Модуль 3: Модуль C - Базовые сетевые технологии
Базовая настройка
1 Задайте имя всех устройств в соответствии с топологией.
(config)#hostname ______
2 Назначьте для всех устройств доменное имя wsr2018.ru.
(config)#ip domain-name wsr2018.ru
3 Создайте на всех устройствах пользователей wsr2018 с паролем cisco
3.1 Пароль пользователя должен храниться в конфигурации в виде
результата хэш-функции.
3.2 Пользователь должен обладать максимальным уровнем привилегий.
(config)#username wsr2018 privilege 15 secret cisco
4 На всех устройствах установите пароль wsr на вход в
привилегированный режим.
4.1 Пароль должен храниться в конфигурации НЕ в виде результата
хэш-функции.
(config)#enable password wsr
4.2 Настройте режим, при котором все пароли в конфигурации хранятся
в зашифрованном виде.
(config)#service password-encryption
5 Для всех устройств реализуйте модель AAA.
5.1 Аутентификация на линиях виртуальных терминалов с 0 по 15
должна производиться с использованием локальной базы учётных
записей. (кроме маршрутизатора HQ1)
Неправильная настройка модели AAA может привести к полной
потери управления над устройством!!!
Модель AAA используется для укрепления безопасности с помощью
удаленных серверов PADIUS или TACACS, но может хранить
информацию в локальной базе. Так как Packet Tracer можно настроить
модель AAA только на маршрутизаторах, введите ниже указанную
последовательность команд только на них, на коммутаторах данную
последовательность вводить не надо.
НА РЕАЛЬНОМ ОБОРУДОВАНИИ ПОСЛЕДОВАТЕЛЬНОСТЬ
КОМАНД НАСТРАИВАЕТСЯ И НА КОММУТАТОРАХ!
1
Аутентификация на линиях виртуальных терминалов с 0 по 15 должна
производиться с использованием локальной базы учётных записей.
(кроме маршрутизатора HQ1)
Router(config)#aaa new-model
Router (config)# aaa authentication login default local
Router (config)# aaa authorization exec default local
Удаленная консоль (VTY) используется для управления устройством с
помощью таких протоколов, как Telnet и SSH. У маршрутизаторов 5
линий (с 0 по 4), у коммутаторов 16 линий (с 0 по 15).
Router (config)#line vty 0 4
Router (config-line)#privilege level 15
Router (config-line)#login authentication default
Пример настройки линий виртуального терминала на коммутаторах.
Switch(config)#line vty 0 15
Switch (config-line)#privilege level 15
Switch (config-line)#login authentication default
Настройте необходимость аутентификации на локальной консоли.
При успешной аутентификации на локальной консоли пользователи
должны сразу должен получать права, соответствующие их уровню
привилегий или роли.
Router(config)#line console 0
Router(config-line)#login authentication default
Router(config-line)#privilege level 15
(если минимальный уровень, то 0)
После создания модели AAA (аутентификация, авторизация, аудит)
обязательно нужно сохранить текущую конфигурацию (RAM)
устройства в стартовую конфигурацию (NVRRAM у маршрутизаторов,
Flash у коммутаторов) и перезагрузить устройство.
#copy running-config startup-config
#reload
5.2 После успешной аутентификации при удалённом подключении
пользователи сразу должен получать права, соответствующие их
уровню привилегий или роли (кроме межсетевого экрана FW1).
5.3 Настройте необходимость аутентификации на локальной консоли.
2
5.4 При успешной аутентификации на локальной консоли пользователи
должны сразу должен получать права, соответствующие их уровню
привилегий или роли.
6 На устройствах, к которым разрешен доступ, в соответствии с
топологиями L2 и L3, создайте виртуальные интерфейсы,
подинтерфейсы и интерфейсы типа петля, назначьте IP-адреса.
