Углубленный курс
Администрирование сетевых устройств MikroTik

1. Переименуйте интерфейсы:
 ♦ ether1 в ether1-wan1;
 ♦ ether2 в ether2-wan2;
 ♦ беспроводной интерфейс 2,4 ГГц во wlan-2GHz;
 ♦ беспроводной интерфейс 5 ГГц во wlan-5GHz.
2. Интерфейс ether1-wan1 должен использоваться для 1-го интернет-канала. IP-адрес 1-го интернет-канала: в рамках работы можно использовать любой IP-адрес.
3. Интерфейс ether2 должен использоваться для 2-го интернет-канала. IP-адрес 2-го интернет-канала получается по DHCP от интернет-провайдера. IP-адрес периодически изменяется.
4. Для внутренней сети должен использоваться интерфейс bridge-lan, который будет объединять все проводные и беспроводные интерфейсы, кроме интерфейсов ether1-wan1 и ether2-wan2. IP-адрес интерфейса bridge-lan — 192.168.100.1/24.
5. IP-адрес сети филиала — 192.168.200.0/24.
6. IP-адрес L2TP-интерфейса головного офиса — 172.31.10.1, филиала — 172.31.10.2.

1. Для соединений, которые начаты из Интернета должен использоваться нормально закрытый файрвол, а для соединений, которые начаты из локальной сети или с самого маршрутизатора должен использоваться нормально открытый файрвол.
2. Должны быть разрешены только следующие виды входящих соединений: ICMP, L2TP/IPSec, SSH, WinBox.
3. Доступ по WinBox и SSH извне должен быть разрешен только для доверенных IP-адресов.
4. Все DNS-запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
5. У каждой из линий технической поддержки должен быть свой минимально необходимый набор прав, для того чтобы использовать следующие возможности:
 ♦ У 1-й линии ТП должны быть только следующие права:
   ○ доступ только через WebFig с использованием индивидуального скина;
   ○ использование командной строки, доступной в WebFig;
   ○ использование тестовых утилит;
   ○ перезагрузка устройства.
 ♦ У 2-й линии ТП должны быть все права, кроме прав на:
   ○ управление учетными записями пользователей маршрутизатора;
   ○ обмен файлами между локальным компьютером и маршрутизатором;
   ○ изменение конфигурации.
 ♦ У 3-й линии ТП должны быть все права, кроме прав на:
   ○ управление учетными записями пользователей маршрутизатора;
   ○ обмен файлами между локальным компьютером и маршрутизатором;
   ○ доступ к системе мониторинга Dude.
6. Прочее:
 ♦ обнаружение соседей должно быть доступно только из внутренней сети 192.168.100.0/24;
 ♦ не должны использоваться службы telnet, ftp, www, api и api-ssl;
 ♦ подключение по MAC-WinBox и MAC-telnet должно быть доступно только из внутренней сети 192.168.100.0/24;
 ♦ использование MAC-ping должно быть запрещено.

1. Необходимо обеспечить защищенное соединение между головным офисом и филиалом в другом городе с помощью туннеля L2TP/IPsec. Настраиваемый маршрутизатор должен быть L2TP-сервером. Настройки маршрутизатора из филиала предоставлять не надо.
2. Для подключения должен использоваться статический L2TP-интерфейс. Логин и пароль L2TP, а также пароль IPsec выберите на свое усмотрение.
3. IP-адресация, которая должна использоваться, приведена в начале задания.
4. Пользователи головного офиса должны иметь доступ к сетевым ресурсам филиала, а пользователи филиала должны иметь доступ к сетевым ресурсам головного офиса. Пример использования ресурсов: отправка на печать на принтер, расположенный в другом офисе, или доступ к сетевым папкам другого офиса.

1. Скорость на загрузку и выгрузку для 1-го интернет-канала – 50 Мбит/c, а для 2-го – 25 Мбит/с.
2. Независимо от используемого интернет-канала трафик IP-телефонии на базе Mango Office (81.88.86.0/24) должен потреблять не более 10 Мбит/с в каждом из направлений, но при этом он должен иметь гарантированную ширину полосы 5 Мбит/с.
3. В сети есть устройства, которым должна быть в полном объеме доступна скорость используемого интернет-канала, но при этом они должны иметь самый низкий приоритет доступа к интернет-ресурсам и гарантированную скорость 5 Мбит/с в каждом из направлений.
4. Всем остальным устройствам должна быть в полном объеме доступна скорость используемого интернет-канала с учетом приведенных выше ограничений.
5. Должна быть возможность смотреть графики приоритизируемого трафика.

