ЗАДАНИЕ ДЛЯ КОНКУРСА :
Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux»
Версия 5 от 31.07.19.
ВВЕДЕНИЕ
Умение работать с системами на основе открытого исходного кода становится все более важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное конкурсное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном, интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.
ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ
Данное конкурсное задание разработано с использованием различных открытых технологий, с которыми вы должны быть знакомы по сертификационным курсам LPIC и Red Hat. Задания поделены на следующие секции:
- Базовая конфигурация
- Конфигурация сетевой инфраструктуры
- Службы централизованного управления и журналирования
- Конфигурация служб удаленного доступа
- Конфигурация веб-служб
- Конфигурация служб хранения данных
- Конфигурация параметров безопасности и служб аутентификации
Секции независимы друг от друга, но вместе они образуют достаточно сложную инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, динамическая маршрутизация должна выполняться поверх настроенного между организациями туннеля. Важно понимать, что если вам не удалось настроить полностью технологический стек, то это не означает, что работа не будет оценена. Например, для удаленного доступа необходимо настроить IPsec-туннель, внутри которого организовать GRE-туннель. Если, например, вам не удалось настроить IPsec, но вы смогли настроить GRE, то вы все еще получите баллы за организацию удаленного доступа.
ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА
В первую очередь необходимо прочитать задание полностью. Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. На вас возлагается ответственность за распределение своего рабочего времени. Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.
Доступ ко всем виртуальным машинам настроен по аккаунту root:toor.
Если Вам требуется установить пароль, (и он не указан в задании) используйте: “P@ssw0rd”.
Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса возникнут проблемы.
Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-RTR-A, L-RTR-B, L-CLI-A, L-CLI-B.
Организация RIGHT включает виртуальные машины: R-SRV, R-FW, R-RTR, R-CLI.
НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ
Ожидается, что конкурсное задание выполнимо Участником с привлечением оборудования и материалов, указанных в Инфраструктурном Листе.
В качестве системной ОС в организации LEFT используется Debian
В качестве системной ОС в организации RIGHT используется CentOS
Вам доступен диск CentOS-7-x86_64-Everything-1810.iso
Вам доступен диск debian-10.0.0-amd64-BD-1.iso
Вам доступен диск debian-10.0.0-amd64-BD-2.iso
Вам доступен диск debian-10.0.0-amd64-BD-3.iso
Вам доступен диск debian-10.0.0-amd64-BD-4.iso
Вам доступен диск Additional.iso, на котором располагаются недостающие RPM пакеты
Конфигурация хостов
- Настройте имена хостов в соответствии с Диаграммой.
- Установите следующее ПО на ВСЕ виртуальные машины:
- tcpdump
- net-tools
- curl
- vim
- lynx
- dhclient
- bind-utils
- nfs-utils
- cifs-utils
- sshpass
- На хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
- В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет.
- Все хосты должны быть доступны аккаунту root по SSH на стандартном(22) порту
Конфигурация сетевой инфраструктуры
- Настройте IP-адресацию на ВСЕХ хостах в соответствии с Диаграммой.
- Настройте сервер протокола динамической конфигурации хостов для L-CLI-A и L-CLI-B
- В качестве DHCP-сервера организации LEFT используйте L-RTR-A.
- Используйте пул адресов 172.16.100.65 — 172.16.100.75 для сети L-RTR-A
- Используйте пул адресов 172.16.200.65 — 172.16.200.75 для сети L-RTR-B
- iii) Используете адрес L-SRV в качестве адреса DNS-сервера.
- Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксированный IP-адрес в соответствии с Диаграммой.
- В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего маршрутизатора в локальной сети.
- Используйте DNS-суффикс skill39.wsr.
- DNS-записи типа A и PTR соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера.
- В качестве DHCP-сервера организации LEFT используйте L-RTR-A.
- На L-SRV настройте службу разрешения доменных имен
- Сервер должен обслуживать зону skill39.wsr.
- Сопоставление имен организовать в соответствии с Таблицей 1.
- Настройте на R-SRV роль вторичного DNS сервера для зоны skill39.wsr.
- Используете адрес R-SRV в качестве адреса DNS-сервера для R-CLI.
- Запросы, которые выходят за рамки зоны skill39.wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя ya.ru.
- Реализуйте поддержку разрешения обратной зоны.
- Файлы зон располагать в /opt/dns/
- На L-FW и R-FW настройте интернет-шлюзы для организации коллективного доступа в Интернет.
- Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса.
- Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
- Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L-SRV. www.skill39.wsr должен преобразовываться во внешний адрес R-FW.
Службы централизованного управления и журналирования
- Разверните LDAP-сервер для организации централизованного управления учетными записями
- В качестве сервера выступает L-SRV.
- Учетные записи создать в соответствии с Таблицей 2.
- Группы(LDAP) и пользователей создать в соответствии с Таблицей 2.
- Пользователи должны быть расположены в OU Users.
- Группы должны быть расположены в OU Groups.
