Модуль С
Базовая настройка
- Задайте имя ВСЕХ устройств в соответствии с топологией
- Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
- Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco
- Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
- Пользователь должен обладать максимальным уровнем привилегий.
- Для ВСЕХ устройств реализуйте модель AAA.
- Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных
- После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий (кроме межсетевых экранов FW1 и FW2).
- Настройте необходимость аутентификации на локальной консоли.
- При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
- На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
- На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
- Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
- Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.
- На ВСЕХ устройствах создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля. Назначьте ip-адреса в соответствии с L3-диаграммой.
- Для коммутаторов SW1, SW2 и SW3 создайте виртуальные интерфейсы в ВЛВС 101.
- Назначьте им ip-адреса .51, .52 и .53 из подсети LAN соответственно.
- Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1
- На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты
- Все устройства должны быть доступны для управления по протоколу SSH версии 2.
- На маршрутизаторе HQ1 установите правильное локальное время
Настройка коммутации
- На ВСЕХ коммутаторах создайте ВЛВС:
- под номером 101, назначьте имя LAN для этой подсети.
- На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования параметров магистральных соединений (DTP).
- На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров магистрального соединения.
- Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует согласование.
- Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE1q. Явно отключите динамическое согласование магистральных соединений.
- Настройте агрегирование каналов связи между коммутаторами.
- Номера портовых групп:
- 1 — между коммутаторами SW1 <-> SW2;
- 2 — между коммутаторами SW2 <-> SW3;
- Номера портовых групп:
- 3 — между коммутаторами SW3 <-> SW1.
- Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по протоколу LACP;
- Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW
- Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором SW
- Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором SW
- Конфигурация протокола остовного дерева:
- На всех коммутаторах используйте вариант протокола STP, совместимый со стандартом 802.1w.
- Коммутатор SW1 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
- Коммутатор SW2 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW3. В случае отказа SW3 — коммутатор SW1.
- Коммутатор SW3 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW1. В случае отказа SW1 — коммутатор SW2.
- На коммутаторах SW1, SW2 и SW3 в VLAN 101, 102 и 103 используйте для передачи данных порты, не состоящие в портовых группах.
- На порту Fa0/5 коммутатора SW1 включите защиту от атаки на смену корня остовного дерева. При получении информации о том, что на этом порту находится потенциальный корень дерева в VLAN 101, порт должен переводиться в состояние err-disable.
- Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы порт переходил в состояние Forwarding не дожидаясь пересчета оставного дерева.
- Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q
Настройка подключений к глобальным сетям
- На маршрутизаторе HQ1 настройте PPP для подключения к маршрутизатору ISP. Для аутентификации используйте протокол CHAP с паролем cisco.
- На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
- Используйте протокол PAP для аутентификации
- Используйте учетную запись cisco\cisco
Настройка маршрутизации
- На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2017.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- Используйте алгоритм аутентификации md5 с ключом WSR.
- На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.
- Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.
- Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
- Настройте фильтрацию маршрутов на HQ1 таким образом, чтобы в таблице маршрутизации отсутствовал маршрут 209.136.0.0/16
- На маршрутизаторах HQ1 и BR3 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
- Включите в обновления маршрутизации сети LAN, Loopback101 и Loopback
- Используйте зону с номером 0
Настройка служб
- Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
- Настройте временную зону с названием MSK, укажите разницу с UTC +2 часа.
- Настройте сервер синхронизации времени. Используйте стратум 2.
- Настройте маршрутизатор BR3 в качестве клиента сервера
- Используйте аутентификацию MD5 с ключом WSR
- На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) в адрес интерфейса, подключенного к сети INET1 для сети LAN.
- Настройте протокол динамической конфигурации хостов со следующими характеристиками
- На маршрутизаторе HQ1 для подсети LAN:
- адрес сети – 192.168.10.0/24
- адрес шлюза по умолчанию — адрес интерфейса в данной подсети
- адрес сервера службы доменных имен — 192.168.10.100
- исключите из раздачи первые 100 адресов
Настройка механизмов безопасности
- На маршрутизаторе BR3 настройте ролевое управление доступом
- Создайте пользователей user1, user2, user3, user4 и user5 с паролем cisco.
- Пользователь user1 должен быть авторизован выполнять все команды привилегированного режима кроме show version и show ip route, но должен быть авторизован выполнять все остальные команды show ip *
- Пользователь user2 должен быть авторизован выполнять все команды непривилегированного режима включая show version, но не show ip route
- Создайте view-контекст “show_view”. Включите в него
- Создайте пользователей user1, user2, user3, user4 и user5 с паролем cisco.
- Команду show version
- Все команды show ip *
- Команду who
- При входе на маршрутизатор пользователь user3 должен попадать в данный контекст
- Создайте view-контекст “ping_view”. Включите в него
- Команду ping
- Команду traceroute
- При входе на маршрутизатор пользователь user4 должен попадать в данный контекст
- Создайте superview-контекст, объединяющий эти 2 контекста. Создайте пользователя user5 с паролем cisco. При входе на маршрутизатор пользователь user5 должен попадать в данный контекст
- Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов.
- На порту коммутатора SW1, к которому подключен PC1, включите и настройте Port Security со следующими параметрами:
- не более 2 адресов на интерфейсе
- адреса должны быть динамически сохранены в текущей конфигурации
- при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
- На коммутаторе SW1 включите DHCP-snooping для подсети LAN. Используйте флеш-память в качестве места хранения базы данных
- На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.
Конфигурация виртуальных частных сетей
- На маршрутизаторах HQ1 и BR3 настройте GRE-туннель:
- Используйте в качестве VTI интерфейс Tunnel100
- Используйте адресацию 2001::0/64
- На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GRE-туннелю
- Параметры политики первой фазы:
- Проверка целостности – MD5
- Шифрование – AES-128
- Группа Диффи-Хэлмана – 5
- Параметры преобразования трафика для второй фазы:
- Протокол – ESP
- Шифрование – AES-128
- Проверка целостности – MD5