergenciát biztosít, mint az eredeti STP. A 'root primary' automatikusan alacsonyra állítja SW3 prioritását (4096), hogy biztosan ő legyen a gyökér.
A portvédelem korlátozza, hogy hány és milyen MAC cím csatlakozhat egy porthoz.
! SW1 – Access portok védelme (fa0/1 – PC1, fa0/2 – PC2) SW1(config)# interface fa0/1 SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security maximum 1 SW1(config-if)# switchport port-security mac-address sticky SW1(config-if)# switchport port-security violation restrict SW1(config-if)# exit SW1(config)# interface fa0/2 SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security maximum 1 SW1(config-if)# switchport port-security mac-address sticky SW1(config-if)# switchport port-security violation restrict SW1(config-if)# exit ! SW2 – Access portok védelme (fa0/1 – PC3, fa0/2 – PC4) SW2(config)# interface fa0/1 SW2(config-if)# switchport port-security SW2(config-if)# switchport port-security maximum 1 SW2(config-if)# switchport port-security mac-address sticky SW2(config-if)# switchport port-security violation restrict SW2(config-if)# exit SW2(config)# interface fa0/2 SW2(config-if)# switchport port-security SW2(config-if)# switchport port-security maximum 1 SW2(config-if)# switchport port-security mac-address sticky SW2(config-if)# switchport port-security violation restrict SW2(config-if)# exit
Magyarázat: A 'sticky' mód automatikusan megtanulja és menti az első csatlakozó MAC-et. A 'restrict' üzemmód: ha jogosulatlan MAC csatlakozik, a port nem kapcsol le, de SYSLOG üzenetet küld és elveti a csomagot.
! Portfast és BPDUGuard – Végberendezésekhez csatlakozó portokon ! SW1 SW1(config)# interface fa0/1 SW1(config-if)# spanning-tree portfast SW1(config-if)# spanning-tree bpduguard enable SW1(config-if)# exit SW1(config)# interface fa0/2 SW1(config-if)# spanning-tree portfast SW1(config-if)# spanning-tree bpduguard enable SW1(config-if)# exit ! SW2 – Hasonlóan SW2(config)# interface fa0/1 SW2(config-if)# spanning-tree portfast SW2(config-if)# spanning-tree bpduguard enable SW2(config-if)# exit SW2(config)# interface fa0/2 SW2(config-if)# spanning-tree portfast SW2(config-if)# spanning-tree bpduguard enable SW2(config-if)# exit
Magyarázat: A Portfast azonnal 'Forwarding' állapotba helyezi a portot, nem várja meg az STP konvergenciát (végberendezéseknél hasznos). A BPDUGuard letiltja a portot, ha BPDU-t (switch forgalmat) észlel rajta – ez megvédi a hálózatot jogosulatlan switchek csatlakozásától.
A PAT (Port Address Translation) lehetővé teszi, hogy a belső hálózatok egyetlen nyilvános IP-n keresztül érjék el az Internetet.
! R4 – NAT/PAT konfiguráció ! Belső interfészek jelölése (g3/0, g4/0) R4(config)# interface g3/0 R4(config-if)# ip nat inside R4(config-if)# exit R4(config)# interface g4/0 R4(config-if)# ip nat inside R4(config-if)# exit ! Külső interfész jelölése (s6/0) R4(config)# interface s6/0 R4(config-if)# ip nat outside R4(config-if)# exit ! ACL a belső hálózatokhoz (VLAN10 és VLAN20) R4(config)# access-list 10 permit 192.168.1.0 0.0.0.63 R4(config)# access-list 10 permit 192.168.1.64 0.0.0.63 ! PAT konfiguráció az overload kulcsszóval R4(config)# ip nat inside source list 10 interface s6/0 overload R4(config)# end R4# write memory
Magyarázat: A PAT ('overload') az összes belső IP-t egyetlen külső IP-re fordítja, különböző port számokon keresztül. A 'ip nat inside' és 'ip nat outside' jelöli meg az interfészeket. Az ACL meghatározza, kinek kell fordítani.
A belső webszerver (WEB1) IP-je: 192.168.1.137. Csak HTTP/HTTPS forgalmat engedünk be.
