Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. Alaphelyzet A K.V. Bank Magyarországi Fiókhálózat informatikai hálózatának korszerűsítését végzi. Az új hálózat telepítéséhez és konfigurálásához szükséges terveket és leírásokat lejjebb és a mellékelt dokumentumokban találja. A hálózati eszközök alapkonfigurációi elkészültek (config.txt), a munkaállomások és szerverek operációs rendszerei telepítve lettek. Ezzel lezárult a hálózat telepítésének első fázisa. A második fázis most kezdődik, Ön ebbe kapcsolódik be. A feladata a hálózat megvalósítása, a rendelkezésre álló eszközök és tervek alapján. Hálózattal szembeni elvárások Az R1 forgalomirányítón keresztül csatlakozik a Fiókhálózat az internetszolgáltatóhoz. A bank bécsi Központjával az interneten - biztonságos csatornán - keresztül kell tartani a kapcsolatot. A bank négy - két Linux és két Windows - szerverrel rendelkezik. Az L01 szerver a DMZben található, a bank külső és belső webes- valamint a belső e-mail szolgáltatásait kell ellátnia. Az L02 szerver a bank hálózatának hálózatmenedzsment kiszolgálását fogja végzi. A W01 és W02 szervereken már egy-egy előre telepített Windows Server 2008 R2 fut. A W01 a hálózat tartományvezérlője, így a rajta futó Active Directory már minden szükséges beállítást előre konfigurálva tartalmaz. A W02 szerver egy tagszerver lesz, mely ebben a pillanatban még nincs felruházva egyetlen egy szerepkörrel sem. A Fiókhálózat részlegeinek adatforgalma VLAN-ok használatával van elkülönítve. A szerverek, a menedzsment és a DMZ tartományokon kívül három felhasználói VLAN is definiálva van. Az épületben található két kapcsoló közötti gyors adatforgalmat EtherChannel kapcsolatnak kell biztosítania. A kapcsolók közötti trönkvonalon kizárólag a jelenleg létező VLAN-ok forgalma haladhat át. Az R1 forgalomirányítóhoz kapcsolódó R2 forgalomirányító az IPv6 címzési rendszer tesztelésére került a hálózatba. Felhasználható eszközök listája 1 db Cisco 2801 router 1 db Cisco 2811 router 2 db Cisco 2960-24TT-L switch 2 db PC 1 db notebook 1 db pendrive
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. Fizikai topológia
Virtualizáció
A PC1-n a W01 és W02 nevű virtuális gépek futnak. A host gépen szintén egy Windows Server 2008 R2 fut, ami Hyper-V szerepkörrel rendelkezik, a virtuális gépek futtatása miatt. A W01 és W02 virtuális gépek a host gép alaplapi hálózati kártyáját használják. A PC2-n két Linux szerver lett létrehozva. Mindkét szerver alapvető komponenseinek telepítése már megtörtént. A DMZ-ben található L01 szerver a hostgép alaplapi interfészére lett csatlakoztatva, míg a Management VLAN-ban található L02 szerver a plusz hálózati kártyára. A PC2 host Windows 7 operációs rendszere tesztelési célokra használható a Management VLAN-ban, a 172.22.99.15 IP cím beállításával.
