Участник:Pechenovv/DEMO2026
Модуль 1. Настройка сетевой инфраструктуры
- #1. Произведите базовую настройку устройств
- #2. Настройте доступ к сети Интернет, на маршрутизаторе ISP
- #3. Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV
- #4. Настройте коммутацию в сегменте HQ следующим образом
- #5. Настройте безопасный удаленный доступ на серверах HQ-SRV и BR- SRV
- #6. Между офисами HQ и BR, на маршрутизаторах HQ-RTR и BR-RTR необходимо сконфигурировать туннель
- #7. Обеспечьте динамическую маршрутизацию на маршрутизаторах HQ- RTR и BR-RTR и межсетевом экране BR-FW
- #8. Настройка динамической трансляции адресов маршрутизаторах HQ- RTR и BR-RTR
- #9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI
- #10. Настройте инфраструктуру разрешения доменных имён для офисов HQ и BR
- #11. Настройте часовой пояс
1. Произведите базовую настройку устройств
• Настройте имена устройств согласно топологии. Используйте полное доменное имя
ISP:
- Назначение имени на устройство:
hostnamectl set-hostname isp; exec bash sed -i "s/HOSTNAME=localhost/HOSTNAME=isp/g" /etc/sysconfig/network
HQ-RTR:
- Назначение имени на устройство:
enable configure terminal hostname hq-rtr ip domain-name handyman.fantasy write memory
HQ-SRV:
- Назначение имени на устройство:
hostnamectl set-hostname hq-srv.handyman.fantasy; exec bash sed -i "s/HOSTNAME=localhost/HOSTNAME=hq-srv.handyman.fantasy/g" /etc/sysconfig/network
HQ-CLI:
- Назначение имени на устройство:
su - hostnamectl set-hostname hq-cli.handyman.fantasy; exec bash sed -i "s/HOSTNAME=localhost/HOSTNAME=hq-cli.handyman.fantasy/g" /etc/sysconfig/network reboot
BR-RTR:
- Назначение имени на устройство:
enable configure terminal hostname br-rtr ip domain-name handyman.fantasy write memory
BR-FW:
- Назначение имени на устройство: выполняется после настройки доступа к веб-интерфейсу управления
BR-SRV:
- Назначение имени на устройство:
hostnamectl set-hostname br-srv.handyman.fantasy; exec bash sed -i "s/HOSTNAME=localhost/HOSTNAME=br-srv.handyman.fantasy/g" /etc/sysconfig/network
BR-CLI:
- Назначение имени на устройство:
su - hostnamectl set-hostname br-cli.handyman.fantasy; exec bash sed -i "s/HOSTNAME=localhost/HOSTNAME=br-cli.handyman.fantasy/g" /etc/sysconfig/network reboot
• На всех устройствах необходимо сконфигурировать IPv4
• IP-адрес должен быть из приватного диапазона
Читаем rfc1918: ссылка. Делаем вывод, что нам подходят следующие диапазоны:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
• Локальная сеть в сторону HQ-SRV (VLAN 100) необходимо выделить сеть размером не более 32 адресов из адресного пространства 10.10.100.0/24
• Локальная сеть в сторону HQ-CLI (VLAN 200) необходимо выделить сеть размером не более 16 адресов из адресного пространства 10.10.200.0/27
• Локальная сеть для управления (VLAN 999) необходимо выделить сеть размером не более 8 адресов из адресного пространства 10.10.30.0/28
• В локальной сети в сторону BR-SRV необходимо выделить сеть из сети размером не более 16 адресов из адресного пространства 10.20.20.0/26
• В локальной сети в сторону BR-CLI необходимо выделить сеть из сети размером не более 8 адресов из адресного пространства 10.20.30.0/26
| Имя устройства | IP-адрес | Шлюз по умолчанию |
|---|---|---|
| BR-FW | 10.100.100.2/30 | 10.100.100.1 |
| 10.20.20.1/28 | ||
| 10.20.30.1/29 | ||
| HQ-RTR | 172.16.1.2/28 | 172.16.1.1 |
| 10.10.100.1/27 | ||
| 10.10.200.1/28 | ||
| 10.10.30.1/29 | ||
| BR-RTR | 172.16.2.2/28 | 172.16.2.1 |
| 10.100.100.1/30 | ||
| HQ-SRV | 10.10.100.2/27 | 10.10.100.1 |
| HQ-CLI | 10.10.200.2/28 | 10.10.200.1 |
| BR-SRV | 10.20.20.2/28 | 10.20.20.1 |
| BR-CLI | 10.20.30.2/29 | 10.20.30.1 |
ISP
- Рассматривается в части задания “#2. Настройте доступ к сети Интернет, на маршрутизаторе ISP”
HQ-RTR:
- Посмотреть физические порты можно при помощи следующей команды:
show port brief
-------------------------------------------------------------------------- te0 UP UP * 04h:46m:48s ago te1 UP UP * 04h:46m:48s ago
где: - te0 - порт в сторону ISP - te1 - порт в сторону локальной сети офиса HQ (виртуальный коммутатор HQ-SW на уровне гипервизора)