- L-CLI-A, L-SRV и L-CLI-B должны аутентифицироваться через LDAP.
- На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV.
- Журналы должны храниться в директории /opt/logs/.
- Журналирование должно производится в соответствии с Таблицей 3.
Конфигурация служб удаленного доступа
- На L-FW настройте сервер удаленного доступа на основе технологии OpenVPN:
- В качестве сервера выступает L-FW
- Параметры туннеля.
- Устройство TUN.
- Протокол UDP.
- Применяется сжатие.
- Порт сервера 1122.
- Ключевая информация должна быть сгенерирована на R-FW.
- В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27.
- Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn.
- Подключившийся клиент должен быть автоматически сконфигурирован на использование DNS-инфраструктуры предприятия.
- На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
- a) Запуск удаленного подключения должен выполняться скриптом start_vpn.sh
- Отключение VPN-туннеля должно выполняться скриптом stop_vpn.sh.
- Скрипты должны располагаться в /opt/vpn.
- Скрипты должны вызываться из любого каталога без указания пути.
- Используйте следующий каталог для расположения файлов скриптов /opt/vpn/.
- a) Запуск удаленного подключения должен выполняться скриптом start_vpn.sh
- Настройте защищенный канал передачи данных между L-FW и R-FW с помощью технологии IPSEC:
- Параметры политики первой фазы IPSec:
- Проверка целостности SHA-1
- Шифрование 3DES
- Группа Диффи-Хеллмана — 14 (2048)
- Аутентификация по общему ключу WSR-2019
- Параметры преобразования трафика для второй фазы IPSec:
- Протокол ESP
- Шифрование AES
- Проверка целостности SHA-2
- В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между L-FW и R-FW
- Параметры политики первой фазы IPSec:
- Настройте GRE-туннель между L-FW и R-FW:
- Используйте следующую адресацию внутри GRE-туннеля:
- L-FW: 10.5.5.1/30
- R-FW: 10.5.5.2/30
- Используйте следующую адресацию внутри GRE-туннеля:
- Настройте динамическую маршрутизацию по протоколу OSPF с использованием пакета FRR:
- Анонсируйте все сети, необходимые для достижения полной связности.
- Применение статических маршрутов не допускается.
- В обмене маршрутной информацией участвуют L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW.
- Соседство и обмен маршрутной информацией между L-FW и R-FW должно осуществляться исключительно через настроенный GRE-туннель.
- Анонсируйте сети локальных интерфейсов L-RTR-A и L-RTR-B.
- Запретите рассылку служебной информации OSPF в сторону клиентских машин и глобальной сети.
- На L-FW настройте удаленный доступ по протоколу SSH:
- Доступ ограничен пользователями ssh_p, root и ssh_c
- В качестве пароля пользователь (кроме root) использовать ssh_pass.
- root использует стандартный пароль
- SSH-сервер должен работать на порту 22
- Доступ ограничен пользователями ssh_p, root и ssh_c
- На OUT-CLI настройте клиент удаленного доступа SSH:
- Доступ к L-FW из под локальной учетной записи root под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.
Конфигурация веб-служб
- На R-SRV установите и настройте веб-сервер apache:
- Настройте веб-сайт для внешнего пользования www.skill39.wsr.
- Используйте директорию /var/www/html/out.
- Используйте порт 8088.
- Сайт предоставляет доступ к двум файлам.
- index.html, содержимое “Hello, www.skill39.wsr is here!”
- date.php(исполняемый PHP-скрипт), содержимое:
- Вызов функции date(‘Y-m-d H:i:s’);
- Настройте веб-сайт для внешнего пользования www.skill39.wsr.
- На R-FW настройте реверс-прокси на основе NGINX:
- Сайт www.skill39.wsr должен быть доступен из внешней сети по внешнему адресу R-FW
- Все настройки, связанные с заданием, должны содержаться в отдельном конфигурационном файле в каталоге /etc/nginx/conf.d/task.conf
- Конфигурация основного файла должна быть минимальной и не влиять на работу NGINX в рамках выполнения задания.
- Настройте SSL и автоматическое перенаправление незащищенных запросов на HTTPS-порт того же самого сервера.
- Реализуйте пассивную проверку работоспособности бекенда.
- Считать веб-сервер неработающим после 4 ошибок.
- Считать веб-сервер неработающим в течение 43 секунд.
- Реализуйте кэширование:
- Запросы к любым PHP-скриптам не должны кэшироваться.
- Кэширование успешных запросов к остальным типам данных должно выполняться в течение 40 секунд.
Конфигурация служб хранения данных
- Реализуйте синхронизацию каталогов на основе демона rsyncd.
- В качестве сервера синхронизации используется L-SRV.
- Для работы синхронизации создайте специального пользователя mrsync
- В качестве пароля используйте toor.
- Домашний каталог данного пользователя должен быть расположен в /opt/sync/. Данный каталог используйте как каталог синхронизации
- Домашний каталог не должен содержать никакой посторонней информации.