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. Logikai topológia
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. A hálózat telepítésének első fázisában már elkészült feladatok listája Eszközök telepítése, kábelezés: A hálózati eszközök, szerverek és host gépek közötti kábelezés IP konfiguráció: Windows szerverek IP konfigurációja Hálózati rendszerek alapkonfigurációja egy szövegfájlban a pendrive-on: Az R1 forgalomirányító alinterfészeinek IP címzése R1 és R2 forgalomirányító összeköttetésének IP címzése OSPF forgalomirányítás konfigurációja hitelesítés nélkül SW1 és SW2 IP konfigurációja VLAN-ok létrehozása és interfészhez rendelése a switcheken (2. melléklet) A hálózati eszközökön a trönk vonalak létrehozása a VLAN-ok közötti kommunikáció biztosításához Mindkét Linux szerver alaptelepítése (csak a host név és a domain név van beállítva, illetve a root és a wsadmin felhasználók vannak felvéve – 1. melléklet) Mindkét Windows szerver alaptelepítése, valamint a W01 szerveren az AD és a DHCP szerepkörök telepítése és konfigurálása A hálózattal szemben támasztott követelmények, melyeket a telepítés második fázisában Önnek kell megvalósítania Biztonság A hálózati eszközöket csak a Management tartományból lehessen elérni és csak SSH protokollon keresztül. A hálózati eszközökre való belépéshez mind a konzol porton, mind a hálózaton át, központi hitelesítést kell használni. A hitelesítő szerver az L02 kiszolgálón fusson. A belépés csak az 1. mellékletben megadott felhasználókkal legyen lehetséges, akik a belépés után azonnal privilegizált módba kerülnek. Az eszközökön továbbá legyen beállítva egy tartalék (fallback) authentikációs lehetőség - a központi hitelesítő kiszolgáló elérhetetlenségének esetére - a lokális adatbázist használva. A tartalék felhasználó a belépés után szintén maximális jogokkal rendelkezzen. A Linux szerverekre csak SSH protokollon keresztül lehessen belépni. A root felhasználóval való belépés tiltott! Az internet felől érkező támadások ellen, minimális biztonsági intézkedésként, ki kell szűrni minden privát címről (RFC1918) érkezhető IP csomagot. Menedzsment A hálózati eszközökről Syslog segítségével, az L02 szerveren kell gyűjteni az információkat. A syslog üzeneteket minden eszközről külön fájlban a /var/log/syslog/ könyvtárba (R1.log, R2.log, SW1.log, SW2.log néven) kell menteni. E mellett az eszközöknek is tárolniuk kell a saját log üzeneteiket (64000 buffer). A naplózás szintje a Syslog szerver irányába legyen informational szintű, a lokálisan tárolt pedig egyel magasabb szintű. A Syslog üzenetek pontos értelmezhetősége miatt a hálózati eszközöknek (R1, R2, SW1, SW2) és a kiszolgálóknak (L01, W01, W02) is szinkronizálniuk kell az órájukat a L02 szerverhez. Ez a szerver a saját idejét továbbítsa a hálózati eszközök felé
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. megbízható forrásként (fudge). Publikus forrásból származó idő információkat nem használunk. A menedzsment forgalom forrásához, illetve az eszköz azonosításához a forgalomirányítóknál a Lo1 interfész címét, a kapcsolóknál a VLAN99 interfész címét kell használni. (ntp source, logging source-interface, ip radius source-interface)
LAN Az épületben található két kapcsoló közötti gyors adatforgalmat EtherChannel kapcsolatnak kell biztosítania. A kapcsolók közötti trönkvonalon kizárólag a jelenleg létező VLAN-ok forgalma haladhat át. WAN A szélessávú internet kapcsolatot az ISP biztosítja. A cég számára 4 nyilvános cím áll rendelkezésre az interfészen elhasznált címen kívül. A DMZ-ben lévő L01 szervert az IP-címeket tartalmazó 2. mellékletben feltüntetett címen kell kívülről elérni. A fennmaradt címeket használjuk a felhasználói gépek internet kapcsolatának biztosítására. A cég bécsi központjával az ISP-n, IPSec VTI tunnel-en (Tunnel1) keresztül kell tartani a kapcsolatot. A VPN titkosítási és hitelesítési információk az 1. mellékletben találhatóak. Routing A bécsi központban EIGRP (AS 100) forgalomirányító protokollt használnak, de a magyarországi képviseletet bízták meg azzal, hogy tesztelje az OSPF protokollt valós környezetben. Mivel a bécsi központ és a magyarországi fiókiroda között kétirányú kommunkáció van, ezért az útvonalirányítási információkat kölcsönösen hirdetni kell a két protokoll között. A két irányító protokoll együttműködéséről leírást a 3. mellékletben talál. Az ISP és a Fiókiroda között forgalomirányító protokoll nem futhat. Az forgalomirányító protokollokat futtató eszközök között hitelesítés kell (MD5), az ehhez használandó jelszavakat az 1. melléklet tartalmazza. IPv6 Az R2 forgalomirányítón az IPv6-os hálózat tesztelését kell most elkészíteni. A használandó IPv6 címek az 2. mellékletben találhatóak. Az IPv4-es és az IPv6-os hálózatok között statikus NAT-PT-t kell megvalósítani: Az IPv4-es tartományból el kell tudnunk érni az IPv6-os hálózatban lévő notebook-ot a 172.22.20.3-as címen. A notebook kívülről történő elérésének tesztelésére a gépre telepítendő FTP programot kell használni. A notebook-ról SSH-n keresztül be kell tudnunk jelentkezni az L01 és L02 szerverekre (NAT-PT-prefix 2001::/96). Szolgáltatások A DMZ-ben lévő L01 szervernek web szolgáltatást kell nyújtani a belső hálózatnak és a külső érdeklődöknek is. Kívülről csak a publikus oldalakat lehessen elérni a www.kvbank.hu címen. A belső intranet elérése a wwwin.kvbank.local címen történjen. A külső és belső webhelyek azonosításaként a külső weboldal kezdőlapján jelenjen meg a "www.kvbank.hu" felirat, a belső weboldal kezdőlapján pedig a "wwwin.kvbank.local" szöveg.
