1. провести анализ сетевого подключения и заполнить таблицу:
на ideco: перейти на ПК: сервисы > сетевые интерфейсы
на alt-w: terminal > ip -br a
на eco-router: en > sh run

2. настроить подключение к провайдеру
использовать маршруты по умолчанию — у провайдера первый адрес в сети:
R-DT: ip route 0.0.0.0/0 172.16.4.1 (последнее адрес ISP)
R-HQ: ip route 0.0.0.0/0 172.16.5.1 (последнее адрес ISP)

3. настройка динамической трансляции адресов
настроить динамическую трансляцию адресов на устройствах, где требуется
все устройства должны выходить в инет
на R-DT:
int isp (названия того, кто подключен к ISP)
ip nat outside
ex
int fw-dt (название того, кто подключен FW-DT)
ip nat inside
ex
ip nat pool LOCAL-DT 192.168.11.1-192.168.11.254 (указывать сеть FW-DT)
ip nat source dynamic inside-to-outside pool LOCAL-DT overload 172.16.4.2 (адрес внешнего интерфейса к ISP)

на R-HQ:
int isp (названия того, кто подключен к ISP)
ip nat outside
ex
int cli-hq (название того, кто подключен CLI-HQ)
ip nat inside
ex
ip nat pool LOCAL-HQ 192.168.20.1-192.168.20.254 (указывать сеть CLI-HQ)
ip nat source dynamic inside-to-outside pool LOCAL-HQ overload 172.16.5.2 (адрес внешнего интерфейса к ISP)

7. настройка клиентам выход в Интернет
а) настройка на FW-DT
создать учетную запись internet и пароль P@ssw0rd123
FW-DT: Учетные записи > добавить новую по заданию
b) настройка на FW
создать учетную запись user и пароль P@ssw0rd123
создать учетную запись superuser и пароль P@ssw0rd123
FW: Учетные записи > добавить новые по заданию
ii)настроить вуб-аутентификацию (вход через веб использовать ideco NGFW — fw.au.team)
FW: авторизация — основные > поставить галочку «Веб-аутентификация» (аутентификация ч/з веб интерфейс) > доменное имя fw.au.team
iii)настроить ограничение скорости. для user до 10Мбит/с, для superuser в 30Мбит/с
FW: правила трафика > ограничение скорости
для пользователя user: добавить > название «user» > применить для «user» > скорость «9» (т.к. условие ДО 10Мбит/с)
для пользователя superuser: добавить > название «superuser» > применить для «superuser» > скорость «30» (т.к. условие В 30Мбит/с)

4. Между маршрутизаторами R-DT и D-HQ необходимо сконфигурировать ip-туннель
использовать GRE
использовать сеть 10.10.10.0 с минимальной маской
используем 30 маску, т.к. в ней всего 2 адреса, что нам подходит для выполнения условия минимальной маски + на R-DT адрес .1 на R-HQ .2 т.к. читаем схему слева на право
R-DT:
int tunnel.0
des R-HQ (пояснялка куда подключен)
ip mtu 1476
ip address 10.10.10.1/30
ip tunnel 172.16.4.2 (свой внешний адрес) 172.16.5.2 (внешний адрес R-HQ)
R-HQ:
int tunnel.0
des R-DT (пояснялка куда подключен)
ip mtu 1476
ip address 10.10.10.2/30
ip tunnel 172.16.5.2 (свой внешний адрес) 172.16.4.2 (внешний адрес R-DT)

5. между FW и FW-DT сделать ip-туннель
использовать GRE over IPsec
использовать PSK P@ssw0rd
использовать 10.10.0.0 с минимальной маской (соответственно /30)

6. настроить OSPF
а. R-DT — FW-DT
i. использовать ospf
ii. маршрутизатор должен быть защищен от вброса маршрутов с любых интерфейсов, кроме тех, на которых обмен маршрутами явно требуется
b. R-DT — R-HQ
i. использовать ospf
ii. маршрутизатор должен быть защищен от вброса маршрутов с любых интерфейсов, кроме тех, на которых обмен маршрутами явно требуется
iii. обеспечить защиту протокола посредством пароля (P@ssw0rd)
c. FW — FW-DT
i. использовать ospf

R-DT:
router ospf 1
ospf router-id 10.10.10.1 (адрес gre)
passive-interface default
no passive tunnel.0 (gre)
no passive fw-dt (FW-DT)
network 10.10.10.0 0.0.0.3 area 0 (gre)
network 192.168.11.0 0.0.0.255 area 0 (FW-DT)
ex

R-HQ:
router ospf 1
ospf router-id 10.10.10.2 (адрес gre)
passive-interface default
no passive tunnel.0 (gre)
network 10.10.10.0 0.0.0.3 area 0 (gre)
network 192.168.20.0 0.0.0.255 area 0 (CLI-HQ)
ex

FW:
FW-DT: