Академический Документы
Профессиональный Документы
Культура Документы
УЙМИН
СЕТЕВОЕ И СИСТЕМНОЕ
АДМИНИСТРИРОВАНИЕ.
ДЕМОНСТРАЦИОННЫЙ ЭКЗАМЕН
КОД 1.1
Учебно-методическое пособие
Издание третье, стереотипное
ISBN 978-5-8114-9255-8
УДК 004
ББК 32.81я723
Обложка
П. И. ПОЛЯКОВА
3
сти автоматизированных систем», утвержденный приказом от 9 декабря 2016 г. № 1553 Ми-
нистерства образования и науки Российской Федерации;
— Приказ Министерства образования и науки Российской Федерации от 16 августа
2013 г. № 968 «Об утверждении порядка проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования»; № 1138 от
17 ноября 2017 г. «О внесении изменений в порядок проведения государственной итоговой
аттестации по образовательным программам среднего профессионального образования»;
— Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы (Ворлдскиллс Россия)“» от 29 октября 2018 г. № 29.10.2018-1
«Об утверждении перечня компетенций ВСР»;
— Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы (Ворлдскиллс Россия)“» от 31 января 2019 г. № 31.01.2019-1
«Об утверждении Методики организации и проведения демонстрационного экзамена по
стандартам Ворлдскиллс Россия»;
— Методические рекомендации о проведении аттестации с использованием демон-
страционного экзамена, утвержденные распоряжением Министерства просвещения Россий-
ской Федерации от 1 апреля 2019 г. № Р-42;
— Комплект оценочной документации № 1.1 для демонстрационного экзамена по
стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное администриро-
вание» (далее — демонстрационный экзамен).
Учебное пособие представляет собой комплект, включающий описание задания; не-
обходимое оборудование, приборы, материалы и программное обеспечение для выполнения
задания; методику выполнения задания; схему оценивания выполненного задания.
Задание является одним из вариантов, выполняемых в процессе прохождения как го-
сударственной итоговой аттестации, так и промежуточной аттестации в виде сдачи демон-
страционного экзамена (ДЭ) по компетенции «Сетевое и системное администрирование» в
соответствии с требованиями комплекта оценочной документации 1.1 (КОД 1.1).
Задания делятся на три модуля:
1) пуско-наладка инфраструктуры на основе операционной системы семейства Linux;
2) пуско-наладка инфраструктуры на основе операционной системы семейства
Windows;
3) пуско-наладка телекоммуникационного оборудования
и могут выполняться в любой последовательности индивидуально каждым обучающимся, но
при условии оборудования рабочего места в соответствии с требованиями инфраструктурно-
го листа компетенции «Сетевое и системное администрирование» по КОД 1.1.
В результате выполнения заданий обучающиеся смогут систематизировать и закре-
пить знания и умения, а преподаватели смогут выяснить уровень подготовки обучающихся к
самостоятельной работе и уровень практических навыков для участия в сдаче итоговой госу-
дарственной аттестации или промежуточной аттестации в форме демонстрационного экза-
мена по стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное адми-
нистрирование».
4
1. ФОРМА УЧАСТИЯ — ИНДИВИДУАЛЬНАЯ
1.1. Задание
Содержанием задания являются работы по пуско-наладке сетевой инфраструктуры на
базе современного сетевого оборудования и операционных систем семейства Windows и
Linux. Участники ДЭ получают инструкцию, сетевые диаграммы и методические рекоменда-
ции по выполнению. Экзаменационное задание имеет несколько модулей, выполняемых по-
следовательно.
Задание демонстрационного экзамена является утвержденным. Содержит 3 модуля из
5 возможных, т. е. возможно набрать максимально 45 из 100 баллов.
Экзамен включает в себя пуско-наладку инфраструктуры на основе OC семейства
Linux; пуско-наладку инфраструктуры на основе OC семейства Windows; пуско-наладку те-
лекоммуникационного оборудования.
Окончательная методика проверки уточняется членами ГЭК. Оценка производится в
отношении работы модулей. Если участник экзамена не выполняет требования техники без-
опасности, подвергает опасности себя или других участников, такой участник может быть
отстранен от экзамена.
Время и детали экзаменационного задания в зависимости от экзаменационных усло-
вий могут быть изменены членами ГЭК, по согласованию с менеджером компетенции.
Экзаменационное задание должно выполняться помодульно, циклически по модулям
А, B, C. Оценка каждого модуля происходит ежедневно.
5
2. ЗАДАНИЕ И ОПИСАНИЕ МОДУЛЯ А
«ПУСКО-НАЛАДКА ИНФРАСТРУКТУРЫ
НА ОСНОВЕ OC СЕМЕЙСТВА LINUX»
Контрольный экземпляр задания демонстрационного экзамена доступен по ссылке:
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing\h.
Умение работать с системами на основе открытого исходного кода становится все бо-
лее важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное экзаме-
национное задание содержит множество задач, основанных на опыте реальной эксплуатации
информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить
задание с высоким результатом, то вы точно сможете обслуживать информационную инфра-
структуру большого предприятия.
6
Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-RTR-A, L-RTR-B,
L-CLI-A, L-CLI-B.
Организация RIGHT включает виртуальные машины: R-SRV, R-FW, R-RTR, R-CLI.
Участники не имеют права пользоваться любыми устройствами, за исключением находя-
щихся на рабочих местах устройств, предоставленных организаторами.
Участники не имеют права приносить с собой на рабочее место заранее подготовлен-
ные текстовые материалы.
В итоге участники должны обеспечить наличие и функционирование в соответствии с
заданием служб и ролей на указанных виртуальных машинах. При этом участники могут са-
мостоятельно выбирать способ настройки того или иного компонента, используя предостав-
ленные им ресурсы по своему усмотрению.
7
2.5. Описание алгоритма выполнения задания модуля А
2.5.1. Предварительная настройка
Задание 1
Выключение firewall на всех машинах.
Как делать:
— CentOS:
• отключаем firewalld
systemctl disable --now firewalld
• отключаем SElinux
vi /etc/selinux/config
• меняем в файл 7 строку на
SELINUX = disabled
• перезагружаем
reboot
— Debian:
• отключаем apparmor
systemctl disable --now apparmor
reboot
Как проверить:
— CentOS:
systemctl status firewalld
8
getenforce
— Debian:
systemctl status apparmor
Дополнительная информация
Выключение средств защиты, таких как Firewalld, apparmor и selinux, производится
для удобной дальнейшей настройки. Так делать на работе не стоит, средства защиты для того
и нужны, чтобы обеспечивать защиту, но при выполнении задания это не критично.
Краткая справка
1. Подробнее про systemctl: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/8/html/configuring_basic_system_settings/managing-services-with-
systemd_configuring-basic-system-settings"\l"tabl-Managing_Services_with_systemd-Services-
systemctl.
2. Подробнее про firewalld: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/7/html/security_guide/sec-viewing_current_status_and_settings_of_firewalld.
3. Подробнее про apparmor: https://wiki.debian.org/AppArmor/HowToUse.
4. Официальная документация по selinux: https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/chap-security-enhan
ced_linux-introduction.
Задание 2
На всех маршрутизаторах и межсетевых экранах включить пересылку пакетов
между интерфейсами.
9
Как делать:
echo net.ipv4.ip_forward=1 > /etc/sysctl.conf
sysctl -p
Как проверить:
cat /proc/sys/net/ipv4/ip_forward
10
На рабочем месте располагаются 4 диска для работы. Для того чтобы их подключить,
нужно выполнить следующие шаги.
1. Зайти в настройки виртуальной машины:
11
3. Следующим шагом необходимо выбрать CD/DVD Drive, как показано на рисунке
ниже:
12
5. В открывшимся окне нужно выбрать выпадающий список и там нажать на
[datastore]:
13
7. Если необходимы образы для систем Debian, они находятся в папке Debian 10BD.
14
На системе CentOs добавление алгоритм добавления диска схож с добавлением диска
на системе Debian. Но для данной системы необходимо выбрать ISO-образ Everything:
(иногда диск может не сразу отобразиться в системе, для этого нужно переподключить его).
После подключения диска нужно:
1) создать папку /media/cdrom
mkdir /media/cdrom;
2) примонтировать диск к созданной папке:
mount /dev/cdrom /media/cdrom;
3) После можно установить пакеты, но нужно указать ключи:
--disablerepo=\* --enablerepo=c7-media.
Команда установки с ключами:
yum --disablerepo=\* --enablerepo=c7-media install <Пакет>,
где <пакет> — название пакета или список названий пакетов через пробел.
Дополнительная информация
Если при установке отсутствует желание прописывать каждый раз сложные ключи,
можно отключить все репозитории и включить только c 7-media вручную.
Для этого необходимо все остальные репозитории переместить в другую папку,
например в /etc, как в примере ниже:
mv /etc/yum.repos.d/CentOS-{B,C,D,f,S,V}* /etc
Также нужно будет поправить строку 20 в файле CentOS-Media.repo. Вместо 0 нужно
поставить 1.
Командой ниже показан пример, как зайти в файл с помощью текстового редактора vi:
vi /etc/yum.repos.d/CentOS-Media.repo
После этого можно устанавливать пакеты без сложных ключей с помощью команды:
yum install <пакет>,
где <пакет> — название пакета или список названий пакетов через пробел.
15
Краткая справка
1. Конфигурация yum и yum репозиториев (CentOS): https://access.redhat.
com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/sec-configuring_
yum_and_yum_repositories.
2. Монтирование дисков в Debian (Debian): https://www.debian.org/doc/manuals/debian-
tutorial/ch-disks.html.
3. Что такое yum? (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-yum.
4. Что такое apt? (Debian): https://www.debian.org/doc/manuals/debian-handbook/sect.apt-
get.ru.html.
2.5.2. Конфигурация хостов
Задание 1
Настройте имена хостов в соответствии с диаграммой:
Как делать:
Изначально имя машины стандартное — localhost.
16
Для задания имени машины (hostname) необходимо записать его в файл /etc/hostname
echo <NAME> > /etc/hostname , где <NAME> — имя хоста в соответствии с диаграммой.
Изменения вступят в силу после перезагрузки. Команда перезагрузки: reboot.
Как проверить:
Команда hostname выведет название машины:
Дополнительная информация
Hostname — это имя, которое присваивается компьютеру, подключенному к сети, ко-
торое однозначно идентифицирует в сети и, таким образом, позволяет получить доступ к
нему без использования его IP-адреса.
Краткая справка
1. Различные способы задания hostname (CentOS): https://www.redhat.com/sysadmin/set-
hostname-linux.
2. Присваивание Имени Компьютеру (Hostname) (Debian): https://www.debian.org/
doc/manuals/debian-handbook/sect.hostname-name-service.ru.html.
Задание 2
На хостах установите следующее ПО на все виртуальные машины:
1) tcpdump;
2) net-tools;
3) curl;
4) vim;
5) lynx;
6) dhclient;
7) bind-utils;
8) nfs-utils;
9) cifs-utils.
17
Как делать:
— Debian 10 (L):
18
— CentOs 7 (R):
19
Дополнительная информация
1. Утилита tcpdump — это очень мощный и популярный инструмент для перехвата и
анализа сетевых пакетов.
2. net-tools — набор сетевых онлайн инструментов и утилит для оптимизации и диа-
гностики сетевых ресурсов.
3. curl — это утилита командной строки для Linux или Windows. Это набор библио-
тек, в которых реализуются базовые возможности работы с URL-страницами и передачи
файлов. Библиотека поддерживает работу с протоколами: FTP, FTPS, HTTP, HTTPS, TFTP,
SCP, SFTP, Telnet, DICT, LDAP, а также POP3, IMAP и SMTP. Она отлично подходит для
имитации действий пользователя на страницах и других операций с URL-адресами.
4. Vim — свободный текстовый редактор, созданный на основе более старого vi.
5. Lynx — веб-браузер с отличными возможностями настройки под себя для исполь-
зования на эмуляторах терминала с символьным курсором.
6. dhclient — утилита, позволяющая работать с dhcp на стороне клиента.
7. bind-utils — реализация DNS-сервера на базе системы Linux.
8. nfs-utils — утилита, реализующая возможности для создания сетевой файловой си-
стемы.
9. cifs-utils — утилита реализующая возможность в подключении расширенных ре-
сурсов Windows с использованием протокола smb.
Краткая справка:
1. Yum и как его использовать: https://access.redhat.com/solutions/9934.
2. Apt и как его использовать: https://www.debian.org/doc/manuals/apt-howto/ch-
basico.ru.html.
3. Подробнее про TCPDUMP: https://www.tcpdump.org/manpages/tcpdump.1.html.
4. Подробнее про Net-tools: https://www.opennet.ru/docs/RUS/lfs5/appendixa/net-
tools.html.
5. Подробнее про Curlhttps: //curl.haxx.se/docs/manpage.html.
6. Подробнее про Vim: https://www.vim.org/.
7. Подробнее про Lynx: https://lynx.invisible-island.net/lynx_help/Lynx_users_guide.
html.
8. Подробнее про Dhclient: https://kb.isc.org/docs/isc-dhcp-41-manual-pages-dhclient.
9. Подробнее про BIND: https://kb.isc.org/docs/aa-00768.
10. Подробнее про NFS-common (Debian): https://packages.debian.org/ru/sid/nfs-
common.
11. Подробнее про NFS-utils (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/6/html/managing_confined_services/chap-managing_confined_
services-network_file_system" \l "sect-Managing_Confined_Services-NFS-NFS_and_SELinux.
12. Подробнее про Cifs-utils: https://wiki.samba.org/index.php/LinuxCIFS_utils.
Задание 3
На хостах сформируйте файл /etc/hosts в соответствии с диаграммой (кроме адре-
са хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недо-
ступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
Как делать
Для того чтобы не тратить много времени на формировании файла /etc/hosts на всех
хостах, изначально необходимо сконфигурировать его на одном хосте, а после настройки
полной связности сети, нужно будет перекинуть этот файл всем остальным.
Правило формирование файла /etc/hosts:
ip_address name. Например, запись для L-SRV будет выглядеть так: 172.16.20.10 L-SRV.
Для создания записи можно выбрать любой IP-адрес.
Пример на L-CLI-A:
vi /etc/hosts
20
Как проверить:
Проверку можно осуществить командой cat, которая выводит содержимое файла:
cat/etc/hosts
Дополнительная информация
hosts — текстовый файл, содержащий базу данных доменных имен и используемый
при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед об-
ращением к DNS-серверам (в дальнейшем нужно будет изменить приоритет запроса). В от-
личие от системы DNS, содержимое файла задается администратором компьютера.
Краткая справка
1. Подробнее про файл hosts (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/hosts.
2. Подробнее про файл hosts (Debian): https://www.debian.org/doc/manuals/debian-
handbook/sect.hostname-name-service.ru.html.
Задание 4
В случае корректной работы DNS-сервисов ответы DNS должны иметь более вы-
сокий приоритет.
Как делать:
Как и с файлом хост, изначально нужно сконфигурировать файл на одном хосте, а по-
том необходимо будет переслать его на все остальные машины. Рекомендуется сделать это
на L-CLI-A и на R-CLI. (На Debian и CentOS файлы немного отличаются.)
21
— L-CLI-A:
Первым делом нужно открыть конфигурационный файл:
vi /etc/nsswitch.conf
В 12-й строке необходимо добавить слово dns в начало, как показано на скриншоте:
— R-CLI:
vi /etc/nsswitch.conf
В этом же файле в 42-й строке нужно поменять местами слова files и dns, чтобы полу-
чилось, как показано на скриншоте:
Также лучше сразу задать dns-сервер для клиентов. L-CLI-A и L-CLI-B получают его
по DHCP, остались только R-CLI и OUT-CLI.
Необходимо зайти на этих машинах в файл /etc/resolv.conf:
vim /etc/resolv.conf
— OUT-CLI:
22
— R-CLI:
Как проверить:
Проверка осуществляется выводом файла, командой cat:
cat /etc/nsswitch.conf | grep hosts
cat /etc/resolv.conf
Дополнительная информация
Для OUT-CLI DNS-сервером будет являться внешний IP-адрес L-FW, так как в даль-
нейшем по заданию это потребуется.
Для R-CLI DNS сервером будет R-SRV. Он также будет настроен далее по заданию.
Краткая справка
1. Подробнее про nsswitch (CentOS): https://developers.redhat.com/blog/2018/11/26/etc-
nsswitch-conf-non-complexity/.
2. Подробнее про nsswitch (Debian): https://manpages.debian.org/stretch/manpages/
nsswitch.conf.5.en.html.
3. Подробнее про resolv.conf (Debian): https://wiki.debian.org/resolv.conf.
4. Подробнее про resolv.conf (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/manually-configuring-
the-etc-resolv-conf-file_configuring-and-managing-networking.
5. Как пользоваться командой grep? (CentOS): https://www.redhat.com/sysadmin/how-
to-use-grep.
6. Как пользоваться командой grep? (Debian): https://packages.debian.org/ru/sid/grep.
Задание 5
Все хосты должны быть доступны аккаунту root по SSH на стандартном (22) порту.
23
Как делать:
— Debian:
1. Нужно установить OpenSSH Server:
apt install openssh-server -y (ключ -y=yes, для автоматической установки пакетов, без допол-
нительного подтверждения).
2. Отредактировать конфигурационный файл. В нем нужно в любое место дописать
строку PermitRootlogin yes.
Делается это для того, чтобы разрешить пользователю root:
vi /etc/ssh/sshd_config
24
Просмотр существующих интерфейсов выполняется командой:
ip a
а = вывести IP-адресацию
25
После того как была найдена связь между именем, MAC-адресом и сетью, можно при-
ступать к настройке:
vi /etc/network/interfaces
Правила настройки:
auto <name> — автоматическое включение интерфейса.
iface <name> inet static — перевод интерфейса в режим статического IP.
address <IP>/<MASK> — установка IP-адреса и маски подсети.
gateway <gateway> — шлюз по умолчанию.
<name> — имя сетевого интерфейса.
<IP> — IP-адрес в соответствии с топологией.
<MASK> — маска подсети в соответствии с топологией.
<gateway> — IP-адрес шлюза по-умолчанию. Для оконечных устройств шлюзом будет
являться вышестоящий маршрутизатор или сетевой экран. На маршрутизаторах не нужно
указывать шлюз по умолчанию:
26
— CentOS 7:
В системе CentOS имеется предустановленный пакет nmtui. С помощью него можно
удобно в псевдографическом интерфейсе настроить IP-адреса.
Команда для его запуска:
nmtui
Настройка производится во вкладке Edit a connection (перемещаться нужно стрелоч-
ками):
27
Если несколько интерфейсов, то смотрим на MAC-адрес (Device) и сравниваем его в
настройках виртуальной машины. Это делается для того, чтобы узнать в какую сеть смотрит
интерфейс:
Как проверить:
Проверка осуществляется командой:
ip a
Дополнительная информация
Как и на CentOS, на Debian можно установить пакет nmtui и производить настройку в
графическом режиме:
apt install network-manager
28
Но будьте внимательны: если настройка была произведена с помощью конфигураци-
онного файла /etc/network/interfaces, то не стоит настраивать через nmtui. Разные сетевые ме-
неджеры не «ладят» друг с другом, и шанс все сломать выше, чем что-то настроить.
Краткая справка
1. Сетевая настройка на Debian (Debian): https://wiki.debian.org/ru/NetworkConfiguration
2. Nmtui на Red Hat (CentOS): https://access.redhat.com/documentation/en-us/red_
hat_enterprise_linux/8/html/configuring_and_managing_networking/configuring-ip-networking-
with-nmtui_configuring-and-managing-networking.
Задание 2
Настройте GRE-туннель между L-FW и R-FW. Используйте следующую адреса-
цию внутри GRE-туннеля:
— L-FW: 10.5.5.1/30;
— R-FW: 10.5.5.2/30.
Как делать:
Для создания GRE-туннеля необходимо создать сетевой интерфейс tunnel. Делается
это при помощи утилиты ip. Но после перезагрузки созданный интерфейс пропадет. Чтобы
этого не происходило, есть решение в виде bash-скрипта, который создает интерфейс при за-
пуске машины.
— На R-FW
Пусть bash-скрипт называется gre.up и будет находиться в папке /etc:
vim /etc/gre.up
29
— На L-WF
На второй стороне нужно создать такой же скрипт, поменяв local, remote и IP-адреса
местами. Скрипт примет вид, показанный на скриншоте ниже:
vim /etc/gre.up
30
— С машины R-FW:
ping 10.5.5.1
Дополнительная информация
Связь между двумя офисами, разделенными сетью Интернет, можно осуществить раз-
ными способами. Например, существует такая технология, как VPN (Virtual Private Network).
Данная технология подразумевает создание защищенной связи между разными сетями.
GRE — это протокол, не представляющий шифрование. Из чего следует, что соедине-
ние будет небезопасным. В дальнейшем по заданию будет настроена технология IPSEC, ко-
торая будет обеспечивать приватность соединения.
Краткая справка
1. Правила работы с Crontab: https://access.redhat.com/documentation/en-us/red_
hat_enterprise_linux/7/html/system_administrators_guide/ch-automating_system_tasks.
2. Введение В Виртуальные Интерфейсы Linux. Туннели: https://developers.
redhat.com/blog/2019/05/17/an-introduction-to-linux-virtual-interfaces-tunnels.
Задание 3
Настройте динамическую маршрутизацию по протоколу OSPF с использованием
пакета FRR:
1) анонсируйте все сети, необходимые для достижения полной связности;
2) применение статических маршрутов не допускается;
3) в обмене маршрутной информацией участвуют L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW;
4) соседство и обмен маршрутной информацией между L-FW и R-FW должно осу-
ществляться исключительно через настроенный GRE-туннель;
5) анонсируйте сети локальных интерфейсов L-RTR-A и L-RTR-B.
Как делать:
Первое, с чего стоит начать, — это установить пакет FRR.
31
— Debian:
Пакет FRR находится на третьем диске (debian-10.0.0-amd64-BD-3.iso). Но так как у паке-
та FRR очень много зависимостей, поместите в виртуальную машину все три диска Debian:
apt-cdrom add
apt install frr -y
— CentOS:
Пакет FRR находится на диске Additional.iso. Нужно вставить его и примонтировать:
mount /dev/cdrom /media/cdrom
(если выскочила ошибка, выполните команду umount /media/cdrom и повторите команду вы-
ше):
ls /media/cdrom — команда, чтобы посмотреть, что хранится на cdrom
Здесь можно увидеть пакет FRR. При попытке установить пакет он потребует зависи-
мости. Одна из них находится на этом диске — libyang. Необходимо установить сначала ее:
yum localinstall /media/cdrom/libyang_0_16_111_0_x86_64.rpm
Но не спешите устанавливать пакет FRR, так как ему требуются ещё зависимости, ко-
торые в данном случаем находятся на диске Everything. Так как yum умеет автоматически
устанавливать зависимости, просто перекиньте FRR .rpm в другую директорию:
cp /media/cdrom/frr_7_0_01_e17_centos_x86_6.rpm /media/
После нужно вставить диск Everything и примонтировать его:
umount /media/cdrom
mount /dev/cdrom /media/cdrom
После этого можно успешно установить FRR:
yum localinstall /media/frr_7_0_01_e17_centos_x86_6.rpm -y
После установки нужно отредактировать один файл:
vim /etc/frr/daemons
CentOS Debian
32
На Debian необходимо перезапустить FRR:
systemctl restart frr
На CentOS необходимо включить его и добавить в автозагрузку:
systemctl enable --now frr
Далее можно приступить к настройке ospf.
Следующей командой произойдет вход в FRR:
vtysh
После этой команды должно измениться приветственное сообщение:
33
На данном примере у маршрутизатора R-RTR есть два интерфейса. Один смотрит в
сторону R-FW, за которым есть какие-то сети, то есть он не является тупиковым. А вот ин-
терфейс, который смотрит в сторону R-CLI, является тупиковым, так как за R-CLI нет ника-
ких сетей.
2. Сети, в которые устройство подключено напрямую.
Например, для R-FW это будет три сети, к которым он подключен напрямую.
192.168.20.0./24 и 192.168.10.0/30 + сеть в GRE-туннеле — 10.5.5.0/30. Сеть, смотря-
щую в сторону ISP, анонсировать не нужно как на R-FW, так и на L-FW.
3. Зона, к которой относится сеть. Зона — область, в которой все входящие в неё
маршрутизаторы обмениваются различной информацией состояния сети. Разделение делает-
ся для того, чтобы уменьшить нагрузку на сеть. В данном случае используется нулевая зона.
Настройка OSPF:
Указываются пассивные интерфейсы командой:
passive-interface <Имя интерфейса>
где <Имя интерфейса> можно посмотреть командой ip a.
Анонсируем сети. Далее для каждой сети необходимо прописать команду:
network <Сеть>/<Маска> area 0
где <Сеть> и <Маска> — сеть, напрямую подключенная к устройству.
После нужно выйти из режима настройки OSPF, выйти из конфигурационного терми-
нала и командой write сохранить все настройки:
end
write
exit
Пример настройки на L-FW:
Как проверить:
После настройки OSPF на двух ближайших маршрутизаторах, можно посмотреть их
соседство в OSPF. Также можно посмотреть маршруты, которые должны были прийти с со-
седних маршрутизаторов. Делается командами:
show ip ospf neighbor
show ip route
Пример вывода после настройки R-FW и L-FW:
34
Дополнительная информация
Кроме OSPF существуют и другие протоколы динамической маршрутизации: RIPV2,
EIGRP, BGP и многие другие. Суть данных протоколов, включая OSPF, не только в инфор-
мировании местоположения сетей, но и в нахождении кратчайшего маршрута к ним.
Краткая справка
1. Подробнее про FRR: http://docs.frrouting.org/projects/dev-guide/en/latest/packaging-
redhat.html.
2. Подробнее про пакет libyang: https://github.com/CESNET/libyang.
3. Подробнее про пакет NGINX: https://nginx.org/en/.
4. Подробнее про пакет PCRE-DEVEL: https://www.pcre.org/.
5. Подробнее про OPENVPN: https://openvpn.net/community-resources/.
6. Подробнее про PKCS-HELPER: https://github.com/OpenSC/pkcs11-helper.
Задание 4
В качестве DHCP-сервера организации LEFT используйте L-RTR-A.
1. Используйте пул адресов 172.16.100.65–172.16.100.75 для сети L-RTR-A.
2. Используйте пул адресов 172.16.200.65–172.16.200.75 для сети L-RTR-B.
3. Используете адрес L-SRV в качестве адреса DNS-сервера.
4. Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксиро-
ванный IP-адрес в соответствии с диаграммой.
5. В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего
маршрутизатора в локальной сети.
6. Используйте DNS-суффикс skill39.wsr.
7. DNS-записи типа A и PTR соответствующего хоста должны обновляться при полу-
чении ими адреса от DHCP-сервера.
Как делать:
35
Перейдите на L-RTR-A и установите пакет isc-dhcp-server, он находится на втором
диске дебиана:
apt install isc-dhcp-server -y
После установки появится окно с псевдографикой. Так как графический способ
настройки не дает всех возможностей конфигурирования, настройка будет производиться в
конфигурационных файлах. Смело нажимайте сочетание клавиш Crtl + C, чтобы выйти из нее.
Настройка dhcp:
Первое, что нужно сделать, — это указать, какие интерфейсы слушает dhcp:
vim /etc/default/isc-dhcp-server
В этом файле нужно в строку с интерфейсами добавить два имеющихся интерфейса
на этом устройстве. Один интерфейс для сети 172.16.100.0/24. Второй интерфейс для сети
172.16.200.0/24, которая находится удаленно.
В кавычках указаны названия интерфейсов (на примере они могут отличаться, чтобы
посмотреть интерфейсы команда — ip a):
36
Разбор конфига:
option domain-name “skill39.wsr”;
option domain-name-servers 172.16.20.10;
Данными строчками задается доменное имя и DNS-сервер:
default-lease-time 600;
max-lease-time 7200;
Данные строки настраивают время аренды IP-адреса:
ddns-update-style interim;
ddns-updates on;
Настройка опции динамического обновления DNS:
zone skill39.wsr{
primary 172.16.20.10;
};
zone skill39.wsr.in-addr.arpa{
primary 172.16.20.10;
};
Здесь указываются прямая и обратная зоны DNS:
subnet 172.16.100.0 netmask 255.255.255.0 {
range 172.16.100.65 172.16.100.75;
option routers 172.16.100.1
};
subnet 172.16.200.0 netmask 255.255.255.0 {
range 172.16.200.65 172.16.200.75;
option routers 172.16.200.1
};
Данными строками указываются подсети, которые будет обслуживать DNS. В их
настройке указывается диапазон адресов с ключевым словом range и список IP-адресов
маршрутизаторов для клиентской сети ключевым словом option routers:
subnet 172.16.50.0 netmask 255.255.255.252 {
};
Данная строка нужна для
host passacaglia {
hardware ethernet 52:54:00:5d:5e:75;
fixed-address 172.16.200.61;
option routers 172.16.200.1
};
Данной конструкцией происходит привязка IP-адреса к MAC-адресу. Делается это для
того, чтобы устройство всегда получало фиксированный адрес. Обратите внимание, что
MAC-адрес нужно указывать устройства L-CLI-B (по заданию), и MAC-адрес его в вашем
случае может быть другим. Не забудьте указать правильный MAC-адрес, так как на примере
он может отличаться.
После настройки этого файла нужно перезапустить службу dhcp:
systemctl restart isc-dhcp-server
Настройка dhcp-relay:
dhcp-relay настраивается на L-RTR-B
Необходимо установить пакет isc-dhcp-relay. Он находится на втором диске:
apt install isc-dhcp-relay -y
После установки появится окно с псевдографикой. В данном окне нужно ввести
внешний IP-адрес dhcp-сервера (L-RTR-A):
37
Enter
В следующем окне необходимо ввести два интерфейса, которые будут получать за-
просы. (Названия интерфейсов на примере могут отличаться, чтобы посмотреть названия ин-
терфейсов команда ip a.)
После снова нажмите Enter и перейдите к третьему окну, где ничего вводить не надо,
просто снова нажмите Enter.
Настройка DHCP завершена.
Как проверить:
Проверку можно выполнить запросом IP-адреса с клиентских устройств.
На L-CLI-A и на L-CLI-B попробуйте ввести две команды:
dhclient -r
-r = --release. Команда для снятия DHCP-аренды
dhclient -v
-v = --verbose. Команда для того, чтобы «процесс» получения IP-адресации был детально
выведен в командной строке. Если не использовать данный ключ, система в «тихом» режи-
ме пытается получить IP-адрес.
Если все было настроено правильно, то клиентские машины получат IP-адрес, выдан-
ный сервером DHCP:
38
В записи видим, что адрес 172.16.100.65 был выдан компьютеру L-CLI-A. Указано
время выдачи адреса, MAC-адрес устройства и т. д.
Краткая справка
1. Подробнее про DHCP Server: https://wiki.debian.org/ru/DHCP_Server.
2. Официальная документация ISC DHCP: https://kb.isc.org/docs/aa-00333.
Задание 5
На L-FW и R-FW настройте интернет-шлюзы для организации коллективного
доступа в Интернет.
1. Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего ин-
терфейса.
2. Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
3. Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L-SRV.
www.skill39.wsr должен преобразовываться во внешний адрес R-FW.
Как делать:
— L-FW:
1. Первым делом необходимо установить пакет iptables-persistance:
apt install iptables-persistance -y
После установки перекинет в псевдографику. Нажмите NO.
2. Правила для iptables:
Правило для NAT:
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o <Вн.Интерф.> -j MASQUERADE
Правило для проброса порта:
iptables -t nat -A PREROUTING -p udp --dport 53 -i <Вн.Интерф.> -j DNAT --to-destination
172.16.20.10
где <Вн.Интерф.> — внешний интерфейс, смотрящий сторону, ISP -t — --table (от англ. таб-
лица), идем по таблице, NAT -A — --append (от англ. добавлять), добавление правила в конец
списка, -s — --subnet (от англ. подсеть), указывается подсеть, на которую работает правило
-o — -out-interface (от англ. наружу, вне, за пределами) — исходящий интерфейс, -j — -jump
(от англ. прыжок), прописывается действие, которое будет выполняться этим правилом.
После сохраните все изменения:
iptables-save > /etc/iptables/rules.v4
— R-FW
Данной командой можно посмотреть, какие сетевые интерфейсы отнесены к зоне
public и где ICMP (и не только) запросы блокируются:
firewall-cmd --zone=public --list-all
Добавление интерфейса в доверенную зону осуществляется командой:
firewall-cmd --permanent --zone=trusted --add-interface=<NAME>
где <NAME> — имя интерфейса.
Так нужно проделать для всех интерфейсов, кроме интерфейса, назначенного в сторо-
ну провайдера ISP.
39
Включение NAT:
firewall-cmd --permanent --zone=public --add-masquerade
Важное замечание! Так как на этом этапе происходит включение Firewall, теперь его
необходимо настроить, чтобы он не повлиял на дальнейшую работу:
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --permanent --zone=public --add-protocol=gre
firewall-cmd --permanent --zone=public --add-protocol=esp
firewall-cmd --permanent --zone=public --add-port=47/tcp
Данными строчками происходит добавление протоколов и сервисов в доверенную зо-
ну, так как изначально firewalld блокирует все, что не разрешено вручную.
Не забудьте перезапустить firewalld:
systemctl restart firewalld
Как проверить:
— На L-FW:
iptables -L -v -t nat
— На R-FW:
firewall-cmd --zone=public --list-masquerade
firewall-cmd --zone=trusted --list-interfaces
Дополнительная информация
У firewalld имеется два режима настроек: режим выполнения и постоянный. Исполь-
зуя CLI, вы не изменяете настройки брандмауэра в обоих режимах одновременно. Для при-
менения правил, добавленных с ключом --permanent, нужно перезапустить службу firewalld,
либо добавить еще раз правило, но уже без этого ключа.
Краткая справка
1. Подробнее про firewalld: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/8/html/configuring_and_managing_networking/using-and-configuring-
firewalls_configuring-and-managing-networking.
2. Подробнее про iptables: https://wiki.debian.org/iptables.
Задание 6
На хостах сформируйте файл /etc/hosts в соответствии с диаграммой (кроме адре-
са хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недо-
ступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
Как делать:
Зайдите на устройство, где были сформированы данные файлы (L-CLI-A).
Переслать эти файлы можно с помощью утилиты scp:
scp /etc/hosts root@<IP>:/etc/
scp /etc/nsswitch.conf root@<IP>:/etc/
где <IP> — один из адресов всех виртуальных машин.
Как проверить:
Теперь на всех виртуальных машинах должны оказаться сконфигурированные файлы:
cat /etc/hosts
cat /etc/nsswitch.conf
Дополнительная информация
SCP — утилита и протокол копирования, использующий в качестве транспорта SSH.
Краткая справка
Подробнее про scp: https://access.redhat.com/documentation/en-us/red_hat_enterprise_
linux/6/html/deployment_guide/s2-ssh-clients-scp.
40
Задание 7
На L-SRV настройте службу разрешения доменных имен.
1. Сервер должен обслуживать зону skill39.wsr.
2. Сопоставление имен организовать в соответствии с таблицей 1.
3. Запросы, которые выходят за рамки зоны skill39.wsr, должны пересылаться DNS-
серверу ISP. Для проверки используйте доменное имя ya.ru.
4. Реализуйте поддержку разрешения обратной зоны.
5. Файлы зон располагать в /opt/dns/
Как делать:
— L-SRV:
Первым делом нужно установить bind9:
apt install bind9
Настройка:
• конфигурация в файле /etc/bind/named.conf.options
vim /etc/bind/named.conf.options
• нужно раскомментировать строчку forwarders { и последующие за ней две строки.
Далее нужно изменить IP-адрес с 0.0.0.0 на адрес ISP (10.10.10.10).
Чуть ниже и есть срока dnssec-validation yes; вместо yes нужно написать no.
Также необходимо дописать две строки:
recursion yes;
allow-query {any;};
Изменить строку listen-on-v6 {any;}; на listen-on {any;};
Пример:
41
В этом файле нужно добавить зоны, для этого в конце файла дописываем:
Разбор конфигурации:
zone “skill39.wsr” {
type master;
file “/opt/dns/skill39”;
allow-update {any;};
allow-transfer {any;};
};
Данной конструкцией происходит создание зоны skill39.wsr. В ее параметрах указы-
ваются тип (type master) зоны, файл зоны (file):
zone “16.172.in-addr.arpa” {
type master;
file “/opt/dns/172”;
allow-update {any;};
};
zone “168.192.in-addr.arpa” {
type master;
file “/opt/dns/192”;
allow-update {any;};
};
Здесь создаются две обратные зоны для двух обслуживаемых подсетей (левый и пра-
вый офисы).
Следующим пунктом нужно создать зоны, которые были добавлены.
Для этого:
1. Нужно создать папку /opt/dns, где будут храниться файлы зон:
mkdir /opt/dns
2. Скопировать пример прямой зоны и обратной зоны:
cp /etc/bind/db.local /opt/dns/skill39
cp /etc/bind/db.127 /opt/dns/172
cp /etc/bind/db.127 /opt/dns/192
42
3. Выдача прав на папку /opt/dns:
chown bind:bind /opt/dn
4. Настройка зоны skill39.wsr:
vim /opt/dns/skill39
43
Необходимо перезапустить службу DNS:
systemctl restart bind9
— R-SRV:
Установка bind:
yum install bind -y
Конфигурация файла с зонами:
vim /etc/named.conf
После зоны «.» нужно добавить зону skill39.wsr. В данном случае зона будет иметь
тип slave и будет обращаться к master-зоне, находящейся на L-SRV:
45
Создаем файл ou.ldif:
vim ou.ldif
cp migrate_common.pl /etc/perl
./migrate_group.pl /root/group > /root/groups.ldif
vim /root/groups.ldif
В этом файле нужно удалить строки с паролями, так же как показано на примере ниже.
cd /usr/share/migrationtools
Выгрузка пользователя user:
grep user: /etc/passwd > /root/users
./migrate_passwd.pl /root/users > /root/users.ldif
Здесь нужно поменять группу у пользователя user:
vim /root/users.ldif
В первой необходимо изменить строке People на Guest:
cd
Непосредственно добавление пользователя в ldap:
ldapadd -x -W -D “cn=Admin,dc=skill39,dc=wsr” -f users.ldif
— На клиентах L-CLI-A, L-CLI-B и L-SRV:
apt install libpam-ldap
dpkg-reconfigure libpam-ldap
47
Далее на два вопроса отвечаем -NO, type password = clear, в пункте про галочки —
ставим все. Потом в файле /etc/pam_ldap.conf нужно найти строку pam_passwd и закоммен-
тировать её:
vim /etc/pam_ldap.conf
И последним шагом перезапустить ПК:
reboot
Как проверить:
Проверка осуществляется попыткой входа из-под пользователя user с паролем
P@ssw0rd на виртуальные машины L-CLI-A, L-CLI-B, L-SRV.
Дополнительная информация
https://pro-ldap.ru/tr/zytrax/ch14/" \l "ldapadd ldapadd — добавляет LDIF-записи в ката-
лог LDAP
Разбор ключей:
-f — читает информацию о модификации записи из файла file, а не со стандартного входа;
-W — указывает запрашивать пароль для простой аутентификации. Это более без-
опасно, чем указывать пароль в открытом виде в командной строке (-w);
-x — указывает использовать простую аутентификацию вместо SASL. Если не указан,
по умолчанию используется SASL-аутентификация;
-D — использует Distinguished Name, предъявленный в аргументе (binddn), при соеди-
нении с каталогом LDAP.
Краткая справка
1. Подробнее про LDAP: https://wiki.debian.org/LDAP.
2. Официальный сайт сообщества OpenLDAP: https://www.openldap.org/.
Задание 2
На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV.
1. Журналы должны храниться в директории /var/log/custom.
2. Журналирование должно производиться в соответствии с таблицей 2.
Таблица 2
Правила журналирования
Уровень журнала
Источник Файл
(строгое соответствие)
* В директории /var/log/custom/ не должно быть файлов, кроме тех, которые указаны в таблице.
Как делать:
— L-SRV
Конфигурация файла /etc/rsyslog.conf:
vim /etc/rsyslog.conf
Нужно раскомментировать строки 13, 16, 17. Данными действия имеется в виду то,
что будут приниматься запросы по UDP. Далее указываются запросы auth.* и путь, где будут
они будут храниться.
Необходимо также добавить условие, при котором запросы error от L-FW будут попа-
дать в файл error.log:
48
После нужно перезапустить службу rsyslog:
systemctl restart rsyslog
Настройка на L-FW:
vim /etc/rsyslog.conf
В конец файла нужно добавить строку:
*.* @172.16.20.10
После нужно также перезапустить службу rsyslog:
systemctl restart rsyslog
Как проверить:
Например, с L-FW:
logger -p mail.err test
В результате этой команды на L-SRV должно появиться сообщение. Чтобы посмот-
реть, выполняем команду:
ls /opt/logs
49
3. В качестве трафика, разрешенного к передаче через IPSec-туннель, должен быть
указан только GRE-трафик между L-FW и R-FW.
Как делать:
— R-FW:
Установка пакета libreswan:
yum install libreswan -y
Первым делом нужно создать конфигурационный файл в каталоге /etc/ipsec.d/ с рас-
ширением .conf (имя может быть любым, но должно оканчиваться на .conf):
vim /etc/ipsec.conf
Описание конфига:
1. Раздел conn содержит спецификацию соединения, определяющую сетевое соеди-
нение, которое должно быть сделано с использованием IPsec. Данное имя является произ-
вольным и используется для идентификации соединения.
2. auto=start означает, что даже после перезагрузки произойдет согласование соеди-
нения.
3. type=tunnel — тип соединения туннель (Host-to-Host соединение).
4. authby=secret означает, что аутентификация будет по секретному ключу.
5. ike=3des-sha1;dh14 — настройка фазы ike, вся информация дается в задании.
Шифрование 3DES. Проверка целостности SHA-1. Группа Диффи — Хеллмана 14 (2048).
6. esp=aes-sha2 — настройка второй фазы.
7. left=20.20.20.100 — Local IP-адрес.
8. right=10.10.10.1 — Remote IP-адрес.
9. leftprotoport=gre и rightprotoport=gre — используем протокол GRE.
10. pfs=no — прямая секретность ключа. Иногда возникает проблема из-за этой
настройки. Выключаем.
Далее нужно создать файл с секретным ключом. Файл должен располагаться по пути
/etc/ipsec.d/ и иметь расширение .secrets:
vim /etc/ipsec.secrets
50
После перезапустить IPSec:
ipsec restart
— L-FW:
Установка пакета libreswan:
apt install libreswan -y
Так же как и с R-FW, нужно создать файл в каталоге /etc/ipsec.d/ с расширением .conf:
vim /etc/ipsec.conf
Настраивается файл точно так же за исключением left и right (они меняются местами).
Далее создается файл с секретным ключом по пути /etc/ipsec.d/:
vim /etc/ipsec.secrets
51
Дополнительная информация
Кроме IPSec существуют другие технологии, с помощью которых можно осуществить
шифрованную связь. PPTP, L2TP/IPsec, IPSec IKEv2, OpenVPN.
Краткая справка
Подробнее про настройку libreswan: https://libreswan.org/man/ipsec.conf.5.html.
Задание 2
Настройте CA на R-FW, используя OpenSSL.
1. Используйте /etc/ca в качестве корневой директории CA.
2. Атрибуты CA должны быть следующими:
— страна RU;
— организация WorldSkills Russia;
— CN должен быть установлен как WSR CA.
3. Создайте корневой сертификат CA.
4. Все клиентские операционные системы должны доверять CA.
Как делать:
— На R-FW:
Вначале нужно установить openssl:
yum install openssl* -y
Далее конфигурируется файл /etc/pki/tls/openssl.cnf:
vim /etc/pki/tls/openssl.cnf
В 42-й строке нужно написать директорию, указанную в задании (/etc/ca):
Далее указываются все, как в задании (строки 130, 135, 138, 141):
Далее необходимо:
1. Создать директорию, где будут храниться сертификаты:
mkdir /etc/ca
2. Выдать права:
chmod 777 /etc/ca
52
3. Перейти в папку с суперскриптами:
cd /etc/pki/tls/misc
4. Отредактировать CA.pl:
vim CA.pl
53
Как проверить:
Данный пункт проверяется в процессе выполнения следующих заданий. Если у вас
получилось настроить VPN по сертификатам, значит, Центр сертификации настроен пра-
вильно.
Краткая справка
1. Подробнее про OpenSSL: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/7/html/security_guide/sec-using_openssl.
2. Обширная документация про OpenSSL от разработчиков: https://www.openssl.
org/docs/.
Задание 3
На L-FW настройте сервер удаленного доступа на основе технологии OpenVPN.
1. В качестве сервера выступает L-FW.
2. Параметры туннеля:
— устройство TUN;
— протокол UDP;
— применяется сжатие;
— порт сервера 1122.
3. Ключевая информация должна быть сгенерирована на R-FW.
4. В качестве адресного пространства подключаемых клиентов использовать сеть
5.5.5.0/27.
5. Хранение всей необходимой (кроме конфигурационных файлов) информации орга-
низовать в /opt/vpn.
6. Подключившийся клиент должен быть автоматически сконфигурирован на исполь-
зование DNS-инфраструктуры предприятия.
Как делать:
— L-FW:
Установка OpenVPN:
apt install openvpn
Также нужно создать папку /opt/openvpn и файл конфига:
mkdir /opt/vpn
vim /etc/openvpn/server.conf
— Описание конфига.
Указывается локальный IP, порт, протокол, устройство — туннель:
local 10.10.10.1
port 1122
proto udp
dev tun
Следующими строками указывается путь до корневого сертификата, сертификата vpn,
ключа от него, ключ Деффи — Хелмена:
ca /opt/vpn/cacert.pem
cert /opt/vpn/l-fw.crt
key /opt/vpn/l-fw.key
dh /opt/vpn/dh2048.pem
Указывается топология сети:
topology subnet
server 5.5.5.0 255.255.255.224
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push “route 172.16.0.0 255.255.0.0”
push “route 192.168.0.0 255.255.0.0”
push “dhcp-option DNS 172.16.20.10”
Каждые 10 секунд посылать ping на удаленный хост, и если за 120 секунд не было по-
лучено ни одного пакета, то перезапускать туннель.
keepalive 10 120
54
Использовать сжатие:
comp-lzo
Данная опция указывает не перечитывать файлы ключей при перезапуске туннеля:
persist-key
Данная опция оставляет без изменения устройства tun/tap при перезапуске:
persist-tun
Указывает путь к статус-файлу, в котором содержится информация о текущих соеди-
нениях и информация о интерфейсах TUN/TAP:
status /var/log/openvpn/openvpn-status.log
Устанавливает уровень информативности отладочных сообщений:
verb 3
explicit-exit-notify 1
Разбор конфига:
client
Устройство tun:
dev tun
Протокол udp:
proto udp
IP и порт сервера:
remote 10.10.10.1 1122
Убрать переподключение, если не было найдено DNS-имя:
resolv-retry infinite
Использовать динамический порт для подключения:
nobind
Данная опция указывает не перечитывать файлы ключей при перезапуске туннеля:
persist-key
Данная опция оставляет без изменения устройства tun/tap при перезапуске:
persist-tun
Путь до сертификатов и ключа:
ca /opt/vpn/ca.crt
cert /opt/vpn/OUT-CLI.crt
key /opt/vpn/OUT-CLI.key
Использовать сжатие:
comp-lzo
Запуск клиента:
systemctl start openvpn@client
Как проверить:
Попробуйте отправить PING-запрос на любой компьютер в левом офисе:
56
Краткая справка
Подробнее про Openvpn: https://openvpn.net/
Задание 4
На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
1. Запуск удаленного подключения должен выполняться скриптом start_vpn.sh.