- Для выполнения синхронизации создайте rsync-пользователя sync c паролем parol666.
- Подключение к rsyncd должны быть разрешены исключительно от клиентов L-CLI-A и L-CLI-B
- Для работы синхронизации создайте специального пользователя mrsync
- В качестве клиентов используются L-CLI-A и L-CLI-B
- Синхронизируемый каталог располагается по адресу /root/sync/
- Каталоги должны быть зеркально идентичны по содержимому.
- Приоритетным каталогом считается каталог на L-CLI-A
- Изменения распространяются строго от L-CLI-A.
- L-CLI-A -> L-SRV -> L-CLI-B
- Изменения в каталоге на L-CLI-B не отражаются на L-SRV и L-CLI-A
- Реализуйте синхронизацию в виде скрипта:
- Скрипт находится по адресу /root/sync.sh
- Автоматизация скрипта реализована средствами cron пользователя root.
- Выполнение производится каждую минуту.
- В качестве сервера синхронизации используется L-SRV.
Конфигурация параметров безопасности и служб аутентификации
- Настройте CA на R-FW, используя OpenSSL.
- Используйте /etc/ca в качестве корневой директории CA
- Атрибуты CA должны быть следующими:
- Страна RU
- Организация WorldSkills Russia
- CN должен быть установлен как WSR CA
- Создайте корневой сертификат CA
- Все клиентские операционные системы должны доверять CA
- Настройте межсетевой экран iptables на L-FW и firewalld на R-FW
- Запретите прямое попадание трафика из сетей в Internal
- Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW
- Разрешите необходимый трафик для создания IPSec и GRE туннелей между организациями
- Разрешите SSH подключения на соответствующий порт
- Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal
- Разрешите необходимый трафик к серверам L-SRV и R-SRV для работы настроенных сервисов.
- Остальные сервисы следует запретить.
- В отношении входящих (из внешней сети) ICMP запросов поступать по своему усмотрению
Таблица 1 – DNS-имена
Хост | DNS-имя |
L-CLI-A | A,PTR: l-cli-a.skill39.wsr |
L-CLI-B | A,PTR: l-cli-b.skill39.wsr |
L-SRV | A,PTR: l-srv.skill39.wsr CNAME: server.skill39.wsr |
L-FW | A: l-fw.skill39.wsr |
R-FW | A: r-fw.skill39.wsr CNAME: www.skill39.wsr |
R-SRV | A,PTR: r-srv.skill39.wsr |
Таблица 2 – Учетные записи LDAP
Группа | CN | Пароль | Доступ |
Admin | tux | toor | L-SRV, L-CLI-A L-CLI-B |
Guest | user1 – user99 | P@ssw0rd | L-CLI-A L-CLI-B |
Таблица 3 – Правила журналирования
Источник | Уровень журнала (строгое соответствие) | Файл |
L-SRV | auth.* | /opt/logs/<HOSTNAME>/auth.log |
L-FW | *.err | /opt/logs/<HOSTNAME>/error.log |
*<HOSTNAME> — название директории для журналируемого хоста
**В директории /opt/logs/ не должно быть файлов, кроме тех, которые указаны в таблице
Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows»
Версия 2 от 31.07.19.
ВВЕДЕНИЕ
На выполнение задания отводится ограниченное время – подумайте, как использовать его максимально эффективно. Составьте план выполнения работ. Вполне возможно, что для полной работоспособности системы в итоге действия нужно выполнять не строго в той последовательности, в которой они описаны в данном конкурсном задании.
В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в городе Казань. В главном офисе вы управляете доменом Kazan.wsr. Вам необходимо настроить сервисы в локальной сети головного офиса.
Компания, в которой вы работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего домена (SPB.wse), а потом настроить между доменами доверие.
Также Вам предстоит настроить канал связи между офисами с помощью статических маршрутов.
Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.
Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.
КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ
- Текстовые файлы:
- данный файл с конкурсным заданием;
- файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
- Программное обеспечение:
Windows10.ADMX.
Настройка DC1
Базовая настройка
- переименуйте компьютер в DC1;
- в качестве адреса DC1 используйте первый возможный адрес из подсети 172.16.19.64/26;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
Active Directory
- сделайте сервер контроллером домена Kazan.wsr.
DHCP
- настройте протокол DHCP для автоконфигурации клиентов – в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети;
- настройте failover: mode – Load balancer, partner server – SRV1, state switchover – 5 min;
- настройте дополнительные свойства области (адреса DNS-серверов и основного шлюза).
DNS
- настройте необходимые зоны прямого и обратного просмотра;
- создайте все необходимые записи типа A и PTR для серверов домена и необходимых web-сервисов;
- обеспечьте разрешение имен сайтов обеих компаний.
GPO
- запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
- члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
- в браузерах IE Explorer и Microsoft Edge должна быть настроена стартовая страница – www.kazan.wsr;
- пользователи домена при обращении к общим папкам, на доступ которым у них нет разрешений, должны получать вместо стандартного уведомление следующего вида: «You do not have permissions to use this path — [путь к папке]! Do not try it again!».
Элементы доменной инфраструктуры
- создайте подразделения: IT и Sales;
- в соответствующих подразделениях создайте одноименные доменные группы.
- в каждой группе создайте с помощью скрипта по 30 пользователей. Все учетные записи должны иметь возможность входа в домен с логином, созданным по следующему шаблону НазваниеГруппы_ПорядковыйНомерПользователя@kazan.wsr. Пароли должны быть созданы по следующему шаблону: НазваниеГруппы_ПорядковыйНомерПользователя, но записанному наоборот (справа-налево). Все учетные записи пользователей должны быть включены. Вход в систему должен быть обеспечен для всех пользователей со всех клиентских компьютеров домена и рядовых серверов.
- для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U:\ домашнюю папку внутри папки по адресу SRV1→d:\shares\IT;
- все пользователи при первом входе в домен с компьютера CLI1 должны видеть на рабочем столе ярлык программы Калькулятор.
Настройка SRV1
Базовая настройка
- переименуйте компьютер в SRV1;
- в качестве адреса SRV1 используйте второй возможный адрес из подсети 172.16.19.64/26;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
- с помощью дополнительных жестких дисков создайте RAID-5 массив; назначьте ему букву D:\.
Active Directory
- сделайте сервер дополнительным контроллером домена Kazan.wsr;
- сервер должен быть контроллером домена только для чтения.
DHCP
- настройте протокол DHCP для автоконфигурации клиентов;
- настройте failover: mode – Load balancer, partner server – DC1, state switchover – 5 min.
DNS
- сделайте сервер дополнительным DNS-сервером в домене Kazan.wsr;
- загрузите c DC1 все зоны прямого и обратного просмотра;
- на SRV1 не должно быть основных зон, связанных с доменом Kazan.wsr и сетью 172.16.19.64.
Общие папки
- создайте общие папки для подразделений (IT, Sales) по адресу SRV1→d:\shares\departments. Просматривать и редактировать файлы в папках могут только члены соответствующей группы.
- обеспечьте привязку общей папки подразделения к соответствующей группе пользователей в качестве диска G:\.
Квоты/Файловые экраны
- установите максимальный размер в 2 Gb для каждой домашней папки пользователя (U:\);
- запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.
IIS
- создайте сайт компании со стартовой страницей следующего содержания:
<html>
Welcome to Kazan!
</html>;
- сайт должен быть доступен по именам www.kazan.wsr и kazan.wsr только по протоколу https в обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Настройка DCA
Базовая настройка
- переименуйте компьютер в DCA;
- в качестве адреса DCA используйте третий возможный адрес из подсети 172.16.19.64/26;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену Kazan.wsr.
Службы сертификации
- установите службы сертификации;
- настройте основной доменный центр сертификации;
- имя центра сертификации – RootKazanCA;
- срок действия сертификата – 8 лет;
- настройте шаблон выдаваемого сертификата для клиентских компьютеров ClientComps: subject name=common name, автозапрос только для компьютера R1;
- настройте шаблон выдаваемого сертификата ITUsers: subject name=common name, автозапрос только для пользователей – членов группы IT.
Настройка CLI1
Базовая настройка
- переименуйте компьютер в CLI1;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену Kazan.wsr;
- запретите использование «спящего режима» таким образом, чтобы пользователи домена не могли изменить эту настройку без участия администратора домена;
- используйте компьютер для тестирования настроек в домене Kazan.wsr: пользователей, общих папок, групповых политик.
Настройка DC2
Базовая настройка
- переименуйте компьютер в DC2;
- в качестве адреса DC2 используйте первый возможный адрес из подсети 172.16.20.96/27;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
Active Directory
- сделайте сервер контроллером домена SPB.wse;
- настройте двустороннее доверие доменом Kazan.wsr.
DHCP
- настройте протокол DHCP для автоконфигурации клиентов – в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети.
DNS
- настройте необходимые зоны прямого и обратного просмотра;
- создайте вручную все необходимые записи типа A и PTR для серверов домена и необходимых web-сервисов;
- обеспечьте разрешение имен сайтов обеих компаний.
Элементы доменной инфраструктуры
- создайте учетную запись пользователя домена User1\P@ssw0rd, используйте группу по умолчанию – Domain Users.
- для всех пользовательских учетных записей в домене используйте перемещаемые профили;
- для хранения профилей пользователей используйте общую папку по адресу SRV2→c:\profiles;
- каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.
GPO
- настройте необходимые политики, обеспечивающие использование сервера DCA.kazan.wsr в качестве доверенного центра сертификации.
Настройка SRV2
Базовая настройка
- переименуйте компьютер в SRV2;
- в качестве адреса SRV1 используйте второй возможный адрес из подсети 172.16.20.96/27;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену SPB.wse.
