7 подписчиков

Настройка топологии для DEMO2022

19 апреля 202219 апр 2022

555

19 мин

Оглавление

Образец задания
Виртуальные машины и коммутация.
Таблица 1. Характеристики ВМ

Тема: IT технологии

Образец задания

Образец задания для демонстрационного экзамена по комплекту оценочной документации. (В конце источник с дополнительными материалами)

Вариант 1-0 (публичный)

Виртуальные машины и коммутация.

Необходимо выполнить создание и базовую конфигурацию виртуальных машин.

На основе предоставленных ВМ или шаблонов ВМ создайте отсутствующие виртуальные машины в соответствии со схемой.Характеристики ВМ установите в соответствии с Таблицей 1;
Коммутацию (если таковая не выполнена) выполните в соответствии со схемой сети.
Имена хостов в созданных ВМ должны быть установлены в соответствии со схемой.
Адресация должна быть выполнена в соответствии с Таблицей 1;
Обеспечьте ВМ дополнительными дисками, если таковое необходимо в соответствии с Таблицей 1;

Таблица 1. Характеристики ВМ

1. На основе предоставленных ВМ или шаблонов ВМ создайте отсутствующие виртуальные машины в соответствии со схемой.

Убедитесь что все ВМ созданы в соотведствии со схемой

2. Имена хостов в созданных ВМ должны быть установлены в соответствии со схемой.

3. Адресация должна быть выполнена в соответствии с Таблицей 1;

4. Обеспечьте ВМ дополнительными дисками, если таковое необходимо в соответствии с Таблицей 1;

Сетевая связность.

В рамках данного модуля требуется обеспечить сетевую связность между регионами работы приложения, а также обеспечить выход ВМ в имитируемую сеть “Интернет”

Сети, подключенные к ISP, считаются внешними:Запрещено прямое попадание трафика из внутренних сетей во внешние и наоборот;
Платформы контроля трафика, установленные на границах регионов, должны выполнять трансляцию трафика, идущего из соответствующих внутренних сетей во внешние сети стенда и в сеть Интернет.Трансляция исходящих адресов производится в адрес платформы,расположенный во внешней сети.
Между платформами должен быть установлен защищенный туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов.
Трафик, проходящий по данному туннелю, должен быть защищен:Платформа ISP не должна иметь возможности просматривать содержимое пакетов, идущих из одной внутренней сети в другую.

Туннель должен позволять защищенное взаимодействие между платформами управления трафиком по их внутренним адресамВзаимодействие по внешним адресам должно происходит без применения туннеля и шифрования
Трафик, идущий по туннелю между регионами по внутренним адресам, не должен транслироваться.
Платформа управления трафиком RTR-L выполняет контроль входящего трафика согласно следующим правилам:
Разрешаются подключения к портам DNS, HTTP и HTTPS для всех клиентов;Порты необходимо для работы настраиваемых служб

Разрешается работа выбранного протокола организации защищенной связи;Разрешение портов должно быть выполнено по принципу “необходимо и достаточно”
Разрешается работа протоколов ICMP;
Разрешается работа протокола SSH;
Прочие подключения запрещены;
Для обращений в платформам со стороны хостов, находящихся внутри регионов, ограничений быть не должно;
Платформа управления трафиком RTR-R выполняет контроль входящего трафика согласно следующим правилам:
Разрешаются подключения к портам HTTP и HTTPS для всех клиентов;Порты необходимо для работы настраиваемых служб

Разрешается работа выбранного протокола организации защищенной связи;Разрешение портов должно быть выполнено по принципу необходимо и достаточно”
Разрешается работа протоколов ICMP;
Разрешается работа протокола SSH;
Прочие подключения запрещены;
Для обращений в платформам со стороны хостов, находящихся внутри регионов, ограничений быть не должно;
Обеспечьте настройку служб SSH региона Left и Right:Подключения со стороны внешних сетей по протоколу к платформе управления трафиком RTR-L на порт 2222 должны быть перенаправлены на ВМ Web-L;
Подключения со стороны внешних сетей по протоколу к платформе управления трафиком RTR-R на порт 2244 должны быть перенаправлены на ВМ Web-R;

0.1. Адресация:

-CLI (Выключите файрвол всё равно он нам не нужен)
ip 3.3.3.(число от 2 до 10)
маска 24
гэтэвээй 3.3.3.1

