HQ1(config)#ip domain-name wsr2017.Ru

NETWORK ISLAND

Разработано экспертами WSR:

Горбачев А.П.

Дата: 20.09.16

Версия: 8


Базовая настройка

1. Задайте имя ВСЕХ устройств в соответствии с топологией

Router>en

Router#conf t

Router(config)#hostname HQ1

2. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru

HQ1(config)#ip domain-name wsr2017.ru

3. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco

a. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.

b. Пользователь должен обладать максимальным уровнем привилегий.

HQ1(config)#username wsr2017 privilege 15 secret cisco

4. Для ВСЕХ устройств реализуйте модель AAA.

HQ1(config)#aaa new-model

a. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных

HQ1(config)#aaa authentication login default local

b. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.

HQ1(config)#line vty 0 15

HQ1(config-line)#privilege level 15

c. Настройте необходимость аутентификации на локальной консоли.

HQ1(config)#line console 0

HQ1(config-line)#login authentication default

d. При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.

HQ1(config)#line console 0

HQ1(config-line)#privilege level 0

e. На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий

BR3(config)#line console 0

BR3(config-line)#privilege level 15

5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.

a. Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.

b. Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.

BR3(config)#enable password wsr

BR3(config)#service password-encryption

6. На ВСЕХ устройствах создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля. Назначьте ip-адреса в соответствии с L3-диаграммой.

HQ1(config)#interface loopback 101

HQ1(config-if)#ip address 11.11.11.11 255.255.255.255

HQ1(config-if)#ipv6 address dead:beef:11::1/128

ISP(config)#interface loopback 101

ISP(config-if)#ip address 209.136.0.1 255.255.0.0

ISP(config)#interface loopback 100

ISP(config-if)#ip address 8.8.8.8 255.255.255.255

ISP(config)#interface loopback 102

ISP(config-if)#ip address 138.76.0.1 255.255.0.0

HQ1 (config)#interface s0/1/0

HQ1(config-if)#ip address 20.17.5.2 255.255.255.248

HQ1(config-if)#no shutdown

HQ1 (config)#interface g0/0 (ИЛИ f0/0)

HQ1(config-if)#ip address 192.168.10.254 255.255.255.0

HQ1(config-if)#no shutdown

ISP(config)#interface s0/1/0

ISP(config-if)#ip address 20.17.5.1 255.255.255.248

ISP(config-if)#clock rate 128000

ISP(config-if)#no shutdown

ISP(config)#interface g0/0

ISP(config-if)#ip address 20.17.5.13 255.255.255.252

ISP(config-if)#no shutdown

BR3(config)#interface f0/0

BR3(config-if)#ip address 20.17.5.14 255.255.255.252

BR3(config-if)#no shutdown

BR3 (config)#interface loopback 2

BR3 (config-if)#ip address 3.3.3.3 255.255.255.255

SW1 (config) int vlan 101

SW1 (config-if) ip addr 192.168.10.51 255.255.255.0

SW1 (config-if) no shut

SW2 (config) int vlan 101

SW2 (config-if) no shut

SW3 (config) int vlan 101

SW3 (config-if) no shut

c. Используйте автоматическую генерациюIPv6 адресов в сети LAN на интерфейсе маршрутизатораHQ1

HQ1 (config)#int g0/0

HQ1 (config-if)#ipv6 enable

НА PC1

HQ1(config)#ip domain-name wsr2017.Ru - student2.ru

d. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты

SW1(config)int ra fa 0/4-6

SW1(config-if)shu

SW1(config)int ra fa 0/11-24

SW1(config-if)shu

SW1(config)int ra gi 0/1-2

SW1(config-if)shu

SW2(config)int ra fa 0/7-24

SW2(config-if)shu

SW2(config)int ra gi 0/1-2

SW2(config-if)shu

SW3(config)int ra fa 0/1-3

SW3(config-if)shu

SW3(config)int ra fa 0/22-24

SW3(config-if)shu

SW3(config)int ra fa 0/10-20

SW3(config-if)shu

SW3(config)int ra gi 0/1-2

SW3(config-if)shu

7. Все устройства должны быть доступны для управления по протоколу SSH версии 2.

(config)#ip ssh version 2

(config)#crypto key generate rsa

*??? 1 1:24:9.428: %SSH-5-ENABLED: SSH 1.99 has been enabled

% You already have RSA keys defined named HQ1.wsr2017.ru .

% Do you really want to replace them? [yes/no]: y

The name for the keys will be: HQ1.wsr2017.ru

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 1024

8. На маршрутизаторе HQ1 установите правильное локальное время.

HQ1#clock set 16:05:30 7 april 2017

Настройкакоммутации

1. На ВСЕХ коммутаторах создайте ВЛВС:

a. под номером 101, назначьте имя LAN для этой подсети.

SW1(config)vlan 101

SW1(config)name LAN

SW2(config)vlan 101

SW2(config)name LAN

SW3(config)vlan 101

SW3(config)name LAN

2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования параметров магистральных соединений (DTP).

a. На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров магистрального соединения.

SW3(config)int ra fa 0/4-9

SW1(config)int ra fa 0/7-9

SW2(config)int ra fa 0/4-6

SW1(config)int ra fa 0/1-3

SW1(config-if)swi none

SW2(config)int ra fa 0/1-3

SW1(config)int fa0/3

SW1(config)int fa0/9

SW2(config)int fa0/3

SW2(config)int fa0/6

SW3(config)int fa0/6

SW3(config)int fa0/9

SW1(config)int fa 0/5

SW1(config)int fa 0/10

SW1(config-if)sw mo ac

SW1(config-if)span portfa

7. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q

HQ1 (config)int s 0/3/0

Enc ppp

Ppp authen chap

Ppp chap password cisco

ISP(config)int s 0/3/0

Enc ppp

Ppp authen chap

Ppp chap password cisco

2. На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.

a. Используйтепротокол PAP дляаутентификации

b. Используйте учетную запись cisco\cisco

Ppp authentication pap

BR3(config)

BR3(config)int fa 0/0

Pppoe enable

Настройка маршрутизации

1. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2017.

a. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.

b. Используйте алгоритм аутентификации md5 с ключом WSR.

Eigrp router-id 11.11.11.11

Network 20.17.5.0 0.0.0.7

No auto

Eigrp router-id 8.8.8.8

Network 8.8.8.8 0.0.0.0

Network 20.17.5.0 0.0.0.7

Network 20.17.5.12 0.0.0.3

No auto

Eigrp router-id 3.3.3.3

Network 20.17.5.12 0.0.0.3

No auto

2. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.

a. Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.

b. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.

HQ1(config)router bgp 65001

Bgp router-id 20.17.5.2

Network 11.11.11.11 mask 255.255.255.255

ISP(config)router bgp 65000

Bgp router-id 8.8.8.8

Network 209.136.0.0 mask 255.255.0.0

Network 138.76.0.0 mask 255.255.0.0

Bgp router-id 20.17.5.14

Network 3.3.3.3 mask 255.255.255.255

HQ1

Ipv6 unicast-routing

Ipv6 router ospf 1

Router-id 11.11.11.11

Int loo101

Ipv6 ospf 1 area 0

No shut

Interface g0/0

Ipv6 ospf 1 area 0

No shut

BR3

Ipv6 unicast-routing

Ipv6 router ospf 1

Router-id 3.3.3.3

Int loo3

Ipv6 ospf 1 area 0

No shut

Настройка служб

1. Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.

a. Настройте временную зону с названием MSK, укажите разницу с UTC +2часа.

b. Настройте сервер синхронизации времени. Используйте стратум 2.

c. Настройте маршрутизатор BR3 в качестве клиента сервера

d. Используйте аутентификацию MD5 с ключом WSR

Ntp authenticate#Включение

Ntp authenticate

Ntp trusted-key 1

Ntp server 11.11.11.11 key 1

2. На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) в адрес интерфейса, подключенного к сети INET1 для сети LAN.

Ip dhcp pool LAN

Network 192.168.10.0 255.255.255.0

Default-router 192.168.10.254

Dns-server 192.168.10.100

Secret cisco

Parser view user2

Secret cisco

Secret cisco

Commands exec include who

Commands exec include show

!

parser view ping_view

Secret cisco

Commands exec include ping

!

Secret cisco

view show_view

view ping_view

Aaa authorization console

SW1(config)

Int fa 0/10

Switchport mode access

Switchport ac vlan 101

Switchport port-security

Ip dhcp snooping vlan 101

SW1(config)

Int fa 0/9

Ip dhcp snoo trust

Int fa 0/3

Ip dhcp snoo trust

Int port-chann 1

Ip dhcp snoo trust

Int port-chann 3

Ip dhcp snoo trust

4. На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.

SW1(config)

Ip arp inspection vlan 101

Int fa 0/9

Ip arp inspection trust

Int fa 0/3

Ip arp inspection trust

Int port-chann 1

Ip arp inspection trust

Int port-chann 3

Ip arp inspection trust

HQ1(config)int tun 100

Ipv6 address 2001::1/64

Tunnel mode gre ip

Tunnel source loo 101

Tunnel destination 3.3.3.3

BR3(config)int tun 100

Ipv6 address 2001::2/64

Tunnel mode gre ip

Tunnel source loo 3

HQ1(config)

Crypto isakmp policy 10

Encryption aes 128

Authentication pre-share

Hash md5

Group 5

Crypto ipsec profile PROF1

HQ1(config)int tun 100

BR3(config)

Crypto isakmp policy 10

Encryption aes 128

Authentication pre-share

Hash md5

Group 5

Crypto ipsec profile PROF1

BR3(config)int tun 100

Set transform-set TS

Set transform-set TS

NETWORK ISLAND

Разработано экспертами WSR:

Горбачев А.П.

Дата: 20.09.16

Версия: 8


Базовая настройка

1. Задайте имя ВСЕХ устройств в соответствии с топологией

Router>en

Router#conf t

Router(config)#hostname HQ1

2. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru

HQ1(config)#ip domain-name wsr2017.ru

3. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco

a. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.

b. Пользователь должен обладать максимальным уровнем привилегий.

Наши рекомендации