Демо экзамен системный администратор

Задания для конкурса:

Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux»

Версия 1 от 28.09.20.

ВВЕДЕНИЕ

Умение работать с системами на основе открытого исходного
кода становится все более важным навыком для тех, кто желает построить успешную
карьеру в ИТ. Данное конкурсное задание содержит множество задач, основанных на
опыте реальной эксплуатации информационных систем, в основном, интеграции и
аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы
точно сможете обслуживать информационную инфраструктуру большого предприятия.

ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ

Данное конкурсное задание разработано с использованием
различных открытых технологий, с которыми вы должны быть знакомы по
сертификационным курсам LPIC и Red Hat. Задания поделены на следующие секции:

• Базовая конфигурация
• Конфигурация сетевой инфраструктуры
• Службы централизованного управления и журналирования
• Конфигурация служб удаленного доступа
• Конфигурация веб-служб
• Конфигурация служб хранения данных
• Конфигурация параметров безопасности и служб аутентификации

Секции независимы друг от друга, но вместе они образуют
достаточно сложную инфраструктуру. Некоторые задания достаточно просты и
понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые
технологии должны работать в связке или поверх других технологий. Например,
динамическая маршрутизация должна выполняться поверх настроенного между
организациями туннеля. Важно понимать, что если вам не удалось настроить
полностью технологический стек, то это не означает, что работа не будет оценена.
Например, для удаленного доступа необходимо настроить IPsec-туннель, внутри
которого организовать GRE-туннель. Если, например, вам не удалось настроить
IPsec, но вы смогли настроить GRE, то вы все еще получите баллы за организацию
удаленного доступа.

ИНСТРУКЦИИ  ДЛЯ
УЧАСТНИКА

В первую очередь необходимо прочитать задание полностью.
Следует обратить внимание, что задание составлено не в хронологическом порядке.
Некоторые секции могут потребовать действий из других секций, которые изложены
ниже. На вас возлагается ответственность за распределение своего рабочего
времени. Не тратьте время, если у вас возникли проблемы с некоторыми заданиями.
Вы можете использовать временные решения (если у вас есть зависимости в
технологическом стеке) и продолжить выполнение других задач. Рекомендуется
тщательно проверять результаты своей работы.

Доступ ко всем
виртуальным машинам настроен по аккаунту root:toor.

Если Вам требуется
установить пароль, (и он не указан в задании) используйте: “P@ssw0rd”.

Виртуальная машина ISP преднастроена. Управляющий доступ участника к
данной виртуальной машине для выполнения задания не предусмотрен. При попытке
его сброса возникнут проблемы.

Организация LEFT включает виртуальные машины: L-SRV, L-FW,
L-RTR-A, L-RTR-B, L-CLI-A, L-CLI-B.

Организация RIGHT включает виртуальные машины: R-SRV, R-FW,
R-RTR, R-CLI.

НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ

Ожидается, что конкурсное задание выполнимо Участником с
привлечением оборудования и материалов, указанных в Инфраструктурном Листе.

В качестве системной ОС в организации LEFT используется CentOS 8

В качестве системной ОС в организации RIGHT используется CentOS 8

В обоих офисах возможно замещение ОС на Alt Linux

Для установки дополнительных пакетов, вам доступны интернет
репозитории через YUM- Proxy http://10.10.10.1:3128

Участники не имеют права пользоваться любыми устройствами, за
исключением находящихся на рабочих местах устройств, предоставленных
организаторами.

Участники не имеют права приносить с собой на рабочее место заранее
подготовленные текстовые материалы.

В итоге участники должны обеспечить наличие и функционирование в
соответствии с заданием служб и ролей на указанных виртуальных машинах. При
этом участники могут самостоятельно выбирать способ настройки того или иного
компонента, используя предоставленные им ресурсы по своему усмотрению.

СХЕМА
ОЦЕНКИ

Каждый субкритерий имеет приблизительно одинаковый вес.
Пункты внутри каждого критерия имеют разный вес, в зависимости от сложности
пункта и количества пунктов в субкритерии.

Схема оценка построена таким образом, чтобы каждый пункт
оценивался только один раз. Например, в секции «Базовая конфигурация»
предписывается настроить имена для всех устройств, однако этот пункт будет
проверен только на одном устройстве и оценен только 1 раз. Одинаковые пункты
могут быть проверены и оценены больше чем 1 раз, если для их выполнения
применяются разные настройки или они выполняются на разных классах устройств.

Подробное описание методики проверки должно быть разработано
экспертами, принимавшими участие в оценке конкурсного задания чемпионата, и
вынесено в отдельный документ. Данный документ, как и схема оценки, является
объектом внесения 30% изменений.

Базовая настройка

1. Настройте имена хостов в соответствии с Диаграммой.
2. Если необходимо, сформируйте файл /etc/hosts. Данный
   файл будет использован при проверке, в случае неработоспособности DNS.
3. В случае корректной работы DNS-сервисов ответы DNS
   должны иметь более высокий приоритет.
4. Разработайте адресацию для сетей на ваше усмотрение.
5. Все хосты должны быть доступны аккаунту
   root по SSH на стандартном(22) порту

