Задание на зачет cisco pacet tracer

1. Восстановите доступ к маршрутизатору HQ1 и коммутатору SW1
2. Задайте имя ВСЕХ устройств в соответствии с топологией
3. Назначьте для ВСЕХ устройств доменное имя wsr2017.ru
4. Создайте на ВСЕХ устройствах пользователя wsr2017 с паролем cisco
a. Пароль пользователя должен храниться в конфигурации в виде результата хэшфункции.
b. Пользователь должен обладать максимальным уровнем привилегий.
5. Для ВСЕХ устройств реализуйте модель AAA.
a. Аутентификация на удаленной консоли должна производиться с
использованием локальной базы данных
b. После успешной аутентификации при входе с удаленной консоли пользователь
сразу должен попадать в режим с максимальным уровнем привилегий (кроме
межсетевых экранов FW1 и FW2).
c. Настройте необходимость аутентификации на локальной консоли.
d. При успешной аутентификации на локальной консоли пользователь должен
попадать в режим с минимальным уровнем привилегий.
e. На BR3 при успешной аутентификации на локальной консоли пользователь
должен попадать в режим с максимальным уровнем привилегий
6. На маршрутизаторе HQ1 на всех виртуальных терминальных линиях настройте
аутентификацию с использованием RADIUS-сервера.
a. Порядок аутентификации:
i. По протоколу RADIUS
ii. Локальная4 версия для национального чемпионата
b. Используйте общий ключ “cisco”.
c. Используйте номера портов 1812 и 1813 для аутентификации и учета
соответственно
d. Адрес RADIUS-сервера 192.168.10.100
e. Настройте авторизацию при успешной аутентификации
f. Проверьте удаленное подключение к маршрутизатору HQ1 по протоколу
RADIUS используя учетную запись raduis\cisco
7. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
a. Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
b. На межсетевых экранах FW1 и FW2 настройте вход в привилегированный
режим по паролю пользователя (без запроса имени пользователя).
c. Настройте режим, при котором все пароли в конфигурации хранятся в
зашифрованном виде.
8. На ВСЕХ устройствах создайте виртуальные интерфейсы, подинтерфейсы и
интерфейсы типа петля. Назначьте ip-адреса в соответствии с L3-диаграммой.
a. Для коммутаторов SW1, SW2 и SW3 создайте виртуальные интерфейсы в
ВЛВС 101.
b. Назначьте им ip-адреса .51, .52 и .53 из подсети LAN соответственно.
c. Используйте автоматическую генерацию IPv6 адресов в сети LAN на
интерфейсах маршрутизаторов HQ1 и HQ2
d. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые порты
9. Все устройства должны быть доступны для управления по протоколу SSH версии 2.
10. На маршрутизаторе HQ1 установите правильное локальное время
Настройка коммутации
1. На ВСЕХ коммутаторах создайте ВЛВС:
a. под номером 101, назначьте имя LAN для этой подсети.
b. под номером 102, назначьте имя VOICE1 для этой подсети.
c. под номером 103, назначьте имя EDGE для этой подсети.
2. Создайте следующие ВЛВС на межсетевых экранах
a. под номерами 102 и 400 на FW1
b. под номерами 202 и 400 на FW2
3. На коммутаторах SW1, SW2 и SW3 выполните настройку протокола динамического
согласования параметров магистральных соединений (DTP).
a. На коммутаторе SW3 переведите порты в Fa0/4-9 в режим, при котором
коммутатор на данных портах будет инициировать согласование параметров
магистрального соединения.
b. Переведите порты Fa0/7-9 на SW1 и Fa0/4-6 на SW2 в режим, при котором
каждый коммутатор ожидает начала согласования параметров от соседа, но сам
не инициирует согласование.
c. Переведите порты Fa0/1-3 на SW1 и SW2 в режим передачи трафика по
протоколу IEEE 802.1q. Явно отключите динамическое согласование
магистральных соединений.
