Конкурсное задание компетенции “Сетевое и системное администрирование” чемпионата ReaSkills 2026

Версия 6 от 12.01.2026

Это полезно знать

Во-первых, прочитайте задание полностью. Обратите внимание на то, что задание написано не в хронологическом порядке, последовательность действий для выполнения задания остается на ваше усмотрение. Выполнение задания на 100% за отведенное время теоретически возможно, но от вас не требуется выполнять задание полностью. Распределите время работы таким образом, чтобы заработать максимальное количество баллов.

Во время выполнения задания руководствуйтесь следующими полезными советами:

• Если вам необходимо установить пароль, но в задании не указано, какой именно – установите P@ssw0rd.
• Если вы по каким-либо причинам хотите использовать свои собственные учетные данные/адреса/dns имена – не забудьте указать их в черновике и оставить его на вашем рабочем месте.
• Внимательно проверяйте свою работу. Если эксперты не смогут подключится к чему-либо по какой-либо причине (сетевая недоступность, не подходят учетные данные) – проверка этого устройства производится не будет.
• Перед сдачей работы проверьте, что все устройства и сервисы “переживают” перезагрузку.
• Любые дополнительные комментарии и пожелания на проверку вы можете оставить для экспертов в черновике. Ваши комментарии гарантированно будут прочитаны перед проверкой или во время проверки.
• Если вы столкнулись с непониманием пункта задания – поднимите руку и спросите.
• Вы можете расходовать ваше время так, как вам этого хочется. Помните, что время, затраченное на ваши нужды, не компенсируется, за исключением обеда и случаев проблем со стороны площадки.
• Если не указано иное, доступ к любому URL ожидается по стандартным портам.
• Сервер с нужными файлами доступен по адресу http://10.150.0.200/ (далее - files).
• Сервер DNS, обслуживающий зону tech.skills, доступен по адресу 10.113.38.139.
• Доступ к необходимым ресурсам (репозитории и т.п.) предоставляется через прокси-сервер. Для настройки прокси сервера используйте следующие команды:

# на уровне оболочки
export http_proxy="http://proxy.tech.skills:3128"
export https_proxy="http://proxy.tech.skills:3128"

# на уровне пакетного менеджера apt. 
# Для этого создайте файл /etc/apt/apt.conf.d/90-proxy.conf и укажите в нём:

Acquire::http::Proxy "http://proxy.tech.skills:3128";
Acquire::https::Proxy "http://proxy.tech.skills:3128";

# на уровне пакетного менеджера pip
# Для этого создайте файл ~/.config/pip/pip.conf и укажите в нём:
[global]
proxy = http://proxy.tech.skills:3128

• В сети доступен реестр образов Docker - http://registry.tech.skills:5000. Для того чтобы использовать его, вам необходимо создать файл /etc/docker/daemon.json с содержимым:

{
  "insecure-registries": ["registry.tech.skills:5000"]
}

Посмотреть доступные образы в Registry можно либо через браузер, либо через утилиту CURL по URL http://registry.tech.skills:5000/v2/_catalog

• Время на выполнение задания - 12 часов.

Как будет происходить оценка?

Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в субкритерии. Схема оценка построена таким образом, чтобы каждый пункт оценивался только один раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех устройств, однако этот пункт будет проверен на трех случайных устройствах, одинаковых для каждого участника и определяемых группой проверки и оценен только 1 раз. Одинаковые пункты могут быть проверены и оценены больше, чем 1 раз, если для их выполнения применяются разные настройки или они выполняются на разных классах устройств. Подробное описание методики проверки должно быть разработано экспертами, принимавшими участие в оценке конкурсного задания чемпионата, и вынесено в отдельный документ. Данный документ, как и схема оценки, является объектом внесения 30% изменений.

Базовые требования

Сконфигурируйте базовые параметры виртуальных машин для обеспечения идентификации и сетевой связанности. Обязательно должно быть настроено полное доменное имя и IP адрес согласно топологии. Окружение виртуальных машин, такое как оболочки, текстовые редакторы, графический интерфейс и прочее не является обязательным и остается на усмотрение участника. Виртуальные машины должны иметь возможность связываться друг с другом по доменным именам. Перед сдачей работы на проверку убедитесь, что с каждой виртуальной машины возможен доступ по доменному имени к любому сервису предприятия или к любой другой виртуальной машине. На каждую виртуальную машину обеспечьте доступ по протоколу SSH с использованием парольной аутентификации для обычного пользователя, созданного по умолчанию. Доступ до виртуальных машин с использованием пользователя root должен быть запрещен. Если вам необходимо разрешить доступ под пользователем root – запретите парольный доступ и используйте сгенерированную вами пару ключей. Ключи следует расположить в стандартной директории. Обеспечьте наличие на каждой клиентской машине утилит curl, wget и host.

Желаем успехов!

Модуль А: «Пуско-наладка инфраструктуры на основе OC семейства Linux»

Настройка службы каталога

1. На CR-DC разверните службу каталога на базе ALD Pro 3.X.X.

   • Пользователей необходимо импортировать с доменного контроллера на хосте WIN-AD. После переноса пользователей выключите его.
   • Все машины с префиксом -CLI в названии должны иметь возможность аутентификации через ALD Pro.
   • В качестве имени домена используйте rea26.skills. Обеспечьте доступ к WEB интерфейсу ALD Pro по имени ald.rea26.skills.
   • В качестве административной учетной записи используйте admin с паролем P@ssw0rd.
   • Обеспечьте наличие резервного доменного контроллера в офисе Branch, используйте для этого хост BR-DC.

2. Сконфигурируйте права пользователей.

   • На BR-CLI могут аутентифицироваться только пользователи группы branch и локальные пользователи.
   • На OUT-CLI имеют право аутентифицироваться только пользователи группы remotes и локальные пользователи.
   • Пользователи группы main имеют право аутентифицироваться на любом клиентском ПК независимо от требований пунктов выше.
   • Пользователи группы main должны иметь возможность повышать привилегии с использованием sudo. У других доменных пользователей такой возможности быть не должно.
   • Пользователи группы branch должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep и id.
   • Все пользователи, которым разрешен доступ к sudo должны иметь возможность выполнения команд с повышенными привилегиями без ввода пароля.

3. Реализуйте общие каталоги.

   • Каталог Important: доступ для чтения и записи имеет только группа branch. Остальные пользователи имеют доступ в формате read only. Каталог должен быть смонтирован на рабочий стол всех доменных пользователей.
   • Каталог Exchanger: все пользователи имеют права для чтения и записи в данный каталог. При этом, удалять файлы из этого каталога могут только владельцы файлов. Каталог должен быть смонтирован на рабочий стол всех доменных пользователей.
   • Локальные учетные записи не должны получать общие каталоги доменных пользователей.

4. На всех клиентских компьютерах домена и для всех пользователей должна быть установлена картинка desktop.jpeg. Найти картинку можно на files.

Настройка базовых сервисов

1. Реализуйте центр сертификации предприятия на сервере CR-SRV.

   • Используйте /etc/ca в качестве корневого каталога для центра сертификации.
   • В качестве CN укажите REA2026-CA.
   • Все устройства должны доверять данному центру сертификации на уровне системы, для работы утилит curl и wget. На клиентских ПК дополнительно необходимо обеспечить доверие к сертификату браузера firefox и почтового клиент thunderbird, для всех пользователей.
   • Все сервисы, предусматривающие доступ через web браузер, должны быть защищены с использованием сертификатов от данного центра сертификации (исключением является ALD Pro, веб интерфейс ALD Pro защищать сертификатом не обязательно).

2. На CR-SRV реализуйте почтовый сервер.

   • Почтовый сервер должен обеспечивать возможность пересылки почты в домене rea26.skills и поддерживать аутентификацию при помощи доменных учетных записей.
   • Подключение к почтовому серверу должно быть защищено с использованием сертификатов CA предприятия.
   • При регистрации пользователя в почтовом клиенте не должно запрашиваться никаких дополнительных параметров, кроме имени пользователя и пароля.
   • Для проверки отправьте письмо с компьютера CR-CLI, от пользователя Lori пользователю Eva на компьютере BR-CLI.

3. На сервере CR-SRV реализуйте централизованный сбор журналов.

   • Журналы необходимо собирать с устройств MPLS-GW-CR и MPLS-GW-BR и помещать их в директорию /opt/logs/<hostname>.log
   • Реализуйте ротацию логов: при достижении объёма в 10МБ журнал следует сжимать файл журнала. Выполнять ротацию следует раз в минуту.

4. На CR-SRV разверните TFTP-сервер для создания резервных копий конфигураций маршрутизаторов.

   • В качестве каталога используйте /opt/configs.
   • Обеспечьте возможность резервного копирования конфигураций всех маршрутизаторов на сервер CR-SRV. Убедитесь, что на момент проверки присутствует хотя-бы одна резервная копия конфигурации.

5. Напишите скрипт вызова утилиты snmpwalk на CR-SRV

   • Скрипт должен быть доступен по имени get_info без явного указания пути и расширения, из любого места в системе.
   • В качестве аргумента скрипт должен принимать доменное имя устройства
   • По умолчанию скрипт должен выводить информацию на экран, но при использовании ключа --dump перед именем устройства, вывод должен быть сохранен в файл имяустройства_текущаядатаивремя_report.txt

Сборка пакетов и публикация на сервере репозиториев

1. Выполните сборку бинарного приложения.

   • Приложение необходимо упаковать в deb пакет.
   • Deb пакет должен называться reaskills-today и выполнятся при помощи одноименной команды.
   • Приложение должно устанавливаться в директорию /usr/bin/.
   • В control файле обязательно укажите следующие атрибуты:
     • Package – reaskills-today
     • Version – 1.0-2026
     • Maintainer – Ваше имя и произвольный email
     • Architecture – amd64
     • Section – misc
     • Description – Придумайте что-то смешное
     • Priority – optional

2. Подготовленный пакет опубликуйте в репозиторий на ISP-SRV.

   • Подготовьте репозиторий.
   • Репозиторий должен подключатся по записи deb https://repo.rea26.skills reaskills reaskills-apps.
   • При обновлении списка актуальных пакетов не должно возникать предупреждений безопасности. Использование дополнительный параметров конфигурации файла sources.list не допускается.
   • Подключите репозиторий и установите пакет на CR-CLI. На BR-CLI подключите репозиторий, но пакет не устанавливайте.
   • Репозиторий должен быть сконфигурирован в файле /etc/apt/sources.list.d/rea2026.list.

Настройка сервисов провайдера

1. На сервере ISP-SRV разверните DNS сервер с использованием пакета bind.

   • Обеспечьте форвард домена rea26.skills на CR-DC.
   • Сервер должен управлять зоной rea26.ru.

2. Сконфигурируйте веб-сайт провайдера.

   • При доступе по имени isp.rea26.skills сайт должен отдавать содержимое <h1>Hello from office</h1>, а при доступе по isp.rea26.ru – <h1>Hello from Internet</h1>.
   • При попытке подключения по IP адресу пользователь должен получать ошибку 404 и видеть кастомную страницу. Страницу можно найти на files (404.html).
   • Обеспечьте работу с использованием защищенной реализации протокола передачи гипертекста и перенаправления в случае использования его незащищенной реализации.
   • Эндпоинт /secret необходимо защитить при помощи базовой аутентификации. В качестве логина для входа используйте mikhalych с паролем dr0wss@P

Модуль C: «Пуско-наладка сетевой инфраструктуры»

Базовая настройка устройств MPLS-GW-*

1. Выполните подготовку устройств.
   • Настройте имена устройств по шаблону <hostname>.rea26.ru.
   • На все устройства добавьте административную учетную запись adminer с паролем P@ssw0rd.
   • Защитите доступ к привилегированному режиму при помощи пароля P@ssw0rd.
   • Деактивируйте встроенную учетную запись администратора.
   • Обеспечьте хранение всех паролей в защищенном виде.
   • Для доступа в Интернет назначьте любой адрес из подсети 192.168.122.0/24 на MPLS-GW-CORE.
2. Обеспечьте возможность административного доступа по SSH.
   • С клиентского хоста (с постфиксом CLI) в каждом офисе к соответствующему офисному маршрутизатору.
   • С любых клиентских хостов (с постфиксом CLI) до маршрутизатора MPLS-GW-CORE.
   • Доступ по SSH извне к маршрутизаторам в офисах должен быть запрещен.
3. На MPLS-GW-CORE установите приветствие “! REASKILLS 2026 !” при входе в консоль tty.

Настройка коммутации и маршрутизации

1. Обеспечьте передачу маршрутной информации между маршрутизаторами с использованием открытого протокола поиска наиболее короткого пути.
   • В качестве RouterID используйте loopback интерфейсы на маршрутизаторах.
   • Обеспечьте распространение маршрута по умолчанию.
   • Отключите рассылку сообщений протокола маршрутизации, на интерфейсах, которые не участвуют в маршрутизации.
   • Обеспечьте доступ в Интернет для всех серверов и клиентов топологии.
2. Обеспечьте связанность между офисами с использованием технологии коммутации на основании меток.
   • Используйте реализацию данной технологии в виде VPLS.
   • Для распространения информации о метках используйте протокол LDP.
   • В качестве PE маршрутизаторов используйте MPLS-GW-BR и MPLS-GW-CR.
   • В качестве P маршрутизатора используйте MPLS-GW-CORE.
   • Обеспечьте прозрачную L2 связанность обоих офисов. Оба офиса должны находиться в одном широковещательном домене.

Резервное копирование конфигурации, IP SLA и мониторинг

1. Обеспечьте выгрузку резервной копии конфигурации каждого маршрутизатора на TFTP-сервер, который вы развернули ранее.
2. Сконфигурируйте IP SLA на PE маршрутизаторах для проверки доступности ISP-SRV по ICMP.
   • Назовите SLA профиль reaskills.
   • SLA должен срабатывать при четырех потерянных пакетах.
   • Интервал отправки сообщений должен быть равен половине минуты.
3. Обеспечьте доступ по протоколу SNMPv3 на каждый маршрутизатор с сервера CR-SRV.
   • В качестве имени группы используйте reaskills.
   • В качестве имени пользователя и пароля используйте snmpuser и snmppass соответственно.
   • Обеспечьте наличие утилиты snmpwalk на CR-SRV.

Модуль D: «Пуско-наладка инфраструктуры разработки»

1. На серверах BR-SRV1, BR-SRV2, BR-SRV3 разверните кластер micro-k8s.
   • Для организации доступа клиентов в кластер разверните MetalLB.
   • В качестве ingress контроллера используйте nginx.
2. Разверните Registry для хранения образов в microk8s.
   • Обеспечьте доступ к registry через ingress контроллер с использованием сертификатов, выпущенных корпоративным CA.
   • В качестве имени используйте registry.rea26.skills.
   • Загрузите в registry все нужные вам docker образа. Используйте его при развертывании приложений в k8s.
3. Разверните корпоративный веб сайт.
   • Сайт должен быть доступен по имени portal.rea26.skills из внутренней сети и portal.rea26.ru из внешней сети.
   • Выполните все необходимые настройки на сетевом оборудовании и сервере провайдера для организации доступа к порталу.
   • В качестве приложения для портала используйте portal.py.
   • Доступ к приложению должен быть защищен сертификатами.
   • Должно быть запущенно два экземпляра сервиса в кластере.
4. Разверните kube-state-metrics, prometheus, grafana для мониторинга кластера.
   • Prometheus используйте в качестве источника данных в Grafana.
   • Веб-интерфейс Grafana должен быть доступен по имени grafana.rea26.skills. Пользователю admin установите пароль gingerbread
   • Импортируйте дашборд kube_state_metrics.json и убедитесь, что он не пуст. Получить его можно на files.

Приложение 1. Топология

Приложение 2. Перечень используемых ОС

Приложение 3. Список полностью определённых доменных имён