Конфигурация сетевой инфраструктуры

1. Настройте IP-адресацию на ВСЕХ хостах в соответствии с Диаграммой.
2. Настройте сервер протокола динамической конфигурации хостов для L-CLI-A и L-CLI-B
   • В качестве DHCP-сервера организации LEFT используйте L-RTR-A.
     1. Используйте пул адресов 172.16.100.65 — 172.16.100.75 для сети L-RTR-A
     1. Используйте пул адресов 172.16.200.65 — 172.16.200.75 для сети L-RTR-B
     1.                                                           iii)      Используете адрес L-SRV в качестве адреса DNS-сервера.
   • Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксированный IP-адрес в соответствии с Диаграммой.
   • В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего маршрутизатора в локальной сети.
   • Используйте DNS-суффикс skill39.wsr.
   • DNS-записи типа A и PTR соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера.
3. На L-SRV настройте службу разрешения доменных имен
   • Сервер должен обслуживать зону skill39.wsr.
   • Сопоставление имен организовать в соответствии с Таблицей 1.
   • Настройте на R-SRV роль вторичного DNS сервера для зоны skill39.wsr.
     1. Используете адрес R-SRV в качестве адреса DNS-сервера для R-CLI.
   • Запросы, которые выходят за рамки зоны skill39.wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя ya.ru.
   • Реализуйте поддержку разрешения обратной зоны.
   • Файлы зон располагать в /opt/dns/
4. На L-FW и R-FW настройте интернет-шлюзы для организации коллективного доступа в Интернет.
   • Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса.
   • Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
   • Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L-SRV. www.skill39.wsr должен преобразовываться во внешний адрес R-FW.

Конфигурация систем централизованного
управления пользователями и компьютерами

1. Разверните LDAP-сервер для организации централизованного управления учетными записями на базе 389 Directory Server
   • В качестве сервера выступает L-SRV.
   • Создайте учетные записи ldapuser1 и ldapuser2
   • L-CLI-A, L-SRV и L-CLI-B должны аутентифицироваться через LDAP.

Конфигурация служб мониторинга,резервного
копирования, журналирования

1. На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV.
   • Журналы должны храниться в директории /opt/logs/.
   • Журналирование должно производится в соответствии с Таблицей 3.
   • Обеспечьте ротацию логов со следующими параметрами:
     1. Размер одного файла логов не превышает 1MB
     2. При ротации следует использовать сжатие
     3. Обеспечьте хранение не более 5 файлов журналов

• Разверните приложение loganalyzer на сервере L-SRV
  • В качестве источников данных используйте собираемые
    логи в /opt/logs
  • Доступ должен осуществляться по имени logs.skill39.wsr,
    по протоколу https.
  • Реализуйте перенаправление http->https

            Конфигурация
служб удаленного доступа

1. На L-FW настройте сервер удаленного доступа на основе технологии OpenConnect
   • Сервер должен работать на порту 4443 для tcp и udp
   • В качестве сертификатов используйте сертификаты, выданные R-FW
   • Разрешите исследование mtu
   • Если клиент не активен в течении 30 минут, подключение должно быть разорвано
   • В качестве адресного пространства для клиентов используйте 10.8.8.0/24
   • Настройте использование DNS серверов предприятия и выдачу корректного доменного имени
   • Все DNS запросы должны проходить через VPN туннель
   • Сконфигурируйте пользователя vpnuser с паролем vpnpass. В качестве места хранения пользователя используйте локальную базу данных
2. На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenConnect
   • Реализуйте автоматическое подключение к VPN сервису предприятия
     1. Создайте юнит connect.service
     2. Обеспечьте запуск юнита connect после достижения network-online.target
     3. В качестве описания юнита задайте “VPN Connector to skill39.wsr”
3. Настройте защищенный канал передачи данных между L-FW и R-FW с помощью технологии IPSEC:
   1. Параметры политики первой фазы IPSec:
      • Проверка целостности SHA-1
      • Шифрование 3DES
      • Группа Диффи-Хеллмана — 14 (2048)
      • Аутентификация по общему ключу WSR-2019
   2. Параметры преобразования трафика для второй фазы IPSec:
      • Протокол ESP
      • Шифрование AES
      • Проверка целостности SHA-2
   3. В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между L-FW и R-FW
4. Настройте GRE-туннель между L-FW и R-FW:
   1. Используйте следующую адресацию внутри GRE-туннеля:
      • L-FW: 10.5.5.1/30
      • R-FW: 10.5.5.2/30

Настройка маршрутизации

• Настройте динамическую маршрутизацию по протоколу OSPF
  с использованием пакета FRR:
  • Анонсируйте все сети, необходимые для достижения полной
    связности.
  • Применение статических маршрутов не допускается.
  • В обмене маршрутной информацией участвуют L-RTR-A,
    L-RTR-B, R-RTR, L-FW и R-FW.
  • Соседство и обмен маршрутной информацией между L-FW и
    R-FW должно осуществляться исключительно через настроенный GRE-туннель.
  • Анонсируйте сети локальных интерфейсов L-RTR-A и
    L-RTR-B.
  • Запретите рассылку служебной информации OSPF в сторону
    клиентских машин и глобальной сети.

Конфигурация веб- и почтовых служб

1. На R-SRV установите и настройте веб-сервер apache:
   1. Настройте веб-сайт для внешнего пользования www.skill39.wsr.
      • Используйте директорию /var/www/html/out.
      • Используйте порт 8088.
      • Сайт предоставляет доступ к двум файлам.
        1. index.html, содержимое “Hello, www.skill39.wsr is here!”
        2. date.php(исполняемый PHP-скрипт), содержимое:
           1. Вызов функции date(‘Y-m-d H:i:s’);
2. На R-FW настройте реверс-прокси на основе NGINX:
   1. Сайт www.skill39.wsr должен быть доступен из внешней сети по внешнему адресу R-FW
   2. Все настройки, связанные с заданием, должны содержаться в отдельном конфигурационном файле в каталоге /etc/nginx/conf.d/task.conf
      1. Конфигурация основного файла должна быть минимальной и не влиять на работу NGINX в рамках выполнения задания.
   3. Настройте SSL и автоматическое перенаправление незащищенных запросов на HTTPS-порт того же самого сервера.
   4. Реализуйте пассивную проверку работоспособности бекенда.
      • Считать веб-сервер неработающим после 4 ошибок.
      • Считать веб-сервер неработающим в течение 43 секунд.
   5. Реализуйте кэширование:
      1. Запросы к любым PHP-скриптам не должны кэшироваться.
      2. Кэширование успешных запросов к остальным типам данных должно выполняться в течение 40 секунд.

Конфигурация служб хранения данных

1. Преобразуйте в физические тома LVM все свободные носители.
   • Создайте группу логических томов WSR_LVM
   • Создайте следующие логические тома.
   • Users, 200 Мб.
   • Shares, 40% от оставшегося свободного места.
   • Обеспечьте создание снапшотов тома Backup раз в час.
   • Снапшоты создаются в формате SNAP-XX, где XX — номер снапшота, (01, 02 и т.д.)
   • Снапшоту выделяется 5% от общего объема группы томов.
   • Снапшоты должны создаваться при помощи скрипта /root/create_snap.sh
   • Создайте снапшот чистого тома Users с названием CLEAR
   • Снимок должен позволять хранение 30% изменений указанного логического тома.
   • Обеспечьте монтирование тома Users в каталог /opt/Users
   • Обеспечьте монтирование тома Shares в каталог /opt/Shares
   • Монтирование должно происходить во время загрузки системы.
2. Реализуйте файловый сервер на L-SRV
   • Создайте 2 общие папки shares и users
   • В папке shares создайте каталог workfolders. Внутри каталога workfolders создайте папки Work1 и Work2
     1. Назначьте владельцем папки Work1 пользователя ldapuser1, владельцем папки Work2 пользователя ldapuser2
     2. Обеспечьте автоматическое монтирование каталога workfolders по протоколу smb при входе пользователя в папку work на рабочем столе
     3. Папка work должна автоматически создаваться при входе пользователя в систему и удаляться при выходе пользователя
     4. Обеспечьте отображение рабочих папок в зависимости от прав пользователя. Пользователь должен видеть только файлы и папки к которым у него есть доступ.
   • В папке users создайте домашние папки для всех пользователей LDAP
   • Обеспечьте автоматическое подключение домашних папок при входе пользователя на машины CLI1-A и CLI1-B по протоколу SMB в директорию /home

Конфигурация параметров безопасности и
служб аутентификации

1. Настройте CA на R-FW, используя OpenSSL.
   1. Используйте /etc/ca  в качестве корневой директории CA
   2. Атрибуты CA должны быть следующими:
      • Страна RU
      • Организация WorldSkills Russia
      • CN должен быть установлен как WSR CA
   3. Создайте корневой сертификат CA
   4. Все клиентские операционные системы должны доверять CA
   5. Обеспечьте автоматический импорт сертификатов из системного хранилища в браузер firefox для всех пользователей.
2. Настройте межсетевой экран nftables на L-FW и R-FW
   1. Создайте таблицу wsr39
   2. Создайте цепочки in_chain и out_chain для входящего и исходяшего трафика
   3. Реализуйте правила работы с трафиком
      • Весь трафик, покидающий внутреннюю сеть должен проходить маскарадинг
      • Разрешите прохождение трафика, необходимого для выполнения задания
      • Весь остальной трафик следует запретить
3. На L-FW настройте удаленный доступ по протоколу SSH:
   1. Доступ ограничен пользователями ssh_p, root и ssh_c
      • В качестве пароля пользователь (кроме root) использовать ssh_pass.
      • root использует стандартный пароль
   2. SSH-сервер должен работать на порту 22
4. На OUT-CLI настройте клиент удаленного доступа SSH:
   1. Доступ к L-FW из под  локальной учетной записи root под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.

Конфигурация и
установка системы

1. На
   сервере R-SRV требуется выполнить обновление дистрибьютива CentOS 8.
   Произведите обновление ОС с использованием внешних репозиториев. Учтите,
   что на сервере присутствуют важные данные, по этому переустанавливать
   систему запрещается.

Настройка
подключений к глобальным сетям

1. Настройте корректную IP-адресацию между всеми
   устройствами в подсети 20.20.20.0/24

Таблица 1 – DNS-имена

Таблица 3 – Правила журналирования

*<HOSTNAME> — название директории для журналируемого
хоста

**В директории /opt/logs/ не должно быть файлов, кроме тех, которые указаны в таблице 

Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows»

Версия 1 от 28.09.20

ВВЕДЕНИЕ

На выполнение задания отводится
ограниченное время – подумайте, как использовать его максимально эффективно.
Составьте план выполнения работ. Вполне возможно, что для полной
работоспособности системы в итоге действия нужно выполнять не строго в той
последовательности, в которой они описаны в данном конкурсном задании.

В рамках легенды конкурсного
задания Вы – системный администратор компании, находящейся в городе Казань. В
главном офисе вы управляете доменом skill39.wsr. Вам необходимо настроить
сервисы в локальной сети головного офиса.

Компания, в которой вы
работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает
партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам
нужно помочь администратору партнерской компании с настройкой своего домена
(skill39.wsr), а потом настроить между доменами доверие.

Также Вам предстоит настроить
канал связи между офисами с помощью статических маршрутов.

Внимательно прочтите задание от
начала до конца – оно представляет собой целостную систему. При первом доступе
к операционным системам либо следуйте указаниям мастера, либо используйте
следующие реквизиты: Administrator/P@ssw0rd.

Если предоставленные виртуальные
машины начнут самопроизвольно отключаться в процессе работы, попробуйте
выполнить на них команду slmgr /rearm
или обратитесь к техническому эксперту.

КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ

1. Текстовые
   файлы:
2. данный файл с конкурсным заданием;
3. файл дополнений к конкурсному заданию, содержащий:
   описание вида предустановок, описание используемых операционных систем, а также
   рекомендации по выделению ресурсов для виртуальных машин.
4. Программное
   обеспечение:
5. Windows10.ADMX.

Участники не имеют права пользоваться любыми устройствами, за
исключением находящихся на рабочих местах устройств, предоставленных
организаторами.

Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.

Базовая
настройка

1. Адреса и хостнеймы сконфигурированы заранее. Удостоверьтесь, что конфигурация является корректной
2. Обеспечьте возможность работы протокола icmp, windows firewall при этом должен быть включен
3. Обеспечьте ввод машин в домен
   • В домене skill39.wsr должны присутствовать машины BRDC, BRWEB, BRCLI, HQDC, HQCLI, HQFS, RemoteCLI
   • Остальные машины должны быть сконфигурированы для участия в рабочей группе NONDOMAIN
4. На всех машинах обоих доменов отключите режим сна
5. Проверьте работоспособность отключенного режима сна. Без отключения режима сна проверка некоторых частей задания будет НЕВОЗМОЖНА.

Конфигурация
систем централизованного управления пользователями и компьютерами

1. На машине HQDC разверните домен skill39.wsr
   • Импортируйте пользователей из файла C:Users.csv при помощи скрипта C:import_users.ps1. В скрипте могут быть допущены ошибки. Устраните ошибки в скрипте и сохраните его с названием C:import_users_v2.ps1. Создайте организационные единицы и группы внутри. В качестве названия используйте поле Job Title пользователя. Пользователи должны располагаться в корректных организационных подразделениях и должны быть добавлены в корректные группы
   • Для пользователей IT сконфигурируйте парольную политику со следующими параметрами:
     • Длина пароля не менее 10 символов
     • Срок действия пароля 15 дней
     • Пароль должен быть комплексным
     • Парольная политика применяется только к группе IT без использования GPO
     • Сконфигурируйте название политики ITPassPolicy
   • Так же создайте в домене пользователя Secret с паролем P@ssw0rd. В качестве Job Title данного пользователя укажите Secret User. Пользователь должен располагаться в OU Users и не должен быть включен ни в какие группы, кроме групп по умолчанию. Так же сконфигурируйте параметр City для данного пользователя. Укажите значение Secret City
   • Синхронизируйте время с сервером ISPS. Все остальные машины должны синхронизировать время с HQDC
   • Поместите все клиентские машины в OU Clients, Все сервера в OU Servers. При необходимости создайте данные организационные подразделения
2. На машине BRDC разверните контроллер домена skill39.wsr только для чтения;
   1. Разрешите репликацию паролей для группы competitors
   1. Запретите репликацию паролей для группы IT и администраторов домена
3. Сконфигурируйте групповые политики в домене skill39.wsr
   1. запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
   2. члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
   3. Сконфигурируйте стартовую страницу www.skill39.wsr для всех клиентских машин, в браузерах Internet Explorer и Microsoft edge.
   4. для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U: домашнюю папку внутри папки по адресу SRV1→d:sharesIT. Папки должны создаваться динамически, при первом входе пользователя в систему
   5. На всех клиентских компьютерах домена все пользователи должны видеть ярлык приложения калькулятор
   6. Сконфигурируйте заставку рабочего стола. Заставка должна обозначать принадлежность машины к офису, например в офисе HQ заставка должна содержать слово HQ, в офисе Branch, слово Branch.

• Введите машину RemoteCLI в домен при помощи функции
  оффлайн присоединения к домену. Файл для присоединения сохраните в корне диска
  C:

Конфигурация
сетевой инфраструктуры

1. На сервере HQDC сконфигурируйте DHCP сервер для подсети офисов HQ и Branch
   1. в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети
   2. Обеспечьте отказоустойчивость DHCP между серверами  HQDC и HQFS
      • При выходе из строя DHCP сервера на HQDC в работу должен вступать сервер на HQFS. Все остальное время DHCP сервер на HQFS должен находится в режиме простоя
      • Обеспечьте автоматическое переключение между серверами не более чем за одну минуту
   3. Сконфигурируйте дополнительные опции (адреса DNS серверов и шлюз по умолчанию)
2. На машине WINRTR сконфигурируйте DHCP Relay
3. Сконфигурируйте DNS для домена skill39.wsr
   • Обеспечьте возможность разрешения обратных имен
   • Запретите использование нелатинских символов
   • Добавьте запись www.skill39.wsr таким образом, чтобы машины из офиса Branch обращались к BRWEB, а машины из офиса HQ к HQFS.

• На сервере ISP сконфигурируйте эмуляцию соединения с
  интернетом. При проверке наличия соединения с интернетом любой сервер и любой
  клиент любого офиса должны давать положительный ответ. Все машины всех офисов
  должны  считать, что они находятся в
  интернете

Конфигурация
служб хранения данных

1. Из дополнительных жестких дисков создайте массив RAID1
   и присвойте ему букву D:
2. создайте общие папки для подразделений по
   адресу SRV1→d:sharesdepartments.
   1. Просматривать и редактировать файлы в папках могут
      только члены соответствующей группы.
3. обеспечьте привязку общей папки подразделения к
   соответствующей группе пользователей в качестве диска G:.
4. пользователи домена при обращении к общим папкам, на
   доступ которым у них нет разрешений, должны получать вместо стандартного
   уведомление следующего вида: «You do not have permissions to use this path —
   [путь к папке]! Do not try it again!».
5. установите максимальный размер в 2 Gb для каждой
   домашней папки пользователя (U:);
6. запретите хранение в домашних папках пользователей
   файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов
   пользователи вправе хранить в домашних папках.
7. для хранения профилей пользователей в
   домене skill39.wsr используйте общую папку по адресу HQFS→D:Sharesprofiles;
8. каждый пользователь должен иметь доступ к файлам только
   своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в
   списке только папку со своим профилем.
9. Создайте каталог D:SharesSecret. Обеспечьте
   возможность доступа к данному каталогу только пользователям, Job Title которых
   установлен как Secret User, и параметр City — Secret City

Конфигурация
веб- и почтовых служб

1. На HQFS создайте сайт www.skill39.wsr
   1. При переходе на сайт должна быть видна надпись Welcome to Head-Quater!
   2. Сайт должен быть доступен по https
      • Используйте сертификат, выданный HQDC
      • При переходе на сайт не должно возникать ошибок, связанных с сертификатами
      • Настройте автоматическое перенаправление http -> https
   3. Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов
2. На BRWEB создайте сайт www.skill39.wsr
   1. При переходе на сайт должна быть видна надпись Welcome to Branch!!
   2. Сайт должен быть доступен по https
      • Используйте сертификат, выданный HQDC
      • При переходе на сайт не должно возникать ошибок, связанных с сертификатами
      • Настройте автоматическое перенаправление http -> https
   3. Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов

Конфигурация
параметров безопасности и служб аутентификации

1. Сконфигурируйте корневой недоменный центр сертификации на машине RootCA
   1. имя центра сертификации – HQRootCA
   2. срок действия сертификата – 8 лет;
   3. Сконфигурируйте корректные CRL и AIA
   4. Подпишите сертификат для подчиненного центра сертификации и отключите сетевой адаптер средствами операционной системы
2. Сконфигурируйте подчиненный доменный центр сертификации на машине HQDC
   1. Имя центра сертификации — HQ Sub
   2. Срок действия 5 лет
   3. Сконфигурируйте корректные CRL и AIA
   4. Создайте шаблон для группы IT. В качестве названия шаблон укажите ITUsers, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только группе IT
   5. Создайте шаблон Clients для всех клиентских компьютеров домена. В качестве названия шаблона укажите Clients, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только для клиентских ПК.
3. Все машины офисов HQ и Branch должны доверять сертификатам обоих центров сертификации

Настройка
маршрутизации

1. Сконфигурируйте WINRTR для достижения полной
   связанности между всеми офисами и интернетом.
2. Средствами Windows Firewall запретите icmp трафик из
   сети интернет до сети любого из офисов. Весь остальной трафик должен быть
   разрешен.

• Конфигурация служб мониторинга,резервного копирования, журналирования
• В данном модуле настройка не предусмотрена
• Конфигурация служб удаленного доступа
• В данном модуле настройка не предусмотрена
• Настройка подключений к глобальным сетям
• В данном модуле настройка не предусмотрена
• Конфигурация подсистемы телефонной связи
• В данном модуле настройка не предусмотрена
• Виртуализация
• В данном модуле настройка не предусмотрена
• СУБД
• В данном модуле настройка не предусмотрена
• Автоматизация администрирования
• В данном модуле настройка не предусмотрена
• Конфигурация и установка системы
• В данном модуле настройка не предусмотрена

ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ.
Настоящие дополнения содержат описание вида предустановок, описание
используемых операционных систем, рекомендации по выделению ресурсов для
виртуальных машин.

ОПИСАНИЕ
ПРЕДУСТАНОВОК

1. На
   SRV1 должно быть установлено четыре (или пять) жестких диска: один не
   менее – 25 Gb, три (четыре) – 5 Gb .
2. Все
   остальные жесткие диски всех виртуальных машин должны иметь объем не менее
   25 Gb.
3. После
   установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
4. После
   выполнения работ перезагрузка стендов остается на усмотрение экспертов.

ОПИСАНИЕ
ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ

Задание протестировано на 100% следующих сборках ОС:

·       Server 2019 –
17763.379.190312-0539;

·       Win 10
Ent  – 18362.30.190401-1528.

РЕКОМЕНДАЦИИ
ПО ВЫДЕЛЕНИЮ ОПЕРАТИВНОЙ ПАМЯТИ ВИРТУАЛЬНЫХ МАШИН

·   Windows Server
2019 Core: минимум – 1 Gb, рекомендовано – 1,5 Gb;

·   Windows Server
2019 GUI: минимум – 1,5 Gb, рекомендовано – 2 Gb;

·   Windows 10 Enterprise: минимум – 1,5 Gb, рекомендовано – 2 Gb.

Модуль С: «Пусконаладка телекоммуникационного оборудования»

Версия 1 от 28.09.20

ВВЕДЕНИЕ

Знание сетевых технологий на
сегодняшний день становится незаменимым для тех, кто хочет построить успешную
карьеру в области ИТ. Данное конкурсное задание содержит множество задач,
основанных на опыте реальной эксплуатации информационных систем, в основном
интеграции и аутсорсинге. Если вы можете выполнить задание с высоким
результатом, то вы точно сможете обслуживать информационную инфраструктуру
большого предприятия.

ОПИСАНИЕ
КОНКУРСНОГО ЗАДАНИЯ

Данное конкурсное задание
разработано с учетом различных сетевых технологий, соответствующих уровням
сертификации CCNA RS Задание разбито на следующие секции:

• Базовая настройка
• Настройка коммутации
• Настройка подключений к глобальным сетям
• Настройка маршрутизации
• Настройка служб
• Настройка механизмов безопасности
• Настройка параметров мониторинга и резервного
  копирования
• Конфигурация виртуальных частных сетей

Все секции являются независимыми
друг от друга, но вместе образуют достаточно сложную сетевую инфраструктуру.
Некоторые задания достаточно просты и понятны, некоторые могут быть
неочевидными. Можно заметить, что некоторые технологии должны работать в связке
или поверх других технологий.  Например,
может подразумеваться, что IPv6 маршрутизация должна работать поверх
настроенной виртуальной частной сети, которая, в свою очередь, должна работать
поверх IPv4 маршрутизации, которая, в свою очередь, должна работать поверх
PPPoE и Multilink и т.д. Очень важно понимать, что если вам не удается решить
какую-либо из задач по середине такого технологического стека, это не значит,
что решенные задачи не будут оценены. Например, если вы не можете настроить
динамическую маршрутизацию IPv4, которая необходима для работы виртуальной
частной сети, вы можете использовать статическую маршрутизацию и продолжать
работу над настройкой виртуальной частной сети и всем что должно работать
поверх нее. В этом случае вы не получите баллы за динамическую маршрутизацию,
но вы получите баллы за всё что должно работать поверх нее (в случае если
функциональные тесты пройдены успешно).

ИНСТРУКЦИИ
ДЛЯ УЧАСТНИКА

В первую очередь необходимо прочитать задание полностью и составить
алгоритм выполнения работы. Вам предстоит вносить изменения в действующую,
преднастроенную сетевую инфраструктуру предприятия, состоящую из головного офиса
HQ и удаленного офиса BR1. Офисы имеют связь через провайдеров ISP1 и ISP2. Вы
не имеете доступа к оборудованию провайдеров, оно полностью настроено и не
требует дополнительного конфигурирования. Вам необходимо настраивать
оборудование предприятия, а именно: SW1, SW2, SW3, HQ1, FW1 и BR1.

У вас отсутствует консольный доступ к устройствам, будьте очень
внимательны при выполнении задания! В случае потери связи с оборудованием,
вы будете виноваты сами. Разрешается
перезагрузка оборудования – только техническими экспертами. Например,
применили неправильный ACL, который закрыл доступ по telnet, но вы не успели
сохранить конфигурацию.

Руководствуйтесь пословицей: Семь раз отмерь, один раз отрежь. Для
выполнения задания у вас есть одна физическая машина (PC1 с доступом по Telnet
и установленным ASDM), которую вы должны использовать в качестве:

PC2 Виртуальный ПК, Windows 10,
Putty. Пользователь User пароль P@ssw0rd

SRV1 Виртуальный ПК, Debian
пользователь root пароль toor, с предустановленными сервисами

1) SysLog папка для проверки /Cisco_Log

2) RADIUS — FreeRadius

3) SNMP – для проверки используется пакет Net-SNMP
используйте команду snmp_test

4) NTP

5) TFTP папка для проверки /Cisco_TFTP

Следует обратить внимание, что
задание составлено не в хронологическом порядке. Некоторые секции могут
потребовать действий из других секций, которые изложены ниже. Например, задание
3 в секции «Настройка служб» предписывает вам настроить службу протокола
автоматической конфигурации хостов, которая, разумеется, не будет работать пока
не будут выполнены необходимые настройки в секции «Конфигурация коммутации». На
вас возлагается ответственность за распределение своего рабочего времени.

Не тратьте время, если у вас
возникли проблемы с некоторыми заданиями. Вы можете использовать временные
решения (если у вас есть зависимости в технологическом стеке) и продолжить
выполнение других задач. Рекомендуется тщательно
проверять результаты своей работы.

Убедитесь в том, что ваши
настройки на всех устройствах функционируют после перезагрузки всего
оборудования.

ПОДКЛЮЧЕНИЕ К УСТРОЙСТВАМ

Для подключения к FW1 используете
учетную запись с логином: cisco и
паролем: cisco, для входа в
привилегированный режим используйте пароль cisco.
Для подключения к остальным сетевым устройствам используйте пароль: cisco и пароль для привилегированного
режима: cisco

1. Базовая настройка
2. Задайте имя всех устройств в соответствии с топологией.
3. Назначьте для всех устройств доменное имя worldskills.ru
4. Создайте на всех устройствах пользователей wsruser с паролем network
   • Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
   • Пользователь должен обладать максимальным уровнем привилегий.
5. На всех устройствах установите пароль wsr на вход в привилегированный режим.
   1. Пароль должен храниться в конфигурации в виде результата хэш-функции.
6. Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.
7. Для всех устройств реализуйте модель AAA.
   1. Аутентификация на линиях виртуальных терминалов с 0 по 15 должна производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)
   2. После успешной аутентификации при удаленном подключении пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).
   3. Настройте необходимость аутентификации на локальной консоли.
   4. При успешной аутентификации на локальной консоли пользователи должны сразу должен получать права, соответствующие их уровню привилегий или роли.
8. На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля, назначьте IP-адреса.
9. На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.
   1. Используйте на линиях vty с 0 по 15 отдельный список методов с названием method_man
   2. Порядок аутентификации:
   3. Локальная
   4. RADIUS
   5. Используйте общий ключ cisco
   6. Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно
   7. Адрес RADIUS-сервера 172.16.20.20
   8. Настройте авторизацию при успешной аутентификации
   9. Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco
10. Все устройства должны быть доступны для управления по протоколу SSH версии 2.

1. Настройка
   коммутации
2. Создайте
   таблицу VLAN:
3. VLAN1000
   с именем MGT.
4. VLAN1200
   с именем DATA.
5. VLAN1300
   с именем OFFICE.
6. VLAN1500
   с именем NATIVE.
7. VLAN1600
   с именем SHUTDOWN.

• Отключите протокол VTP явным образом
• Между всеми коммутаторами настройте транки с
  использованием протокола IEEE 802.1q.
• Порты F0/10 коммутаторов SW2 и SW3, а также порт F0/1
  коммутатора SW1 должны работать без использования согласования. Отключите
  протокол DTP явным образом.
• Транк между коммутаторами SW2 и SW3 должен быть
  настроен без использования согласования. Отключите протокол DTP явным образом.
• Транки между коммутаторами SW1 и SW2, а также между SW1
  и SW3, должны быть согласованы по DTP, коммутатор SW1 должен инициировать
  создание транка, а коммутаторы SW2 и SW3 должны ожидать начала согласования
  параметров от соседа, но сами не инициировать согласование.
• Для всех магистральных каналов назначьте native vlan
  500.
• Запретите пересылку по магистральным каналам все
  неиспользуемые VLAN, в том числе VLAN1
• Настройте агрегирование каналов связи между
  коммутаторами.
• Номера портовых групп:

1 – между
коммутаторами SW1 (F0/5-6) и SW2 (F0/5-6);

2 – между
коммутаторами SW1 (F0/3-4) и SW3 (F0/3-4);

• Агрегированный канал между SW1 и SW2 должен быть
  организован с использованием протокола согласования LACP. SW1 должен быть
  настроен в активном режиме, SW2 в пассивном.
• Агрегированный канал между SW1 и SW3 должен быть
  организован с использованием протокола согласования PAgP. SW1 должен быть
  настроен в предпочтительном, SW3 в автоматическом.
• Конфигурация протокола остовного дерева:
• Используйте протокол MST.
• Сконфигурируйте имя региона WSR39
• Сконфигурируйте 2 инстанса
  • 1 — VLAN100, VLAN1200,VLAN1300
  • 2 — VLAN 1500, VLAN 1600
• В качестве корневого коммутатора для 1 инстанса
  сконфигурируйте SW1
• В качестве корневого коммутатора для 2 инстанса
  сконфигурируйте SW2
• Обеспечьте быстрое согласование магистральных каналов
  (Без ожидания MSTP)

• Настройте порты F0/10 коммутаторов SW2 и SW3 в
  соответствии с L2 диаграммой.
• Между HQ1 и FW1 настройте взаимодействие по протоколу
  IEEE 802.1Q.
• На всех устройствах, отключите неиспользуемые порты.
• На всех коммутаторах, неиспользуемые порты переведите
  во VLAN 1600.

1. Настройка
   подключений к глобальным сетям
2. Подключение FW1 к ISP1 и ISP2 осуществляется с помощью
   IPoE, настройте интерфейсы в соответствии с диаграммами L2 и L3.
   1. Передача данных между FW1 и ISP1 осуществляется не
      тегированным трафиком.
   1. Передача данных между FW1 и ISP2 осуществляется
      тегированным трафиком с использованием VLAN 901.
3. ISP3 предоставляет L2 VPN между офисами HQ и BR1.
4. Настройте передачу между HQ1, FW1 и BR1 тегированного
   трафика.

В зависимости от используемой
модели межсетевого экрана, выберите один из двух следующих пунктов задания:

Для ASA5505:

• Взаимодействие должно осуществляться по VLAN 10.

Для ASA5506:

b) Для
обеспечения L2 связности между маршрутизатором BR1 и маршрутизатором HQ1, на
межсетевом экране FW1 используйте Bridge group Virtual Interface (BVI) под
номером 2. Для этого на межсетевом экране добавьте в BVI2, два подинтерфейса: с
тегом 10 в сторону провайдера ISP3, с тегом 11 в сторону маршрутизатора HQ1. На
маршрутизаторе HQ1 в сторону межсетевого экрана FW1, создайте соответствующий
подинтерфейс. 

• Настройте подключение BR1 к провайдеру ISP1 с помощью
  протокола PPP.
  • Настройте Multilink PPP с использованием двух
    Serial-интерфейсов.
  • Используйте 1 номер интерфейса.
  • Не используйте аутентификацию.
  • BR1 должен автоматически получать адрес от ISP1.
• Настройте подключение BR1 к провайдеру ISP2 с помощью
  протокола HDLC.

1. Настройка
   маршрутизации

ВАЖНО! При
настройке протоколов динамической маршрутизации, будьте предельно внимательны
и анонсируйте подсети в соответствии с диаграммой маршрутизации, иначе не
получите баллы за протокол, в котором отсутствует необходимая подсеть, и за
тот протокол, в котором эта подсеть оказалась лишней.
Также, стоит
учесть, что провайдеры фильтруют маршруты полученные по BGP, если они не
соответствуют диаграмме маршрутизации.

1. В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической маршрутизации OSPF.
   1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
   2. HQ1 и FW1 между собой должны устанавливать соседство, только в сети 172.16.3.0/24.
   3. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
2. Настройте протокол динамической маршрутизации OSPF в офисе BR1 с главным офисом HQ.
   1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
   2. Используйте магистральную область для GRE туннелей.
   3. Соседства между офисами HQ и BR1 должны устанавливаться, как через канал L2 VPN, так и через защищенный туннель.
   4. Убедитесь в том, что при отказе выделенного L2 VPN, трафик между офисами будет передаваться через защищённый GRE туннель.
   5. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
3. Настройте протокол BGP в офисах HQ и BR1 для взаимодействия с провайдерами ISP1 и ISP2.
   1. На устройствах настройте протокол динамической маршрутизации BGP в соответствии с таблицей 1

                       Таблица 1 – BGP AS

• Настройте автономные системы в соответствии с Routing-диаграммой.
  • Маршрутизаторы HQ1 и FW1 должны быть связаны с помощью
    iBGP. Используйте для этого соседства, интерфейсы, которые находятся в подсети
    30.78.87.0/29.
  • Включите в обновления маршрутизации сети в соответствии
    с Routing-диаграммой.
  • Для офиса BR исключите из таблицы маршрутизации сеть
    14.88.22.8
• Настройте протокол динамической маршрутизации EIGRP
  поверх защищенного туннеля и выделенного канала L2 VPN между маршрутизаторами
  HQ1 и BR1.
  •  Включите
    в обновления маршрутизации сети в соответствии с Routing-диаграммой.
  • Используйте номер автономной системы 6000.

1. Настройка служб
2. В сетевой инфраструктуре сервером синхронизации времени является SRV1. Все остальные сетевые устройства должны использовать его в качестве сервера времени.
   1. Передача данных между осуществляется без аутентификации.
   2. Настройте временную зону с названием MSK, укажите разницу с UTC +3 часов.
3. Настройте динамическую трансляцию портов (PAT):
   1. На маршрутизаторе HQ1 и BR1 настройте динамическую трансляцию портов (PAT) для сети 192.168.2.0/24 в соответствующие адреса петлевых интерфейсов.
   2. Убедитесь в том, что для PC2 для выхода в интернет использует один из каналов до ISP1 или ISP2 от BR1, при недоступности обоих каналов, PC2 должен осуществлять выход в сеть интернет через каналы офиса HQ.
   3. Убедитесь, в том, что есть все необходимые маршруты, иначе проверить корректность настроенной трансляции портов, будет невозможно.
4. Настройте протокол динамической конфигурации хостов со следующими характеристиками 
5. На маршрутизаторе HQ1 для подсети OFFICE:
6. Адрес сети – 30.78.21.0/24.
7. Адрес шлюза по умолчанию интерфейс роутера HQ1.
8. Адрес NTP-сервера 172.16.20.20.
9. Компьютер PC1 должен получать адрес 30.78.21.10.

• В офисе BR1 используется аутентификация клиентов с
  помощью протокола L2TP. Для этого настройте сервер L2TP на BR1.
  • Аутентификация PC2 на сервере L2TP должна
    осуществляться по логину pc2user и паролю pc2pass.
  • PC2 должен получать ip адрес от L2TP сервера
    автоматически.
  • В качестве транспортного адреса используте адреса из
    подсети 192.168.2.0/24
  • В качестве туннельных адресов используйте подсеть
    10.8.8.0/24

1. Настройка
   механизмов безопасности
2. На маршрутизаторе BR1 настройте пользователей с
   ограниченными правами.
   1. Создайте пользователей user1 и user2 с паролем cisco
   1. Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь возможность
      выполнять все команды пользовательского режима, а также выполнять перезагрузку,
      а также включать и отключать отладку с помощью команд debug.
   1. Создайте и назначьте view-контекст sh_view на пользователя user2
3. Команду show cdp neighbor
4. Все команды show ip *
5. Команду ping
6. Команду traceroute
   1. Убедитесь, что пользователи не могут выполнять другие
      команды в рамках присвоенных контекстов и уровней привилегий.
7. На порту F0/10 коммутатора SW2, включите и настройте
   Port Security со следующими параметрами:
8. не более 2 адресов на интерфейсе
9. адреса должны динамически определяться, и сохраняться в
   конфигурации.
10. при попытке подключения устройства с адресом,
    нарушающим политику, на консоль должно быть выведено уведомление, порт не должен
    быть отключен.

• На порту f0/10 коммутатора SW2 реализуйте защиту от
  перехвата трафика между двумя узлами в одном 
  широковещательном домене
• На коммутаторе SW2 включите DHCP Snooping для подсети
  OFFICE. Используйте флеш-память в качестве места хранения базы данных.
• На коммутаторе SW2 включите динамическую проверку
  ARP-запросов в сети OFFICE.
• На маршрутизаторе BR1 настройте расширенный список
  контроля доступа для подсети 192.168.2.0/24. Заблокируйте весь исходящий и
  входящий трафик от подсети 192.168.2.0/24 в интернет за исключением:
  • Разрешите работу с DNS сервером 8.8.8.8.
  • Разрешите исходящий TCP трафик по портам 80 и 443.
  • Разрешите входящий трафик по TCP, только для тех
    соединений, если узел из подсети 192.168.2.0/24 инициирует это соединение.

1. Настройка параметров мониторинга и резервного копирования
2. На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование системных сообщений на сервер SRV1, включая информационные сообщения.
3. На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного мониторинга по протоколу SNMP v3.
   1. Задайте местоположение устройств MSK, Russia
   2. Задайте контакт admin@wsr.ru
   3. Используйте имя группы WSR.
   4. Создайте профиль только для чтения с именем RO.
   5. Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA1.
   6. Используйте имя пользователя: snmpuser и пароль: snmppass
   7. Для проверки вы можете использовать команду snmp_test на SRV1.
4. На маршрутизаторе HQ1 настройте резервное копирование конфигурации
   1. Резервная копия конфигурации должна сохраняться на сервер SRV1 по протоколу TFTP при каждом сохранении конфигурации в памяти устройства
   2. Для названия файла резервной копии используйте шаблон <hostname>-<time>.cfg

1. Конфигурация
   виртуальных частных сетей
2. Между HQ1 и BR1 настройте GRE туннель со следующими
   параметрами:
3. Используйте в качестве VTI интерфейс Tunnel1
4. Используйте адресацию в соответствии с L3-диаграммой
5. Режим — GRE multipoint
6. HQ1 является хабом
7. Параметры NHRP сконфигурируйте по своему усмотрению
8. Интерфейс-источник — Loopback-интерфейс на каждом
   маршрутизаторе.
9. Обеспечьте работу туннеля с обеих сторон через
   провайдера ISP1

• Защита туннеля должна обеспечиваться с помощью IPsec
  между BR1 и FW1.
• Обеспечьте шифрование только GRE трафика.
• Используйте аутентификацию по общему ключу.
• Параметры IPsec произвольные.

Конфигурация
подсистемы телефонной связи

1. На маршрутизаторе HQ1 сконфигурируйте CME со следующими параметрами
   • Зарегистрируйте программный телефон на PC1 с номером 104
   • Зарегистрируйте программный телефон на PC2 с номером 107
   • Обеспечьте возможность звонков с одного телефона на другой
   • Произведите необходимые настройки BR1 для регистрации телефона на PC2 в HQ CME

• Конфигурация служб удаленного доступа
• В данном модуле настройка не предусмотрена
• Конфигурация веб- и почтовых служб
• В данном модуле настройка не предусмотрена
• Конфигурация служб хранения данных
• В данном модуле настройка не предусмотрена
• Виртуализация
• В данном модуле настройка не предусмотрена
• СУБД
• В данном модуле настройка не предусмотрена
• Конфигурация систем централизованного управления пользователями и компьютерами
•  В данном модуле настройка не предусмотрена
• Автоматизация администрирования
• В данном модуле настройка не предусмотрена
• Конфигурация и установка системы
• В данном модуле настройка не предусмотрена

Топология L1

Топология L2

Топология L3

Routing-диаграмма