Модуль 1–2
Сторінка зібрана текстом з PDF/вихідного матеріалу. Команди оформлені окремими блоками з кнопкою копіювання. Скріншоти з PDF вставлені як зображення поруч із відповідними розділами.
Зміст модуля
VLAN 999 можна не випускати в мережа
МОДУЛЬ 1. НАЛАШТУВАННЯ МЕРЕЖЕВОЇ ІНФРАСТРУКТУРИ
EcoRouter show port brief show service-instance-brief
1. Виконайте базове налаштування пристроїв:
- Налаштуйте імена пристроїв відповідно до топології. Використовуйте повне доменне ім’я
На ISP: hostnamectl set-hostname ISP; exec bash HQ-SRV: hostnamectl set-hostname hq-srv.au-team.irpo; exec bash HQ-CLI: hostnamectl set-hostname hq-cli.au-team.irpo; exec bash BR-SRV: hostnamectl set-hostname br-srv.au-team.irpo; exec bash HQ-RTR: enable conf t hostname hq-rtr ip domain-name au-team.irpo write memory BR-RTR: enable conf t hostname br-rtr ip domain-name au-team.irpo write memory
- На всіх пристроях необхідно сконфігурувати IPv4:
- IP-адреса має бути з приватного діапазону, якщо мережа локальна, відповідно до RFC1918:
- Локальна мережа в бік HQ-SRV(VLAN 100) має вміщувати не більше 32 адреса
- Локальна мережа в бік HQ-CLI(VLAN 200) має вміщувати не менше 16 адреса
- Локальна мережа для керування(VLAN 999) має вміщувати не більше 8 адреса
hq-rtr(config)#ip route 0.0.0.0/0 172.16.1.1 hq-rtr(config)#interface ISP hq-rtr(config-if)#ip address 172.16.1.2/28 hq-rtr(config-if)#exit hq-rtr(config)#port ge0 hq-rtr(config-if)#service-instance ge0/ISP hq-rtr(config-if)#encapsulation untagged hq-rtr(config-if)#connect ip interface ISP hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN100 hq-rtr(config-if)#ip address 192.168.100.1/27 hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN200 hq-rtr(config-if)#ip address 192.168.200.1/24 hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN999 hq-rtr(config-if)#ip address 192.168.99.1/29 hq-rtr(config-if)#exit hq-rtr(config)#port ge1 hq-rtr(config-port)#service-instance ge1/VLAN100 hq-rtr(config-service-instance)#encapsulation dot1q 100 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN100 hq-rtr(config-service-instance)#exit hq-rtr(config-port)#service-instance ge1/VLAN200 hq-rtr(config-service-instance)#encapsulation dot1q 200 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN200 hq-rtr(config-service-instance)#exit # vlan 999 можно не присоединять а прост осоздать, це не обязанность hq-rtr(config-port)#service-instance ge1/VLAN999 hq-rtr(config-service-instance)#encapsulation dot1q 999 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN999 hq-rtr(config-service-instance)#exit hq-rtr(config)#write memory
- Локальна мережа в бік BR-SRV має вміщувати не більше 16 адреса:
br-rtr(config)#ip route 0.0.0.0/0 172.16.2.1 br-rtr(config)#interface ISP br-rtr(config-port)#ip address 172.16.2.2/28 br-rtr(config-port)# exit br-rtr(config)#port ge0 br-rtr(config-if)#service-instance ge0/ISP br-rtr(config-if)#encapsulation untagged br-rtr(config-if)#connect ip interface ISP br-rtr(config-if)#exit br-rtr(config)#interface LOCAL br-rtr(config-port)#ip address 192.168.0.1/28 br-rtr(config-port)# exit br-rtr(config)#port ge1 br-rtr(config-if)#service-instance ge1/LOCAL br-rtr(config-if)#encapsulation untagged br-rtr(config-if)#connect ip interface LOCAL br-rtr(config-if)#exit br-rtr(config)#write memory
- Відомості про адреси внесіть до таблиці 2, в качестве приклада используйте Прил_3_О1_КОД 09.02.06-1-2026-М1
root@hq-srv:
cd /etc/net/ifaces/<имя сетевой карти>enp6s19/options:
TYPE=eth DISABLED=no BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no
nano ipv4adddress 192.168.100.2/27
nano ipv4route default via 192.168.100.1
root@br-srv:
cd /etc/net/ifaces/<имя сетевой карти>enp6s19/options:
TYPE=eth DISABLED=no BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no
nano options 192.168.0.2/28
nano ipv4route default via 192.168.0.1
2. Налаштуйте доступ до мережі Інтернет, на маршрутизаторі ISP:
- Налаштуйте адресацію на інтерфейсах:
- Інтерфейс, підключений до магістрального провайдера, отримує адресау через DHCP
cd /etc/net/ifaces/<имя сетевой карти що виходить в интернет>enp6s19/options:
TYPE=eth CONFIG_IPV4=yes BOOTPROTO=dhcp SYSTEMD_BOOTPROTO=dhcp4 CONFIG_WIRELESS=no DISABLED=no NM_CONTROLLED=no SYSTEMD_CONTROLLED=no
- Налаштуйте маршрут за замовчуванням, якщо це необхідно
- Налаштуйте інтерфейс, у бік HQ-RTR, интерфейс підключений к мережі 172.16.1.0/28\
cd /etc/net/ifaces<имя интерфейса смотрящего в торону HQ-RTR>enp6s20
nano ipv4adddress 172.16.1.1/28
у файлі options
TYPE=eth CONFIG_IPV4=yes BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_WIRELESS=no DISABLED=no NM_CONTROLLED=no SYSTEMD_CONTROLLED=no
systemctl restart network
- Налаштуйте інтерфейс, у бік BR-RTR, интерфейс підключений к мережі 172.16.2.0/28
якщо папки немає, створюємо
mkdir -p enp6s21 && cd enp6s21
cd /etc/net/ifaces<имя интерфейса смотрящего в торону BR-RTR>enp6s21
Cоздать файли:
touch options touch ipv4address
nano options:
TYPE=eth BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no DISABLED=no
nano ipv4address 172.16.2.1/28
systemctl restart network
- На ISP налаштуйте динамическую сетевую трансляцию портов для доступу к мережі Інтернет HQ-RTR і BR-RTR.