4. Настройте агрегирование каналов связи между коммутаторами.
a. Номера портовых групп:
i. 1 — между коммутаторами SW1 <-> SW2;
ii. 2 — между коммутаторами SW2 <-> SW3;
iii. 3 — между коммутаторами SW3 <-> SW1.5 версия для национального чемпионата
b. Коммутатор SW3 должен быть настроен в режиме активного согласования по
обеим портовым группам по протоколу LACP;
c. Коммутаторы SW1 и SW2 должны быть настроены в пассивном режиме LACP с
коммутатором SW3.
d. Коммутатор SW2 должен быть настроен в режиме активного согласования по
протоколу PAgP с коммутатором SW1.
e. Коммутатор SW1 должен быть настроен в режиме пассивного согласования по
протоколу PAgP с коммутатором SW2.
5. Конфигурация протокола остовного дерева:
a. На всех коммутаторах используйте вариант протокола STP, совместимый со
стандартом 802.1w.
b. Коммутатор SW1 должен являться корнем связующего дерева в VLAN 101. В
случае его отказа, корнем должен стать коммутатор SW2. В случае отказа SW2
— коммутатор SW3.
c. Коммутатор SW2 должен являться корнем связующего дерева в VLAN 102. В
случае его отказа, корнем должен стать коммутатор SW3. В случае отказа SW3
— коммутатор SW1.
d. Коммутатор SW3 должен являться корнем связующего дерева в VLAN 103. В
случае его отказа, корнем должен стать коммутатор SW1. В случае отказа SW1
— коммутатор SW2.
e. На коммутаторах SW1, SW2 и SW3 в VLAN 101, 102 и 103 используйте для
передачи данных порты, не состоящие в портовых группах.
6. На порту Fa0/5 коммутатора SW1 включите защиту от атаки на смену корня остовного
дерева. При получении информации о том, что на этом порту находится
потенциальный корень дерева в VLAN 101, порт должен переводиться в состояние errdisable.
7. Настройте порт Fa0/10 коммутатора SW1 таким образом, чтобы порт переходил в
состояние Forwarding не дожидаясь пересчета оставного дерева.
8. Трафик сети LAN между HQ1 и SW3 должен передаваться без тэга IEEE 802.1Q
Настройка подключений к глобальным сетям
1. На маршрутизаторах HQ1 и HQ2 настройте Frame-Relay в соответствии с VPN- и L3-
диадраммами.
2. На маршрутизаторе BR2 настройте Multilink PPP для подключения к маршрутизатору
ISP. Для аутентификации используйте протокол CHAP с паролем cisco.
3. На маршрутизаторе BR3 настройте подключение к ISP через PPPoE.
a. Используйте протокол PAP для аутентификации
b. Используйте учетную запись cisco\cisco
Настройка маршрутизации
1. На маршрутизаторах ISP, HQ1, HQ2, BR2 и BR3 настройте протокол динамической
маршрутизации EIGRP с номером автономной системы 2017.
a. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
b. Используйте алгоритм аутентификации md5 с ключом WSR.
2. На маршрутизаторах ISP, HQ1, HQ2, BR2 и BR3 настройте протокол динамической
маршрутизации BGP.6 версия для национального чемпионата
a. Номера автономных систем 65000, 65001, 65002 и 65003 для ISP, офисов HQ,
BR2 и BR3 соответственно.
b. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
c. Маршрутизаторы HQ1 и HQ2 должны быть связаны по iBGP
d. Настройте фильтрацию маршрутов на HQ1 таким образом, чтобы в таблице
маршрутизации отсутствовал маршрут 209.136.0.0/16
3. На маршрутизаторах HQ1, HQ2 и межсетевом экране FW1 настройте протокол
динамической маршрутизации OSPF с номером процесса 1.
a. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
b. Используйте зону с номером 1.
4. На маршрутизаторе BR2 и межсетевом экране FW2 настройте протокол динамической
маршрутизации OSPF с номером процесса 1.
a. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
b. Используйте зону с номером 2.
5. На межсетевых экранах FW1, FW2 и маршрутизаторе BR3 настройте протокол
динамической маршрутизации OSPF с номером процесса 1.
a. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
b. Используйте зону с номером 0.
6. На маршрутизаторах HQ1, HQ2, BR2 и BR3 настройте протокол динамической
маршрутизации OSPFv3 с номером процесса 1.
a. Включите в обновления маршрутизации сети в соответствии с Routingдиаграммой.
b. Маршрутизатор HQ1 должен исполнять роль DR, HQ2 — BDR.
c. Используйте зону с номером 0
7. На маршрутизаторе BR2 настройте редистрибьюцию OSPF маршрута к сети
Loopback30 в автономную систему 2017 протокола EIGRP.
8. На маршрутизаторе HQ1 настройте политику маршрутизации таким образом, чтобы
ICMP трафик из сети Loopback101 к сети Loopback30 шел через маршрутизатор ISP
Настройка служб
1. Назначьте в качестве сервера синхронизации времени маршрутизатор HQ1.
a. Настройте временную зону с названием MSK, укажите разницу с UTC +2 часа.
b. Настройте сервер синхронизации времени. Используйте стратум 2.
c. Настройте маршрутизаторы HQ2, BR2 и BR3, а также межсетевые экраны FW1
и FW2 в качестве клиентов сервера
d. Используйте аутентификацию MD5 с ключом WSR
2. На маршрутизаторах HQ1 и HQ2 настройте динамическую трансляцию портов (PAT) в
адрес интерфейса, подключенного к сети INET1 для сети LAN.
3. На маршрутизаторах HQ1 и HQ2 настройте службы отказоустойчивости внутреннего
шлюза
a. Настройте GLBP группу для подсети LAN
i. Номер группы — 10
ii. В качестве виртуального ip-адреса используйте адрес 192.168.10.252
iii. Настройте приоритет 150 для маршрутизатора HQ1, для HQ2 — 100.7 версия для национального чемпионата
b. Настройте HSRP группу для подсети VOICE1
i. Номер группы — 20
ii. В качестве виртуального ip-адреса используйте адрес 192.168.20.252
iii. Настройте приоритет 120 для маршрутизатора HQ1, для HQ2 — 110.
4. Настройте протокол динамической конфигурации хостов со следующими
характеристиками
a. На маршрутизаторе HQ1 для подсети LAN:
i. адрес сети – 192.168.10.0/24
ii. адрес шлюза по умолчанию — виртуальный ip-адрес настроенной GLBP
группы
iii. адрес сервера службы доменных имен — 192.168.10.100
iv. исключите из раздачи первые 100 адресов
b. На маршрутизаторе HQ2 для подсети VOICE1:
i. адрес сети – 192.168.20.0/24
ii. адрес шлюза по умолчанию — виртуальный ip-адрес настроенной HSRP
группы
iii. адрес TFTP-сервера — адрес соответствующего подинтерфейса
маршрутизатора HQ2
c. На межсетевом экране FW2 для подсети VOICE2
i. адрес сети – 10.20.30.0/24
ii. адрес шлюза по умолчанию — адрес соответствующего подинтерфейса
маршрутизатора BR2
iii. адрес TFTP-сервера — адрес шлюза по умолчанию
5. На маршрутизаторе HQ2 настройте удостоверяющий центр
a. Задайте включение FQDN маршрутизатора HQ2 в выдаваемые сертификаты
b. Используйте автоматическую выдачу сертификатов
c. На межсетевых экранах FW1, FW2 и маршрутизаторе BR3 сделайте запрос
цифрового сертификата у маршрутизатора HQ2. Не используйте проверку
сертификатов на отзыв
Настройка механизмов безопасности
1. На маршрутизаторе BR3 настройте ролевое управление доступом
a. Создайте пользователей user1, user2, user3, user4 и user5 с паролем cisco.