BR1
BR1>en
BR1#conf t
Включение протокола IPv6
BR1 (config)#ipv6 unicast-routing
BR1 (config)#int loopback 0
BR1 (config-if)#ip address 11.11.11.11 255.255.255.255
BR1 (config-if)#ipv6 address 2001:A:B:11::1/64
BR1 (config-if)#int fa0/1
BR1 (config-if)#ip address 192.168.1.1 255.255.255.0
BR1 (config-if)#ipv6 address 2001:A:B:111::1/64
BR1 (config-if)#no shutdown
BR1 (config-if)#exit
BR1 (config)# exit
BR1 #copy run start
HQ1
HQ1>en
HQ1#conf t
HQ1 (config)#int fa0/0
HQ1 (config-if)#ip address 172.16.0.13 255.255.255.252
HQ1 (config-if)# no shutdown
HQ1 (config)#int fa0/1
HQ1 (config-if)#no ip address
HQ1 (config-if)# shutdown
Настройка подинтерфейса во vlan 100
HQ1 (config-if)#int fa0/1.100
HQ1 (config-subif)#encapsulation dot1q 100
HQ1 (config-subif)#ip address 172.16.20.1 255.255.255.0
3
Настройка подинтерфейса во vlan 200
HQ1 (config-if)#int fa0/1.200
HQ1 (config-subif)#encapsulation dot1q 200
HQ1 (config-subif)#ip address 172.16.20.1 255.255.255.252
Настройка подинтерфейса во vlan 300
HQ1 (config-subif)#int fa0/1.300
HQ1 (config-subif)#encapsulation dot1q 300
HQ1 (config-subif)#ip address 30.30.30.1 255.255.255.0
HQ1 (config-subif)#exit
Включение всех подинтерфейсов
HQ1 (config)#int fa0/0
HQ1 (config-if)#no shutdown
Включение протокола IPv6
HQ1 (config)#ipv6 unicast-routing
HQ1 (config)#int Loopback 0
HQ1 (config-if)#ip address 1.1.1.1 255.255.255.255
HQ1 (config-if)#ipv6 address 2001:A:B::1/64
HQ1 (config-if)# exit
HQ1 (config)# exit
HQ1 #copy run start
7 На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по
15 настройте аутентификацию с использованием RADIUS-сервера.
7.1 Используйте на линиях vty с 0 по 4 отдельный список методов с
названием methodman
7.2 Порядок аутентификации:
7.2.1 По протоколу RADIUS
7.2.2 Локальная
7.3 Используйте общий ключ cisco
7.4 Используйте номера портов 1812 и 1813 для аутентификации и учета
соответственно
7.5 Адрес RADIUS-сервера 172.16.20.2
7.6 Настройте авторизацию при успешной аутентификации
7.7 Проверьте аутентификацию по протоколу RADIUS при удаленном
подключении к маршрутизатору HQ1, используя учетную запись radius с
паролем cisco
4
8 Все устройства должны быть доступны для управления по протоколу SSH
версии 2.
Настройка удаленного управления по SSH производится после
настройки всей коммутации!
Перечисленные ниже действия необходимо повторить на всех
коммутаторах и маршрутизаторах. У всех устройств должны быть
настроены имена, созданы username/password и домен!
Настройка IP-адреса управления коммутатора. IP-адрес задается VLAN 100,
поскольку он является вланом управления.
SW1 (config)#int vlan 100
SW1 (config-if)#ip address 172.16.10.11 255.255.255.0
SW1 (config-if)#no shut
SW1 (config-if)#exit
SW1 (config)#crypto key generate rsa
На запрос длины пароля, установить его длину – 1024 байта.
SW1 (config)# line vty 0 15
SW1 (config-line)# transport input ssh
SW1 (config-line)#login local
SW1 (config-line)# exit
SW1 (config)# exit
Установка второй версии SSH
SW1 (config)# ip ssh version 2
Настройка коммутации
1 Для централизованного конфигурирования VLAN в коммутируемой сети
предприятия используйте протокол VTP версии 3.
1.1В качестве основного сервера VTP настройте SW1.
1.2 Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
1.3 В качестве домена используйте wsr2018.ru
1.4 Используйте пароль VTPPass для защиты VTP.
Протокол VTP для отправки служебных сообщений использует
магистральные соединения (trunk), поэтому настройка
магистральных соединений должна быть завершена полностью!