-ISP
nano /etc/network/interfaces

auto ens256
iface ens256 inet static
address 3.3.3.1
netmask 255.255.255.0

auto ens224
iface ens224 inet static
address 5.5.5.1
netmask 255.255.255.0

auto ens192
iface ens192 inet static
address 4.4.4.1
netmask 255.255.255.0

ctrl + x потом Y и ентер

systemctl restart networking перезагрузка сетевых настроек

ip a чекунть айпи и интерфейсы

-RTR L

en
conf t
int g1
ip address 4.4.4.100 255.255.255.0
no sh
int g2
ip address 192.168.100.254 255.255.255.0
no sh

-RTR R

en
conf t
int g1
ip address 5.5.5.100 255.255.255.0
no sh
int g2
ip address 172.16.100.254 255.255.255.0
no sh

-WEB L

nano /etc/network/interfaces

auto ens192
iface ens192 inet static
address 192.168.100.100
netmask 255.255.255.0
gateway 192.168.100.254

systemctl restart networking

-WEB R

nano /etc/network/interfaces

auto ens192
iface ens192 inet static
address 172.16.100.100
netmask 255.255.255.0
gateway 172.16.100.254

systemctl restart networking

-SRV

ip 192.168.100.200/24
gateway 192.168.100.254

На устройствах с debian можно использовать графический интерфейс для адресации и задать hostname устройству.(команды ниже)

apt-cdrom add

apt install -y network-manager

nmtui

ЭТО ПРИМЕР НЕ НАДО СПИСЫВАТЬ С ЭТОГО СКРИНШОТА

Вместо Automatic нужно поставить Manual и нажать Show

Маску пишем через слэш после апичника если не напишите то поставится рандомная.

DNS server на всех устройствах - int.demo.wsr

Search domains - 192.168.100.200 (IP сервера)

1. Сети, подключенные к ISP, считаются внешними:

ISP forward

nano /etc/sysctl.conf

net.ipv4.ip_forward=1 /пересылка трафика между интерфейсами

sysctl -p

RTR-L Gitw

ip route 0.0.0.0 0.0.0.0 4.4.4.1

RTR-R gitw

ip route 0.0.0.0 0.0.0.0 5.5.5.1

2. Платформы контроля трафика, установленные на границах регионов, должны выполнять трансляцию трафика, идущего из соответствующих внутренних сетей во внешние сети стенда и в сеть Интернет.

RTR-L NAT

на внутр. интерфейсе - ip nat inside

на внешн. интерфейсе - ip nat outside

int gi 1
ip nat outside
!
int gi 2
ip nat inside
!
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list 1 interface Gi1 overload

RTR-R NAT

int gi 1
ip nat outside
!
int gi 2
ip nat inside
!
access-list 1 permit 172.16.100.0 0.0.0.255
ip nat inside source list 1 interface Gi1 overload

3. Между платформами должен быть установлен защищенный туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов.

RTR-L GRE

interface Tunne 1
ip address 172.16.1.1 255.255.255.0
tunnel mode gre ip
tunnel source 4.4.4.100
tunnel destination 5.5.5.100

router eigrp 6500
network 192.168.100.0 0.0.0.255
network 172.16.1.0 0.0.0.255

RTR-R

interface Tunne 1
ip address 172.16.1.2 255.255.255.0
tunnel mode gre ip
tunnel source 5.5.5.100
tunnel destination 4.4.4.100

router eigrp 6500
network 172.16.100.0 0.0.0.255
network 172.16.1.0 0.0.0.255

RTR-L

crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
!
crypto isakmp key TheSecretMustBeAtLeast13bytes address 5.5.5.100
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile VTI
set transform-set TSET

interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI

RTR-R

conf t

crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
!
crypto isakmp key TheSecretMustBeAtLeast13bytes address 4.4.4.100 / key может быть любой лол
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile VTI
set transform-set TSET

interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI

4. Платформа управления трафиком RTR-L выполняет контроль входящего трафика согласно следующим правилам:

RTR-L ACL

ip access-list extended Lnew

permit tcp any any established
permit udp host 4.4.4.100 eq 53 any
permit udp host 4.4.4.1 eq 123 any
permit tcp any host 4.4.4.100 eq 80
permit tcp any host 4.4.4.100 eq 443
permit tcp any host 4.4.4.100 eq 2222

permit udp host 5.5.5.100 host 4.4.4.100 eq 500
permit esp any any
permit icmp any any

int gi 1
ip access-group Lnew in

5. Платформа управления трафиком RTR-R выполняет контроль входящего трафика согласно следующим правилам:

RTR-R ACL

ip access-list extended Rnew

permit tcp any any established
permit tcp any host 5.5.5.100 eq 80
permit tcp any host 5.5.5.100 eq 443
permit tcp any host 5.5.5.100 eq 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500

permit esp any any
permit icmp any any

int gi 1
ip access-group Rnew in

6. Обеспечьте настройку служб SSH региона Left:

RTR-L SSH

ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222

RTR-R SSH

ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244

SSH WEB-L и SSH WEB-R

apt-cdrom add
apt install -y openssh-server ssh

nano /etc/ssh/sshd_config /когда зашли в файлик расскоменчиваем и изменяем следующее:

PermitRootLogin yes /отключить вход для суперпользователя

Чтобы сохранить изменения, нажмите Ctrl + O и Enter. Затем закройте редактор сочетанием клавиш Ctrl + X.

systemctl restart sshd

systemctl start sshd

systemctl enable ssh

systemctl status ssh /Проверьте работу SSH

ssh root@IPАДРЕС [-p и порт(2222(2244)) ] который вы поставили /для подключения

можно пингануть без -p порт на веб л и веб р

ЕС ЧЕТО НЕ ВОРК ТО ПЕРЕЗАГРУЗИТЕ УСТРОЙСТВО ЁМАЁ

И ВМЕСТО РЕСТАРТА СЛУЖБ МОЖНО ПРОСТО РЕБУТНУТЬ

Инфраструктурные службы

В рамках данного модуля необходимо настроить основные инфраструктурные службы и настроить представленные ВМ на применение этих служб для всех основных функций.

Выполните настройку первого уровня DNS-системы стенда:Используется ВМ ISP;

Обслуживается зона demo.wsrНаполнение зоны должно быть реализовано в соответствии с Таблицей 2;

Сервер делегирует зону int.demo.wsr на SRV;Поскольку SRV находится во внутренней сети западного региона, делегирование происходит на внешний адрес маршрутизатора данного региона.
Маршрутизатор региона должен транслировать соответствующие порты DNS-службы в порты сервера SRV
Внешний клиент CLI должен использовать DNS-службу, развернутую на ISP, по умолчанию;
Выполните настройку второго уровня DNS-системы стенда;Используется ВМ SRV;

Обслуживается зона int.demo.wsr;Наполнение зоны должно быть реализовано в соответствии с Таблицей 2;

Обслуживаются обратные зоны для внутренних адресов регионовИмена для разрешения обратных записей следует брать из Таблицы 2;

Сервер принимает рекурсивные запросы, исходящие от адресов внутренних регионов;Обслуживание клиентов(внешних и внутренних), обращающихся к к зоне int.demo.wsr, должно производится без каких либо ограничений по адресу источника;
Внутренние хосты регионов (равно как и платформы управления трафиком) должны использовать данную DNS-службу для разрешения всех запросов имен;
Выполните настройку первого уровня системы синхронизации времени:Используется сервер ISP.
Сервер считает собственный источник времени верным, stratum=4;

Сервер допускает подключение только через внешний адрес соответствующей платформы управления трафиком;Подразумевается обращение SRV для синхронизации времени;
Клиент CLI должен использовать службу времени ISP;
Выполните конфигурацию службы второго уровня времени на SRV
Сервер синхронизирует время с хостом ISP;Синхронизация с другими источникам запрещена;
Сервер должен допускать обращения внутренних хостов регионов, в том числе и платформ управления трафиком, для синхронизации времени;
Все внутренние хосты(в том числе и платформы управления трафиком) должны синхронизировать свое время с SRV;
Реализуйте файловый SMB-сервер на базе SRVСервер должен предоставлять доступ для обмена файлами серверам WEB-L и WEB-R;