! R4 – Extended ACL a WEB1 szerver számára R4(config)# ip access-list extended WEB1-ACCESS R4(config-ext-nacl)# permit tcp any host 192.168.1.137 eq 80 R4(config-ext-nacl)# permit tcp any host 192.168.1.137 eq 443 R4(config-ext-nacl)# deny ip any any R4(config-ext-nacl)# exit ! ACL alkalmazása a befelé néző interfészen R4(config)# interface g3/0 R4(config-if)# ip access-group WEB1-ACCESS in R4(config-if)# exit
Magyarázat: A kiterjesztett ACL pontosan meghatározza, milyen forgalom mehet át. A 'deny ip any any' szabály implicit is létezik, de jobb explicitté tenni. A WEB1 szerver csak HTTP (80) és HTTPS (443) forgalmat fogadhat.
Csak a VLAN10 (192.168.1.0/26) kliensek érhetik el a WEB1 (192.168.1.137) szervert.
! R1 – Numbered Extended ACL (100-as sorszám) R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.63 host 192.168.1.137 eq 80 R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.63 host 192.168.1.137 eq 443 R1(config)# access-list 100 deny ip any any ! ACL alkalmazása – EGYETLEN interfészen (g0/1.10 – VLAN10 bejövő forgalom) R1(config)# interface g0/1.10 R1(config-if)# ip access-group 100 in R1(config-if)# exit R1(config)# end R1# write memory
Magyarázat: A 100-as számú ACL kiterjesztett ACL (100-199 tartomány). A forrás 192.168.1.0 /26 (VLAN10). Csak erre az egy interfészre alkalmazzuk (g0/1.10), ahogy a feladat kéri.
Csak a VLAN20 (192.168.1.64/26) kliensek érhetik el SSH-val R1-et.
! R1 – Standard ACL (1-es sorszám) R1(config)# access-list 1 permit 192.168.1.64 0.0.0.63 R1(config)# access-list 1 deny any ! ACL alkalmazása a VTY vonalakra – EGYETLEN helyen R1(config)# line vty 0 4 R1(config-line)# access-class 1 in R1(config-line)# exit R1(config)# end R1# write memory
Magyarázat: A standard (normál) ACL csak a forrás IP-t vizsgálja. Az 'access-class' parancs VTY vonalakra alkalmazza az ACL-t – ez a Telnet/SSH hozzáférést korlátozza. Az 1-es sorszám standard ACL (1-99 tartomány).
Az FTP szerveren (IP: 80.90.100.6) létrehozunk egy felhasználót korlátozott jogosultságokkal.
| ! Packet Tracerben az FTP szerver grafikus felületén: ! Services → FTP ! ! 1. Kattints az 'Add' gombra új felhasználó hozzáadásához ! 2. Username: ftpuser (vagy tetszőleges) ! 3. Password: cisco ! 4. Jogosultságok: ! [x] List – listázási jog ! [x] Read – olvasási/letöltési jog ! [ ] Write – NEM engedélyezett ! [ ] Delete – NEM engedélyezett ! [ ] Rename – NEM engedélyezett ! 5. Kattints 'Save'-re |
|---|
Magyarázat: Az FTP szerver Packet Tracerben grafikus felületen konfigurálható. A List és Read jogok elegendők a fájlok böngészéséhez és letöltéséhez, de írásra nem ad lehetőséget.
A running konfigurációt TFTP-vel mentsük el a SYSLOG/WEB1 szerverre.
! R1 – Konfiguráció mentése TFTP-vel ! A TFTP szerver IP-je legyen a 192.168.1.138 (SYSLOG/WEB1 szerver) ! Vagy az FTP szerver IP-je: 80.90.100.6 (de TFTP kell, nem FTP!) R1# copy running-config tftp Address or name of remote host []? 192.168.1.138 Destination filename [r1-confg]? r1-config.txt ! Ha az FTP szerverre kell menteni TFTP-vel: R1# copy running-config tftp Address or name of remote host []? 80.90.100.6 Destination filename [r1-confg]? r1-backup.txt ! Ellenőrzés: R1# show running-config
Magyarázat: A 'copy running-config tftp' parancs TFTP protokollon keresztül menti a konfigurációt. A céleszköznek aktív TFTP szolgáltatással kell rendelkeznie. Packet Tracerben a szerver Services → TFTP menüpontjában engedélyezhető.
