Модуль С

Модуль С

 

Топология L1

 

Топология L2

Топология L3

Routing-диаграмма

Базовая настройка

  • Задайте имя всех устройств в соответствии с топологией.
  • Назначьте для всех устройств доменное имя ru.
  • Создайте на всех устройствах пользователей wsr2018 с паролем cisco
    • Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
    • Пользователь должен обладать максимальным уровнем привилегий.
  • На всех устройствах установите пароль wsr на вход в привилегированный режим.
    • Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
    • Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.
  • Для всех устройств реализуйте модель AAA.
    • Аутентификация на линиях виртуальных терминалов с 0 по 15 должна производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)
    • После успешной аутентификации при удалённом подключении пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).
    • Настройте необходимость аутентификации на локальной консоли.
    • При успешной аутентификации на локальной консоли пользователи должны сразу должен получать права, соответствующие их уровню привилегий или роли.
  • На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля, назначьте IP-адреса.
  • На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.
    • Используйте на линиях vty с 0 по 4 отдельный список методов с названием method_man
    • Порядок аутентификации:
      • По протоколу RADIUS
      • Локальная
    • Используйте общий ключ cisco
    • Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно
    • Адрес RADIUS-сервера 172.16.20.2
    • Настройте авторизацию при успешной аутентификации
    • Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco
  • Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Настройка коммутации

  • Для централизованного конфигурирования VLAN в коммутируемой сети предприятия используйте протокол VTP версии 3.
    • В качестве основного сервера VTP настройте SW1.
    • Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
    • В качестве домена используйте ru
    • Используйте пароль VTPPass для защиты VTP.
    • Таблица VLAN должна содержать следующие сети:
      • VLAN100 с именем MGT.
      • VLAN200 с именем DATA.
      • VLAN300 с именем OFFICE.
      • VLAN 400
    • Между всеми коммутаторами настройте транки с использованием протокола IEEE 802.1q.
      • Порты F0/10 коммутаторов SW1 и SW3, а также порт F0/24 коммутатора SW2 должны быть работать в режиме доступа без использования согласования. Отключите протокол DTP явным образом.
      • Транк между коммутаторами SW2 и SW3 должен быть настроен без использования согласования. Отключите протокол DTP явным образом.
      • Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3, должны быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а коммутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами не инициировать согласование.
    • Настройте агрегирование каналов связи между коммутаторами.
      • Номера портовых групп:

1 – между коммутаторами SW1 (F0/1-3) и SW2 (F0/1-3);

2– между коммутаторами SW2 (F0/6-7) и SW3 (F0/6-7);

  • Агрегированный канал между SW1 и SW2 должен быть организован с использованием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в пассивном.
  • Агрегированный канал между SW2 и SW3 должен быть организован с использованием протокола согласования PAgP. SW2 должен быть настроен в предпочтительном, SW3 в автоматическом.
  • Конфигурация протокола остовного дерева:
    • Используйте протокол Rapid STP.
    • Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100, 200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.
    • Настройте используемые порты коммутаторов SW1 и SW2 так, чтобы во всех VLAN корнем связующего дерева могли стать только SW1 или SW2, а при получении BPDU пакета с лучшим приоритетом корня, порт должен перейти в состояние root-inconsistent.
    • Настройте порт F0/10 коммутатора SW2, таким образом, что при включении они сразу переходили в состояние forwarding не дожидаясь пересчета остовного дерева. При получении BPDU пакета данные порты должны переходить в состояние error-disabled.
  • Настройте порты F0/10 коммутаторов SW1, SW2 и порт F0/24 коммутатора SW3, в соответствии с L2 диаграммой. Порты должны быть настроены в режиме доступа.
  • Отключите протокол CDP на маршрутизаторах HQ1 и BR1, только на портах в сторону провайдера ISP

 

Настройка подключений к глобальным сетям

  • Настройте подключение PPPoE между ISP1 и маршрутизатором BR
    • Настройте PPPoE клиент на BR1.
    • Используйте имя пользователя cisco и пароль cisco
    • Устройства походят одностороннюю аутентификацию по протоколу CHAP, только ISP1 проверяет имя пользователя и пароль.
    • BR1 должен автоматически получать адрес от ISP1.
  • Настройте подключение HQ1 к провайдеру ISP1 с помощью протокола PPP.
    • Настройте Multilink PPP с использованием двух Serial-интерфейсов.
    • Используйте 1 номер интерфейса.
    • Не используйте аутентификацию.
    • HQ1 должен автоматически получать адрес от ISP2.
  • FW1 подключена к провайдеру ISP1 с помощью IPoE и имеет статический адрес.

 

Настройка маршрутизации

  • В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической маршрутизации OSPF.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте область с номером 51 для всех сетей центрального офиса.
    • HQ1 и FW1 должны устанавливать соседство только в сети 172.16.0.12/30.
    • Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  • Настройте протокол динамической маршрутизации OSPF в офисе BR1 с главным офисом HQ.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте магистральную область для GRE туннеля.
    • Соседства между офисами HQ и BR1 должны устанавливаться через защищенный туннель.
    • В офисе BR1 используйте область с номером 1.
    • Отключите отправку обновлений маршрутизации на всех интерфейсах, где не предусмотрено формирование соседства.
  • ISP1 предоставляет подсеть PA (Provider Aggregatable) адресов (11.11.11.11/32) для офиса BR1. На маршрутизаторе BR1 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2018.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте аутентификацию MD5 с помощью связки ключей EIGRP c ключом WSR и номером ключа 2.
    • Провайдер ISP1 выполняет редистрибуцию маршрута 11.11.11.11/32 в сеть BGP, убедитесь в том, что вы корректно анонсируете данный маршрут провайдеру.
  • Офис HQ имеет подсети PI (Provider Independent) адресов и автономную систему 65000. На маршрутизаторе и межсетевом экране настройте протокол динамической маршрутизации BGP в соответствии с таблицей

