Worldskills Russia

Worldskills Russia

ФОРМЫ УЧАСТИЯ В КОНКУРСЕ

Индивидуальный конкурс.

ЗАДАНИЕ ДЛЯ КОНКУРСА

Содержанием конкурсного задания являются работы по пуско-наладке сетевой инфраструктуры на базе современного сетевого оборудования и операционных систем семейства Windows и Linux. Участники соревнований получают инструкцию, сетевые диаграммы и методические рекомендации по выполнению. Конкурсное задание имеет несколько модулей, выполняемых последовательно.

Задание регионального чемпионат является утвержденным. В нем присутствуют 3 из 5 модулей, т.е. возможно набрать максимально 45 из 100 баллов

Конкурс включает в себя Пуско-наладку инфраструктуры на основе OC семейства Linux; Пуско-наладку инфраструктуры на основе OC семейства Windows; Пуско-наладку телекоммуникационного оборудования.

Окончательная методика проверки уточняются членами жюри. Оценка производится в отношении работы модулей. Если участник конкурса не выполняет требования техники безопасности, подвергает опасности себя или других конкурсантов, такой участник может быть отстранен от конкурса.

Время и детали конкурсного задания в зависимости от конкурсных условий могут быть изменены членами жюри, по согласованию с менеджером компетенции.

Конкурсное задание должно выполняться по модульно, циклически по модулям А-B-C. Оценка каждого модуля происходит Ежедневно.

Задания разработаны и протестированы группой сертифицированных экспертов:

Модуль конкурсного задания Роль ФИО Эксперта
Модуль А: «Пуско-наладка инфраструктуры на основе OC семейства Linux» Ведущий разработчик Н.О. Силаев
Группа разработки А.Г. Уймин
Группа разработки М.М. Фучко
Модуль В: «Пуско-наладка инфраструктуры на основе OC семейства Windows» Ведущий разработчик Д.В. Дюгуров
Модуль С: «Пуско-наладка телекоммуникационного оборудования» Ведущий разработчик С.И. Добрынинин
Группа разработки А.А. Щербининин
Группа разработки А.Г. Уймин.

 

МОДУЛИ ЗАДАНИЯ И НЕОБХОДИМОЕ ВРЕМЯ

Модули и время приведены в таблице 1

Таблица 1 – Время выполнение модуля

№ п/п Наименование модуля Рабочее время Время на задание
1 Модуль А: «Пуско-наладка инфраструктуры на основе OC семейства Linux» В соответствии с жеребьёвкой по циклу A-B-C 5 ч.
2 Модуль В: «Пуско-наладка инфраструктуры на основе OC семейства Windows» 5 ч.
3 Модуль С: «Пуско-наладка телекоммуникационного оборудования» 5 ч.

 

Модуль А: «Пуско-наладка инфраструктуры на основе OC семейства Linux»

ВВЕДЕНИЕ

Умение работать с системами на основе открытого исходного кода становится все более важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное конкурсное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном, интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.

ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ

Данное конкурсное задание разработано с использованием различных открытых технологий, с которыми вы должны быть знакомы по сертификационным курсам LPIC и Red Hat. Задания поделены на следующие секции:

  • Базовая конфигурация
  • Конфигурация сетевой инфраструктуры
  • Службы централизованного управления и журналирования
  • Конфигурация служб удаленного доступа
  • Конфигурация веб служб
  • Конфигурация служб хранения данных
  • Конфигурация параметров безопасности и служб аутентификации

Секции независимы друг от друга, но вместе они образуют достаточно сложную инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, динамическая маршрутизация должна выполнять поверх настроенного между организациями туннеля. Важно понимать, что если вам не удалось настроить полностью технологический стек, то это не означает, что работа не будет оценена. Например, для удаленного доступа необходимо настроить IPsec-туннель, внутри которого организовать GRE-туннель. Если, например, вам не удалось настроить IPsec, но вы смогли настроить GRE, то вы все еще получите баллы за организацию удаленного доступа.

ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА

В первую очередь необходимо прочитать задание полностью. Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. Например, задание  в секции «Базовая конфигурация» предписывает автоматизировать удаленный доступ, который, разумеется, не будет работать без предварительной конфигурации, изложенной в секции «Маршрутизация и удаленный доступ». На вас возлагается ответственность за распределение своего рабочего времени. Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.

Доступ ко всем виртуальным машинам настроен по аккаунту root:toor.

Если Вам требуется установить пароль, не указанный в задании используйте: P@ssw0rd

Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса возникнут проблемы.

Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-CLI.

Организация RIGHT включает виртуальные машины: R-FW, R-CLI, OUT-CLI.

НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ

Ожидается, что конкурсное задание выполнимо Участником с привлечением оборудования и материалов, указанных в Инфраструктурном Листе.

В качестве системной ОС в организации LEFT используется Debian

В качестве системной ОС в организации RIGHT используется CentOS

Вам доступен диск CentOS-7-x86_64-Everything-1804.iso

Вам доступен диск debian-9.5.0-amd64-DVD-1.iso

Вам доступен диск AdditionalPackages.iso, на котором располагаются недостающие RPM и deb пакеты

СХЕМА ОЦЕНКИ

Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в субкритерии.