| Hálózat | IP Tartomány | Eszközök |
|---|---|---|
| VLAN10 (TEREM1) | 192.168.1.0/26 | PC1, PC3 |
| VLAN20 (TEREM2) | 192.168.1.64/26 | PC2, PC4 |
| VLAN30 (ADMIN) | 192.168.1.128/29 | SW1, SW2, SW3 |
| R1-R3 link | 192.168.1.144/30 | R1 (.145), R3 (.146) |
| R1-R2 link | 192.168.1.148/30 | R1 (.149), R2 (.150) |
| R3-R4 link | 192.168.1.152/30 | R3 (.153), R4 (.154) |
| R2-R4 link | 192.168.1.156/30 | R2 (.157), R4 (.158) |
| R4-ISP link | 80.90.100.0/30 | R4 (.2), ISP (.1) |
| ISP-FTP link | 80.90.100.4/30 | ISP (.5), FTP (.6) |
| SYSLOG/WEB1 | 192.168.1.136/30 | .138 |
| WiFi (WR1) | 192.168.0.0/24 | LT1: DHCP .10-.100 |
Minden parancs Cisco IOS szintaxissal készült, Cisco Packet Tracer szimulációs környezetben használható.
📡 Packet Tracer Topológia
A hálózati topológia képet töltsd be a Packet Tracer feladathoz. A feladatok 1-23-ig az alábbi szekciókban találhatók részletes konfigurációkkal.
Az FTP szerveren (IP: 80.90.100.6) létrehozunk egy felhasználót korlátozott jogosultságokkal.
! Packet Tracerben az FTP szerver grafikus felületén: ! Services → FTP ! 1. Kattints az 'Add' gombra új felhasználó hozzáadásához ! 2. Username: ftpuser (vagy tetszőleges) ! 3. Password: cisco ! 4. Jogosultságok: ! [x] List – listázási jog ! [x] Read – olvasási/letöltési jog ! [ ] Write – NEM engedélyezett ! [ ] Delete – NEM engedélyezett ! [ ] Rename – NEM engedélyezett ! 5. Kattints 'Save'-re
Az FTP szerver Packet Tracerben grafikus felületen konfigurálható. A List és Read jogok elegendők a fájlok böngészéséhez és letöltéséhez, de írásra nem ad lehetőséget.
A running konfigurációt TFTP-vel mentsük el a SYSLOG/WEB1 szerverre.
! R1 – Konfiguráció mentése TFTP-vel ! A TFTP szerver IP-je: 192.168.1.138 (SYSLOG/WEB1 szerver) R1# copy running-config tftp Address or name of remote host []? 192.168.1.138 Destination filename [r1-confg]? r1-config.txt ! Ha az FTP szerverre kell menteni TFTP-vel: R1# copy running-config tftp Address or name of remote host []? 80.90.100.6 Destination filename [r1-confg]? r1-backup.txt ! Ellenőrzés: R1# show running-config
A copy running-config tftp parancs TFTP protokollon keresztül menti a konfigurációt. A céleszköznek aktív TFTP szolgáltatással kell rendelkeznie (Services → TFTP).
A HSRP (Hot Standby Router Protocol) egy Cisco saját protokoll, amely gateway redundanciát biztosít. Ha az aktív router meghibásodik, a tartalék (standby) router automatikusan átveszi a forgalmat – a végfelhasználók ezt nem érzékelik.
| Eszköz | Interfész | IP-cím | HSRP szerepe |
|---|---|---|---|
| R1 (Active) | Gi0/0 | 192.168.1.1/24 | Priority: 110 → ACTIVE |
| R2 (Standby) | Gi0/0 | 192.168.1.2/24 | Priority: 100 → STANDBY |
| Virtuális IP | — | 192.168.1.254/24 | Kliensek ezt kapják GW-nek |
| PC1, PC2 | — | DHCP / statikus | Default GW: 192.168.1.254 |
! R1 – HSRP Active router beállítása R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config-if)# no shutdown ! HSRP csoport 1, virtuális IP beállítása R1(config-if)# standby 1 ip 192.168.1.254 ! Priority 110 → R1 lesz az Active (default: 100) R1(config-if)# standby 1 priority 110 ! Preempt: ha R1 visszajön, visszaveszi az Active szerepet R1(config-if)# standby 1 preempt ! Timer beállítás (opcionális) R1(config-if)# standby 1 timers 3 10 R1(config-if)# exit R1# write memory
! R2 – HSRP Standby router beállítása R2(config)# interface GigabitEthernet0/0 R2(config-if)# ip address 192.168.1.2 255.255.255.0 R2(config-if)# no shutdown ! Ugyanaz a HSRP csoport és virtuális IP! R2(config-if)# standby 1 ip 192.168.1.254 ! Priority 100 (default) → R2 lesz a Standby R2(config-if)# standby 1 priority 100 ! Preempt R2-n is ajánlott R2(config-if)# standby 1 preempt R2(config-if)# exit R2# write memory
! Állapot megtekintése R1# show standby R1# show standby brief ! Kimenet példa (R1 Active): ! Interface Grp Pri P State Active Standby Virtual IP ! Gi0/0 1 110 P Active local 192.168.1.2 192.168.1.254 ! R2-n ugyanez: R2# show standby brief ! Interface Grp Pri P State Active Standby Virtual IP ! Gi0/0 1 100 P Standby 192.168.1.1 local 192.168.1.254 ! Ping tesztelés PCről: ! PC> ping 192.168.1.254 → sikeres legyen! ! Ha R1 leáll → R2 átveszi → ping folyamatos marad
Ha az uplink (internet felé mutató) interfész meghibásodik, csökkentjük a prioritást, hogy a másik router vegye át.
