c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1

1.74M

Category:

informatics

Network Island. L1 diagram

1.

Network Island.
L1 diagram
PC1
Fa0/9
Fa0/8
Fa0/7
Fa0/11
Fa0/2
Fa0/3
2
SW
G0/0
HQ1
s0/3/0
s0/3/0
3
SW
Fa0/2
Fa0/3
Fa0/1
Fa0/1
1
SW
Fa0/7
Fa0/8
Fa0/9
ISP
G0/0
Fa0/6
Fa0/5
Fa0/4
Fa0/10
Fa0/6
Fa0/5
Fa0/4
Fa0/0
BR3

2.

Network Island.
L2 diagram
Условные обозначения
Ethernet IEEE 802.1Q trunk
vlan101
Ethernet IEEE 802.3 access port
Etherchannel (способ формирования канала
указан в задании)
Fa0/11
Po3
Fa0/9
Fa0/3
Fa0/9
HQ1
s0/3/0
VT1
Po2
Fa0/6
ISP
Dialer1
Fa0/6
PC1
2
SW
s0/3/0
3
SW
Fa0/3
Po1
1
SW
Po1
vlan101
G0/0
Po3
Fa0/10
Po2
BR3

3.

Loopback101
11.11.11.11/32
dead:beef:11::1/128
.1
ISP
INET3
20.17.5.12/30
.14
DHCP
LAN
192.168.10.0/24
a1f:ea75:ca75::0/64
INET1
20.17.5.0/29
Loopback102
138.76.0.1/16
.13
.2
.254
HQ1
Loopback101
209.136.0.1/16
Loopback100
8.8.8.8/32
Network Island.
L3 diagram
Loopback2
3.3.3.3/32
dead:beef:3::1/128
BR3

4.

Network Island.
Routing diagram
BGP AS 65001
BGP AS 65000
BGP AS 65003
209.136.0.0/16
Loopback101
11.11.11.11/32
Loopback2
3.3.3.3/32
138.76.0.0/16
OSPFv3 Area 0
EIGRP AS 2017
Loopback3
Loopback100
8.8.8.8/32
INET1
20.17.5.0/29
dead:beef:3::1/128
Loopback101
GRE tunnel
dead:beef:11::1/128
INET3
20.17.5.12/30
2001::0/64
LAN
a1f:ea75:ca75::0/64

5.

Базовая настройка
1.
Задайте имя ВСЕХ устройств в соответствии с топологией
(config)# hostname
2.
3.
Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
(config)# ip domain-name wsr2017.ru
Создайте на ВСЕХ устройствах пользователя wsr2017 с
паролем cisco
a.
b.
Пароль пользователя должен храниться в конфигурации в виде
результата хэш-функции.
Пользователь должен обладать максимальным уровнем
привилегий.

6.

*Пароли в конфигах устройств Cisco хранятся 3 способами:
1. В открытом виде
2. Пароль «типа 7» или «password 7»
3. Пароль типа «secret 5»

7.

HQ1(config)#username wsr2017 privilege 15 secret cisco

8.

4. Для ВСЕХ устройств реализуйте модель AAA.
a.
Аутентификация на удаленной консоли должна
производиться с использованием локальной базы данных
b.
После успешной аутентификации при входе с удаленной
консоли пользователь сразу должен попадать в режим с
максимальным уровнем привилегий.
c.
Настройте необходимость аутентификации на локальной
консоли.
d.
При успешной аутентификации на локальной консоли
пользователь должен попадать в режим с минимальным
уровнем привилегий.
e.
На BR3 при успешной аутентификации на локальной консоли
пользователь должен попадать в режим с максимальным
уровнем привилегий

9.

* R1(config)# Line vty 0 15
* R1(config-line)# login local

10.

Модель AAA:
- authentication - основанный на логине и пароле
метод определения пользователя
- authorization - определение прав пользователя в
системе
- accounting - учёт действий пользователя в системе
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
R1(config)#aaa authorization exec default local
R1(config)# Line console 0
R1(config-line)# login authentication default

11.

5. На ВСЕХ устройствах установите пароль wsr
на вход в привилегированный режим.
a. Пароль должен храниться в конфигурации НЕ в
виде результата хэш-функции.
b. Настройте режим, при котором все пароли в
конфигурации хранятся в зашифрованном виде.

12.

*R1(config)#enable password wsr
* R1(config)#service password-encryption

13.

6. На ВСЕХ устройствах создайте виртуальные
интерфейсы, подинтерфейсы и интерфейсы типа петля.
Назначьте ip-адреса в соответствии с L3-диаграммой.