Схема оценка построена таким образом, чтобы каждый пункт оценивался только один раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех устройств, однако этот пункт будет проверен только на одном устройстве и оценен только 1 раз. Одинаковые пункты могут быть проверены и оценены больше чем 1 раз, если для их выполнения применяются разные настройки или они выполняются на разных классах устройств.

Подробное описание методики проверки должно быть разработано экспертами, принимающими участие в оценке конкурсного задания чемпионата, и вынесено в отдельный документ. Данный документ, как и схема оценки, является объектом внесения 30% изменений.

Конфигурация хостов

  • Настройте имена хостов в соответствии с диаграммой.
  • Установите следующее ПО на ВСЕ виртуальные машины:
    • Пакет tcpdump
    • Пакет net-tools
    • Редактор vim
    • lynx
    • bind-utils
    • Клиент ftp
    • Клиент lftp
  • На всех хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI и R-CLI). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.

В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет. 

Конфигурация сетевой инфраструктуры

  • Настройте IP-адресацию на всех хостах в соответствии с диаграммой.
  • Настройте сервер протокола динамической конфигурации хостов для L-CLI.
    • В качестве DHCP-сервера используйте L-FW.
      • Используйте пул адресов 172.16.100.60 — 172.16.100.75.
      • Используете адрес L-SRV в качестве адреса DNS-сервера.
    • В качестве шлюза по умолчанию используйте соответствующий адрес L-FW.
    • Используйте DNS-суффикс wsr
    • DNS-записи типа A и PTR должны обновляться при получении адреса от DHCP-сервера.
  • На L-SRV настройте службу разрешения доменных имен.
    • Сервер должен обслуживать зону wsr
    • Сопоставление имен необходимо организовать в соответствии с Таблицей 1.
    • Запросы, которые выходят за рамки зоны wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя worldskills.ru.
    • Реализуйте поддержку разрешения обратной зоны в соответствии с Таблицей 1.
    • Файлы зон необходимо располагать в /opt/dns/
  • На DNS сервере ISP приобретена услуга Secondary DNS для зоны wsr
    • Настройте возможность трансфера зоны wsr в сторону ISP.
    • Используйте адрес ISP в качестве адреса DNS сервера для R-FW и R-CLI.
    • Трансфер зоны на другие хосты, кроме ISP, должен быть запрещен.
  • На L-FW и R-FW настройте интернет-шлюз для организации коллективного доступа в Интернет.

Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса соответствующего межсетевого экрана.

Службы централизованного управления и журналирования

  • Разверните LDAP-сервер для организации централизованного управления учетными записями.
    • В качестве сервера выступает L-SRV.
    • Учетные записи создать в соответствии с Таблицей 2.
    • Группы и пользователей создать в соответствии с Таблицей 2.
    • Пользователи должны быть расположены в OU Users.
    • Группы должны быть расположены в OU Groups.
    • Хосты должны аутентифицироваться через LDAP в соответствии с Таблицей 2.
  • На L-SRV организуйте централизованный сбор журналов с хостов.
    • Журналы должны храниться в директории /opt/logs/
    • Журналирование должно производиться в соответствии с Таблицей 3.
    • Сообщения в файлах журналов в директории /opt/logs не должны дублироваться.

Конфигурация служб удаленного доступа

  • Настройте сервер удаленного доступа на основе технологии OpenVPN:
    • В качестве сервера выступает L-FW.
    • Параметры туннеля
      • Устройство TUN
      • Протокол UDP
      • Применяется сжатие
      • Порт сервера 1122
    • Ключевая информация должна быть сгенерирована на R-FW.
    • В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27.
    • Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn
  • На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
    • Запуск удаленного подключения должен выполняться скриптом sh
    • Отключение VPN-туннеля должно выполняться скриптом sh
    • Скрипты должны располагаться в /opt/vpn
    • Скрипты должны вызываться из любого каталога без указания пути.
  • Настройте GRE-туннель между L-FW и R-FW:
    • Используйте следующую адресацию внутри GRE-туннеля:
      • L-FW: 10.5.5.1/30
      • R-FW: 10.5.5.2/30
    • На L-FW настройте удаленный доступ по протоколу SSH:
      • Доступ ограничен пользователями ssh_p и ssh_c
        • В качестве пароля использовать ssh_pass
      • SSH-сервер должен работать на порту 1022.
    • На OUT-CLI настройте клиент удаленного доступа SSH:
      • Доступ к серверу L-FW должен происходить автоматически по правильному порту, без его явного указания номера порта в команде подключения.
      • Для других серверов по умолчанию должен использоваться порт 22.
      • Доступ к L-FW под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей. Конфигурация веб служб
        • На R-FW установите и настройте веб-сервер:
          • Настройте веб-сайт для внешнего использования skill39.wsr
            • Используйте директорию /var/www/html/out
            • Используйте стандартные порты.
            • Обеспечьте работу сайта по протоколам http и https (сертификат должен быть сгенерирован на R-FW).
            • В случае доступности https должно происходить автоматическое перенаправление с http.
            • Клиенты должны доверять сертификату сайта.