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. A cég belső levelezését is az L01 szerver biztosítsa, POP3, SMTP és IMAP szolgáltatásokat futtatva. A szerver webfelületén (webmail.kvbank.local) egy egyszerű webes klienssel is biztosítani kell a levelezést. (Ajánlott Squirrelmail) Fontos, hogy a belső webcímeknél ne kelljen kiírni a teljes DNS nevet egy oldal meghívásakor (például: webmail, wwwin) Fontos, hogy bizonyos adatokról időközönként biztonsági mentés készüljön. Ezért be kell állítani árnyékmásolat szolgáltatást a W01 szerver rendszermeghajtóján, hogy a megosztott mappák tartalmáról időről-időre biztonsági mentés készüljön. Az árnyékmásolathoz tartozó tárterület maximális mérete 2 GB legyen, és automatikusan fusson le 30 percenként, amíg le nem állítják azt. A bank új alkalmazottakat vesz fel az ügyfélkezelés és a könyvelés részlegbe. Az alkalmazottak listája a W01 gépen a C:\CommonShare\tagok.txt állományban található. Az AD-ban egy Accounting és egy CustomerService szervezeti egységet kell létrehozni a domain alatt. Az új alkalmazottakat fel kell venni az Active Directory-ba úgy, hogy mindenki a megfelelő szervezeti egységbe kerüljön. A most létrehozott felhasználóknak legyen lehetőségük megváltoztatni jelszavukat az első bejelentkezés alkalmával. Bizonyos felhasználóknak korlátozásokat kell bevezetni a hálózaton. Ehhez az Active Directory-ban létre kell hozni egy GPO-t Staff néven, mely legyen a Staff OUhoz társítva. A GPO-ban az alábbi korlátozások szükségesek: Ne lehessen elindítani a Feladatkezelőt, a Parancssort és a Beállításszerkesztőt. Legyen letiltva az Automatikus indítás funkció az optikai-, valamint a hordozható meghajtókra vonatkozólag. Az Internet Explorerbe ne lehessen új beépülőket telepíteni. Ellenőrizze a rendszer a felhasználó bejelentkezésekor, hogy van-e telepítve Adobe Acrobat Reader és ha nincs, akkor telepítse azt automatikusan a W01 gép C:\CommonShare megosztásából. A GPO-ban beállított tulajdonságok minden munkavállalóra jussanak érvényre, kivéve a User4 felhasználót. Tehát úgy kell beállítani a rendszert, hogy a Staff GPO beállításai a User4 felhasználóra ne legyenek hatással. Mindeközben az Active Directory jelenlegi struktúráján ne változzon semmi! A GPO-ról készüljön riport, melynek mentési helye legyen a C:\CommonShare mappa, tetszőleges fáljnév használatával. A W02 szerver legyen tagja a kvbank.local tartománynak. A kiszolgáló rendelkezzen Terminal Services és TS Web Access szerepkörrel. A licencelés most nem fontos ezért azokat a komponenseket nem kell telepíteni. Fontos, hogy a tartomány minden felhasználója tudja használni a terminálszolgáltatást. Távoli alkalmazásként publikálni kell a Paint, a WordPad és a Calculator alkalmazásokat. Ezen alkalmazásokhoz szükség van .rdp kiterjesztésű fájlokra, amiknek helye legyen a Staff csoport által is elérhető C:\CommonShare megosztott mappa. Fontos, hogy a fenti három alkalmazás a Web Access portálon keresztül is elérhető legyen. Hogy minden megfelelően működjön a hálózaton, ezért elengedhetetlen a W01 szerveren DNS rekordokat is létrehozni.
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. A beállítások teszteléséhez a notebooknak is a tartomány tagjának kell lennie.
