Модуль С

Модуль С

Базовая настройка

  1. Задайте имена ВСЕХ устройств в соответствии с топологией
  2. Назначьте для ВСЕХ устройств доменное имя ru
  3. Создайте на ВСЕХ устройствах пользователя wsr2018 с паролем cisco
    1. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
    2. Пользователь должен обладать максимальным уровнем привилегий.
  4. Для ВСЕХ устройств реализуйте модель AAA.
    1. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных
    2. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.
    3. Настройте необходимость аутентификации на локальной консоли.
    4. При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
    5. На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
  5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
    1. Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
    2. Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.
  6. На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с Таблицами 1 и 2.
    1. Для коммутаторов SW1, SW2 и SW3 создайте виртуальные интерфейсы в ВЛВС 101.
    2. Созданным виртуальным интерфейсам присвойте IP-адреса .51, .52 и .53 из подсети LAN соответственно.
    3. Включите механизм SLAAC для выдачи IPv6-адресов в сети LAN на интерфейсе маршрутизатора HQ
    4. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты.
  7. Все устройства должны быть доступны для управления по протоколу SSH версии 2.
  8. На маршрутизаторе HQ1 установите правильное время с учётом часового пояса.

 

Настройка коммутации

  1. На ВСЕХ коммутаторах создайте ВЛВС:
    1. под номером 101 с именем LAN.
    2. под номером 102 с именем VOICE.
    3. под номером 103 с именем EDGE.
  2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования транков (DTP).
    1. На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров транка.
    2. Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует согласование.
    3. Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE1q. Явно отключите динамическое согласование транков.
  3. Настройте агрегирование каналов связи между коммутаторами.
    1. Номера портовых групп:
      1. 1 — между коммутаторами SW1 <-> SW2;
      2. 2 — между коммутаторами SW2 <-> SW3;
  • 3 — между коммутаторами SW3 <-> SW1.
  1. Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по протоколу LACP;
  2. Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW
  3. Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором SW
  4. Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором SW
  1. Конфигурация протокола остовного дерева:
    1. На всех коммутаторах используйте вариант протокола STP, совместимый со стандартом 802.1w.
    2. Коммутатор SW1 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
    3. Коммутатор SW2 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW3. В случае отказа SW3 — коммутатор SW1.
    4. Коммутатор SW3 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW1. В случае отказа SW1 — коммутатор SW2.
    5. На коммутаторах SW1, SW2 и SW3 в VLAN 101, 102 и 103 используйте для передачи данных порты, не состоящие в портовых группах. В случае неисправности этих портов передача данных должна происходить через соответствующие агрегированные каналы.
  2. На порту Fa0/5 коммутатора SW1 включите защиту от атаки на смену корня остовного дерева. При получении информации о том, что на этом порту находится потенциальный корень дерева в VLAN 101, порт должен переводиться в состояние root-inconsistent.
  3. Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы порт переходил в состояние Forwarding, не дожидаясь пересчета остовного дерева.
  4. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q

Настройка подключений к глобальным сетям

  1. На маршрутизаторе HQ1 настройте PPP для подключения к маршрутизатору ISP. Для аутентификации используйте протокол CHAP с паролем cisco.
  2. На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
    1. Используйте протокол PAP для аутентификации
    2. Используйте учетную запись cisco\cisco
    3. Аутентификация должна быть двусторонней (клиент и сервер проверяют подлинность друг друга).
    4. Настройте корректное значение
  3. На маршрутизаторе HQ1 настройте IP SLA для проверки работоспособности Интернет-канала со следующими параметрами:
    1. Цель – 8.8.8
    2. Тип – эхо-запросы
    3. Частота – раз в 2 минуты
    4. Таймаут – 2 секунды

Настройка маршрутизации

  1. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2018.
    1. Включите маршрутизацию для сетей INET1, INET3, а также на интерфейсе Loopback100 маршрутизатора HQ1 и на интерфейсах Loopback101 и Loopback102 маршрутизатора BR
    2. Используйте алгоритм аутентификации md5 с ключом WSR.
    3. Настройте суммаризацию для сетей на интерфейсах Loopback101 и Loopback102 маршрутизатора BR3 таким образом, чтобы BR3 анонсировал вместо этих двух сетей только одну суммарную сеть минимально возможного размера.
    4. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  2. На маршрутизаторах HQ1 и BR3 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
    1. Используйте область с номером 0.
    2. Включите в обновления маршрутизации сети LAN, Loopback101 и Loopback
    3. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  3. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.
    1. Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.
    2. Включите в обновления маршрутизации сети на следующих интерфейсах:
      1. Loopback101 на HQ1,
      2. Loopback101 и Loopback102 на ISP,
  • Loopback103 на BR3.
  1. Оптимизируйте сходимость протоколов OSPF и EIGRP.
    1. Для протокола EIGRP настройте интерфейсы между маршрутизаторами так, чтобы hello-пакеты отправлялись раз в секунду, а соседство считалось недействительным после 4 пропущенных hello-пакетов.
    2. Для протокола OSPF настройте интерфейсы между маршрутизаторами так, чтобы соседство разрывалось после 15 секунд простоя, и за эти 15 секунд маршрутизатор должен бы был отправить 3 hello-пакета.