Конфигурирования VTP в сети нужно начинать с сервера (роль поумолчанию), т.е. с SW1:
SW1 (config)#vtp domain wsr2018.ru
5
SW1 (config)#vtp password VTPPass
SW2 (config)#vtp domain wsr2018.ru
SW2 (config)#vtp mode client
SW2 (config)#vtp password VTPPass
SW3 (config)#vtp domain wsr2018.ru
SW3 (config)#vtp mode client
SW3 (config)#vtp password VTPPass
Только после завершения процедуры создания всех виртуальных
сетей можно изменить версию VTP!
Это нужно не забыть сделать на всех коммутаторах!
SW1 (config)#vtp version 3
SW2 (config)#vtp version 3
SW3 (config)#vtp version 3
1.5 Таблица VLAN должна содержать следующие сети:
1.5.1 VLAN 100 с именем MGT.
1.5.2 VLAN200 с именем DATA.
1.5.3 VLAN300 с именем OFFICE.
1.5.4 VLAN 400
После настройки протокола VTP, на сервере, т.е. на SW1 можно создавать
виртуальные локальные сети (VLAN). Протокол VTP создаст эти же VLAN
на SW2 и SW3.
SW1#conf t
SW1 (config)#vlan 100
SW1 (config-vlan)#name MGT
SW1 (config-vlan)#vlan 200
SW1 (config-vlan)#name DATA
SW1 (config-vlan)#vlan 300
SW1 (config-vlan)#name OFFICE
SW1 (config-vlan)#vlan 400
SW1 (config-vlan)#exit
2 Между всеми коммутаторами настройте транки с использованием
протокола IEEE 802.1q.
2.1 Порты F0/10 коммутаторов SW1 и SW3, а также порт F0/24 коммутатора
6
SW2 должны быть работать в режиме доступа без использования
согласования. Отключите протокол DTP явным образом.
SW1 (config)#int fa0/10
SW1 (config-if)#switchport mode access
SW1 (config-if)#switchport nonegotiate
SW1 (config-if)#switchport access vlan 200
SW2 (config)#int fa0/24
SW2 (config-if)#switchport mode access
SW2 (config-if)#switchport nonegotiate
SW2 (config-if)#switchport access vlan 300
SW3 (config)#int fa0/10
SW3 (config-if)#switchport mode access
SW3 (config-if)#switchport nonegotiate
SW3 (config-if)#switchport access vlan 300
2.2 Транк между коммутаторами SW2 и SW3 должен быть настроен без
использования согласования. Отключите протокол DTP явным образом.
SW2 (config)#int range fa0/6-7
SW2 (config-if-range)#switchport mode trunk
SW2 (config-if-range)#switchport nonegotiate
SW3 (config)#int range fa0/6-7
SW3 (config-if-range)#switchport mode trunk
SW3 (config-if-range)#switchport nonegotiate
2.3 Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3,
должны быть согласованы по DTP, коммутатор SW1 должен инициировать
создание транка, а коммутаторы SW2 и SW3 должны ожидать начала
согласования параметров от соседа, но сами не инициировать согласование.
Настройка транка между SW1 и SW3:
SW1 (config)#int fa0/5
SW1 (config-if)#switchport mode dynamic desirable
SW3 (config)#int fa0/5
SW3 (config-if)#switchport mode dynamic auto
Настройка транка между SW1 и SW2:
SW1 (config)#int range fa0/1-3
7
SW1 (config-if)#switchport mode dynamic desirable
SW2 (config)# int range fa0/1-3
SW2 (config-if)#switchport mode dynamic auto
3 Настройте агрегирование каналов связи между коммутаторами.
3.1 Номера портовых групп:
1 — между коммутаторами SW1 (F0/1-3) и SW2 (F0/1-3);
2 — между коммутаторами SW2 (F0/6-7) и SW3 (F0/6-7);
3.2 Агрегированный канал между SW1 и SW2 должен быть организован
с использованием протокола согласования LACP. SW1 должен быть
настроен в активном режиме, SW2 в пассивном.
Настройка агрегации производится только после настройки
магистральных каналов (trunk) между коммутаторами!
SW1 (config)#int range fa0/1-3
SW1 (config-if-range)#channel-group 1 mode active
SW2 (config)#int range fa0/1-3
SW2 (config-if-range)#channel-group 1 mode passive
3.3 Агрегированный канал между SW2 и SW3 должен быть организован
с использованием протокола согласования PAgP. SW2 должен быть
настроен в предпочтительном, SW3 в автоматическом.
SW3 (config)#int range fa0/6-7
SW3 (config-if-range)#channel-group 1 mode auto
SW2 (config)#int range fa0/6-7
SW2 (config-if-range)#channel-group 1 mode desirable
4 Конфигурация протокола остовного дерева:
4.1 Используйте протокол Rapid STP.
4.2 Коммутатор SW1 должен являться корнем связующего дерева в
сетях VLAN 100, 200 и 300, в случае отказа SW1, корнем должен стать
коммутатор SW2.
SW1 (config)# spanning-tree mode rapid-pvst
SW1 (config)# spanning-tree vlan 100 root primary
SW1 (config)# spanning-tree vlan 200 root primary
SW1 (config)# spanning-tree vlan 300 root primary
SW2 (config)# spanning-tree mode rapid-pvst
8
SW2 (config)# spanning-tree vlan 100 root secondary
SW2 (config)# spanning-tree vlan 200 root secondary
SW2 (config)# spanning-tree vlan 300 root secondary
SW3 (config)# spanning-tree mode rapid-pvst
4.3 Настройте используемые порты коммутаторов SW1 и SW2 так,
чтобы во всех VLAN корнем связующего дерева могли стать только
SW1 или SW2, а при получении BPDU пакета с лучшим приоритетом
корня, порт должен перейти в состояние root-inconsistent.
Root Guard - если функция включена на интерфейсе, то при получении
на нём BPDU лучшего, чем текущий корневой коммутатор, порт
переходит в состояние root-inconsistent (эквивалентно состоянию
listening). После того как порт перестает получать BPDU, он переходит
в нормальное состояние. Включение Root Guard на интерфейсе
(переводит порт в роль designated):
Настройке подвергаются только магистральные (тегированные порты).
Защита настраивается только на портах SW1 и SW2, которые «смотрят»
на SW3, поскольку он является потенциальной угрозой для начала
перевыборов root’а.
SW1 (config-if)# interface fa0/5
SW1 (config-if)# spanning-tree guard root
SW2 (config-if)# interface range fa0/6-7
SW2 (config-if)# spanning-tree guard root
4.4 Настройте порт F0/10 коммутатора SW2, таким образом, что при
включении они сразу переходили в состояние forwarding не дожидаясь
пересчета остовного дерева. При получении BPDU пакета данные порты
должны переходить в состояние error-disabled.
Чтобы порты сразу переходили в состояние forwarding не дожидаясь
пересчета остовного дерева, они должны быть настроены с поддержкой
технологии portfast.
Чтобы при получении BPDU пакета порты переходили в состояние errordisabled, они должны быть настроены с поддержкой технологии
bpduguard.
9
SW2 (config)# interface fa0/10
SW2 (config-if)# spanning-tree portfast
SW2 (config-if)# spanning-tree bpduguard enable
5 Настройте порты F0/10 коммутаторов SW1, SW2 и порт F0/24
коммутатора SW3, в соответствии с L2 диаграммой. Порты должны
быть настроены в режиме доступа.
Было сделано ранее.
6 Отключите протокол CDP на маршрутизаторах HQ1 и BR1, только на
портах в сторону провайдера ISP1.
BR1 (config)#int fa0/0
BR1 (config-if)#no cdp enable
BR1 (config)#int Dialer 1
BR1 (config-if)#no cdp enable
HQ1 (config)# interface Multilink 1
HQ1 (config-if)#no cdp enable
Настройка подключений к глобальным сетям
1 Настройте подключение РРРоЕ между ISP1 и маршрутизатором BR1.
1.1 Настройте РРРоЕ клиент на BR1.
1.2 Используйте имя пользователя cisco и пароль cisco
1.3 Устройства походят одностороннюю аутентификацию по протоколу
CHAP, только ISP1 проверяет имя пользователя и пароль.
1.4 BR1 должен автоматически получать адрес от ISP1.
Настройте интерфейс fa0/0 для подключения PPPoE.
BR1 (config)# interface fa0/0
BR1 (config-if)# pppoe enable group global
BR1 (config-if)# pppoe-client dial-pool-number 1
BR1 (config-if)#no shutdown
BR1 (config-if)# exit
Свяжите интерфейс fa0/0 с интерфейсом номеронабирателя Dialer.
Используйте имя пользователя cisco и пароль cisco.
BR1 (config)# interface dialer 1
BR1 (config-if)# mtu 1492
BR1 (config-if)# ip address negotiated
BR1 (config-if)# encapsulation ppp
10
BR1 (config-if)# dialer pool 1
BR1 (config-if)# ppp authentication chap callin
BR1 (config-if)# ppp chap hostname cisco
BR1 (config-if)# ppp chap password cisco
BR1(config-if)# ip tcp adjust-mss 1452
BR1(config-if)# ip authentication mode eigrp 2018 md5
BR1(config-if)# ip authentication key-chain eigrp 2018 EIGRP
BR1 (config-if)# exit
Настройте статический маршрут по умолчанию через интерфейс
номеронабирателя.
BR1 (config)# ip route 0.0.0.0 0.0.0.0 dialer 1
2 Настройте подключение HQ1 к провайдеру ISP1 с помощью
протокола PPP.
2.1 Настройте Multilink РРР с использованием двух Serial-интерфейсов.
2.2 Используйте 1 номер интерфейса.
2.3 Не используйте аутентификацию.
2.4 HQ1 должен автоматически получать адрес от ISP2.
Настройка PPP мультилинк в сторону провайдера. IP-адрес выдает
провайдер
! не поддерживается в Packet Tracer. Настраивать только на реальном
оборудовании.
HQ1 (config)# interface Multilink 1
HQ1 (config-if)# ip address negotiated
HQ1 (config-if)# ppp multilink
HQ1 (config-if)# ppp multilink group 1
HQ1 (config-if)#int s0/1/0
HQ1 (config-if)#encapsulation ppp
HQ1 (config-if)# ppp multilink
HQ1 (config-if)# ppp multilink group 1
HQ1 (config-if)#int s0/1/1
HQ1 (config-if)#encapsulation ppp
HQ1 (config-if)# ppp multilink
HQ1 (config-if)# ppp multilink group 1
HQ1 (config-if)# exit
3 FW1 подключена к провайдеру ISP1 с помощью IPoE и имеет статический
адрес.
FW1 (config)#int e0/1
FW1 (config-if)#ip address 40.15.5.2 255.255.255.252
11
FW1 (config-if)#no shutdown
FW1 (config-if)#exit
Настройка маршрутизации
1 В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической
маршрутизации OSPF.
1.1 Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
1.2 Используйте область с номером 51 для всех сетей центрального офиса.
1.3 HQ1 и FW1 должны устанавливать соседство только в сети
172.16.0.12/30.
1.4 Отключите отправку обновлений маршрутизации на всех интерфейсах,
где не предусмотрено формирование соседства.
Так как протокол OSPFv2 должен устанавливать соседство через
туннель GRE, который в свою очередь поднимется только если работает
вся маршрутизация между BR1 и HQ1, имеет смысл настраивать OSPF
только если: 1) Работает PPPoE; 2) Работает PPP Multilink; 3) Работает
EIGRP; 4) Работает BGP; 5) Работает GRE.
Настройка маршрутизатора HQ1.
HQ1 (config)#router ospf 1
HQ1 (config-router)#network 172.16.0.12 0.0.0.3 area 51
HQ1 (config-router)#network 172.16.10.0 0.0.0.255 area 51
HQ1 (config-router)#network 172.16.20.0 0.0.0.255 area 51
HQ1 (config-router)#network 5.5.5.0 0.0.0.255 area 0
HQ1 (config-router)#passive-interface fa0/1.100
HQ1 (config-router)#passive-interface fa0/1.200
HQ1 (config-router)#passive-interface fa0/1.300
HQ1 (config-router)#passive-interface Multilink 1
Настройка сетевого экрана FW1.