2. Отключение VPN-туннеля должно выполняться скриптом stop_vpn.sh.
3. Скрипты должны располагаться в /opt/vpn.
4. Скрипты должны вызываться из любого каталога без указания пути.
5. Используйте следующий каталог для расположения файлов скриптов: /opt/vpn/.
Как делать:
Создаются скрипты на запуск и на остановку vpn следующими командами:
echo systemctl start openvpn@client > /opt/vpn/start_vpn.sh
echo systemctl stop openvpn@client > /opt/vpn/stop_vpn.sh
Выдача прав на запуск:
chmod +x /opt/vpn/start_vpn.sh
chmod +x /opt/vpn/stop_vpn.sh
Создание ссылок на скрипты:
ln -s /opt/vpn/start_vpn.sh /bin/start_vpn
ln -s /opt/vpn/stop_vpn.sh /bin/stop_vpn
-s = --symbolic — для создания символьной ссылки.
Как проверить:
start_vpn и stop_vpn стали доступны как «команды» в командной строке компьютера.
Ввести их можно, находясь в любом месте ОС:
start_vpn
stop_vpn
Краткая справка
Подробнее про SymLink: https://wiki.debian.org/SymLink.
Задание 5
На L-FW настройте удаленный доступ по протоколу SSH:
1. Доступ ограничен пользователями ssh_p, root и ssh_c:
— в качестве пароля пользователя (кроме root) использовать ssh_pass;
— root использует стандартный пароль.
2. SSH-сервер должен работать на порту 22.
Как делать:
На L-FW:
Необходимо отредактировать конфигурационный файл, добавив запись AllowUsers
root ssh_p ssh_c:
vim /etc/ssh/sshd_config
Создание пользователей:
useradd -p ssh_pass ssh_p
useradd -p ssh_pass ssh_c
57
Как проверить:
Проверка осуществляется попыткой подключения по ssh, используя пользователей
ssh_p и ssh_c:
ssh ssh_p@localhost
ssh ssh_с@localhost
Краткая справка
1. Подробнее про настройку OpenSSH: https://manpages.debian.org/jessie/openssh-
server/sshd_config.5.en.html.
2. OpenSSH Debian: https://wiki.debian.org/SSH.
3. OpenSSH Red Hat: https://access.redhat.com/documentation/en-us/red_hat_enterprise_
linux/7/html/system_administrators_guide/s1-ssh-configuration.
4. Официальный сайт OpenSSH: https://www.openssh.com/.
Задание 6
На OUT-CLI настройте клиент удаленного доступа SSH.
Доступ к L-FW из-под локальной учетной записи root под учетной записью ssh_p
должен происходить с помощью аутентификации на основе открытых ключей.
Как делать:
На OUT-CLI:
Создание пары ключей и передача, открытого ключа на L-FW:
ssh-keygen
ssh-copy-id ssh_p@10.10.10.1
Как проверить:
При попытке подключиться по SSH к компьютеру L-FW нужно вводить пароль:
Краткая справка
Подробнее про использование аутентификации на основе ключей: https://access.
redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/s2-ssh-
configuration-keypairs.
2.5.6. Конфигурация веб-служб
Задание
На R-SRV установите и настройте веб-сервер apache:
1. Настройте веб-сайт для внешнего пользования www.skill39.wsr:
— используйте директорию /var/www/html/out;
— используйте порт 80;
— сайт предоставляет доступ к двум файлам.
2. Документ index.html должен содержать:
— “Hello, www.skill39.wsr is here!”
3. Документ date.php (исполняемый PHP-скрипт) должен содержать:
— вызов функции date('Y-m-d H:i:s')
58
Как делать:
Первым делом нужно установить два пакета — httpd и php:
yum install httpd php -y
Далее нужно отредактировать конфигурационный файл:
vim /etc/httpd/conf/httpd.conf
В 119-й строке нужно изменить директорию как по заданию:
vim /var/www/html/out/date.php
59
2. Домашний каталог данного пользователя должен быть расположен в /opt/sync/.
Данный каталог используйте как каталог синхронизации.
3. Домашний каталог не должен содержать никакой посторонней информации.
4. Для выполнения синхронизации создайте rsync-пользователя sync c паролем
parol666.
5. Подключение к rsyncd должны быть разрешены исключительно от клиентов L-CLI-
A и L-CLI-B.
В качестве клиентов используются L-CLI-A и L-CLI-B.
1. Синхронизируемый каталог располагается по адресу /root/sync/.
2. Каталоги должны быть зеркально идентичны по содержимому.
3. Реализуйте синхронизацию в виде скрипта:
— скрипт находится по адресу /root/sync.sh;
— автоматизация скрипта реализована средствами cron пользователя root;
— выполнение производится каждую минуту.
Как делать:
Первым делом нужно установить rsync:
apt install rsync -y
Далее создать пользователя mrsync и задать ему пароль toor:
useradd mrsync
passwd mrsync
Создать папку /opt/sync и сделать ее владельцем ранее созданного пользователя:
mkdir /opt/sync
chown mrsync /opt/sync
В файле /etc/default/rsync нужно поменять один пункт:
vim /etc/default/rsync
С false на true:
Описание конфига:
[data]
Этот параметр указывает имя пользователя или идентификатор пользователя:
uid=mrsync
Этот параметр определяет, могут ли клиенты загружать файлы:
read only=false
Этот параметр указывает каталог в файловой системе демона, который должен быть
доступен в этом модуле:
path=/opt/sync
Параметр указывает список имен пользователей, которым будет разрешено подклю-
читься к этому модулю:
auth users=sync
60
Путь до secrets файла:
secrets file =/etc/rsyncd.secrets
Этот параметр указывает список разрешенных устройств:
hosts allow= L-CLI-A.skill39.wsr, L-CLI-B.skill39.wsr
Этот параметр указывает список запрещенных устройств:
hosts deny=*
Следующим пунктом нужно создать файл /etc/rsyncd.secrets:
echo sync:parol666 > /etc/rsyncd.secrets
Также нужно выдать права на только что созданный файл:
chmod 400 /etc/rsyncd.secrets
После можно запускать rsync:
systemctl enable --now rsync
На L-CLI-A и на L-CLI-B:
— нужно создать файл с паролем и выдать ему права:
echo parol666 > /etc/pass
chmod 400 /etc/pass
— создание скрипта sync.sh в директории root:
vim /root/sync.sh
— описание скрипта:
rsync -avz --password-file /etc/pass -O /root/sync sync@server.skill39.wsr::data
-a, --archive — работа в режиме архивирования, сохраняются права доступа и инфор-
мация о владельцах;
-v, --verbose — увеличение отладочной информации для того, чтобы в случае непола-
док система подробно описывала возникшие ошибки;
-z, --compress — включить сжатие передаваемых данных;
--password-file указывает, что пароль находится в файле.
Выдача прав на запуск:
chmod +x /root/sync.sh
Также необходимо создать папку sync в директории root:
mkdir /root/sync
Как проверить:
На L-CLI-A и на L-CLI-B запустить скрипт sync.sh:
./sync.sh
Дополнительная информация:
Кроме Rsyncd существуют:
Zsync — это инструмент, похожий на rsync, оптимизированный для множества загру-
зок в каждой версии файла. Zsync использует протокол HTTP и файлы zsync с предваритель-
но рассчитанным скользящим хешем, чтобы минимизировать нагрузку на сервер и разре-
шить передачу различий для оптимизации сети.
Библиотека librsync, используемая rdiff, является независимой реализацией алгоритма
rsync. Он не использует сетевой протокол rsync и не делится каким-либо кодом с приложени-
ем rsync. Он используется Dropbox, rdiff-backup, duplicity и другими утилитами.
61
rclone — это инструмент с открытым исходным кодом, вдохновленный rsync, кото-
рый ориентирован исключительно на поставщиков облачных систем хранения. Он поддер-
живает более 10 различных поставщиков и предоставляет rsync-подобный интерфейс для ре-
зервного копирования локальных данных этим поставщикам.
Краткая справка
1. Подробнее про настройку Rsync: https://www.debian.org/mirror/push_server.ru.html.
2. Подробнее про rsyncd.conf: https://download.samba.org/pub/rsync/rsyncd.conf.html.
2.5.8. Конфигурация параметров безопасности и служб аутентификации
Задание
Настройте межсетевой экран iptables на L-FW и firewalld на R-FW.
1. Запретите прямое попадание трафика из сетей в Internal.
2. Разрешите удаленные подключения с использованием OpenVPN на внешний ин-
терфейс маршрутизатора L-FW.
3. Разрешите необходимый трафик для создания IPSec- и GRE-туннелей между орга-
низациями.
4. Разрешите SSH подключения на соответствующий порт.
5. Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal.
6. Разрешите необходимый трафик к серверам L-SRV и R-SRV для работы настроен-
ных сервисов.
7. Остальные сервисы следует запретить.
8. В отношении входящих (из внешней сети) ICMP запросов поступать по своему
усмотрению.
Как делать:
— R-FW:
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --permanent --zone=public --add-protocol=gre
firewall-cmd --permanent --zone=public --add-protocol=esp
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --reload
— L-FW:
iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -i <Вн.Инт.> --dport 1122 -j ACCEPT
iptables -A INPUT -p tcp -i <Вн.Инт.> --dport 22 -j ACCEPT
iptables -A INPUT -p 47 -i <Вн.Инт.> -j ACCEPT
iptables -A INPUT -p esp -i <Вн.Инт.> -j ACCEPT
iptables-save
где <Вн.Инт.> — интерфейс, смотрящий в ISP.
Как проверить:
— R-FW:
firewall-cmd --zone=public --list-all
— L-FW:
iptables-save
Краткая справка:
1. Подробнее про настройку Firewalld: https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/using-and-configuring-
firewalls_configuring-and-managing-networking.
2. Подробнее про настройку Iptables: https://manpages.debian.org/jessie/iptables/
iptables.8.en.html.
62
Таблица 3
DNS-имена
Хост DNS-имя
L-CLI-A A,PTR: l-cli-a.skill39.wsr
L-CLI-B A,PTR: l-cli-b.skill39.wsr
A,PTR: l-srv.skill39.wsr
L-SRV
CNAME: server.skill39.wsr
L-FW A: l-fw.skill39.wsr
A: r-fw.skill39.wsr
R-FW
CNAME: www.skill39.wsr
R-SRV A,PTR: r-srv.skill39.wsr
Таблица 4
Учетные записи LDAP
Группа CN Пароль
Admin tux toor
Guest user P@ssw0rd
Таблица 5
Правила журналирования
Уровень журнала
Источник Файл
(строгое соответствие)
L-RTR-A auth.* /var/log/custom/L-RTR-A.log
L-RTR-B *.warn /var/log/custom/L-RTR-B.log
L-FW *.err /var/log/custom/L-FW.log
*В директории /var/log/custom/ не должно быть файлов, кроме тех, которые указаны в таблице.
Диаграмма виртуальной сети
63
3. ЗАДАНИЕ И ОПИСАНИЕ МОДУЛЯ B
«ПУСКО-НАЛАДКА ИНФРАСТРУКТУРЫ
НА ОСНОВЕ OC СЕМЕЙСТВА WINDOWS»
Контрольный экземпляр задания демонстрационного экзамена доступен по ссылке:
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.
Умение работать с системами на основе открытого исходного кода становится все бо-
лее важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное экзаме-
национное задание содержит множество задач, основанных на опыте реальной эксплуатации
информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить
задание с высоким результатом, то вы точно сможете обслуживать информационную инфра-
структуру большого предприятия.
64
3.3. Оборудование, ПО, приборы и материалы
1. Текстовые файлы:
● данный файл с экзаменационным заданием;
● файл дополнений к экзаменационному заданию, содержащий: описание вида пред-
установок, описание используемых операционных систем, а также рекомендации по выделе-
нию ресурсов для виртуальных машин.
2. Программное обеспечение:
● Windows10.ADMX. Скачать можно тут: https://www.microsoft.com/ru-ru/download/
details.aspx?id=58495.
● Контрольный экземпляр задания доступен по ссылке: https://drive.google.com/file/d/
1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.
65
1. Включите виртуальную машину DC1. После загрузки система попросить сменить
ее пароль:
66
2. Введите пароль — P@ssw0rd:
Ниже открывается небольшое окно — в поле ввода напишите sconfig, для вызова ути-
литы Server Configuration:
67
Появилось новое окно на синем фоне, перед нам утилита Server Configuration. Здесь
можно задать базовые настройки сервера: добавить компьютер в домен, настроить имя ком-
пьютера, установить IP-адрес, изменить время и дату, перезагрузить или выключить компь-
ютер и т. д.:
68
Задание 2
В качестве адреса DC1 используйте первый возможный адрес из подсети
172.16.19.64/26.
Сейчас стоит задача поменять имя устройства и изменить IP-адрес виртуальной ма-
шины DC1.
Установка IP-адреса. Нажимаем на цифру 8 — так мы перейдем в режим «Настройки
сети»:
69
Далее всплывает окно, каким образом будет получен IP-адрес. D — DHCP, S — вручную:
70
Проведя расчеты, получим адресацию, как на схеме выше.
Выходим из настройки адресации:
Открывается окно по умолчанию. Выбираем второй пункт главного меню Server Con-
figuration.
Задание 3
Переименуйте компьютер в DC1.
После ввода имени компьютера система попросит перезагрузиться. Пока не будем это
делать.
71
Закрываем окно Server Configuration:
Далее нужно ввести команду, чтобы Windows внезапно не отключался каждый час.
Это команда slmgr /rearm:
72
Теперь нужно перезагрузить виртуальный компьютер. Это легко сделать через сред-
ства VMware.
Нажмите правой кнопкой мыши по наименованию виртуальной машины. Далее Power
---- Restart Guest:
73
В новом окне прямо по центру видно имя и новый IP-адрес устройства:
Дополнительная информация
Подробнее про sconfig: https://docs.microsoft.com/ru-ru/windows-server/get-started/
sconfig-on-ws2016.
Подробнее про установку серверных компонентов: https://docs.microsoft.com/ru-
ru/windows-server/get-started/getting-started-with-server-core.
3.4.2. Active Directory
Сделайте сервер контроллером домена Kazan.wsr.
Задание
Сделайте сервер контроллером домена Kazan.wsr.
Как делать:
Возвращаемся в окно Dashboard виртуальной машины DC1:
74
Выбираем опцию добавления ролей и дополнительных пакетов:
75
В следующем окне открывается тип устанавливаемых ролей на сервер. Ячейка свер-
ху — «Role-based or feature-based installation» — означает, что мы будем устанавливать
«классический» набор ролей: веб-сервер, файловый менеджер, ActiveDirectory, Центр серти-
фикации, DHCP-сервер, DNS-сервер и т. д.
Ячейка снизу — «Remote Desktop Services installation» — означает, что мы будем
устанавливать роли необходимые для развертывания системы VDI и RemoteDesktop.
По заданию нам не требуется установка VDI-системы, поэтому в рамках задания все-
гда выбираем верхнюю ячейку:
В новом окне выбирается сервер либо виртуальный жесткий диск, куда планируется
устанавливать роль. При выборе верхней ячейки в поле Server Pool перечисляются все име-
ющиеся серверы, в данный момент мы видим только сервер DC1. В будущем в этом поле
можно будет выбрать любой сервер, который находится в домене или доступен для удален-
ного управления.
При выборе нижней ячейки установка роли будет произведена на виртуальный жест-
кий диск (VHD). Виртуальные жесткие диски — это файлы виртуальных жестких дисков,
которые при подключении отображаются и функционируют практически идентично физиче-
скому жесткому диску. В основном они используются в сочетании с виртуальными машина-
ми Hyper-V.
По заданию нам не требуется настройка VHD. Поэтому выбираем верхний пункт и
наш единственный сервер DC1:
76
В данном окне выбираются роли и службы, которые необходимо установить на сер-
вер. Ролей множество, кликнув на каждую роль в правой части экрана можно увидеть ее
краткое описание. На данный момент установим роли доменного контроллера
ActiveDirectory, DHCP-сервер и DNS-сервер:
77
Cистема несколько раз попросит у вас установить помимо ролей дополнительные
функции и зависимости. Нажимаем Add Features…:
78
В новом окне увидим краткое описание устанавливаемой роли ActiveDirectory Domain
Services. Указаны ссылки на статьи по настройке Azure Active Directory:
79
В новом окне дано описание роли DNS-сервера:
80
Система убедится, что вы готовы автоматически перезагрузить сервер в случае необ-
ходимости:
81
Далее нажимаем на «Promote this server to a domain controller».
Перейдем в режим настройки контроллера домена ActiveDirectory:
82
В данном окне настраиваются опции домена.
В раскрывающихся полях Forest functional level и Domain functional level можно вы-
брать какие функции и спецификации конкретного релиза ActiveDirectory будут доступны в
домене. Конкретно ознакомиться с различиями релизов Windows Server можно по ссылке из
дополнительной информации.
Чекбоксы ниже недоступны для изменения, так как являются обязательными настрой-
ками на основном доменном контроллере. Настройка DNS сервера и создание Global Catalog
произойдут автоматически.
В последнем поле указывается пароль от режима восстановления домена. Указываем
P@ssw0rd:
В чекбоксе Create DNS delegation можно настроить делегирование DNS зоны на сервер.
Так как мы настраиваем основной доменный контроллер, пункт недоступен для изменения:
83
Далее настраивается NetBIOS имя домена, подробнее о протоколе NetBIOS в допол-
нительной информации:
84
Далее Мастер установки откроет перед нами отчет о конфигурации домена, чтобы мы
еще раз ознакомились с настройками системы:
86
Дополнительная информация
Подробнее про терминологию ActiveDirectory Domain Services: https://docs.
microsoft.com/ru-ru/windows-server/identity/ad-ds/plan/appendix-a--reviewing-key-ad-ds-terms.
Подробнее про функциональные различия релизов Windows Server: https://docs.
microsoft.com/ru-ru/windows-server/identity/ad-ds/active-directory-functional-levels.
Подробнее про сетевой протокол NetBIOS: https://ru.bmstu.wiki/NetBIOS.
Установка контроллера домена ActiveDirectory 100 уровень сложности: https://docs.
microsoft.com/en-us/windows-server/identity/ad-ds/deploy/install-active-directory-domain-
services--level-100-.
3.4.3. DHCP
1. Настройте протокол DHCP для автоконфигурации клиентов — в качестве диапазо-
на выдаваемых адресов используйте все незанятые серверами адреса в подсети.
2. Настройте failover: mode — Hot-Standby, partner server — SRV1.
3. Настройте дополнительные свойства области (адреса DNS-серверов и основного
шлюза).
Задание 1
Настройте протокол DHCP для автоконфигурации клиентов — в качестве диа-
пазона выдаваемых адресов используйте все незанятые серверами адреса в подсети.
После успешной настройки Active Directory, переходим к настройке DHCP.
Переходим в режим авторизации DHCP-сервера в домене:
87
Здесь выбираем, что авторизацию будем проводить, используя учетную запись адми-
нистратора домена Kazan.wsr:
88
Система сообщит, что авторизация успешно выполнена:
89
Левым кликом мыши раскройте вкладки в оснастке DHCP Manager:
Далее правым кликом мыши нажимаем на IPv4 → New Scope, чтобы создать новый
диапазон IP-адресов для DHCP-сервера:
90
Откроется Мастер установки DHCP:
Далее в окне укажем имя нашей DHCP зоны. Может быть любым.
В поле Description можно дать развернутое описание предназначения зоны:
91
В диапазоне IP-адресов должны указать все незанятые IP-адреса. Снова обратим вни-
мание на IP-адресацию в нашем офисе Kazan:
Видим, что заняты адреса .65, .66, .67, .126. Значит, для клиентов выделяем IP-
диапазон начиная с .68 до .125.
Указываем маску подсети, используемую в нашей сети Kazan.wsr:
92
В следующем окне указывается время аренды IP-адреса. По умолчанию стоит 8 суток,
не меняем это значение:
Задание 2
Настройте дополнительные свойства области (адреса DNS-серверов и основного
шлюза).
Далее система предложит нам сконфигурировать опции DHCP-сервера.
93
Ячейка «Yes, i want to» откроет нам окна по настройке дополнительных опций DHCP-
сервера, таких как настройка шлюза по умолчанию, адреса DNS-серверов и т. д.:
Далее нужно указать IP-адрес роутера, то есть шлюз по умолчанию (адрес R1):
94
У нас в сети будет два DNS-сервера в дальнейшем, настроим так, чтобы клиенты сра-
зу получали оба адреса DNS-сервера — для отказоустойчивости:
95
После длительной системы проверки адреса выйдет ошибка, нажимаем Yes:
96
Далее автоматически активируется настроенная DHCP-зона. Ячейка сверху включает
DHCP-зону, ячейка снизу отключает DHCP-зону:
97
Попав туда, нас встречает синее окно начальной конфигурации компьютера. Прохо-
дим ее.
В первой раскрывающейся вкладке выбирается страна и регион, где находится кли-
ент — United States.
Во второй раскрывающейся вкладке выбирается язык системы.
В третьей раскрывающейся вкладке выбирается раскладка клавиатуры, которая будет
использоваться в системе:
98
Здесь компьютер сообщит, что он перезагрузился, и предложит варианты исправления
внезапных перезагрузок системы:
99
Далее в основной раскладке оставьте US как основную раскладку клавиатуры. Это
применимо для раскладки клавиатуры, используемой в России. Например, в Великобритании
раскладка клавиатуры сильно отличается от US — пользоваться ею в России будет тяжело.
100
Далее ПК попробует подключиться к сети, чтобы автоматически сконфигурировать
Windows Account.
101
Принимаем лицензионное соглашение Windows 10:
102
Пункт с паролем просто пропускаем. Не тратим время на ввод паролей!
103
Дальше система спросит о настройке внутреннего цифрового помощника в системе,
откажемся — Decline:
104
Начнется загрузка операционной системы, это займет некоторое время.
После этого нажимаем на комбинацию клавиш Win + R — там пишем cmd:
105
В выводе команды должны увидеть, что компьютер сам обнаружил DHCP-сервер и
получил свои сетевые реквизиты:
Задание 3
Переименуйте компьютер в CLI1; присоедините компьютер к домену Kazan.ws.
Раз мы уже очутились на клиентской виртуальной машине, давайте сразу же добавим
её в ДОМЕН и настроим ей ИМЯ.
Закройте все лишние окна на CLI1 и нажмите на значок «Желтой папки» внизу
экрана:
106
В новом окне нажимаем правой кнопкой мыши на This PC — Properties:
107
Windows позволяет одновременно изменить имя устройства и добавить его в домен
ActiveDirectory:
108
После этого у нас появится приветственное сообщение, что мы успешно попали в до-
мен Kazan.wsr:
109
После этого виртуальная машина автоматически станет частью домена Kazan.wsr и
будет иметь правильное имя.