- Создаём интерфейс с именем isp (произвольное имя) и назначаем на него IP-адрес согласно заполненной таблице адресации:
interface isp description "ISP" ip address 172.16.1.2/28 exit
- Также, зададим сразу маршрут по умолчанию, указав в качестве шлюза по умолчанию IP-адрес ISP:
ip route 0.0.0.0/0 172.16.1.1
- В режиме конфигурирования порта создадим service-instance с произвольным именем, затем:
- укажем (инкапсулировать) что будет обрабатываться не тегированный трафик (untagget)
- укажем в какой интерфейс (ранее созданный с именем isp) нужно отправить обработанные кадры
port te0 service-instance te0/isp encapsulation untagged connect ip interface isp exit exit write memory
- Проверить, назначенный IP-адрес на интерфейс:
show ip interface brief
Interface IP-Address Status VRF ---------------------------------------------------------------- isp 172.16.1.2/28 up default
- Проверить, назначенный маршрут по умолчанию:
show ip route static
IP Route Table for VRF "default"
Gateway of last resort is 172.16.1.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.1.1, isp
- Настройка остальных интерфейсов для маршрутизации между VLAN рассматривается в части задания “#4. Настройте коммутацию в сегменте HQ следующим образом”
[!IMPORTANT] см. подробнее: - [[1]] - [[2]] - [Instance]
HQ-SRV:
- Посмотреть наименование физического интерфейса (порта) можно при помощи следующей команды:
ip -c -br a lo UNKNOWN 127.0.0.1/8 ::1/128 ens19 UP fe80::be24:11ff:fef1:8d70/64 где: - ens19 - имя локального интерфейса
- Настраиваем IPv4 адресацию:
echo "TYPE=eth" > /etc/net/ifaces/ens19/options echo "10.10.100.2/27" > /etc/net/ifaces/ens19/ipv4address echo "default via 10.10.100.1" > /etc/net/ifaces/ens19/ipv4route echo "search handyman.fantasy" > /etc/net/ifaces/ens19/resolv.conf echo "nameserver 77.88.8.8" >> /etc/net/ifaces/ens19/resolv.conf systemctl restart network
- Проверить настройки IPv4 адресации:
ip -c -br -4 a lo UNKNOWN 127.0.0.1/8 ens19 UP 10.10.100.2/27 ip -c r default via 10.10.100.1 dev ens19 10.10.100.0/27 dev ens19 proto kernel scope link src 10.10.100.2 cat /etc/resolv.conf
- Generated by resolvconf
- Do not edit manually, use
- /etc/net/ifaces//resolv.conf instead.
search handyman.fantasy nameserver 77.88.8.8
[!IMPORTANT] см. подробнее: - Подсказки пользователю /etc/net - Etcnet start
HQ-CLI:
- Все необходимые сетевые параметры будут получены в автоматическом режиме после реализации задания “#9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI”
BR-RTR:
Посмотреть физические порты можно при помощи следующей команды:
show port brief
-------------------------------------------------------------------------- te0 UP UP * 05h:16m:16s ago te1 UP UP * 05h:16m:16s ago
где: - te0 - порт в сторону ISP - te1 - порт в сторону BR-FW
- Создаём интерфейс с именем isp (произвольное имя) и назначаем на него IP-адрес согласно заполненной таблице адресации:
interface isp description "ISP" ip address 172.16.2.2/28 exit
- Также, зададим сразу маршрут по умолчанию, указав в качестве шлюза по умолчанию IP-адрес ISP:
ip route 0.0.0.0/0 172.16.2.1
- В режиме конфигурирования порта создадим service-instance с произвольным именем, затем:
- укажем (инкапсулировать) что будет обрабатываться не тегированный трафик (untagget)
- укажем в какой интерфейс (ранее созданный с именем isp) нужно отправить обработанные кадры
port te0 service-instance te0/isp encapsulation untagged connect ip interface isp exit exit
- Создадим интерфейс в сторону br-fw, назначим на него IP-адрес согласно заполненной таблице адресации, зайдём на порт te1 и выполним аналогичные действия как для порта te0:
interface br-fw description "BR-FW" ip address 10.100.100.1/30 exit
port te1 service-instance te1/br-fw encapsulation untagged connect ip interface br-fw exit exit
write memory
- Проверить, назначенные IP-адреса на интерфейсы:
show ip interface brief
---------------------------------------------------------------- isp 172.16.2.2/28 up default br-fw 10.100.100.1/30 up default
- Проверить, назначенный маршрут по умолчанию:
show ip route static
Gateway of last resort is 172.16.2.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.2.1, isp
BR-FW:
- Создаём Ethernet-интерфейс, на основе порта в сторону локальной сети офиса BR, с именем mgmt и задаём IP-адрес из произвольной сети:
[[File:./img/01.png|frame|none|alt=|caption img]]
[[File:./img/02.png|frame|none|alt=|caption img]]
[[File:./img/03.png|frame|none|alt=|caption img]]
[[File:./img/04.png|frame|none|alt=|caption img]]
[!IMPORTANT] см. подробнее: - Настройка интерфейса управления
BR-CLI:
- Назначаем IPv4-адрес из той же сети что и BR-FW:
[[File:./img/05.png|frame|none|alt=|caption img]]
- Переходим в веб-интерфейс управления BR-FW, обращаясь по
[[File:./img/06.png|frame|none|alt=|caption img]]
- Выполняем вход и назначаем имя на устройство в формате FQDN:
[[File:./img/07.png|frame|none|alt=|caption img]]
- Создаём VLAN интерфейс на основе физического и указываем произвольный номер VID, а также назначаем IPv4-адрес в сторону BR-CLI:
[[File:./img/08.png|frame|none|alt=|caption img]]
[[File:./img/09.png|frame|none|alt=|caption img]]
- Аналогичным образом создаём VLAN интерфейс для BR-SRV, ожидаемый результат:
[[File:./img/10.png|frame|none|alt=|caption img]]
- Создаём Ethernet интерфейс на основе физического порта в сторону BR-RTR и назначаем IPv4-адрес в сторону BR-RTR:
[[File:./img/11.png|frame|none|alt=|caption img]]
[[File:./img/12.png|frame|none|alt=|caption img]]
- Результат:
[[File:./img/13.png|frame|none|alt=|caption img]]
- Укажем маршрут по умолчанию, в качестве шлюза указываем BR-RTR:
[[File:./img/14.png|frame|none|alt=|caption img]]
[[File:./img/15.png|frame|none|alt=|caption img]]
- Результат:
[[File:./img/16.png|frame|none|alt=|caption img]]
- Проверить связность с BR-RTR:
[[File:./img/17.png|frame|none|alt=|caption img]]
[!IMPORTANT] см. подробнее: - Сетевые интерфейсы - Интерфейсы
BR-SRV:
- Посмотреть наименование физического интерфейса (порта) можно при помощи следующей команды:
ip -c -br a lo UNKNOWN 127.0.0.1/8 ::1/128 ens19 UP fe80::be24:11ff:fef8:8234/64 где: - ens19 - имя локального интерфейса
- Настраиваем IPv4 адресацию:
echo "TYPE=eth" > /etc/net/ifaces/ens19/options echo "10.20.20.2/28" > /etc/net/ifaces/ens19/ipv4address echo "default via 10.20.20.1" > /etc/net/ifaces/ens19/ipv4route echo "search handyman.fantasy" > /etc/net/ifaces/ens19/resolv.conf echo "nameserver 77.88.8.8" >> /etc/net/ifaces/ens19/resolv.conf systemctl restart network
- Проверить настройки IPv4 адресации:
ip -c -br -4 a [root@br-srv ~]# ip -c -br -4 a lo UNKNOWN 127.0.0.1/8 ens19 UP 10.20.20.2/28 ip -c r [root@br-srv ~]# ip -c r default via 10.20.20.1 dev ens19 10.20.20.0/28 dev ens19 proto kernel scope link src 10.20.20.2 cat /etc/resolv.conf
- Generated by resolvconf
- Do not edit manually, use
- /etc/net/ifaces//resolv.conf instead.
search handyman.fantasy nameserver 77.88.8.8
- Необходимо указать VID тег на сетевом интерфейсе в настройках данной виртуальной машины (выключать не обязательно ВМ):
[[File:./img/18.png|frame|none|alt=|caption img]]
- Проверить доступность до BR-FW:
ping -c3 10.20.20.1 PING 10.20.20.1 (10.20.20.1) 56(84) bytes of data. 64 bytes from 10.20.20.1: icmp_seq=1 ttl=64 time=0.694 ms 64 bytes from 10.20.20.1: icmp_seq=2 ttl=64 time=0.620 ms 64 bytes from 10.20.20.1: icmp_seq=3 ttl=64 time=0.606 ms
--- 10.20.20.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 0.606/0.640/0.694/0.038 ms
BR-CLI:
- Настраиваем IPv4 адресацию:
[[File:./img/19.png|frame|none|alt=|caption img]]
- Необходимо указать VID тег на сетевом интерфейсе в настройках данной виртуальной машины (выключать не обязательно ВМ):
[[File:./img/20.png|frame|none|alt=|caption img]]
- Проверить доступность до BR-FW:
ping -c3 10.20.30.1 PING 10.20.30.1 (10.20.30.1) 56(84) bytes of data. 64 bytes from 10.20.30.1: icmp_seq=1 ttl=64 time=1.02 ms 64 bytes from 10.20.30.1: icmp_seq=2 ttl=64 time=0.674 ms 64 bytes from 10.20.30.1: icmp_seq=3 ttl=64 time=0.520 ms
--- 10.20.30.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2017ms rtt min/avg/max/mdev = 0.520/0.738/1.022/0.209 ms
2. Настройте доступ к сети Интернет, на маршрутизаторе ISP
• Настройте адресацию на интерфейсах:
• Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP
ISP:
- Посмотреть наименование физического интерфейса (порта) можно при помощи следующей команды:
ip -c -br a lo UNKNOWN 127.0.0.1/8 ::1/128 ens19 UP 192.168.15.173/24 fe80::be24:11ff:fe3c:c5eb/64 ens20 DOWN ens21 DOWN где: - ens19 - имя интерфейса в сторону магистрального провайдера - ens20 - имя интерфейса в сторону HQ - ens21 - имя интерфейса в сторону BR
- Настраиваем интерфейс ens19 на получение адреса по DHCP (хотя в данном примере уже и так это реализовано):
echo "TYPE=eth" > /etc/net/ifaces/ens19/options echo "BOOTPROTO=dhcp" >> /etc/net/ifaces/ens19/options systemctl restart network
- Проверить:
ip -c -br -4 a lo UNKNOWN 127.0.0.1/8 ens19 UP 192.168.15.173/24
- Проверить доступ в сеть Интернет:
ping -c3 ya.ru PING ya.ru (213.180.193.56) 56(84) bytes of data. 64 bytes from familysearch.yandex.ru (213.180.193.56): icmp_seq=1 ttl=56 time=23.3 ms 64 bytes from familysearch.yandex.ru (213.180.193.56): icmp_seq=2 ttl=56 time=23.3 ms 64 bytes from familysearch.yandex.ru (213.180.193.56): icmp_seq=3 ttl=56 time=24.4 ms
--- ya.ru ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 23.269/23.645/24.383/0.521 ms
• Настройте интерфейс, в сторону HQ-RTR, интерфейс подключен к сети 172.16.1.0/28
ISP:
mkdir /etc/net/ifaces/ens20 echo "TYPE=eth" > /etc/net/ifaces/ens20/options echo "172.16.1.1/28" > /etc/net/ifaces/ens20/ipv4address systemctl restart network
- Проверить:
ip -c -br -4 a lo UNKNOWN 127.0.0.1/8 ens19 UP 192.168.15.173/24 ens20 UP 172.16.1.1/28
• Настройте интерфейс, в сторону BR-RTR, интерфейс подключен к сети 172.16.2.0/28
ISP:
mkdir /etc/net/ifaces/ens21 echo "TYPE=eth" > /etc/net/ifaces/ens21/options echo "172.16.2.1/28" > /etc/net/ifaces/ens21/ipv4address systemctl restart network
- Проверить:
ip -c -br -4 a lo UNKNOWN 127.0.0.1/8 ens19 UP 192.168.15.173/24 ens20 UP 172.16.1.1/28 ens21 UP 172.16.2.1/28
• На ISP настройте динамическую сетевую трансляцию портов для доступа к сети Интернет HQ-RTR и BR-RTR
ISP:
- Включаем пересылку пакетов (forwarding) и настраивает NAT:
sed -i "s/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g" /etc/net/sysctl.conf iptables -t nat -A POSTROUTING -s 172.16.1.0/28 -o ens19 -j MASQUERADE iptables -t nat -A POSTROUTING -s 172.16.2.0/28 -o ens19 -j MASQUERADE iptables-save >> /etc/sysconfig/iptables systemctl enable --now iptables systemctl restart network
- Проверить forwarding:
sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
- Проверить правила iptables для NAT:
iptables -t nat -L -n -v Chain PREROUTING (policy ACCEPT 20 packets, 4364 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 18 packets, 3960 bytes)
pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- * ens19 172.16.1.0/28 0.0.0.0/0 0 0 MASQUERADE all -- * ens19 172.16.2.0/28 0.0.0.0/0
- Проверить доступ в сеть Интернет с HQ-RTR:
ping 77.88.8.8 PING 77.88.8.8 (77.88.8.8) 56(84) bytes of data. 64 bytes from 77.88.8.8: icmp_seq=1 ttl=55 time=81.9 ms 64 bytes from 77.88.8.8: icmp_seq=2 ttl=55 time=89.5 ms 64 bytes from 77.88.8.8: icmp_seq=3 ttl=55 time=81.5 ms
--- 77.88.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2000ms rtt min/avg/max/mdev = 81.521/84.285/89.482/3.677 ms
- Проверить доступ в сеть Интернет с BR-RTR:
ping 77.88.8.8 PING 77.88.8.8 (77.88.8.8) 56(84) bytes of data. 64 bytes from 77.88.8.8: icmp_seq=1 ttl=55 time=65.4 ms 64 bytes from 77.88.8.8: icmp_seq=2 ttl=55 time=64.9 ms 64 bytes from 77.88.8.8: icmp_seq=3 ttl=55 time=63.5 ms
--- 77.88.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 63.466/64.598/65.388/0.821 ms
[!IMPORTANT] см. подробнее: - Конфигурирование файрвола при помощи iptables
3. Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV
• Создайте пользователя sshuser, • Идентификатор пользователя 2026
HQ-SRV:
useradd -u 2026 sshuser
- Проверить:
id sshuser -u 2026
BR-SRV:
useradd -u 2026 sshuser
- Проверить:
id sshuser -u 2026
• Пароль пользователя sshuser с паролем P@ssw0rd
HQ-SRV:
passwd sshuser ... Enter new password: Weak password: based on a dictionary word and not a passphrase. Re-type new password: passwd: all authentication tokens updated successfully.