IIS
- создайте сайт компании со стартовой страницей следующего содержания:
<html>
Welcome to Saint-Petersburg!
</html>;
- сайт должен быть доступен по именам www.spb.wse и spb.wse только по протоколу https в обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Настройка CLI2
Базовая настройка
- переименуйте компьютер в CLI2;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену SPB.wse.
- запретите использование «спящего режима» таким образом, чтобы пользователи домена не могли изменить эту настройку без участия администратора домена;
- используйте компьютер для тестирования настроек в домене SPB.wse.
Настройка R2
Базовая настройка
- переименуйте компьютер в R2;
- задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к коммутатору ISP, используйте адрес 200.100.100.1/30; для сетевого адреса в подсети SPB.wse используйте последний возможный адрес из используемого адресного пространства;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену SPB.wse.
Настройка RRAS
- установите службу RRAS;
- настройте статические маршруты для связи с сетевым сегментом в Казани.
Настройка R1
Базовая настройка
- переименуйте компьютер в R1;
- задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к подключенного к коммутатору ISP, используйте адрес 200.100.100.2/30; для сетевого адреса в подсети Kazan.wsr используйте последний возможный адрес из используемого адресного пространства;
- обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;
- присоедините компьютер к домену Kazan.wsr.
Настройка RRAS
- установите службу RRAS;
- настройте статические маршруты для связи с сетевым
сегментом в Санкт-Петербурге.
ПРИЛОЖЕНИЕ
ВВЕДЕНИЕ. Настоящие дополнения содержат описание вида предустановок, описание используемых операционных систем, рекомендации по выделению ресурсов для виртуальных машин.
ОПИСАНИЕ ПРЕДУСТАНОВОК
- На SRV1 должно быть установлено четыре (или пять) жестких диска: один не менее – 25 Gb, три (четыре) – 5 Gb .
- Все остальные жесткие диски всех виртуальных машин должны иметь объем не менее 25 Gb.
- После установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
- После выполнения работ перезагрузка стендов остается на усмотрение экспертов.
ОПИСАНИЕ ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ
Имя компьютера | Операционная система |
DC2 | Windows Server 2019 GUI |
CLI2 | Windows 10 Enterprise |
SRV2 | Windows Server 2019 Core |
R2 | Windows 2019 GUI |
DC1 | Windows 2019 GUI |
SRV1 | Windows Server 2019 Core |
R1 | Windows Server 2019 Core |
CLI1 | Windows 10 Enterprise |
DCA | Windows Server 2019 GUI |
Задание протестировано на 100% следующих сборках ОС:
· Server 2019 – 17763.379.190312-0539;
· Win 10 Ent – 18362.30.190401-1528.
РЕКОМЕНДАЦИИ ПО ВЫДЕЛЕНИЮ ОПЕРАТИВНОЙ ПАМЯТИ ВИРТУАЛЬНЫХ МАШИН
· Windows Server 2019 Core: минимум – 1 Gb, рекомендовано – 1,5 Gb;
· Windows Server 2019 GUI: минимум – 1,5 Gb, рекомендовано – 2 Gb;
· Windows 10 Enterprise: минимум – 1,5 Gb, рекомендовано – 2 Gb.
Модуль С: «Пусконаладка телекоммуникационного оборудования»
Версия 5 от 24.09.19.
ВВЕДЕНИЕ
Знание сетевых технологий на сегодняшний день становится незаменимым для тех, кто хочет построить успешную карьеру в области ИТ. Данное конкурсное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.
ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ
Данное конкурсное задание разработано с учетом различных сетевых технологий, соответствующих уровням сертификации CCNA R\S Задание разбито на следующие секции:
- Базовая настройка
- Настройка коммутации
- Настройка подключений к глобальным сетям
- Настройка маршрутизации
- Настройка служб
- Настройка механизмов безопасности
- Настройка параметров мониторинга и резервного копирования
- Конфигурация виртуальных частных сетей
Все секции являются независимыми друг от друга, но вместе образуют достаточно сложную сетевую инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, может подразумеваться, что IPv6 маршрутизация должна работать поверх настроенной виртуальной частной сети, которая, в свою очередь, должна работать поверх IPv4 маршрутизации, которая, в свою очередь, должна работать поверх PPPoE и Multilink и т.д. Очень важно понимать, что если вам не удается решить какую-либо из задач по середине такого технологического стека, это не значит, что решенные задачи не будут оценены. Например, если вы не можете настроить динамическую маршрутизацию IPv4, которая необходима для работы виртуальной частной сети, вы можете использовать статическую маршрутизацию и продолжать работу над настройкой виртуальной частной сети и всем что должно работать поверх нее. В этом случае вы не получите баллы за динамическую маршрутизацию, но вы получите баллы за всё что должно работать поверх нее (в случае если функциональные тесты пройдены успешно).
ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА
В первую очередь необходимо прочитать задание полностью и составить алгоритм выполнения работы. Вам предстоит вносить изменения в действующую, преднастроенную сетевую инфраструктуру предприятия, состоящую из головного офиса HQ и удаленного офиса BR1. Офисы имеют связь через провайдеров ISP1 и ISP2. Вы не имеете доступа к оборудованию провайдеров, оно полностью настроено и не требует дополнительного конфигурирования. Вам необходимо настраивать оборудование предприятия, а именно: SW1, SW2, SW3, HQ1, FW1 и BR1.
У вас отсутствует консольный доступ к устройствам, будьте очень внимательны при выполнении задания! В случае потери связи с оборудованием, вы будете виноваты сами. Разрешается перезагрузка оборудования – только техническими экспертами. Например, применили неправильный ACL, который закрыл доступ по telnet, но вы не успели сохранить конфигурацию.
Руководствуйтесь пословицей: Семь раз отмерь, один раз отрежь. Для выполнения задания у вас есть одна физическая машина (PC1 с доступом по Telnet и установленным ASDM), которую вы должны использовать в качестве:
PC2 Виртуальный ПК, Windows 10, Putty. Пользователь User пароль P@ssw0rd
SRV1 Виртуальный ПК, Debian пользователь root пароль toor, с предустановленными сервисами
1) SysLog папка для проверки /Cisco_Log
2) RADIUS — FreeRadius
3) SNMP – для проверки используется пакет Net-SNMP используйте команду snmp_test
4) NTP
5) TFTP папка для проверки /Cisco_TFTP
Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. Например, задание 3 в секции «Настройка служб» предписывает вам настроить службу протокола автоматической конфигурации хостов, которая, разумеется, не будет работать пока не будут выполнены необходимые настройки в секции «Конфигурация коммутации». На вас возлагается ответственность за распределение своего рабочего времени.
Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.
Убедитесь в том, что ваши настройки на всех устройствах функционируют после перезагрузки всего оборудования.
ПОДКЛЮЧЕНИЕ К УСТРОЙСТВАМ
Для первоначального подключения используйте протокол Telnet. Для подключения к FW1 используете учетную запись с логином: cisco и паролем: cisco, для входа в привилегированный режим используйте пароль cisco. Для подключения к остальным сетевым устройствам используйте пароль: cisco и пароль для привилегированного режима: cisco
Для подключения к устройствам в главном офисе HQ, подключите рабочую станцию к порту F0/10 коммутатора SW2 и настройте адрес в соответствии с диаграммой L3, устройства доступны по следующим адресам:
SW1 – 192.168.254.10
SW2 – 192.168.254.20
SW3 – 192.168.254.30
HQ1 – 192.168.254.1
FW1 – 192.168.254.2
BR1 – 192.168.254.3
- Базовая настройка
- Задайте имя всех устройств в соответствии с топологией.
- Назначьте для всех устройств доменное имя worldskills.ru
- Создайте на всех устройствах пользователей wsruser с паролем network
- Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
- Пользователь должен обладать максимальным уровнем привилегий.
- На всех устройствах установите пароль wsr на вход в привилегированный режим.
- Пароль должен храниться в конфигурации в виде результата хэш-функции.
- Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.
- Для всех устройств реализуйте модель AAA.
- Аутентификация на линиях виртуальных терминалов с 0 по 15 должна производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)
- После успешной аутентификации при удалённом подключении пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).
- Настройте необходимость аутентификации на локальной консоли.
- При успешной аутентификации на локальной консоли пользователи должны сразу должен получать права, соответствующие их уровню привилегий или роли.
- На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля, назначьте IP-адреса.
- На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.
- Используйте на линиях vty с 0 по 15 отдельный список методов с названием method_man
- Порядок аутентификации:
- По протоколу RADIUS
- Локальная
- Используйте общий ключ cisco
- Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно
- Адрес RADIUS-сервера 172.16.20.20
- Настройте авторизацию при успешной аутентификации
- Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco
- Все устройства должны быть доступны для управления по протоколу SSH версии 2.
- Настройка коммутации
- Для
централизованного конфигурирования VLAN в коммутируемой сети предприятия
используйте протокол VTP.
- В качестве сервера VTP настройте SW1.
- Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
- Таблица VLAN должна содержать следующие сети:
- VLAN100 с именем MGT.
- VLAN200 с именем DATA.
- VLAN300 с именем OFFICE.
- VLAN500 с именем NATIVE.
- VLAN600 с именем SHUTDOWN.
- Между всеми коммутаторами настройте транки с использованием протокола IEEE 802.1q.
- Порты F0/10 коммутаторов SW2 и SW3, а также порт F0/1 коммутатора SW1 должны работать без использования согласования. Отключите протокол DTP явным образом.
- Транк между коммутаторами SW2 и SW3 должен быть настроен без использования согласования. Отключите протокол DTP явным образом.
- Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3, должны быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а коммутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами не инициировать согласование.
- Для всех магистральных каналов назначьте native vlan 500.
- Запретите пересылку по магистральным каналам все неиспользуемые VLAN, в том числе VLAN1
- Настройте агрегирование каналов связи между коммутаторами.
- Номера портовых групп:
1 – между коммутаторами SW1 (F0/5-6) и SW2 (F0/5-6);
2 – между коммутаторами SW1 (F0/3-4) и SW3 (F0/3-4);
- Агрегированный канал между SW1 и SW2 должен быть организован с использованием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в пассивном.
- Агрегированный канал между SW1 и SW3 должен быть организован с использованием протокола согласования PAgP. SW1 должен быть настроен в предпочтительном, SW3 в автоматическом.
- Конфигурация протокола остовного дерева:
- Используйте протокол PVST.
- Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100, 200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.
- Настройте порт F0/1 коммутатора SW1, таким образом, что при включении он сразу переходил в состояние forwarding не дожидаясь пересчета остовного дерева.
- Настройте порты F0/10 коммутаторов SW2 и SW3 в соответствии с L2 диаграммой. Порты должны быть настроены в режиме доступа.
- Между HQ1 и FW1 настройте взаимодействие по протоколу IEEE 802.1Q.
- Отключите интерфейс F0/24 коммутатора SW1 и E5 межсетевого экрана FW1, которые использовались для первоначального конфигурирования сетевой инфраструктуры офиса HQ.
- На всех устройствах, отключите неиспользуемые порты.
- На всех коммутаторах, неиспользуемые порты переведите во VLAN 600.
- Настройка подключений к глобальным сетям
- Подключение FW1 к ISP1 и ISP2 осуществляется с помощью
IPoE, настройте интерфейсы в соответствии с диаграммами L2 и L3.
- Передача данных между FW1 и ISP1 осуществляется не тегированным трафиком.
- Передача данных между FW1 и ISP2 осуществляется тегированным трафиком с использованием VLAN 901.
- ISP3 предоставляет L2 VPN между офисами HQ и BR1.
- Настройте передачу между HQ1, FW1 и BR1 тегированного трафика.
В зависимости от используемой модели межсетевого экрана, выберите один из двух следующих пунктов задания:
Для ASA5505:
- Взаимодействие должно осуществляться по VLAN 10.
Для ASA5506:
b) Для обеспечения L2 связности между маршрутизатором BR1 и маршрутизатором HQ1, на межсетевом экране FW1 используйте Bridge group Virtual Interface (BVI) под номером 2. Для этого на межсетевом экране добавьте в BVI2, два подинтерфейса: с тегом 10 в сторону провайдера ISP3, с тегом 11 в сторону маршрутизатора HQ1. На маршрутизаторе HQ1 в сторону межсетевого экрана FW1, создайте соответствующий подинтерфейс.
- Настройте подключение BR1 к провайдеру ISP1 с помощью
протокола PPP.
- Настройте Multilink PPP с использованием двух Serial-интерфейсов.
- Используйте 1 номер интерфейса.
- Не используйте аутентификацию.
- BR1 должен автоматически получать адрес от ISP1.
- Настройте подключение BR1 к провайдеру ISP2 с помощью протокола HDLC.
- Настройка маршрутизации
ВАЖНО! При настройке протоколов динамической маршрутизации, будьте предельно внимательны и анонсируйте подсети в соответствии с диаграммой маршрутизации, иначе не получите баллы за протокол, в котором отсутствует необходимая подсеть, и за тот протокол, в котором эта подсеть оказалась лишней. Также, стоит учесть, что провайдеры фильтруют маршруты полученные по BGP, если они не соответствуют диаграмме маршрутизации. |
- В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической маршрутизации OSPF.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- HQ1 и FW1 между собой должны устанавливать соседство, только в сети 172.16.3.0/24.
- Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
- Настройте протокол динамической маршрутизации OSPF в офисе BR1 с главным офисом HQ.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- Используйте магистральную область для GRE туннелей.
- Соседства между офисами HQ и BR1 должны устанавливаться, как через канал L2 VPN, так и через защищенный туннель.
- Убедитесь в том, что при отказе выделенного L2 VPN, трафик между офисами будет передаваться через защищённый GRE туннель.
- Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
- Настройте протокол BGP в офисах HQ и BR1 для взаимодействия с провайдерами ISP1 и ISP2.
- На устройствах настройте протокол динамической маршрутизации BGP в соответствии с таблицей 1
Таблица 1 – BGP AS
Устройство | AS |
HQ1 | 65000 |
FW1 | 65000 |
ISP1 | 65001 |
ISP2 | 65002 |
BR1 | 65010 |
- Настройте автономные системы в соответствии с
Routing-диаграммой.
- Маршрутизаторы HQ1 и FW1 должны быть связаны с помощью iBGP. Используйте для этого соседства, интерфейсы, которые находятся в подсети 30.78.87.0/29.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- Настройте протокол динамической маршрутизации EIGRP
поверх защищенного туннеля и выделенного канала L2 VPN между маршрутизаторами
HQ1 и BR1.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- Используйте номер автономной системы 6000.