! R1 – Ha a WAN interfész (Gi0/1) lemegy, priority csökken 20-szal R1(config)# interface GigabitEthernet0/0 R1(config-if)# standby 1 track GigabitEthernet0/1 20 ! Ha Gi0/1 lemegy: R1 priority = 110 - 20 = 90 → R2 (100) lesz az Active! ! Ha Gi0/1 visszajön: R1 priority = 110 → preempt → visszaveszi Active-t
| Parancs | Leírás |
|---|---|
| standby 1 ip 192.168.1.254 | Virtuális IP beállítása (group 1) |
| standby 1 priority 110 | Priority beállítás (magasabb = Active) |
| standby 1 preempt | Visszaveszi Active szerepet ha visszajön |
| standby 1 timers 3 10 | Hello: 3mp, Dead: 10mp |
| standby 1 track Gi0/1 20 | Interface tracking – 20-szal csökkenti priority-t |
| show standby | HSRP állapot részletesen |
| show standby brief | HSRP állapot röviden |
A RAID (Redundant Array of Independent Disks) több fizikai lemezt egyetlen logikai egységgé von össze. Célja a redundancia (adatvédelem meghibásodás esetén) és/vagy a teljesítménynövelés.
| RAID szint | Min. lemez | Redundancia | Teljesítmény | Mikor használd |
|---|---|---|---|---|
| RAID 0 | 2 | ❌ Nincs | ⚡ Legjobb | Sebesség kell, adat nem fontos |
| RAID 1 | 2 | ✅ Tükrözés | → Olvasás gyors | Fontos adatok, egyszerű védelem |
| RAID 5 | 3 | ✅ 1 lemez hiba | ✅ Jó | Szerver storage, jó egyensúly |
| RAID 6 | 4 | ✅ 2 lemez hiba | → Közepes | Kritikus adatok |
| RAID 10 | 4 | ✅ Tükrözés+Stripe | ⚡ Nagyon jó | Adatbázis szerverek |
sudo apt update sudo apt install mdadm -y
# Elérhető lemezek listája sudo fdisk -l # Részletes info egy lemezről sudo lsblk # Lemez állapot ellenőrzése sudo mdadm --examine /dev/sdb
# RAID 1 létrehozása 2 lemezből sudo mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb /dev/sdc # Megerősítés: y-t nyomj ha kérdezi # Figyelj: ez TÖRLI a lemezeken lévő adatokat!