FW1 (config)#router ospf 1
FW1 (config-router)#network 172.16.0.12 0.0.0.3 area 51
FW1 (config-router)#passive-interface e0/3
2 Настройте протокол динамической маршрутизации OSPF в офисе BR1 с
главным офисом HQ.
2.1 Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
2.2 Используйте магистральную область для GRE туннеля.
2.3 Соседства между офисами HQ и BR1 должны устанавливаться через
защищенный туннель.
12
2.4 В офисе BR1 используйте область с номером 1.
2.5 Отключите отправку обновлений маршрутизации на всех интерфейсах,
где не предусмотрено формирование соседства.
Для того чтобы BR1 анонсировал в OSPFv2 свою сеть 192.168.1.0/24,
должен быть настроен, включен и подключен кабелем интерфейс
fa0/1, который идет к виртуальной машине!
BR1 (config)#router ospf 1
BR1 (config-router)#network 5.5.5.0 0.0.0.255 area 0
BR1 (config-router)#network 192.168.1.0 0.0.0.255 area 1
BR1 (config-router)# passive-interface Dialer1
BR1 (config-router)# passive-interface fa0/1
3 ISP1 предоставляет подсеть PA (Provider Aggregatable) адресов
(11.11.11.11/32) для офиса BR1. На маршрутизаторе BR1 настройте протокол
динамической маршрутизации EIGRP с номером автономной системы 2018.
3.1 Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
3.2 Используйте аутентификацию MD5 с помощью связки ключей EIGRP c
ключом WSR и номером ключа 2.
3.3 Провайдер ISP1 выполняет редистрибуцию маршрута 11.11.11.11/32 в
сеть BGP, убедитесь в том, что вы корректно анонсируете данный маршрут
провайдеру.
Интерфейс Loopback 0 на BR1 с адресом 11.11.11.11 255.255.255.255
должен быть предварительно создан!!!
BR1 (config)#router eigrp 2018
BR1 (config-router)#network 33.33.33.0 0.0.0.3
BR1 (config-router)#network 11.11.11.11 0.0.0.0
BR1 (config-router)#no auto-summary
BR1 (config-router)#exit
BR1 (config)#key chain EIGRP
BR1 (config-keychain)#key 2
BR1 (config-keychain-key)#key-string WSR
BR1 (config-keychain-key)#exit
BR1 (config-keychain)#exit
BR1 (config)#interface Dialer1
BR1 (config-if)#ip authentication mode eigrp 2018 md5
BR1 (config-if)#ip authentication key-chain eigrp 2018 EIGRP
BR1 (config-if)#exit
13
4 Офис HQ имеет подсети PI (Provider Independent) адресов и автономную
систему 65000. На маршрутизаторе и межсетевом экране настройте протокол
динамической маршрутизации BGP в соответствии с таблицей:
Устройство
AS
HQ1
65000
FW1
65000
ISP1
65001
4.1 Настройте автономные системы в соответствии с Routing-диаграммой.
4.2 Маршрутизатор HQ1 и FW1 должны быть связаны с помощью iBGP.
Используйте для этого соседства, интерфейсы, которые находятся в подсети
172.16.0.12/30.
4.3 Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
Настройка протокола BGP крайне важна для поднятия туннеля GRE!
Настройка маршрутизатора HQ1.
HQ1 (config)#router bgp 65000
HQ1 (config-router)#neighbor 40.15.7.1 remote-as 65001
HQ1 (config-router)#neighbor 172.16.0.14 remote-as 65000
HQ1 (config-router)#network 1.1.1.1 mask 255.255.255.255
FW1 (config-router)#network 30.30.30.0 mask 255.255.255.0
FW1 (config-router)#network 40.15.5.0 mask 255.255.255.252
FW1 (config-router)#network 40.15.7.0 mask 255.255.255.252
HQ1 (config-router)#exit
Настройка сетевого экрана FW1.
