Инструкция, модуль 1, задание 1-6, экороутер

1. Произведите базовую настройку устройств:

Задание:

• Настройте имена устройств согласно топологии. Используйте полное доменное имя
• На всех устройствах необходимо сконфигурировать IPv4:IP-адрес должен быть из приватного диапазона, в случае, если сеть локальная, согласно RFC1918
  Локальная сеть в сторону HQ-SRV(VLAN 100) должна вмещать не более 32 адресов
  Локальная сеть в сторону HQ-CLI(VLAN 200) должна вмещать не менее 16 адресов
  Локальная сеть для управления(VLAN 999) должна вмещать не более 8 адресов
  Локальная сеть в сторону BR-SRV должна вмещать не более 16 адресов
  
• Сведения об адресах занесите в таблицу 2, в качестве примера используйте Приложение Б.

Вариант реализации:

• Сведения об адресах занесите в отчёт, в качестве примера используйте Таблицу 3IP-адрес должен быть из приватного диапазона, в случае, если сеть локальная, согласно RFC1918 (https://www.ietf.org/rfc/rfc1918.txt)
  

IP калькулятор (https://ipcalc.co/)

ISP:

Настройте имена устройств согласно топологии. Используйте полное доменное имяДоменное имя - au-team.irpo видно в Таблице 2 (DNS - записи);
Исключением является виртуальная машина ISP - задавать полное доменное имя на Internet Service Provider нет смысла;
ISP:

• Для назначения имени устройства согласно топологии используем следующую команду:

hostnamectl set-hostname isp; exec bash

Проверить:

hostname

• Результат:
  

Так же рекомендуется указать имя в файле /etc/sysconfig/network:

vim /etc/sysconfig/network

• указать имя в параметре HOSTNAME:
  

HQ-RTR:

• Для назначения имени устройства согласно топологии используем следующие команды:переходим в привилегированный режим;
  переходим в режим администрирования;
  задаём имя устройству;
  задаём доменное имя;
  сохраняем конфигурацию.
  

ecorouter>enable
ecorouter#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ecorouter(config)#hostname hq-rtr
hq-rtr(config)#ip domain-name au-team.irpo
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

• Проверить имя устройства:

hq-rtr#show hostname

• Проверить доменное имя устройства:

hq-rtr#show running-config | include domain-name

• Результат:
  

BR-RTR:

• Аналогично HQ-RTR

ecorouter>enable
ecorouter#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ecorouter(config)#hostname br-rtr
br-rtr(config)#ip domain-name au-team.irpo
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

• ожидаемый результат:
  

HQ-SRV:

• Для назначения имени устройства согласно топологии используем следующую команду:

hostnamectl set-hostname hq-srv.au-team.irpo; exec bash

• Так же рекомендуется указать имя в файле /etc/sysconfig/network:

vim /etc/sysconfig/network

• указать имя в параметре HOSTNAME:
  

• Проверить:

hostname -f

• Результат:
  

BR-SRV:

• Аналогично HQ-SRV, ожидаемый результат:

HQ-CLI:

• Для назначения имени устройства согласно топологии воспользуемся Центром Управления Системой (ЦУС):

На всех устройствах необходимо сконфигурировать IPv4

Основные понятия касающиеся EcoRouter:

• Порт (port) – это устройство в составе EcoRouter, которое работает на физическом уровне (L1);
• Интерфейс (interface) – это логический интерфейс для адресации, работает на сетевом уровне (L3);
• Service instance (Сабинтерфейс, SI, Сервисный интерфейс) является логическим сабинтерфейсом, работающим на канальном уровне (L2) и связывает L1, L2 и L3 уровни:
  Данный вид интерфейса необходим для соединения физического порта с интерфейсами L3, интерфейсами bridge, портами;
  Используется для гибкого управления трафиком на основании наличия меток VLANов в фреймах, или их отсутствия;
  Сквозь сервисный интерфейс проходит весь трафик, приходящий на порт.
• Таким образом, для того чтобы назначить IPv4-адрес на EcoRouter - необходимо придерживаться следующего алгоритма в общем виде:Создать интерфейс с произвольным именем и назначить на него IPv4;
  
  В режиме конфигурирования порта создать service-instance с произвольным именем:указать (инкапсулировать) что будет обрабатываться тегированный или не тегированный трафик;
  указать в какой интерфейс (ранее созданный) нужно отправить обработанные кадры.
  

HQ-RTR:

• Посмотреть физические порты можно при помощи следующей команды:

hq-rtr#show port brief

• где:te0 - порт в сторону ISP;
  te1 - порт в сторону локальной сети офиса HQ (виртуальный коммутатор HQ-SW на уровне гипервизора);
  

• Создаём интерфейсы (подинтерфейсы/sub-interfaces) для назначения IP-адресов локальных подсетей офиса HQ для дальнейшей маршрутизации между VLAN-ами:первым делом создаём интерфейсы для каждого VLAN-а:
  

hq-rtr(config)#interface vl100
hq-rtr(config-if)#description "VLAN 100"
hq-rtr(config-if)#ip address 192.168.100.1/27
hq-rtr(config-if)#exit
hq-rtr(config)#interface vl200
hq-rtr(config-if)#description "VLAN 200"
hq-rtr(config-if)#ip address 192.168.200.1/24
hq-rtr(config-if)#exit
hq-rtr(config)#interface vl999
hq-rtr(config-if)#description "VLAN 999"
hq-rtr(config-if)#ip address 192.168.99.1/29
hq-rtr(config-if)#exit
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

• Проверить, назначенные IP-адреса на интерфейсы:

hq-rtr#show ip interface brief

• Результат:созданные интрфейсы пока не добавлены в какие-либо Service instance, а значит не привязаны и к порту, отсюда и статус down:
  

• на базе физического интерфейса te1 для каждого VLAN-а создаём service-instance с инкапсуляцией соответствующих тегов (VID) и подключением необходимых интерфейсов:
  

hq-rtr(config)#port te1
hq-rtr(config-port)#service-instance te1/vl100
hq-rtr(config-service-instance)#encapsulation dot1q 100 exact
hq-rtr(config-service-instance)#rewrite pop 1
hq-rtr(config-service-instance)#connect ip interface vl100

2025-09-04 05:07:20 INFO Interface vl100 changed state to up
hq-rtr(config-service-instance)#exit
hq-rtr(config-port)#service-instance te1/vl200
hq-rtr(config-service-instance)#encapsulation dot1q 200 exact
hq-rtr(config-service-instance)#rewrite pop 1
hq-rtr(config-service-instance)#connect ip interface vl200

2025-09-04 05:07:51 INFO Interface vl200 changed state to up
hq-rtr(config-service-instance)#exit
hq-rtr(config-port)#service-instance te1/vl999
hq-rtr(config-service-instance)#encapsulation dot1q 999 exact
hq-rtr(config-service-instance)#rewrite pop 1
hq-rtr(config-service-instance)#connect ip interface vl999

2025-09-04 05:08:14 INFO Interface vl999 changed state to up
hq-rtr(config-service-instance)#exit
hq-rtr(config-port)#exit
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

• Проверить, назначенные IP-адреса на интерфейсы и их статус:

hq-rtr#show ip interface brief

• Результат:
  

BR-RTR:

• Аналогично HQ-RTR:

br-rtr(config)#interface int1
br-rtr(config-if)#description "BR-Net"
br-rtr(config-if)#ip address 192.168.0.1/28
br-rtr(config-if)#exit
br-rtr(config)#port te1
br-rtr(config-port)#service-instance te1/int1
br-rtr(config-service-instance)#encapsulation untagged
br-rtr(config-service-instance)#connect ip interface int1

2025-09-04 05:13:37 INFO Interface int1 changed state to up
br-rtr(config-service-instance)#exit
br-rtr(config-port)#exit
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

• Ожидаемый результат:

HQ-SRV:

• Просмотр существующих интерфейсов выполняется командой ip a

Для конфигурации IPv4 на устройствах, будут отредактированы файлы options

• созданы файлы ipv4address, ipv4route.
• в файле /etc/net/ifaces/<ИМЯ_ИНТЕРФЕЙСА>/options

• должны быть заданы хотя бы два основных параметра:
  Параметр TYPE=eth указывает на тип интерфейса – ethernet
  Параметр BOOTPROTO=static означает, что настройка статического IP-адреса и маршрутов будет взята из файлов ipv4address и ipv4route
• Проверяем содержимое конфигурационного файла /etc/net/ifaces/ens19/options
  

Внимание! Для того, чтобы в качестве сетевой подсистемы корректно использовался etcnet и операционная система могла считывать и применять содержимое конфигурационных файлов: ipv4address, ipv4route, resolv.conf из директории /etc/net/ifaces/<ИМЯ_ИНТЕРФЕЙСА>/, необходимо, чтобы значение параметров DISABLED,NM_CONTROLLED,SYSTEMD_CONTROLLED были установлены в no или же указание данных параметров в файле options не является обязательным условием.

• Зададим IP-адрес:

echo "192.168.100.2/27" > /etc/net/ifaces/ens19/ipv4address

• Зададим IP-адрес шлюза по умолчанию:

echo "default via 192.168.100.1" > /etc/net/ifaces/ens19/ipv4route

• Зададим (временно) IP-адрес DNS-сервера, для дальнейшей возможности выхода в сеть Интернет и установки необходимых пакетов:

echo "nameserver 77.88.8.8" > /etc/net/ifaces/ens19/resolv.conf

• Для применения настроек, необходимо перезагрузить службу network:

systemctl restart network

• Проверить:

BR-SRV:

• Аналогично HQ-SRV, ожидаемый результат:

В отличие от офиса HQ, в офисе BR с BR-SRV на текущем этапе можно проверить доступность шлюза по умолчаниюв офисе HQ, с HQ-SRV шлюз пока не должен быть доступен, т.к. не реализована коммутация

2. Настройте доступ к сети Интернет, на маршрутизаторе ISP
Задание:

• Настройте адресацию на интерфейсах:Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP
  Настройте маршрут по умолчанию, если это необходимо
  Настройте интерфейс, в сторону HQ-RTR, интерфейс подключен к сети 172.16.1.0/28
  Настройте интерфейс, в сторону BR-RTR, интерфейс подключен к сети 172.16.2.0/28
  На ISP настройте динамическую сетевую трансляцию портов для доступа к сети Интернет HQ-RTR и BR-RTR.
  

Вариант реализации:

ISP:

• Просмотр существующих интерфейсов выполняется командой ip a
  где:ens19 - интерфейс подключённый к магисральному провайдеру;
  

Для того чтобы интерфейс, подключенный к магистральному провайдеру, получал адрес по DHCP:необходимо в конфигурационном файле, расположенном по пути /etc/net/ifaces/<ИМЯ_ИНТЕРФЕЙСА>/options
в параметре BOOTPROTO указать значение dhcp:

• Для применения настроек, необходимо перезагрузить службу network

systemctl restart network

• Проверить:получение всех параметров по DHCP;
  доступ в сеть Интернет.
  

Просмотр существующих интерфейсов выполняется командой ip a
где:ens20 - интерфейс подключённый к HQ-RTR;
ens21 - интерфейс подключённый к BR-RTR.

Создадим директории в /etc/net/ifaces/ для интерфейсов ens20 и ens21:

mkdir /etc/net/ifaces/ens20

mkdir /etc/net/ifaces/ens21

• Результат:
  

• Для каждого интерфейса, необходимо в директории /etc/net/ifaces/<ИМЯ_ИНТЕРФЕЙСА>/ создать конфигурационный файл options
• с минимально необходимыми параметрами, а именно:TYPE=eth указывает на тип интерфейса – ethernet,
  BOOTPROTO=static означает, что настройка статических параметров
  

echo "TYPE=eth" > /etc/net/ifaces/ens20/options
echo "BOOTPROTO=static" >> /etc/net/ifaces/ens20/options

cp /etc/net/ifaces/ens20/options /etc/net/ifaces/ens21/options

• Результат:
  