14.

* HQ1(config)#interface Serial0/1/0
* HQ1(config-if)#ip address 20.17.5.2 255.255.255.248
* HQ1(config-if)#no shutdown
* HQ1(config)#interface loopback101
* HQ1(config-if)#ip address 11.11.11.11 255.255.255.255
* HQ1(config-if)#ipv6 address DEAD:BEEF:11::1/128
* HQ1(config-if)#no shutdown

15.

a. Для коммутаторов SW1, SW2 и SW3
создайте виртуальные интерфейсы в ВЛВС
101.
b. Назначьте им ip-адреса .51, .52 и .53 из
подсети LAN соответственно.

16.

17. 18. VLAN

19.

a. Для коммутаторов SW1, SW2 и SW3 создайте
виртуальные интерфейсы в ВЛВС 101.
Еще нужно завести Fa0/10 интерфейс в SW1 в VLAN101

20.

a. Для коммутаторов SW1, SW2 и SW3 создайте
виртуальные интерфейсы в ВЛВС 101.
*SW1(config)#vlan
SW1(config)#vlan 101
101
Еще нужно завести Fa0/10 интерфейс в SW1 в VLAN101
SW1(config)#interface fastEthernet 0/10
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 101

21.

b. Назначьте им ip-адреса .51, .52 и .53 из подсети
LAN соответственно.

22.

b. Назначьте им ip-адреса .51, .52 и .53 из подсети
LAN соответственно.
* SW1(config)#interface vlan 101
* SW1(config-if)#ip address 192.168.10.51 255.255.255.0
* SW1(config-if)#no shutdown

23. c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1

24. c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1

* HQ1(config)#ipv6 unicast-routing
* HQ1(config)#interface gigabitEthernet0/0.101
* HQ1(config-if)#ipv6 address a1f:ea75:ca75::/64 eui-64
* HQ1(config-if)#ipv6 address FE80::1 link-local
* HQ1(config-if)#no shutdown

25.

d. На ВСЕХ коммутаторах
неиспользуемые порты
отключите
ВСЕ

26.

d. На ВСЕХ коммутаторах
неиспользуемые порты
отключите
SW1(config)#interface range fa0/4-6
SW1(config-if-range)#shutdown
ВСЕ

27.

5. Все устройства должны быть доступны для
управления по протоколу SSH версии 2.

28.

5. Все устройства должны быть доступны для
управления по протоколу SSH версии 2.
HQ1(config)#crypto key generate rsa 2048
HQ1(config)# ip ssh version 2

29.

6. На маршрутизаторе HQ1 установите правильное
локальное время.

30.

6. На маршрутизаторе HQ1 установите правильное
локальное время.
HQ1#clock set 21:21:00 10 may 2017

31.

Настройка коммутации
1. На ВСЕХ коммутаторах создайте ВЛВС(VLAN):
под номером 101, назначьте имя LAN для этой подсети.

32.

Настройка коммутации
1. На ВСЕХ коммутаторах создайте ВЛВС(VLAN):
под номером 101, назначьте имя LAN для этой подсети.
SW1(config)#vlan 101
SW1(config-vlan)#name LAN

33. DTP

34.

35.

36.

3 режима работы протокола DTP:
1. On(по умолчанию)
(config-if-range)#switchport mode trunk
2. Dynamic auto
(config-if)#switchport mode dynamic auto
3. Dynamic desirable
(config-if)#switchport mode dynamic desirable

37.

2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического
согласования параметров магистральных соединений (DTP).
a)
На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на
данных портах будет инициировать согласование параметров магистрального
соединения.
*SW3(config-if)#switchport mode dynamic desirable
b)
Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый
коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует
согласование.
*SW1(config-if)#switchport mode dynamic auto
c)
Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE
802.1q.Явно отключите динамическое согласование магистральных соединений.
*SW1(config-if-range)#switchport mode trunk
*SW1(config-if-range)#switchport nonegotiate

38.

Проверка
SW1#show interfaces trunk

39. Etherchannel

40.

3. Настройте
a)
агрегирование каналов
связи между коммутаторами.
Номера портовых групп:
1 — между коммутаторами SW1 <-> SW2; PAgP
2 — между коммутаторами SW2 <-> SW3; LACP
3 — между коммутаторами SW3 <-> SW1. LACP
b)
Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по
протоколу LACP;
c) Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW3.
*
*
*
Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором
SW1.( desirable)
*
Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором
SW2.(auto)
*
*
ПРОВЕРКА
S3# show etherchannel summary

41.