i. Пользователь user1 должен быть авторизован выполнять все команды
привилегированного режима кроме show version и show ip route, но
должен быть авторизован выполнять все остальные команды show ip *
ii. Пользователь user2 должен быть авторизован выполнять все команды
непривилегированного режима включая show version, но не show ip route
b. Создайте view-контекст “show_view”. Включите в него
i. Команду show version
ii. Все команды show ip *
iii. Команду who
iv. При входе на маршрутизатор пользователь user3 должен попадать в
данный контекст
c. Создайте view-контекст “ping_view”. Включите в него
i. Команду ping
ii. Команду traceroute8 версия для национального чемпионата
iii. При входе на маршрутизатор пользователь user4 должен попадать в
данный контекст
d. Создайте superview-контекст, объединяющий эти 2 контекста. Создайте
пользователя user5 с паролем cisco. При входе на маршрутизатор пользователь
user5 должен попадать в данный контекст
e. Убедитесь, что пользователи не могут выполнять другие команды в рамках
присвоенных контекстов.
2. На порту коммутатора SW3, к которому подключен межсетевой экран, включите и
настройте Port Security со следующими параметрами:
a. не более 2 адресов на интерфейсе
b. адреса должны быть динамически сохранены в текущей конфигурации
c. при попытке подключения устройства с адресом, нарушающим политику, на
консоль должно быть выведено уведомление, порт не должен быть отключен.
3. На коммутаторе SW1 включите DHCP-snooping для подсети LAN. Используйте флешпамять в качестве места хранения базы данных
4. На коммутаторе SW1 включите динамическую проверку ARP-запросов в сети LAN.
Создайте лист контроля доступа, разрешающий статический IP-адрес 192.168.10.100
для сервера RADIUS.
Настройка параметров мониторинга и резервного копирования
1. На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование
системных сообщений на сервер RADIUIS, включая информационные сообщения.
2. На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного
мониторинга по протоколу SNMP v2c.
a. Используйте строку сообщества snmp_ro
b. Задайте местоположение устройств Sochi, Russia
c. Задайте контакт admin@wsr.ru
3. На маршрутизаторе HQ1 настройте резервное копирование конфигурации
a. Резервная копия конфигурации должна сохраняться на сервер RADIUS по
протоколу TFTP при каждом сохранении конфигурации в памяти устройства
b. Для названия файла резервной копии используйте шаблон <hostname>-
<time>.cfg
4. На коммутаторах SW1 и SW3 настройте Remote SPAN:
a. используйте ВЛВС 110 для RSPAN трафика
b. включите порт Fa0/11 коммутатора SW1, назначьте данному порту ВЛВС 101
c. направьте весь трафик ВЛВС 102 на порт Fa0/11 коммутатора SW1
Конфигурация виртуальных частных сетей
1. На маршрутизаторах HQ1, HQ2, BR2 и BR3 настройте DMVPN:
a. Используйте в качестве VTI интерфейс Tunnel100
b. На каждом интерфейсе установите значение MTU равное 1400
c. Используйте адресацию в соответствии с VPN-диаграммой
d. Режим — GRE Multipoint
e. Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
f. Настройки NHRP:
i. Идентификатор сети — 100
ii. Ключ аутентификации — wsr2017
g. В качестве DMVPN-хаба и NHS-сервера используйте маршрутизатор HQ1.9 версия для национального чемпионата
h. Spoke-маршрутизаторы не должны использовать hub-маршрутизаторы для
связи друг с другом
2. На межсетевых экранах FW1, FW2 и маршрутизаторе BR3 настройте IKEv2 IPsec Siteto-Site VPN
a. Параметры политики первой фазы:
i. Проверка целостности – SHA-256
ii. Шифрование – AES-192
iii. Группа Диффи-Хэлмана – 14
iv. Псевдо-случайная функция - SHA
b. Параметры преобразования трафика для второй фазы:
i. Протокол – ESP
ii. Шифрование – AES-256
iii. Проверка целостности – MD5
c. Параметры аутентификации
i. Между FW1 и FW2 используйте аутентификацию по цифровому
сертификату. Используйте сертификаты, полученные от
удостоверяющего центра HQ2.