• Далее опишем содержимое конфигурационного файла ipv4address для каждого интерфейса:в сторону HQ-RTR:
  

echo "172.16.1.1/28" > /etc/net/ifaces/ens20/ipv4address

• в сторону BR-RTR:
  

echo "172.16.2.1/28" > /etc/net/ifaces/ens21/ipv4address

• Для применения настроек, необходимо перезагрузить службу network

systemctl restart network

• Проверить:

Для того чтобы устройство ISP могло пересылать пакеты с интерфейса на интерфейс, необходимо включить пересылку пакетов (forwarding)Для этого следует в конфигурационном файле /etc/net/sysctl.conf в параметре net.ipv4.ip_forward = 0 заменить значение с 0 на 1

• Для применения настроек, необходимо перезагрузить службу network

systemctl restart network

• Проверить:

• Для динамической сетевой трансляции можно использовать iptables.
• В случае использования в качестве ОС на ВМ ISP «Альт Jeos» – пакет iptables необходимо установить:предварительно обновив список пакетов с помощью команды apt-get update
  

apt-get update && apt-get install -y iptables

• Реализацию сетевой трансляции адресов с помощью iptables можно выполнить одной командой:где, ens19 внешний интерфейс, подключённый к магистральному провайдеру
  также реалиуем трансляцию адресов только из конкретных сетей HQ-RTR и BR-RTR
  

iptables –t nat –A POSTROUTING -s 172.16.1.0/28 –o ens19 –j MASQUERADE

iptables –t nat –A POSTROUTING -s 172.16.2.0/28 –o ens19 –j MASQUERADE

• Сохраняем правила iptables на постоянной основе (после перезагрузки):

iptables-save >> /etc/sysconfig/iptables

• Включаем и добавляем в автозагрузку службу iptables:

systemctl enable --now iptables

• Проверить, наличие правила в iptables, а именно в таблице nat, в цепочек POSTROUTING:

HQ-RTR:

• Создаём интерфейс с именем isp (произвольное имя) и назначаем на него IP-адрес согласно заполненной таблице адресации:

hq-rtr>enable
hq-rtr#conf t
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#interface isp
hq-rtr(config-if)#description "ISP"
hq-rtr(config-if)#ip address 172.16.1.2/28
hq-rtr(config-if)#exit
hq-rtr(config)#

• Также зададим сразу же маршрут по умолчанию, указав в качестве шлюза по умолчанию IP-адрес ISP:

hq-rtr(config)#ip route 0.0.0.0/0 172.16.1.1

• Посмотреть физические порты можно при помощи следующей команды:

hq-rtr#show port brief

• где:te0 - порт в сторону ISP;
  te1 - порт в сторону локальной сети офиса HQ (HQ-Net, виртуальный коммутатор HQ-SW);
  

• В режиме конфигурирования порта создим service-instance с произвольным именем:укажем (инкапсулировать) что будет обрабатываться не тегированный трафик (untagget);
  укажем в какой интерфейс (ранее созданный с именем isp) нужно отправить обработанные кадры;
  

hq-rtr(config)#port te0
hq-rtr(config-port)#service-instance te0/isp
hq-rtr(config-service-instance)#encapsulation untagged
hq-rtr(config-service-instance)#connect ip interface isp

2025-09-04 05:45:04 INFO Interface isp changed state to up
hq-rtr(config-service-instance)#exit
hq-rtr(config-port)#exit
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

• Проверить, назначенный IP-адрес на интерфейс:

hq-rtr#show ip interface brief

• Проверить, назначенный маршрут по умолчанию:

hq-rtr#show ip route static

• Результат:
  

• Проверить доступность шлюза и доступ в сеть Интернет:

BR-RTR:

• Аналогично HQ-RTR

br-rtr>enable
br-rtr#conf t
Enter configuration commands, one per line. End with CNTL/Z.
br-rtr(config)#interface isp
br-rtr(config-if)#description "ISP"
br-rtr(config-if)#ip address 172.16.2.2/28
br-rtr(config-if)#exit
br-rtr(config)#ip route 0.0.0.0/0 172.16.2.1
br-rtr(config)#port te0
br-rtr(config-port)#service-instance te0/isp
br-rtr(config-service-instance)#encapsulation untagged
br-rtr(config-service-instance)#connect ip interface isp

2025-09-04 05:48:19 INFO Interface isp changed state to up
br-rtr(config-service-instance)#exit
br-rtr(config-port)#exit
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

• Ожидаемый результат:

3. Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV

Задание:

• Создайте пользователя sshuser на серверах HQ-SRV и BR-SRVПароль пользователя sshuser с паролем P@ssw0rd
  Идентификатор пользователя 2026
  Пользователь sshuser должен иметь возможность запускать sudo без ввода пароля
  
• Создайте пользователя net_admin на маршрутизаторах HQ-RTR и BR-RTRПароль пользователя net_admin с паролем P@ssw0rd
  При настройке ОС на базе Linux, запускать sudo без ввода пароля
  При настройке ОС отличных от Linux пользователь должен обладать максимальными привилегиями.
  

Вариант реализации:

HQ-SRV и BR-SRV:

• Создать пользователя с явным указанием UID можно с помощью команды:

useradd sshuser –u 2026

• Проверить UID-пользователя sshuser:

или:

Задать пароль пользователю можно с помощью утилиты passwd:в результате запуска утилиты passwd необходимо будет задать пароль, а затем подтвердить заданный пароль

• Реализуем возможность запуска утилиты sudo для пользователя sshuser без ввода пароля:
• Рекомендуется прочитать перед выполнением
• Добавляем пользователя sshuser в группу wheel для этого используем утилиту usermodпоскольку штатное состояние политики: wheelonly (означает что пользователь из группы wheel имеет право запускать саму команду sudo, но не означает, что он через sudo может выполнить какую-то команду с правами root)
  
  где:usermod - утилита для изменения и работы с параметрами пользователя;
  -aG - параметр чтобы добавить пользователя в дополнительную группу(ы). Использовать только вместе с параметром -G;
  wheel - имя группы;
  sshuser - имя пользователя:
  

usermod -aG wheel sshuser

• Добавляем следующую строку в файл в /etc/sudoers чтобы была возможность запуска sudo без дополнительной аутентификации:

echo "sshuser ALL=(ALL:ALL) NOPASSWD: ALL" >> /etc/sudoers

P.S. или же открываем через текстовы редактор, например: vim

• Проверяем:
  выполняем вход из под пользователя sshuser и пытаемся повысить привелегии:HQ-SRV:
  

BR-SRV:

HQ-RTR и BR-RTR:

• Создаём пользователя net_admin на маршрутизаторах с паролем P@ssw0rd и с максимальными привилегиями:максимальным привилегиям в EcoRouter - соответствует роль admin:
  

hq-rtr(config)#username net_admin
hq-rtr(config-user)#password P@ssw0rd
hq-rtr(config-user)#role admin
hq-rtr(config-user)#exit
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

br-rtr(config)#username net_admin
br-rtr(config-user)#password P@ssw0rd
br-rtr(config-user)#role admin
br-rtr(config-user)#exit
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

• Проверяем:наличие созданного пользователя и назначение соответствующей роли на HQ-RTR и выполняем вход из под пользователя net_admin:
  

наличие созданного пользователя и назначение соответствующей роли на BR-RTR:

4. Настройте коммутацию в сегменте HQ следующим образом

Задание:

• Трафик HQ-SRV должен принадлежать VLAN 100
• Трафик HQ-CLI должен принадлежать VLAN 200
• Предусмотреть возможность передачи трафика управления в VLAN 999
• Реализовать на HQ-RTR маршрутизацию трафика всех указанных VLAN с использованием одного сетевого адаптера ВМ/физического порта
• Сведения о настройке коммутации внесите в отчёт