- Настройка служб
- В сетевой инфраструктуре сервером синхронизации времени является SRV1. Все остальные сетевые устройства должны использовать его в качестве сервера времени.
- Передача данных между осуществляется без аутентификации.
- Настройте временную зону с названием MSK, укажите разницу с UTC +3 часов.
- Настройте динамическую трансляцию портов (PAT):
- На маршрутизаторе HQ1 и BR1 настройте динамическую трансляцию портов (PAT) для сети 192.168.2.0/24 в соответствующие адреса петлевых интерфейсов.
- Убедитесь в том, что для PC2 для выхода в интернет использует один из каналов до ISP1 или ISP2 от BR1, при недоступности обоих каналов, PC2 должен осуществлять выход в сеть интернет через каналы офиса HQ.
- Убедитесь, в том, что есть все необходимые маршруты, иначе проверить корректность настроенной трансляции портов, будет невозможно.
- Настройте протокол динамической конфигурации хостов со следующими характеристиками
- На маршрутизаторе HQ1 для подсети OFFICE:
- Адрес сети – 30.78.21.0/24.
- Адрес шлюза по умолчанию интерфейс роутера HQ1.
- Адрес TFTP-сервера 172.16.20.20.
- Компьютер PC1 должен получать адрес 30.78.21.10.
- В офисе BR1 используется аутентификация клиентов с
помощью протокола PPPoE. Для этого настройте сервер PPPoE на BR1.
- Аутентификация PC2 на сервере PPPoE должна осуществляться по логину pc2user и паролю pc2pass.
- PC2 должен получать ip адрес от PPPoE сервера автоматически.
- Настройка механизмов безопасности
- На маршрутизаторе BR1 настройте пользователей с ограниченными правами.
- Создайте пользователей user1 и user2 с паролем cisco
- Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь возможность выполнять все команды пользовательского режима, а также выполнять перезагрузку, а также включать и отключать отладку с помощью команд debug.
- Создайте и назначьте view-контекст sh_view на пользователя user2
- Команду show cdp neighbor
- Все команды show ip *
- Команду ping
- Команду traceroute
- Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.
- На порту F0/10 коммутатора SW2, включите и настройте Port Security со следующими параметрами:
- не более 2 адресов на интерфейсе
- адреса должны динамически определяться, и сохраняться в конфигурации.
- при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
- На коммутаторе SW2 включите DHCP Snooping для подсети OFFICE. Используйте флеш-память в качестве места хранения базы данных.
- На коммутаторе SW2 включите динамическую проверку ARP-запросов в сети OFFICE.
- На маршрутизаторе BR1 настройте расширенный список контроля доступа для подсети 192.168.2.0/24. Заблокируйте весь исходящий и входящий трафик от подсети 192.168.2.0/24 в интернет за исключением:
- Разрешите работу с DNS сервером 8.8.8.8.
- Разрешите исходящий TCP трафик по портам 80 и 443.
- Разрешите входящий трафик по TCP, только для тех соединений, если узел из подсети 192.168.2.0/24 инициирует это соединение.
- Настройка параметров мониторинга и резервного копирования
- На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование системных сообщений на сервер SRV1, включая информационные сообщения.
- На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного мониторинга по протоколу SNMP v3.
- Задайте местоположение устройств MSK, Russia
- Задайте контакт admin@wsr.ru
- Используйте имя группы WSR.
- Создайте профиль только для чтения с именем RO.
- Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA1.
- Используйте имя пользователя: snmpuser и пароль: snmppass
- Для проверки вы можете использовать команду snmp_test на SRV1.
- На маршрутизаторе HQ1 настройте резервное копирование конфигурации
- Резервная копия конфигурации должна сохраняться на сервер SRV1 по протоколу TFTP при каждом сохранении конфигурации в памяти устройства
- Для названия файла резервной копии используйте шаблон <hostname>-<time>.cfg
- Конфигурация виртуальных частных сетей
- Между HQ1 и BR1 настройте GRE туннель со следующими параметрами:
- Используйте в качестве VTI интерфейс Tunnel1
- Используйте адресацию в соответствии с L3-диаграммой
- Режим — GRE
- Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
- Обеспечьте работу туннеля с обеих сторон через провайдера ISP1
- Защита туннеля должна обеспечиваться с помощью IPsec между BR1 и FW1.
- Обеспечьте шифрование только GRE трафика.
- Используйте аутентификацию по общему ключу.
- Параметры IPsec произвольные.
Данное конкурсное задание разработано с учетом различных сетевых технологий, соответствующих уровням сертификации CCNA R\S Задание разбито на следующие секции:
- Базовая настройка
- Настройка коммутации
- Настройка подключений к глобальным сетям
- Настройка маршрутизации
- Настройка служб
- Настройка механизмов безопасности
- Настройка параметров мониторинга и резервного копирования
- Конфигурация виртуальных частных сетей
Топология L1
Топология L2
Топология L3
Routing-диаграмма