ii. Между FW1 и BR3 используйте аутентификацию по общему ключу
cisco123.
d. Трафик, разрешенный к передаче через IPsec-туннель
i. Между FW1 и BR3 разрешить TCP трафик с любого порта адресов из
подсети LAN к адресу интерфейса Loopback30 маршрутизатора BR3
на порт 10666
ii. Между FW1 и FW2 разрешить TCP трафик с адреса интерфейса
маршрутизатора HQ2 в подсети VOICE1 к интерфейсу
маршрутизатора BR2 в подсети VOICE2.
3. Между межсетевым экраном FW2 и маршрутизатором BR3 настройте IKEv1 IPsec Siteto-Site VPN
a. Параметры политики первой фазы:
i. Проверка целостности – MD5
ii. Шифрование – AES-128
iii. Группа Диффи-Хэлмана – 5
iv. Используйте аутентификацию по цифровым сертификатам
(используйте сертификаты, полученные от маршрутизатора HQ2)
b. Параметры преобразования трафика для второй фазы:
i. Протокол – ESP
ii. Шифрование – AES-128
iii. Проверка целостности – MD5
c. В качестве трафика, разрешенного к передаче через IPsec-туннель между FW2 и
BR3, должен быть указан только TCP трафик с любого порта адресов из
подсети VOICE2 к адресу интерфейса Loopback30 маршрутизатора BR3 на порт
10666
4. На межсетевом экране FW2 настройте возможность подключения удаленных клиентов
с помощью SSL-VPN
a. Создайте на FW2 локального пользователя vpnuser с паролем cisco
b. Клиенты должны подключаться с помощью клиента AnyConnect, образ
которого находится во флеш-памяти межсетевого экрана FW2.10 версия для национального чемпионата
c. Настройте выдачу адресов для клиентов из диапазона 10.255.255.1 -
10.255.255.30
d. Создайте два профиля подключения — VPN и Gateway
e. При выборе профиля VPN пользователь должен получать список безопасных
маршрутов, включающих в себя сеть Loopback20
f. При выборе профиля Gateway весь трафик клиента должен туннелироваться
через SSL-VPN
g. При подключении через любой профиль адрес Loopback20 должен быть
доступен с PC1 для ICMP запросов
Конфигурация подсистемы телефонной связи
На маршрутизаторах HQ2 и BR2 настройте Call Manager Express со следующими параметрами:
User Site Line Extension Device
John Doe HQ 1 101 Softphone
2 103
Jane Doe HQ 1 102 IP Phone
2 103
John Snow BR2 1 201 IP Phone
Your Mom BR2 1 202 IP Phone
1. Назначьте имена HQ2-CME и BR2-CME для каждого сайта соответственно. Каждое
имя должно отображаться на IP-телефоне или софтфоне в зависимости от того, на
каком сайте они зарегистрированы.
2. Настройте IP-телефоны таким образом, чтобы на экране (в правом верхнем углу)
отображалось имя вместо номера. Убедитесь в том, что при звонке также отображается
имя, а не номер телефона.
3. Настройте возможность перенаправлять звонки на другие номера.
4. Настройте Music-on-Hold на сайте HQ. Используйте файл MOH.wav.
5. John Doe и Jane Doe также разделяют между собой номер 103. При звонке на этот
номер оба телефона должны звонить. Если один из телефонов отвечает на звонок, на
втором телефоне должно быть видно, что линия 103 занята.
6. На сайте HQ настройте Call Park на номер 100 для того чтобы любой пользователь мог
удержать вызов, после чего любой другой пользователь мог перевести на себя
удержанный вызов позвонив на номер 100.
7. Настройте сервис локальной директории таким образом, чтобы пользователи могли
отыскать необходимый номер любого сайта в телефонной книге.
8. Настройте конференц-связь поддерживающую как минимум трех участников для
группового звонка.11