Примечание: при настройке надо учитывать специфику конкретного устройства: возможное отсутствие радиомодуля, работающего на частоте 5 ГГц, поддерживаемые беспроводные стандарты и используемый беспроводной пакет. В зависимости от этого те или иные настройки могут оказаться неприменимыми. Если настраиваемое устройство вообще не имеет беспроводных интерфейсов, то их можно не настраивать.

1. Должны быть две беспроводные сети, по одной для каждого из диапазонов 2,4 и 5 ГГц.
2. Настройки беспроводной сети, работающей в диапазоне 2,4 ГГц:
 ♦ имя сети – GW-2;
 ♦ региональные ограничения:
   ○ для пакета wireless – russia2,
   ○ для пакетов wifi-qcom и wifi-qcom-ac – отключены;
 ♦ поддержка поправок IEEE 802.11n/ac/ax;
 ♦ мощность передатчика (только для пакетов wifi-qcom и wifi-qcom-ac) – 16 дБм;
 ♦ диапазон частот – 2400–2480 МГц;
 ♦ ширина канала – 20 МГц;
 ♦ способы аутентификации – WPA2-PSK и WPA3-PSK;
 ♦ повторное сканирование частотного диапазона – 2–4 часа;
 ♦ поддержка самого последнего доступного беспроводного стандарта;
 ♦ поддержка WMM – включена;
 ♦ технология WPS – отключена;
 ♦ пароль – password.
3. Настройки беспроводной сети, работающей в диапазоне 5 ГГц:
 ♦ имя сети – GW-5;
 ♦ региональные ограничения:
   ○ для пакета wireless – russia2,
   ○ для пакетов wifi-qcom и wifi-qcom-ac – отключены;
 ♦ поддержка поправок IEEE 802.11n/ac/ax;
 ♦ мощность передатчика (только для пакетов wifi-qcom и wifi-qcom-ac) – 18 дБм;
 ♦ диапазоны частот – 5170-5330 и 5735-5835 МГц;
 ♦ ширина канала – 40 МГц;
 ♦ способы аутентификации – WPA2-PSK и WPA3-PSK;
 ♦ повторное сканирование частотного диапазона – 2–4 часа;
 ♦ поддержка самого последнего доступного беспроводного стандарта;
 ♦ поддержка WMM – включена;
 ♦ технология WPS – отключена;
 ♦ пароль – password.
4. Подключение к беспроводной сети должно происходить только от устройств с MAC-адресами 3C-7C-3F-F5-7F-6E и 60-32-B1-B9-65-B7. Все остальные устройства не должны иметь возможности подключиться, даже если на них будет введен корректный пароль.

1. На маршрутизаторе должен быть настроен DHCP-сервер, который будет выдавать IP-адреса из диапазона 192.168.100.101 – 192.168.100.150 с периодом аренды 24 часа. Также DHCP-сервер должен выдавать DNS-суффикс int.
2. IP-адрес 192.168.100.101 всегда должен выдаваться устройству с MAC-адресом 3C:7C:3F:F5:7F:6E, а 192.168.100.102 – устройству c MAC-адресом 60:32:B1:B9:65:B7.
3. Маршрутизатор должен выполнять роль DNS-сервера для узлов, находящихся во внутренней сети. А сам маршрутизатор должен обрабатывать DNS-запросы с помощью вышестоящих DNS-серверов 77.88.8.1, 77.88.8.8.
4. В сети установлены два веб-сервера, каждый из которых должен быть доступен извне. Оба веб-сервера работают на порте 443. При этом:
 ♦ 1-й веб-сервер с IP-адресом 192.168.100.11 должен быть доступен извне по стандартному порту 443;
 ♦ 2-й веб-сервер с IP-адресом 192.168.100.12 должен быть доступен извне по нестандартному порту 600.
5. Маршрутизатор должен синхронизировать время с сервером времени, находящимся в Интернете с учетом того что головной офис находится в Москве.
6. Выделенной группе сотрудников в рабочее время (с 09:00 до 18:00) должны быть недоступны сайты ok.ru и vk.com. Устройства этих сотрудников имеют IP-адреса 192.168.100.101 и 192.168.100.102.
7. В случае исчезновения 1-го интернет-канала должно произойти автоматическое переключение на 2-й интернет-канал. Когда работа 1-го канала восстановится, должно произойти автоматическое переключение назад, на 1-й канал.
8. Созданная конфигурация должна включать учетные записи пользователей маршрутизатора и их пароли.
9. Имя устройства – GW.