Модуль С

Модуль С

Базовая настройка

  1. Задайте имя ВСЕХ устройств в соответствии с топологией
  2. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
  3. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco
    1. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
    2. Пользователь должен обладать максимальным уровнем привилегий.
  4. Для ВСЕХ устройств реализуйте модель AAA.
    1. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных
    2. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий (кроме межсетевых экранов FW1 и FW2).
    3. Настройте необходимость аутентификации на локальной консоли.
    4. При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
    5. На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
  5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
    1. Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
    2. Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.
  6. На ВСЕХ устройствах создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля. Назначьте ip-адреса в соответствии с L3-диаграммой.
    1. Для коммутаторов SW1, SW2 и SW3 создайте виртуальные интерфейсы в ВЛВС 101.
    2. Назначьте им ip-адреса .51, .52 и .53 из подсети LAN соответственно.
    3. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1
    4. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты
  7. Все устройства должны быть доступны для управления по протоколу SSH версии 2.
  8. На маршрутизаторе HQ1 установите правильное локальное время

Настройка коммутации

  1. На ВСЕХ коммутаторах создайте ВЛВС:
    1. под номером 101, назначьте имя LAN для этой подсети.
  2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования параметров магистральных соединений (DTP).
    1. На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров магистрального соединения.
    2. Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует согласование.
    3. Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE1q. Явно отключите динамическое согласование магистральных соединений.
  3. Настройте агрегирование каналов связи между коммутаторами.
    1. Номера портовых групп:
      1. 1 — между коммутаторами SW1 <-> SW2;
      2. 2 — между коммутаторами SW2 <-> SW3;
  • 3 — между коммутаторами SW3 <-> SW1.
  1. Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по протоколу LACP;
  2. Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW
  3. Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором SW
  4. Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором SW
  1. Конфигурация протокола остовного дерева:
    1. На всех коммутаторах используйте вариант протокола STP, совместимый со стандартом 802.1w.
    2. Коммутатор SW1 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
    3. Коммутатор SW2 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW3. В случае отказа SW3 — коммутатор SW1.
    4. Коммутатор SW3 должен являться корнем связующего дерева в VLAN В случае его отказа, корнем должен стать коммутатор SW1. В случае отказа SW1 — коммутатор SW2.
    5. На коммутаторах SW1, SW2 и SW3 в VLAN 101, 102 и 103 используйте для передачи данных порты, не состоящие в портовых группах.
  2. На порту Fa0/5 коммутатора SW1 включите защиту от атаки на смену корня остовного дерева. При получении информации о том, что на этом порту находится потенциальный корень дерева в VLAN 101, порт должен переводиться в состояние err-disable.
  3. Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы порт переходил в состояние Forwarding не дожидаясь пересчета оставного дерева.
  4. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q

Настройка подключений к глобальным сетям

  1. На маршрутизаторе HQ1 настройте PPP для подключения к маршрутизатору ISP. Для аутентификации используйте протокол CHAP с паролем cisco.
  2. На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
    1. Используйте протокол PAP для аутентификации
    2. Используйте учетную запись cisco\cisco

Настройка маршрутизации

  1. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2017.
    1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    2. Используйте алгоритм аутентификации md5 с ключом WSR.
  2. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.
    1. Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.
    2. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
    3. Настройте фильтрацию маршрутов на HQ1 таким образом, чтобы в таблице маршрутизации отсутствовал маршрут 209.136.0.0/16
  3. На маршрутизаторах HQ1 и BR3 настройте протокол динамической маршрутизации OSPFv3 с номером процесса 1.
    1. Включите в обновления маршрутизации сети LAN, Loopback101 и Loopback
    2. Используйте зону с номером 0

Настройка служб

  1. Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
  2. Настройте временную зону с названием MSK, укажите разницу с UTC +2 часа.
  3. Настройте сервер синхронизации времени. Используйте стратум 2.
  4. Настройте маршрутизатор BR3 в качестве клиента сервера
  5. Используйте аутентификацию MD5 с ключом WSR
  6. На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) в адрес интерфейса, подключенного к сети INET1 для сети LAN.
  7. Настройте протокол динамической конфигурации хостов со следующими характеристиками
  8. На маршрутизаторе HQ1 для подсети LAN:
  9. адрес сети – 192.168.10.0/24
  10. адрес шлюза по умолчанию — адрес интерфейса в данной подсети
  • адрес сервера службы доменных имен — 192.168.10.100
  1. исключите из раздачи первые 100 адресов

 

Настройка механизмов безопасности

  1. На маршрутизаторе BR3 настройте ролевое управление доступом
    1. Создайте пользователей user1, user2, user3, user4 и user5 с паролем cisco.
      1. Пользователь user1 должен быть авторизован выполнять все команды привилегированного режима кроме show version и show ip route, но должен быть авторизован выполнять все остальные команды show ip *
      2. Пользователь user2 должен быть авторизован выполнять все команды непривилегированного режима включая show version, но не show ip route
    2. Создайте view-контекст “show_view”. Включите в него
  2. Команду show version
  3. Все команды show ip *
  • Команду who
  1. При входе на маршрутизатор пользователь user3 должен попадать в данный контекст
    1. Создайте view-контекст “ping_view”. Включите в него
  2. Команду ping
  3. Команду traceroute
  • При входе на маршрутизатор пользователь user4 должен попадать в данный контекст
    1. Создайте superview-контекст, объединяющий эти 2 контекста. Создайте пользователя user5 с паролем cisco. При входе на маршрутизатор пользователь user5 должен попадать в данный контекст
    2. Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов.
  1. На порту коммутатора SW1, к которому подключен PC1, включите и настройте Port Security со следующими параметрами:
  2. не более 2 адресов на интерфейсе
  3. адреса должны быть динамически сохранены в текущей конфигурации
  4. при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.
  5. На коммутаторе SW1 включите DHCP-snooping для подсети LAN. Используйте флеш-память в качестве места хранения базы данных
  6. На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.

 

Конфигурация виртуальных частных сетей

  1. На маршрутизаторах HQ1 и BR3 настройте GRE-туннель:
  2. Используйте в качестве VTI интерфейс Tunnel100
  3. Используйте адресацию 2001::0/64
  4. На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GRE-туннелю
  5. Параметры политики первой фазы:
  6. Проверка целостности – MD5
  7. Шифрование – AES-128
  • Группа Диффи-Хэлмана – 5
  1. Параметры преобразования трафика для второй фазы:
  2. Протокол – ESP
  3. Шифрование – AES-128
  • Проверка целостности – MD5