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. 1. melléklet Konfigurációs paraméterek Alap gépek PC1 PC2 Notebook
Felhasználónév Administrator Administrator Administrator
Jelszó W$London2011 W$London2011 W$London2011
Hitelesítés Eszközök elérése (AAA) Eszközök elérése (lokális tartalék) AAA Client key
Felhasználónév wsadmin
Jelszó ws2011
localadmin
ws2011 ws2011
Linux Linux szerver Linux szerver admin Linux szerver felhasználó Forgalomirányítás Protokoll OSPF EIGRP (AS 100)
Felhasználónév root wsadmin wsuser
Jelszó ws2011 ws2011 ws2011
Kulcs ID 1
Jelszó ws2011 ws2011
IPSec Paraméter Encryption Diffie-Hellman group ISAKMP Authenticaiton Pre-shared key IPSec Transform-set
Érték 3des 2 Pre-shared ws2011 esp-3des esp-sha-hmac
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. 2. melléklet IP címzési és VLAN információk LAN alhálózatok Alhálózat neve VLAN 99 Management VLAN 2 Servers VLAN 3 DMZ VLAN 100 User100 VLAN 101 User101 VLAN 102 User102 Router Loopbacks (1) R1-R2 IPSec VTI Tunnel (1)
Tartomány 172.22.99.0/24 172.22.2.0/24 172.22.3.0/24 172.22.100.0/24 172.22.101.0/24 172.22.102.0/24 172.22.10.0/24 172.22.20.0/29 192.168.1.0/30
Hálózati eszközök, szerverek, hostok IP címe Interfész Eszköz Fa0/1.99 Fa0/1.2 Fa0/1.3 Fa0/1.100 R1 Fa0/1.101 Fa0/1.102 Lo1 S0/1/0 Tunnel1 Lo1 R2 S0/0/0 Fa0/0 SW1 VLAN99 SW2 VLAN99 Központ L01 L02 PC2 W01 W02 IPv6 PC
IP cím 172.22.99.1 172.22.2.1 172.22.3.1 172.22.100.1 172.22.101.1 172.22.102.1 172.22.10.1/32 172.22.20.1 192.168.1.2 172.22.10.2/32 172.22.20.2 2001:ab:cd23::1/96 172.22.99.2 172.22.99.3 192.168.1.1 172.22.3.20 172.22.99.10 172.22.99.15 172.22.2.11 172.22.2.12 2001:ab:cd23::2/96
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. WAN kapcsolat Kapcsolat R1 - ISP Központ - ISP VLAN portkiosztás VLAN / kapcsolat 99 2 3 100 101 102 Po1 Trönk – R1
Eszköz ISP R1 L01 Központ
IP cím 80.90.65.1 80.90.65.2 80.90.65.3 152.66.215.1
Leírás 80.90.65.0/29 tartomány
SW1
Sw2
Fa0/2 – 4 Fa0/5 – 10 Fa0/11 – 12 Fa0/13 – 17 Fa0/18 – 24 – Gi0/0 – 1 Fa0/1
Fa0/1 – 2 Fa0/3 – 4 – Fa0/5 – 10 Fa0/11 – 18 Fa0/19 – 24 Gi0/0 – 1 –
Nemzeti válogatóverseny, döntő Budapest, 2011. április 18-19 Gyakorlati feladat Április 18. 3. melléklet Redistribution Configuration Syntax and Examples EIGRP This output shows an EIGRP router redistributing Open Shortest Path First (OSPF) routes.
router eigrp 1 network 131.108.0.0 redistribute ospf 1 default-metric 10000 100 255 1 1500 EIGRP need five metrics when redistributing other protocols: bandwidth, delay, reliability, load, and MTU, respectively. Multiple EIGRP processes can run on the same router, with redistribution between them. The redistribution of EIGRP into another EIGRP process does not require any metric conversion, so there is no need to define metrics or use the default-metric command during redistribution. A redistributed static route takes precedence over the summary route because the static route has an administrative distance of 1 whereas Eigrp summary route has an administrative distance of 5. This happens when a static route is redistributed with the use of redistribute static under the Eigrp process and the Eigrp process has a default route.
OSPF This output shows an OSPF router redistributing EIGRP routes.
router ospf 1 network 131.108.0.0 0.0.255.255 area 0 redistribute eigrp 1 metric 100 subnets 8
The OSPF metric is a cost value based on 10 / bandwidth of the link in bits/sec. For example, the OSPF cost of 8 7 Ethernet is 10: 10 /10 = 10 Note: If a metric is not specified, OSPF puts a default value of 20 when redistributing routes from all protocols except Border Gateway Protocol (BGP) routes, which get a metric of 1. When there is a major net that is subnetted, you need to use the keyword subnet to redistribute protocols into OSPF. Without this keyword, OSPF only redistributes major nets that are not subnetted. It is possible to run more than one OSPF process on the same router. However, running more than one process of the same protocol is rarely needed, and consumes the router's memory and CPU. You do not need to define metric or use the default-metric command when redistributing one OSPF process into another.