FW1 (config)#router bgp 65000
FW1 (config-router)#neighbor 40.15.5.1 remote-as 65001
FW1 (config-router)#neighbor 172.16.0.13 remote-as 65000
FW1 (config-router)#network 1.1.1.1 mask 255.255.255.255
FW1 (config-router)#network 30.30.30.0 mask 255.255.255.0
FW1 (config-router)#network 40.15.5.0 mask 255.255.255.252
FW1 (config-router)#network 40.15.7.0 mask 255.255.255.252
FW1 (config-router)#exit
14
5 Настройте прокол динамической маршрутизации OSPFv3 поверх
защищенного туннеля. На маршрутизаторах HQ1 и BR1 настройте протокол
динамической маршрутизации OSPFv3 с номером процесса 1.
5.1 Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
5.2 Используйте зону с номером 0.
Протокол OSPFv3 работает в сетях IPv6, поэтому на всех
интерфейсах предварительно должны быть настроены IPv6 адреса!
Настройка маршрутизатора HQ1
! создание туннеля
HQ1(config)#int tunnel 1
HQ1 (config-if)#ipv6 address 2001:A:B:1::1/64
HQ1 (config-if)#tunnel source Loopback 0
HQ1 (config-if)#tunnel destination 11.11.11.11
HQ1 (config-if)#tunnel mode gre ipv6
HQ1 (config-if)#exit
HQ1 (config)#ipv6 route 0.0.0.0 0.0.0.0 multilink 1
BR1(config)#int tunnel 1
BR1 (config-if)#ipv6 address 2001:A:B:11::1/64
BR1 (config-if)#tunnel source Loopback 0
BR1 (config-if)#tunnel destination 1.1.1.1
BR1 (config-if)#tunnel mode gre ipv6
BR1 (config-if)#exit
BR1 (config)# ipv6 route 0.0.0.0 0.0.0.0 dialer 1
Настройка служб
1 В сетевой инфраструктуре сервером синхронизации времени является
SRV1. Все остальные сетевые устройства должны использовать в качестве
сервера времени HQ1.
1.1 Передача данных между HQ1 и SRV1 осуществляется без
аутентификации.
1.2 Настройте временную зону с названием MSK, укажите разницу с UTC +3
часов.
1.3 Настройте сервер синхронизации времени. Используйте стратум 2.
1.4 Используйте для синхронизации клиентов с HQ1 аутентификацию MD5 с
ключом WSR.
2 Настройте динамическую трансляцию портов (PAT):
2.1 На маршрутизаторе BR1 настройте динамическую трансляцию портов
(PAT) для сети 192.168.1.0/24 в адрес петлевого интерфейса 11.11.11.11.
15
BR1 (config)#access-list 1 permit 192.168.1.0 0.0.0.255
BR1 (config)#ip nat pool Nat-POOL interface Loopback0
BR1 (config)#ip nat inside source list 1 pool Nat-POOL overload
BR1 (config)#int fa0/0
BR1 (config-if)#ip nat outside
BR1 (config-if)#int fa0/1
BR1 (config-if)#ip nat inside
3 Настройте протокол динамической конфигурации хостов со следующими
характеристиками
3.1 На маршрутизаторе HQ1 для подсети OFFICE:
3.2 Адрес сети — 30.30.30.0/24.
3.3 Адрес шлюза по умолчанию интерфейс роутера HQ1.
3.4 Адрес TFTP-сервера 172.16.20.2.
3.5 Компьютер PC1 должен получать адрес 30.30.30.30.
HQ1 (config)#ip dhcp excluded-address 30.30.30.1
HQ1 (config)#ip dhcp pool MyPOOL
HQ1 (dhcp-config)#network 30.30.30.0 255.255.255.0
HQ1 (dhcp-config)#default-router 30.30.30.1
HQ1 (dhcp-config)#option 150 ip 172.16.20.2
HQ1 (dhcp-config)# host 30.30.30.30 255.255.255.0
HQ1 (dhcp-config)# hardware-address MAC_адрес_PC1
Настройка механизмов безопасности
1 На маршрутизаторе BR1 настройте пользователей с ограниченными
правами.