3. Настройте
a)
агрегирование каналов
связи между коммутаторами.
Номера портовых групп:
1 — между коммутаторами SW1 <-> SW2; PAgP
2 — между коммутаторами SW2 <-> SW3; LACP
3 — между коммутаторами SW3 <-> SW1. LACP
b)
Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по
протоколу LACP;
SW3(config-if-range)#channel-group 3 mode active
c) Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW3.
*
SW1(config-if-range)#channel-group 3 mode passive
*
*
Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором
SW1.( desirable)
SW2(config-if-range)#interface range fa0/1-2
SW2(config-if-range)#channel-group 1 mode desirable
*
Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором
SW2.(auto)
*
SW1(config-if-range)#channel-group 1 mode auto
*
ПРОВЕРКА
S3# show etherchannel summary

42. STP

43.

4) Конфигурация протокола остовного дерева:
a) На всех коммутаторах используйте вариант протокола
со стандартом 802.1w. (Rapid STP (RSTP))
STP, совместимый
В начале нужно создать Vlan 102 и Vlan103 на коммутаторах
* SW1(config)# spanning-tree mode rapid-pvst
Коммутатор SW1 должен являться корнем связующего дерева в VLAN 101. В случае его
отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
b)
* SW1(config)# spanning-tree vlan 101 root primary
* SW2(config)# spanning-tree vlan 101 root secondary
ПРОВЕРКА
SW1#show
spanning-tree

44.

5) На порту Fa0/5 коммутатора SW1 включите защиту от атаки на
смену корня основного дерева. При получении информации о том,
что на этом порту находится потенциальный корень дерева в VLAN
101, порт должен переводиться в состояние err-disable
(отключение).
* SW1(config)#interface FastEthernet0/5
* SW1(config-if)#spanning-tree bpduguard enable
* Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы
порт переходил в состояние Forwarding(Пересылки) не дожидаясь
пересчета основного дерева.
* SW1(config-if)# int fa0/10
* SW1(config-if)# spanning-tree portfast

45. Настройка подинтерфейса на HQ1

46.

6. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга
IEEE 802.1Q
* HQ1 (config)# interface g0/0.101
* HQ1 (config-subif)# encapsulation dot1Q 101 native
* HQ1 (config-subif)# ip address 192.168.10.254 255.255.255.0
* HQ1 (config-subif)# exit
* HQ1 (config)# interface g0/0
* HQ1 (config-if)# no shutdown
* SW3(config)#interface FastEthernet0/11
* SW3(config-if)#switchport mode trunk
* SW3(config-if)#switchport trunk native vlan 101
* SW3(config-if)#switchport trunk allowed vlan 101

47. 48. PPP

49.

50.

Настройка подключений к глобальным сетям
1.На маршрутизаторе HQ1 настройте PPP для подключения к
маршрутизатору ISP. Для аутентификации используйте протокол CHAP с
паролем cisco.
*HQ1(config)#interface Serial0/1/0
*HQ1(config-if)#encapsulation ppp
*HQ1(config-if)# ppp authentication chap
*HQ1(config)#username ISP password cisco
*ISP(config)#interface Serial0/1/0
*ISP(config-if)#encapsulation ppp
*ISP (config-if)# ppp authentication chap
*ISP(config)#username HQ1 password cisco

51. PPPoE

52.

53.

54.

55.

* На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
*
*
Используйте протокол PAP для аутентификации
Используйте учетную запись cisco\cisco
ISP(config)# username cisco password cisco
ISP(config)# ip local pool PPPoEPOOL 20.17.5.14
ISP(config)# interface virtual-template 1
ISP(config-if)# ip address 20.17.5.13 255.255.255.252
ISP(config-if)# mtu 1492
ISP(config-if)# peer default ip address pool PPPoEPOOL
ISP(config-if)# ppp authentication pap callin
Назначьте шаблон группе PPPoE.
ISP(config)# bba-group pppoe global
ISP(config-bba-group)# virtual-template 1
ISP(config-bba-group)# exit
e. Свяжите группу bba-group с физическим интерфейсом G0/0.
ISP(config)# interface g0/0
ISP(config-if# pppoe enable group global
ISP(config-if)# no shutdown
ISP(config-if)# exit

56.

Настройте интерфейс G0/1 для подключения PPPoE.
b. Свяжите интерфейс G0/1 с интерфейсом номеронабирателя Dialer.
Используйте имя пользователя BR3 и пароль cisco, настроенные в части 2.
Настройте статический маршрут по умолчанию через интерфейс
номеронабирателя.

57.

Настройте интерфейс G0/0 для подключения PPPoE.
BR3
BR3
BR3
BR3
(config)# interface g0/0
(config-if)# pppoe enable
(config-if)# pppoe-client dial-pool-number 1
(config-if)# exit
b. Свяжите интерфейс G0/0 с интерфейсом номеронабирателя Dialer.
Используйте имя пользователя BR3 и пароль cisco, настроенные в части 2.
BR3 (config)# interface dialer 1
BR3 (config)# ip address negotiated
BR3 (config-if)# encapsulation ppp
BR3 (config-if)# dialer pool 1
BR3 (config-if)# ppp authentication pap callin
BR3 (config-if)# ppp pap sent-username cisco password cisco
BR3 (config-if)# exit
Настройте статический маршрут по умолчанию через интерфейс
номеронабирателя.
BR3 (config)# ip route 0.0.0.0 0.0.0.0 dialer 1
BR3 (config)# interface dialer 1
BR3 (config-if)# no shut

58. Настройка маршрутизации

59.

Настройка маршрутизации
HQ1(config)#router eigrp 2017
HQ1(config-router)#network 20.17.5.0 0.0.0.15
HQ1 (config)# key chain WSR
HQ1 (config-keychain)# key 1
HQ1 (config-keychain-key )#key-string cisco
HQ1 (config)# interface Serial0/1/0
HQ1 (config-if)# ip authentication mode eigrp 2017 md5
HQ1 (config-if)# ip authentication key-chain eigrp 2017 WSR

60.

На маршрутизаторах ISP, HQ1 и BR3 настройте протокол
динамической маршрутизации BGP.
HQ1(config)#router bgp 65001
HQ1(config-router)#neighbor 20.17.5.1 remote-as 65000
HQ1(config-router)#network 11.11.11.11 mask 255.255.255.255

61.

На маршрутизаторах HQ1 и BR3 настройте протокол динамической
маршрутизации OSPFv3 с номером процесса 1.
HQ1(config)#ipv6 unicast-routing
HQ1(config)# ipv6 router ospf 1
HQ1 (config)# interface tunnel100
HQ1 (config-if)# ipv6 ospf 1 area 0

62. 63. NTP

64.

Настройка служб
Назначьте в качестве сервера синхронизации времени
маршрутизатор HQ1.
* HQ1(config)# ntp master
* HQ1(config)#clock timezone MSK 2
* HQ1(config)#ntp master stratum 2
* BR3(config)# ntp server 20.17.5.2
* HQ1(config)# ntp authenticate
* HQ1(config)# ntp authentication-key 1 md5 WSR
* HQ1(config)# ntp trusted-key 1

65. PAT

66.

На маршрутизаторе HQ1 настройте динамическую
трансляцию
портов
(PAT)
в
адрес
интерфейса,
подключенного к сети INET1 для сети LAN.
HQ1 (config)# access-list 1 permit 192.168.10.0 0.0.0.255
HQ1 (config)# ip nat inside source list 1 interface S0/3/0 overload
HQ1 (config)# interface G 0/0.101
HQ1config-if)# ip nat inside
HQ1 (config)# interface S0/3/0
HQ1 (config-if)# ip nat outside
Команды для проверки работы NAT
HQ1# show ip nat translations

67. DHCP

68.

Настройте протокол динамической
следующими характеристиками
конфигурации
хостов
со
HQ1 (config)#ip dhcp pool LAN
HQ1 (dhcp-config)# network 192.168.10.0 255.255.255.0
HQ1 (dhcp-config)# default-router 192.168.10.254
HQ1 (dhcp-config)# dns-server 192.168.10.100
HQ1 (config)# ip dhcp excluded-address 192.168.10.1 192.168.10.100

69. Настройка механизмов безопасности

70.

Настройка механизмов безопасности
* BR3#enable view
* BR3 (config)#parser view view2
* BR3 (config-view)#secret cisco
* BR3 (config-view)#commands exec include all show
* BR3 (config-view)#commands exec include show version
* BR3 (config-view)#commands exec excluded show ip route
* BR3 (config)#username user2 view view2 secret cisco2

71.

*View
*Superview

72.

Создание superview-контекста:
* BR3 (config)#parser view superview
* BR3 (config-view)#secret cisco
* BR3 (config-view)# view show_view
* BR3 (config-view)# view ping_view
* BR3 (config)#username user5 view superview secret cisco5

73. Port Security

74.