Конфигурация служб хранения данных

  • Настройте сервер файлового хранилища на основе технологии NFS:
    • В качестве сервера должен выступать L-SRV.
    • В качестве хранилища используется каталог /opt/nfs
    • Доступ организуется для чтения и записи.
  • Настройте автоматическое монтирование NFS хранилища для клиентов L-CLI и R-CLI:
    • Используйте /opt/nfs в качестве пути для монтирования.
    • Клиенты L-CLI и R-CLI должны монтировать NFS каталог при запуске операционной системы.
  • Настройте FTP службу для доступа к файловому хранилищу:
    • В качестве сервера должен выступать L-SRV.
    • Корень FTP сервера должен располагаться в /opt/nfs
    • Обеспечьте доступ для клиента OUT-CLI с использованием стандартных портов протокола FTP по адресу skill39.wsr
    • Доступ должен быть ограничен пользователем ftpuser:ftppass с правами на чтение и запись.

Конфигурация параметров безопасности и служб аутентификации

  • Настройте CA на R-FW, используя OpenSSL.
    • Используйте /etc/ca в качестве корневой директории CA.
    • Атрибуты CA должны быть следующими:
      • Страна RU
      • Организация WorldSkills Russia
      • CN должен быть установлен как WSR CA
    • Создайте корневой сертификат CA.
    • Все клиентские операционные системы должны доверять CA.
  • Настройте межсетевой экран iptables на L-FW и R-FW.
    • Запретите прямое попадание трафика из Интернет во внутренние сети.
    • Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW.
    • Разрешите необходимый трафик для создания GRE туннеля между организациями.
    • Разрешите SSH подключения на соответствующий порт L-FW и R-FW.
    • Для VPN-клиентов должен быть предоставлен полный доступ к локальным сетям организаций LEFT и RIGHT.
    • Разрешите необходимый трафик к серверу L-SRV по транслированным IP-адресам.
    • Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
    • Разрешите необходимый трафик для работы веб и FTP служб.
    • Остальные сервисы следует запретить.

Таблица 1 – DNS-имена

Хост DNS-имя
L-CLI A,PTR: l-cli.skill39.wsr
L-SRV

A,PTR: l-srv.skill39.wsr

CNAME: dns.skill39.wsr
L-FW

A: l-fw.skill39.wsr

CNAME: vpn.skill39.wsr

CNAME: ftp.skill39.wsr
R-FW

A: r-fw.skill39.wsr

CNAME: www.skill39.wsr
R-CLI A: r-cli.skill39.wsr

 

Таблица 2 – Учетные записи LDAP

Группа CN Пароль Доступ
Administrators admin toor

L-CLI

L-FW
Users user1 – user99 P@ssw0rd L-CLI

 

Таблица 3 – Правила журналирования

Источник Уровень журнала Файл

L-SRV

L-FW

 critical /opt/logs/<HOSTNAME>/crit.log
L-SRV auth.* /opt/logs/<HOSTNAME>/auth.log
L-FW *.err /opt/logs/<HOSTNAME>/error.log

L-CLI

R-CLI

 *.err /opt/logs/err.log

*<HOSTNAME> — название директории для журналируемого хоста

**В директории /opt/logs/ не должно быть файлов, кроме тех, которые указаны в таблице

ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ

Модуль В: «Пуско-наладка инфраструктуры на основе OC семейства Windows»

ВВЕДЕНИЕ.

На выполнение задания отводится ограниченное время – подумайте, как использовать его максимально эффективно. Составьте план выполнения работ. Вполне возможно, что для полной работоспособности системы в итоге действия нужно выполнять не строго в той последовательности, в которой они описаны в данном конкурсном задании.

В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в Будапеште на восточном берегу Дуная. В главном офисе вы управляете доменом Pest.com. Вам необходимо настроить сервисы в локальной сети головного офиса.

Компания, в которой вы работаете, развивается и открывает еще один офис на западном берегу Дуная в районе старого города Буда. Вам придется настроить поддомен Buda.Pest.com.

Также Вам предстоит настроить канал связи между офисами с помощью интерфейсов вызовов по требованию.

Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.

Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.

КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ

  • Текстовые файлы:
    • данный файл с конкурсным заданием;
    • файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
  • Предоставляемые конкурсантам компоненты проекта:
    • файл для импорта пользователей в домен Pest.com (.xlsx);
    • стартовая страница сайта managers.pest.com (.htm);
    • стартовая страница сайта www.pest.com (.htm);
    • стартовая страница сайта www.buda.pest.com (.htm).
  • Программное обеспечение:
    • Windows Server 2016;
    • Microsoft Office;
    • RSAT tools for Windows 10;
    • ADMX.

 

Внимание! Все указанные компоненты предоставляются участникам в виде ISO-файлов на локальном или удаленном хранилище.

Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами.

Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.

В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.

Настройка DC1

 Базовая настройка

  • переименуйте компьютер в DC1;
  • перед установкой сетевых настроек решите задачу: вам дано адресное пространство следующего вида – «10.10.18.х/?». Длину маски рассчитайте исходя из того, чтобы в каждой образовавшейся подсети можно было разместить ровно 14 клиентов. Для адресации в домене Pest.com используйте третью по счету подсеть; в качестве адреса DC1 используйте первый возможный адрес из этой подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping).

Active Directory

  • сделайте сервер контроллером домена Pest.com.

 DHCP

  • настройте протокол DHCP для автоконфигурации клиентов – в качестве диапазона выдаваемых адресов используйте все не занятые серверами адреса в подсети;
  • настройте failover: mode – Load balancer, partner server – SRV1, state switchover – 10 min;
  • настройте дополнительные свойства области (адреса DNS-серверов и основного шлюза).

DNS

  • настройте необходимые зоны прямого и обратного просмотра;
  • создайте вручную все необходимые записи типа A и PTR для серверов домена и необходимых web-сервисов.

GPO

  • запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
  • члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
  • в браузерах IE Explorer и Microsoft Edge (установите и используйте windowsadmx) должна быть настроена стартовая страница – www.Pest.com;
  • для членов группы Experts настройте перенаправление папок my Documents и Desktop по адресу SRV1→d:\shares\redirected.

 

Элементы доменной инфраструктуры

  • создайте подразделения: Experts, Competitors, Managers, Visitors и IT;
  • в соответствующих подразделениях создайте доменные группы: Experts, Competitors, Managers, Visitors, IT;

 

Внимание! Указанные выше подразделения и группы должны быть созданы в домене обязательно. Если Вы считаете, что для выполнения задания необходимы дополнительные элементы доменной инфраструктуры, Вы можете создать их.

 

  • создайте пользователей, используя прилагаемый excel-файл (вся имеющаяся в файле информация о пользователях должна быть внесена в Active Directory); поместите пользователей в соответствующие подразделения и группы; все созданные учетные записи должны быть включены и доступны;
  • для каждого пользователя создайте автоматически подключаемую в качестве диска U:\ домашнюю папку по адресу SRV1→d:\shares\users;

все пользователи при первом входе в домен с компьютера CLI1 должны видеть на рабочем столе ярлык программы Калькулятор.

Настройка SRV1

 Базовая настройка

  • переименуйте компьютер в SRV1;
  • перед установкой сетевых настроек решите задачу: вам дано адресное пространство следующего вида – «10.10.18.х/?». Длину маски рассчитайте исходя из того, чтобы в каждой образовавшейся подсети можно было разместить ровно 14 клиентов. Для адресации в домене Pest.com используйте третью по счету подсеть; в качестве адреса SRV1 используйте второй возможный адрес из этой подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к домену Pest.com;
  • с помощью дополнительных жестких дисков создайте зеркальный массив; назначьте ему букву D:\.

Active Directory

  • сделайте сервер дополнительным контроллером домена Pest.com.

 DHCP

  • настройте протокол DHCP для автоконфигурации клиентов;
  • настройте failover: mode – Load balancer, partner server – DC1, state switchover – 10 min;

DNS

  • сделайте сервер дополнительным DNS-сервером в домене Pest.com;
  • загрузите c DC1 все зоны прямого и обратного просмотра.

Общие папки

  • создайте общие папки для подразделений (Competitors, Experts and Managers) по адресу SRV1→d:\shares\departments;
  • обеспечьте привязку общей папки подразделения к соответствующей группе в качестве диска G:\.

Квоты/Файловые экраны

  • установите максимальный размер в 1Gb для каждой домашней папки пользователя (U:\);
  • запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.

 IIS

  • создайте сайт для менеджеров компании (используйте предоставленный htm-файл в качестве документа по умолчанию);
  • сайт должен быть доступен по имени managers.pest.com только по протоколу https исключительно для членов группы Managers по их пользовательским сертификатам;

в будущем администраторы будут выкладывать на сайт важные новости, которые ни в коем случае не должны пропасть – предусмотрите возможность автоматического сохранения всего содержимого сайта на сервер DC1 (место и способ хранения укажите в сопроводительной документации).

Настройка DCA

Базовая настройка

  • переименуйте компьютер в DCA;
  • перед установкой сетевых настроек решите задачу: вам дано адресное пространство следующего вида – «10.10.18.х/?». Длину маски рассчитайте исходя из того, чтобы в каждой образовавшейся подсети можно было разместить ровно 14 клиентов. Для адресации в домене Pest.com используйте третью по счету подсеть; в качестве адреса DCA используйте третий возможный адрес из этой подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к домену Pest.com.

Службы сертификации

  • установите службы сертификации;
  • настройте основной доменный центр сертификации;
  • имя центра сертификации – Pest CA;
  • срок действия сертификата – 10 лет;
  • настройте шаблон выдаваемого сертификата для клиентских компьютеров ClientComps: subject name=common name, автозапрос для компьютера BRIDGE1;
  • настройте шаблон выдаваемого сертификата для группы Managers ManUsers: subject name=common name, автозапрос только для пользователей – членов группы Managers.