1.1 Создайте пользователя user1 с паролем cisco
1.2 Назначьте пользователю user1 уровень привилегий 5. Пользователь
должен иметь возможность выполнять все команды пользовательского
режима, а также выполнять перезагрузку и отладку с помощью команд debug.
2 На коммутаторе SW3 включите DHCP Snooping для подсети OFFICE.
Используйте флеш-память в качестве места хранения базы данных.
Технология DHCP Snooping предотвращает использование не
авторизированного DHCP сервера в сети.
Перед активацией DHCP snooping нужно обязательно указать
«доверенный» порт(ы), за которым находится DHCP сервер. Только
доверенные порты будут передавать DHCP Offer и DHCP ACK (пакеты от
сервера). Под доверенным интерфейсом вводится команда ip dhcp snooping
16
trust. Для SW3 доверенными портами будут являться магистральные порты:
fa0/5-7.
SW3(config)#int range fa0/5-7
SW3(config)# ip dhcp snooping trust
После этого указываем конкретный VLAN для работы DHCP snooping'a и
включаем непосредственно саму технологию командой без опций:
SW3 (config)# ip dhcp snooping vlan 300
SW3 (config)# ip dhcp snooping
Используем флеш-память в качестве места хранения базы данных
SW3 (config)#ip dhcp snooping database flash:dhcp
3 На коммутаторе SW3 включите динамическую проверку ARP-запросов в
сети OFFICE. Сделайте порт Fa0/11 доверенным.
Технология предназначена для предотвращения ARP spoofing/poisoning
атак, которая является базовым способом организации перехвата трафика,
находясь в одном широковещательном домене с жертвой.
При совместном использовании с DHCP snooping, технология активируется
в режиме глобальной конфигурации командой:
SW3 (config)# ip arp inspection vlan 300
SW3(config)#int Fa0/11
SW3(config-if)# ip arp inspection trust
После этого в данном VLAN'е будет разрешен трафик только тех устройств,
которые фигурируют в таблице DHCP snooping.
Настройка параметров мониторинга и резервного копирования
1 На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность
удаленного мониторинга по протоколу SNMP v3.
1.1 Задайте местоположение устройств EKB, Russia
1.2 Задайте контакт admin@wsr.ru
1.3 Используйте имя группы WSR.
1.4 Создайте профиль только для чтения с именем RO.
1.5 Используйте для защиты SNMP шифрование AES128 и аутентификацию
SHA1.
1.6 Используйте имя пользователя: snmpuser и пароль: snmppass
1.7 Для проверки вы можете использовать команду snmp test HQ и snmp test
FW на SRV1.
Конфигурация виртуальных частных сетей
1 На маршрутизаторах HQ1 и BR1 настройте DMVPN:
1.1 Используйте в качестве VTI интерфейс Tunnel 1
1.2 Используйте адресацию в соответствии с L3-диаграммой
1.3 Режим — GRE multipoint
17
1.4 Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
1.5 Идентификатор сети - 100. Аутентификация по ключу cysco
HQ1(config-if)#int tunnel 1
HQ1 (config-if)#ip address 5.5.5.1 255.255.255.0
HQ1 (config-if)#ip mtu 1476
HQ1 (config-if)#tunnel source Loopback 0
HQ1 (config-if)#tunnel destination 11.11.11.11
HQ1 (config-if)#tunnel mode gre ip
HQ1 (config-if)#exit
HQ1 (config)#ip route 0.0.0.0 0.0.0.0 multilink 1
BR1(config-if)#int tunnel 1
BR1 (config-if)#ip address 5.5.5.2 255.255.255.0
BR1 (config-if)#ip mtu 1476
BR1 (config-if)#tunnel source Loopback 0
BR1 (config-if)#tunnel destination 1.1.1.1
BR1 (config-if)#tunnel mode gre ip
BR1 (config-if)#exit
BR1 (config)#ip route 0.0.0.0 0.0.0.0 dialer 1
18
19
20
21
22