Na szybko – RSNET.PL

DMVPN faza 1 + IPSEC – konfiguracja

admin — Tue, 02 Jan 2018 19:36:21 +0000

We wpisie https://kubsoo.github.io/rsnet-website/dmvpn-faza-1-konfiguracja/ pokazałem jak skonfigurować DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP. W tym wpisie pokażę jak do tak przygotowanej konfiguracji dodać konfigurację IPSEC, tak żeby łączność pomiędzy urządzeniami była zabezpieczona przy wykorzystaniu IPSEC.

Przypomnijmy jeszcze raz topologię oraz konfigurację DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP.

Topologia

Konfiguracja DMVPN

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

KONFIGURACJA IPSEC

Przed przystąpieniem do konfigurowania IPSEC sprawdźmy jak wygląda ruch w DMVPN widziany na interfejsie fa0/0 routera R1. Posłużymy się do tego wiresharkiem:

Po uruchomieniu wiresharka spingujmy router R3 (SPOKE-2) z routera R2 (SPOKE-1). W tym celu wydajmy polecene ping 172.22.10.3 na routerze R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

Sprawdźmy jak wygląda ten ruch w wiresharku:

Widzimy, że ruch nie jest szyfrowany i możemy go podsłuchać. Spróbujmy go teraz zabezpieczyć przy pomocy IPSECa.

Konfiguracja IPSEC na każdym routerze wygląda tak samo:

R1 (HUB), R2 (SPOKE1), R3 (SPOKE2), R4 (SPOKE3)

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROFILE
 set transform-set TSET
!
int tunnel 0
 tunnel protection ipsec profile IPSEC_PROFILE

Po skonfigurowaniu IPSEC sprawdźmy czy zestawił się on poprawnie (isakmp sa i ipsec sa). Wystarczy, że dokonamy sprawdzenia na routerze R1 (HUB), ponieważ routery R2, R3, R4 zestawiają tunele tylko z nim.

R1 (HUB)

HUB#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.10.4 192.168.10.1 QM_IDLE 1005 ACTIVE
192.168.10.1 192.168.10.4 QM_IDLE 1004 ACTIVE
192.168.10.1 192.168.10.3 QM_IDLE 1003 ACTIVE
192.168.10.1 192.168.10.2 QM_IDLE 1001 ACTIVE
192.168.10.2 192.168.10.1 QM_IDLE 1002 ACTIVE
192.168.10.3 192.168.10.1 QM_IDLE 1006 ACTIVE

HUB#show crypto ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 192.168.10.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.3/255.255.255.255/47/0)
 current_peer 192.168.10.3 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.3
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x4D074ABE(1292323518)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xA8B99213(2830733843)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 7, flow_id: 7, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x81E2FE13(2179137043)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 9, flow_id: 9, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x7BDEB7FE(2078193662)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 17, flow_id: 17, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x2B6C154D(728503629)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 8, flow_id: 8, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x1A5D7249(442331721)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 10, flow_id: 10, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x4D074ABE(1292323518)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 18, flow_id: 18, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/47/0)
 current_peer 192.168.10.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.2
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x72B18574(1924236660)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0x532102AC(1394672300)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 1, flow_id: 1, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xA0B95616(2696500758)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 3, flow_id: 3, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D891B1C(1032395548)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 5, flow_id: 5, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x8888EE44(2290675268)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 2, flow_id: 2, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x85FE093(140501139)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 4, flow_id: 4, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x72B18574(1924236660)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 6, flow_id: 6, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.4/255.255.255.255/47/0)
 current_peer 192.168.10.4 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.4
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0xD87AECE3(3631934691)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xFCF21C61(4243725409)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 11, flow_id: 11, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x8DACF8C3(2376923331)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 13, flow_id: 13, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xF7D288AB(4157769899)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 15, flow_id: 15, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xE7B4AE5B(3887378011)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 12, flow_id: 12, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D9E28E5(1033775333)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 14, flow_id: 14, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xD87AECE3(3631934691)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 16, flow_id: 16, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać z wyników powyższych komend wszystkie tunele zestawiły się poprawnie.

WERYFIKACJA

Sprawdźmy teraz co widać w wiresharku przy pingowaniu routera R3 (SPOKE-2) z routera R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

PODSUMOWANIE

Jak widać zgodnie z teorią IPSEC w wiresharku przy pingowaniu widzimy adresy 192.168.10.X (ponieważ skonfigurowaliśmy IPSEC w trybie transportowym), ponadto nie widzimy jaki ruch jest przesyłany. Widzimy tylko pakiety ESP które składają się z ESP SPI oraz numeru sekwencyjnego. DMVPN w połączeniu z IPSEC jest bardzo dobrą kombinacją do budowania skalowanych sieci VPN między oddziałami firmy, ponieważ przy dodawaniu nowego oddziału (SPOKE) dzięki zastosowaniu DMVPN nie musimy nic konfigurować na naszym HUBie i taki nowy oddział po skonfigurowaniu będzie miał łączność pomiędzy innymi oddziałami a IPSEC pozwoli dodatkowo zabezpieczyć transmisję.

DMVPN faza 1 – konfiguracja

admin — Mon, 18 Dec 2017 18:17:16 +0000

Dynamic Multipoint VPN (DMVPN) faza 1, czyli tunele hub-and-spoke z dynamicznymi mapowaniami NHRP

Topologia

Konfiguracja

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

Przydatne komendy

show dmvpn
show ip nhrp

HUB (R1)

HUB#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:3,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.2 172.22.10.2 UP 01:36:59 D
 1 192.168.10.3 172.22.10.3 UP 01:36:59 D
 1 192.168.10.4 172.22.10.4 UP 01:36:59 D

HUB#show ip nhrp
172.22.10.2/32 via 172.22.10.2
 Tunnel0 created 01:37:43, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.2
172.22.10.3/32 via 172.22.10.3
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.3
172.22.10.4/32 via 172.22.10.4
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.4

SPOKE1 (R2)

SPOKE1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:39:36 S

SPOKE1#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:40:09, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE2 (R3)

SPOKE2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:40:38 S

SPOKE2#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:41:17, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE3 (R4)

SPOKE3#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:41:40 S

SPOKE3#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:42:22, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

WERYFIKACJA

traceroute SPOKE1 -> SPOKE2

SPOKE1#traceroute 172.22.10.3
Type escape sequence to abort.
Tracing the route to 172.22.10.3
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 8 msec 12 msec
 2 172.22.10.3 32 msec 20 msec 24 msec

traceroute SPOKE1 -> SPOKE3

SPOKE1#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 16 msec 8 msec 8 msec
 2 172.22.10.4 20 msec 20 msec 24 msec

traceroute SPOKE2 -> SPOKE3

SPOKE2#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 20 msec 12 msec
 2 172.22.10.4 20 msec 20 msec 32 msec

Jak widać ruch między oddziałami typu SPOKE (172.22.10.2,172.22.10.3,172.22.10.4) odbywa się przez HUB (172.22.10.1). Wyjaśnienie działania DMVPN oraz więcej informacji na temat pozostałych faz DMVPN w następnych wpisach.

Ubuntu aktualizacja jądra – na szybko

admin — Wed, 13 Dec 2017 21:35:33 +0000

Przed przystąpieniem do aktualizacji jądra sprawdźmy jaką wersję jądra posiadamy, służy do tego komenda uname -a:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.4.0-104-generic #127-Ubuntu SMP Mon Dec 11 12:16:42 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Wersja jądra to 4.4.0-104-generic

W celu aktualizacji jądra w systemie Ubuntu wchodzimy na stronę: http://kernel.ubuntu.com/~kernel-ppa/mainline/

wybieramy wersję jądra (ja wybrałem wersję v4.10). Po kliknięciu w odpowiednią wersję zostaniemy przekierowani na stronę:

http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/

gdzie mamy pliki dla odpowiednich platform sprzętowych. Ja posiadam procesor z architekturą 64 bitową, więc szukam plików dla tej architektury:

Build for amd64 succeeded (see BUILD.LOG.amd64):
  linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
  linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-headers-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb

Nas interesują tylko poniższe trzy pliki:

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Powyższe pliki ściągamy na nasz komputer korzystając z komendy wget:

wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Jak mamy wszystkie 3 pliki ściągnięte:

kuba@Ubuntu-1:~$ ls
linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

to przechodzimy do ich instalacji. W tym celu wykonujemy poniższą komendę:

kuba@Ubuntu-1:~$ sudo dpkg-i *.deb

Jeśli wszystko przebiegło poprawnie i nie dostaliśmy żadnego błędu, możemy zrestartować urządzenie. Po restarcie system powinien wystartować z nowym zaktualizowanym jądrem.

root@Ubuntu-1:~# reboot

Po restarcie sprawdźmy wersję jądra:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.10.0-041000-generic #201702191831 SMP Sun Feb 19 23:33:19 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Widzimy, że aktualizacja przebiegła poprawnie i system korzysta z jądra w wersji 4.10.0-041000-generic.

AUTOMATYZACJA

Skrypt to automatycznej aktualizacji jądra dla systemów Ubuntu i Debian można znaleźć pod poniższym linkiem:

https://gist.github.com/kubsoo/36b16278ece326dacc487bc68140a4be

Jest to skrypt Python, który działa następująco:

sprawdza architekturę systemu i obecnie zainstalowaną wersje systemu
sprawdza na stronie: http://kernel.ubuntu.com/~kernel-ppa/mainline jaka jest najnowsza wersja systemu
porównuje tą wersję z zainstalowaną wersją i jeśli się różnią to ściąga odpowiednie pliki dla najnowszej wersji
instaluje najnowszą wersję systemu
restartuje system

Wynik działania skryptu wygląda następująco:

root@ubuntu-2:/home/kuba# ./update_kernel.py
System Architecture is amd64
Kernel version is 4.13.0-21-generic
Found new kernel version 4.15.0-041500rc6
Proceed with download Y/n: Y
--2018-01-07 21:21:15-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 10864312 (10M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1'

linux-headers-4.15. 100%[===================>] 10,36M 5,85MB/s w 1,8s

2018-01-07 21:21:17 (5,85 MB/s) - zapisano `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1' [10864312/10864312]

--2018-01-07 21:21:17-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 1049628 (1,0M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-headers-4.15. 100%[===================>] 1,00M 2,64MB/s w 0,4s

2018-01-07 21:21:18 (2,64 MB/s) - zapisano `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [1049628/1049628]

--2018-01-07 21:21:18-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 52230452 (50M) [application/x-debian-package]
Zapis do: `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-image-4.15.0- 100%[===================>] 49,81M 6,34MB/s w 7,9s

2018-01-07 21:21:26 (6,27 MB/s) - zapisano `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [52230452/52230452]

Kernel packages downloaded successfully!!!

Proceed with install Y/n: Y
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6-generic.
(Odczytywanie bazy danych ... 69135 plików i katalogów obecnie zainstalowanych.)
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6.
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-image-4.15.0-041500rc6-generic.
Przygotowywanie do rozpakowania pakietu linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Done.
Rozpakowywanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Running depmod.
update-initramfs: deferring update (hook will be called later)
Examining /etc/kernel/postinst.d.
run-parts: executing /etc/kernel/postinst.d/apt-auto-removal 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/initramfs-tools 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
update-initramfs: Generating /boot/initrd.img-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/zz-update-grub 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
Generowanie pliku konfiguracyjnego GRUB-a...
Uwaga: Ustawienie GRUB_TIMEOUT na wartość niezerową przy ustawionym GRUB_HIDDEN_TIMEOUT nie jest już obsługiwane.
Znaleziono obraz Linuksa: /boot/vmlinuz-4.15.0-041500rc6-generic
Znaleziono obraz initrd: /boot/initrd.img-4.15.0-041500rc6-generic
Znaleziono obraz Linuksa: /boot/vmlinuz-4.13.0-21-generic
Znaleziono obraz initrd: /boot/initrd.img-4.13.0-21-generic
gotowe
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Installation successfull

Proceed with reboot Y/n: Y