 Настройка CLI1

 Базовая настройка

  • переименуйте компьютер в CLI1;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к домену Pest.com;
  • установите набор компонентов удаленного администрирования RSAT;
  • запретите использование «спящего режима» таким образом, чтобы пользователи домена не могли изменить эту настройку без участия администратора домена;
  • используйте компьютер для тестирования настроек в домене Pest.com: пользователей, общих папок, групповых политик, в том числе – тестирования удаленных подключений через Direct Access (временно переключая компьютер в сеть Internet).

 Настройка DC2

Базовая настройка

  • переименуйте компьютер в DC2;
  • перед установкой сетевых настроек решите задачу: вам дано адресное пространство следующего вида – «192.168.19.y/?». Длину маски рассчитайте исходя из того, чтобы в данном пространстве имелось ровно 8 подсетей. Для адресации в поддомене Buda.Pest.com используйте вторую по счету подсеть; в качестве адреса DC2 используйте первый возможный адрес из этой подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping).

Active Directory

  • сделайте сервер контроллером поддомена Buda.Pest.com.

 DHCP

  • настройте протокол DHCP для автоконфигурации клиентов – в качестве диапазона выдаваемых адресов используйте все не занятые серверами адреса в подсети.

DNS

  • настройте необходимые зоны прямого и обратного просмотра;
  • создайте вручную все необходимые записи типа A и PTR для серверов домена и необходимых web-сервисов;
  • обеспечьте разрешение имен сайтов www.pest.com и www.buda.pest.com (оба сайта должны быть доступны со всех клиентских компьютеров сети предприятия).

Элементы доменной инфраструктуры

  • для всех пользовательских учетных записей в поддомене используйте перемещаемые профили;
  • для хранения профилей пользователей используйте общую папку по адресу SRV2→c:\profiles;
  • каждый пользователь должен иметь доступ только к файлам своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.

 GPO

  • настройте необходимые политики, обеспечивающие использование сервера DCA.Pest.com в качестве доверенного центра сертификации.

Настройка SRV2

 Базовая настройка

  • переименуйте компьютер в SRV2;
  • перед установкой сетевых настроек решите задачу: вам дано адресное пространство следующего вида – «192.168.19.y/?». Длину маски рассчитайте исходя из того, чтобы в данном пространстве имелось ровно 8 подсетей. Для адресации в поддомене Buda.Pest.com
  • используйте вторую по счету подсеть; в качестве адреса SRV2 используйте второй возможный адрес из этой подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping).

 IIS

  • создайте сайт www.pest.com (используйте предоставленный htm-файл в качестве документа по умолчанию);
  • создайте сайт www.buda.pest.com (используйте предоставленный htm-файл в качестве документа по умолчанию);
  • оба сайта должны быть доступны по протоколу https с использованием сертификатов, выданных DCA.

 Настройка CLI2

 Базовая настройка

  • переименуйте компьютер в CLI2;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к поддомену Buda.Pest.com;
  • запретите использование «спящего режима» таким образом, чтобы пользователи поддомена не могли изменить эту настройку без участия администратора поддомена;
  • используйте компьютер для тестирования настроек в поддомене Buda.Pest.com.

Настройка BRIDGE2

 Базовая настройка

  • переименуйте компьютер в BRIDGE2;
  • задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к DANUBE-ISP используйте адрес 200.100.100.1/24; для сетевого адреса в подсети buda.pest.com используйте последний возможный адрес из рассчитанной ранее подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к поддомену Buda.Pest.com.

Настройка RRAS

  • установите службу RRAS;
  • настройте VPN-соединение с доменом Pest.com по протоколу PPTP; весь трафик между доменами должен передаваться через это соединение.

Настройка BRIDGE1

 Базовая настройка

  • переименуйте компьютер в BRIDGE1;
  • задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к DANUBE-ISP используйте адрес 200.100.50.1/24; для сетевого адреса в подсети pest.com используйте последний возможный адрес из рассчитанной ранее подсети;
  • обеспечьте работоспособность протокола ICMP (для использования команды ping);
  • присоедините компьютер к домену Pest.com.

Настройка RRAS

  • установите службу RRAS;
  • настройте защищенное VPN-соединение с поддоменом buda.pest.com по протоколу PPTP; весь трафик между доменами должен передаваться через это соединение.

     ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ

    Модуль С: «Пуско-наладка телекоммуникационного оборудования»

     

    ВВЕДЕНИЕ

    Знание сетевых технологий на сегодняшний день становится незаменимым для тех, кто хочет построить успешную карьеру в области ИТ. Данное конкурсное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.

    ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ

    Данное конкурсное задание разработано с учетом различных сетевых технологий, соответствующих уровням сертификации CCNA R\S Задание разбито на следующие секции:

    • Базовая настройка
    • Настройка коммутации
    • Настройка подключений к глобальным сетям
    • Настройка маршрутизации
    • Настройка служб
    • Настройка механизмов безопасности
    • Настройка параметров мониторинга и резервного копирования
    • Конфигурация виртуальных частных сетей

    Все секции являются независимыми друг от друга, но вместе образуют достаточно сложную сетевую инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий.  Например, может подразумеваться, что IPv6 маршрутизация должна работать поверх настроенной виртуальной частной сети, которая, в свою очередь, должна работать поверх IPv4 маршрутизации, которая, в свою очередь, должна работать поверх PPPoE и FrameRelay и т.д. Очень важно понимать, что если вам не удается решить какую-либо из задач по середине такого технологического стека, это не значит, что решенные задачи не будут оценены. Например, если вы не можете настроить динамическую маршрутизацию IPv4, которая необходима для работы виртуальной частной сети, вы можете использовать статическую маршрутизацию и продолжать работу над настройкой виртуальной частной сети и всем что должно работать поверх нее. В этом случае вы не получите баллы за динамическую маршрутизацию, но вы получите баллы за всё что должно работать поверх нее (в случае если функциональные тесты пройдены успешно).

    ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА

    В первую очередь необходимо прочитать задание полностью и составить алгоритм выполнения работы. Вам предстоит вносить изменения в действующую, преднастроенную сетевую инфраструктуру предприятия, состоящую из головного офиса HQ и удаленного офиса BR1. Офисы имеют связь через провайдера ISP1. Вы не имеете доступа к оборудованию провайдера, оно полностью настроено и не требует дополнительного конфигурирования. Вам необходимо настраивать оборудование предприятия, а именно: SW1, SW2, SW3, HQ1, FW1 и BR1.

    У вас отсутствует консольный доступ к устройствам, будьте очень внимательны при выполнении задания! В случае потери связи с оборудованием, вы будете виноваты сами. Разрешается перезагрузка оборудования – только техническими экспертами. Например, применили неправильный ACL, который закрыл доступ по telnet, но вы не успели сохранить конфигурацию.

    Руководствуйтесь пословицей: Семь раз отмерь, один раз отрежь. Для выполнения задания у вас есть одна физическая машина (PC1 с доступом по Telnet и установленным ASDM), которую вы должны использовать в качестве:

    PC2 Виртуальный ПК, Windows 10, Cisco AnyConnect, Putty. Пользователь User пароль P@ssw0rd

    SRV1 Виртуальный ПК, Debian пользователь root пароль toor, с предустановленными сервисами

    1) SysLog папка для проверки /Cisco_Log

    2) RADIUS — реализован пакетом FreeRadius

    3) SNMP – для проверки используется пакет net-snmp-utils используйте команду snmp_test_HQ и snmp_test_FW

    4) NTP- реализован демоном chrony

    5) TFTP папка для проверки /Cisco_TFTP реализован пакетом xinetd

     

    Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. Например, задание 3 в секции «Настройка служб» предписывает вам настроить службу протокола автоматической конфигурации хостов, которая, разумеется, не будет работать пока не будут выполнены необходимые настройки в секции «Конфигурация коммутации». На вас возлагается ответственность за распределение своего рабочего времени.

    Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.

    Убедитесь в том, что ваши настройки на всех устройствах функционируют после перезагрузки всего оборудования.

    ПОДКЛЮЧЕНИЕ К УСТРОЙСТВАМ

    Для первоначального подключения используйте протокол Telnet.  Для подключения к FW1 используете учетную запись с логином: cisco и паролем: cisco, для входа в привилегированный режим используйте пароль cisco. Для подключения к остальным сетевым устройствам используйте пароль: cisco и пароль для привилегированного режима: cisco

    Для подключения к устройствам в главном офисе HQ, подключите рабочую станцию к порту F0/10 коммутатора SW2 и настройте адрес в соответствии с диаграммой L3, устройства доступны по следующим адресам:

    SW1 – 192.168.254.10

    SW2 – 192.168.254.20

    SW3 – 192.168.254.30

    HQ1 – 192.168.254.1

    FW1 – 192.168.254.2

    Для подключения к устройствам в удаленном офисе BR1, подключите рабочую станцию в порт GigabitEthernet0/0/1 маршрутизатора BR1. BR1 доступен по адресу 192.168.1.1.

Базовая настройка

  • Задайте имя всех устройств в соответствии с топологией.
  • Назначьте для всех устройств доменное имя ru.
  • Создайте на всех устройствах пользователей wsr2018 с паролем cisco
    • Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
    • Пользователь должен обладать максимальным уровнем привилегий.
  • На всех устройствах установите пароль wsr на вход в привилегированный режим.
    • Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
    • Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.
  • Для всех устройств реализуйте модель AAA.
    • Аутентификация на линиях виртуальных терминалов с 0 по 15 должна производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)
    • После успешной аутентификации при удалённом подключении пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).
    • Настройте необходимость аутентификации на локальной консоли.
    • При успешной аутентификации на локальной консоли пользователи должны сразу должен получать права, соответствующие их уровню привилегий или роли.
  • На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля, назначьте IP-адреса.
  • На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.
    • Используйте на линиях vty с 0 по 4 отдельный список методов с названием method_man
    • Порядок аутентификации:
      • По протоколу RADIUS
      • Локальная
    • Используйте общий ключ cisco
    • Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно
    • Адрес RADIUS-сервера 172.16.20.2
    • Настройте авторизацию при успешной аутентификации
    • Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco
  • Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Настройка коммутации

