Решение первого модуля Демоэкзамена СиСА 2025 - friend4all/DEMO2025 GitHub Wiki

Решение первого модуля Демоэкзамена СиСА 2025

Задание:
Необходимо разработать и настроить инфраструктуру информационно­коммуникационной системы согласно предложенной топологии (см. Рисунок 1). Задание включает базовую настройку устройств:

  • присвоение имен устройствам,
  • расчет IP-адресации,
  • настройку коммутации и маршрутизации.

В ходе проектирования и настройки сетевой инфраструктуры следует вести отчет о своих действиях, включая таблицы и схемы, предусмотренные в задании. Итоговый отчет должен содержать одну таблицу и пять отчетов о ходе работы. Итоговый отчет по окончании работы следует сохранить на диске рабочего места.

Рисунок 1. Топология сети

Что надо сделать для первого модуля
Общее:
Адресация
6 сетей:

Название | Адресация | VLAN -- | -- | -- ISP-HQ | 172.16.4.0/28 | — ISP-BR | 172.16.5.0/28 | — HQ-SRV | 192.168.1.0/26 | 100 HQ-CLI | 192.168.2.0/28 | 200 HQ-MGMT | 192.168.3.0/29 | 999 BR | 192.168.4.0/27 | —

Все последующие задания разделяются пустой строкой

Настройка ISP

hostnamectl hostname ISP.au-team.irpo

cd /etc/net/ifaces
mkdir ens19 ens20
echo "TYPE=eth" >> ens19/options
echo "172.16.4.1/28" >> ens19/ipv4address
echo "TYPE=eth" >> ens20/options
echo "172.16.5.1/28" >> ens20/ipv4address
systemctl restart network


echo "net.ipv4.ip_forwarding=1" >> /etc/sysctl.conf
sysctl -p


apt-get update && apt-get install firewalld -y
firewall-cmd --zone=external --change-interface=ens18
firewall-cmd --zone=trusted --change-interface=ens19
firewall-cmd --zone=trusted --change-interface=ens20
firewall-cmd --runtime-to-permanent


timedatectl set-timezone Asia/Yekaterinburg

Данная настройка включает в себя:

  1. Настройку доменного имени
  2. Настройку сети
  3. Включение маршрутизации пакетов
  4. Установку и настройку сетевого экрана для NAT
  5. Настройку часового пояса

Настройка HQ-RTR

hostname HQ-RTR
ip domain-name au-team.irpo

int ISP
ip add 172.16.4.2/28
int SRV
ip add 192.168.1.1/26
int CLI
ip add 192.168.2.1/28
int MGMT
ip add 192.168.3.1/29


port te0
service-instance ISP
encap untagged
connect ip int ISP
port te1
service-instance SRV
encap dot1q 100
rewrite pop 1
connect ip int SRV
port te1
service-instance CLI
encap dot1q 200
rewrite pop 1
connect ip int CLI
port te1
service-instance MGMT
encap dot1q 999
rewrite pop 1
connect ip int MGMT


username net_admin
password P@ssw0rd
role admin
activate


interface tunnel.1
ip address 10.10.10.1/30
ip tunnel 172.16.4.2 172.16.5.2 mode gre


ip route 0.0.0.0/0 172.16.4.1


router ospf 1
network 10.10.10.0 0.0.0.3 area 0.0.0.0
network 192.168.0.0 0.0.255.255 area 0.0.0.0
interface tunnel.1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 Demo2025
ip ospf network point-to-point


ip pool CLI 192.168.2.2-192.168.2.14
dhcp-server 1
pool CLI 1
dns 192.168.0.2
domain-name au-team.irpo
gateway 192.168.2.1
mask 255.255.255.240
interface CLI
dhcp-server 1


ip nat pool HQ 192.168.1.1-192.168.3.254
ip nat source dynamic inside-to-outside pool HQ overload interface ISP
interface ISP
ip nat outside
interface SRV
ip nat inside
interface CLI
ip nat inside
interface MGMT
ip nat inside


ntp timezone utc+5

Эти настройки включают в себя:

  1. Настройку имени и доменного имени
  2. Создание сетевых интерфейсов
  3. Привязка интерфейсов к сетевым портам
  4. Создание пользователя
  5. Создание сетевого туннеля
  6. Создание маршрута по умолчанию
  7. Настройка OSPF
  8. Настройка DHCP
  9. Настройка NAT
  10. Настройка часового пояса

Настройка BR-RTR

hostname BR-RTR
ip domain-name au-team.irpo

int ISP
ip add 172.16.5.2/28
int BR
ip add 192.168.4.1/27


port te0
service-instance ISP
encap untagged
connect ip int ISP
port te1
service-instance BR
encap untagged
connect ip int BR


interface tunnel.1
ip mtu 1400
ip address 10.10.10.2/30
ip tunnel 172.16.5.2 172.16.4.2 mode gre


ip route 0.0.0.0/0 172.16.5.1


router ospf 1
network 10.10.10.0 0.0.0.3 area 0.0.0.0
network 192.168.4.0 0.0.0.255 area 0.0.0.0
interface tunnel.1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 Demo2025
ip ospf network point-to-point


ip nat pool HQ 192.168.4.1-192.168.4.254
ip nat source dynamic inside-to-outside pool HQ overload
interface ISP
ip nat outside
interface BR
ip nat inside


ntp timezone utc+5


username net_admin
password P@ssw0rd
role admin
activate

Настройка BR-RTR идентична HQ-RTR за исключением отсутствия VLAN на портах и настройки DHCP сервера

Настройка HQ-SRV

hostnamectl hostname HQ-SRV.au-team.irpo

cd /etc/net/ifaces
mkdir ens18
echo "TYPE=eth" >> ens18/options
echo "192.168.1.2/26" >> ens18/ipv4address
echo "default via 192.168.1.1" >> ens18/ipv4route
echo "nameserver 8.8.8.8" >> ens18/resolv.conf  #так должно быть, иначе на скачаете пакеты для DNS


useradd -m -u 1010 sshuser
passwd sshuser
usermod -aG wheel sshuser


EDITOR=mcedit visudo
раскомментировать (удалить #) на строке WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL


cd /etc/openssh
mcedit sshd_config
Дописать следующие строки
Port 2024
MaxAuthTries 2
Banner /etc/openssh/banner
AllowUsers sshuser
Выполнить команду
echo "Authorized access only" >> /etc/openssh/banner


timedatectl set-timezone Asia/Yekaterinburg

Настройки включают:

  1. Настройку доменного имени
  2. Настройку сети
  3. Создание пользователя (и добавление прав на sudo)
  4. Настройка беспарольного sudo
  5. Настройка SSH
  6. Настройка часового пояса

Настройка BR-SRV

hostnamectl hostname BR-SRV.au-team.irpo

cd /etc/net/ifaces
mkdir ens18
echo "TYPE=eth" >> ens18/options
echo "192.168.4.2/26" >> ens18/ipv4address
echo "default via 192.168.4.1" >> ens18/ipv4route
echo "nameserver 192.168.1.2" >> ens18/resolv.conf


useradd -m -u 1010 sshuser
passwd sshuser
usermod -aG wheel sshuser


EDITOR=mcedit visudo
раскомментировать (удалить #) на строке WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL


cd /etc/openssh
mcedit sshd_config
Дописать следующие строки
Port 2024
MaxAuthTries 2
Banner /etc/openssh/banner
AllowUsers sshuser
Выполнить команду
echo "Authorized access only" >> /etc/openssh/banner


timedatectl set-timezone Asia/Yekaterinburg

Настройка идентична настройке HQ-SRV (только адреса различаются)

Настройка DNS на HQ-SRV

  1. Установите требуемые пакеты: apt-get update && apt-get install bind nano bind-utils -y
  2. Отредактируйте следующие параметры в файле /etc/bind/options.conf (не забывайте про «;»)
listen-on { 127.0.0.1; }; на listen-on { any; };
//forwarders { }; на forwarders { 8.8.8.8;};

3. Допишите следующие строки к файлу /etc/bind/local.conf

zone "au-team.irpo" {
type master;
file "/etc/bind/zone/au.db";
};
zone "168.192.in-addr.arpa" {
type master;
file "/etc/bind/zone/rev-au.db";
};

4. Создайте файл зоны по пути /etc/bind/zone/au.db со следующим текстом:

$TTL    1D
@       IN      SOA     au-team.irpo. root.au-team.irpo. (
$DATE      ; serial
12H             ; refresh
1H              ; retry
1W              ; expire
1H              ; ncache
)
IN	NS      au-team.irpo.
IN	A	192.168.1.2
HQ-RTR	IN	A	192.168.1.1
HQ-SRV	IN	A	192.168.1.2
HQ-CLI	IN	A	192.168.2.2
BR-RTR	IN	A	192.168.4.1
BR-SRV	IN	A	192.168.4.2
moodle	IN	CNAME	HQ-RTR
wiki	IN	CNAME	HQ-RTR

5. Создайте файл обратной зоны по пути /etc/bind/zone/rev-au.db со следующим текстом:

$TTL    1D
@       IN      SOA     au-team.irpo. root.au-team.irpo. (
$DATE      ; serial
12H             ; refresh
1H              ; retry
1W              ; expire
1H              ; ncache
)
IN      NS      au-team.irpo.
1.1	IN	PTR		HQ-RTR.au-team.irpo.
2.1	IN	PTR		HQ-SRV.au-team.irpo.
2.2	IN	PTR		HQ-CLI.au-team.irpo.

6. Перезапустите DNS-сервер командой systemctl restart bind

7. Замените используемый DNS сервер в настройках сети, и перезапустите ее

echo "nameserver 192.168.1.2" > /etc/net/ifaces/ens18/resolv.conf
systemctl restart network
⚠️ **GitHub.com Fallback** ⚠️