 

Настройка служб

  1. Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
  2. Настройте временную зону с названием MSK, укажите разницу с UTC +3 часа.
  3. Настройте сервер синхронизации времени. Используйте стратум 2.
  4. Настройте маршрутизатор BR3 в качестве клиента NTP
  5. Используйте аутентификацию MD5 с ключом WSR
  6. На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) для устройств из сети LAN в адрес интерфейса, подключенного к сети INET1.
  7. Настройте сервер DHCP со следующими характеристиками
  8. На маршрутизаторе HQ1 для подсети LAN:
  9. адрес сети – согласно таблице 1.
  10. адрес шлюза по умолчанию — адрес интерфейса HQ1 в данной подсети
  • адрес сервера службы доменных имен — 8.8.8.8
  1. исключите из раздачи адреса с .1 по .99.

 

Настройка механизмов безопасности

  1. На маршрутизаторе BR3 настройте пользователей с ограниченными правами.
    1. Создайте пользователей user1 и user2 с паролем cisco.
    2. Пользователь user1 должен быть авторизован выполнять все команды пользовательского режима, а также иметь возможность осуществлять перезагрузку, включать и выключать отладку и удалять стартовую конфигурацию.
    3. Создайте view-контекст “show_view”. Включите в него
  2. Команду show version
  3. Все команды show ip *
  • Команду who
    1. Создайте view-контекст “ping_view”. Включите в него
  1. Команду ping
  2. Команду traceroute
    1. Создайте superview-контекст, объединяющий эти 2 контекста. При входе на маршрутизатор пользователь user2 должен попадать в данный контекст
    2. Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.
  3. На порту коммутатора SW1, к которому подключен PC1, включите и настройте Port Security со следующими параметрами:
  4. не более 2 адресов на интерфейсе
  5. адреса должны динамически пополняться, но не сохраняться в текущей конфигурации
  6. при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
  7. На коммутаторе SW1 включите DHCP-snooping для подсети LAN. Используйте флеш-память в качестве места хранения базы данных
  8. На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.
  9. На коммутаторе SW3 настройте зеркалирование трафика, проходящего через порт 0/21 в оба направления, на порт 0/11.
  10. На маршрутизаторе HQ1 настройте на интерфейсе, ведущем в сторону провайдера ISP, входящий список контроля доступа со следующими свойствами:
    1. ACL должен позволять пользователям сети LAN выходить в Интернет, например заходить на сайт www.worldskills.ru
      (Примечание: для проверки включите на маршрутизаторе ISP веб-сервер и DNS-сервер командами ip http server , ip http secureserver , ip dns server , а также задайте статическую запись ip host www.worldskills.ru 8.8.8.8 . Неработающий веб-сервер или DNS-сервер не позволят проверить выполнение этого условия.)
    2. ACL должен разрешать другие виды трафика, необходимые для нормальной работы сети и сервисов.
    3. ACL должен позволять отправлять эхо-запросы из внутренней сети и получать на них ответы.
    4. Помимо указанных выше трёх видов все другие виды трафика должны быть запрещены. Попытки установить соединение с узлами сети LAN из внешних сетей должны быть максимально ограничены.

 

Конфигурация виртуальных частных сетей

  1. На маршрутизаторах HQ1 и BR3 настройте GRE-туннель:
  2. Используйте в качестве VTI интерфейс Tunnel100
  3. Используйте адресацию согласно таблице 2.
  4. На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GRE-туннелю
  5. Параметры политики первой фазы:
  6. Проверка целостности – MD5
  7. Шифрование – DES
  • Группа Диффи-Хэлмана – 5
  1. Параметры преобразования трафика для второй фазы:
  2. Протокол – ESP
  3. Шифрование – DES
  • Проверка целостности – MD5

 

 

Устройство

Интерфейс (Сеть)

IPv4-адрес

HQ1

G0/0 (LAN)

172.16.138.254/24

 

s0/1/0 (INET1)

20.18.64.2/29

 

Loopback101

11.11.11.11/32

 

Tunnel100

 

 

 

ISP

s0/1/0 (INET1)

20.18.64.1/29

 

VT1 (INET3)

20.18.64.13/29

 

Loopback100

8.8.8.8/32

 

Loopback101

33.136.0.1/16

 

Loopback102

161.66.0.1/16

 

 

 

BR3

Dialer1 (INET3)

20.18.64.14/29

 

Loopback101

192.168.33.254/24

 

Loopback102

192.168.34.254/24

 

Loopback103

3.3.3.3/32

 

Tunnel100

Таблица 1. IPv4-адресация

 

 

Устройство

Интерфейс (Сеть)

IPv6-адрес

HQ1

G0/0 (LAN)

2018:218A:4021::1/64

 

s0/1/0 (INET1)

 

Loopback101

dead:beef::1/128

 

Tunnel100

2018::1/64

 

 

 

BR3

Dialer1 (INET3)

 

Loopback101

 

Loopback102

 

Loopback103

dead:beef::3/128

 

Tunnel100

2018::2/64

Таблица 2. IPv6-адресация