Сервер, в зависимости от ОС, использует следующие каталоги для хранения файлов:/mnt/storage для система на базе Linux;
Диск R:\ для систем на базе Windows;
Хранение файлов осуществляется на диске (смонтированном по указанным выше адресам), реализованном по технологии RAID типа “Зеркало”;
Сервера WEB-L и WEB-R должны использовать службу, настроенную на SRV, для обмена файлами между собой:
Служба файлового обмена должна позволять монтирование в виде стандартного каталога LinuxРазделяемый каталог должен быть смонтирован по адресу /opt/share;
Каталог должен позволять удалять и создавать файлы в нем для всех пользователей;
Выполните настройку центра сертификации на базе SRV:В случае применения решения на базе Linux используется центр сертификации типа OpenSSL и располагается по адресу /var/ca
Выдаваемые сертификаты должны иметь срок жизни не менее 500 дней;

Параметры выдаваемых сертификатов:Страна RU;
Организация DEMO.WSR;
Прочие поля (за исключением CN) должны быть пусты;

Таблица 2. DNS-записи зон

ZoneTypeKeyMeaningdemo.wsrAisp3.3.3.1Awww4.4.4.100Awww5.5.5.100CNAMEinternetispNSintrtr-l.demo.wsrArtr-l4.4.4.100

1. Выполните настройку первого уровня DNS-системы стенда:

ISP

apt-cdrom add
apt install -y bind9

mkdir /opt/dns
cp /etc/bind/db.local /opt/dns/demo.db
chown -R bind:bind /opt/dns

nano /etc/apparmor.d/usr.sbin.named

/opt/dns/** rw,

systemctl restart apparmor.service

nano /etc/bind/named.conf.options

nano /etc/bind/named.conf.default-zones

zone "demo.wsr" {
type master;
allow-transfer { any; };
file "/opt/dns/demo.db";
};

nano /opt/dns/demo.db

@ IN SOA demo.wsr. root.demo.wsr.(

@ IN NS isp.demo.wsr.
isp IN A 3.3.3.1
www IN A 4.4.4.100
www IN A 5.5.5.100
internet CNAME isp.demo.wsr.
int IN NS rtr-l.demo.wsr.
rtr-l IN A 4.4.4.100

systemctl restart bind9

RTR-L

b. Маршрутизатор региона должен транслировать соответствующие порты DNS-службы в порты сервера SRV.

ip nat inside source static tcp 192.168.100.200 53 4.4.4.100 53
!
ip nat inside source static udp 192.168.100.200 53 4.4.4.100 53

2. Выполните настройку второго уровня DNS-системы стенда;

Через диспетчер серверов устанавливаем роль DNS заходим через tool в DNS добавляем прямую зону forwardind с именем int.demo.wsr потом в обратную зону reverse добавляем зону с двумя подсетями 192.168.100 и 172.16.100. ставим галочку на ресерв потом в прямой зоне тыкаем туда тук тук пкм по пустому месту добавляем АААААА из таблицы галку там тоже ставим и потом опять ПКМ и cname через broweursas добавляем туда srv

SRV

Install-WindowsFeature -Name DNS -IncludeManagementTools

Add-DnsServerPrimaryZone -Name "int.demo.wsr" -ZoneFile "int.demo.wsr.dns"

Add-DnsServerPrimaryZone -NetworkId 192.168.100.0/24 -ZoneFile "int.demo.wsr.dns" Add-DnsServerPrimaryZone -NetworkId 172.16.100.0/24 -ZoneFile "int.demo.wsr.dns"

ZoneTypeKeyMeaningint.demo.wsrAweb-l192.168.100.100Aweb-r172.16.100.100Asrv192.168.100.200Artr-l192.168.100.254Artr-r172.16.100.254CNAMEwebapp1web-lCNAMEwebapp2web-rCNAMEntpsrvCNAMEdnssrv

Add-DnsServerResourceRecordA -Name "web-l" -ZoneName "int.demo.wsr" -AllowUpdateAny -IPv4Address "192.168.100.100" -CreatePtr
Add-DnsServerResourceRecordA -Name "web-r" -ZoneName "int.demo.wsr" -AllowUpdateAny -IPv4Address "172.16.100.100" -CreatePtr
Add-DnsServerResourceRecordA -Name "srv" -ZoneName "int.demo.wsr" -AllowUpdateAny -IPv4Address "192.168.100.200" -CreatePtr
Add-DnsServerResourceRecordA -Name "rtr-l" -ZoneName "int.demo.wsr" -AllowUpdateAny -IPv4Address "192.168.100.254" -CreatePtr
Add-DnsServerResourceRecordA -Name "rtr-r" -ZoneName "int.demo.wsr" -AllowUpdateAny -IPv4Address "172.16.100.254" -CreatePtr

Add-DnsServerResourceRecordCName -Name "webapp1" -HostNameAlias "web-l.int.demo.wsr" -ZoneName "int.demo.wsr" Add-DnsServerResourceRecordCName -Name "webapp2" -HostNameAlias "web-r.int.demo.wsr" -ZoneName "int.demo.wsr" Add-DnsServerResourceRecordCName -Name "ntp" -HostNameAlias "srv.int.demo.wsr" -ZoneName "int.demo.wsr" Add-DnsServerResourceRecordCName -Name "dns" -HostNameAlias "srv.int.demo.wsr" -ZoneName "int.demo.wsr"

3. Выполните настройку первого уровня системы синхронизации времени:

ISP NTP

apt install -y chrony

nano /etc/chrony/chrony.conf

local stratum 4
allow 4.4.4.0/24
allow 3.3.3.0/24

systemctl restart chronyd

4. Выполните конфигурацию службы второго уровня времени на SRV

SRV NTP

New-NetFirewallRule -DisplayName "NTP" -Direction Inbound -LocalPort 123 -Protocol UDP -Action Allow

w32tm /query /status
Start-Service W32Time
w32tm /config /manualpeerlist:4.4.4.1 /syncfromflags:manual /reliable:yes /update
Restart-Service W32Time

CLI NTP

New-NetFirewallRule -DisplayName "NTP" -Direction Inbound -LocalPort 123 -Protocol UDP -Action Allow

Start-Service W32Time
w32tm /config /manualpeerlist:4.4.4.1 /syncfromflags:manual /reliable:yes /update
Restart-Service W32Time

Set-Service -Name W32Time -StartupType Automatic

RTR-L NTP

ip domain name int.demo.wsr
ip name-server 192.168.100.200

ntp server chrony.int.demo.wsr

RTR-R NTP

ip domain name int.demo.wsr
ip name-server 192.168.100.200

ntp server chrony.int.demo.wsr

WEB-L NTP

apt-cdrom add
apt install -y chrony

nano /etc/chrony/chrony.conf

pool chrony.int.demo.wsr iburst
allow 192.168.100.0/24

systemctl restart chrony

WEB-R NTP

apt-cdrom add
apt install -y chrony

nano /etc/chrony/chrony.conf

pool chrony.int.demo.wsr iburst
allow 192.168.100.0/24

systemctl restart chrony

5. Реализуйте файловый SMB-сервер на базе SRV

SRV RAID1

get-disk set-disk -Number 1 -IsOffline $false set-disk -Number 2 -IsOffline $false

New-StoragePool -FriendlyName "POOLRAID1" -StorageSubsystemFriendlyName "Windows Storage*" -PhysicalDisks (Get-PhysicalDisk -CanPool $true)

New-VirtualDisk -StoragePoolFriendlyName "POOLRAID1" -FriendlyName "RAID1" -ResiliencySettingName Mirror -UseMaximumSize

Initialize-Disk -FriendlyName "RAID1"

New-Partition -DiskNumber 3 -UseMaximumSize -DriveLetter R

Format-Volume -DriveLetter R

SRV SMB

Install-WindowsFeature -Name FS-FileServer -IncludeManagementTools

New-Item -Path R:\storage -ItemType Directory
New-SmbShare -Name "SMB" -Path "R:\storage" -FullAccess "Everyone"

6. Сервера WEB-L и WEB-R должны использовать службу, настроенную на SRV, для обмена файлами между собой:

WEB-L SMB

apt-cdrom add
apt install -y cifs-utils

nano /root/.smbclient

username=Administrator
password=P@ssw0rd

nano /etc/fstab

//srv.int.demo.wsr/smb /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0

mkdir /opt/share
mount -a

WEB-R SMB

apt-cdrom add
apt install -y cifs-utils

nano /root/.smbclient

username=Administrator
password=P@ssw0rd

nano /etc/fstab

//srv.int.demo.wsr/smb /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0

mkdir /opt/share
mount -a

7. Выполните настройку центра сертификации на базе SRV:

SRV ADCS

Install-WindowsFeature -Name AD-Certificate, ADCS-Web-Enrollment -IncludeManagementTools