В конфігурационном файлі /etc/net/sysctl.conf в параметре net.ipv4.ip_forward = 0 заменить значение с 0 на 1.
Для застосування налаштувань необхідно перезапустити службу network командою:
systemctl restart network systemctl start iptables
Налаштування через nftables
Встановимо службу nftables:
apt-get update && apt-get install -y nftables
Додаємо nftables в автозапуск і тут же проверим статус:
systemctl enable --now nftables && systemctl status nftables
Створюємо таблицу для NAT (якщо її еще нет)
nft add table ip nat
Створюємо цепочку POSTROUTING с приоритетом srcnat (100)
sudo nft add chain ip nat postrouting { type nat hook postrouting priority srcnat \; }Додаємо правила маскарадинга для ваших подсетей через интерфейс який смотрит в Інтернет
sudo nft add rule ip nat postrouting ip saddr 172.16.1.0/28 oifname "enp6s19" masquerade sudo nft add rule ip nat postrouting ip saddr 172.16.2.0/28 oifname "enp6s19" masquerade
Для збереження поточного набору правил виконайте:
sudo nft list ruleset | sudo tee /etc/nftables.conf
Перегляд правил NAT (Вместо iptables -t nat -L -n -v)
nft list table ip nat
Налаштування через iptables
Встановимо службу iptables:
apt-get update && apt-get install -y iptables
Створити правила трансляции адреса для доступу к мережі Інтернет HQ-RTR і BR-RTR:
systemctl restart network systemctl start iptables iptables –t nat –A POSTROUTING –s 172.16.1.0/28 –o enp6s19 –j MASQUERADE iptables –t nat –A POSTROUTING –s 172.16.2.0/28 –o enp6s19 –j MASQUERADE iptables-save >> /etc/sysconfig/iptables
Перевірити iptables:
iptables –t nat –L –n –v
Не забувайте перевірити статус : systemctl status iptables
3. Створіть локальні облікові запису на серверах HQ-SRV і BR-SRV:
- Створіть користувача sshuser
- Пароль користувача sshuser з паролем P@ssw0rd
- Ідентифікатор користувача 2026 Шпаргалка по командам Linux
useradd sshuser –u 2026 #создать пользователя с uid 2026 passwd sshuser #задать пароль P@ssw0rd
- Користувач sshuser повинен мати можливість запускати sudo без введення пароля
Додати користувача sshuser до групи wheel можна за допомогою команди:
usermod -aG wheel sshuser
Додати рядок в конфігураційний файл /etc/sudoers, що дозволяє користувачам, які входять до групи wheel, виконувати через sudo будь-яку команду:
echo «sshuser ALL=(ALL:ALL) NOPASSWD: ALL» >> /etc/sudoers
- Створіть користувача net_admin на маршрутизаторах HQ-RTR і BR-RTR
- Пароль користувача net_admin з паролем P@ssw0rd
hq-rtr(config)#username net_admin hq-rtr(config-user)#password P@ssw0rd hq-rtr(config-user)#role admin hq-rtr(config-user)#exit hq-rtr(config)#write memory
- Під час налаштування ОС на базе Linux, запускати sudo без введення пароля
- Під час налаштування ОС відмінних от Linux користувач повинен мати максимальні привілеї.
4. Налаштуйте комутацію в сегменте HQ таким чином:
- Трафік HQ-SRV має належати VLAN 100
- Трафік HQ-CLI має належати VLAN 200
- Передбачити можливість передавання трафика керування в VLAN 999
- Реалізувати на HQ-RTR маршрутизацію трафіку всех зазначених VLAN с использованием одного мережевого адаптера ВМ/физического порта
- Відомості про налаштування коммутации внесіть до звіту
5. Налаштуйте безпечний віддалений доступ на серверах HQ-SRV і BR-SRV:
- Для підключення використовуйте порт 2026
- Дозвольте підключення виключно користувачу sshuser
- Обмежте кількість спроб входу до двох
- Налаштуйте банер «Authorized access only».
попадая до файлу sshd_config все рядки в ньому будутьь закоментовані, нам залишається знайти рядок #Port 22
змінюємо 22 на 2026 або число по заданию
і під цим самим рядком можна написати такі потрібні нам рядки
AllowUsers sshuser MaxAuthTries 2 Banner /etc/openssh/banner
вийде такий фрагмент
Port 2026 AllowUsers sshuser MaxAuthTries 2 Banner /etc/openssh/banner
touch banner
echo «Authorized access only» > /etc/openssh/banner
Про всяк випадок перевіряємо статус :
Перезапускаємо службу та перевіряємо статус:
systemctl status sshd systemctl restart sshd
Завдання виконано
6. Між офісами HQ і BR, на маршрутизаторах HQ-RTR і BR-RTR необхідно сконфігурувати IP-тунель:
- На вибір технології GRE або IP in IP
hq-rtr(config)#interface tunnel.1 hq-rtr(config-if-tunnel)#ip address 10.0.0.1/30 hq-rtr(config-if-tunnel)#ip tunnel 172.16.1.2 172.16.2.2 mode gre hq-rtr(config-if-tunnel)#exit hq-rtr(config)#write memory
br-rtr(config)#interface tunnel.1 br-rtr(config-if-tunnel)#ip address 10.0.0.2/30 br-rtr(config-if-tunnel)#ip tunnel 172.16.2.2 172.16.1.2 mode gre br-rtr(config-if-tunnel)#exit br-rtr(config)#write memory
- Сведения о туннеле занесите в звіт.
7. Забезпечте динамічну маршрутизацію на маршрутизаторах HQ-RTR і BR-RTR: мережі одного офісу мають бути доступні з іншого офісу і навпаки. Для забезпечення динамічної маршрутизації використовуйте протокол link state на розсуд учасника:
- Дозвольте вибраний протокол тільки на інтерфейсах IP-тунелю
- Маршрутизатори мають обмінюватися маршрутами тільки один з одним
- Забезпечте захист вибраного протоколу за допомогою парольного захисту
hq-rtr(config)#router ospf 1 hq-rtr(config-router)#ospf router-id 1.1.1.1 hq-rtr(config-router)#passive-interface default hq-rtr(config-router)#no passive-interface tunnel.1 hq-rtr(config-router)#network 10.0.0.0/30 area 0 hq-rtr(config-router)#network 192.168.100.0/27 area 0 hq-rtr(config-router)#network 192.168.200.0/24 area 0 hq-rtr(config-router)#network 192.168.99.0/29 area 0 hq-rtr(config-router)#exit hq-rtr(config)#interface tunnel.1 hq-rtr(config-if-tunnel)#ip ospf authentication message-digest hq-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd hq-rtr(config-if-tunnel)#exit hq-rtr(config)#write memory
br-rtr(config)#router ospf 1 br-rtr(config-router)#ospf router-id 2.2.2.2 br-rtr(config-router)#passive-interface default br-rtr(config-router)#no passive-interface tunnel.1 br-rtr(config-router)#network 192.168.0.0/28 area 0 br-rtr(config-router)#network 10.0.0.0/30 area 0 br-rtr(config-router)#exit br-rtr(config)#interface tunnel.1 br-rtr(config-if-tunnel)#ip ospf authentication message-digest br-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd br-rtr(config-if-tunnel)#exit br-rtr(config)#write memory
- Відомості про налаштування і защите протокола занесите в звіт.
8. Налаштування динамічної трансляції адреса маршрутизаторах HQ-RTR і BR-RTR:
- Налаштуйте динамічну трансляцію адреса для обох офісів у бік ISP, усі пристрої в офісах мають мати доступ до мережі Інтернет
hq-rtr(config)#interface ISP hq-rtr(config-if)#ip nat outside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN100 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN200 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN999 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#ip nat pool VLAN100 192.168.100.1-192.168.100.30 hq-rtr(config)#ip nat pool VLAN200 192.168.200.1-192.168.200.254 hq-rtr(config)#ip nat pool VLAN999 192.168.99.1-192.168.99.6 hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN100 overload interface ISP hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN200 overload interface ISP hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN999 overload interface ISP hq-rtr(config)#write memory
br-rtr(config)#interface ISP br-rtr(config-if)#ip nat outside br-rtr(config-if)#exit br-rtr(config)#interface LOCAL br-rtr(config-if)#ip nat inside br-rtr(config-if)#exit br-rtr(config)#ip nat pool BR-Net 192.168.0.1-192.168.0.14 br-rtr(config)#ip nat source dynamic inside-to-outside pool BR-Net overload interface ISP br-rtr(config)#exit br-rtr#write memory
9. Налаштуйте протокол динамічної конфігурації хостів для мережі у бік HQ-CLI (DHCP) :
- Налаштуйте потрібну підмережу
- Як DHCP-сервер виступає маршрутизатор HQ-RTR
- Клієнтом є машина HQ-CLI
- Виключіть з видачі адресау маршрутизатора
- Адреса шлюзу за замовчуванням – адреса маршрутизатора HQ-RTR
- Адреса DNS-сервера для машини HQ-CLI – адреса сервера HQ-SRV
- DNS-суфікс – au-team.irpo
hq-rtr(config)#ip pool VLAN200 192.168.200.2-192.168.200.254 hq-rtr(config)#dhcp-server 1 hq-rtr(config-dhcp-server)#pool VLAN200 1 hq-rtr(config-dhcp-server-pool)#mask 24 hq-rtr(config-dhcp-server-pool)#gateway 192.168.200.1 hq-rtr(config-dhcp-server-pool)#dns 192.168.100.2 hq-rtr(config-dhcp-server-pool)#domain-name au-team.irpo hq-rtr(config-dhcp-server-pool)#exit hq-rtr(config-dhcp-server)#exit hq-rtr(config)#int VLAN200 hq-rtr(config-if)#dhcp-server 1 hq-rtr(config-if)#exit hq-rtr(config)#write memory Building configuration...
- Відомості про налаштування протокола занесите в звіт.
10. Налаштуйте інфраструктуру розпізнавання доменних імен для офисов HQ і BR:
- Основний DNS-сервер реалізовано на HQ-SRV
- Сервер має забезпечувати перетворення імен у мережеві адреси пристроїв і навпаки в соответствии с таблицей 3
- Як DNS-сервер пересилання використовуйте будь-який загальнодоступний DNS-сервер(77.88.8.7, 77.88.8.3 або другие)
Налаштування через DNSMASQ
Встановлення служби DNSMASQ
apt-get update && apt-get install -y dnsmasq
Либо через nano/micro вручну редагуєте файл /etc/dnsmasq.conf
no-hosts server=77.88.8.8 cache-size=1000 all-servers no-negcache interface=* host-record=hq-rtr.au-team.irpo,192.168.100.1 host-record=hq-rtr.au-team.irpo,192.168.200.1 host-record=hq-rtr.au-team.irpo,192.168.99.1 host-record=hq-srv.au-team.irpo,192.168.100.2 host-record=hq-cli.au-team.irpo,192.168.200.2 address=/br-rtr.au-team.irpo/192.168.0.1 address=/br-srv.au-team.irpo/192.168.0.2 address=/docker.au-team.irpo/172.16.1.1 address=/web.au-team.irpo/172.16.2.1
... либо копіюєте нижню команду, яка автоматично все відредагує
cat <<EOF > /etc/dnsmasq.conf no-hosts server=77.88.8.8 cache-size=1000 all-servers no-negcache interface=* host-record=hq-rtr.au-team.irpo,192.168.100.1 host-record=hq-rtr.au-team.irpo,192.168.200.1 host-record=hq-rtr.au-team.irpo,192.168.99.1 host-record=hq-srv.au-team.irpo,192.168.100.2 host-record=hq-cli.au-team.irpo,192.168.200.2 address=/br-rtr.au-team.irpo/192.168.0.1 address=/br-srv.au-team.irpo/192.168.0.2 address=/docker.au-team.irpo/172.16.1.1 address=/web.au-team.irpo/172.16.2.1 EOF
Далі шукаємо процес, який висить на 53-ем порту:
ss -tlpn | grep :53
За його наявності завершуємо його командою с указанием процесса який занимает порт 53:
kill (id process)
Вмикаємо службу dnsmasq в автозапуск командою:
systemctl enable --now dnsmasq.service
І одразу після цього перевіряємо статус:
systemctl status dnsmasq
Налаштування через BIND
Встановлення та базове налаштування BIND (DNS-сервер)
apt-get update && apt-get install bind bind-utils -y
Налаштування DNS-резолвера:
cat << EOF > enp7s1/resolv.conf nameserver 192.168.100.2 echo search au-team.irpo echo domain au-team.irpo EOF
Редагування глобальних опцій BIND (/var/lib/bind/etc/options.conf)
listen-on {192.168.100.2; };
listen-on-v6 { none; };
forwarders {77.88.8.8; };
allow-query {any; };
allow-recursion {any; };
dnssec-validation no;
Додавання зон в /var/lib/bind/etc/rfc1912.conf
cat << EOF >> /var/lib/bind/etc/rfc1912.conf
zone "au-team.irpo" {
type master;
file "au-team.irpo";
};
zone "100.168.192.in-addr.arpa" {
type master;
file "100.168.192.in-addr.arpa";
};
zone "200.168.192.in-addr.arpa" {
type master;
file "200.168.192.in-addr.arpa";
};
EOFСтворення файлів зон з шаблона empty
cd /var/lib/bind/etc/zone cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/au-team.irpo cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/100.168.192.in-addr.arpa cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
Заповнення прямої зони (au-team.irpo)
cat << EOF > /var/lib/bind/etc/zone/au-team.irpo
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
IN A 192.168.100.2
hq-srv IN A 192.168.100.2
hq-cli IN A 192.168.200.2
hq-rtr IN A 192.168.100.1
hq-rtr IN A 192.168.200.1
hq-rtr IN A 192.168.99.1
docker IN A 172.16.1.1
web IN A 172.16.2.1
br-srv IN A 192.168.0.2
br-rtr IN A 192.168.0.1
EOFЗаповнення зворотних зон (PTR-запису) /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
cat << EOF > /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
1 IN PTR hq-rtr.au-team.irpo.
2 IN PTR hq-srv.au-team.irpo.
EOFcat << EOF > /var/lib/bind/etc/zone/100.168.192.in-addr.arpa
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
1 IN PTR hq-rtr.au-team.irpo.
2 IN PTR hq-srv.au-team.irpo.
EOFГенерація ключа rndc і перевірка конфігурації (опционально)
rndc-confgen > /etc/bind/rndc.key sed -i '6,$d' /etc/bind/rndc.key named-checkconf named-checkconf -z
Встановлення прав і запуск служби BIND
chown -R root:named /var/lib/bind/etc/zone/* systemctl enable --now bind.service systemctl status bind
11. Налаштуйте часовий пояс на всех пристроюх (за исключением виртуального коммутатора, в случае его использования) согласно месту проведения екзамену
На пристроях с ОС «Альт» необхідно виконати таку команду:
timedatectl set-timezone <ЧАСОВАЯ_ЗОНА>
Наприклад:
timedatectl set-timezone Europe/Moscow
На пристроях с ОС «EcoRouterOS» необхідно виконати таку команду з режима адміністрування (conf t):
ntp timezone utc+<ЦИФРА>
Наприклад:
ntp timezone utc+3
Як перевірити? На пристроях с ОС «Альт» скористатися утилітою timedatectl:
На пристроях с ОС «EcoRouterOS» скористатися командою з привілейованого режиму:
show ntp timezone
Дистанційно-векторні протоколи (Distance Vector) — це тип алгоритмів динамічної маршрутизації, де кожен маршрутизатор знає лише вектор (направление/интерфейс) і дистанцию (метрику, наприклад, количество хопов) до мережі призначення, получая цю информацию від сусідів. Они строят таблиці маршрутизації, обмениваясь ими с соседними пристроюми, використовуючи алгоритм Беллмана-Форда. Link-State Routing Protocols (протоколи стану каналів зв’язку) — це тип протоколов динамической маршрутизации, использующих алгоритм Дейкстри (SPF — Shortest Path First) для створення повної карти топології мережі. Кожен маршрутизатор будує і синхронізує однакову базу даних (LSDB), що обеспечивает швидку збіжність і високу точність вибору маршруту.
2 systemctl enable --now serial-getty@ttyS0
3 echo ttyS0 >> /etc/securetty МОДУЛЬ 2. ОРГАНІЗАЦІЯ МЕРЕЖЕВОГО АДМІНІСТРУВАННЯ
1. Налаштуйте контролер домену Samba DC на сервері BR-SRV:
- Ім’я домену au-team.irpo
apt-get update && apt-get install -y task-samba-dc
Необхідно очистити бази та конфігурацію Samba (домен, якщо він створювався до цього, буде видалено):
rm -f /etc/samba/smb.conf rm -rf /var/lib/samba rm -rf /var/cache/samba mkdir -p /var/lib/samba/sysvol
Для інтерактивного розгортання запустіть samba-tool domain provision, це запустит утилиту розгортання, яка ставитиме різні запитання щодо вимог до встановлення:
samba-tool domain provision
- у Samba є власний DNS-сервер. В DNS forwarder IP address нуж-
но указать зовнішній DNS-сервер, щоб DC міг розпізнавати зовнішні доменні імена;
- під час запиту введення натискайте Enter за исключением запроса пароля ад-
министратора («Administrator password:» і «Retype password:»);
- пароль адміністратора має бути не менше 7 символов і содержать
символи как минимум трех групп з чотирьох можливих: латинських літер у верхньому та нижньому регістрах, чисел і других не буквенно-цифрових сим- волов;
- пароль, не полностью соответствующий вимогим, является одной з
причин завершення розгортання домену помилкою;
- при правильной базовой настройке пристрою все параметри подста-
вятся автоматически.
root@hq-srv ~# samba-tool domain provision Realm [AU-TEAM.IRPO]: Domain [AU-TEAM]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 77.88.8.8 Administrator password: Retype password: INFO 2026-05-25 14:13:09,632 pid:10032 /usr/lib64/samba-dc/python3.9/samba/provision/__init__.py #2128: Looking up IPv4 addresses INFO 2026-05-25 14:13:09,644 pid:10032 /usr/lib64/samba-dc/python3.9/samba/provision/__init__.py #2145: Looking up IPv6 addresses
Необхідно замінити файл krb5.conf :
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Увімкнути та додати службу до автозавантаження samba:
systemctl enable --now samba systemctl start samba systemctl status samba
- Введіть машину до створеного домену HQ-CLI
Перезавантажити робочу станцію для застосування всіх налаштувань.
- Створіть 5 користувачів для офиса HQ: имена користувачів формата
hquser№ (наприклад hquser1, hquser2 і т.д.)
Для керування користувачами в «Альт Домен» можна використовувати под- команду user утиліти samba-tool:
- створити користувача hquser1 з паролем P@ssw0rd:
samba-tool user add hquser1 P@ssw0rd
- встановити строк дії для облікового запису користувача в значение
«період дії необмежений»:
samba-tool user setexpiry hquser1 --noexpiry
Для керування групами в «Альт Домен» можна використовувати подкоманду group утиліти samba-tool:
- створити групу с именем hq:
samba-tool group add hq
- Створіть групу hq, введіть до групи створених користувачів
Додати користувача hquser1 до групи hq:
samba-tool group addmembers hq hquser1
Перезавантажити робочу станцію для застосування всіх налаштувань. На HQ-CLI встановити бібліотеку libnss-role для NSS і набор инстру- ментов для адміністрування ролей і привилегий:
apt-get install -y libnss-role
Цей модуль має бути увімкнений:
control libnss-role
Зв’язати доменну групу hq з локальною групою wheel:
roleadd hq wheel
- Переконайтеся, що користувачі групи hq мають право автентифікуватися на HQ-CLI
- Користувачі групи hq мають мати можливість підвищувати привілеї для виконання обмеженого набору команд: cat, grep, id. Запускати інші команди з підвищеними привілеями користувачі групи права не мають.
2. Сконфігуруйте файлове сховище на сервері HQ-SRV:
- За допомогою двох підключених к серверу додаткових дисків
розміром 1 Гб сконфігуруйте дисковий масив уровня 0
lsblk
Нерозмічені диски мають бути одного розміру — 1 ГБ, не змонтовані і не розмічені. Для створення RAID-масиву необхідно встановити пакет mdadm, якщо він не встановлений. Для цього можна скористатися командою:
apt-get install –y mdadm
- Ім’я пристрою – md0, за необхідності конфігурація масиву
розміщується у файлі /etc/mdadm.conf
Створення RAID-масиву с использованием утиліти mdadm відбувається за допомогою такої команди:
mdadm --create --verbose /dev/md0 –1 0 –n 2 /dev/sdb /dev/sdc
mdadm --create /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc
Опис застосовуваних команд: /dev/md0 — пристрій RAID, який з’явиться після збирання; -l 0 — рівень RAID; -n 2 — кількість дисків, з яких собирается массив; /dev/sdb /dev/sdc — збирання виконується з дисков sdb і sdc.
При необхідности конфігурація масиву розміщується у файлі /etc/ mdadm.conf:
mdadm --detail --scan --verbose | tee –a /etc/mdadm.conf
- Створіть розділ, відформатуйте розділ, як файлову систему використовуйте ext4
Далі необхідно створити файлову систему на созданном RAID-массиве, використовуючи утиліту mkfs такою командою:
mkfs.ext4 /dev/md0
- Забезпечте автоматичне монтування до папки /raid
Для реалізації автоматичного монтування созцього RAID-мас- сива до директорії /raid насамперед слід створити цю директорію, используя команду:
mkdir /raid
Для застосування монтування можна скористатися утилітою mount, виконавши команду:
mount -av
3. Налаштуйте сервер мережевої файлової системи (nfs) на HQ-SRV:
- Як папку спільного доступу виберіть /raid/nfs, доступ для читання
і запису виключно для мережі у бік HQ-CLI
Для реалізації сервера NFS необхідно встановити пакети nfs-server і nfs-utils, для цього можна скористатися командою:
apt-get install –y nfs-server nfs-utils
Щоб реалізувати спільний доступ средствами NFS до директорії / raid/nfs, цю директорію необхідно створити командою:
mkdir /raid/nfs
Також варто надати права для созцієї директорії:
chmod 777 /raid/nfs
Налаштувати спільний доступ засобами NFS можна, отредактировав конфігураційний файл /etc/exports і додавши до нього такий запис:
/raid/nfs 192.168.200.0/24(rw,no_root_squash)
де: /raid/nfs — спільний ресурс; 192.168.200.0/24 — клієнтська мережа, кото- рой разрешено монтирование общего ресурса; rw — дозвіл на читання і запис; no_root_squash — вимкнення обмеження прав root.
Щоб запустити NFS-сервер можна скористатися командою:
systemctl enable --now nfs-server
- На HQ-CLI налаштуйте автомонтування до папки /mnt/nfs
Для того щоб на віртуальній машині HQ-CLI реализовать монтирова- ние общего ресурса с NFS-сервера необхідно встановити пакети nfs-utils і nfs-clients. Сделать це можна, воспользовавшись командою:
apt-get install –y nfs-utils nfs-clients
Після чего створити директорію, в яку буде происходить монтиро- вание общего ресурса:
mkdir /mnt/nfs
Надати відповідні права на створену директорію:
chmod -R 777 /mnt/nfs
У кінець конфігураційного файлу /etc/fstab зручним текстовим ре- дактором vim дописуємо такий рядок:
192.168.100.2:/raid/nfs /mnt/nfs nfs defaults 0 0
Для застосування монтування можна скористатися утилітою mount, виконавши команду:
mount -av
- Основні параметри сервера зазначте у звіті
4. Налаштуйте службу мережевого часу на базі сервісу chrony на маршрутизаторі ISP:
- Вищий сервер NTP на маршрутизаторі ISP - на вибір учасника
На віртуальній машині ISP, яка буде виступати в роли сервера вре- мени, необхідно привести конфігураційний файл /etc/chrony.conf у текстовому редакторі vim до такого вигляду:
#Use public servers from the pool.ntp.org project. #Please consider joining the pool (https://www.pool.ntp.org/join.html). #pool pool.ntp.org iburst server ntp5.ntp-servers.net iburst prefer minstratum 4 local stratum 5 allow 0.0.0.0/0
Для застосування змін необхідно перезапустити службу chronyd такою командою:
systemctl restart chronyd
- Стратум сервера - 5
- Як клієнтів NTP налаштуйте: HQ-SRV, HQ-CLI, BR-RTR, BR-SRV.
На всіх інших віртуальних машинах с ОС «Альт», які будуть ви- ступать клієнтами с точки зрения сервера часу, необхідно додати до конфігураційного файлу /etc/chrony.conf такий рядок:
server 172.16.1.1 iburst
Для застосування змін необхідно перезапустити службу chronyd такою командою:
systemctl restart chronyd
На всіх інших віртуальних машинах с ОС «EcoRouterOS» з режима адміністрування (conf t) необхідно виконати таку команду:
(config)# ntp server <IP_АДРЕС_ШЛЮЗА> (config)# write memory
Як перевірити? На Linux:
[root@hq-srv nfs]# chronyc sources MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^* 172.16.1.1 5 6 177 60 +456us[ +642us] +/- 9432us [root@hq-srv nfs]#
На EcoRouterOS:
hq-rtr(config)#do show ntp status
5. Сконфігуруйте ansible на сервері BR-SRV:
- Сформуйте файл інвентарю, до інвентарю мають входити HQ-SRV,
HQ-CLI, HQ-RTR і BR-RTR
Необхідно установить пакети ansible і sshpass. Виконати установку можна такою командою:
apt-get update && apt-get install –y ansible sshpass
Привести файл інвентарю Ansible до вигляду, наведеного на скріншоті нижче, отредактировав конфігураційний файл по пути /etc/ansible/hosts будь-яким зручним текстовим редактором, наприклад vim:
HQ-SRV ansible_host=192.168.100.2 ansible_user=sshuser ansible_password=P@ssw0rd ansible_port=2026 HQ-CLI ansible_host=192.168.200.2 ansible_user=user ansible_password=resu HQ-RTR ansible_host=10.0.0.1 ansible_user=net_admin ansible_password=P@ssw0rd ansible_connection=network_cli ansible_network_os=ios BR-RTR ansible_host=192.168.0.1 ansible_user=net_admin ansible_password=P@ssw0rd ansible_connection=network_cli ansible_network_os=ios [all:vars] ansible_python_interpreter=/usr/bin/python
- Робочий каталог ansible має розташовуватися в /etc/ansible
Отредактировать файл /etc/ansible/ansible.cfg, приводя его до такого вигляду:
[defaults] inventory = /etc/ansible/hosts host_key_checking = False
Встановити пакет python3-module-pip, далі встановити бібліотеку ansible-pylibssh:
apt-get install –y python3-module-pip pip3 install ansible-pylibssh
//ВАЖНО!!! ВО ВРЕМЯ ТЕСТОВОГО ВИКОНАННЯ ЗАДАНИЯ ЦІ НАСТРОЙКИ НЕ ПРИГОДИЛИСЬ! На віртуальних машинах с ОС «EcoRouterOS» з режима администриро- вания (conf t) разрешить підключення к пристроїву по ssh:
(config)# security none (config)# write memory
//
- Усі зазначені машини мають без попереджень і помилок відповідати
pong на команду ping в ansible посланную с BR-SRV.
Як перевірити? Відповіді від машин мають бути зеленого кольору і містити поле pong:
ansible all -m ping
6. Розгорніть вебзастосунок в docker на сервері BR-SRV:
- Засобами docker має створюватися стек контейнерів з вебзастосунком і базою даних
- Використовуйте образи site_latestи mariadb_latest що розташовані в директорії docker в образі Additional.iso
- Основний контейнер testapp має називатися tespapp
- Контейнер із базою даних має називатися db
- Імпортуйте образи в docker, вкажіть у yaml-файлі параметри підключення к СУБД, ім’я БД - testdb, користувач test з паролем P@ssw0rd, порт застосунку 8080, за необхідності другие параметри
Встановити необхідні пакети для роботи з Docker і Docker Compose с помощью такої команди:
apt-get install –y docker-engine docker-compose-v2
Після встановлення необхідних пакетов варто запустити службу docker:
systemctl enable --now docker.service
Виконати монтування Additional.iso до директорії /mnt:
mount /dev/sr0 /mnt/
Виконати імпорт образу mariadb_latest і site_latest:
docker load < /mnt/docker/site_latest.tar docker load < /mnt/docker/mariadb_latest.tar
Створити будь-яким зручним текстовим редактором, наприклад vim, файл docker-compose.yaml і помістити до нього такий вміст:
services:
database:
container_name: db
image: mariadb:10.11
restart: always
ports:
- "3306:3306"
environment:
MARIADB_USER: test
MARIADB_PASSWORD: P@ssw0rd
MARIADB_DATABASE: testdb
MARIADB_ROOT_PASSWORD: P@ssw0rd
healthcheck:
test: ["CMD-SHELL", "mariadb-admin ping -h localhost -p$$MARIADB_ROOT_PASSWORD || exit 1"]
interval: 5s
timeout: 5s
retries: 5
app:
container_name: testapp
image: site:latest
restart: always
ports:
- "8080:8000"
environment:
DB_HOST: "database" # Вказуємо имя сервиса из верхней секции
DB_PORT: "3306"
DB_NAME: "testdb" # Совпадает с базой в MariaDB
DB_USER: "test" # Совпадает с пользователем в MariaDB
DB_PASS: "P@ssw0rd" # Совпадает с паролем в MariaDB
DB_TYPE: "maria"
depends_on:
database: # Исправлено имя сервиса (було db)
condition: service_healthyЗапустити стек контейнерів з вебзастосунком і базою даних:
docker compose up -d
- Застосунок має бути доступним для зовнішніх підключень через порт 8080
Спочатку перевірте на сервері, чи відповідає контейнер:
[root@br-srv testapp]# curl -I http://127.0.0.1:8080 HTTP/1.1 405 Method Not Allowed date: Fri, 29 May 2026 09:05:33 GMT server: uvicorn allow: GET content-length: 31 content-type: application/json
Потім на ПК HQ-CLI зайдіть у Firefox і введіть адресау BR-SRV і порт 8080 (ip BR-SRV:8080)
192.168.0.2:8080
7. Розгорніть вебзастосунок на сервері HQ-SRV:
Встановити пакет lamp-server для роботи вебсервера Apache з базою даних MariaDB і PHP:
apt-get install –y lamp-server
Виконати монтування Additional.iso до директорії /mnt:
mount /dev/sr0 /mnt/
Виконати копіювання файлів веб-застосунку до директорії /var/www/html:
cp /mnt/web/index.php /var/www/html cp /mnt/web/logo.png /var/www/html
Увімкнути та додати службу до автозавантаження mariadb:
systemctl enable --now mariadb
Перейти до інтерфейсу керування MariaDB:
mariadb –u root
Створити базу даних с именем webdb:
CREATE DATABASE webdb;
Створити користувача webc з паролем P@ssw0rd:
CREATE USER ‘webc’@’localhost’ IDENTIFIED BY ‘P@ssw0rd’;
Надати користувачу webc повні права на базу даних webdb, після чого вийти з интерфейса керування MariaDB:
GRANT ALL PRIVILEGES ON webdb.* TO ‘webc’@’localhost’ WITH GRANT OPTION; EXIT;
З директорії /mnt/web/ скопіювати файл dump.sql і виконати им- порт схеми і даних з файлу dump.sql в базу даних webdb:
cp /mnt/web/dump.sql ./ mariadb –u webc –p –D webdb < dump.sql
Якщо dump.sql має кодування UTF-16, то перед цим зробити:
Iconv -f UTF-16LE -t UTF-8 dump.sql -o dump_new.sql
І тоді в результаті для импорта схеми і даних необхідно буде использовать команду:
mariadb –u webc –p –D webdb < dump_new.sql
- Використовуйте вебсервер apache
- Як систему керування базами даних використовуйте mariadb
- Файли вебзастосунку і дамп бази даних знаходяться в директорії web
образу Additional.iso
- Виконайте импорт схеми і даних з файлу dump.sql в базу даних
webdb
- Створіть користувача webз паролем P@ssw0rd і предоставьте ему
права доступу к цей базе даних
- Файли index.php і директорію images скопіюйте в каталог вебсервера
apache
- В файлі index.php вкажіть правильні облікові дані для
підключення до БД
- Запустіть вебсервер і переконайтеся в працездатності застосунку
- Основні параметри отметьте в звіте
8. На маршрутизаторах сконфігуруйте статичну трансляцію портів:
З режиму адміністрування (conf t) виконати таку команду:
ip nat source static tcp <IP-АДРЕС_УСТРОЙСТВА_ЛОКАЛЬНОЙ_СЕТИ> <ПОРТ_ УСТРОЙСТВА_ЛОКАЛЬНОЙ_СЕТИ> <ВНЕШНИЙ_IP-АДРЕС_УСТРОЙСТВА> <ПОРТ_ДЛЯ_ ОБРАЩЕНИЯ_ИЗ_ВНЕШНЕЙ_СЕТИ>
- Прокиньте порт 8080 в порт застосунку testapp BR-SRV на
маршрутизаторі BR-RTR, для забезпечення роботи застосунку testapp ззовні:
br-rtr(config)#ip nat source static tcp 192.168.0.2 8080 172.16.2.2 8080
- Прокиньте порт 8080 в порт веб застосунку на HQ-SRV на
маршрутизаторі HQ-RTR, для забезпечення роботи веб застосунку ззовні:
hq-rtr(config)#ip nat source static tcp 192.168.100.2 80 172.16.1.2 8080
- Прокиньте порт 2026 на маршрутизаторі HQ-RTR в порт 2026сервера
HQ-SRV, для підключення до сервера за протоколом ssh із зовнішніх мереж
hq-rtr(config)#ip nat source static tcp 192.168.100.2 2026 172.16.1.2 2026 hq-rtr(config)#write memory
- Прокиньте порт 2026 на маршрутизаторі BR-RTR в порт 2026сервера
BR-SRV, для підключення до сервера за протоколом ssh із зовнішніх мереж.
br-rtr(config)#ip nat source static tcp 192.168.0.2 2026 172.16.2.2 2026 br-rtr(config)#write memory
9. Налаштуйте вебсервер nginx як зворотний проксі-сервер на ISP
- Під час звернення за доменним ім’ям web.au-team.irpo у клієнта должно
відкриватися веб застосунок на HQ-SRV
Як робити? Встановіть пакет nginx:
apt-get install -y nginx
Налаштувати nginx як реверсивний проксі-сервер, приведя файл /etc/nginx/sites-available.d/default.conf до такого вигляду будь-яким зручним текстовим редактором, наприклад vim:
server {
listen 80;
server_name web.au-team.irpo;
location / {
proxy_pass http://172.16.1.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
server {
listen 80;
server_name docker.au-team.irpo;
location / {
proxy_pass http://172.16.2.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Додати символічне посилання на цей файл:
ln -s /etc/nginx/sites-available.d/default.conf /etc/nginx/sites-enabled.d/
Запустити й активувати службу nginx:
systemctl enable --now nginx
Оскільки до доменуі SambaDC немає DNS-записів, що посилаються на потрібні імена, а на HQ-CLI як DNS-сервер задана адреса именно контролера домену, то необхідно додати запису до файлу /etc/hosts на віртуальній машині HQ-CLI (привести к виду файл):
[root@hq-cli ~]# cat /etc/hosts 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain localhost6 172.16.1.1 web.au-team.irpo 172.16.2.1 docker.au-team.irpo [root@hq-cli ~]#
- Під час звернення за доменним ім’ям docker.au-team.irpo клієнта
має відкриватися вебзастосунок testapp
!!! ОБОВ’ЯЗКОВО В БРАУЗЕРЕ HQ-CLI ПИШІТЬ АДРЕСИ: http://web.au-team.irpo http://docker.au-team.irpo
10. На маршрутизаторі ISP налаштуйте web-based автентифікацію:
- При обращении к сайту web.au-team.irpo клієнту має бути запропоновано ввести автентифікаційні дані
- Як логін для автентифікації виберіть WEB з паролем P@ssw0rd
- Виберіть файл /etc/nginx/.htpasswd в качестве сховища облікових записів
Як робити? Встановити пакет apache2:
apt-get install -y apache2
Засобами утиліти htpasswd створити користувача WEB і додати інформацію о нем до файлу /etc/nginx/.htpasswd, задав пароль P@ssw0rd:
htpasswd –c /etc/nginx/.htpasswd WEB
Додати web-based автентифікацію для доступу к сайту web.au-team.irpo в конфігураційний файл /etc/nginx/sites-available.d/default.conf будь-яким зручним текстовим редактором, наприклад vim:
server {
listen 80;
server_name web.au-team.irpo;
location / {
proxy_pass http://172.16.1.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}
server {
listen 80;
server_name docker.au-team.irpo;
location / {
proxy_pass http://172.16.2.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Перезапустити службу nginx:
systemctl restart nginx
- Після успішної автентифікації клієнт має перейти на вебсайт.
