Similar presentations:
Network Island. L1 diagram
1.
Network Island.L1 diagram
PC1
Fa0/9
Fa0/8
Fa0/7
Fa0/11
Fa0/2
Fa0/3
2
SW
G0/0
HQ1
s0/3/0
s0/3/0
3
SW
Fa0/2
Fa0/3
Fa0/1
Fa0/1
1
SW
Fa0/7
Fa0/8
Fa0/9
ISP
G0/0
Fa0/6
Fa0/5
Fa0/4
Fa0/10
Fa0/6
Fa0/5
Fa0/4
Fa0/0
BR3
2.
Network Island.L2 diagram
Условные обозначения
Ethernet IEEE 802.1Q trunk
vlan101
Ethernet IEEE 802.3 access port
Etherchannel (способ формирования канала
указан в задании)
Fa0/11
Po3
Fa0/9
Fa0/3
Fa0/9
HQ1
s0/3/0
VT1
Po2
Fa0/6
ISP
Dialer1
Fa0/6
PC1
2
SW
s0/3/0
3
SW
Fa0/3
Po1
1
SW
Po1
vlan101
G0/0
Po3
Fa0/10
Po2
BR3
3.
Loopback10111.11.11.11/32
dead:beef:11::1/128
.1
ISP
INET3
20.17.5.12/30
.14
DHCP
LAN
192.168.10.0/24
a1f:ea75:ca75::0/64
INET1
20.17.5.0/29
Loopback102
138.76.0.1/16
.13
.2
.254
HQ1
Loopback101
209.136.0.1/16
Loopback100
8.8.8.8/32
Network Island.
L3 diagram
Loopback2
3.3.3.3/32
dead:beef:3::1/128
BR3
4.
Network Island.Routing diagram
BGP AS 65001
BGP AS 65000
BGP AS 65003
209.136.0.0/16
Loopback101
11.11.11.11/32
Loopback2
3.3.3.3/32
138.76.0.0/16
OSPFv3 Area 0
EIGRP AS 2017
Loopback3
Loopback100
8.8.8.8/32
INET1
20.17.5.0/29
dead:beef:3::1/128
Loopback101
GRE tunnel
dead:beef:11::1/128
INET3
20.17.5.12/30
2001::0/64
LAN
a1f:ea75:ca75::0/64
5.
Базовая настройка1.
Задайте имя ВСЕХ устройств в соответствии с топологией
(config)# hostname
2.
3.
Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
(config)# ip domain-name wsr2017.ru
Создайте на ВСЕХ устройствах пользователя wsr2017 с
паролем cisco
a.
b.
Пароль пользователя должен храниться в конфигурации в виде
результата хэш-функции.
Пользователь должен обладать максимальным уровнем
привилегий.
6.
*Пароли в конфигах устройств Cisco хранятся 3 способами:1. В открытом виде
2. Пароль «типа 7» или «password 7»
3. Пароль типа «secret 5»
7.
HQ1(config)#username wsr2017 privilege 15 secret cisco8.
4. Для ВСЕХ устройств реализуйте модель AAA.a.
Аутентификация на удаленной консоли должна
производиться с использованием локальной базы данных
b.
После успешной аутентификации при входе с удаленной
консоли пользователь сразу должен попадать в режим с
максимальным уровнем привилегий.
c.
Настройте необходимость аутентификации на локальной
консоли.
d.
При успешной аутентификации на локальной консоли
пользователь должен попадать в режим с минимальным
уровнем привилегий.
e.
На BR3 при успешной аутентификации на локальной консоли
пользователь должен попадать в режим с максимальным
уровнем привилегий
9.
* R1(config)# Line vty 0 15* R1(config-line)# login local
10.
Модель AAA:- authentication - основанный на логине и пароле
метод определения пользователя
- authorization - определение прав пользователя в
системе
- accounting - учёт действий пользователя в системе
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
R1(config)#aaa authorization exec default local
R1(config)# Line console 0
R1(config-line)# login authentication default
11.
5. На ВСЕХ устройствах установите пароль wsrна вход в привилегированный режим.
a. Пароль должен храниться в конфигурации НЕ в
виде результата хэш-функции.
b. Настройте режим, при котором все пароли в
конфигурации хранятся в зашифрованном виде.
12.
*R1(config)#enable password wsr* R1(config)#service password-encryption
13.
6. На ВСЕХ устройствах создайте виртуальныеинтерфейсы, подинтерфейсы и интерфейсы типа петля.
Назначьте ip-адреса в соответствии с L3-диаграммой.
14.
* HQ1(config)#interface Serial0/1/0* HQ1(config-if)#ip address 20.17.5.2 255.255.255.248
* HQ1(config-if)#no shutdown
* HQ1(config)#interface loopback101
* HQ1(config-if)#ip address 11.11.11.11 255.255.255.255
* HQ1(config-if)#ipv6 address DEAD:BEEF:11::1/128
* HQ1(config-if)#no shutdown
15.
a. Для коммутаторов SW1, SW2 и SW3создайте виртуальные интерфейсы в ВЛВС
101.
b. Назначьте им ip-адреса .51, .52 и .53 из
подсети LAN соответственно.
16.
Network Island.L2 diagram
Условные обозначения
Ethernet IEEE 802.1Q trunk
vlan101
Ethernet IEEE 802.3 access port
Etherchannel (способ формирования канала
указан в задании)
Fa0/11
Po3
Fa0/9
Fa0/3
Fa0/9
HQ1
s0/3/0
VT1
Po2
Fa0/6
ISP
Dialer1
Fa0/6
PC1
2
SW
s0/3/0
3
SW
Fa0/3
Po1
1
SW
Po1
vlan101
G0/0
Po3
Fa0/10
Po2
BR3
17.
Network Island.L1 diagram
PC1
Fa0/9
Fa0/8
Fa0/7
Fa0/11
Fa0/2
Fa0/3
2
SW
G0/0
HQ1
s0/3/0
s0/3/0
3
SW
Fa0/2
Fa0/3
Fa0/1
Fa0/1
1
SW
Fa0/7
Fa0/8
Fa0/9
ISP
G0/0
Fa0/6
Fa0/5
Fa0/4
Fa0/10
Fa0/6
Fa0/5
Fa0/4
Fa0/0
BR3
18. VLAN
19.
a. Для коммутаторов SW1, SW2 и SW3 создайтевиртуальные интерфейсы в ВЛВС 101.
Еще нужно завести Fa0/10 интерфейс в SW1 в VLAN101
20.
a. Для коммутаторов SW1, SW2 и SW3 создайтевиртуальные интерфейсы в ВЛВС 101.
*SW1(config)#vlan
SW1(config)#vlan 101
101
Еще нужно завести Fa0/10 интерфейс в SW1 в VLAN101
SW1(config)#interface fastEthernet 0/10
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 101
21.
b. Назначьте им ip-адреса .51, .52 и .53 из подсетиLAN соответственно.
22.
b. Назначьте им ip-адреса .51, .52 и .53 из подсетиLAN соответственно.
* SW1(config)#interface vlan 101
* SW1(config-if)#ip address 192.168.10.51 255.255.255.0
* SW1(config-if)#no shutdown
23. c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1
24. c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на интерфейсе маршрутизатора HQ1
* HQ1(config)#ipv6 unicast-routing* HQ1(config)#interface gigabitEthernet0/0.101
* HQ1(config-if)#ipv6 address a1f:ea75:ca75::/64 eui-64
* HQ1(config-if)#ipv6 address FE80::1 link-local
* HQ1(config-if)#no shutdown
25.
d. На ВСЕХ коммутаторахнеиспользуемые порты
отключите
ВСЕ
26.
d. На ВСЕХ коммутаторахнеиспользуемые порты
отключите
SW1(config)#interface range fa0/4-6
SW1(config-if-range)#shutdown
ВСЕ
27.
5. Все устройства должны быть доступны дляуправления по протоколу SSH версии 2.
28.
5. Все устройства должны быть доступны дляуправления по протоколу SSH версии 2.
HQ1(config)#crypto key generate rsa 2048
HQ1(config)# ip ssh version 2
29.
6. На маршрутизаторе HQ1 установите правильноелокальное время.
30.
6. На маршрутизаторе HQ1 установите правильноелокальное время.
HQ1#clock set 21:21:00 10 may 2017
31.
Настройка коммутации1. На ВСЕХ коммутаторах создайте ВЛВС(VLAN):
под номером 101, назначьте имя LAN для этой подсети.
32.
Настройка коммутации1. На ВСЕХ коммутаторах создайте ВЛВС(VLAN):
под номером 101, назначьте имя LAN для этой подсети.
SW1(config)#vlan 101
SW1(config-vlan)#name LAN
33. DTP
34.
Network Island.L2 diagram
Условные обозначения
Ethernet IEEE 802.1Q trunk
vlan101
Ethernet IEEE 802.3 access port
Etherchannel (способ формирования канала
указан в задании)
Fa0/11
Po3
Fa0/9
Fa0/3
Fa0/9
HQ1
s0/3/0
VT1
Po2
Fa0/6
ISP
Dialer1
Fa0/6
PC1
2
SW
s0/3/0
3
SW
Fa0/3
Po1
1
SW
Po1
vlan101
G0/0
Po3
Fa0/10
Po2
BR3
35.
Network Island.L1 diagram
PC1
Fa0/9
Fa0/8
Fa0/7
Fa0/11
Fa0/2
Fa0/3
2
SW
G0/0
HQ1
s0/3/0
s0/3/0
3
SW
Fa0/2
Fa0/3
Fa0/1
Fa0/1
1
SW
Fa0/7
Fa0/8
Fa0/9
ISP
G0/0
Fa0/6
Fa0/5
Fa0/4
Fa0/10
Fa0/6
Fa0/5
Fa0/4
Fa0/0
BR3
36.
3 режима работы протокола DTP:1. On(по умолчанию)
(config-if-range)#switchport mode trunk
2. Dynamic auto
(config-if)#switchport mode dynamic auto
3. Dynamic desirable
(config-if)#switchport mode dynamic desirable
37.
2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамическогосогласования параметров магистральных соединений (DTP).
a)
На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на
данных портах будет инициировать согласование параметров магистрального
соединения.
*SW3(config-if)#switchport mode dynamic desirable
b)
Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором каждый
коммутатор ожидает начала согласования параметров от соседа, но сам не инициирует
согласование.
*SW1(config-if)#switchport mode dynamic auto
c)
Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по протоколу IEEE
802.1q.Явно отключите динамическое согласование магистральных соединений.
*SW1(config-if-range)#switchport mode trunk
*SW1(config-if-range)#switchport nonegotiate
38.
ПроверкаSW1#show interfaces trunk
39. Etherchannel
40.
3. Настройтеa)
агрегирование каналов
связи между коммутаторами.
Номера портовых групп:
1 — между коммутаторами SW1 <-> SW2; PAgP
2 — между коммутаторами SW2 <-> SW3; LACP
3 — между коммутаторами SW3 <-> SW1. LACP
b)
Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по
протоколу LACP;
c) Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW3.
*
*
*
Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором
SW1.( desirable)
*
Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором
SW2.(auto)
*
*
ПРОВЕРКА
S3# show etherchannel summary
41.
3. Настройтеa)
агрегирование каналов
связи между коммутаторами.
Номера портовых групп:
1 — между коммутаторами SW1 <-> SW2; PAgP
2 — между коммутаторами SW2 <-> SW3; LACP
3 — между коммутаторами SW3 <-> SW1. LACP
b)
Коммутатор SW3 должен быть настроен в режиме активного согласования по обеим портовым группам по
протоколу LACP;
SW3(config-if-range)#channel-group 3 mode active
c) Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с коммутатором SW3.
*
SW1(config-if-range)#channel-group 3 mode passive
*
*
Коммутатор SW2 должен быть настроен в режиме активного согласования по протоколу PAgP с коммутатором
SW1.( desirable)
SW2(config-if-range)#interface range fa0/1-2
SW2(config-if-range)#channel-group 1 mode desirable
*
Коммутатор SW1 должен быть настроен в режиме пассивного согласования по протоколу PAgP с коммутатором
SW2.(auto)
*
SW1(config-if-range)#channel-group 1 mode auto
*
ПРОВЕРКА
S3# show etherchannel summary
42. STP
43.
4) Конфигурация протокола остовного дерева:a) На всех коммутаторах используйте вариант протокола
со стандартом 802.1w. (Rapid STP (RSTP))
STP, совместимый
В начале нужно создать Vlan 102 и Vlan103 на коммутаторах
* SW1(config)# spanning-tree mode rapid-pvst
Коммутатор SW1 должен являться корнем связующего дерева в VLAN 101. В случае его
отказа, корнем должен стать коммутатор SW2. В случае отказа SW2 — коммутатор SW3.
b)
* SW1(config)# spanning-tree vlan 101 root primary
* SW2(config)# spanning-tree vlan 101 root secondary
ПРОВЕРКА
SW1#show
spanning-tree
44.
5) На порту Fa0/5 коммутатора SW1 включите защиту от атаки насмену корня основного дерева. При получении информации о том,
что на этом порту находится потенциальный корень дерева в VLAN
101, порт должен переводиться в состояние err-disable
(отключение).
* SW1(config)#interface FastEthernet0/5
* SW1(config-if)#spanning-tree bpduguard enable
* Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы
порт переходил в состояние Forwarding(Пересылки) не дожидаясь
пересчета основного дерева.
* SW1(config-if)# int fa0/10
* SW1(config-if)# spanning-tree portfast
45. Настройка подинтерфейса на HQ1
46.
6. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэгаIEEE 802.1Q
* HQ1 (config)# interface g0/0.101
* HQ1 (config-subif)# encapsulation dot1Q 101 native
* HQ1 (config-subif)# ip address 192.168.10.254 255.255.255.0
* HQ1 (config-subif)# exit
* HQ1 (config)# interface g0/0
* HQ1 (config-if)# no shutdown
* SW3(config)#interface FastEthernet0/11
* SW3(config-if)#switchport mode trunk
* SW3(config-if)#switchport trunk native vlan 101
* SW3(config-if)#switchport trunk allowed vlan 101
47.
48. PPP
49.
Настройка подключений к глобальным сетям1.На маршрутизаторе HQ1 настройте PPP для подключения к
маршрутизатору ISP. Для аутентификации используйте протокол CHAP с
паролем cisco.
50.
Настройка подключений к глобальным сетям1.На маршрутизаторе HQ1 настройте PPP для подключения к
маршрутизатору ISP. Для аутентификации используйте протокол CHAP с
паролем cisco.
*HQ1(config)#interface Serial0/1/0
*HQ1(config-if)#encapsulation ppp
*HQ1(config-if)# ppp authentication chap
*HQ1(config)#username ISP password cisco
*ISP(config)#interface Serial0/1/0
*ISP(config-if)#encapsulation ppp
*ISP (config-if)# ppp authentication chap
*ISP(config)#username HQ1 password cisco
51. PPPoE
52.
Network Island.L1 diagram
PC1
Fa0/9
Fa0/8
Fa0/7
Fa0/11
Fa0/2
Fa0/3
2
SW
G0/0
HQ1
s0/3/0
s0/3/0
3
SW
Fa0/2
Fa0/3
Fa0/1
Fa0/1
1
SW
Fa0/7
Fa0/8
Fa0/9
ISP
G0/0
Fa0/6
Fa0/5
Fa0/4
Fa0/10
Fa0/6
Fa0/5
Fa0/4
Fa0/0
BR3
53.
54.
Loopback10111.11.11.11/32
dead:beef:11::1/128
.1
ISP
INET3
20.17.5.12/30
.14
DHCP
LAN
192.168.10.0/24
a1f:ea75:ca75::0/64
INET1
20.17.5.0/29
Loopback102
138.76.0.1/16
.13
.2
.254
HQ1
Loopback101
209.136.0.1/16
Loopback100
8.8.8.8/32
Network Island.
L3 diagram
Loopback2
3.3.3.3/32
dead:beef:3::1/128
BR3
55.
* На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.*
*
Используйте протокол PAP для аутентификации
Используйте учетную запись cisco\cisco
ISP(config)# username cisco password cisco
ISP(config)# ip local pool PPPoEPOOL 20.17.5.14
ISP(config)# interface virtual-template 1
ISP(config-if)# ip address 20.17.5.13 255.255.255.252
ISP(config-if)# mtu 1492
ISP(config-if)# peer default ip address pool PPPoEPOOL
ISP(config-if)# ppp authentication pap callin
Назначьте шаблон группе PPPoE.
ISP(config)# bba-group pppoe global
ISP(config-bba-group)# virtual-template 1
ISP(config-bba-group)# exit
e. Свяжите группу bba-group с физическим интерфейсом G0/0.
ISP(config)# interface g0/0
ISP(config-if# pppoe enable group global
ISP(config-if)# no shutdown
ISP(config-if)# exit
56.
Настройте интерфейс G0/1 для подключения PPPoE.b. Свяжите интерфейс G0/1 с интерфейсом номеронабирателя Dialer.
Используйте имя пользователя BR3 и пароль cisco, настроенные в части 2.
Настройте статический маршрут по умолчанию через интерфейс
номеронабирателя.
57.
Настройте интерфейс G0/0 для подключения PPPoE.BR3
BR3
BR3
BR3
(config)# interface g0/0
(config-if)# pppoe enable
(config-if)# pppoe-client dial-pool-number 1
(config-if)# exit
b. Свяжите интерфейс G0/0 с интерфейсом номеронабирателя Dialer.
Используйте имя пользователя BR3 и пароль cisco, настроенные в части 2.
BR3 (config)# interface dialer 1
BR3 (config)# ip address negotiated
BR3 (config-if)# encapsulation ppp
BR3 (config-if)# dialer pool 1
BR3 (config-if)# ppp authentication pap callin
BR3 (config-if)# ppp pap sent-username cisco password cisco
BR3 (config-if)# exit
Настройте статический маршрут по умолчанию через интерфейс
номеронабирателя.
BR3 (config)# ip route 0.0.0.0 0.0.0.0 dialer 1
BR3 (config)# interface dialer 1
BR3 (config-if)# no shut
58. Настройка маршрутизации
59.
Настройка маршрутизацииHQ1(config)#router eigrp 2017
HQ1(config-router)#network 20.17.5.0 0.0.0.15
HQ1 (config)# key chain WSR
HQ1 (config-keychain)# key 1
HQ1 (config-keychain-key )#key-string cisco
HQ1 (config)# interface Serial0/1/0
HQ1 (config-if)# ip authentication mode eigrp 2017 md5
HQ1 (config-if)# ip authentication key-chain eigrp 2017 WSR
60.
На маршрутизаторах ISP, HQ1 и BR3 настройте протоколдинамической маршрутизации BGP.
HQ1(config)#router bgp 65001
HQ1(config-router)#neighbor 20.17.5.1 remote-as 65000
HQ1(config-router)#network 11.11.11.11 mask 255.255.255.255
61.
На маршрутизаторах HQ1 и BR3 настройте протокол динамическоймаршрутизации OSPFv3 с номером процесса 1.
HQ1(config)#ipv6 unicast-routing
HQ1(config)# ipv6 router ospf 1
HQ1 (config)# interface tunnel100
HQ1 (config-if)# ipv6 ospf 1 area 0
62.
Loopback10111.11.11.11/32
dead:beef:11::1/128
.1
ISP
INET3
20.17.5.12/30
.14
DHCP
LAN
192.168.10.0/24
a1f:ea75:ca75::0/64
INET1
20.17.5.0/29
Loopback102
138.76.0.1/16
.13
.2
.254
HQ1
Loopback101
209.136.0.1/16
Loopback100
8.8.8.8/32
Network Island.
L3 diagram
Loopback2
3.3.3.3/32
dead:beef:3::1/128
BR3
63. NTP
64.
Настройка службНазначьте в качестве сервера синхронизации времени
маршрутизатор HQ1.
* HQ1(config)# ntp master
* HQ1(config)#clock timezone MSK 2
* HQ1(config)#ntp master stratum 2
* BR3(config)# ntp server 20.17.5.2
* HQ1(config)# ntp authenticate
* HQ1(config)# ntp authentication-key 1 md5 WSR
* HQ1(config)# ntp trusted-key 1
65. PAT
66.
На маршрутизаторе HQ1 настройте динамическуютрансляцию
портов
(PAT)
в
адрес
интерфейса,
подключенного к сети INET1 для сети LAN.
HQ1 (config)# access-list 1 permit 192.168.10.0 0.0.0.255
HQ1 (config)# ip nat inside source list 1 interface S0/3/0 overload
HQ1 (config)# interface G 0/0.101
HQ1config-if)# ip nat inside
HQ1 (config)# interface S0/3/0
HQ1 (config-if)# ip nat outside
Команды для проверки работы NAT
HQ1# show ip nat translations
67. DHCP
68.
Настройте протокол динамическойследующими характеристиками
конфигурации
хостов
со
HQ1 (config)#ip dhcp pool LAN
HQ1 (dhcp-config)# network 192.168.10.0 255.255.255.0
HQ1 (dhcp-config)# default-router 192.168.10.254
HQ1 (dhcp-config)# dns-server 192.168.10.100
HQ1 (config)# ip dhcp excluded-address 192.168.10.1 192.168.10.100
69. Настройка механизмов безопасности
70.
Настройка механизмов безопасности* BR3#enable view
* BR3 (config)#parser view view2
* BR3 (config-view)#secret cisco
* BR3 (config-view)#commands exec include all show
* BR3 (config-view)#commands exec include show version
* BR3 (config-view)#commands exec excluded show ip route
* BR3 (config)#username user2 view view2 secret cisco2
71.
*View*Superview
72.
Создание superview-контекста:* BR3 (config)#parser view superview
* BR3 (config-view)#secret cisco
* BR3 (config-view)# view show_view
* BR3 (config-view)# view ping_view
* BR3 (config)#username user5 view superview secret cisco5
73. Port Security
74.
На порту коммутатора SW1, к которому подключен PC1, включите инастройте Port Security со следующими параметрами:
* SW1(config)#interface FastEthernet0/10
* SW1(config-if)#switchport port-security
* SW1(config-if)#switchport port-security maximum 2
* SW1(config-if)#switchport port-security mac-address sticky
* SW1(config-if)#switchport port-security violation restrict
75. DHCP-snooping
76.
На коммутаторе SW1 включите DHCP-snooping для подсетиLAN. Используйте флеш-память в качестве места хранения
базы данных.
* SW1(config)# ip dhcp snooping
* SW1(config)# ip dhcp snooping vlan 101
* SW1(config)# interface rang fa 0/7-9
* SW1 (config-if)# ip dhcp snooping trust
* SW1(config)# interface rang fa 0/1-3
* SW1 (config-if)# ip dhcp snooping trust
* SW1(config)#ip dhcp snooping database flash:dhcp
77. Динамическая проверка ARP-запросов
78.