На этом настройка DHCP и базовая настройка CLI1 завершена.
Дополнительная информация
Подробнее про DHCP: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/dhcp/dhcp-top.
Подробнее про WINS: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/wins/wins-top.
3.4.4. DNS
1. Настройте необходимые зоны прямого и обратного просмотра.
2. Создайте все необходимые записи типа A и PTR для серверов домена и необходи-
мых web-сервисов.
3. Обеспечьте разрешение имен сайтов обеих компаний.
Задание 1
Настройте необходимые зоны прямого и обратного просмотра; создайте все не-
обходимые записи типа A и PTR для серверов домена и необходимых web-сервисов.
Возвращаемся на виртуальную машину DC1 и переходим в оснастку DNS Manager:
110
Левой кнопкой мыши можно раскрыть полностью DC1:
Далее правым кликом мыши нажимаем Reverse Lookup Zones → New Zone:
111
Открывается мастер по установке PTR-зоны DNS-сервера:
112
Далее указывается на какие сервера будет копироваться зона с основного доменного
контроллера:
1) первая ячейка — указывается, что зона будет скопирована на все DNS-сервера в ле-
су Kazan.wsr;
2) вторая ячейка — указывается, что зона будет скопирована на все DNS-сервера в
домене Kazan.wsr;
3) третья ячейка — указывается, что зона будет скопирована на все доменные кон-
троллеры в домене Kazan.wsr;
4) четвертая ячейка — для «гибких» настроек.
113
Указываем, для какой подсети создаем PTR-зону:
114
Завершаем настройку PTR-зоны на DNS-сервере DC1:
Задание 2
Создайте все необходимые записи типа A и PTR для серверов домена и необхо-
димых web-сервисов.
Далее раскрываем следующие вкладки: Forward Lookup Zones → Kazan.wsr → New
Host:
115
Попадаем в окно создания новой A записи. В первом поле вводим само имя, в нере-
дактируемом втором поле указывается полное доменное имя.
В третьем поле указываем IP-адрес SRV1, так как по заданию нам необходимо создать
сайт с доменным именем — www.kazan.wsr.
Галочку на Create associated pointer record ставим, чтобы автоматически создалась
PTR-запись (подробнее про терминологию DNS в дополнительной информации):
116
Как проверить.
Идем на виртуальную машину CLI1, нажимаем сочетание клавиш Win + R — пишем
cmd:
Дополнительная информация
Подробнее про DNS-сервер: https://docs.microsoft.com/ru-ru/windows-server/networking/
dns/dns-top.
Подробнее про терминологию DNS: https://ru.bmstu.wiki/DNS_(Domain_Name_System).
117
3.4.5. Элементы доменной инфраструктуры
1. Создайте подразделения: IT и Sales.
2. В соответствующих подразделениях создайте одноименные доменные группы.
3. В каждой группе создайте с помощью скрипта по 30 пользователей. Все учетные
записи должны иметь возможность входа в домен с логином, созданным по следующему
шаблону: НазваниеГруппы_ПорядковыйНомерПользователя@kazan.wsr. В качестве пароля
используйте P@ssw0rdX, где X — номер пользователя. Все учетные записи пользователей
должны быть включены. Вход в систему должен быть обеспечен для всех пользователей со
всех клиентских компьютеров домена и рядовых серверов.
4. Для каждого пользователя, члена группы IT, создайте автоматически подключае-
мую в качестве диска U:\ домашнюю папку внутри папки по адресу SRV1→d:\shares\IT.
5. Все пользователи при первом входе в домен с компьютера CLI1 должны видеть на
рабочем столе ярлык программы «Блокнот».
Задание 1
Создайте подразделения: IT и Sales.
Идем на виртуальную машину DC1. Tools → ActiveDirectory Users and Computers:
118
Левым кликом нажмите на Kazan.wsr, чтобы полностью раскрыть меню. Далее пра-
вой кнопкой мыши нажмите на Kazan.wsr → New → Organizational Unit:
119
Обратите внимание, что появилась новая организационная единица — IT:
120
Задание 2
В соответствующих подразделениях создайте одноименные доменные группы.
Правый клик по созданной организационной единице: New → Group.
В OU IT нужно создать одноименную группу IT:
Кратко, группа Domain Local — группа, которая будет активна только внутри данного
домена, «покинуть» пределы домена невозможно.
Global — группа, которая может покидать пределы домена, где была создана.
Назначение групп тоже понятно — в Global добавляем учетные записи, если стоит за-
дача: где угодно права раздавать, хоть в другом домене. Domain Local используем для групп-
заглушек на ресурсах сети.
Тип групп — Security и Distribution. Тип Distribution нужен исключительно для вопро-
сов оптимизации быстродействия и обеспечения безопасности. Смысл существования вари-
анта Distribution — это облегченный вариант обычной группы.
Тип Security — тип группы, имеющий более высокие требования к безопасности и
проверке.
Смена типов групп — крайне специфическая и узкая задача. По умолчанию создается
группа Global/Security, что подойдет под 90% всех базовых задач администратора домена.
Подробнее про типы групп и их различия можно прочитать в большой статье в дополнитель-
ной информации.
121
Обратите внимание, что у вас также появилась группа в организационной единице IT:
122
Теперь у нас в организационной единице (OU) создана группа IT. По такому же прин-
ципу создайте в организационной единице Sales группу Sales:
Задание 3
В каждой группе создайте с помощью скрипта по 30 пользователей.
Все учетные записи должны иметь возможность входа в домен с логином, созданным
по следующему шаблону НазваниеГруппы_ПорядковыйНомерПользователя@kazan.wsr.
В качестве пароля используйте P@ssw0rdX, где X — номер пользователя. Все учетные запи-
си пользователей должны быть включены. Вход в систему должен быть обеспечен для всех
пользователей со всех клиентских компьютеров домена и рядовых серверов.
Скрипт для создания пользователей в группу IT:
123
Add-ADGroupMember пишется в следующей строке после New-ADUser.
Скрипт для создания пользователей в группу Sales:
124
В открывшемся окне создайте новый документ:
125
Повторно обращаем внимание, что строка New-ADUser пишется в одну запись со
всеми опциями командлета.
После ввода скрипта нажмите на зеленый треугольник в верхней части программы:
В нижней части экрана, показаны ошибки, которые могут возникать при работе
скрипта, как, например, здесь:
Из этого примера видно, что ошибка случилась во время выполнения командлета Add-
ADGroupMember. Система жалуется, что не может найти группу Sales.
В результате проверки было выявлено, что группа не создана.
126
Исправляем ошибку путем создания группы Sales:
Перед нами чистый синий экран, значит, скрипт успешно отработал, синтаксических,
логических и грамматических ошибок не было допущено.
Проверим правильность созданных пользователей:
127
Например, зайдем в организационную единицу Sales:
128
Проверим, что пользователи в нужной группе. Например, что Sales_X (где X — номер
аккаунта) действительно в группе Sales:
130
Правый клик мыши на имени Kazan.wsr — Create a GPO:
В новом окне нам предлагается задать имя нашей политики, как назвать ее — не важ-
но, но старайтесь давать понятные и логичные наименования групповых политик. Мы назо-
вем её Animation. Параметр Source Starter GPO используется, если в системе есть созданный
шаблон для групповых политик. По умолчанию его не существует, а по заданию не требует-
ся его установка. Подробнее про шаблоны политик можно прочитать в дополнительной ин-
формации.
131
Правый клик мыши по наименованию нашей политики → Edit:
132
133
134
Как проверить:
Переходим на виртуальную машину CLI1 и пытаемся зайти на неё под учетной запи-
сью пользователя из домена Kazan.wsr.
После перезагрузки нажимаем внизу на кнопку Other user:
135
Попробуем зайти под пользователем IT_3 с паролем P@ssw0rd3. Напомню, что по зада-
нию у нас логин IT_X, где X — порядковый номер пользователя и пароль P@ssw0rdX, где X —
также номер пользователя. То есть пользователь IT_1 имеет пароль P@ssw0rd1, пользователь
IT_10 имеет пароль P@ssw0rd10, пользователь Sales_28 имеет пароль P@ssw0rd28 и т. д.
136
Пишем там команду — gpupdate /force:
137
Задание 2
Члены группы IT должны быть членами группы локальных администраторов
на всех клиентских компьютерах домена.
Создаем новое GPO:
138
Идем по пути групповой политики: Computer Configuration → Policies → Windows Set-
tings → Security Settings → Restricted Groups:
139
Добавляем группу IT:
В настройках группы появляется два поля для конфигурации членства группы в дру-
гих группах.
1. Members of this groups — поле для добавления других групп в группу IT.
2. This group is a member of — поле для добавления этой группы в другие группы. По
заданию нужно добавить группу IT в группу Administrators. Так что выбираем именно второе
поле настроек.
140
В появившемся окне нажимаем кнопку Browse:
141
Подтверждаем настройки группы IT:
142
Как проверить:
Переходим в виртуальную машину CLI1 и входим в неё под логином и паролем любо-
го пользователя, который входит в группу IT:
143
Обратим внимание, что в новом окне в группе появилась запись — KAZAN\IT:
144
Открывается окно настроек виртуальной машины. Здесь отображается количество
ОЗУ, выделенной для этой ВМ (поле Memory), количество процессоров (поле Processors),
накопитель системы (поле Hard Disk), DVD-привод для добавления в ВМ .iso-файлов в си-
стему (поле CD/DVD Drive), устройство для считывания гибких магнитных дисков (дискет)
(поле Floppy drive 1), сетевой адаптер (поле Network Adapter) и видеокарта. Нас интересует
CD/DVD DRIVE, так как дополнительные настройки для GPO предоставлены нам в виде
ISO-образа.
145
После добавления диска можно переходить в «Проводник»:
146
147
Приветственное окно Мастера установки дополнительных пакетов ADMX:
148
Копировать можно сочетанием клавиш Ctrl + C:
Подтверждаем установку:
149
Ждем завершения установки дополнений Windows:
150
Дополнения были успешно установлены, но теперь их необходимо добавить в пра-
вильную директорию на сервере. Идем по пути:
C: → Programm Files(x86) → Microsoft Group Policy → Windows 10… → PolicyDefinitioins
151
Добравшись до нужной папки, нажимаем правой кнопкой мыши → Copy:
152
Оказавшись в нужной директории, вставляем копируемую папку.
Можно нажать сочетание клавиш Ctrl + V:
153
Дожидаемся копирования папки:
Для начала создадим политику для организационной единицы Sales. Таким образом
создается политика, которая будет активна только для объектов (компьютеров, пользовате-
лей, групп), находящихся в этой OU. Политики, которые работают на весь домен, настраи-
ваются в поле его наименования, в нашем случае Kazan.wsr.
154
Создаем новое GPO:
Называем её HomePage:
155
Переходим в режим редактирования групповой политики (правый клик мыши по
наименованию новой GPO → Edit).
Для начала настроим политику для Microsoft Edge.
Идем по пути: Computer Configuration → Administrative Templates → Windows Compo-
nents → Microsoft Edge → Configure Home Pages:
156
На этом настройка домашней страницы в браузере Edge завершена, переходим к
настройке Internet Explorer.
Политика для IE находится по пути: User Configuration → Preferences → Internet Set-
tings:
157
Пояснение про параметр Startup. Первая ячейка настроит режим, в котором после пе-
резагрузки браузер откроет последние открытые вкладки.
Вторая ячейка настроит режим, в котором после перезагрузки браузер откроет до-
машнюю страницу (именно то, что нужно).
158
Как ниже, быть не должно — нажмите F5, чтобы это исправить!
После создания групповой политики для OU Sales нужно создать такую же, только
для IT, домашней страницей будет https://www.spb.wse:
159
Идем по пути: Computer Configuration → Administrative Templates → Windows Compo-
nents → Microsoft Edge → Configure Home Pages:
160
На этом настройка домашней страницы в браузере Edge завершена, переходим к
настройке Internet Explorer.
Политика для IE находится по пути: User Configuration → Preferences → Internet Set-
tings:
161
Создаем GPO по таким же настройкам, что и выше, только страница будет
www.spb.wse.
После этого нажмите ОК. Политики на браузере установлены.
Как проверить:
Идем на виртуальную машину CLI1 и входим в систему под пользователем в OU
Sales — Sales_1.
162
Сначала проверим Microsoft Edge:
163
В окне пишем iexplore:
164
Задание 3.1
Разрешаем ICMP (и прочий трафик) в Windows Firewall.
Настраивать Firewall правильно, с действительной блокировкой трафика — это дол-
гий и серьезный процесс. Разрешим любой трафик, но не отключая брандмауэр на ПК в до-
мене. Воспользуемся групповой политикой.
ПОВТОРЯЕМ! ДЕЛАТЬ ТАК НА РАБОТЕ НЕЛЬЗЯ И НЕПРАВИЛЬНО! ДЛЯ ЗА-
ДАНИЯ НЕКРИТИЧНО!
Создаем GPO в домене, назовем её Firewall.
Политика находится по пути: Computer Configuration → Policies → Windows Set-
tings → Security Settings → Windows Defender… → Windows Defender… → Inbound Rules.
В этом меню настраиваются правила брандмауэра для входящего трафика:
165
Разберемся, какие пункты есть в меню создания правила:
1) первой ячейкой создается правило для контроля подключений какой-либо установ-
ленной программы в Windows;
2) второй ячейкой создается правило для контроля подключений на конкретный сете-
вой порт;
3) третьей ячейкой создается правило для контроля подключений серверных служб.
Например, для контроля подключений ActiveDirectory, DHCP и т. д.;
4) четвертой ячейкой создается особое правило, неподходящее под описанные выше
шаблоны.
В меню Program выбирается программа, для которой будет актуально это правило.
В первой ячейке указывается, что правило будет под все программы на компью-
тере.
Во второй ячейке указывается конкретный путь до программы, для которой будет
актуально это правило.
В поле Services можно настроить службу, для которой будет актуально это пра-
вило.
166
Далее в меню Protocol and Ports выбирается, для какого сетевого протокола будет
настроена политика брандмауэра. В поле ниже указываются порты, которые попадают под
это правило. В Local Port указываются локальные порты клиента, с которого будет осу-
ществляться подключение к серверу. В Remote Port указываются удаленные порта сервера,
куда будет подключаться клиент. По умолчанию все сетевые протоколы и порты «попадают»
под правило брандмауэра:
167
В меню Scope указываются IP-адреса, которые попадают под настраиваемое правило.
В первом поле Local IP-addresses указывается, какие локальные IP-адреса попадают
под правило брандмауэра.
В втором поле Local IP-addresses указывается, какие удаленные IP-адреса попадают
под правило брандмауэра.
По умолчанию под правило попадают все IP-адреса.
168
Далее настраивается зона «влияния» правила:
1) правило будет активно только для компьютеров в домене;
2) правило будет активно только для компьютеров в частной сети;
3) правило будет активно только для компьютеров в общей сети.
По умолчанию выбраны все зоны:
169
После создания политики на входящий трафик настроим исходящий:
170
По умолчанию правило на исходящий трафик блокирует все, меняем этот пункт на
«Разрешить все»:
171
После этого все машины в домене получат эту настройку брандмауэра.
Как проверить:
С контроллера домена попробуйте в командной строке отправить PING-запрос на
виртуальную машину CLI1:
172
В новом окне заполняем меню, как на скриншоте. В поле Name указываем имя ярлыка
(именно это имя отобразится на рабочем столе клиента).
В поле Target type указывается тип объекта, который будет отображаться на ПК кли-
ентов в домене. Доступно всего 3 объекта, на которые можно создать ярлык:
1) File System Object — непосредственно файл, находящийся на жестком диске клиен-
та или на сетевой папке;
2) URL — ссылка на веб-страницу;
3) Shell Object — объект Microsoft Windows Shell позволяет получить доступ к раз-
личным настройкам Windows при помощи технологий COM и Automation, что позволяет ис-
пользовать Visual Basic и VBScript.
Мы хотим настроить ярлык для «Блокнота», он есть на всех компьютерах Windows по
умолчанию в одной и той же директории
В поле Location указывается, где будет располагаться ярлык.
Desktop=рабочий стол:
173
В поле Target path указывается путь до файла, на который планируется создать ярлык.
При нажатии на символ «…» откроется «Проводник»:
В новом окне нам нужно пройти по пути и выбрать там файл notepad.exe:
C:\Windows\System32\notepad.exe
Путь до файла можно просто ввести в строке, чтобы не заниматься поиском его в
меню:
174
Пункт выполнен.
Как проверить:
Возвращаемся на виртуальную машину CLI1 и заходим под любым пользователем в
домене, например, IT_1
Попав на виртуальную машину, должны увидеть на рабочем столе ярлык «Блокнота»:
Дополнительная информация
Подробнее про групповую политику для ярлыков: https://docs.microsoft.com/ru-
ru/internet-explorer/ie11-deploy-guide/group-policy-shortcut-extensions-ie11.
Руководство по развертыванию Windows Defender Firewall с улучшенной безопасно-
стью: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-firewall/win
dows-firewall-with-advanced-security-deployment-guide.
175
Брандмауэр защитника Windows в дополнительной безопасности: https://docs.
microsoft.com/ru-ru/windows/security/threat-protection/windows-firewall/windows-firewall-with-
advanced-security-design-guide.
Создание политики изоляции домена: https://docs.microsoft.com/ru-ru/windows/
security/threat-protection/windows-firewall/domain-isolation-policy-design.
Основная настройка DC1 закончена, переходим к другим сервисам.
3.4.7. Настройка SRV1
Базовая настройка
1. Переименуйте компьютер в SRV1.
2. В качестве адреса SRV1 используйте второй возможный адрес из подсети
172.16.19.64/26.
Задание 1
Переименуйте компьютер в SRV1; в качестве адреса SRV1 используйте второй
возможный адрес из подсети 172.16.19.64/26.
Верхние два пункта выполняются через знакомую вам утилиту sconfig!.
При первом входе в машину она попросит сменить её пароль:
Вводим знакомый нам P@ssw0rd. Ввести его нужно два раза. Чтобы переключиться
на нижнюю строку ввода пароля, нажмите клавишу Tab:
176
Добавление машины в домен через sconfig.
После смены имени компьютера, назначения IP-адреса, как по топологии:
177
На этом этапе система спрашивает, сменили ли вы имя компьютера. Если вы до сих
пор не сделали это, самое время — нажмите Yes.
Если имя изменено, нажмите No.
После этого компьютер потребует перезагрузки:
Нажать на Find now, если увидели там ваш SRV1 — все сделано правильно!
Далее необходимо левой клавишей мыши выделить SRV1 и нажать на стрелочку по-
середине экрана, чтобы перенести этот сервер в правую половину:
178
Теперь мы добавили SRV1 — неграфический сервер на Windows Server 2019 Core в
серверную инфраструктуру домена, сейчас на DC1 можно удаленно управлять SRV1 через
удобный графический интерфейс.
Задание 2
Обеспечьте работоспособность протокола ICMP (для использования команды
ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
Уже выполненный пункт: на DC1 была сформирована GPO для всех компьютеров на
работу ICMP в Windows Firewall.
Задание 3
С помощью дополнительных жестких дисков создайте RAID-5 массив; назначьте
ему букву D:\.
Если обратить внимание на настройки виртуальной машины SRV1, станет видно, что
помимо диска с установленной ОС на компьютере также присутствует 4 диска по 1 Гб.
Именно из них будем собирать RAID5-массив.
179
Разметить диски и собрать из них RAID5 можно через графику на DC1, а можно через
утилиту командной строки — diskpart.
Рассмотрим вариант через diskpart.
Заходим на виртуальную машину и пишем название утилиты:
Видим, что теперь вместо текущей директории мы видим слово DISKPART, значит,
мы попали в утилиту.
Вводим команду list disk:
Команда показывает, как система пронумеровала наши диски, какой у них статус, ём-
кость и свободное пространство.
Переходим на первый диск для редактирования — select disk 1:
180
Далее переходим на следующий диск — select disk 2.
И вводим там такие же команды. Не забывайте, что в системе есть возможность вы-
звать предыдущую команду, нажав на значок «стрелка вверх».
Получается, для каждого диска должны быть введены команды:
1) select disk X, где X — номер диска;
2) attrib disk clear readonly;
3) online disk;
4) convert dynamic.
После выполнения на каждом диске этих команд, введем снова list disk:
Если у вас вывод получился такой же — все сделано правильно! Около каждого диска
должно быть в Status — online, а напротив значок *.
Далее введем команду для создания RAID5:
create volume raid disk=1,2,3,4
Видим, что у нас успешно создался раздел под типом RAID5. По заданию он должен
иметь букву тома D, но буква тома D уже занята DVD-ROM — исправляем.
Вводим команду select volume 0, попали на DVD-ROM:
Пишем команду assign letter=B, данной командой мы сменили букву для DVD:
181
Введем list volume, чтобы убедиться в изменении буквы для тома:
182
Задание
Сделайте сервер дополнительным контроллером домена Kazan.wsr; сервер дол-
жен быть контроллером домена только для чтения.
На виртуальной машине DC1 переходим в режим «Добавление и удаление ролей»:
183
184
Установим сразу несколько ролей на сервер SRV1:
185
Нажимаем Next:
Нажимаем Next до появления окна ниже и выбираем там пункт «Management Service»
для того, чтобы установить утилиты для удаленного менеджмента службой Web Server IIS:
186
По завершении установки нажимаем на «Promote this server to a domain controller»:
В окне ниже мы должны указать, какой аккаунт будет использоваться для добавления
доменного контроллера. Добавлять будем из-под учетной записи доменного администратора.
187
Мы выбираем первую ячейку, так как будем добавлять доменный контроллер в уже
существующий домен:
188
На этом этапе система спросит, какие настройки будут у второго доменного контроллера:
1) первая галочка отвечает за установку DNS-сервера на доменный контроллер. При выбо-
ре этой галочки на SRV1 будут загружены основные и обратные зоны Kazan.wsr. Зоны на SRV1,
загруженные таким способом, будут иметь тип ActiveDirectory-Integrated. Оставляем эту галочку;
2) вторая галочка отвечает за копирование Global Catalog (глобального каталога). Глобаль-
ный каталог — это все объекты, которые находятся в ActiveDirectory. Оставляем эту галочку;
3) третья галочка отвечает за режим работы второго доменного контроллера. В режи-
ме Read-only на этом контроллере нельзя ничего создать или изменить в ActiveDirectory.
Оставляем эту галочку.
Далее вводится пароль от режима резервного восстановления системы — DSRM:
189
1. Делегированные учетные записи администратора получают локальные права ад-
министратора для RODC. Эти пользователи могут действовать с привилегиями, эквива-
лентными группе администраторов локального компьютера. Они не являются членами
групп администраторов домена или встроенных учетных записей администраторов домена.
Этот параметр полезен при делегировании администрирования филиалом без выдачи раз-
решения на администрирование домена. Настройка делегирования прав администратора не
требуется.
2. Учетные записи, которым разрешено реплицировать пароли в RODC.
3. Учетные записи, которым запрещено реплицировать пароли в RODC.
190
Страница Paths (пути) позволяет переопределить расположение папок по умолчанию
для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL:
191
Страница Review Options («Просмотреть параметры») позволяет проверить параметры
перед установкой и убедиться, что они отвечают требованиям:
192
Дожидаемся установки:
Как проверить:
В окне ниже видим, что в OU Domain Controllers появился новый компьютер. Видим
его роль — RODC и загруженную реплику Global Catalog:
193
Дополнительная информация
Установка контроллера домена только для чтения (RODC) Active Directory в Windows
Server 200 уровень сложности: https://docs.microsoft.com/ru-ru/windows-server/identity/ad-
ds/deploy/rodc/install-a-windows-server-2012-active-directory-read-only-domain-controller--rodc--
-level-200-.
Подробнее про Global Catalog: https://docs.microsoft.com/en-us/windows/win32/ad/global
-catalog.
3.4.8. DHCP
1. Настройте протокол DHCP для автоконфигурации клиентов.
2. Настройте failover: mode — Load balancer, partner server — DC1, state switchover —
5 min.
Задание 1
Для начала работы необходимо авторизовать DHCP-сервер в домене:
194
В первой ячейке указывается текущая учетная запись, под которой вошел пользова-
тель.
Во второй ячейке указываются альтернативные учетные записи для авторизации.
В третьей ячейке пропускается авторизация сервера в ActiveDirectory.
195
Авторизация успешно прошла, переходим к следующему этапу.
Задание 2
Настройте failover: mode — Load balancer, partner server — DC1, state switch-
over — 5 min.
196
Правый клик по IPv4 → Configure Failover…:
197
Далее открывается страница, где необходимо указать, какой сервер будет использо-
ваться для обеспечения балансировки нагрузки DHCP:
198
Подтверждаем выбор:
199
Обратите внимание, что термины «основной», «резервный» относятся к конкретной
DHCP-области. К примеру, DHCP-сервер может являться основным для одной области и ре-
зервным для другой.
2. Режим работы — Load balancing. В этом режиме область делится на две части в
определенной пропорции и обслуживается обоими серверами одновременно. При получении
запроса каждый сервер вычисляет хэш MAC-адреса клиента в соответствии с алгоритмом,
описанным в RFC 3074. MAC-адреса хэшируются в диапазоне от 1 до 256, балансировка
происходит по следующему принципу: если нагрузка распределена в пропорции 50/50 и если
при вычислении хэша получено значение от 1 до 128, то отвечает первый сервер, если же от
129 до 256, то отвечает второй. При изменении коэффициента распределения нагрузки рас-
пределение хэш-блоков между серверами изменяется в той же пропорции. Такой подход га-
рантирует, что за одного конкретного клиента отвечает только один сервер.
В поле Load Balance Percentage указывается процентное разделение DHCP-диапазона
между двумя серверами.
State Switchover Interval — интервал времени, по истечении которого партнер счита-
ется недоступным (PARTNER_DOWN). Если не задавать этот параметр, то при падении
партнера автоматического переключения не произойдет и переключатся придется вручную.
Серверы должны безопасно общаться друг с другом. Для этого включаем параметр
«Enable Message Authentication» и в поле «Shared Secret» задаем кодовое слово, которое сер-
веры будут использовать для связи. В нашем случае просто «1».
200
Завершите настройку DHCP-Failover:
201
Дополнительная информация
Подробнее про режимы работы DHCP-failover: https://docs.microsoft.com/ru-
ru/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338976(v%3Dws.11).
3.4.9. DNS
1. Сделайте сервер дополнительным DNS-сервером в домене Kazan.wsr.
2. Загрузите c DC1 все зоны прямого и обратного просмотра.
Задание
Данный пункт задания уже выполнен: при установке второго доменного кон-
троллера все зоны загрузились на SRV1.
Как проверить:
202
Теперь можно просмотреть все зоны, загруженные на SRV1. Обратите внимание на
тип зоны — ActiveDirectory Integrated. Автоматически загруженная зона при конфигурирова-
нии второго доменного контроллера на SRV1:
Дополнительная информация
Подробнее про Active Directory-Integrated DNS Zones: https://docs.microsoft.com/en-
us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc731204(v=ws.10).
203
Заходим на виртуальную машину DC1:
204
Добавляем необходимые зависимости для службы FSRM:
205
Далее снова нажимаем Next:
Здесь мы можем создать общие сетевые папки по протоколу либо SMB, либо NFS.
Режим создания Quick — быстрый способ создать сетевую папку. Большинство зна-
чений по умолчанию, минимальное количество вопросов от системы.
Режим Advanced — продвинутый способ создать сетевую папку. В данном режиме
папка создается с более гибкими и тонкими настройками.
206
Режим Applications — этот параметр необходим, если общий ресурс будет использо-
ваться хостами Hyper-V для общего хранилища, приложения базы данных и других сервер-
ных приложений.
По заданию нам не требуется сложная настройка файлового хранилища, выбираем
самый простой и быстрый способ создания общей сетевой папки:
207
Переходим на диск D и создаем там папку shares:
Создали папку:
208
Зашли внутрь папки shares и создаем там папку departments:
209
Первым делом создадим общую папку для подразделения IT:
210
В поле Share name указывается имя общей сетевой папки. Оно должно быть уникаль-
ным:
211
В следующем окне настраиваются права доступа для клиентов:
212
Подтверждаем удаление:
213
Переходим в режим добавления объекта в правило доступа:
214
Подробнее про настройки прав:
Principal — указывается объект из AD, которому настраиваем права доступа.
Types:
1) Allow — разрешить;
2) Deny — запретить.
Applies to: настраиваются папки, подпапки и файлы внутри, попадающие под создава-
емое правило доступа.
1) This folder only — только на конкретную данную папку, не включая находящиеся
внутри папки и файлы;
2) This folder, subfolders and files — на данную папку, включая внутренние папки и
файлы. Это значение по умолчанию;
3) This folder and subfolders — на данную папку, включая внутренние папки, но ис-
ключая файлы внутри;
4) This folder and files — на данную папку, включая внутренние файлы, но исключая
папки внутри;
5) Subfolders and files only — только на подпапки и файлы внутри данной директо-
рии.
6) Subfolders only — только подпапки внутри.
7) Files only — только на файлы внутри.
Подпапка, по-простому, — папка внутри другой папки.
Выдали права максимального доступа для группы IT. Галочка Full control означает
полный доступ ко всем папкам, подпапкам и файлам для этой группы.
215
Добавляем еще одно правило:
216
Выдали запрещающие права на папку для группы Sales:
217
Система предупредит, что в настройке присутствуют запрещающие правила, что мо-
жет привести к некорректной работе сетевой папки. Игнорируем данное предупреждение:
218
219
Создаем новую общую сетевую папку:
220
Идем к папке Sales (она находится по пути shares/departments/sales):
221
222
223
224
225
Выдали правила на блокировку доступа членам группы IT:
226
227
Видим такой результат — все в порядке, значит, нужные папки были созданы:
Сейчас мы создадим также папку, где будут находиться домашние папки пользовате-
лей группы IT.
По заданию она находится по пути D:\shares\it.
Данные пути выполнялись раньше, дополнительная справка доступна выше.
228
В системе уже присутствует общая папка с наименованием IT, заменим название пап-
ки на что-то похожее, например HomeIT:
229
230
После этого у нас создастся папка для пользователей IT. Давайте сразу же настроим ее
и другие папки на автоматическое добавление в виде сетевого диска к нужным пользователям.
Для начала создадим общие папки для пользователей IT.
Правый клик по общей папке HomeIT → Open Share:
231
Необходимо скопировать сетевой пункт до папки — нажмите Ctrl + C:
232
Зажимая левую клавишу мыши, выделяем всех пользователей (или нажав Ctrl + A,
а потом, зажав клавишу Ctrl, можно кликнуть по имени группы IT, чтобы снять с нее выде-
ление):
233
Здесь мы выбираем букву диска, к которому будет подключена сетевая папка, по за-
данию это диск U:\.
Дальше вставляем путь до нашей сетевой папки и дописываем к ней еще переменную
%username%, так у нас автоматически создастся одноименная с пользователем папка, кото-
рая будет подключаться.
Получается, что в поле To: должна быть запись: \\SRV1.kazan.wsr\HomeIT\%username%.
Отдельным блоком представлена настройка User Profile.
1) Profile Path укажет, где будет храниться профиль пользователя. Актуально для со-
здания перемещаемых профилей в домене (мы будем настраивать эту технологию позже);
2) Logon script указывает путь до исполняемого файла, который выполняется при вхо-
де пользователя в систему.
Также блоком представлена настройка Home Folder:
3) Local path — определяет, какая папка локально станет для данного пользователя
домашней;
4) Connect — определяет, какая сетевая папка станет для пользователя домашней и с
какой буквой она будет подключаться к пользователю в виде сетевого диска.
234
Видим, что автоматически появились 30 папок для наших пользователей:
235
Переходим в This PC:
Видим, что папки нет, значит, нужно перезайти под пользователем в системе (такое
бывает, настройкам необходимо некоторое время, чтобы вступить в работу) или выполнить
перезагрузку компьютера.
После перезагрузки компьютера папка для пользователя IT_20 успешно подключи-
лась к системе как диск U:
236
Пункт с настройкой домашних папок пользователя выполнен! Переходим к настройке
общих папок для подразделений.
Возвращаемся на виртуальную машину DC1.
Первым делом необходимо скопировать путь до папки подразделения, начнем с IT:
237
Создаем там новую Политику с названием, например, Folder:
238
Правый клик по любой области → New → Mapped Drive:
239
Далее переходим во вкладку Common в верхней части окна. Выбираем галочку на
Item-level targeting для того, чтобы настроить диск для конкретного объекта AD:
В новом окне нажимаем New Item → Security Group, так как будем формировать диск
на основе групповых атрибутов пользователя:
240
Добавляем группу IT:
241
Убедитесь, что у вас так же:
242
Мы настроили подключение общей папки для пользователей IT. Для пользователей
Sales необходимо повторить такие же операции:
243
После этого проверьте, что вы сделали все так же, как на скриншоте:
244
Наблюдаем тут нашу папку для IT.
Также проверим, что IT не может попасть в папку для Sales.
В адресной строке «Проводника» вводим \\srv1\sales:
245
Проверяем, что доступа к IT нет.
246
Убедитесь, что подключились через «Файловый менеджер» именно на SRV1. Перехо-
дим в режим создание шаблонов квот. Квота — некоторые ограничения на папки.
По заданию нам требуется создать жесткую квоту для домашних папок пользовате-
лей — максимальная ёмкость 10 MB. На странице Quota Templates → Create Quota Tem-
plate...:
247
Жесткая квота не даст пользователю никакой возможности превысить этот лимит.
Мягкая квота проинформирует пользователя, что он поступает неправильно и ему не реко-
мендуется превышать лимит, но даст возможность это сделать.
Notification thresholds — настройка автоматической рассылки на электронную почту
при попытке нарушить сконфигурированные квоты.
248
Заходим в меню применения шаблона квоты на реальную директорию на сервере:
249
Обязательно ставим галочку на «Auto apply template», чтобы квота автоматически
применялась на все подпапки внутри данной директории:
250
Задание с квотой выполнено, переходим к другому пункту задания.
Задание 2
Запретите хранение в домашних папках пользователей файлов с использованием
встроенного шаблона для блокировки мультимедиа.
Теперь мы переходим в систему File Screening Management. Данная технология актив-
но контролирует файлы внутри папок по их типу. Например, чтобы пользователи не имели
права хранить в своих папках аудиофайлы, видеофайлы и прочее мультимедиа.
251
Завершаем настройку FileScreen:
252
Как проверить:
Идем на виртуальную машину CLI1 и заходим под пользователем IT_2, например.
Заходим в домашнюю папку пользователя:
253
Нам необходимо включить отображение расширения файла:
254
Дополнительная информация:
Подробнее про управление квотами: https://docs.microsoft.com/ru-ru/windows-
server/storage/fsrm/quota-management.
Подробнее про управление фильтрами блокировки файлов: https://docs.microsoft.com/
ru-ru/windows-server/storage/fsrm/file-screening-management.
3.4.12. IIS
1. Создайте сайт компании со стартовой страницей следующего содержания:
<html>
Welcome to Kazan!
</html>;
2. Сайт должен быть доступен по имени www.kazan.wsr по протоколам http и https в
обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Задание 1
Создайте сайт компании со стартовой страницей.
Мы уже установили службу Web Server (IIS) на SRV1, но для удалённого управления
WebServer нужно также установить на DC1:
255
256
Добавляем утилиту для управления удаленным сервером SRV1. Такая же утилита
должна быть установлена на SRV1 соответственно:
257
Пока идет установка, пойдем на SRV1, чтобы закончить настройку удаленного управ-
ления компьютером без графики.
Переходим на виртуальную машину SRV1. Возможно, вы там увидите черный экран и
больше ничего — нажмите сочетание клавиш Ctrl + Alt + Insert или Send Ctrl + Alt + Del в
настройках виртуальной машины. Войдите в систему с логином Administrator и паролем
P@ssw0rd.
Входим и прописываем команду regedit:
258
Выбираем EnableRemoteManagment и в поле ввода ставим 1, чтобы включить удален-
ный доступ:
259
В Startup Type — Automatic, чтобы после перезагрузки системы служба на SRV1 ав-
томатически включилась. Запускаем службу нажатием кнопки Start:
260
Подготовительные операции завершены, теперь можно перейти непосредственно к
настройке WebServer. На DC1 заходим в режим IIS Manager:
261
Нажимаем на логотип «Планеты с кабелем» для подключения к SRV1:
262
Указываем логин и пароль для администрирования сайтом. Указываем данные домен-
ного администратора:
263
На этом этапе WebServer временно оставим, открываем «Проводник» и переходим на
сервер SRV1, и его диск C — \\srv1\c$:
Попав сюда, создаем папку по названию сайта, например, Kazan. Это будущая корне-
вая директория нашего сайта:
264
Внутри этой папки создаем текстовый документ с именем index:
265
Возвращаемся снова в оснастку WebServer.
Создаем в ней новый веб-сайт:
266
Сайт создан, теперь проверим его, нажав кнопку, как на скриншоте:
267
Внизу открылся Internet Explorer:
Задание 2
Сайт должен быть доступен по имени www.kazan.wsr по протоколам HTTP и
HTTPS в обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Теперь настроим доступ к сайту по имени kazan.wsr.
Перейдем в режим «Bindings», где можно добавить дополнительные доменные имена
для доступа к сайту.
268
Создаем запись, указывающую, что сайт будет доступен по протоколу HTTP через
доменное имя kazan.wsr:
269
Для проверки доступности сайта по другому доменному имени можно нажать сюда:
Если сайт открылся в Internet Explorer в панели задач, значит, все правильно.
Сайт по HTTP настроен, переходим к настройке сайта по HTTPS — для этого необхо-
димо настроить виртуальную машину DCA.
Дополнительная информация
Подробнее про Pass-Through Authentication: https://docs.microsoft.com/en-us/openspecs/
windows_protocols/ms-nrpc/70697480-f285-4836-9ca7-7bb52f18c6af.
Подробнее про IIS: https://docs.microsoft.com/ru-ru/windows-server/administration/
performance-tuning/role/web-server/.
3.4.13. Настройка DCA
Базовая настройка
1. Переименуйте компьютер в DCA.
2. В качестве адреса DCA используйте третий возможный адрес из подсети
172.16.19.64/26.
270
3. Обеспечьте работоспособность протокола ICMP (для использования команды ping),
при этом Windows Firewall должен быть включен для всех сетевых профилей.
4. Присоедините компьютер к домену Kazan.wsr.
Задание
Переименуйте компьютер в DCA. В качестве адреса DCA используйте третий
возможный адрес из подсети 172.16.19.64/26. Обеспечьте работоспособность протокола
ICMP (для использования команды ping), при этом Windows Firewall должен быть
включен для всех сетевых профилей; подсоедините компьютер к домену Kazan.wsr.
Используйте утилиту sconfig, подробнее об этом выше.
Для того чтобы проверить корректность созданных сертификатов, добавьте компью-
тер R1 в домен Kazan.wsr:
Службы сертификации
1. Установите службы сертификации.
2. Настройте основной доменный центр сертификации.
3. Имя центра сертификации — RootKazanCA.
4. Срок действия сертификата — 8 лет.
5. Настройте шаблон выдаваемого сертификата для клиентских компьютеров
ClientComps: subject name=common name, автозапрос только для компьютера R1.
271
6. Настройте шаблон выдаваемого сертификата ITUsers: subject name=common name,
автозапрос только для пользователей — членов группы IT.
Задание 1
Установите службы сертификации.
После настройки имени, адреса и добавления в домен входим в виртуальную машину
DCA под именем доменного администратора:
272
Нажимаем Next… для поля выбора устанавливаемой роли Server Roles:
273
Нажимаем Next и в следующем окне.
Далее выбираем роль AD CS и нажимаем Next:
274
Дожидаемся установки Центра сертификации.
По завершении установки нажимаем на «Configure Active Directory…»:
275
Задание 2
Настройте основной доменный центр сертификации.
В данном меню указывается, из какой учетной записи конфигурируется. Важно, что-
бы там был доменный администратор:
276
В следующем пункте выбирается тип установки Центра сертификации (ЦС).
Режим Enterprise — при конфигурировании ЦС в рамках домена.
Режим Standalone — при конфигурировании ЦС, который не находится в домене.
277
Далее решается использовать новую пару приватных ключей или уже существую-
щую:
278
Задание 3
Имя центра сертификации — RootKazanCA.
Далее указывается имя Центра сертификации. По заданию он должен называться
RootKazanCA.
Задание 4
Срок действия сертификата — 8 лет.
Далее указывается срок действия сертификата:
279
Далее указывается путь хранения баз данных Центра сертификации:
280
Задание 5
Настройте шаблон выдаваемого сертификата для клиентских компьютеров
ClientComps: subject name=common name, автозапрос только для компьютера R1.
Заходим в режим редактирования шаблонов сертификатов:
281
Задаем имя нашего темплейта и ставим галочку на Publish certificate in AD. У публи-
кации сертификата в AD есть две причины.
Первая причина — это когда вы хотите ограничить выдачу сертификатов из опреде-
ленного шаблона, чтобы повторная регистрация была невозможна, если опубликованный
сертификат не был удален из AD.
Вторая причина — это когда необходимо сделать сертификат доступным для других
пользователей или служб AD.
Нам нужно, чтобы сертификат автоматически отправлялся пользователям в AD. По-
этому данную галочку отмечаем.
В Subject Name настраивается, из чего будет сформировано имя для владельца серти-
фиката, в «Формате» указываем Common name (common name = FQDN, или полное доменное
имя устройства, в случае, например, R1 в имени сертификата для R1 будет прописано:
R1.kazan.wsr).
В Include this info…. указывается, какое имя будет записано в альтернативных.
В нашем случае это DNS Name.
282
Далее в правах доступа нам необходимо настроить права на автозапрос для компью-
тера R1. Для этого сначала добавим его в политику безопасности сертификата:
283
Открывается окно добавления объектов в права доступа. По умолчанию компьютеры
не отображаются в данном меню. Исправляем:
Задаем имя нашего нового сертификата, по заданию это ITUsers. Ниже указываем, что
публикуем сертификат в Active Directory:
286
Далее укажем, что имя владельца сертификата будет формироваться из имени пользо-
вателя — User Principal Name:
287
Внизу появились наши сертификаты:
288
Выпускаем наш первый сертификат для компьютера R1:
289
Для того чтобы сертификаты работали в домене необходимо, чтобы все клиенты в
домене доверяли этому Центру сертификации. Сделать это можно с помощью групповой по-
литики.
1. Необходимо переслать корневой сертификат ЦС на виртуальную машину DC1:
290
Откроется помощник по экспорту сертификатов:
291
2. Выбираем формат, в котором будет экспортирован сертификат. Выбираем формат
по умолчанию DER:
292
293
Данная запись информирует нас о том, что сертификат успешно отправлен на DC1:
294
В групповой политике переходим по пути: Computer Configuration → Policies → Win-
dows Settings → Security → Public Key Policies:
295
Ставим галочку, указывая с помощью какого сервиса будут автоматически рассылать-
ся сертификаты, в нашем случае это сервис Active Directory:
296
В данном окне редактируется политика автовыдачи сертификатов.
В Configuration Model — Enabled, чтобы включить режим автовыдачи.
Первая галочка отвечает за автовыдачу просроченных, обновленных или автоудале-
ние отозванных сертификатов. Ее ставим обязательно.
Вторая галочка отвечает за автоматическое обновление сертификатов, если их время
будет подходить к концу.
В поле «Log expiry…» укажем, за сколько времени (в процентах от основного) систе-
ма отправит предупреждение о истечении срока действия сертификата:
Теперь нужно перейти в папку «Trusted Root Certification Authorities». В данной ди-
ректории хранятся доверенные сертификаты корневых серверов.
297
Импортируем новый сертификат:
298
Открывается помощник по импорту сертификатов:
В поле File name необходимо выбрать наш сертификат, который мы отправили с DCA
на DC1 через помощника по экспорту сертификатов:
299
В новом окне переходим по пути, где хранится сертификат, и выбираем его:
300
Импорт успешно выполнен.
301
302
Как проверить:
На виртуальной машине R1 перезапрашиваем информацию о групповых политиках с
сервера DC1 — gpupdate /force:
303
Проверяем сертификаты на пользователей — идем на виртуальную машину CLI1 и
заходим под пользователем IT_10.
Также вводим там команду gpupdate /force.
После этой команды, возвращаемся на DCA и проверяем, что сертификат сам отпра-
вился пользователю:
304
Находим там шаблон Web Server используем его для создания сертификата:
305
Добавляем в права доступа компьютер, который будет являться издающим ЦС, — DCA:
306
307
308
Публикуем шаблон в Certification Authority. ПКМ на Certificate Templates → New →
Certificate Template to Issue:
Теперь необходимо его настроить, на DCA нажимаем сочетание клавиш Win + R – mmc:
309
В новом окне нажимаем сочетание клавиш Ctrl + M:
310
Первая ячейка — запустить менеджер сертификатов на текущем компьютере.
Вторая ячейка — запустить менеджер сертификатов на другом компьютере.
311
Переходим во вкладку Personal → Certificates.
Далее правый клик по любой части экрана → All Tasks → Request New Certificate:
312
Открывается служба запроса сертификатов:
313
После некоторой загрузки видим наш сертификат, он требует некоторых дополни-
тельных данных для публикации ЦС:
314
Type DNS → www.kazan.wsr — указываем дополнительные имена для сайта:
315
Type IP-address — 172.16.19.66 — указываем IP-адрес сервера, где расположен сайт:
В итоге полное заполнение формы создания сертификата должно получиться вот та-
ким:
316
Выпускаем сертификат:
317
После выполнения сертификата отправляем его на диск SRV1:
318
Открывается знакомый помощник по экспорту сертификатов:
319
Указываем, что все свойства и вложения в сертификат также передаем:
.PFX — это на архив с данными о сертификате и его свойствах, который требует па-
роль, укажем просто 1:
320
Указываем путь сохранения сертификата:
321
Завершаем процедуру экспорта сертификата:
322
Данное сообщение подтверждает, что сертификат успешно отправлен на сервер
SRV1 — тот, где у нас расположен веб-сайт:
323
Далее снова возвращаемся на виртуальную машину DC1:
324
Выполняем настройку доступа к сайту по протоколу HTTPS через доменное имя
www.kazan.wsr:
Добавляем еще одну запись для сайта, чтобы настроить доступ по HTTPS по домен-
ному имени kazan.wsr:
325
Как проверить:
Для самопроверки можно нажать на ссылки сайта по протоколу HTTPS:
326
Задание
Используйте компьютер для тестирования настроек в домене Kazan.wsr: пользо-
вателей, общих папок, групповых политик.
Идем на виртуальную машину DC1.
Открываем «Редактор групповых политик», создаем там политику Sleep:
327
Переводим две этих политики в режим Disabled:
Как проверить
Переходим на виртуальную машину CLI1, заходим под пользователем IT_11.
Вводим команду gpupdate /force:
Active Directory
Сделайте сервер контроллером домена SPB.wse.
Задание 1
Сделайте сервер контроллером домена SPB.wse.
Доменный контроллер на DC2 устанавливается точно так же, как и на DC1.
329
Заходим на DC2, в режим добавления и удаления ролей:
330
В следующем окне открывается тип устанавливаемых ролей на сервер. Ячейка свер-
ху — «Role-based or feature-based installation» — означает, что мы будем устанавливать
«классический» набор ролей: веб-сервер, файловый менеджер, ActiveDirectory, Центр серти-
фикации, DHCP-сервер, DNS-сервер и т. д
Ячейка снизу — «Remote Desktop Services installation» — означает, что мы будем
устанавливать роли необходимые для развертывания системы VDI и RemoteDesktop.
По заданию нам не требуется установка VDI системы, поэтому в рамках задания все-
гда выбираем верхнюю ячейку:
В новом окне выбирается сервер либо виртуальный жесткий диск, куда планируется
устанавливать роль. При выборе верхней ячейки в поле Server Pool перечисляются все име-
ющиеся сервера, в данный момент мы видим только сервер DC2. В будущем в этом поле
можно будет выбрать любой сервер, который находится в домене или доступен для удален-
ного управления.
При выборе нижней ячейки установка роли будет произведена на виртуальный жест-
кий диск (VHD). Виртуальные жесткие диски — это файлы виртуальных жестких дисков,
которые при подключении отображаются и функционируют практически идентично физиче-
скому жесткому диску. В основном они используются в сочетании с виртуальными машина-
ми Hyper-V.
По заданию нам не требуется настройка VHD. Поэтому выбираем верхний пункт и
наш единственный сервер DC2:
331
В данном окне выбираются роли и службы, которые необходимо установить на сер-
вер. Ролей множество, если кликнуть на каждую роль в правой части экрана, станет доступно
её краткое описание. На данный момент установим роли доменного контроллера
ActiveDirectory, DHCP-сервер и DNS-сервер:
332
Cистема несколько раз попросит у вас установить помимо ролей дополнительные
функции и зависимости. Нажимаем Add Features…:
333
В новом окне увидим краткое описание устанавливаемой роли ActiveDirectory Domain
Services. Указаны ссылки на статьи по настройке Azure Active Directory:
334
В новом окне дано описание роли DNS-сервера:
335
Система убедится, что вы готовы автоматически перезагрузить сервер в случае необ-
ходимости:
336
Откроется помощник развертывания Active Directory Domain Services.
Первая ячейка — «Add a domain controller to an existing domain» — запустит систему
развертывания дополнительного контроллера домена в уже существующем домене.
Вторая ячейка — «Add a new domain to an existing forest» — запустит систему развер-
тывания нового домена в уже существующем лесу (подробнее о терминологии Active
Directory в дополнительной информации).
Третья ячейка — «Add a new forest» — запустит систему развертывания нового леса.
Так как мы с нуля конфигурируем инфраструктуру, нас интересует именно этот пункт.
В поле Root domain name указываем название нашего домена — SPB.wse:
337
В чекбоксе Create DNS delegation можно настроить делегирование DNS-зоны на сер-
вер. Так как мы настраиваем основной доменный контроллер, пункт недоступен для измене-
ния.
338
Далее указываются директории, где AD DS будет хранить базу данных. Оставим их по
умолчанию:
Далее Мастер установки откроет перед нами отчет о конфигурации домена, чтобы мы
еще раз ознакомились с настройками системы:
339
Убедившись, что настройки корректные, устанавливаем роль AD DS:
340
Разберемся, какие пункты есть в меню создания правила:
1) первой ячейкой создается правило для контроля подключений какой-либо установ-
ленной программы в Windows;
2) второй ячейкой создается правило для контроля подключений на конкретный сете-
вой порт;
3) третьей ячейкой создается правило для контроля подключений серверных служб.
Например, для контроля подключений ActiveDirectory, DHCP и т. д.;
4) четвертой ячейкой создается особое правило, неподходящее под описанные выше
шаблоны.
341
В меню Program выбирается программа, для который будет актуально это правило.
В первой ячейке указывается, что правило будет под все программы на компьютере.
Во второй ячейке указывается конкретный путь до программы, для которой будет ак-
туально это правило.
В поле Services можно настроить службу, для которой будет актуально это правило.
Далее в меню Protocol and Ports выбирается, для какого сетевого протокола будет
настроена политика брандмауэра. В поле ниже указываются порты, которые попадают под
это правило. В Local Port указываются локальные порты клиента, с которого будет осу-
ществляться подключение к серверу. В Remote Port указываются удаленные порта сервера,
куда будет подключаться клиент. По умолчанию все сетевые протоколы и порты «попадают»
под правило брандмауэра.
342
В меню Scope указываются IP-адреса, которые попадают под настраиваемое правило.
В первом поле Local IP-addresses указывается, какие локальные IP-адреса попадают
под правило брандмауэра.
В втором поле Local IP-addresses указывается, какие удаленные IP-адреса попадают
под правило брандмауэра.
По умолчанию под правило попадают все IP-адреса.
343
Далее настраивается зона «влияния» правила:
1) правило будет активно только для компьютеров в домене;
2) правило будет активно только для компьютеров в частной сети;
3) правило будет активно только для компьютеров в общей сети.
По умолчанию выбраны все зоны:
344
После создания политики на входящий трафик настроим исходящий:
345
По умолчанию правило на исходящий трафик блокирует все, меняем этот пункт на
«Разрешить все»:
347
Здесь выбираем, что авторизацию будем проводить, используя учетную запись адми-
нистратора домена SPB.wse:
348
Далее переходим в оснастку DHCP Manager. В правой части экрана нажимаем
Tools → DHCP Manager:
349
Далее правым кликом мыши нажимаем на IPv4 → New Scope:
350
Далее в окне укажем имя нашей DHCP-зоны. Оно может быть любым. В поле
Description можно дать развернутое описание предназначения зоны:
351
Еще раз напомним об адресации в нижнем офисе:
352
Сконфигурируем также дополнительные параметры DHCP-сервера. Оставляем выбор
на первой ячейке:
353
Настройки DNS оставим те, что предложила система автоматически:
354
Соглашаемся на активацию сконфигурированного DHCP-сервера:
Дополнительная информация
Подробнее про DHCP: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/dhcp/dhcp-top.
Подробнее про WINS: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/wins/wins-top.
355
3.4.17. DNS
1. Настройте необходимые зоны прямого и обратного просмотра.
2. Создайте вручную все необходимые записи типа A и PTR для серверов домена и
необходимых web-сервисов.
3. Обеспечьте разрешение имен сайтов обеих компаний.
Задание 1
Настройте необходимые зоны прямого и обратного просмотра.
Задание 2
Создайте вручную все необходимые записи типа A и PTR для серверов домена и
необходимых web-сервисов.
356
Запись spb.wse:
Задание 3
Обеспечьте разрешение имен сайтов обеих компаний.
Настройка на DC2:
357
Сразу выполним настройку на DC1:
358
Проверьте, что настройка выполнена на обоих DNS-серверах в сети, если нет — сде-
лайте это вручную.
Подключитесь к SRV1 через DNS Manager:
359
Выбирайте вторую ячейку, чтобы подключиться к удаленному серверу. В поле ниже
введите его имя:
После этого DNS-сервер SRV1 появится в окне слева, добавьте для него запись в
Conditional Forwarders:
Пункт выполнен.
Дополнительная информация
Создание проекта инфраструктуры DNS: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/creating-a-dns-infrastructure-design.
Устранение неполадок DNS-серверов: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/creating-a-dns-infrastructure-design.
Устранение неполадок DNS-клиентов: https://docs.microsoft.com/ru-ru/windows-
server/networking/dns/troubleshoot/troubleshoot-dns-client.
3.4.18. Элементы доменной инфраструктуры
1. Создайте учетную запись пользователя домена User1\P@ssw0rd, используйте груп-
пу по умолчанию — Domain Users.
2. Для всех пользовательских учетных записей в домене используйте перемещаемые
профили.
3. Для хранения профилей пользователей используйте общую папку по адресу
SRV2 → C:\Users.
4. Каждый пользователь должен иметь доступ к файлам только своего профиля; при
обращении к указанной общей папке средствами программы Проводник пользователь дол-
жен видеть в списке только папку со своим профилем.
360
Задание 1
Создайте учетную запись пользователя домена User1\P@ssw0rd, используйте
группу по умолчанию – Domain Users.
Переходим на DC2:
361
Укажите пароль от пользователя. Подробнее о галочках на странице создания пользо-
вателя:
1) пользователь обязан поменять пароль при следующем входе в систему;
2) пользователь не имеет права менять пароль;
3) пароль никогда не истекает (по умолчанию пароль через 30 дней заканчивается и
его нужно сменить);
4) аккаунт отключен.
362
Задание 2
Для всех пользовательских учетных записей в домене используйте перемещае-
мые профили.
Для перемещаемых профилей необходимо на SRV2 и DC2 установить службы File
Server Resource Manager. Добавьте SRV2 в домен и во вкладку All Servers, чтобы получить
возможность управлять им через графический интерфейс.
Необходимо попасть в главное меню программы Server Manager и выбрать там пункт
Add other server to manage:
Нажать на Find now, если увидели там ваш SRV2 — все сделано правильно!
Далее необходимо левой клавишей мыши выделить SRV2 и нажать на стрелочку по-
середине экрана, чтобы перенести этот сервер в правую половину:
363
Заходим в режим добавления и удаления ролей:
364
Установите сразу все нужные функции на SRV2 — FSRM и веб-сервер IIS:
365
Установите службу для удаленного менеджмента SRV2:
366
В выпадающем меню выбирайте Shares → Правый клик мыши на любое место экра-
на → New share...:
367
На все прочие вопросы системы нажимаем Next…
Задание 3
Каждый пользователь должен иметь доступ к файлам только своего профиля;
при обращении к указанной общей папке средствами программы Проводник пользова-
тель должен видеть в списке только папку со своим профилем.
369
Заходим в редактор групповых политик, чтобы создать GPO:
370
В групповой политике идем по пути Computer Configuration → Policies → Administra-
tive Templates → System → User Profiles и включите «Set roaming profile path for all users log-
ging onto this computer»:
371
Включаем политику, в поле «Profile path» указываем сетевой путь до папки с
\\SRV2.spb.wse\profiles\%username%. %username% — переменная имени пользователя. Нуж-
на для автоматического создания одноименной с пользователем папки:
372
Далее нужно выйти из системы:
Теперь перейдем на виртуальную машину R2, которая тоже должна быть уже в домене.
Заходим под пользователем User1\P@ssw0rd:
373
На рабочем столе R2 увидели файл Test, который автоматически переместился с одно-
го компьютера на другой:
Дополнительная информация
Подробнее про перемещаемые профили: https://docs.microsoft.com/ru-ru/windows-
server/storage/folder-redirection/deploy-roaming-user-profiles.
Документация про перемещаемые профили на Samba-wiki: https://wiki.samba.org/index.
php/Roaming_Windows_User_Profiles.
3.4.19. Настройка R2
Базовая настройка
1. Переименуйте компьютер в R2.
2. Задайте настройки сети следующим образом: для сетевого интерфейса, подключен-
ного к коммутатору ISP, используйте адрес 200.100.100.1/30; для сетевого адреса в подсети
SPB.wse используйте последний возможный адрес из используемого адресного пространства.
3. Обеспечьте работоспособность протокола ICMP (для использования команды ping),
при этом Windows Firewall должен быть включен для всех сетевых профилей.
4. Подсоедините компьютер к домену SPB.wse.
Имя машины, IP-адрес и добавление в домен реализуйте через утилиту sconfig.
Заходим на виртуальную машину R2 под доменным администратором:
374
Пропускаем вступительные пункты.
Задание 1
Установите службу RRAS.
Устанавливаем службу RRAS = Remote Access. Для настройки сетевых подключений
(например, VPN) и настройки маршрутизации (например, RIPv2 или статичный роутинг):
375
Выбираем, что будем настраивать маршрутизацию = Routing (верхняя галочка выби-
рается автоматически):
376
Дожидаемся окончания установки:
377
Открывается помощник по настройке службы маршрутизации и удаленного доступа:
378
В режиме комбинированной настройки выбираем только LAN Routing → статическая
маршрутизация:
379
Завершаем процедуру конфигурации:
Далее RRAS напомнит вам, что необходимо настроить брандмауэр на прием и от-
правку пакетов, открыть порты для VPN и прочих служб. У нас уже присутствует GPO раз-
решающая любой трафик на всех портах, нажимаем ОК:
380
Раскрываем вкладки в RRAS, находим сетевой протокол IPv4 → Static Routes.
Правый клик по Static Routes → New Static → Route:
Задание 2
Настройте статические маршруты для связи с сетевым сегментом в Казани.
Настраиваем статический маршрут.
В пункте Interface указываем тот, что смотрит в сторону R1. Узнать его можно коман-
дой ipconfig /all:
В Destination указывается адрес сети, куда «строим» маршрут. В нашем случае это ад-
рес офиса Kazan.wsr.
В Network mask указываем маску удаленного офиса.
В Gateway — IP-адрес, куда отправим трафик, направленный в сеть 172.16.19.64/26.
381
Настройка роутера R2 в нижнем офисе завершена:
382
Если вышло такое сообщение, то необходимо перезагрузить виртуальную машину R1:
После того как вы установили службу RRAS на виртуальные машины DC1 и R1, при-
ступаем к их настройке.
На виртуальной машине DC1 включаем оснастку для настройки RRAS:
383
Добавляем сервер для удаленного конфигурирования:
384
Задание 2
Настройте статические маршруты для связи с сетевым сегментом в Санкт-Пе-
тербурге.
В режиме настройки выбираем точно такие же пункты, как при установке R2.
После успешной установки создаем новый маршрут:
385
Маршрутизация между двумя офисами настроена.
Как проверить
С DC1 попробуйте отправить PING-запрос на домен spb.wse. Таким образом еще и
проверим связность офисов по доменным именам ping spb.wse:
Дополнительная информация
Разбор архитектуры службы RRAS: https://docs.microsoft.com/en-us/windows/win32/
rras/routing-and-remote-access-services-architecture.
3.4.20. GPO
Задание 1
Настройте необходимые политики, обеспечивающие использование сервера
DCA.kazan.wsr в качестве доверенного центра сертификации.
Добившись связности двух офисов можно настроить политики, чтобы сертификаты
DCA в домене SPB.wse были доверенными.
Переходим на виртуальную машину DCA, чтобы отправить сертификат на DC2.
Заходим в оснастку Certification Authority:
386
387
Открывается режим экспорта сертификатов:
388
Выбираем путь отправки сертификата:
389
В адресной строке «Проводника» указываем сетевой путь до диска C сервера DCA —
\\dc2.spb.wse\c$:
Нажав на Enter, попадаем на диск C, сохраняем там документ под именем RootCA:
390
P.S. Система, возможно, потребует у вас логин и пароль при попытке попасть на вир-
туальную машину в другом домене, введите логин Administrator@spb.wse пароль P@ssw0rd:
391
После успешной отправки сертификата на сервер DC2 переходим в редактор группо-
вых политик на DC2.
Создаем политику и настраиваем ее.
В групповой политике переходим по пути Computer Configuration → Policies → Win-
dows Settings → Security → Public Key Policies:
392
Импортируем сертификат:
393
Перейдите на диск C сервера DCA:
394
На последующие вопросы «Помощника по импорту» нажимаем Next и Finish:
395
Как проверить
Попробуем с виртуальной машины DC2 зайти на сайт www.kazan.wsr:
396
Задание 2
Настройте двустороннее доверие доменом Kazan.wsr.
Переходим на виртуальную машину DC2:
397
Открывается помощник по настройке доверия между двумя доменами:
399
Первая ячейка отвечает за настройку только этого домена, настройку второго обязан
произвести администратор с другой стороны. Данную ячейку выбираем при конфигурирова-
нии доверия между доменами, где второй домен администрируется другим специалистом.
Вторая ячейка отвечает за настройку домена, в случае если мы администраторы двух
доменов и имеем доступ к удаленной стороне.
400
Первая ячейка Windows автоматически аутентифицирует пользователей из другого
леса на ресурсах локального леса.
Вторая ячейка Windows не допустит автоматического доступа для пользователей из
другого леса на ресурсах локального леса.
401
Принимаем настройки на удаленном домене Kazan.wsr:
Завершаем настройку:
402
Подтверждаем исходящее доверие:
403
Как проверить
Заходим на виртуальную машину CLI2 и пытаемся зайти под пользователем из доме-
на Kazan.wsr:
404
Задание 1
Создайте сайт компании со стартовой страницей следующего содержания; сайт
должен быть доступен по имени www.spb.wse, по протоколам http и https в обоих сете-
вых сегментах с использованием сертификатов, выданных DCA.
Установите на SRV2 роль WebServer (IIS), не забудьте в редакторе реестра поменять
значение EnableRemoteManagement, а также добавить сервис WebManagement.
\\HKEY_LOCAL_MACHINE\Software\Microsoft\WebManagement\Server — путь до ре-
естра.
Входим и прописываем команду regedit:
405
Выбираем EnableRemoteManagment и в поле ввода ставим 1. Чтобы включить удален-
ный доступ:
406
В Startup Type — Automatic, чтобы после перезагрузки системы служба на SRV2 ав-
томатически включилась. Запускаем службу нажатием кнопки Start:
407
Переходим в проводник и идем на диск C SRV2 — \\srv2.spb.wse\c$\.
Создайте на SRV2 папку SPB, в ней файл index:
408
Подготовительные операции завершены, теперь можно перейти непосредственно к
настройке WebServer. На DC2 заходим в режим IIS Manager:
409
Далее через IIS MANAGER на DC2 подключитесь к SRV2 под доменным администра-
тором:
410
Система сообщит нам, что запись создана. Заканчиваем процедуру подключения:
411
Заполняем форму создания сайта.
В поле Site name прописывается наименование сайта.
В поле Physical Path указывается путь до корневой директории сайта. Он прописыва-
ется вручную.
О Pass-through authentication можно узнать в статье в дополнительной информации.
У нас не используется сквозная аутентификация.
В блоке Binding:
1) Type — тип протокола прикладного уровня, обеспечивающий доступ к сайту: либо
HTTP (незащищенное подключение), либо HTTPS (защищенное подключение). Сейчас
сформируем сайт для http;
2) IP-address — прописываем IP-адрес для подключения. Если данный параметр не
настраивать, то сайт будет доступен только по доменному имени;
3) Host name — доменное имя сайта, по которому сайт будет доступен.
412
Создадим также запись для сайта под именем spb.wse.
Должно быть так:
413
В появившемся окне нажимаем Ctrl + M:
414
415
416
417
418
419
420
421
422
423
Сетевой путь — \\srv2.spb.wse\c$:
424
Назовем сертификат SPB1:
425
Переходим на виртуальную машину SRV2:
1) переходим на диск С — cd C:\;
2) вводим команду certutil -importpfx spb1.pfx;
3) пароль 1:
426
427
После создания первой записи www.spb.wse по протоколу HTTPS создайте еще одну
для spb.wse:
Как проверить
428
Сайт настроен!
Дополнительная информация
Как настроить свой первый веб-узел IIS: https://support.microsoft.com/ru-ru/help/
323972/how-to-set-up-your-first-iis-web-site.
429
Переводим две этих политики в режим Disabled:
Как проверить
Переходим на виртуальную машину CLI2, заходим под пользователем User1.
Вводим команду gpupdate /force:
431
4. ЗАДАНИЕ И ОПИСАНИЕ
МОДУЛЯ С «ПУСКО-НАЛАДКА
ТЕЛЕКОММУНИКАЦИОННОГО ОБОРУДОВАНИЯ»
Контрольный экземпляр задания демонстрационного экзамена доступен по ссылке:
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.
Умение работать с системами на основе открытого исходного кода становится все бо-
лее важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное экзаме-
национное задание содержит множество задач, основанных на опыте реальной эксплуатации
информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить
задание с высоким результатом, то вы точно сможете обслуживать информационную инфра-
структуру большого предприятия.
433
SW2 — 10.100.100.20 или 192.168.254.20;
SW3 — 10.100.100.30 или 192.168.254.30;
HQ1 — 30.78.21.1 или 192.168.254.1;
FW1 — 30.78.87.2 или 192.168.254.2;
BR1 — 172.16.3.3 или 172.16.1.2 или 3.3.3.3 или 192.168.254.3.
— непривилегированный режим.
— привилегированный режим.
conf t — войти в режим конфигурирования. В этом режиме происходят изменения
конфигурации.
? — узнать команду или продолжение команды.
Задание 1
Задайте имя всех устройств в соответствии с топологией.
Как делать:
hostname <Имя>,
где <Имя> — имя устройства.
Изначально имя устройства либо Switch — если это коммутатор, либо Router — это
маршрутизатор, либо ciscoasa — межсетевой экран.
Как проверить
Обратить внимание на имя устройства:
Дополнительная информация
Работа с командой hostname: https://www.cisco.com/c/m/en_us/techdoc/dc/reference/
cli/nxos/commands/fund/hostname.html.
Задание 2
Назначьте для всех устройств доменное имя worldskills.ru.
Как делать:
— На роутерах и коммутаторах:
ip domain-name worldskills.ru
— На межсетевом экране:
domain-name worldskills.ru
434
Как проверить
— На роутерах и коммутаторах:
sh run | s domain name
— На межсетевом экране:
sh run domain-name
Дополнительная информация
Работа с командой domain-name: https://www.cisco.com/c/m/en_us/techdoc/dc/reference/
cli/n5k/commands/ip-domain-name.html.
Задание 3
Создайте на всех устройствах пользователей wsruser с паролем network.
1. Пароль пользователя должен храниться в конфигурации в виде результата хэш-
функции.
2. Пользователь должен обладать максимальным уровнем привилегий.
Как делать:
— На роутере и коммутаторе:
username wsruser privilege 15 secret network
— На межсетевом экране:
username wsruser password network priv 15
Как проверить
— На роутерах и коммутаторах:
sh run | s user
— На межсетевом экране:
sh run username
Дополнительная информация
Работа с командой username: https://www.cisco.com/E-Learning/bulk/public/tac/cim/cib/
using_cisco_ios_software/cmdrefs/username.htm.
Задание 4
На всех устройствах установите пароль wsr на вход в привилегированный ре-
жим.
Пароль должен храниться в конфигурации в виде результата хэш-функции.
Как делать:
enable password wsr
Как проверить
disable
435
Дополнительная информация
Факты по шифрованию паролей в Cisco IOS: https://www.cisco.com/c/en/us/support/
docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html.
Задание 5
Настройте режим, при котором все пароли в конфигурации хранятся в зашиф-
рованном виде. На FW1 используйте шифрование AES.
Как делать:
— На межсетевом экране:
password encryption aes
— На роутере и коммутаторе:
service password-encryption
Как проверить
— На роутере и коммутаторе:
sh run | s service
— На межсетевом экране:
sh run | grep aes
Дополнительная информация
Конфигурирование шифрования паролей: https://www.cisco.com/c/en/us/td/docs/
switches/datacenter/sw/5_x/nx-os/security/configuration/guide/b_Cisco_Nexus_7000_NX-
OS_Security_Configuration_Guide__Release_5-x/b_Cisco_Nexus_7000_NX-
OS_Security_Configuration_Guide__Release_5-x_chapter_010101.pdf.
Задание 6
Для всех устройств реализуйте модель AAA.
1. Аутентификация на линиях виртуальных терминалов с 0 по 15 должна произво-
диться с использованием локальной базы учётных записей (кроме маршрутизатора HQ1).
2. После успешной аутентификации при удаленном подключении пользователи сразу
должны получать права, соответствующие их уровню привилегий или роли (кроме межсете-
вого экрана FW1).
3. Настройте необходимость аутентификации на локальной консоли.
4. При успешной аутентификации на локальной консоли пользователи должны сразу
получать права, соответствующие их уровню привилегий или роли.
Как делать:
— На роутерах и коммутаторах:
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
— Настройка на FW1:
FW1(config)# aaa authentication enable console LOCAL
FW1(config)# aaa authentication ssh console LOCAL
FW1(config)# aaa authentication telnet console LOCAL
FW1(config)# aaa authorization exec LOCAL
436
Как проверить
Попытайтесь подключиться удалённо к какому-либо устройству для проверки.
В примере ниже происходит подключение к адресу 192.168.254.30 — SW3:
Если система запрашивает логин и пароль — все почти правильно! Вводим данные:
437
На HQ:
show ip int br
Теперь нужно создать для каждого VLAN в нижней сети свой подинтерфейс.
Пример настройки подинтерфейса для VLAN 100:
HQ(config)# int g 0/1.100
HQ(config-subif)# encapsulation dot1Q 100
HQ(config-subif)# ip address 10.100.100.1 255.255.255.0
1. int g 0/1.100 — создание подинтерфейса (фундаментально он держится на int
GigabitEthernet 0/1);
2. encapsulation dot1q 100 — указание типа инкапсуляции — значение с каким VLAN
он будет работать. Для удобства рекомендуется: номер подинтерфейса и номер VLAN, где
подинтерфейс будет работать, выставлять одинаковым — так проще ориентироваться в сети
и искать проблемы!;
3. ip address 10.100.100.1 255.255.255.0 — установка подинтерфейсу IP-адреса, как в
топологии.
438
По такому принципу нужно задать подинтерфейсы для каждого VLAN в сети HQ:
HQ(config)# int g 0/1.200
HQ(config-subif)# encapsulation dot1Q 200
HQ(config-subif)# ip address 172.16.20.1 255.255.255.0
HQ(config-subif)# exit
Обратите внимание, что для VLAN 300 используется IPv4 адрес + IPv6. Нужно ввести
сразу оба адреса на подинтерфейс:
HQ(config)# int g 0/1.300
HQ(config-subif)# encapsulation dot1Q 300
HQ(config-subif)# ip address 30.78.21.1 255.255.255.0
HQ(config-subif)# ipv6 address 2001:A:B:DEAD::1/64
HQ(config-subif)# exit
По заданию также необходимо создать петлевой интерфейс на роутере HQ:
HQ(config)# int loopback 0
HQ(config-subif)# ip address 1.1.1.1 255.255.255.255
HQ(config-subif)# ipv6 address 2001:A:B:1::1/64
HQ(config-subif)# exit
Настройка HQ для нижнего офиса выполнена, теперь нужно настроить соединение
между HQ и межсетевым экраном FW1.
FW1 — это ASA 5505, порты данного устройства коммутируемые, а значит, она по
логике работы чем-то напоминает коммутатор. У данного устройства нельзя настроить IP-
адрес на сетевой интерфейс, но можно создать VLAN, где уже можно назначить IP-адрес.
Для работы с ASA в данной сети используется VLAN 20.
439
1. По умолчанию порты на роутере отключены. Переходим на интерфейс G 0/0 и
включаем его:
HQ(config)# int g 0/0
HQ(config-subif)# no sh
2. Далее переходим на подинтерфейс для VLAN 20:
HQ(config)# int g 0/1.20
HQ(config-subif)# encapsulation dot1Q 20
HQ(config-subif)# ip address 30.78.87.1 255.255.255.248
HQ(config-subif)# ip address 2001:3::1/64
HQ(config-subif)# exit
3. Создаем на FW VLAN 20 для настройки соединения между двумя устройствами:
FW(config)# int vlan 20
FW(config-subif)# ip address 30.78.87.2 255.255.255.248
FW(config-subif)# ip address 2001:A:B:DEAD::1/64
FW(config-subif)# security-level 100
FW(config-subif)# exit
FW(config)# same-security-traffic permit inter-inerface
FW(config)# same-security-traffic permit intra-inerface
Разбор команд:
1) создали VLAN 20 на FW;
2) дали ему имя — для ASA критически важно все интерфейсы наделять именами, так
как у неё объектная логика работы;
3) следующими командами задали IPv4 и IPv6 адреса;
4) указали уровень безопасности интерфейса — 100 (означает, что данный интерфейс
максимально доверенный и надежный);
5) по заданию нам не требуется производить жесткую и правильную настройку меж-
сетевого экрана. Для выполнения задания мы отключим некоторую встроенную политику
безопасности на ASA. Делать так на работе нежелательно.
4. Далее идем на интерфейс ASA, который у нас подключен к роутеру HQ.
440
В сторону роутера HQ необходимо настроить интерфейс в режиме TRUNK:
FW(config)# int e 0/2
FW(config-if)# switchport mode trunk
FW(config-if)# switchport trunk allowed vlan 20 1
После этого соединение между HQ и ASA будет настроено.
Перейдем на устройство BR1, на данном этапе на роутере в офисе BR мы настроим
только Loopback интерфейс. Дальнейшую настройку будем проводить в ходе задания.
BR1(config)# int loopback1
BR1(config-if)# ip address 3.3.3.3 255.255.255.255
BR1(config-if)# ipv6 address 2001:A:B:3::1/64
На коммутаторах SW1, SW2, SW3 необходимо настроить IP-адреса в соответствии с
топологией.
В примере ниже показана настройка SW1. Она будет одинаковой для всех коммутато-
ров.
На данном этапе будет произведена настройка только SW1!
SW1(config)# int vlan 100
SW1(config-if)# ip address 10.100.100.10 255.255.255.0
441
Как проверить
— На роутерах и коммутаторах:
show ip int br
— На ASA:
show int ip br
Пример, как на HQ:
Дополнительная информация
Настройка маршрутизации между VLAN: https://www.cisco.com/c/en/us/support/docs/
lan-switching/inter-vlan-routing/14976-50.pdf?dtid=osscdc000283.
Задание 8
На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15
настройте аутентификацию с использованием RADIUS-сервера.
1. Используйте на линиях vty с 0 по 15 отдельный список методов с названием
method_man.
2. Порядок аутентификации:
— по протоколу RADIUS;
— локальная.
3. Используйте общий ключ cisco.
4. Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно.
5. Адрес RADIUS-сервера 172.16.20.20.
6. Настройте авторизацию при успешной аутентификации.
7. Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к
маршрутизатору HQ1, используя учетную запись radius с паролем cisco.
Как делать:
Обратите внимание: данный пункт выполняется только после того, как у роутера
установится полная связность до SRV1. При попытке настроить данную технологию без
связности с SRV1 есть вероятность потерять время и доступ к устройству.
HQ1(config)# aaa new-model
HQ1(config)#radius server SRV1
HQ1(config-radius-server)#address ipv4 172.16.20.20 auth-port 1812 acct-port 1813
HQ1(config-radius-server)# key cisco
HQ1(config-radius-server)# exit
HQ1(config)#aaa group server radius method_man
HQ1(config-sg-radius)# server name SRV1
HQ1(config-sg-radius)# exit
HQ1(config)# aaa authentication login default group ACCESS local
HQ1(config)# aaa authorization exec default group ACCESS local
442
Как проверить
Проверка осуществляется попыткой зайти на устройство с логином radius и паролем
cisco.
Дополнительная информация
Настройка RADIUS: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus
9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_
Configuration_Guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide_
chapter_011.html.
Задание 9
Все устройства должны быть доступны для управления по протоколу SSH вер-
сии 2.
Как делать:
— На роутерах и коммутаторах:
crypto key generate rsa modulus 1024
ip ssh ver 2
line vty 0 15
transport input all
— На межсетевом экране.
Краткая справка:
1) crypto key generate rsa modulus 1024 — создание пары ключей для SSH — размер
ключа 1024 бита;
2) ip ssh ver 2 — включение SSH версии 2;
3) line vty 0 15 — переход на терминальные линии устройства;
4) transport input all — разрешение на подключение любым способ (и telnet, и ssh).
Дополнительная информация
Настройка SSH на маршрутизаторах и коммутаторах с программным обеспечением Cisco
IOS: https://www.cisco.com/c/ru_ru/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html.
Настройка коммутации
Задание 10
Настройте агрегирование каналов связи между коммутаторами.
1. Номера портовых групп:
1 — между коммутаторами SW1 (F0/5-6) и SW2 (F0/5-6);
2 — между коммутаторами SW1 (F0/3-4) и SW3 (F0/3-4).
2. Агрегированный канал между SW1 и SW2 должен быть организован с использова-
нием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в
пассивном.
3. Агрегированный канал между SW1 и SW3 должен быть организован с использова-
нием протокола согласования PAgP. SW1 должен быть настроен в предпочтительном, SW3 в
автоматическом.
Как делать:
— Настройка на SW1:
SW1(config)# int range f 0/5-6
SW1(config-if-range)# channel-group 1 mode active
SW1(config)# int range f 0/3-4
SW1(config-if-range)# channel-group 2 mode desirable
— Настройка на SW2:
SW2(config)# int range f 0/5-6
SW2(config-if-range)# channel-group 2 mode passive
— Настройка на SW3:
SW3(config)# int range f 0/3-4
SW3(config-if-range)# channel-group 2 mode auto
443
Как проверить:
SW1(config)# do sh etherchannel sum
Если рядом с портами буква P — все хорошо! Проверить это нужно на всех коммута-
торах. На примере приведен вывод с SW1.
Дополнительная информация
Пример конфигурации канала EtherChannel между коммутатором Cisco Catalyst с
Cisco IOS: https://www.cisco.com/c/ru_ru/support/docs/lan-switching/etherchannel/98469-ios-
etherchannel.html.
Задание 11
Между всеми коммутаторами настройте транки с использованием протокола
IEEE 802.1q.
1. Порты F0/10 коммутаторов SW2 и SW3, а также порт F0/1 коммутатора SW1 долж-
ны работать без использования согласования. Отключите протокол DTP явным образом.
2. Транк между коммутаторами SW2 и SW3 должен быть настроен без использования
согласования. Отключите протокол DTP явным образом.
3. Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3 должны
быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а ком-
мутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами
не инициировать согласование.
4. Для всех магистральных каналов назначьте native vlan 500.
5. Запретите пересылку по магистральным каналам все неиспользуемые VLAN, в том
числе VLAN1.
Как делать:
— Настройка на SW1:
SW1(config)# int f 0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk native vlan 500
SW1(config-if)# switchport nonegotiate
SW1(config-if)# switchport trunk allowed vlan except 1
SW1(config-if)# exit
SW1(config)# int port-channel 1
SW1(config-if)# switchport mode dynamic desirable
SW1(config-if)# switchport trunk native vlan 500
SW1(config-if)# switchport trunk allowed vlan except 1
SW1(config)# int port-channel 2
SW1(config-if)# switchport mode dynamic desirable
SW1(config-if)# switchport trunk native vlan 500
SW1(config-if)# switchport trunk allowed vlan except 1
— Настройка на SW2:
SW2(config)# int f 0/2
SW2(config-if)# switchport mode trunk
SW2(config-if)# switchport trunk native vlan 500
SW2(config-if)# switchport nonegotiate
SW2(config-if)# switchport trunk allowed vlan except 1
SW2(config-if)# exit
SW2(config)# int port-channel 1
444
SW2(config-if)# switchport mode dynamic auto
SW2(config-if)# switchport trunk native vlan 500
SW2(config-if)# switchport trunk allowed vlan except 1
— Настройка на SW3:
SW3(config)# int f 0/2
SW3(config-if)# switchport mode trunk
SW3(config-if)# switchport trunk native vlan 500
SW3(config-if)# switchport nonegotiate
SW3(config-if)# switchport trunk allowed vlan except 1
SW3(config-if)# exit
SW3(config)# int port-channel 2
SW3(config-if)# switchport mode dynamic auto
SW3(config-if)# switchport trunk native vlan 500
SW3(config-if)# switchport trunk allowed vlan except 1
Как проверить
Команда на всех коммутаторах одна:
sh int trunk
Вывод на SW1:
Вывод на SW2:
Вывод на SW3:
445
Дополнительная информация
Настройка каналов типа trunk на коммутаторах Cisco: https://community.cisco.
com/t5/%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%
D0%B0%D1%86%D0%B8%D1%8F-%D0%B8-%D0%BA%D0%BE%D0%BC%D0%BC%
D1%83%D1%82%D0%B0%D1%86%D0%B8%D1%8F/%D0%BD%D0%B0%D1%81%D1%82%
D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%B0%D0%BD%D0%B0%D0%
BB%D0%BE%D0%B2-%D1%82%D0%B8%D0%BF%D0%B0-trunk-%D0%BD%D0%B0-
%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%82%D0%BE%D1%
80%D0%B0%D1%85-cisco/ta-p/3126838.
Задание 12
Для централизованного конфигурирования VLAN в коммутируемой сети пред-
приятия используйте протокол VTP.
1. В качестве сервера VTP настройте SW1.
2. Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
3. Таблица VLAN должна содержать следующие сети:
— VLAN100 с именем Managemenet;
—VLAN200 с именем Servers;
— VLAN300 с именем Clients;
— VLAN500 с именем Native;
— VLAN600 с именем Unused.
Как делать:
— SW1.
Создание vlan:
Пример создания vlan 100. Аналогично для каждого.
SW1(config)# vlan 100
SW1(config-vlan)# name Management
SW1(config-vlan)# exit
Настройка SW1 в качестве VTP Server:
SW1(config)# vtp domain wsr
SW1(config)# vtp password wsr
SW1(config)# vtp version 2
SW1(config)# vtp mode server
— На SW2 и SW3.
Настройка VTP в качестве клиента:
SW2(config)# vtp domain wsr
SW2(config)# vtp password wsr
SW2(config)# vtp version 2
SW2(config)# vtp mode client
Как проверить
show vlan
446
После появления всех VLAN на коммутаторах следует назначение коммутаторам на
VLAN 100 их IP-адреса:
— SW1:
SW1(config)# int vlan 100
SW1(config-if)# ip address 10.100.100.10 255.255.255.0
— SW2:
SW2(config)# int vlan 100
SW2(config-if)# ip address 10.100.100.20 255.255.255.0
— SW3:
SW3(config)# int vlan 100
SW3(config-if)# ip address 10.100.100.30 255.255.255.0
Дополнительная информация
Общие сведения и настройка магистрального протокола VLAN (VTP): https://
www.cisco.com/c/ru_ru/support/docs/lan-switching/vtp/10558-21.html.
Задание 13
Конфигурация протокола остовного дерева.
1. Используйте протокол PVST.
2. Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100,
200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.
3. Настройте порт F0/1 коммутатора SW1, таким образом, что при включении он сразу
переходил в состояние forwarding не дожидаясь пересчета остовного дерева.
Как делать:
— Настройка на SW1:
SW1(config)# spanning-tree mode pvst
SW1(config)# spanning-tree vlan 100,200,300 root primary
SW1(config)# int f 0/1
SW1(config-if)# spanning-tree portfast trunk
— Настройка на SW2:
SW2(config)# spanning-tree mode pvst
SW2(config)# spanning-tree vlan 100,200,300 root secondary
Как проверить
SW1(config)# do sh spanning-tree
447
Дополнительная информация
Подробнее о PVST и его настройку: https://www.cisco.com/c/ru_ru/support/docs/
switches/catalyst-6500-series-switches/72836-rapidpvst-mig-config.html" \l "PVST.
Задание 14
Настройте порты F0/10 коммутаторов SW2 и SW3 в соответствии с L2 диаграм-
мой. Порты должны быть настроены в режиме доступа.
Как делать:
Идем на L1 топологию и смотрим, какие порты подключены к PC1 и SRV1:
Изучив информацию на топологии, становится понятно, что на SW2 порт F 0/10 нуж-
но настроить в режиме доступа для VLAN 300. На SW3 порт f 0/10 в режиме доступа для
VLAN 200.
Настройка на SW2:
SW2(config)# int f 0/10
SW2(config-if)# switchport access vlan 300
Настройка на SW1:
SW1(config)# int f 0/10
448
SW1(config-if)# switchport access vlan 200
Как проверить
На SW3:
SW3(config)# do sh vlan
449
— Настройка на HQ1.
Создание подинтерфейса для работы с FW по VLAN20:
HQ1(config)# int G0/0.20
HQ1(config-subif)# encaps dot1q 20
HQ1(config-subif)# ip address 30.78.87.1 255.255.255.248
HQ1(config-subif)# ipv6 address 2001:3::1/64
HQ1(config-subif)# exit
HQ1(config)# ipv6 unicast-routing
— Настройка на FW1:
FW1(config)# int vlan 20 — создаем VLAN для работы с HQ по VLAN20
FW1(config-if)# nameif HQ
FW1(config-if)# secur 100
FW1(config-if)# ip address 30.78.87.2 255.255.255.248
FW1(config-if)# ipv6 address 2001:3::2/64
FW1(config-if)# int e 0/2
FW1(config-if)# switchport mode trunk
FW1(config-if)# switchport trunk allowed vlan 20
FW1(config-if)# switchport trunk native vlan 500
Как проверить
Для начала стоит проверить корректность настроек на FW1:
FW1(config)# sh route
В выводе должен отобразиться маршрут до сети:
FW1(config)# sh int ip br
Дополнительная информация
Cisco ASA 5505 работа с интерфейсами: https://www.cisco.com/c/en/us/td/docs/security/
asa/asa72/configuration/guide/conf_gd/int5505.html.
Задание 16
Отключите интерфейс F0/24 коммутатора SW1 и E5 межсетевого экрана FW1, кото-
рые использовались для первоначального конфигурирования сетевой инфраструктуры офиса
HQ.
Как делать:
— На SW1:
SW1(config)# int f 0/24
SW1(config-if)# sh
— На FW1:
FW1(config)# int e 0/5
FW1(config-if)# sh
450
Задание 17
На всех устройствах отключите неиспользуемые порты. На всех коммутаторах,
неиспользуемые порты переведите во VLAN 600.
Как делать:
Обратите внимание на L1 топологию:
451
Как делать:
FW(config)# int vlan 222
FW(config-if)# nameif ISP1
FW(config-if)# ip address 100.45.10.2 255.255.255.252
FW(config-if)# exit
FW(config)# int e 0/0
FW(config-if)# switchport access vlan 222
FW(config)# int vlan 901
FW(config-if)# nameif ISP2
FW(config-if)# ip address 22.84.4.6 255.255.255.252
FW(config-if)# exit
FW(config)# int e 0/1
FW(config-if)# switchport mode trunk
FW(config-if)# switchport trunk allowed vlan 901
Как проверить
C FW1 отправить ping-запрос на адрес ISP1 и на ISP2:
:
Дополнительная информация
Настройка интерфейсов на Cisco ASA 5505: https://www.cisco.com/c/en/us/td/docs/
security/asa/asa72/configuration/guide/conf_gd/int5505.html.
Задание 19
ISP3 предоставляет L2 VPN между офисами HQ и BR1.
1. Настройте передачу между HQ1, FW1 и BR1 тегированного трафика.
2. Взаимодействие должно осуществляться по VLAN 10.
Настройка HQ1
HQ1(config)# int g0/0.10
HQ1(config-subif)# encapsulation dot1q 10
HQ1(config-subif)# ip address 172.16.3.1 255.255.255.0
HQ1(config-subif)# ipv6 address 2001:4::1/64
— Настройка на FW1:
FW1(config)# int vlan 10
FW1(config-if)# nameif L2_VPN
FW1(config-if)# security-level 100
FW1(config-if)# ip address 172.16.3.2 255.255.255.0
FW1(config-if)# ipv6 address 2001:4::2/64
FW1(config-if)# int e0/2
FW1(config-if)# switchport mode trunk
FW1(config-if)# switchport trunk allowed vlan 10 20
FW1(config-if)# int e 0/4
FW1(config-if)#switchport mode trunk
FW1(config-if)#switchport trunk allowed vlan 20
Настройка на BR1:
BR1(config)# int g0/0.10
BR1(config-subif)# encapsulation dot1q 10
BR1(config-subif)# ip address 172.16.3.3 255.255.255.0
BR1(config-subif)# ipv6 address 2001:4::3/64
452
Как проверить
HQ1(config)# do ping 172.16.3.3
Дополнительная информация
Подробнее про L2 VPN: https://www.cisco.com/c/en/us/td/docs/iosxr/ncs5500/vpn/61x/b-
ncs5500-l2vpn-configuration-guide-61x/b-ncs5500-l2vpn-configuration-guide-60x_chapter_01.html.
Задание 20
Настройте подключение BR1 к провайдеру ISP1 с помощью протокола PPP.
1. Настройте Multilink PPP с использованием двух Serial-интерфейсов.
2. Используйте 1 номер интерфейса.
3. Не используйте аутентификацию.
4. BR1 должен автоматически получать адрес от ISP1.
Как делать:
BR1(config)# int Multilink 1
BR1(config-if)# ip address negotiated
BR1(config-if)# ppp multilink group 1
BR1(config-if)# int s 0/1/0
BR1(config-if)# encapsulation ppp
BR1(config-if)# ppp multilink group 1
BR1(config-if)# int s 0/1/1
BR1(config-if)# encapsulation ppp
BR1(config-if)# ppp multilink group 1
Как проверить
sh ip int br
Дополнительная информация
Подробнее про Multilink PPP: https://www.cisco.com/c/en/us/td/docs/routers/asr920/
configuration/guide/mpls/mp-basic-xe-3s-asr920-book/mp-basic-xe-3s-asr903-book_chapter_0110.html.
Задание 21
Настройте подключение BR1 к провайдеру ISP2 с помощью протокола HDLC.
Как делать:
Router(config)# int s 0/2/1
Router(config-if)# ip address 22.84.4.2 255.255.255.252
Router(config-if)# encapsulation hdlc
Как проверить
ping 22.84.4.1
Дополнительная информация
Подробнее про HDLC: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/network/3-
8/reference/guide/hdlc.html.
453
4.5.2. Настройка маршрутизации
ВАЖНО! При настройке протоколов динамической маршрутизации будьте предель-
но внимательны и анонсируйте подсети в соответствии с диаграммой маршрутизации,
иначе не получите баллы за протокол, в котором отсутствует необходимая подсеть, и за
тот протокол, в котором эта подсеть оказалась лишней.
Также стоит учесть, что провайдеры фильтруют маршруты полученные по BGP, ес-
ли они не соответствуют диаграмме маршрутизации.
Задание 1
В офисе HQ на устройствах HQ1 и FW1 настройте протокол динамической
маршрутизации OSPF.
1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
2. HQ1 и FW1 между собой должны устанавливать соседство, только в сети
172.16.3.0/24.
3. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не
предусмотрено формирование соседства.
Задание 2
Настройте протокол динамической маршрутизации OSPF в офисе BR1 с глав-
ным офисом HQ.
1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
2. Используйте магистральную область для GRE-туннелей.
3. Соседства между офисами HQ и BR1 должны устанавливаться, как через канал L2
VPN, так и через защищенный туннель.
4. Убедитесь в том, что при отказе выделенного L2 VPN, трафик между офисами бу-
дет передаваться через защищённый GRE-туннель.
5. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не
предусмотрено формирование соседства.
Как делать:
Обращаем внимание на ROUTING-диаграмму:
— На FW:
FW(config)# router ospf 1
FW(config-router)# network 172.16.3.0 255.255.255.0 area 0
454
— На HQ:
HQ(config)# router ospf 1
HQ(config-router)# network 10.100.100.0 255.255.255.0 area 51
HQ(config-router)# network 172.16.20.0 255.255.255.0 area 51
HQ(config-router)# network 172.16.3.0 255.255.255.0 area 0
HQ(config-router)# network 172.16.2.0 255.255.255.0 area 0
HQ(config-router)# network 172.16.1.0 255.255.255.0 area 0
HQ(config-router)# passive-interface default
HQ(config-router)# no passive-interface tun1
HQ(config-router)# no passive-interface g0/0.10
— На BR1:
BR(config)# router ospf 1
BR(config-router)# network 172.16.3.0 255.255.255.0 area 0
BR(config-router)# network 172.16.1.0 255.255.255.0 area 0
BR(config-router)# network 192.168.2.0 255.255.255.0 area 0
BR(config-router)# passive-interface default
BR(config-router)# no passive-interface tun1
BR(config-router)# no passive-interface g0/0.10
Как проверить
— На BR1:
BR(config)# do ping 10.100.100.10
455
2. Настройте автономные системы в соответствии с Routing-диаграммой.
3. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
4. Маршрутизаторы HQ1 и FW1 должны быть связаны с помощью iBGP. Используйте
для этого соседства интерфейсы, которые находятся в подсети 30.78.87.0/29.
Как делать:
Настройка на BR1:
BR1(config)# router bgp 65010
BR1(config-router)# network 3.3.3.3 mask 255.255.255.255
BR1(config-router)# network 100.45.5.0 mask 255.255.255.252
BR1(config-router)# network 22.84.4.0 mask 255.255.255.252
BR1(config-router)# neighbor 22.84.4.1 remote-as 65002
BR1(config-router)# neighbor 100.45.5.1 remote-as 65001
Настройка на FW1:
FW1(config)# router bgp 65000
FW1(config-router)# address-family ipv4
FW1(config-router-af)# network 100.45.10.0 mask 255.255.255.252
FW1(config-router-af)# network 30.78.21.0 mask 255.255.255.0
FW1(config-router-af)# network 30.78.87.0 mask 255.255.255.248
FW1(config-router-af)# network 1.1.1.1 mask 255.255.255.255
FW1(config-router-af)# network 22.84.4.4 mask 255.255.255.252
FW1(config-router-af)# neighbor 100.45.10.1 remote-as 65001
FW1(config-router-af)# neighbor 30.78.87.1 remote-as 65000
FW1(config-router-af)# neighbor 30.78.87.1 activate
FW1(config-router-af)# neighbor 22.84.4.5 remote-as 65002
Настройка на HQ1:
HQ1(config)# router bgp 65000
HQ1(config-router)# network 1.1.1.1 mask 255.255.255.255
HQ1(config-router)# network 30.78.87.0 mask 255.255.255.248
HQ1(config-router)# neighbor 30.78.87.2 activate
Настройка BGP завершена.
Как проверить
Проверка на HQ1:
HQ1(config)# do sh bgp sum
456
Наблюдаем, что соседство установлено.
Проверка на FW1:
FW1(config)# sh bgp sum
Проверка на BR1:
BR1(config)# do sh bgp sum
458
HQ1(config)# ipv6 router eigrp 6000
HQ1(config)# int loopback 0
HQ1(config-if)# ipv6 eigrp 6000
HQ1(config)# int tun1
HQ1(config-if)# ipv6 eigrp 6000
HQ1(config)# int vlan 300
HQ1(config-if)# ipv6 eigrp 6000
HQ1(config)# int vlan 20
HQ1(config-if)# ipv6 eigrp 6000
HQ1(config)# int vlan 10
HQ1(config-if)# ipv6 eigrp 6000
Пункт выполнен.
Как проверить
Проверка на HQ1:
HQ1(config)# do sh ipv6 eigrp neighbors
Проверка на BR1:
BR1(config)# do sh ipv6 eigrp neighbors
Дополнительная информация
Подробнее про EIGRP IPv6: https://www.cisco.com/c/en/us/support/docs/ip/enhanced-
interior-gateway-routing-protocol-eigrp/113267-eigrp-ipv6-00.html.
4.5.3. Настройка служб
Задание 1
В сетевой инфраструктуре сервером синхронизации времени является SRV1. Все
остальные сетевые устройства должны использовать его в качестве сервера времени.
1. Передача данных осуществляется без аутентификации.
2. Настройте временную зону с названием MSK, укажите разницу с UTC +3 часа.
3. Убедитесь, в том, что есть все необходимые маршруты, иначе проверить коррект-
ность настроенной трансляции портов будет невозможно.
Как делать:
На всех устройствах необходимо ввести две команды:
BR(config)# clock timezone MSK +3
BR(config)# ntp server 172.16.20.20
Как проверить
do sh ntp status
459
Дополнительная информация
Подробнее про NTP: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/4_2/nx-
os/system_management/configuration/guide/sm_nx_os_cli/sm_3ntp.html.
Задание 2
Настройте протокол динамической конфигурации хостов со следующими харак-
теристиками:
1) на маршрутизаторе HQ1 для подсети OFFICE:
— адрес сети — 30.78.21.0/24;
— адрес шлюза по умолчанию интерфейс роутера HQ1;
— адрес TFTP-сервера 172.16.20.20;
2) компьютер PC1 должен получать адрес 30.78.21.10.
Как делать:
HQ(config)# ip dhcp pool
HQ(dhcp-config)# host 30.78.21.10 255.255.255.0
HQ(dhcp-config)# client-identifier 0000.0c29.9e27.df
HQ(dhcp-config)# default-router 30.78.21.1
HQ(dhcp-config)# option 150 ip 172.16.20.20
ip dhcp pool <NAME> — Создание пула. Можно выдать ему имя.
host 30.78.21.10 255.255.255.0 — адрес, который получит клиент.
client-identifier — если на Windows MAC-адрес 00-0c-29-9e-27-df, то в циске нужно
писать client-identifier 0100.0c29.9e27.df. Если бы это был Linux, то 0000.0c29.9e27.df.
default-router <IP> — шлюз по умолчанию.
option 150 ip 172.16.20.20 — TFTP-сервер.
Как проверить
Запросите с PC1 IP-адрес, если приходит — все прошло успешно.
ipconfig /renew
Дополнительная информация
Подробнее про DHCP: https://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configuration/
guide/htdhcpsv.html.
Задание 3
В офисе BR1 используется аутентификация клиентов с помощью протокола
PPPoE. Для этого настройте сервер PPPoE на BR1.
1. Аутентификация PC2 на сервере PPPoE должна осуществляться по логину pc2user и
паролю pc2pass.
2. PC2 должен получать IP-адрес от PPPoE сервера автоматически.
Как делать:
BR(config)# int loopback 10
BR(config-if)# ip address 192.168.2.1 255.255.255.0
BR(config-if)# exit
460
BR(config)# ip local pool PC2 192.168.2.10
BR(config)# int virtual-templ 1
BR(config-if)# mtu 1492
BR(config-if)# encaps ppp
BR(config-if)# peer default ip addres pool PC2
BR(config-if)# ppp authe chap ms-chap ms-chap-v2
BR(config-if)# ip unnumbered loopback 10
BR(config)# bba-group pppoe global
BR(config-bba-group)# virtual-template 1
BR(config-bba-group)# exit
BR(config)# int g 0/1
BR(config-if)# pppoe enable group global
BR(config)# username pc2user password pc2pass
1. ip local pool <NAME> <ADDRES_FOR_CLIENT> — локальный пул адресов, кото-
рый будет использоваться для выдачи IP-адреса PC2.
2. int virtual-template 1 — создание виртуального шаблона.
3. ip unnumbered loopback 10 — IP-адрес, через loopback.
4. mtu 1492 — mtu, 8 байт уходит под служебную информацию PPP.
5. peer default ip address pool <NAME> — установка пула, с которым будет работать
сервер (имя должно совпадать с ранее созданным пулом).
6. ppp authentication chap ms-chap — метод аутентификации.
Как проверить
Зайдите на виртуальную машину PC2. Откройте Network Settings:
461
462
463
Спустя некоторое время произойдет подключение:
Дополнительная информация
Справочник по PPP: https://www.cisco.com/c/ru_ru/tech/wan/point-to-point-protocol-
ppp/index.html.
4.5.4. Настройка механизмов безопасности
Задание 1
На маршрутизаторе BR1 настройте пользователей с ограниченными правами.
1. Создайте пользователей user1 и user2 с паролем cisco.
2. Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь
возможность выполнять все команды пользовательского режима, выполнять перезагрузку, а
также включать и отключать отладку с помощью команд debug.
3. Создайте и назначьте view-контекст sh_view на пользователя user2:
— команду show cdp neighbor;
— все команды show ip *;
— команду ping;
— команду traceroute.
4. Убедитесь, что пользователи не могут выполнять другие команды в рамках присво-
енных контекстов и уровней привилегий.
Как делать:
Список команд на BR. Настройка view-контекста:
BR(config)# parser view sh_view — создание view-контекста.
BR(config-view)# secret cisco — Задание пароля. Это обязательно!
BR(config-view)# command exec include show cdp nei
BR(config-view)# command exec include all show ip
BR(config-view)# command exec include ping
BR(config-view)# command exec include traceroute
464
Список команд на BR. Настройка уровня привилегий 5:
BR(config)# privilege exec level 5 debug
BR(config)# privilege exec level 5 reload
BR(config)# privilege exec level 5 undebug
После настройки нужно создать пользователей, которые имеют уровень привилегий,
как требует задание:
BR(config)# username user1 privilege 5 password cisco
BR(config)# username user2 view sh_view password cisco
Как проверить
Проверка осуществляется попыткой подключения к самому себе и проверкой команд
на доступность:
Дополнительная информация
Подробнее про Role-Based CLI Access: https://www.cisco.com/c/en/us/td/docs/ios-xml/
ios/sec_usr_cfg/configuration/15-e/sec-usr-cfg-15-e-book/sec-role-base-cli.html.
Задание 2
На порту F0/10 коммутатора SW2, включите и настройте Port Security со следу-
ющими параметрами:
1) не более двух адресов на интерфейсе;
2) адреса должны динамически определяться и сохраняться в конфигурации;
3) при попытке подключения устройства с адресом, нарушающим политику, на кон-
соль должно быть выведено уведомление, порт не должен быть отключен.
Как делать:
SW2(config)# int f0/10
SW2(config-if)# switchport port-security mac-address sticky
SW2(config-if)# switchport port-security maximum 2
SW2(config-if)# switchport port-security violation restrict
465
Как проверить
SW2(config)# do sh run int f0/10
Дополнительная информация
Подробнее про Port-Security: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst
6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/port_security.pdf.
4.5.5. Настройка параметров мониторинга и резервного копирования
Задание 1
На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование си-
стемных сообщений на сервер SRV1, включая информационные сообщения.
Как делать:
— Настройка на HQ:
HQ(config)# logging 172.16.20.20
HQ(config)# logging trap informational
— Настройка на FW1:
FW(config)# logging enable
FW(config)# logging trap informational
FW(config)# logging host ISP3_L2_VPN 172.16.20.20 format emblem
Как проверить
Перейти на виртуальную машину SRV1. Далее перейти в директорию /Cisco_Logs:
Если наблюдаете похожий результат — все правильно (логи могут появиться не сразу,
а спустя время).
Дополнительная информация
Подробнее про логирование: https://www.cisco.com/c/en/us/td/docs/routers/access/wireless/
software/guide/SysMsgLogging.html.
Задание 2
На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность уда-
ленного мониторинга по протоколу SNMP v3.
1. Задайте местоположение устройств MSK, Russia.
2. Задайте контакт admin@wsr.ru.
3. Используйте имя группы WSR.
4. Создайте профиль только для чтения с именем WSRCOMSTRING.
5. Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA1.
6. Используйте имя пользователя: snmpuser и пароль: snmppass.
7. Для проверки вы можете использовать команду snmp_test на SRV1.
466
Как делать:
— Настройка на HQ.
Местоположение:
HQ(config)# snmp-server location MSK, Russia
Контакты:
HQ(config)# snmp-server contact admin@wsr.ru
Создание группы:
HQ(config)# snmp-server group WSR v3 priv
Создание профиля:
HQ(config)# snmp-server community WSRCOMSTRING ro
Создание пользователя:
HQ(config)# snmp-server snmpuser v3 auth sha snmppass priv aes 128 snmppass
— Настройка на FW1:
FW(config)# snmp-server location MSK, Russia
FW(config)# snmp-server contact admin@wsr.ru
FW(config)# snmp-server group WSR v3 priv
FW(config)# snmp-server community WSRCOMSTRING ro
FW(config)# snmp-server snmpuser v3 auth sha snmppass priv aes 128 snmppass
FW(config)# snmp-server user snmpuser WSR v3 auth sha snmppass priv aes 128 snmppass
Разрешение доступа по SNMP с конкретного адреса:
FW(config)# snmp-server host HQ 172.16.20.20 community WSRCOMSTRING version 3 snm-
puser
Как проверить
Перейти на виртуальную машину SRV. В домашней папке пользователя root есть два
скрипта: snmp_test_HQ1.sh и snmp_test_FW1.sh
467
Запускаем скрипт ./snmp_test_HQ1.sh:
Обратите внимание, что при сохранении конфигурации теперь у нас отображается ма-
ленький восклицательный знак.
Перейдем на виртуальную машину SRV1.
Переходим в директорию /Cisco_TFTP - cd /Cisco_TFTP:
Дополнительная информация
Подробнее про GRE: https://community.cisco.com/t5/%D0%B1%D0%B5%D0%B7%
D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-
%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-
security/%D0%BA%D0%B0%D0%BA-%D0%BD%D0%B0%D1%81%D1%82%D1%80%
D0%BE%D0%B8%D1%82%D1%8C-gre-%D1%82%D1%83%D0%BD%D0%BD%D0%B5%
D0%BB%D1%8C/ta-p/3145690.
Задание 2
Защита туннеля должна обеспечиваться с помощью IPsec между BR1 и FW1.
1. Обеспечьте шифрование только GRE-трафика.
2. Используйте аутентификацию по общему ключу.
3. Параметры первой фазы:
— аутентификация по общему ключу networksupersecretkey;
— группа DH 5;
— проверка подлинности SHA;
— шифрование 3DES.
4. Параметры второй фазы произвольные.
Как делать:
— Настройка на BR:
BR(config)# crypto isakmp policy 1
BR(config-isakmp)# hash sha256
BR(config-isakmp)# encryption 3des
BR(config-isakmp)# authentication pre-share
469
BR(config-isakmp)# group 5
BR(config)# crypto isakmp key networksupersecretkey address 1.1.1.1
BR(config)# crypto ipsec transform-set vpn esp-3des esp-sha256-hmac
BR(cfg-crypto-trans)# mode tunnel
BR(config)# crypto ipsec profile vpnp
BR(ipsec-profile)# set transform-set vpn
BR(config)# int tun 1
BR(config-if)# tunnel protection ipsec profile vpnp
BR(config-if)# end
— Настройка на HQ:
HQ(config)# crypto isakmp policy 1
HQ(config-isakmp)# hash sha256
HQ(config-isakmp)# encryption 3des
HQ(config-isakmp)# authentication pre-share
HQ(config-isakmp)# group 5
HQ(config)# crypto isakmp key networksupersecretkey address 3.3.3.3
HQ(config)# crypto ipsec transform-set vpn esp-3des esp-sha256-hmac
HQ(cfg-crypto-trans)# mode tunnel
HQ(config)# crypto ipsec profile vpnp
HQ(ipsec-profile)# set transform-set vpn
HQ(config)# int tun 1
HQ(config-if)# tunnel protection ipsec profile vpnp
HQ(config-if)#end
Как проверить
BR1(config)# do sh crypto session
470
Дополнительная информация
Настройка IPSEC: https://www.cisco.com/c/ru_ru/support/docs/routers/1700-series-
modular-access-routers/71462-rtr-l2l-ipsec-split.html.
Топология L1
471
Топология L2
472
Топология L3
473
ROUTING-диаграмма
474
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Федеральный закон «Об образовании в Российской Федерации» № 273-ФЗ от 29 де-
кабря 2012 г. (с изм. от 06.03.2019 № 17-ФЗ).
2. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по профессии 09.01.02 «Наладчик компьютерных сетей», утвержден-
ный приказом от 2 августа 2013 г. № 853 Министерства образования и науки Российской Фе-
дерации.
3. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 09.02.02 «Компьютерные сети», утвержденный при-
казом от 28 июля 2014 г. № 803 Министерства образования и науки Российской Федерации.
4. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 09.02.06 «Сетевое и системное администрирова-
ние», утвержденный приказом от 9 декабря 2016 г. № 1548 Министерства образования и
науки Российской Федерации.
5. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 09.02.07 «Информационные системы и программи-
рование», утвержденный приказом от 9 декабря 2016 г. № 1547 Министерства образования и
науки Российской Федерации.
6. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 10.02.02 «Информационная безопасность телеком-
муникационных систем», утвержденный приказом от 13 августа 2014 г. № 1000 Министер-
ства образования и науки Российской Федерации.
7. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 10.02.03 «Информационная безопасность автомати-
зированных систем», утвержденный приказом от 28 июля 2014 г. № 806 Министерства обра-
зования и науки Российской Федерации.
8. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 10.02.04 «Обеспечение информационной безопасно-
сти телекоммуникационных систем», утвержденный приказом от 9 декабря 2016 г. № 1551
Министерства образования и науки Российской Федерации.
9. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по специальности 10.02.05 «Обеспечение информационной безопасно-
сти автоматизированных систем», утвержденный приказом от 9 декабря 2016 г. № 1553 Ми-
нистерства образования и науки Российской Федерации.
10. Приказ Министерства образования и науки Российской Федерации от 16 августа
2013 г. № 968 «Об утверждении порядка проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования» от 17.11.2017
№ 1138 «О внесении изменений в порядок проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования», утвержденный
приказом Министерства образования и науки Российской Федерации от 16.08.2013 № 968.
11. Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы“ (Ворлдскиллс Россия)» от 29 октября 2018 г. № 29.10.2018-1
«Об утверждении перечня компетенций ВСР».
12. Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы“ (Ворлдскиллс Россия)» от 31 января 2019 г. № 31.01.2019-1
«Об утверждении Методики организации и проведения демонстрационного экзамена по
стандартам Ворлдскиллс Россия».
13. Методические рекомендации о проведении аттестации с использованием демон-
страционного экзамена, утвержденные распоряжением Министерства просвещения Россий-
ской Федерации от 1 апреля 2019 г. № Р-42.
14. Комплект оценочной документации № 1.1 для демонстрационного экзамена по
стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное администриро-
вание».
475
ОГЛАВЛЕНИЕ
Предисловие ...................................................................................................................................... 3
1. Форма участия — индивидуальная.......................................................................................... 5
1.1. Задание................................................................................................................................ 5
1.2. Модули задания и необходимое время............................................................................ 5
2. Задание и описание модуля А «Пуско-наладка инфраструктуры
на основе OC семейства Linux» ..................................................................................................... 6
2.1. Описание экзаменационного задания .............................................................................. 6
2.2. Инструкции для участника ............................................................................................... 6
2.3. Оборудование, приборы, ПО и материалы ..................................................................... 7
2.4. Схема оценки ..................................................................................................................... 7
2.5. Описание алгоритма выполнения задания модуля А..................................................... 8
2.5.1. Предварительная настройка ................................................................................... 8
2.5.2. Конфигурация хостов............................................................................................ 16
2.5.3. Конфигурация сетевой инфраструктуры ............................................................ 24
2.5.4. Службы централизованного управления и журналирования............................ 44
2.5.5. Конфигурация служб удаленного доступа ......................................................... 49
2.5.6. Конфигурация веб-служб ..................................................................................... 58
2.5.7. Конфигурация служб хранения данных .............................................................. 59
2.5.8. Конфигурация параметров безопасности и служб аутентификации................ 62
3. Задание и описание модуля B «Пуско-наладка инфраструктуры
на основе OC семейства Windows» ............................................................................................. 64
3.1. Инструкции для участника ............................................................................................. 64
3.2. Схема оценки ................................................................................................................... 64
3.3. Оборудование, ПО, приборы и материалы ................................................................... 65
3.4. Описание алгоритма выполнения задания модуля B ................................................... 65
3.4.1. Настройка DC1. Базовая настройка ..................................................................... 65
3.4.2. Active Directory ...................................................................................................... 74
3.4.3. DHCP ...................................................................................................................... 87
3.4.4. DNS ....................................................................................................................... 110
3.4.5. Элементы доменной инфраструктуры .............................................................. 118
3.4.6. GPO ....................................................................................................................... 130
3.4.7. Настройка SRV1 .................................................................................................. 176
3.4.8. DHCP .................................................................................................................... 194
3.4.9. DNS ....................................................................................................................... 202
3.4.10. Общие папки ...................................................................................................... 203
3.4.11. Квоты. Файловые экраны ................................................................................. 246
3.4.12. IIS ........................................................................................................................ 255
3.4.13. Настройка DCA.................................................................................................. 270
3.4.14. Настройка CLI1. Базовая настройка ................................................................ 326
3.4.15. Настройка DC2 .................................................................................................. 329
3.4.16. DHCP .................................................................................................................. 347
3.4.17. DNS ..................................................................................................................... 356
3.4.18. Элементы доменной инфраструктуры ............................................................ 360
3.4.19. Настройка R2 ..................................................................................................... 374
476
3.4.20. GPO ..................................................................................................................... 386
3.4.21. Настройка SRV2 ................................................................................................ 404
3.4.22. Настройка CLI2. Базовая настройка ................................................................ 429
4. Задание и описание модуля С «Пуско-наладка
телекоммуникационного оборудования» ................................................................................ 432
4.1. Описание экзаменационного задания .......................................................................... 432
4.2. Инструкции для участника ........................................................................................... 432
4.3. Оборудование, приборы, ПО и материалы ................................................................. 433
4.4. Схема оценки ................................................................................................................. 433
4.5. Описание алгоритма выполнения задания модуля C ................................................. 434
4.5.1. Базовая настройка................................................................................................ 434
4.5.2. Настройка маршрутизации ................................................................................. 454
4.5.3. Настройка служб ................................................................................................. 459
4.5.4. Настройка механизмов безопасности ................................................................ 464
4.5.5. Настройка параметров мониторинга и резервного копирования ................... 466
4.5.6. Конфигурация частных виртуальных сетей ..................................................... 468
Список используемых источников ........................................................................................... 475
477
Антон Григорьевич УЙМИН
СЕТЕВОЕ И СИСТЕМНОЕ АДМИНИСТРИРОВАНИЕ. ДЕМОНСТРАЦИОННЫЙ
ЭКЗАМЕН КОД 1.1
Учебно-методическое пособие
Издание третье, стереотипное
Зав. редакцией
литературы по информационным технологиям
и системам связи О. Е. Гайнутдинова
ЛР № 065466 от 21.10.97
Гигиенический сертификат 78.01.10.953.П.1028
от 14.04.2016 г., выдан ЦГСЭН в СПб
Издательство «ЛАНЬ»
lan@lanbook.ru; www.lanbook.com
196105, Санкт-Петербург, пр. Ю. Гагарина, д. 1, лит. А.
Тел./факс: (812) 336-25-09, 412-92-72.
Бесплатный звонок по России: 8-800-700-40-71