# RAID 5 létrehozása 3 lemezből sudo mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd # Ellenőrzés – szinkronizáció folyamata sudo cat /proc/mdstat # Várj amíg 100%-ra nem ér! (lehet percekig tart) watch cat /proc/mdstat
# Formázás ext4-re sudo mkfs.ext4 /dev/md0 # Mount point létrehozása sudo mkdir /mnt/raid # Csatolás sudo mount /dev/md0 /mnt/raid # Ellenőrzés df -h | grep md0
# UUID lekérdezése sudo blkid /dev/md0 # fstab szerkesztése sudo nano /etc/fstab # Add hozzá a fájl végéhez: UUID=XXXX-XXXX /mnt/raid ext4 defaults 0 2 # Teszt sudo mount -a df -h
# mdadm.conf frissítése (fontos! nélküle reboot után nem indul) sudo mdadm --detail --scan | sudo tee -a /etc/mdadm/mdadm.conf # initramfs frissítése sudo update-initramfs -u # Ellenőrzés sudo mdadm --detail /dev/md0
# Általános állapot sudo mdadm --detail /dev/md0 # Gyors állapot (minden RAID tömb) cat /proc/mdstat # Lemez részletes info sudo mdadm --examine /dev/sdb # RAID tömb leállítása sudo mdadm --stop /dev/md0 # RAID tömb újraindítása sudo mdadm --assemble /dev/md0 /dev/sdb /dev/sdc
# 1. Hibás lemez megjelölése (faulty) sudo mdadm /dev/md0 --fail /dev/sdc # 2. Eltávolítás sudo mdadm /dev/md0 --remove /dev/sdc # 3. Fizikailag cseréld ki a lemezt (új: /dev/sdc) # 4. Hozzáadás (újraépítés automatikus) sudo mdadm /dev/md0 --add /dev/sdc # 5. Újraépítés figyelése watch cat /proc/mdstat
| Parancs | Mit csinál |
|---|---|
| mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb /dev/sdc | RAID 1 létrehozása |
| mdadm --detail /dev/md0 | RAID részletes állapota |
| cat /proc/mdstat | Gyors állapot, szinkronizáció % |
| mdadm --fail /dev/md0 /dev/sdc | Lemez hibásnak jelölése |
| mdadm --remove /dev/md0 /dev/sdc | Lemez eltávolítása |
| mdadm --add /dev/md0 /dev/sdc | Új lemez hozzáadása |
| mdadm --stop /dev/md0 | RAID leállítása |
| update-initramfs -u | Boot konfig frissítése |
Az LVM (Logical Volume Manager) egy rugalmas kötet-kezelő rendszer. Lehetővé teszi, hogy a fizikai lemezeket (PV) egy csoportba (VG) vonjuk össze, majd abból logikai köteteket (LV) hozzunk létre, amelyeket bármikor átméretezhetünk.
| Fogalom | Rövidítés | Leírás |
|---|---|---|
| Physical Volume | PV | Fizikai lemez vagy partíció (/dev/sdb) |
| Volume Group | VG | PV-kből összerakott pool (pl. vg_data) |
| Logical Volume | LV | VG-ből kivágott logikai kötet (pl. lv_data) |
| Physical Extent | PE | LVM alapegység (default: 4MB) |
sudo apt update sudo apt install lvm2 -y
# Lemezek előkészítése PV-nek sudo pvcreate /dev/sdb sudo pvcreate /dev/sdc # Ellenőrzés sudo pvdisplay sudo pvs
# VG létrehozása 2 PV-ből (vg_data névvel) sudo vgcreate vg_data /dev/sdb /dev/sdc # Ellenőrzés sudo vgdisplay sudo vgs
# LV létrehozása fix mérettel (10GB) sudo lvcreate -L 10G -n lv_data vg_data # LV létrehozása a VG összes szabad helyével sudo lvcreate -l 100%FREE -n lv_data vg_data # LV létrehozása PE számmal (pl. 2560 PE × 4MB = 10GB) sudo lvcreate -l 2560 -n lv_data vg_data # Ellenőrzés sudo lvdisplay sudo lvs
# Formázás ext4-re sudo mkfs.ext4 /dev/vg_data/lv_data # Mount point sudo mkdir /mnt/lvm_data # Csatolás sudo mount /dev/vg_data/lv_data /mnt/lvm_data # Ellenőrzés df -h
# UUID lekérdezése sudo blkid /dev/vg_data/lv_data # fstab szerkesztése sudo nano /etc/fstab # Add hozzá: /dev/vg_data/lv_data /mnt/lvm_data ext4 defaults 0 2 # Teszt sudo mount -a
# LV bővítése 5GB-tal sudo lvextend -L +5G /dev/vg_data/lv_data # Fájlrendszer bővítése (ext4 esetén) sudo resize2fs /dev/vg_data/lv_data # Egyszerre: bővítés + fájlrendszer sudo lvextend -L +5G -r /dev/vg_data/lv_data # Ellenőrzés df -h
# Új lemez PV-vé alakítása sudo pvcreate /dev/sdd # Hozzáadás a meglévő VG-hez sudo vgextend vg_data /dev/sdd # Ellenőrzés sudo vgs sudo pvs
# 1. Lecsatolás sudo umount /mnt/lvm_data # 2. Fájlrendszer ellenőrzés (kötelező!) sudo e2fsck -f /dev/vg_data/lv_data # 3. Fájlrendszer csökkentése sudo resize2fs /dev/vg_data/lv_data 8G # 4. LV csökkentése sudo lvreduce -L 8G /dev/vg_data/lv_data # 5. Visszacsatolás sudo mount /dev/vg_data/lv_data /mnt/lvm_data
# Snapshot létrehozása (2GB snapshot tér) sudo lvcreate -L 2G -s -n lv_data_snap /dev/vg_data/lv_data # Snapshot csatolása (csak olvasható) sudo mkdir /mnt/snap sudo mount -o ro /dev/vg_data/lv_data_snap /mnt/snap # Snapshot törlése sudo lvremove /dev/vg_data/lv_data_snap
| Parancs | Mit csinál |
|---|---|
| pvcreate /dev/sdb | Fizikai kötet létrehozása |
| pvdisplay / pvs | PV-k listázása |
| vgcreate vg_data /dev/sdb | Volume group létrehozása |
| vgdisplay / vgs | VG-k listázása |
| lvcreate -L 10G -n lv_data vg_data | Logikai kötet létrehozása (10GB) |
| lvdisplay / lvs | LV-k listázása |
| lvextend -L +5G -r /dev/vg_data/lv_data | LV bővítése (fájlrendszerrel együtt) |
| resize2fs /dev/vg_data/lv_data | Fájlrendszer bővítése |
| vgextend vg_data /dev/sdd | VG bővítése új lemezzel |
| lvcreate -s -n snap /dev/vg/lv | Snapshot létrehozása |
A journalctl a systemd napló-rendszerének (journal) kezelő eszköze. Minden rendszeresemény, szolgáltatás-indulás, hiba ide kerül.
# Összes napló megjelenítése (lapozható) sudo journalctl # Legutóbbi N sor sudo journalctl -n 50 # Valós idejű figyelés (mint a tail -f) sudo journalctl -f # Csak hibák és súlyosabb üzenetek sudo journalctl -p err sudo journalctl -p 0..3 # 0=emerg, 1=alert, 2=crit, 3=err # Adott szolgáltatás naplója sudo journalctl -u apache2 sudo journalctl -u ssh sudo journalctl -u nginx # Valós idejű szolgáltatás napló sudo journalctl -u apache2 -f
# Mai napló sudo journalctl --since today # Utolsó 1 óra sudo journalctl --since "1 hour ago" # Dátum szerint sudo journalctl --since "2026-05-14 08:00:00" sudo journalctl --since "2026-05-14" --until "2026-05-14 12:00:00" # Előző boot (újraindítás előtti) sudo journalctl -b -1 # Jelenlegi boot sudo journalctl -b 0
| Szám | Prioritás | Parancs | Leírás |
|---|---|---|---|
| 0 | emerg | journalctl -p 0 | Rendszer használhatatlan |
| 1 | alert | journalctl -p 1 | Azonnali beavatkozás kell |
| 2 | crit | journalctl -p 2 | Kritikus hiba |
| 3 | err | journalctl -p 3 | Hiba |
| 4 | warning | journalctl -p 4 | Figyelmeztetés |
| 5 | notice | journalctl -p 5 | Normál, de fontos |
| 6 | info | journalctl -p 6 | Tájékoztató |
| 7 | debug | journalctl -p 7 | Debug infók |
# Napló mérete sudo journalctl --disk-usage # Régi naplók törlése (max 100MB tartása) sudo journalctl --vacuum-size=100M # Régi naplók törlése (2 hétnél régebbiek) sudo journalctl --vacuum-time=2weeks # Napló konfiguráció sudo nano /etc/systemd/journald.conf # SystemMaxUse=500M # MaxRetentionSec=1month
# Syslog fájlok helye cat /var/log/syslog # Általános rendszernapló cat /var/log/auth.log # Bejelentkezések, sudo cat /var/log/kern.log # Kernel üzenetek cat /var/log/apache2/access.log # Apache hozzáférési napló cat /var/log/apache2/error.log # Apache hibák # Valós idejű figyelés sudo tail -f /var/log/syslog sudo tail -f /var/log/auth.log # Keresés a naplóban sudo grep "error" /var/log/syslog sudo grep "Failed password" /var/log/auth.log # Utolsó bejelentkezések last lastb # Sikertelen bejelentkezések
# rsyslog telepítése sudo apt install rsyslog -y # Konfiguráció szerkesztése sudo nano /etc/rsyslog.conf # Naplók küldése távoli szerverre (pl. 192.168.1.100) # Add hozzá a fájl végéhez: *.* @192.168.1.100:514 # UDP *.* @@192.168.1.100:514 # TCP (megbízhatóbb) # rsyslog újraindítása sudo systemctl restart rsyslog # Ellenőrzés sudo systemctl status rsyslog
| Parancs | Mit csinál |
|---|---|
| journalctl -f | Valós idejű napló figyelés |
| journalctl -u SERVICE | Adott szolgáltatás naplója |
| journalctl -p err | Csak hibák megjelenítése |
| journalctl --since today | Mai naplók |
| journalctl -b | Jelenlegi boot naplója |
| journalctl --disk-usage | Napló mérete |
| journalctl --vacuum-size=100M | Régi naplók törlése |
| tail -f /var/log/syslog | Syslog valós idejű figyelés |
| grep "error" /var/log/syslog | Hibák keresése syslogban |
A Linux alap jogosultság-rendszer (rwx) csak 3 entitást ismer: tulajdonos, csoport, mások. Az ACL (Access Control List) ezt kibővíti – bármely felhasználónak vagy csoportnak egyedi jogot adhatsz egy fájlra/mappára.