На порту коммутатора SW1, к которому подключен PC1, включите и
настройте Port Security со следующими параметрами:
* SW1(config)#interface FastEthernet0/10
* SW1(config-if)#switchport port-security
* SW1(config-if)#switchport port-security maximum 2
* SW1(config-if)#switchport port-security mac-address sticky
* SW1(config-if)#switchport port-security violation restrict

75. DHCP-snooping

76.

На коммутаторе SW1 включите DHCP-snooping для подсети
LAN. Используйте флеш-память в качестве места хранения
базы данных.
* SW1(config)# ip dhcp snooping
* SW1(config)# ip dhcp snooping vlan 101
* SW1(config)# interface rang fa 0/7-9
* SW1 (config-if)# ip dhcp snooping trust
* SW1(config)# interface rang fa 0/1-3
* SW1 (config-if)# ip dhcp snooping trust
* SW1(config)#ip dhcp snooping database flash:dhcp

77. Динамическая проверка ARP-запросов

78.

На коммутаторе SW1 включите динамическую проверку
ARP-запросов в сети LAN.
* Switch(config)# ip arp inspection vlan 101
Настройка доверенного порта:
* SW1(config)# interface rang fa 0/7-9
* SW1 (config-if)# ip arp inspection trust
* SW1(config)# interface rang fa 0/1-3
* SW1 (config-if)# ip arp inspection trust

79. VPN

80.

Конфигурация виртуальных частных сетей
* HQ1(config)# interface tunnel 100
* HQ1(config-if)# ipv6 address 2001::1/64
* HQ1(config-if)# tunnel mode ipv6ip
* HQ1(config-if)# tunnel source s0/3/0
* HQ1 (config-if)# tunnel destination 20.17.5.14
*
* BR3(config)# interface tunnel 100
* BR3(config-if)# ipv6 address 2001::2/64
* BR3(config-if)# tunnel mode ipv6ip
* BR3(config-if)# tunnel source dialer 1
* BR3 (config-if)# tunnel destination 20.17.5.2

81. IKEv1 IPsec Site-to-Site VPN

82.

На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec
Site-to-Site VPN и примените его к созданному GREтуннелю
* HQ(config)#crypto isakmp policy 11
* HQ (config-isakmp)# hash md5
* HQ (config-isakmp)# encryption aes 128
* HQ (config-isakmp)# group 5
* HQ (config-isakmp)# authentication pre-share
* HQ (config)# crypto isakmp key cisco address 20.17.5.14

83.

*
На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GREтуннелю
Параметры политики первой фазы:
-Проверка целостности – MD5
-Шифрование – AES-128
- Группа Диффи-Хэлмана – 5
HQ(config)#crypto isakmp policy 10
HQ (config-isakmp)# hash md5
HQ (config-isakmp)# encryption aes 128
HQ (config-isakmp)# group 5
HQ (config-isakmp)# authentication pre-share
Для настройки предварительно разрешенного ключа проверки
подлинности введите
HQ (config)# crypto isakmp key cisco address 20.17.5.14
BR3(config)#crypto isakmp policy 10
BR3 (config-isakmp)# hash md5
BR3 (config-isakmp)# encryption aes 128
BR3 (config-isakmp)# group 5
BR3 (config-isakmp)# authentication pre-share
Для настройки предварительно разрешенного ключа проверки
подлинности введите
BR3 (config)# crypto isakmp key cisco address 20.17.5.2

84.

*IKEпротокол
обмена ключами

85.

*(AH или ESP)
*(DES,3DES, AES)
*(SHA, MD5)

86.

HQ(config)#crypto ipsec transform-set SET1 esp-aes 128 esp-md5-hmac
Теперь создаём карту шифрования:
HQ(config)#crypto map MAP1 10 ipsec-isakmp
Для определения Узла IPsec в карты шифрования введите
HQ1(config-crypto-map)# set peer 20.17.5.14
Для определения наборов преобразований, которые могут использоваться с
картой шифрования,
HQ1(config-crypto-map)# set transform-set SET1
Для определения расширенного списка доступа для карты шифрования
введите команду
HQ1(config-crypto-map)# match address 101
HQ(config)#access-list 101 permit ip host 192.168.10.0 host 20.17.5.12
HQ(config)#interface serial 0/3/0
HQ(config)#crypto map MAP1

87.

BR3(config)#crypto map MAP1 10 ipsec-isakmp
BR3 (config-crypto-map)# set peer 20.17.5.2
BR3(config-crypto-map)# set transform-set SET1
BR3 (config-crypto-map)# match address 101
BR3 (config)# access-list 101 permit ip host 20.17.5.12
host 192.168.10.0
BR3 (config)# interface dialer1
BR3 (config-if)# crypto map MAP1

English Русский Rules