  • Для централизованного конфигурирования VLAN в коммутируемой сети предприятия используйте протокол VTP версии 3.
    • В качестве основного сервера VTP настройте SW1.
    • Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
    • В качестве домена используйте ru
    • Используйте пароль VTPPass для защиты VTP.
    • Таблица VLAN должна содержать следующие сети:
      • VLAN100 с именем MGT.
      • VLAN200 с именем DATA.
      • VLAN300 с именем OFFICE.
      • VLAN 400
    • Между всеми коммутаторами настройте транки с использованием протокола IEEE 802.1q.
      • Порты F0/10 коммутаторов SW1 и SW3, а также порт F0/24 коммутатора SW2 должны быть работать в режиме доступа без использования согласования. Отключите протокол DTP явным образом.
      • Транк между коммутаторами SW2 и SW3 должен быть настроен без использования согласования. Отключите протокол DTP явным образом.
      • Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3, должны быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а коммутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами не инициировать согласование.
    • Настройте агрегирование каналов связи между коммутаторами.
      • Номера портовых групп:

1 – между коммутаторами SW1 (F0/1-3) и SW2 (F0/1-3);

2– между коммутаторами SW2 (F0/6-7) и SW3 (F0/6-7);

  • Агрегированный канал между SW1 и SW2 должен быть организован с использованием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в пассивном.
  • Агрегированный канал между SW2 и SW3 должен быть организован с использованием протокола согласования PAgP. SW2 должен быть настроен в предпочтительном, SW3 в автоматическом.
  • Конфигурация протокола остовного дерева:
    • Используйте протокол Rapid STP.
    • Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100, 200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.
    • Настройте используемые порты коммутаторов SW1 и SW2 так, чтобы во всех VLAN корнем связующего дерева могли стать только SW1 или SW2, а при получении BPDU пакета с лучшим приоритетом корня, порт должен перейти в состояние root-inconsistent.
    • Настройте порт F0/10 коммутатора SW2, таким образом, что при включении они сразу переходили в состояние forwarding не дожидаясь пересчета остовного дерева. При получении BPDU пакета данные порты должны переходить в состояние error-disabled.
  • Настройте порты F0/10 коммутаторов SW1, SW2 и порт F0/24 коммутатора SW3, в соответствии с L2 диаграммой. Порты должны быть настроены в режиме доступа.
  • Отключите протокол CDP на маршрутизаторах HQ1 и BR1, только на портах в сторону провайдера ISP

Настройка подключений к глобальным сетям

  • Настройте подключение PPPoE между ISP1 и маршрутизатором BR
    • Настройте PPPoE клиент на BR1.
    • Используйте имя пользователя cisco и пароль cisco
    • Устройства походят одностороннюю аутентификацию по протоколу CHAP, только ISP1 проверяет имя пользователя и пароль.
    • BR1 должен автоматически получать адрес от ISP1.
  • Настройте подключение HQ1 к провайдеру ISP1 с помощью протокола PPP.
    • Настройте Multilink PPP с использованием двух Serial-интерфейсов.
    • Используйте 1 номер интерфейса.
    • Не используйте аутентификацию.
    • HQ1 должен автоматически получать адрес от ISP2.
  • FW1 подключена к провайдеру ISP1 с помощью IPoE и имеет статический адрес.

Настройка маршрутизации

  • В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической маршрутизации OSPF.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте область с номером 51 для всех сетей центрального офиса.
    • HQ1 и FW1 должны устанавливать соседство только в сети 172.16.0.12/30.
    • Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  • Настройте протокол динамической маршрутизации OSPF в офисе BR1 с главным офисом HQ.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте магистральную область для GRE туннеля.
    • Соседства между офисами HQ и BR1 должны устанавливаться через защищенный туннель.
    • В офисе BR1 используйте область с номером 1.
    • Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  • ISP1 предоставляет подсеть PA (Provider Aggregatable) адресов (11.11.11.11/32) для офиса BR1. На маршрутизаторе BR1 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2018.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте аутентификацию MD5 с помощью связки ключей EIGRP c ключом WSR и номером ключа 2.
    • Провайдер ISP1 выполняет редистрибуцию маршрута 11.11.11.11/32 в сеть BGP, убедитесь в том, что вы корректно анонсируете данный маршрут провайдеру.
  • Офис HQ имеет подсети PI (Provider Independent) адресов и автономную систему 65000. На маршрутизаторе и межсетевом экране настройте протокол динамической маршрутизации BGP в соответствии с таблицей
Устройство AS
HQ1 65000
FW1 65000
ISP1 65001
  • Настройте автономные системы в соответствии с Routing-диаграммой.
  • Маршрутизатор HQ1 и FW1 должны быть связаны с помощью iBGP. Используйте для этого соседства, интерфейсы, которые находятся в подсети 172.16.0.12/30.
  • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
  • Настройте прокол динамической маршрутизации OSPFv3 поверх защищенного туннеля. На маршрутизаторах HQ1 и BR1 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте зону с номером 0.
    • Настройте аутентификацию MD5 для магистральной зоны.

Настройка служб

  • В сетевой инфраструктуре сервером синхронизации времени является SRV Все остальные сетевые устройства должны использовать в качестве сервера времени HQ1.
    • Передача данных между HQ1 и SRV1 осуществляется без аутентификации.
    • Настройте временную зону с названием MSK, укажите разницу с UTC +3 часов.
    • Настройте сервер синхронизации времени. Используйте стратум 2.
    • Используйте для синхронизации клиентов с HQ1 аутентификацию MD5 с ключом WSR.
  • Настройте динамическую трансляцию портов (PAT):
    • На маршрутизаторе BR1 настройте динамическую трансляцию портов (PAT) для сети 192.168.1.0/24 в адрес петлевого интерфейса 11.11.11.11.
  • Настройте протокол динамической конфигурации хостов со следующими характеристиками
    • На маршрутизаторе HQ1 для подсети OFFICE:
    • Адрес сети – 30.30.30.0/24.
    • Адрес шлюза по умолчанию интерфейс роутера HQ
    • Адрес TFTP-сервера 172.16.20.2.
    • Компьютер PC1 должен получать адрес 30.30.30.30.

Настройка механизмов безопасности

  • На маршрутизаторе BR1 настройте пользователей с ограниченными правами.
    • Создайте пользователей user1 и user2 с паролем cisco
    • Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь возможность выполнять все команды пользовательского режима, а также выполнять перезагрузку и отладку с помощью команд debug.
    • Создайте и назначьте view-контекст sh_view на пользователя
      • Команду show cdp neighbor
      • Все команды show ip *
      • Команду who
    • Создайте view-контекст ping_view. Включите в него
      • Команду ping
      • Команду traceroute
    • Создайте view-контекст wan_view. Разрешите с помощью него настройку на интерфейсе Multilink1 инкапсуляции, аутентификации PPP, IP-адресации и выключения интерфейса.
    • Создайте superview-контекст с именем super, объединяющий эти 3 контекста. При входе на маршрутизатор пользователь user2 должен попадать в данный контекст
    • Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.
  • На порту F0/10 коммутатора SW3, включите и настройте Port Security со следующими параметрами:
    • не более 2 адресов на интерфейсе
    • адреса должны динамически определяться, но не сохраняться в конфигурации.
    • при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
  • На коммутаторе SW3 включите DHCP Snooping для подсети OFFICE. Используйте флеш-память в качестве места хранения базы данных.
  • На коммутаторе SW3 включите динамическую проверку ARP-запросов в сети OFFICE. Сделайте порт Fa0/11 доверенным.

Настройка параметров мониторинга и резервного копирования

  • На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование системных сообщений на сервер SRV1, включая информационные сообщения.
  • На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного мониторинга по протоколу SNMP v3.
    • Задайте местоположение устройств MSK, Russia
    • Задайте контакт admin@wsr.ru
    • Используйте имя группы WSR.
    • Создайте профиль только для чтения с именем RO.
    • Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA
    • Используйте имя пользователя: snmpuser и пароль: snmppass
    • Для проверки вы можете использовать команду snmp_test_HQ и snmp_test_FW на SRV
  • На маршрутизаторе HQ1 настройте резервное копирование конфигурации
    • Резервная копия конфигурации должна сохраняться на сервер SRV1 по протоколу TFTP при каждом сохранении конфигурации в памяти устройства
    • Для названия файла резервной копии используйте шаблон <hostname><time>.cfg

Конфигурация виртуальных частных сетей

  • На маршрутизаторах HQ1 и BR1 настройте DMVPN:
    • Используйте в качестве VTI интерфейс Tunnel1
    • Используйте адресацию в соответствии с L3-диаграммой
    • Режим — GRE
    • Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
  • Защита туннеля должна обеспечиваться с помощью IPsec.
    • Параметры политики первой фазы:
      • Проверка целостности – SHA-384
      • Шифрование – AES-192
      • Группа Диффи-Хэлмана – 14
      • Используйте аутентификацию по ключу wsr.
    • Параметры преобразования трафика для второй фазы:
      • Протокол – ESP
      • Шифрование – AES
      • Проверка целостности – MD5
    • На межсетевом экране FW1 настройте возможность подключения удаленных клиентов с помощью SSL-VPN
      • Создайте на FW1 локального пользователя vpnuser с паролем cisco
      • Клиенты должны подключаться с помощью клиента AnyConnect, который установлен на PC
      • Подключение должно происходить по адресу 40.15.5.2.
      • Подключение проверять с PC2.
      • Подключившиеся клиенты должны получить доступ к сервисам SRV

Топология L1

Топология L2

Топология L3

Routing-диаграмма