Администрирование сетевых устройств MikroTik

1. Переименуйте интерфейсы:
 ♦ ether1 в ether1-wan1;
 ♦ ether2 в ether2-wan2;
 ♦ беспроводной интерфейс 2,4 ГГц во wlan-2GHz;
 ♦ беспроводной интерфейс 5 ГГц во wlan-5GHz.
2. Интерфейс ether1-wan1 должен использоваться для 1-го интернет-канала. IP-адрес 1-го интернет-канала: в рамках работы можно использовать любой IP-адрес.
3. Интерфейс ether2 должен использоваться для 2-го интернет-канала. IP-адрес 2-го интернет-канала получается по DHCP от интернет-провайдера. IP-адрес периодически изменяется.
4. Для внутренней сети должен использоваться интерфейс bridge-lan, который будет объединять все проводные и беспроводные интерфейсы, кроме интерфейсов ether1-wan1 и ether2-wan2. IP-адрес интерфейса bridge-lan — 192.168.100.1/24.
5. IP-адрес сети филиала — 192.168.200.0/24.
6. IP-адрес L2TP-интерфейса головного офиса — 172.31.10.1, филиала — 172.31.10.2.

1. Для соединений, которые начаты из Интернета должен использоваться нормально закрытый файрвол, а для соединений, которые начаты из локальной сети или с самого маршрутизатора должен использоваться нормально открытый файрвол.
2. Должны быть разрешены только следующие виды входящих соединений: ICMP, L2TP/IPSec, SSH, WinBox.
3. Доступ по WinBox и SSH из Интернета должен быть разрешен только для доверенных IP-адресов.
4. Все DNS-запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
5. У каждой из линий технической поддержки должен быть свой минимально необходимый набор прав, для того чтобы использовать следующие возможности:
 ♦ У 1-й линии ТП должны быть только следующие права:
  ○ доступ только через WebFig с использованием индивидуального скина;
  ○ использование командной строки, доступной в WebFig;
  ○ использование тестовых утилит;
  ○ перезагрузка устройства.
 ♦ У 2-й линии ТП должны быть все права, кроме прав на:
  ○ управление учетными записями пользователей маршрутизатора;
  ○ обмен файлами между локальным компьютером и маршрутизатором;
  ○ изменение конфигурации.
 ♦ У 3-й линии ТП должны быть все права, кроме прав на:
  ○ управление учетными записями пользователей маршрутизатора;
  ○ обмен файлами между локальным компьютером и маршрутизатором.
6. Прочее:
 ♦ обнаружение соседей должно быть доступно только из внутренней сети 192.168.100.0/24;
 ♦ не должны использоваться службы telnet, ftp, www, api и api-ssl;
 ♦ подключение по MAC-WinBox и MAC-telnet должно быть доступно только из внутренней сети 192.168.100.0/24;
 ♦ использование MAC-ping должно быть запрещено.

1. Необходимо обеспечить защищенное соединение между головным офисом и филиалом в другом городе с помощью туннеля L2TP/IPsec. Настраиваемый маршрутизатор должен быть L2TP-сервером. Настройки маршрутизатора из филиала предоставлять не надо.
2. Для подключения должен использоваться статический L2TP-интерфейс. Логин и пароль L2TP, а также пароль IPsec выберите на свое усмотрение.
3. IP-адресация, которая должна использоваться, приведена в начале задания.
4. Пользователи головного офиса должны иметь доступ к сетевым ресурсам филиала, а пользователи филиала доступ к сетевым ресурсам головного офиса. Пример использования ресурсов: отправка на печать на принтер, расположенный в другом офисе, или доступ к сетевым папкам другого офиса.

1. Скорость на загрузку и выгрузку для 1-го интернет-канала – 50 Мбит/c, а для 2-го – 25 Мбит/с.
2. В сети есть устройства с IP-адресами 192.168.100.101 и 192.168.100.102, которым должна быть в полном объеме доступна скорость используемого интернет-канала, но при этом они должны иметь самый низкий приоритет доступа к интернет-ресурсам и гарантированную скорость 5 Мбит/с в каждом из направлений.
3. Всем остальным устройствам должна быть в полном объеме доступна скорость используемого интернет-канала с учетом приведенных выше ограничений. Трафик таких устройств должен иметь более высокий приоритет по сравнению с устройствами из второго пункта.
4. Независимо от используемого интернет-канала трафик IP-телефонии на базе Mango Office (81.88.86.0/24) должен потреблять не более 10 Мбит/с в каждом из направлений. Трафик IP-телефонии должен иметь самый высокий приоритет по сравнению с любыми другими видами трафика.
5. Должна быть возможность смотреть графики приоритизируемого трафика.
6. Все приведенные выше задачи должны быть решены без маркировки трафика (/ip firewall mangle).

Примечание: при настройке надо учитывать специфику конкретного устройства: возможное отсутствие радиомодуля, работающего на частоте 5 ГГц, поддерживаемые беспроводные стандарты и используемый беспроводной пакет. В зависимости от этого те или иные настройки могут оказаться неприменимыми. Если настраиваемое устройство вообще не имеет беспроводных интерфейсов, то их можно не настраивать.

1. Настройки беспроводной сети, работающей в диапазоне 2,4 ГГц:
 ♦ имя сети – GW-2;
 ♦ региональные ограничения:
  ○ для пакета wireless – russia2,
  ○ для пакетов wifi-qcom и wifi-qcom-ac – отключены;
 ♦ поддержка поправок IEEE 802.11n/ac/ax;
 ♦ мощность передатчика (только для пакетов wifi-qcom и wifi-qcom-ac) – 16 дБм;
 ♦ диапазон частот – 2400–2480 МГц;
 ♦ ширина канала – 20 МГц;
 ♦ способы аутентификации – WPA2-PSK и WPA3-PSK;
 ♦ повторное сканирование частотного диапазона – 2–4 часа;
 ♦ поддержка самого последнего доступного беспроводного стандарта;
 ♦ поддержка WMM – включена;
 ♦ технология WPS – отключена;
 ♦ пароль – password.
2. Настройки беспроводной сети, работающей в диапазоне 5 ГГц:
 ♦ имя сети – GW-5;
 ♦ региональные ограничения:
  ○ для пакета wireless – russia2,
  ○ для пакетов wifi-qcom и wifi-qcom-ac – отключены;
 ♦ поддержка поправок IEEE 802.11n/ac/ax;
 ♦ мощность передатчика (только для пакетов wifi-qcom и wifi-qcom-ac) – 18 дБм;
 ♦ диапазоны частот: 5170–5250, 5250–5330, 5650–5730 и 5735–5835 МГц;
 ♦ ширина канала – 40 МГц;
 ♦ способы аутентификации – WPA2-PSK и WPA3-PSK;
 ♦ повторное сканирование частотного диапазона – 2–4 часа;
 ♦ поддержка самого последнего доступного беспроводного стандарта;
 ♦ поддержка WMM – включена;
 ♦ технология WPS – отключена;
 ♦ пароль – password.
3. Если используется беспроводной пакет wifi-qcom или wifi-qcom-ac, то приведенные выше параметры необходимо задать в настройках соответствующих сетевых адаптеров, а не через настройки во вкладках окна WiFi (Configuration, Channel, Security и др.).
4. Подключение к беспроводной сети должно происходить только от устройств с MAC-адресами 3C-7C-3F-F5-7F-6E и 60-32-B1-B9-65-B7. Все остальные устройства не должны иметь возможности подключиться, даже если на них будет введен корректный пароль. Подключение к беспроводной сети должно происходить только от устройств с MAC-адресами 3C-7C-3F-F5-7F-6E и 60-32-B1-B9-65-B7. Все остальные устройства не должны иметь возможности подключиться, даже если на них будет введен корректный пароль.

1. На маршрутизаторе должен быть настроен DHCP-сервер, который будет выдавать IP-адреса из диапазона 192.168.100.101 – 192.168.100.150 с периодом аренды 24 часа. Также DHCP-сервер должен выдавать DNS-суффикс int.
2. IP-адрес 192.168.100.101 всегда должен выдаваться устройству с MAC-адресом 3C:7C:3F:F5:7F:6E, а 192.168.100.102 – устройству c MAC-адресом 60:32:B1:B9:65:B7.
3. Маршрутизатор должен выполнять роль DNS-сервера для узлов, находящихся во внутренней сети. А сам маршрутизатор должен обрабатывать DNS-запросы с помощью вышестоящих DNS-серверов 77.88.8.1, 77.88.8.8.
4. В сети установлены два веб-сервера, каждый из которых должен быть доступен извне. Оба веб-сервера работают на порте 443. При этом:
 ♦ 1-й веб-сервер с IP-адресом 192.168.100.11 должен быть доступен извне по стандартному порту 443;
 ♦ 2-й веб-сервер с IP-адресом 192.168.100.12 должен быть доступен извне по нестандартному порту 600.
5. Маршрутизатор должен синхронизировать время с сервером времени, находящимся в Интернете с учетом того, что головной офис находится в Москве.
6. Выделенной группе сотрудников в рабочее время (с 09:00 до 18:00) должны быть недоступны сайты ok.ru и vk.com. Устройства этих сотрудников имеют IP-адреса 192.168.100.101 и 192.168.100.102.
7. В случае исчезновения 1-го интернет-канала должно произойти автоматическое переключение на 2-й интернет-канал. Когда работа 1-го канала восстановится, должно произойти автоматическое переключение назад, на 1-й канал.
8. Созданная конфигурация должна включать учетные записи пользователей маршрутизатора и их пароли.
9. Имя устройства – GW.