11. Зручним способом встановіть застосунок Яндекс Браузер на HQ-CLI
Як робити? Від імені суперкористувача виконати:
apt-get install –y yandex-browser-stable
- Встановлення браузера зазначте у звіті.
МОДУЛЬ 3. ЕКСПЛУАТАЦІЯ ОБ’ЄКТІВ МЕРЕЖЕВОЇ ІНФРАСТРУКТУРИ
1. Виконайте імпорт користувачів до домену au-team.irpo:
- Як файл-джерело виберіть файл users.csv располагающийся
в образі Additional.iso
- Користувачі мають бути імпортовані зі своїми паролями і
іншими атрибутами
- Переконайтеся, що імпортовані користувачі можуть увійти на машину
HQ-CLI
2. Виконайте налаштування центру сертифікації на базе HQ-SRV:
- Необхідно використовувати вітчизняні алгоритми шифрування
- Сертифікати видаються на 30дней
- Забезпечте довіру до сертифіката для HQ-CLI
- Видайте сертифікати вебсерверам
- Переналаштуйте раніше налаштований реверсивний проксі nginx на
протокол https
- При обращении к вебсерверам https://web.au-team.irpo і
https://docker.au-team.irpo у браузері клієнта не має виникати попереджень.
3. Переналаштуйте IP-тунель з базового до рівня тунелю, що забезпечує шифрування трафіку
- Налаштуйте захищений тунель между HQ-RTR і BR-RTR
- Внесіть необхідні зміни в конфігурацию динамической маршрутизации, протокол динамической маршрутизации має відновити роботу після переналаштування туннеля
- Вибране програмне забезпечення, обґрунтування його вибору і его основні параметри, изменения в конфігурации динамической маршрутизации отметьте в звіте.
4. Налаштуйте міжмережевий екран на маршрутизаторах HQ-RTR і BR-RTR на мережа у бік ISP
- Забезпечте роботу протоколів http, https, dns, ntp, icmp або
додаткових потрібних протоколов
- Забороніть інші підключення з мережі Інтернет во внутрішню
мережа.
5. Налаштуйте принт-сервер cups на сервері HQ-SRV:
- Опублікуйте віртуальний PDF-принтер
- На клієнте HQ-CLI підключіть віртуальний принтер как принтер по
умолчанию.
6. Реалізуйте логування за допомогою rsyslog на пристроюх HQ-RTR, BR-RTR, BR-SRV:
- Сервер збору логів расположен на HQ-SRV, убедитесь, що сервер не
является клієнтом самому себе
- Пріоритет повідомлень має бути не нижче warning
- Усі журнали мають знаходитися в директорії /opt. Для каждого
пристрою має виділятися власна піддиректорія, яка збігається з ім’ям машини
- Реалізуйте ротацію зібраних логів на сервері HQ-SRV:
- Ротуються всі логи, находящиеся в директорії і
поддиректоріях /opt
- Ротация производится один раз в неделю
- Логи необхідно стискати
- Мінімальний розмір логів для ротации – 10МБ.
7. На сервері HQ-SRV реалізуйте моніторинг пристроїв за допомогою відкритого програмного забезпечення
- Забезпечте доступність по URL - http://mon.au-team.irpo для сетей
офиса HQ, внесіть зміни в инфраструктуру разрешения доменних імен
- Моніторити потрібно пристрої HQ-SRV і BR-SRV
- У моніторингу мають візуально відображатися навантаження на ЦП, обсяг зайнятої ОП і основного накопичувача
- Логін і пароль для служби мониторинга admin P@ssw0rd
- Організуйте доступ к мониторингу для HQ-CLI, без зовнішнього доступу
- Вибір программного обеспечения, основание вибору і основні параметри с указанием порта, на котором работает мониторинг, отметьте в звіте
8. Реалізуйте механізм інвентаризації машин HQ-SRV і HQ-CLI через Ansible на BR-SRV:
- Плейбук має збирати інформацію про робочі місця:
- Ім’я комп’ютера
- IP-адреса комп’ютера
- Плейбук має бути розміщений в директорії /etc/ansible, звіти в піддиректорії PC-INFO, в формате .yml. Файли мають називатися именем комп’ютера, який був инвентаризирован
- Файл плейбука розташований в образі Additional.iso в директорії playbook
9. На HQ-SRV налаштуйте програмне забезпечення fail2ban для захисту ssh
- Вкажіть порт ssh
- При 3 неуспішних авторизаціях адреса атакувальника потрапляє в бан
- Бан виконується на 1 минуту
10. Налаштування резервного копіювання директорії сервера HQ-SRV:
- На HQ-SRV розгорнути програмне забезпечення для резервного копіювання і відновлення даних із захистом від вірусів-шифрувальників
- Як рішення рекомендується використовувати программное обеспечение Кибер Бекап версії 17.4 або аналог
- Налаштуйте організацію irpo
- Налаштуйте користувача з правами адміністратора на сервері HQ-SRV, имя користувача irpoadmin з паролем P@ssw0rd
- Встановіть на HQ-CLI агент з функціями вузла сховища і підключіть його до сервера керування
- На узле сховища HQ-CLI створіть директорію /backup і виберіть її в качестве пристрій зберігання
- Створіть два плани резервного копирования для сервера HQ-SRV
- план для резервного копіювання директорії /etc і усіх її піддиректорій
- план для резервного копіювання бази даних webdb типа mysql
- Виконайте резервне копіювання директорії /etc і усіх її піддиректорій сервера HQ-SRV на вузол зберігання HQ-CLI
- Виконайте резервне копіювання бази даних webdb сервера HQ-SRV на вузол зберігання HQ-CLI