Модуль С
Базовая настройка
- Задайте имена ВСЕХ устройств в соответствии с топологией
- Назначьте для ВСЕХ устройств доменное имя ru
- Создайте на ВСЕХ устройствах пользователя wsr2018 с паролем cisco
- Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
- Пользователь должен обладать максимальным уровнем привилегий.
- Для ВСЕХ устройств реализуйте модель AAA.
- Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных
- После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.
- Настройте необходимость аутентификации на локальной консоли.
- При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
- На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
- На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
- Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
- Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.
- На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с Таблицами 1 и 2.
- Для коммутаторов SW1, SW2 и SW3 создайте виртуальные интерфейсы в ВЛВС 101.
- Созданным виртуальным интерфейсам присвойте IP-адреса .51, .52 и .53 из подсети LAN соответственно.
- Включите механизм SLAAC для выдачи IPv6-адресов в сети LAN на интерфейсе маршрутизатора HQ
- На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты.
- Все устройства должны быть доступны для управления по протоколу SSH версии 2.
- На маршрутизаторе HQ1 установите правильное время с учётом часового пояса.
Настройка коммутации
- На ВСЕХ коммутаторах создайте ВЛВС:
- под номером 101 с именем LAN.
- под номером 102 с именем VOICE.
- под номером 103 с именем EDGE.
- На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования транков (DTP).
- На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров транка.
- Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует согласование.
- Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE1q. Явно отключите динамическое согласование транков.
- Настройте агрегирование каналов связи между коммутаторами.
- Номера портовых групп:
- 1 — между коммутаторами SW1 <-> SW2;
- 2 — между коммутаторами SW2 <-> SW3;
- Номера портовых групп:
- 3 — между коммутаторами SW3 <-> SW1.
- Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по протоколу LACP;
- Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW
- Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором SW
- Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором SW
- Конфигурация протокола остовного дерева:
- На всех коммутаторах используйте вариант протокола STP, совместимый со стандартом 802.1w.
- Коммутатор SW1 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
- Коммутатор SW2 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW3. В случае отказа SW3 — коммутатор SW1.
- Коммутатор SW3 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW1. В случае отказа SW1 — коммутатор SW2.
- На коммутаторах SW1, SW2 и SW3 в VLAN 101, 102 и 103 используйте для передачи данных порты, не состоящие в портовых группах. В случае неисправности этих портов передача данных должна происходить через соответствующие агрегированные каналы.
- На порту Fa0/5 коммутатора SW1 включите защиту от атаки на смену корня остовного дерева. При получении информации о том, что на этом порту находится потенциальный корень дерева в VLAN 101, порт должен переводиться в состояние root-inconsistent.
- Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы порт переходил в состояние Forwarding, не дожидаясь пересчета остовного дерева.
- Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q
Настройка подключений к глобальным сетям
- На маршрутизаторе HQ1 настройте PPP для подключения к маршрутизатору ISP. Для аутентификации используйте протокол CHAP с паролем cisco.
- На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
- Используйте протокол PAP для аутентификации
- Используйте учетную запись cisco\cisco
- Аутентификация должна быть двусторонней (клиент и сервер проверяют подлинность друг друга).
- Настройте корректное значение
- На маршрутизаторе HQ1 настройте IP SLA для проверки работоспособности Интернет-канала со следующими параметрами:
- Цель – 8.8.8
- Тип – эхо-запросы
- Частота – раз в 2 минуты
- Таймаут – 2 секунды
Настройка маршрутизации
- На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2018.
- Включите маршрутизацию для сетей INET1, INET3, а также на интерфейсе Loopback100 маршрутизатора HQ1 и на интерфейсах Loopback101 и Loopback102 маршрутизатора BR
- Используйте алгоритм аутентификации md5 с ключом WSR.
- Настройте суммаризацию для сетей на интерфейсах Loopback101 и Loopback102 маршрутизатора BR3 таким образом, чтобы BR3 анонсировал вместо этих двух сетей только одну суммарную сеть минимально возможного размера.
- Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
- На маршрутизаторах HQ1 и BR3 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
- Используйте область с номером 0.
- Включите в обновления маршрутизации сети LAN, Loopback101 и Loopback
- Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
- На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.
- Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.
- Включите в обновления маршрутизации сети на следующих интерфейсах:
- Loopback101 на HQ1,
- Loopback101 и Loopback102 на ISP,
- Loopback103 на BR3.
- Оптимизируйте сходимость протоколов OSPF и EIGRP.
- Для протокола EIGRP настройте интерфейсы между маршрутизаторами так, чтобы hello-пакеты отправлялись раз в секунду, а соседство считалось недействительным после 4 пропущенных hello-пакетов.
- Для протокола OSPF настройте интерфейсы между маршрутизаторами так, чтобы соседство разрывалось после 15 секунд простоя, и за эти 15 секунд маршрутизатор должен бы был отправить 3 hello-пакета.
Настройка служб
- Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
- Настройте временную зону с названием MSK, укажите разницу с UTC +3 часа.
- Настройте сервер синхронизации времени. Используйте стратум 2.
- Настройте маршрутизатор BR3 в качестве клиента NTP
- Используйте аутентификацию MD5 с ключом WSR
- На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) для устройств из сети LAN в адрес интерфейса, подключенного к сети INET1.
- Настройте сервер DHCP со следующими характеристиками
- На маршрутизаторе HQ1 для подсети LAN:
- адрес сети – согласно таблице 1.
- адрес шлюза по умолчанию — адрес интерфейса HQ1 в данной подсети
- адрес сервера службы доменных имен — 8.8.8.8
- исключите из раздачи адреса с .1 по .99.
Настройка механизмов безопасности
- На маршрутизаторе BR3 настройте пользователей с ограниченными правами.
- Создайте пользователей user1 и user2 с паролем cisco.
- Пользователь user1 должен быть авторизован выполнять все команды пользовательского режима, а также иметь возможность осуществлять перезагрузку, включать и выключать отладку и удалять стартовую конфигурацию.
- Создайте view-контекст “show_view”. Включите в него
- Команду show version
- Все команды show ip *
- Команду who
- Создайте view-контекст “ping_view”. Включите в него
- Команду ping
- Команду traceroute
- Создайте superview-контекст, объединяющий эти 2 контекста. При входе на маршрутизатор пользователь user2 должен попадать в данный контекст
- Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.
- На порту коммутатора SW1, к которому подключен PC1, включите и настройте Port Security со следующими параметрами:
- не более 2 адресов на интерфейсе
- адреса должны динамически пополняться, но не сохраняться в текущей конфигурации
- при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
- На коммутаторе SW1 включите DHCP-snooping для подсети LAN. Используйте флеш-память в качестве места хранения базы данных
- На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.
- На коммутаторе SW3 настройте зеркалирование трафика, проходящего через порт 0/21 в оба направления, на порт 0/11.
- На маршрутизаторе HQ1 настройте на интерфейсе, ведущем в сторону провайдера ISP, входящий список контроля доступа со следующими свойствами:
- ACL должен позволять пользователям сети LAN выходить в Интернет, например заходить на сайт www.worldskills.ru
(Примечание: для проверки включите на маршрутизаторе ISP веб-сервер и DNS-сервер командами ip http server , ip http secure—server , ip dns server , а также задайте статическую запись ip host www.worldskills.ru 8.8.8.8 . Неработающий веб-сервер или DNS-сервер не позволят проверить выполнение этого условия.) - ACL должен разрешать другие виды трафика, необходимые для нормальной работы сети и сервисов.
- ACL должен позволять отправлять эхо-запросы из внутренней сети и получать на них ответы.
- Помимо указанных выше трёх видов все другие виды трафика должны быть запрещены. Попытки установить соединение с узлами сети LAN из внешних сетей должны быть максимально ограничены.
- ACL должен позволять пользователям сети LAN выходить в Интернет, например заходить на сайт www.worldskills.ru
Конфигурация виртуальных частных сетей
- На маршрутизаторах HQ1 и BR3 настройте GRE-туннель:
- Используйте в качестве VTI интерфейс Tunnel100
- Используйте адресацию согласно таблице 2.
- На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GRE-туннелю
- Параметры политики первой фазы:
- Проверка целостности – MD5
- Шифрование – DES
- Группа Диффи-Хэлмана – 5
- Параметры преобразования трафика для второй фазы:
- Протокол – ESP
- Шифрование – DES
- Проверка целостности – MD5
Устройство |
Интерфейс (Сеть) |
IPv4-адрес |
HQ1 |
G0/0 (LAN) |
172.16.138.254/24 |
|
s0/1/0 (INET1) |
20.18.64.2/29 |
|
Loopback101 |
11.11.11.11/32 |
|
Tunnel100 |
— |
|
|
|
ISP |
s0/1/0 (INET1) |
20.18.64.1/29 |
|
VT1 (INET3) |
20.18.64.13/29 |
|
Loopback100 |
8.8.8.8/32 |
|
Loopback101 |
33.136.0.1/16 |
|
Loopback102 |
161.66.0.1/16 |
|
|
|
BR3 |
Dialer1 (INET3) |
20.18.64.14/29 |
|
Loopback101 |
192.168.33.254/24 |
|
Loopback102 |
192.168.34.254/24 |
|
Loopback103 |
3.3.3.3/32 |
|
Tunnel100 |
— |
Таблица 1. IPv4-адресация
Устройство |
Интерфейс (Сеть) |
IPv6-адрес |
HQ1 |
G0/0 (LAN) |
2018:218A:4021::1/64 |
|
s0/1/0 (INET1) |
— |
|
Loopback101 |
dead:beef::1/128 |
|
Tunnel100 |
2018::1/64 |
|
|
|
BR3 |
Dialer1 (INET3) |
— |
|
Loopback101 |
— |
|
Loopback102 |
— |
|
Loopback103 |
dead:beef::3/128 |
|
Tunnel100 |
2018::2/64 |
Таблица 2. IPv6-адресация