Устройство

AS

HQ1

65000

FW1

65000

ISP1

65001

  • Настройте автономные системы в соответствии с Routing-диаграммой.
  • Маршрутизатор HQ1 и FW1 должны быть связаны с помощью iBGP. Используйте для этого соседства, интерфейсы, которые находятся в подсети 172.16.0.12/30.
  • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
  • Настройте прокол динамической маршрутизации OSPFv3 поверх защищенного туннеля. На маршрутизаторах HQ1 и BR1 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
    • Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    • Используйте зону с номером 0.
    • Настройте аутентификацию MD5 для магистральной зоны.

 

Настройка служб

  • В сетевой инфраструктуре сервером синхронизации времени является SRV Все остальные сетевые устройства должны использовать в качестве сервера времени HQ1.
    • Передача данных между HQ1 и SRV1 осуществляется без аутентификации.
    • Настройте временную зону с названием EKB, укажите разницу с UTC +5 часов.
    • Настройте сервер синхронизации времени. Используйте стратум 2.
    • Используйте для синхронизации клиентов с HQ1 аутентификацию MD5 с ключом WSR.
  • Настройте динамическую трансляцию портов (PAT):
    • На маршрутизаторе BR1 настройте динамическую трансляцию портов (PAT) для сети 192.168.1.0/24 в адрес петлевого интерфейса 11.11.11.11.
  • Настройте протокол динамической конфигурации хостов со следующими характеристиками
    • На маршрутизаторе HQ1 для подсети OFFICE:
    • Адрес сети – 30.30.30.0/24.
    • Адрес шлюза по умолчанию интерфейс роутера HQ
    • Адрес TFTP-сервера 172.16.20.2.
    • Компьютер PC1 должен получать адрес 30.30.30.30.

Настройка механизмов безопасности

  • На маршрутизаторе BR1 настройте пользователей с ограниченными правами.
    • Создайте пользователей user1 и user2 с паролем cisco
    • Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь возможность выполнять все команды пользовательского режима, а также выполнять перезагрузку и отладку с помощью команд debug.
    • Создайте и назначьте view-контекст sh_view на пользователя
      • Команду show cdp neighbor
      • Все команды show ip *
      • Команду who
    • Создайте view-контекст ping_view. Включите в него
      • Команду ping
      • Команду traceroute
    • Создайте view-контекст wan_view. Разрешите с помощью него настройку на интерфейсе Multilink1 инкапсуляции, аутентификации PPP, IP-адресации и выключения интерфейса.
    • Создайте superview-контекст с именем super, объединяющий эти 3 контекста. При входе на маршрутизатор пользователь user2 должен попадать в данный контекст
    • Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.
  • На порту F0/10 коммутатора SW3, включите и настройте Port Security со следующими параметрами:
    • не более 2 адресов на интерфейсе
    • адреса должны динамически определяться, но не сохраняться в конфигурации.
    • при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
  • На коммутаторе SW3 включите DHCP Snooping для подсети OFFICE. Используйте флеш-память в качестве места хранения базы данных.
  • На коммутаторе SW3 включите динамическую проверку ARP-запросов в сети OFFICE. Сделайте порт Fa0/11 доверенным.

 

Настройка параметров мониторинга и резервного копирования

  • На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование системных сообщений на сервер SRV1, включая информационные сообщения.
  • На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного мониторинга по протоколу SNMP v3.
    • Задайте местоположение устройств MSK, Russia
    • Задайте контакт admin@wsr.ru
    • Используйте имя группы WSR.
    • Создайте профиль только для чтения с именем RO.
    • Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA
    • Используйте имя пользователя: snmpuser и пароль: snmppass
    • Для проверки вы можете использовать команду snmp_test_HQ и snmp_test_FW на SRV
  • На маршрутизаторе HQ1 настройте резервное копирование конфигурации
    • Резервная копия конфигурации должна сохраняться на сервер SRV1 по протоколу TFTP при каждом сохранении конфигурации в памяти устройства
    • Для названия файла резервной копии используйте шаблон <hostname><time>.cfg

 

Конфигурация виртуальных частных сетей

  • На маршрутизаторах HQ1 и BR1 настройте DMVPN:
    • Используйте в качестве VTI интерфейс Tunnel1
    • Используйте адресацию в соответствии с L3-диаграммой
    • Режим — GRE
    • Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
  • Защита туннеля должна обеспечиваться с помощью IPsec.
    • Параметры политики первой фазы:
      • Проверка целостности – SHA-384
      • Шифрование – AES-192
      • Группа Диффи-Хэлмана – 14
      • Используйте аутентификацию по ключу wsr.
    • Параметры преобразования трафика для второй фазы:
      • Протокол – ESP
      • Шифрование – AES
      • Проверка целостности – MD5
    • На межсетевом экране FW1 настройте возможность подключения удаленных клиентов с помощью SSL-VPN
      • Создайте на FW1 локального пользователя vpnuser с паролем cisco
      • Клиенты должны подключаться с помощью клиента AnyConnect, который установлен на PC
      • Подключение должно происходить по адресу 40.15.5.2.
      • Подключение проверять с PC2.
      • Подключившиеся клиенты должны получить доступ к сервисам SRV