hq-rtr>enable
hq-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#router ospf 1
hq-rtr(config-router)#ospf router-id 10.10.10.1
hq-rtr(config-router)#passive-interface default
hq-rtr(config-router)#no passive-interface tunnel.0
hq-rtr(config-router)#network 10.10.10.0/30 area 0
hq-rtr(config-router)#network 192.168.100.0/27 area 0
hq-rtr(config-router)#network 192.168.200.0/24 area 0
hq-rtr(config-router)#network 192.168.99.0/29 area 0
hq-rtr(config-router)#exit hq-rtr(config)#interface tunnel.0
hq-rtr(config-if-tunnel)#ip ospf authentication message-digest
hq-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd
hq-rtr(config-if-tunnel)#exit
hq-rtr(config)#write memory
Building configuration...
hq-rtr(config)# br-rtr>enable
br-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
br-rtr(config)#router ospf 1
br-rtr(config-router)#ospf router-id 10.10.10.2
br-rtr(config-router)#passive-i
7. Обеспечьте динамическую маршрутизацию на маршрутизаторах HQ-RTR и BR-RTR
Задание:
- сети одного офиса должны быть доступны из другого офиса и наоборот. Для обеспечения динамической маршрутизации используйте link state протокол на усмотрение участника:Разрешите выбранный протокол только на интерфейсах ip туннеля
Маршрутизаторы должны делиться маршрутами только друг с другом
Обеспечьте защиту выбранного протокола посредством парольной защиты
Сведения о настройке и защите протокола занесите в отчёт.
Вариант реализации:
HQ-RTR:
- Настраиваем OSPFv2:Задаём router-id;
Переводим все интерфейсы в пассивный режим;
Объявляем сети;
На туннельном интерфейсе отключаем пассивный режим, чтобы можно было установить соседство:
hq-rtr>enable
hq-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#router ospf 1
hq-rtr(config-router)#ospf router-id 10.10.10.1
hq-rtr(config-router)#passive-interface default
hq-rtr(config-router)#no passive-interface tunnel.0
hq-rtr(config-router)#network 10.10.10.0/30 area 0
hq-rtr(config-router)#network 192.168.100.0/27 area 0
hq-rtr(config-router)#network 192.168.200.0/24 area 0
hq-rtr(config-router)#network 192.168.99.0/29 area 0
hq-rtr(config-router)#exit
- Обеспечиваем защиту протокола маршрутизации посредством парольной защиты:
hq-rtr(config)#interface tunnel.0
hq-rtr(config-if-tunnel)#ip ospf authentication message-digest
hq-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd
hq-rtr(config-if-tunnel)#exit
hq-rtr(config)#write memory
Building configuration...
hq-rtr(config)#
BR-RTR:
- Настраиваем OSPFv2, аналогично HQ-RTR:
br-rtr>enable
br-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
br-rtr(config)#router ospf 1
br-rtr(config-router)#ospf router-id 10.10.10.2
br-rtr(config-router)#passive-interface default
br-rtr(config-router)#no passive-interface tunnel.0
br-rtr(config-router)#network 192.168.0.0/28 area 0
br-rtr(config-router)#network 10.10.10.0/30 area 0
br-rtr(config-router)#exit
br-rtr(config)#interface tunnel.0
br-rtr(config-if-tunnel)#ip ospf authentication message-digest
br-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd
br-rtr(config-if-tunnel)#exit
br-rtr(config)#write memory
Building configuration...
br-rtr(config)#
- Проверяем:Наличие аутентификации на интерфейсе по которому предусмотрено установление соседства и обмен маршрутной информации:
Маршрутизаторы должны делиться маршрутами только друг с другом:HQ-RTR:
BR-RTR:
Наличие установленного соседства:
Наличие полученных маршрутов по OSPF:
Связность между устройствами офиса HQ и BR:
8. Настройка динамической трансляции адресов маршрутизаторах HQ-RTR и BR-RTR
Задание:
- Настройте динамическую трансляцию адресов для обоих офисов в сторону ISP, все устройства в офисах должны иметь доступ к сети Интернет
Вариант реализации:
HQ-RTR:
- С точки зрения EcoRouter - реализуем конфигурацию static source PAT:Интерсейс в сторону ISP с именем isp - назначаем как nat outside:
hq-rtr>enable
hq-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#interface isp
hq-rtr(config-if)#ip nat outside
hq-rtr(config-if)#exit
- Подинтерфейсы vl100, vl200, vl999 - назначаем как nat inside:
hq-rtr(config)#interface vl100
hq-rtr(config-if)#ip nat inside
hq-rtr(config-if)#exit
hq-rtr(config)#interface vl200
hq-rtr(config-if)#ip nat inside
hq-rtr(config-if)#exit
hq-rtr(config)#interface vl999
hq-rtr(config-if)#ip nat inside
hq-rtr(config-if)#exit
- создаём пулы адресов для локальных подсетей офиса HQ для входящего трафика - указываем диапазон адресов из выделенных подсетей:
hq-rtr(config)#ip nat pool VLAN100 192.168.100.1-192.168.100.30
hq-rtr(config)#ip nat pool VLAN200 192.168.200.1-192.168.200.254
hq-rtr(config)#ip nat pool VLAN999 192.168.99.1-192.168.99.6
- задаём правила для трансляции адресов:
hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN100 overload interface isp
hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN200 overload interface isp
hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN999 overload interface isp
hq-rtr(config)#write memory
Building configuration...
hq-rtr(config)#
- Проверяем доступ в сеть Интернет с устройств офиса HQ - HQ-SRV:
Проверяем заполнение таблицы трансляции адресов на HQ-RTR:
BR-RTR:
- Настраиваем аналогично HQ-RTR:
br-rtr>enable
br-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
br-rtr(config)#interface isp
br-rtr(config-if)#ip nat outside
br-rtr(config-if)#exit
br-rtr(config)#interface int1
br-rtr(config-if)#ip nat inside
br-rtr(config-if)#exit
br-rtr(config)#ip nat pool BR-Net 192.168.0.1-192.168.0.14
br-rtr(config)#ip nat source dynamic inside-to-outside pool BR-Net overload interface isp
br-rtr(config)#exit
br-rtr#write memory
Building configuration...
br-rtr#
- Проверяем доступ в сеть Интернет с устройств офиса BR - BR-SRV:
Проверяем заполнение таблицы трансляции адресов на BR-RTR:
9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI
Задание:
- Настройте нужную подсеть
- В качестве сервера DHCP выступает маршрутизатор HQ-RTR
- Клиентом является машина HQ-CLI
- Исключите из выдачи адрес маршрутизатора
- Адрес шлюза по умолчанию – адрес маршрутизатора HQ-RTR
- Адрес DNS-сервера для машины HQ-CLI – адрес сервера HQ-SRV
- DNS-суффикс – au-team.irpo
- Сведения о настройке протокола занесите в отчёт.
Вариант реализации:
HQ-RTR:
- Задаём POOL адресов с именем VLAN200, затем задаём диапазон IP-адресов, который будет раздаваться DHCP сервером:в данном случае раздаваться будет вся клиентская подсеть заисключением IP-адреса маршрутизатора HQ-RTR
hq-rtr>enable
hq-rtr#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hq-rtr(config)#ip pool VLAN200 192.168.200.2-192.168.200.254
- Для настройки DHCP-сервера необходимо в режиме конфигурации ввести команду dhcp-server <NUMBER>где NUMBER – номер сервера в системе маршрутизатора:
hq-rtr(config)#dhcp-server 1
hq-rtr(config-dhcp-server)#
- Привязываем ранее созданный POOL раздаваемых адресов с именем VLAN200 с номером DHCP-сервера в системе маршрутизатора 1:
hq-rtr(config-dhcp-server)#pool VLAN200 1
hq-rtr(config-dhcp-server-pool)
- Задаём основные параметры для раздачи DHCP сервером:
hq-rtr(config-dhcp-server-pool)#mask 24
hq-rtr(config-dhcp-server-pool)#gateway 192.168.200.1
hq-rtr(config-dhcp-server-pool)#dns 192.168.100.2
hq-rtr(config-dhcp-server-pool)#domain-name au-team.irpo
hq-rtr(config-dhcp-server-pool)#exit
hq-rtr(config-dhcp-server)#exit
- После настройки сервера необходимо указать, на каком интерфейсе маршрутизатор будет принимать пакеты DHCP Discover и отвечать на них предложением с IP-настройками:в данном случае подинтерфейс с именем vl200 смотрит в сторону клиентской подсети (vlan200)
hq-rtr(config)#interface vl200
hq-rtr(config-if)#dhcp-server 1
hq-rtr(config-if)#exit
hq-rtr(config)#write memory
Building configuration...
hq-rtr(config)#
- Проверить, наличие полученных параметров по DHCP на HQ-CLI:в Центре Управления Системой (ЦУС) выбрать в качестве режима работы сетевой подсистемы:
- В настройках интерфейса выставить получение сетевых параметров по DHCP:
- Проверить наличие полученных сетевых параметров:
Проверить доступ в сеть Интернет:
Проверить, клиентов по отношению к DHCP-серверу на HQ-RTR:
10. Настройте инфраструктуру разрешения доменных имён для офисов HQ и BR
Задание:
- Основной DNS-сервер реализован на HQ-SRV
- Сервер должен обеспечивать разрешение имён в сетевые адреса устройств и обратно в соответствии с таблицей 3
- В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер(77.88.8.7, 77.88.8.3 или другие)
Вариант реализации:
HQ-SRV:
- Для установки и дальнейшей настройки DNS-сервера, необходимо выполнить установку пакета BIND:
apt-get update && apt-get install bind bind-utils -y
- Далее выполняется редактирование конфигурационного файла /var/lib/bind/etc/options.conf согласно скриншоту
vim /var/lib/bind/etc/options.conf
- где:listen-on параметр определяет адреса и порты, на которых DNS-сервер будет слушать запросы;
В параметре forwarders указываются сервера, куда будут перенаправляться запросы, на которые нет информации в локальной зоне;
allow-query – IP-адреса и подсети от которых будут обрабатываться запросы;
- Далее необходимо добавить зоны прямого и обратного просмотра в файл /var/lib/bind/etc/rfc1912.conf:
vim /var/lib/bind/etc/rfc1912.conf
- Добавляем следующее содержимое (в конец файла):
Создаём файлы зон прямого и обратного просмотра из шаблона:
- Необходимо сконфигурировать файл au-team.irpo:
vim /var/lib/bind/etc/zone/au-team.irpo
- который является прямой зоной следующим образом:
- Далее необходимо настроить обратную зону и привести файл 100.168.192.in-addr.arpa:
vim /var/lib/bind/etc/zone/100.168.192.in-addr.arpa
- к следующему виду:
- Далее необходимо настроить обратную зону и привести файл 200.168.192.in-addr.arpa:
vim /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
- к следующему виду:
- Для DNS-сервиса важно обеспечить непрерывный аптайм, не допуская даже минутных простоев.
- Если вы попытаетесь перезапустить systemd-юнит обычной командой systemctl, а в конфигурации будут ошибки, то BIND не запустится.
- Чтобы избежать столь неприятных последствий, надо правильно настроить утилиту rndc, которая позволяет обойти эти сложности.
- После того, как конфигурация зон была завершена, для корректной работы службы bind необходимо выполнить команду:
rndc-confgen > /var/lib/bind/etc/rndc.key
- Затем выполнить команду:
sed -i ‘6,$d’ /var/lib/bind/etc/rndc.key
- Результат:
- Перед запуском службы остается поменять группу у файлов зон, которые были созданы ранее, на named
- а также проверить конфигурационные файлы и файлы зон командами named-checkconf и named-checkconf -z соответственно:
- После этого можно запустить службу bind:
systemctl enable --now bind.service
- Проверить статус службы:
systemctl status bind.service
- Результат:
- Проверить доступ в сеть Интернет средствами утилиты ping, учитывая, что в качестве DNS-сервера используется HQ-SRV:
- Используя утилиту host или nslookup проверить записи типа A, PTR:Записи типа A:
11. Настройте часовой пояс на всех устройствах
Задание:
- Настройте часовой пояс на всех устройствах (за исключением виртуального коммутатора, в случае его использования) согласно месту проведения экзамена
Вариант реализации:
HQ-RTR и BR-RTR:
- Настройте часовой пояс на всех устройствах, согласно месту проведения экзамена:HQ-RTR:
hq-rtr(config)#ntp timezone utc+3
hq-rtr(config)#write memory
Building configuration...
hq-rtr(config)#
- BR-RTR:
br-rtr(config)#ntp timezone utc+3
br-rtr(config)#write memory
Building configuration...
br-rtr(config)#
- Проверить:
show ntp timezone
ISP | HQ-SRV | HQ-CLI | BR-SRV:
- Настройте часовой пояс на всех устройствах, согласно месту проведения экзамена:
timedatectl set-timezone Europe/Moscow
- На JeOS возможно потребуется установка пакета tzdata:
- Проверить:
timedatectl