BR-SRV:
passwd sshuser ... Enter new password: Weak password: based on a dictionary word and not a passphrase. Re-type new password: passwd: all authentication tokens updated successfully.
[!IMPORTANT] см. подробнее: - [пользователями]
• Пользователь sshuser должен иметь возможность запускать sudo без ввода пароля
HQ-SRV:
usermod -aG wheel sshuser echo "sshuser ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/sshuser
- Проверить, выполнить вход из под пользователя sshuser и использовать команду sudo:
su - sshuser sudo -i [root@hq-srv ~]# su - sshuser [sshuser@hq-srv ~]$ sudo -i [root@hq-srv ~]#
[!IMPORTANT] см. подробнее: - Особенности sudo в дистрибутивах ALT Linux
BR-SRV:
usermod -aG wheel sshuser echo "sshuser ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/sshuser
- Проверить, выполнить вход из под пользователя sshuser и использовать команду sudo:
su - sshuser sudo -i [root@br-srv ~]# su - sshuser [sshuser@br-srv ~]$ sudo -i [root@br-srv ~]#
• Создайте пользователя net_admin на маршрутизаторах HQ-RTR и BR- RTR, • Пароль пользователя net_admin с паролем P@ssw0rd
HQ-RTR:
username net_admin password P@ssw0rd exit write memory
- Проверить, возможность входа из-под пользователя net_admin с паролем P@ssw0rd:
hq-rtr login: net_admin Password:
User Access Verification
EcoRouterOS version Rose 14/01/2026 01:17:02
hq-rtr>
[!IMPORTANT] см. подробнее: - [учётных записей пользователей] ##### BR-RTR:
username net_admin
password P@ssw0rd
exit
write memory
- Проверить, возможность входа из-под пользователя net_admin с паролем P@ssw0rd:
br-rtr login: net_admin Password:
User Access Verification
EcoRouterOS version Rose 14/01/2026 01:17:02
br-rtr>
4. Настройте коммутацию в сегменте HQ следующим образом
• Трафик HQ-SRV должен принадлежать VLAN 100
- Необходимо указать VID тег на сетевом интерфейсе в настройках данной виртуальной машины (выключать не обязательно ВМ):
[[File:./img/21.png|frame|none|alt=|caption img]]
• Трафик HQ-CLI должен принадлежать VLAN 200
- Необходимо указать VID тег на сетевом интерфейсе в настройках данной виртуальной машины (выключать не обязательно ВМ):
[[File:./img/22.png|frame|none|alt=|caption img]]
• ЕСЛИ HQ-SW СВИТЧ
systemctl enable –-now openvswitch systemctl restart network Потом посмотреть куда смотрят интерфейсы по MAC адресам
ovs-vsctl add-br SW ovs-vsctl add-port SW ens3 trunk=100,200,999 ovs-vsctl add-port SW ens4 tag=100 ovs-vsctl add-port SW ens5 tag=200 ovs-vsctl show
• Реализовать на HQ-RTR маршрутизацию трафика всех указанных VLAN с использованием одного сетевого адаптера ВМ/физического порта
HQ-RTR:
- Создаём интерфейсы для всех VLAN и задаём адреса согласно таблице адресации:
interface vl100 description "VLAN 100" ip address 10.10.100.1/27 exit
interface vl200 description "VLAN 200" ip address 10.10.200.1/28 exit
interface vl999 description "VLAN 999" ip address 10.10.30.1/29 exit
- На базе физического интерфейса te1 для каждого VLAN-а создаём service-instance с инкапсуляцией соответствующих тегов (VID) и подключением необходимых интерфейсов:
port te1 service-instance te1/vl100 encapsulation dot1q 100 exact rewrite pop 1 connect ip interface vl100 exit
service-instance te1/vl200 encapsulation dot1q 200 exact rewrite pop 1 connect ip interface vl200 exit
service-instance te1/vl999 encapsulation dot1q 999 exact rewrite pop 1 connect ip interface vl999 exit
exit write memory
- Проверить, назначенные IP-адреса на интерфейсы:
show ip interface brief
Interface IP-Address Status VRF ---------------------------------------------------------------- isp 172.16.1.2/28 up default vl100 10.10.100.1/27 up default vl200 10.10.200.1/28 up default vl999 10.10.30.1/29 up default
- Проверить доступность HQ-RTR с HQ-SRV:
ping -c3 10.10.100.1 PING 10.10.100.1 (10.10.100.1) 56(84) bytes of data. 64 bytes from 10.10.100.1: icmp_seq=1 ttl=64 time=26.0 ms 64 bytes from 10.10.100.1: icmp_seq=2 ttl=64 time=17.4 ms 64 bytes from 10.10.100.1: icmp_seq=3 ttl=64 time=16.2 ms
--- 10.10.100.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 16.165/19.865/26.014/4.377 ms
[!IMPORTANT] см. подробнее: - [над метками в сервисных интерфейсах]
5. Настройте безопасный удаленный доступ на серверах HQ-SRV и BR- SRV
• Ограничьте количество попыток входа до двух
HQ-SRV:
echo "MaxAuthTries 2" >> /etc/openssh/sshd_config systemctl restart sshd
- Проверить:
ssh sshuser@127.0.0.1 The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. ED25519 key fingerprint is SHA256:C25biQGtEn1v9yJEHME9uVyWoRSOuNCtAl6+4gP+hF0. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '127.0.0.1' (ED25519) to the list of known hosts. sshuser@127.0.0.1's password: ssh: Permission denied, please try again. sshuser@127.0.0.1's password: ssh: Received disconnect from 127.0.0.1 port 22:2: Too many authentication failures Disconnected from 127.0.0.1 port 22
[!IMPORTANT] см. подробнее: - Создание и настройка входа через ssh
BR-SRV:
echo "MaxAuthTries 2" >> /etc/openssh/sshd_config systemctl restart sshd
- Проверить:
ssh sshuser@127.0.0.1 The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. ED25519 key fingerprint is SHA256:C25biQGtEn1v9yJEHME9uVyWoRSOuNCtAl6+4gP+hF0. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '127.0.0.1' (ED25519) to the list of known hosts. sshuser@127.0.0.1's password: ssh: Permission denied, please try again. sshuser@127.0.0.1's password: ssh: Received disconnect from 127.0.0.1 port 22:2: Too many authentication failures Disconnected from 127.0.0.1 port 22
• Настройте баннер «Authorized access only»
HQ-SRV:
echo "Banner /etc/openssh/banner" >> /etc/openssh/sshd_config echo "Authorized access only" > /etc/openssh/banner systemctl restart sshd
- Проверить:
ssh sshuser@127.0.0.1 Authorized access only sshuser@127.0.0.1's password:
BR-SRV:
echo "Banner /etc/openssh/banner" >> /etc/openssh/sshd_config echo "Authorized access only" > /etc/openssh/banner systemctl restart sshd
- Проверить:
ssh sshuser@127.0.0.1 Authorized access only sshuser@127.0.0.1's password:
6. Между офисами HQ и BR, на маршрутизаторах HQ-RTR и BR-RTR необходимо сконфигурировать туннель
• На выбор технологии GRE, • В качестве сетевого диапазона используйте сеть 10.10.10.0/24, • Для туннеля используйте минимально возможную маску
HQ-RTR:
interface tunnel.0 description "GRE" ip address 10.10.10.1/30 ip tunnel 172.16.1.2 172.16.2.2 mode gre exit write memory
- Проверить:
show interface tunnel.0
Interface tunnel.0 is up Description: "GRE" Snmp index: 9 Ethernet address: (port not configured) MTU: 1476 Tunnel source: 172.16.1.2 Tunnel destination: 172.16.2.2 Tunnel mode: GRE Tunnel keepalive: disabled NAT: no ARP Proxy: disable ICMP redirects on, unreachables on, ttl-exceeded on IP URPF is disabled Label switching is disabled inet 10.10.10.1/30 broadcast 10.10.10.3/30 Link-local address is fe80::bafa:72ff:fead:a539/64 total input packets 0, bytes 0 total output packets 0, bytes 0
[!IMPORTANT] см. подробнее: - [[3]] #### BR-RTR:
interface tunnel.0
description "GRE"
ip address 10.10.10.2/30
ip tunnel 172.16.2.2 172.16.1.2 mode gre
exit
write memory
- Проверить:
show interface tunnel.0
Interface tunnel.0 is up Description: "GRE" Snmp index: 7 Ethernet address: (port not configured) MTU: 1476 Tunnel source: 172.16.2.2 Tunnel destination: 172.16.1.2 Tunnel mode: GRE Tunnel keepalive: disabled NAT: no ARP Proxy: disable ICMP redirects on, unreachables on, ttl-exceeded on IP URPF is disabled Label switching is disabled inet 10.10.10.2/30 broadcast 10.10.10.3/30 Link-local address is fe80::e231:ccff:fed9:692a/64 total input packets 0, bytes 0 total output packets 0, bytes 0
- Проверить, связность по туннелю:
ping 10.10.10.1 PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data. 64 bytes from 10.10.10.1: icmp_seq=1 ttl=64 time=27.0 ms 64 bytes from 10.10.10.1: icmp_seq=2 ttl=64 time=26.1 ms 64 bytes from 10.10.10.1: icmp_seq=3 ttl=64 time=24.7 ms
--- 10.10.10.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 24.702/25.933/26.990/0.942 ms
7. Обеспечьте динамическую маршрутизацию на маршрутизаторах HQ- RTR и BR-RTR и межсетевом экране BR-FW
Предварительно необходимо получить лицензию на BR-FW:
[[File:./img/23.png|frame|none|alt=|caption img]]
• Разрешите выбранный протокол только на интерфейсах туннеля, • Используйте OSPF для маршрутизации, • Маршрутизаторы должны делиться маршрутами только друг с другом, • Используйте аутентификацию в OSPF, • В качестве пароля используйте P@ssw0rd, • Пароль должен передаваться с использованием хешированного ключа MD5
HQ-RTR:
router ospf 1 ospf router-id 10.10.10.1 passive-interface default no passive-interface tunnel.0 network 10.10.10.0/30 area 0 network 10.10.100.0/27 area 0 network 10.10.200.0/28 area 0 network 10.10.30.0/29 area 0 exit
interface tunnel.0 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 P@ssw0rd exit
write memory
- Проверить:
show run ospf ! ! router ospf 1
ospf router-id 10.10.10.1 passive-interface default no passive-interface tunnel.0 network 10.10.10.0/30 area 0 network 10.10.30.0/29 area 0 network 10.10.100.0/27 area 0 network 10.10.200.0/28 area 0
! interface tunnel.0
ip ospf authentication message-digest ip ospf message-digest-key 1 md5 0xeb5442f9b26607db
! show ip ospf interface tunnel.0 ...