На коммутаторе SW1 включите динамическую проверкуARP-запросов в сети LAN.
* Switch(config)# ip arp inspection vlan 101
Настройка доверенного порта:
* SW1(config)# interface rang fa 0/7-9
* SW1 (config-if)# ip arp inspection trust
* SW1(config)# interface rang fa 0/1-3
* SW1 (config-if)# ip arp inspection trust
79. VPN
80.
Конфигурация виртуальных частных сетей* HQ1(config)# interface tunnel 100
* HQ1(config-if)# ipv6 address 2001::1/64
* HQ1(config-if)# tunnel mode ipv6ip
* HQ1(config-if)# tunnel source s0/3/0
* HQ1 (config-if)# tunnel destination 20.17.5.14
*
* BR3(config)# interface tunnel 100
* BR3(config-if)# ipv6 address 2001::2/64
* BR3(config-if)# tunnel mode ipv6ip
* BR3(config-if)# tunnel source dialer 1
* BR3 (config-if)# tunnel destination 20.17.5.2
81. IKEv1 IPsec Site-to-Site VPN
82.
На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsecSite-to-Site VPN и примените его к созданному GREтуннелю
* HQ(config)#crypto isakmp policy 11
* HQ (config-isakmp)# hash md5
* HQ (config-isakmp)# encryption aes 128
* HQ (config-isakmp)# group 5
* HQ (config-isakmp)# authentication pre-share
* HQ (config)# crypto isakmp key cisco address 20.17.5.14
83.
*На маршрутизаторах HQ1 и BR3 настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GREтуннелю
Параметры политики первой фазы:
-Проверка целостности – MD5
-Шифрование – AES-128
- Группа Диффи-Хэлмана – 5
HQ(config)#crypto isakmp policy 10
HQ (config-isakmp)# hash md5
HQ (config-isakmp)# encryption aes 128
HQ (config-isakmp)# group 5
HQ (config-isakmp)# authentication pre-share
Для настройки предварительно разрешенного ключа проверки
подлинности введите
HQ (config)# crypto isakmp key cisco address 20.17.5.14
BR3(config)#crypto isakmp policy 10
BR3 (config-isakmp)# hash md5
BR3 (config-isakmp)# encryption aes 128
BR3 (config-isakmp)# group 5
BR3 (config-isakmp)# authentication pre-share
Для настройки предварительно разрешенного ключа проверки
подлинности введите
BR3 (config)# crypto isakmp key cisco address 20.17.5.2
84.
*IKEпротоколобмена ключами
85.
*(AH или ESP)*(DES,3DES, AES)
*(SHA, MD5)
86.
HQ(config)#crypto ipsec transform-set SET1 esp-aes 128 esp-md5-hmacТеперь создаём карту шифрования:
HQ(config)#crypto map MAP1 10 ipsec-isakmp
Для определения Узла IPsec в карты шифрования введите
HQ1(config-crypto-map)# set peer 20.17.5.14
Для определения наборов преобразований, которые могут использоваться с
картой шифрования,
HQ1(config-crypto-map)# set transform-set SET1
Для определения расширенного списка доступа для карты шифрования
введите команду
HQ1(config-crypto-map)# match address 101
HQ(config)#access-list 101 permit ip host 192.168.10.0 host 20.17.5.12
HQ(config)#interface serial 0/3/0
HQ(config)#crypto map MAP1
87.
BR3(config)#crypto map MAP1 10 ipsec-isakmpBR3 (config-crypto-map)# set peer 20.17.5.2
BR3(config-crypto-map)# set transform-set SET1
BR3 (config-crypto-map)# match address 101
BR3 (config)# access-list 101 permit ip host 20.17.5.12
host 192.168.10.0
BR3 (config)# interface dialer1
BR3 (config-if)# crypto map MAP1