HQ1(config)#ip domain-name wsr2017.Ru
NETWORK ISLAND
Разработано экспертами WSR:
Горбачев А.П.
Дата: 20.09.16
Версия: 8
Базовая настройка
1. Задайте имя ВСЕХ устройств в соответствии с топологией
Router>en
Router#conf t
Router(config)#hostname HQ1
2. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
HQ1(config)#ip domain-name wsr2017.ru
3. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco
a. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
b. Пользователь должен обладать максимальным уровнем привилегий.
HQ1(config)#username wsr2017 privilege 15 secret cisco
4. Для ВСЕХ устройств реализуйте модель AAA.
HQ1(config)#aaa new-model
a. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных
HQ1(config)#aaa authentication login default local
b. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.
HQ1(config)#line vty 0 15
HQ1(config-line)#privilege level 15
c. Настройте необходимость аутентификации на локальной консоли.
HQ1(config)#line console 0
HQ1(config-line)#login authentication default
d. При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
HQ1(config)#line console 0
HQ1(config-line)#privilege level 0
e. На BR3 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
BR3(config)#line console 0
BR3(config-line)#privilege level 15
5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
a. Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
b. Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.
BR3(config)#enable password wsr
BR3(config)#service password-encryption
6. На ВСЕХ устройствах создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля. Назначьте ip-адреса в соответствии с L3-диаграммой.
HQ1(config)#interface loopback 101
HQ1(config-if)#ip address 11.11.11.11 255.255.255.255
HQ1(config-if)#ipv6 address dead:beef:11::1/128
ISP(config)#interface loopback 101
ISP(config-if)#ip address 209.136.0.1 255.255.0.0
ISP(config)#interface loopback 100
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config)#interface loopback 102
ISP(config-if)#ip address 138.76.0.1 255.255.0.0
HQ1 (config)#interface s0/1/0
HQ1(config-if)#ip address 20.17.5.2 255.255.255.248
HQ1(config-if)#no shutdown
HQ1 (config)#interface g0/0 (ИЛИ f0/0)
HQ1(config-if)#ip address 192.168.10.254 255.255.255.0
HQ1(config-if)#no shutdown
ISP(config)#interface s0/1/0
ISP(config-if)#ip address 20.17.5.1 255.255.255.248
ISP(config-if)#clock rate 128000
ISP(config-if)#no shutdown
ISP(config)#interface g0/0
ISP(config-if)#ip address 20.17.5.13 255.255.255.252
ISP(config-if)#no shutdown
BR3(config)#interface f0/0
BR3(config-if)#ip address 20.17.5.14 255.255.255.252
BR3(config-if)#no shutdown
BR3 (config)#interface loopback 2
BR3 (config-if)#ip address 3.3.3.3 255.255.255.255
SW1 (config) int vlan 101
SW1 (config-if) ip addr 192.168.10.51 255.255.255.0
SW1 (config-if) no shut
SW2 (config) int vlan 101
SW2 (config-if) no shut
SW3 (config) int vlan 101
SW3 (config-if) no shut
c. Используйте автоматическую генерациюIPv6 адресов в сети LAN на интерфейсе маршрутизатораHQ1
HQ1 (config)#int g0/0
HQ1 (config-if)#ipv6 enable
НА PC1
d. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты
SW1(config)int ra fa 0/4-6
SW1(config-if)shu
SW1(config)int ra fa 0/11-24
SW1(config-if)shu
SW1(config)int ra gi 0/1-2
SW1(config-if)shu
SW2(config)int ra fa 0/7-24
SW2(config-if)shu
SW2(config)int ra gi 0/1-2
SW2(config-if)shu
SW3(config)int ra fa 0/1-3
SW3(config-if)shu
SW3(config)int ra fa 0/22-24
SW3(config-if)shu
SW3(config)int ra fa 0/10-20
SW3(config-if)shu
SW3(config)int ra gi 0/1-2
SW3(config-if)shu
7. Все устройства должны быть доступны для управления по протоколу SSH версии 2.
(config)#ip ssh version 2
(config)#crypto key generate rsa
*??? 1 1:24:9.428: %SSH-5-ENABLED: SSH 1.99 has been enabled
% You already have RSA keys defined named HQ1.wsr2017.ru .
% Do you really want to replace them? [yes/no]: y
The name for the keys will be: HQ1.wsr2017.ru
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
8. На маршрутизаторе HQ1 установите правильное локальное время.
HQ1#clock set 16:05:30 7 april 2017
Настройкакоммутации
1. На ВСЕХ коммутаторах создайте ВЛВС:
a. под номером 101, назначьте имя LAN для этой подсети.
SW1(config)vlan 101
SW1(config)name LAN
SW2(config)vlan 101
SW2(config)name LAN
SW3(config)vlan 101
SW3(config)name LAN
2. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического согласования параметров магистральных соединений (DTP).
a. На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором коммутатор на данных портах будет инициировать согласование параметров магистрального соединения.
SW3(config)int ra fa 0/4-9
SW1(config)int ra fa 0/7-9
SW2(config)int ra fa 0/4-6
SW1(config)int ra fa 0/1-3
SW1(config-if)swi none
SW2(config)int ra fa 0/1-3
SW1(config)int fa0/3
SW1(config)int fa0/9
SW2(config)int fa0/3
SW2(config)int fa0/6
SW3(config)int fa0/6
SW3(config)int fa0/9
SW1(config)int fa 0/5
SW1(config)int fa 0/10
SW1(config-if)sw mo ac
SW1(config-if)span portfa
7. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q
HQ1 (config)int s 0/3/0
Enc ppp
Ppp authen chap
Ppp chap password cisco
ISP(config)int s 0/3/0
Enc ppp
Ppp authen chap
Ppp chap password cisco
2. На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
a. Используйтепротокол PAP дляаутентификации
b. Используйте учетную запись cisco\cisco
Ppp authentication pap
BR3(config)
BR3(config)int fa 0/0
Pppoe enable
Настройка маршрутизации
1. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации EIGRP с номером автономной системы 2017.
a. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
b. Используйте алгоритм аутентификации md5 с ключом WSR.
Eigrp router-id 11.11.11.11
Network 20.17.5.0 0.0.0.7
No auto
Eigrp router-id 8.8.8.8
Network 8.8.8.8 0.0.0.0
Network 20.17.5.0 0.0.0.7
Network 20.17.5.12 0.0.0.3
No auto
Eigrp router-id 3.3.3.3
Network 20.17.5.12 0.0.0.3
No auto
2. На маршрутизаторах ISP, HQ1 и BR3 настройте протокол динамической маршрутизации BGP.
a. Номера автономных систем 65000, 65001 и 65003 для ISP, HQ1 и BR3 соответственно.
b. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
HQ1(config)router bgp 65001
Bgp router-id 20.17.5.2
Network 11.11.11.11 mask 255.255.255.255
ISP(config)router bgp 65000
Bgp router-id 8.8.8.8
Network 209.136.0.0 mask 255.255.0.0
Network 138.76.0.0 mask 255.255.0.0
Bgp router-id 20.17.5.14
Network 3.3.3.3 mask 255.255.255.255
HQ1
Ipv6 unicast-routing
Ipv6 router ospf 1
Router-id 11.11.11.11
Int loo101
Ipv6 ospf 1 area 0
No shut
Interface g0/0
Ipv6 ospf 1 area 0
No shut
BR3
Ipv6 unicast-routing
Ipv6 router ospf 1
Router-id 3.3.3.3
Int loo3
Ipv6 ospf 1 area 0
No shut
Настройка служб
1. Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
a. Настройте временную зону с названием MSK, укажите разницу с UTC +2часа.
b. Настройте сервер синхронизации времени. Используйте стратум 2.
c. Настройте маршрутизатор BR3 в качестве клиента сервера
d. Используйте аутентификацию MD5 с ключом WSR
Ntp authenticate#Включение
Ntp authenticate
Ntp trusted-key 1
Ntp server 11.11.11.11 key 1
2. На маршрутизаторе HQ1 настройте динамическую трансляцию портов (PAT) в адрес интерфейса, подключенного к сети INET1 для сети LAN.
Ip dhcp pool LAN
Network 192.168.10.0 255.255.255.0
Default-router 192.168.10.254
Dns-server 192.168.10.100
Secret cisco
Parser view user2
Secret cisco
Secret cisco
Commands exec include who
Commands exec include show
!
parser view ping_view
Secret cisco
Commands exec include ping
!
Secret cisco
view show_view
view ping_view
Aaa authorization console
SW1(config)
Int fa 0/10
Switchport mode access
Switchport ac vlan 101
Switchport port-security
Ip dhcp snooping vlan 101
SW1(config)
Int fa 0/9
Ip dhcp snoo trust
Int fa 0/3
Ip dhcp snoo trust
Int port-chann 1
Ip dhcp snoo trust
Int port-chann 3
Ip dhcp snoo trust
4. На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.
SW1(config)
Ip arp inspection vlan 101
Int fa 0/9
Ip arp inspection trust
Int fa 0/3
Ip arp inspection trust
Int port-chann 1
Ip arp inspection trust
Int port-chann 3
Ip arp inspection trust
HQ1(config)int tun 100
Ipv6 address 2001::1/64
Tunnel mode gre ip
Tunnel source loo 101
Tunnel destination 3.3.3.3
BR3(config)int tun 100
Ipv6 address 2001::2/64
Tunnel mode gre ip
Tunnel source loo 3
HQ1(config)
Crypto isakmp policy 10
Encryption aes 128
Authentication pre-share
Hash md5
Group 5
Crypto ipsec profile PROF1
HQ1(config)int tun 100
BR3(config)
Crypto isakmp policy 10
Encryption aes 128
Authentication pre-share
Hash md5
Group 5
Crypto ipsec profile PROF1
BR3(config)int tun 100
Set transform-set TS
Set transform-set TS
NETWORK ISLAND
Разработано экспертами WSR:
Горбачев А.П.
Дата: 20.09.16
Версия: 8
Базовая настройка
1. Задайте имя ВСЕХ устройств в соответствии с топологией
Router>en
Router#conf t
Router(config)#hostname HQ1
2. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
HQ1(config)#ip domain-name wsr2017.ru
3. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco
a. Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
b. Пользователь должен обладать максимальным уровнем привилегий.