# acl csomag telepítése sudo apt install acl -y # Ellenőrzés hogy a fájlrendszer támogatja-e sudo tune2fs -l /dev/sda1 | grep "Default mount options" # Ha "acl" szerepel benne: OK # Ha nem: fstab szerkesztése sudo nano /etc/fstab # UUID=xxx / ext4 defaults,acl 0 1 # Majd újracsatolás: sudo mount -o remount /
# ACL jogok megtekintése getfacl /mnt/shares/projekt # ACL jog beállítása felhasználónak setfacl -m u:balazs:rwx /mnt/shares/projekt # ACL jog beállítása csoportnak setfacl -m g:fejlesztok:rx /mnt/shares/projekt # ACL jog eltávolítása felhasználótól setfacl -x u:balazs /mnt/shares/projekt # Összes ACL törlése setfacl -b /mnt/shares/projekt # Rekurzív beállítás (mappán belül minden fájlra) setfacl -R -m u:balazs:rwx /mnt/shares/projekt
# Default ACL beállítása mappára # (minden új fájl/mappa automatikusan megkapja ezt a jogot) setfacl -d -m u:balazs:rwx /mnt/shares/projekt setfacl -d -m g:fejlesztok:rx /mnt/shares/projekt # Ellenőrzés – a default: sorokat nézd getfacl /mnt/shares/projekt # Példa kimenet: # # file: mnt/shares/projekt # # owner: root # # group: root # user::rwx # user:balazs:rwx # group::r-x # group:fejlesztok:r-x # mask::rwx # other::--- # default:user::rwx # default:user:balazs:rwx # default:group::r-x # default:mask::rwx # default:other::---
Feladat: A /mnt/projekt mappához adjunk olvasási jogot a "teszter" felhasználónak, írási jogot a "fejlesztok" csoportnak, más felhasználóknak semmi.
# 1. Mappa létrehozása sudo mkdir -p /mnt/projekt # 2. Alap jogok beállítása sudo chmod 770 /mnt/projekt # 3. ACL beállítása teszter felhasználónak (csak olvasás) sudo setfacl -m u:teszter:r-x /mnt/projekt # 4. ACL beállítása fejlesztok csoportnak (olvasás + írás) sudo setfacl -m g:fejlesztok:rwx /mnt/projekt # 5. Default ACL hogy az új fájlok is örököljék sudo setfacl -d -m u:teszter:r-x /mnt/projekt sudo setfacl -d -m g:fejlesztok:rwx /mnt/projekt # 6. Ellenőrzés getfacl /mnt/projekt ls -la /mnt/projekt # + jel jelzi az ACL-t: drwxrwx---+
# Samba megosztásnál az ACL-ek is érvényesek # smb.conf-ban engedélyezés: # [shares] # path = /mnt/shares # acl support = yes # Samba ACL kezelés Windows-ból: # Net rpc jogosultság: sudo net rpc rights grant "DOMAIN\Domain Admins" SeDiskOperatorPrivilege \ -U "DOMAIN\Administrator%jelszo"
| Parancs | Leírás |
|---|---|
| getfacl FAJL | ACL jogok megtekintése |
| setfacl -m u:USER:rwx FAJL | Felhasználónak jog adása |
| setfacl -m g:GROUP:rx FAJL | Csoportnak jog adása |
| setfacl -x u:USER FAJL | Felhasználó ACL-jének törlése |
| setfacl -b FAJL | Összes ACL törlése |
| setfacl -R -m u:USER:rwx MAPPA | Rekurzív ACL beállítás |
| setfacl -d -m u:USER:rwx MAPPA | Default ACL (új fájlok öröklik) |
| Parancs | Mit csinál | Példa |
|---|---|---|
| ls | Fájlok listázása | ls -la /var/www |
| cd | Könyvtárváltás | cd /etc/apache2 |
| pwd | Jelenlegi könyvtár | pwd |
| mkdir | Könyvtár létrehozása | mkdir -p /mnt/data/shares |
| rmdir | Üres könyvtár törlése | rmdir /mnt/data |
| rm | Fájl törlése | rm -rf /tmp/temp |
| cp | Másolás | cp -r /var/www /backup/ |
| mv | Áthelyezés/átnevezés | mv file.txt /tmp/ |
| touch | Üres fájl létrehozása | touch index.html |
| cat | Fájl tartalma | cat /etc/hosts |
| nano | Szövegszerkesztő | nano /etc/fstab |
| find | Fájl keresés | find / -name "*.conf" |
| grep | Szöveg keresés | grep -r "error" /var/log/ |
| tail / head | Fájl vége/eleje | tail -f /var/log/syslog |
| wc | Sorok/szavak számolása | wc -l /etc/passwd |
# Szimbolikus mód chmod u+x script.sh # tulajdonos: futtatás hozzáadása chmod g-w file.txt # csoport: írás elvétele chmod o=r file.txt # mások: csak olvasás chmod a+x script.sh # mindenki: futtatás # Oktális mód chmod 755 script.sh # rwxr-xr-x chmod 644 file.txt # rw-r--r-- chmod 700 private/ # rwx------ chmod 770 shared/ # rwxrwx--- # Rekurzív chmod -R 755 /var/www/html/
# Tulajdonos megváltoztatása sudo chown www-data file.html sudo chown www-data:www-data file.html # tulajdonos:csoport sudo chown -R www-data:www-data /var/www/html/ # rekurzív # Csak csoport változtatása sudo chgrp apache /var/www/html/
| Jog | Érték | Mit jelent |
|---|---|---|
| SUID | 4xxx (pl. 4755) | Futtatáskor a tulajdonos jogával fut (pl. passwd) |
| SGID | 2xxx (pl. 2755) | Mappánál: új fájlok a mappa csoportját öröklik |
| Sticky bit | 1xxx (pl. 1777) | Mappánál: csak a tulajdonos törölheti saját fájlját (/tmp) |
# SGID beállítása mappára (új fájlok öröklik a csoport jogot) sudo chmod g+s /mnt/shares/ sudo chmod 2770 /mnt/shares/ # Sticky bit (/tmp minta) sudo chmod +t /mnt/public/ sudo chmod 1777 /mnt/public/ # Ellenőrzés ls -la /mnt/shares/ # drwxrws--- → s = SGID aktív # drwxrwxrwt → t = sticky bit
# tar – archiválás tar -czf archiv.tar.gz /mnt/data/ # tömörített archív létrehozása tar -xzf archiv.tar.gz # kicsomagolás tar -tzf archiv.tar.gz # tartalom listázása # zip zip -r archiv.zip /mnt/data/ unzip archiv.zip -d /mnt/kicsomagolt/ # Drupal/CMS zip kicsomagolás sudo unzip drupal.zip -d /var/www/html/
# Fájl keresés névben find /var/www -name "*.php" find / -name "index.html" -type f # Keresés méret szerint (100MB-nál nagyobb fájlok) find / -size +100M -type f # Keresés módosítás ideje szerint (utolsó 7 napban) find /var/log -mtime -7 -type f # Szöveg keresés fájlban grep -n "error" /var/log/apache2/error.log grep -r "password" /etc/ # rekurzív grep -i "failed" /var/log/auth.log # kis/nagybetű független # Kimenet szűrés cat /etc/passwd | grep www-data ls -la | grep ".conf"
| Parancs | Leírás |
|---|---|
| ls -la | Részletes lista (rejtett fájlokkal) |
| chmod 755 FILE | Jogok beállítása oktálisan |
| chown user:group FILE | Tulajdonos:csoport beállítása |
| find / -name "*.txt" | Fájl keresése név alapján |
| grep -r "szöveg" /mappa/ | Szöveg keresése rekurzívan |
| tar -czf back.tar.gz /mappa/ | Tömörített archív készítés |
| tar -xzf back.tar.gz | Archív kicsomagolása |
| df -h | Lemezhasználat |
| du -sh /mappa/ | Mappa mérete |
| ln -s /forras /link | Szimbolikus link létrehozása |