Install-AdcsCertificationAuthority -CAType StandaloneRootCa -CACommonName "Demo.wsr" -force

Install-AdcsWebEnrollment -Confirm -force

New-SelfSignedCertificate -subject "localhost"

Get-ChildItem cert:\LocalMachine\My

Move-item Cert:\LocalMachine\My\XFX2DX02779XFD1F6F4X8435A5X26ED2X8DEFX95 -destination Cert:\LocalMachine\Webhosting\

New-IISSiteBinding -Name 'Default Web Site' -BindingInformation "*:443:" -Protocol https -CertificateThumbPrint XFX2DX02779XFD1F6F4X8435A5X26ED2X8DEFX95

Start-WebSite -Name "Default Web Site"

Get-CACrlDistributionPoint | Remove-CACrlDistributionPoint -force

Get-CAAuthorityInformationAccess |Remove-CAAuthorityInformationAccess -force

Restart-Service CertSrc

Инфраструктура веб-приложения.

Данный блок подразумевает установку и настройку доступа к веб-приложению, выполненному в формате контейнера Docker

Образ Docker (содержащий веб-приложение) расположен на ISO-образе дополнительных материалов;Выполните установку приложения AppDocker0;
Пакеты для установки Docker расположены на дополнительном ISO-образе;
Инструкция по работе с приложением расположена на дополнительном ISO-образе;
Необходимо реализовать следующую инфраструктуру приложения.Клиентом приложения является CLI (браузер Edge);
Хостинг приложения осуществляется на ВМ WEB-L и WEB-R;

Доступ к приложению осуществляется по DNS-имени www.demo.wsr;Имя должно разрешаться во “внешние” адреса ВМ управления трафиком в обоих регионах;
При необходимости, для доступа к к приложению допускается реализовать реверс-прокси или трансляцию портов;

Доступ к приложению должен быть защищен с применением технологии TLS;Необходимо обеспечить корректное доверие сертификату сайта, без применения “исключений” и подобных механизмов;
Незащищенное соединение должно переводится на защищенный канал автоматически;
Необходимо обеспечить отказоустойчивость приложения;
Сайт должен продолжать обслуживание (с задержкой не более 25 секунд) в следующих сценариях:Отказ одной из ВМ Web
Отказ одной из ВМ управления трафиком.

WEB-L Doc

1. Образ Docker (содержащий веб-приложение) расположен на ISO-образе дополнительных материалов;

2. Пакеты для установки Docker расположены на дополнительном ISO-образе;

WEL-L и WEB-R Doc

apt-cdrom add

apt install -y docker-ce
systemctl start docker
systemctl enable docker

mkdir /mnt/app

mount /dev/sr1 /mnt/app

docker load < /mnt/app/app.tar

docker images
docker run --name app -p 8080:80 -d app
docker ps

docker update —restart=always "Id"

RTR-L

no ip http secure-server
no ip http server
no ip http aut local
do wr
reload

ip nat inside source static tcp 192.168.100.100 80 4.4.4.100 80
ip nat inside source static tcp 192.168.100.100 443 4.4.4.100 443

RTR-R

no ip http secure-server
no ip http server
no ip http aut local
wr
reload

ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80
ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443

3. Инструкция по работе с приложением расположена на дополнительном ISO-образе;

В данной момент инструкции к приложению нет, приложением является однастраничный сайт

4. Необходимо реализовать следующую инфраструктуру приложения

SRV ssl

5. Необходимо обеспечить отказоустойчивость приложения;

WEB-L ssl

apt install -y nginx

cd /opt/share

openssl pkcs12 -nodes -nocerts -in www.pfx -out www.key

openssl pkcs12 -nodes -nokeys -in www.pfx -out www.cer

cp /opt/share/www.key /etc/nginx/www.key

cp /opt/share/www.cer /etc/nginx/www.cer

nano /etc/nginx/snippets/snakeoil.conf

nano /etc/nginx/sites-available/default

upstream backend {
server 192.168.100.100:8080 fail_timeout=25;
server 172.16.100.100:8080 fail_timeout=25;
}

server {
listen 443 ssl default_server;
include snippers/snakeoil.conf;

server_name www.demo.wsr;

location / {
proxy_pass http://backend ;
}
}

server {
listen 80 default_server;
server_name _;
return 301 https://www.demo.wsr;

}