Message-digest authentication, using key-id 1
show ip ospf interface vl100 is up, line protocol is up ...
No Hellos (Passive interface)
... vl200 is up, line protocol is up ...
No Hellos (Passive interface)
... vl999 is up, line protocol is up ...
No Hellos (Passive interface)
...
[!IMPORTANT] см. подробнее: - [OSPF] - [настройки] #### BR-RTR:
router ospf 1
ospf router-id 10.10.10.2
passive-interface default
no passive-interface tunnel.0
no passive-interface br-fw
network 10.100.100.0/30 area 0
network 10.10.10.0/30 area 0
exit
interface tunnel.0 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 P@ssw0rd exit
interface br-fw ip ospf authentication message-digest ip ospf message-digest-key 1 md5 P@ssw0rd exit
write memory
- Проверить:
show run ospf ! ! router ospf 1
ospf router-id 10.10.10.2 passive-interface default no passive-interface tunnel.0 no passive-interface br-fw network 10.10.10.0/30 area 0 network 10.100.100.0/30 area 0
! interface tunnel.0
ip ospf authentication message-digest ip ospf message-digest-key 1 md5 0xeb5442f9b26607db
! interface br-fw
ip ospf authentication message-digest ip ospf message-digest-key 1 md5 0xeb5442f9b26607db
! show ip ospf interface br-fw is up, line protocol is up ...
Message-digest authentication, using key-id 1
tunnel.0 is up, line protocol is up ...
Message-digest authentication, using key-id 1
BR-FW:
[[File:./img/24.png|frame|none|alt=|caption img]]
[[File:./img/25.png|frame|none|alt=|caption img]]
[[File:./img/26.png|frame|none|alt=|caption img]]
- Проверить:
[[File:./img/27.png|frame|none|alt=|caption img]]
- Проверить связность между устройствами офисов, например с BR-CLI до HQ-SRV:
ping -c3 10.10.100.2 PING 10.10.100.2 (10.10.100.2) 56(84) bytes of data. 64 bytes from 10.10.100.2: icmp_seq=1 ttl=61 time=69.9 ms 64 bytes from 10.10.100.2: icmp_seq=2 ttl=61 time=70.0 ms 64 bytes from 10.10.100.2: icmp_seq=3 ttl=61 time=69.4 ms
--- 10.10.100.2 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2001ms rtt min/avg/max/mdev = 69.417/69.754/69.978/0.242 ms
[!IMPORTANT] см. подробнее: - OSPF
8. Настройка динамической трансляции адресов маршрутизаторах HQ- RTR и BR-RTR
• Настройте динамическую трансляцию адресов для обоих офисов в сторону ISP, все устройства в офисах должны иметь доступ к сети Интернет
HQ-RTR:
interface isp ip nat outside exit
interface vl100 ip nat inside exit interface vl200 ip nat inside exit interface vl999 ip nat inside exit
ip nat pool VLAN100 10.10.100.1-10.10.100.30 ip nat pool VLAN200 10.10.200.1-10.10.200.14 ip nat pool VLAN999 10.10.30.1-10.10.30.6
ip nat source dynamic inside-to-outside pool VLAN100 overload interface isp ip nat source dynamic inside-to-outside pool VLAN200 overload interface isp ip nat source dynamic inside-to-outside pool VLAN999 overload interface isp
write memory
- Проверить, доступ в сеть Интернет с HQ-SRV:
ping -c3 77.88.8.8 PING 77.88.8.8 (77.88.8.8) 56(84) bytes of data. 64 bytes from 77.88.8.8: icmp_seq=1 ttl=54 time=84.2 ms 64 bytes from 77.88.8.8: icmp_seq=2 ttl=54 time=81.8 ms 64 bytes from 77.88.8.8: icmp_seq=3 ttl=54 time=80.2 ms
--- 77.88.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 80.188/82.071/84.206/1.649 ms
- Проверить, таблицу трансляции адресов на HQ-RTR:
show ip nat translations ...