Вариант реализации:

Гипервизор:

• В качестве коммутатора используется виртуальный коммутатор на уровне Альт Виртуализаци PVE (на котором развёрнут стенд) например vmbr3:подразумевается что для vmbr3 в текущем случае выставлен чек-бокс VLAN aware:
  

Реализуем необходимые порты "доступа (access)":HQ-SRV (vlan 100 - Сервера):

HQ-CLI (vlan 200 - Клиенты):

Проверить, с HQ-SRV должен быть доступен HQ-RTR:

5. Настройте безопасный удаленный доступ на серверах HQ-SRV и BR-SRV
Задание:

• Для подключения используйте порт 2026
• Разрешите подключения исключительно пользователю sshuser
• Ограничьте количество попыток входа до двух
• Настройте баннер «Authorized access only».

Вариант реализации:

HQ-SRV и BR-SRV:

• Редактируем конфигурационный файл openssh, расположенный по пути /etc/openssh/sshd_config:

vim /etc/openssh/sshd_config

• Вносим следующие изменения:Port 2026 – Порт, на котором следует ожидать запросы на соединение. Значение по умолчанию – 22;
  AllowUsers sshuser – список имён пользователей через пробел. Если параметр определён, регистрация в системе будет разрешена только пользователям, чьи имена соответствуют одному из шаблонов;
  MaxAuthTries 2 – ограничение на число попыток идентифицировать себя в течение одного соединения;
  Banner /etc/openssh/banner – содержимое указанного файла будет отправлено удалённому пользователю прежде, чем будет разрешена аутентификация.
  

• Редактируем баннер, а именно файл по пути /etc/openssh/banner:

echo "Authorized access only" > /etc/openssh/banner

• Для применения всех изменений необходимо перезапустить службу sshd:

systemctl restart sshd

• Проверяем:Наличие Banner и доступ по порту 2026 из под пользователя sshuser, а также ограничение на кол-во попыток входа до 2:
  

Попытаться подключиться под пользователем sshuser на стандартный порт ssh:

Попытаться подключиться под пользователем sshuser с указанием не верных паролей более чем 2 раза:

Попытаться подключиться не из-под пользователя sshuser:

6. Между офисами HQ и BR, на маршрутизаторах HQ-RTR и BR-RTR необходимо сконфигурировать ip туннель
Задание:

• На выбор технологии GRE или IP in IP
• Сведения о туннеле занесите в отчёт.

Вариант реализации:

HQ-RTR:

• Настраиваем GRE туннель в сторону офиса BR (BR-RTR),где: interface tunnel.<номер> - номер это произвольное число
  

hq-rtr>enable
hq-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#interface tunnel.0
hq-rtr(config-if-tunnel)#description "GRE"
hq-rtr(config-if-tunnel)#ip address 10.10.10.1/30
hq-rtr(config-if-tunnel)#ip tunnel 172.16.1.2 172.16.2.2 mode gre

2025-09-04 06:23:20 INFO Interface tunnel.0 changed state to up
hq-rtr(config-if-tunnel)#exit
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

BR-RTR:

• Настраиваем GRE туннель в сторону офиса HQ (HQ-RTR)

br-rtr>enable
br-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
br-rtr(config)#interface tunnel.0
br-rtr(config-if-tunnel)#description "GRE"
br-rtr(config-if-tunnel)#ip address 10.10.10.2/30
br-rtr(config-if-tunnel)#ip tunnel 172.16.2.2 172.16.1.2 mode gre

2025-09-04 06:25:05 INFO Interface tunnel.0 changed state to up
br-rtr(config-if-tunnel)#exit
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

• Проверить:Режим работы туннеля и наличие IP-адреса на HQ-RTR (GRE):
  

Режим работы туннеля и наличие IP-адреса на BR-RTR (GRE):

Связность по туннелю между HQ-RTR <-> BR-RTR:

Связность по туннелю между BR-RTR <-> HQ-RTR: