Элементы доменной инфраструктуры

1) создайте учетную запись пользователя домена User31337\P@ssw0rd, создайте и используйте группу EliteUsers для этого пользователя.

2) для всех пользовательских учетных записей в домене используйте перемещаемые профили;

3) для хранения профилей пользователей используйте общую папку по адресу SRV2→c:\EliteProfiles;

4) каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть сообщение об ошибке.

 

GPO

1) настройте необходимые политики, обеспечивающие использование сервера DCA.kazan.wsr в качестве доверенного центра сертификации.

 

Настройка SRV2

 

Базовая настройка

1) переименуйте компьютер в SRV2;

2) в качестве адреса SRV1 используйте второй возможный адрес из подсети 172.16.20.96/27;

3) обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;

4) присоедините компьютер к домену SPB.wse.

 

IIS

1) создайте сайт компании со стартовой страницей следующего содержания:

<html>

Welcome to Saint-Petersburg!

</html>;

2) сайт должен быть доступен по имени www.spb.wse, по протоколам http https в обоих сетевых сегментах с использованием сертификатов, выданных DCA.

 

Настройка CLI2

 

Базовая настройка

1) переименуйте компьютер в CLI2;

2) обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;

3) присоедините компьютер к домену SPB.wse.

4) запретите использование «спящего режима» таким образом, чтобы пользователи домена не могли изменить эту настройку без участия администратора домена;

5) используйте компьютер для тестирования настроек в домене SPB.wse.

 

Настройка R2

 

Базовая настройка

1) переименуйте компьютер в R2;

2) задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к коммутатору ISP, используйте адрес 200.100.100.1/30; для сетевого адреса в подсети SPB.wse используйте последний возможный адрес из используемого адресного пространства;

3) обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;

4) присоедините компьютер к домену SPB.wse.

 

 

Настройка RRAS

1) установите службу RRAS;

2) настройте статические маршруты для связи с сетевым сегментом в Казани.

 

Настройка R1

 

Базовая настройка

1) переименуйте компьютер в R1;

2) задайте настройки сети следующим образом: для сетевого интерфейса, подключенного к подключенного к коммутатору ISP, используйте адрес 200.100.100.2/30; для сетевого адреса в подсети Kazan.wsr используйте последний возможный адрес из используемого адресного пространства;

3) обеспечьте работоспособность протокола ICMP (для использования команды ping), при этом Windows Firewall должен быть включен для всех сетевых профилей;

4) присоедините компьютер к домену Kazan.wsr.

 

Настройка RRAS

1) установите службу RRAS;

2) настройте статические маршруты для связи с сетевым сегментом в Санкт-Петербурге.

ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ

 

Модуль С: «Пусконаладка телекоммуникационного оборудования»

Версия 5 от 24.09.19.

ВВЕДЕНИЕ

Знание сетевых технологий на сегодняшний день становится незаменимым для тех, кто хочет построить успешную карьеру в области ИТ. Данное экзаменационное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.

ОПИСАНИЕ ЭКЗАМЕНАЦИОННОГО ЗАДАНИЯ

Данное экзаменационное задание разработано с учетом различных сетевых технологий, соответствующих уровням сертификации CCNA R\S Задание разбито на следующие секции:

 

· Базовая настройка

· Настройка коммутации

· Настройка подключений к глобальным сетям

· Настройка маршрутизации

· Настройка служб

· Настройка механизмов безопасности

· Настройка параметров мониторинга и резервного копирования

· Конфигурация виртуальных частных сетей

Все секции являются независимыми друг от друга, но вместе образуют достаточно сложную сетевую инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, может подразумеваться, что IPv6 маршрутизация должна работать поверх настроенной виртуальной частной сети, которая, в свою очередь, должна работать поверх IPv4 маршрутизации, которая, в свою очередь, должна работать поверх PPPoE и Multilink и т.д. Очень важно понимать, что если вам не удается решить какую-либо из задач по середине такого технологического стека, это не значит, что решенные задачи не будут оценены. Например, если вы не можете настроить динамическую маршрутизацию IPv4, которая необходима для работы виртуальной частной сети, вы можете использовать статическую маршрутизацию и продолжать работу над настройкой виртуальной частной сети и всем что должно работать поверх нее. В этом случае вы не получите баллы за динамическую маршрутизацию, но вы получите баллы за всё что должно работать поверх нее (в случае если функциональные тесты пройдены успешно).

ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА

В первую очередь необходимо прочитать задание полностью и составить алгоритм выполнения работы. Вам предстоит вносить изменения в действующую, преднастроенную сетевую инфраструктуру предприятия, состоящую из головного офиса HQ и удаленного офиса BR1. Офисы имеют связь через провайдеров ISP1 и ISP2. Вы не имеете доступа к оборудованию провайдеров, оно полностью настроено и не требует дополнительного конфигурирования. Вам необходимо настраивать оборудование предприятия, а именно: SW1, SW2, SW3, HQ1, FW1 и BR1.

У вас отсутствует консольный доступ к устройствам, будьте очень внимательны при выполнении задания! В случае потери связи с оборудованием, вы будете виноваты сами. Разрешается перезагрузка оборудования – только техническими экспертами. Например, применили неправильный ACL, который закрыл доступ по telnet, но вы не успели сохранить конфигурацию.

Руководствуйтесь пословицей: Семь раз отмерь, один раз отрежь. Для выполнения задания у вас есть одна физическая машина (PC1 с доступом по Telnet и установленным ASDM), которую вы должны использовать в качестве:

PC2 Виртуальный ПК, Windows 10, Putty. Пользователь User пароль P@ssw0rd

SRV1 Виртуальный ПК, Debian пользователь root пароль toor, с предустановленными сервисами

1) SysLog папка для проверки /Cisco_Log

2) RADIUS - FreeRadius

3) SNMP – для проверки используется пакет Net-SNMP используйте команду snmp_test

4) NTP

5) TFTP папка для проверки /Cisco_TFTP

 

Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. Например, задание 3 в секции «Настройка служб» предписывает вам настроить службу протокола автоматической конфигурации хостов, которая, разумеется, не будет работать пока не будут выполнены необходимые настройки в секции «Конфигурация коммутации». На вас возлагается ответственность за распределение своего рабочего времени.

Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.

Убедитесь в том, что ваши настройки на всех устройствах функционируют после перезагрузки всего оборудования.

ПОДКЛЮЧЕНИЕ К УСТРОЙСТВАМ

Для первоначального подключения используйте протокол Telnet. Для подключения к FW1 используете учетную запись с логином: cisco и паролем: cisco, для входа в привилегированный режим используйте пароль cisco. Для подключения к остальным сетевым устройствам используйте пароль: cisco и пароль для привилегированного режима: cisco

Для подключения к устройствам в главном офисе HQ, подключите рабочую станцию к порту F0/10 коммутатора SW2 и настройте адрес в соответствии с диаграммой L3, устройства доступны по следующим адресам:

SW1 – 192.168.254.10

SW2 – 192.168.254.20

SW3 – 192.168.254.30

HQ1 – 192.168.254.1

FW1 – 192.168.254.2

BR1 – 192.168.254.3

ОЦЕНКА

Оценка осуществляется по SSH или Telnet с устройства PC1. Проверочная группа не осуществляет перекоммутацию на стенде, поэтому будьте предельно внимательны, перед завершением выполнения экзаменационного задания и верните коммутацию в исходное состояние. А также убедитесь, что устройства доступны по следующим адресам, по SSH или Telnet с учетными записями соответствующим экзаменационному заданию:

SW1 – 10.100.100.10 или 192.168.254.10

SW2 – 10.100.100.20 или 192.168.254.20

SW3 – 10.100.100.30 или 192.168.254.30

HQ1 – 30.78.21.1 или 192.168.254.1

FW1 – 30.78.87.2 или 192.168.254.2

BR1 – 172.16.3.3 или 172.16.1.2 или 3.3.3.3 или 192.168.254.3

 

 

Базовая настройка

1) Задайте имя всех устройств в соответствии с топологией.

2) Назначьте для всех устройств доменное имя worldskills.ru

3) Создайте на всех устройствах пользователей wsruser с паролем network

a) Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.

b) Пользователь должен обладать максимальным уровнем привилегий.

4) На всех устройствах установите пароль ciscoenpass на вход в привилегированный режим.

a) Пароль должен храниться в конфигурации в виде результата хэш-функции.

5) Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.

6) Для всех устройств реализуйте модель AAA.

a) Аутентификация на линиях виртуальных терминалов с 0 по 4 должна производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)

b) После успешной аутентификации при удалённом подключении пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).

c) Настройте необходимость аутентификации на локальной консоли.

d) При успешной аутентификации на локальной консоли пользователи должны сразу должен получать права, соответствующие их уровню привилегий или роли.

7) На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля, назначьте IP-адреса.

8) На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.

a) Используйте на линиях vty с 0 по 15 отдельный список методов с названием method_man

b) Порядок аутентификации:

i) По протоколу RADIUS

ii) Локальная

c) Используйте общий ключ cisco

d) Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно

e) Адрес RADIUS-сервера 172.16.20.20

f) Настройте авторизацию при успешной аутентификации

g) Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco

9) Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Настройка коммутации

1) Для централизованного конфигурирования VLAN в коммутируемой сети предприятия используйте протокол VTPv2.

a) В качестве сервера VTP настройте SW1.

b) Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.

c) Таблица VLAN должна содержать следующие сети:

i) VLAN100 с именем MGT

ii) VLAN200 с именем DATA

iii) VLAN300 с именем OFFICE

iv) VLAN500 с именем NATIVE

v) VLAN600 с именем SHUTDOWN

2) Между всеми коммутаторами настройте транки с использованием протокола IEEE 802.1q.

a) Порты F0/10 коммутаторов SW2 и SW3, а также порт F0/1 коммутатора SW1 должны работать без использования согласования. Отключите протокол DTP явным образом.

b) Транк между коммутаторами SW2 и SW3 должен быть настроен без использования согласования. Отключите протокол DTP явным образом.

c) Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3, должны быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а коммутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами не инициировать согласование.

d) Для всех магистральных каналов назначьте native vlan 500.

e) Запретите пересылку по магистральным каналам все неиспользуемые VLAN, в том числе VLAN1

3) Настройте агрегирование каналов связи между коммутаторами.

a) Номера портовых групп:

i) 1 – между коммутаторами SW1 (F0/5-6) и SW2 (F0/5-6);

ii) 2 – между коммутаторами SW1 (F0/3-4) и SW3 (F0/3-4);

b) Агрегированный канал между SW1 и SW2 должен быть организован с использованием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в пассивном.

c) Агрегированный канал между SW1 и SW3 должен быть организован с использованием протокола согласования PAgP. SW1 должен быть настроен в предпочтительном, SW3 в автоматическом.

4) Конфигурация протокола основного дерева:

a) Используйте протокол RSTP.

b) Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100, 200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.

c) Настройте порт F0/1 коммутатора SW1, таким образом, что при включении он сразу переходил в состояние forwarding не дожидаясь пересчета основного дерева.

5) Настройте порты F0/10 коммутаторов SW2 и SW3 в соответствии с L2 диаграммой. Порты должны быть настроены в режиме доступа.

6) Между HQ1 и FW1 настройте взаимодействие по протоколу IEEE 802.1Q.

7) Отключите интерфейс F0/24 коммутатора SW1 и E5 межсетевого экрана FW1, которые использовались для первоначального конфигурирования сетевой инфраструктуры офиса HQ.

8) На всех устройствах, отключите неиспользуемые порты.

9) На всех коммутаторах, неиспользуемые порты переведите во VLAN 600.