PAT translations:
Source Translated Destination
Time: 37s, Protocol: ICMP, VRF: default
IN: 10.10.100.2 172.16.1.2 77.88.8.8
OUT: 77.88.8.8 10.10.100.2 172.16.1.2
...
[!IMPORTANT] см. подробнее: - [port forwarding]
BR-RTR:
interface isp ip nat outside exit
interface br-fw ip nat inside exit
ip nat pool VLAN10 10.20.20.1-10.20.20.14 ip nat pool VLAN20 10.20.30.1-10.20.30.6 ip nat pool RTR-FW 10.100.100.1-10.100.100.2
ip nat source dynamic inside-to-outside pool VLAN10 overload interface isp ip nat source dynamic inside-to-outside pool VLAN20 overload interface isp ip nat source dynamic inside-to-outside pool RTR-FW overload interface isp
write memory
- Проверить, доступ в сеть Интернет с BR-CLI:
ping -c3 77.88.8.8 PING 77.88.8.8 (77.88.8.8) 56(84) bytes of data. 64 bytes from 77.88.8.8: icmp_seq=1 ttl=53 time=37.0 ms 64 bytes from 77.88.8.8: icmp_seq=2 ttl=53 time=90.5 ms 64 bytes from 77.88.8.8: icmp_seq=3 ttl=53 time=35.6 ms
--- 77.88.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 35.569/54.368/90.533/25.578
- Проверить, таблицу трансляции адресов на BR-RTR:
show ip nat translations ...
PAT translations:
Source Translated Destination
Time: 25s, Protocol: UDP, VRF: default
IN: 10.20.30.2:58932 172.16.2.2:1754 91.188.214.68:123
OUT: 91.188.214.68:123 10.20.30.2:58932 172.16.2.2:1754
...
9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI
• Настройте нужную подсеть, • В качестве сервера DHCP выступает маршрутизатор HQ-RTR, • Исключите из выдачи адрес маршрутизатора, • Адрес шлюза по умолчанию – адрес маршрутизатора HQ-RTR, • Адрес DNS-сервера для машины HQ-CLI – адрес сервера HQ-SRV, • DNS-суффикс – handyman.fantasy
HQ-RTR:
ip pool VLAN200 range 10.10.200.2-10.10.200.14 exit exit
dhcp-server 1 pool VLAN200 1 mask 28 gateway 10.10.200.1 dns 10.10.100.2 domain-name handyman.fantasy exit exit
interface vl200 dhcp-server 1 exit
write memory
HQ-CLI:
[[File:./img/28.png|frame|none|alt=|caption img]]
- Проверить, выдачу на HQ-RTR:
show dhcp-server clients vl200
Total DHCP clients count: 1 Client Client Server Server IP Address MAC Address ACK Time Lease Time ---------------------------------------------------- 10.10.200.2 bc24.113f.f775 116 86400
[!IMPORTANT] см. подробнее: - [Host Configuration Protocol] - [DHCP-сервера]
10. Настройте инфраструктуру разрешения доменных имён для офисов HQ и BR
• Основной DNS-сервер реализован на HQ-SRV, • Сервер должен обеспечивать разрешение имён в сетевые адреса устройств и обратно в соответствии с таблицей 3, • В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер (77.88.8.7, 77.88.8.3 или другие)
HQ-SRV:
apt-get update && apt-get install -y dnsmasq
- cat < /etc/dnsmasq.conf
- no-hosts
- server=77.88.8.8
- cache-size=1000
- all-servers
- no-negcache
- interface=*
- host-record=hq-rtr.handyman.fantasy,10.10.100.1
- host-record=hq-rtr.handyman.fantasy,10.10.200.1
- host-record=hq-rtr.handyman.fantasy,10.10.30.1
- host-record=hq-srv.handyman.fantasy,10.10.100.2
- host-record=hq-cli.handyman.fantasy,10.10.200.2
- address=/br-rtr.handyman.fantasy/10.100.100.1
- address=/br-fw.handyman.fantasy/10.100.100.2
- address=/br-fw.handyman.fantasy/10.10.20.1
- address=/br-fw.handyman.fantasy/10.10.30.1
- address=/br-srv.handyman.fantasy/10.20.20.2
- address=/br-cli.handyman.fantasy/10.20.30.2
- address=/docker.handyman.fantasy/172.16.1.1
- address=/web.handyman.fantasy/172.16.2.1
EOF systemctl enable --now dnsmasq
[!IMPORTANT] см. подробнее: - [DNS] - Установка и примеры настройки Dnsmasq
11. Настройте часовой пояс
• Настройте часовой пояс регион Москва на всех устройствах
HQ-RTR:
ntp timezone utc+3 write memory
- Проверить:
show ntp timezone System Time zone: Europe/Moscow [!IMPORTANT] >см. подробнее: >- [[4]] >- [настройка]
BR-RTR:
ntp timezone utc+3 write memory
- Проверить:
show ntp timezone System Time zone: Europe/Moscow