Методические указания по выполнению заданий для подготовки к демонстрационному экзамену «Пуско-наладка телекоммуникационного оборудования»

Задание

Синтаксис/команда выполнения

1)                  Задайте имя всех устройств в соответствии с топологией.

Hostname ….(имя устройства на котором делаете)

2)                  Назначьте для всех устройств доменное имя worldskills.ru

ip domain-name worldskills.ru

3)                  Создайте на всех устройствах пользователей wsruser с паролем network

a)                   Пароль пользователя должен храниться в конфигурации в виде

результата хэш-функции.

b)                Пользователь должен обладать максимальным уровнем привилегий.

a)                   username wsruser Privilege 15 secret network

4)                  На всех устройствах установите пароль wsr на вход в привилегированный режим.

a.     Пароль должен храниться в конфигурации в виде результата хэш-

функции.

enable password wsr

5)                  Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде. На FW1 используйте шифрование AES.

service password-encryption

password encryption aes(FW1)

6)                  Для всех устройств реализуйте модель AAA.

aaa new-model

a)                  Аутентификация на линиях виртуальных терминалов с 0 по 15 должна

производиться с использованием локальной базы учётных записей. (кроме маршрутизатора HQ1)

Line vty 0 15

Login authentication VTY

Transport input all

Transport output all

b)                  После успешной аутентификации при удалённом подключении

пользователи сразу должен получать права, соответствующие их уровню привилегий или роли (кроме межсетевого экрана FW1).

Aaa authentication login VTY local

c)                  Настройте необходимость аутентификации на локальной консоли.

Aaa authorization console

d)                  При успешной аутентификации на локальной консоли пользователи

должны сразу должен получать права, соответствующие их уровню привилегий или роли.

Aaa authorization exec default local

7)                  На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и L3, создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля, назначьте IP-адреса.

Interface vlan 100

Ip address 172.16.10.10 255.255.255.0 (и так далее по топологи прописываем интерфейс и задаем ip)

8)                  На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15 настройте аутентификацию с использованием RADIUS-сервера.

a)                   Используйте на линиях vty с 0 по 15 отдельный список методов с

названием method_man

Line vty 0 15

Login authentication method_man

Transport input all

Transport output all

b)                  Порядок аутентификации:

I)                  По протоколу RADIUS

II)              Локальная

c)                   Используйте общий ключ cisco

Radius-server host 172.16.20.20 key cisco

d)                  Используйте номера портов 1812 и 1813 для аутентификации и учета

соответственно

Radius-server host 172.16.20.20 auth-port 1812 acct-port 1813

e)                   Адрес RADIUS-сервера 172.16.20.20

f)                   Настройте авторизацию при успешной аутентификации

g)                  Проверьте аутентификацию по протоколу RADIUS при удаленном

подключении к маршрутизатору HQ1, используя учетную запись radius с паролем cisco

aaa authentication login method_man group radius local

aaa authorization exec auth-RADIUS-exec group radius local

aaa authentication login HQ1 group radius

9)                  Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Crypto key generate rsa

1024

Ip ssh version 2

1)    В офисе HQ, на устройствах HQ1 и FW1 настройте протокол динамической маршрутизации OSPF.

a)     Включите в обновления маршрутизации сети в соответствии с Routing-

диаграммой.

b)    HQ1 и FW1 между собой должны устанавливать соседство, только в сети 172.16.3.0/24.

c)     Отключите отправку обновлений маршрутизации на всех интерфейсах,

где не предусмотрено формирование соседства.

HQ1

router ospf 1

network 10.100.100.0 0.0.0.255 area 51

network 172.16.20.0 0.0.0.255 area 51

network 172.16.3.0 0.0.0.255 area 0

network 172.16.1.0 0.0.0.255 area 0

passive-interface gigabitEthernet 0/0

passive-interface gigabitEthernet 0/1

passive-interface loopback 0

passive-interface gigabitEthernet 0/1.100

passive-interface gigabitEthernet 0/1.200

passive-interface gigabitEthernet 0/1.300

FW1

Router ospf 1

Network 172.16.3.0 255.255.255.0 area 0

2)    Настройте протокол динамической маршрутизации OSPF в офисе BR1 с главным офисом HQ.

a)    Включите в обновления маршрутизации сети в соответствии с Routing-

диаграммой.

b)   Используйте магистральную область для GRE туннелей.

c)    Соседства между офисами HQ и BR1 должны устанавливаться, как через

канал L2 VPN, так и через защищенный туннель.

d)   Убедитесь в том, что при отказе выделенного L2 VPN, трафик между

офисами будет передаваться через защищённый GRE туннель.

e)    Отключите отправку обновлений маршрутизации на всех интерфейсах,

где не предусмотрено формирование соседства.

BR1

router ospf 1

network 192.168.2.0 0.0.0.255 area 1

network 172.16.3.0 0.0.0.255 area 0

network 172.16.1.0 0.0.0.255 area 0

passive-interface virtual-template 1

passive-interface gigabitEthernet 0/0

passive-interface gigabitEthernet 0/1

passive-interface loopback 0

passive-interface multilink 1

passive-interface serial 0/0/0

passive-interface serial 0/1/0

3)    Настройте протокол BGP в офисах HQ и BR1 для взаимодействия с провайдерами ISP1 и ISP2.

a)     На устройствах настройте протокол динамической маршрутизации BGP в соответствии с таблицей 1

  Таблица 1 – BGP AS

b)    Настройте автономные системы в соответствии с Routing-диаграммой.

HQ1

router bgp 65000

address-family ipv4 unicast

neighbor 30.78.87.2 remote-as 65000

neighbor 30.78.87.2 activate

bgp redistribute-internal

network 30.78.87.0 mask 255.255.255.248

network 1.1.1.1 mask 255.255.255.255

network 30.78.21.0 mask 255.255.255.0

FW1

router bgp 65000

address-family ipv4 unicast

neighbor 30.78.87.1 remote-as 65000

neighbor 30.78.87.1 activate

neighbor 100.45.10.1 remote-as 65001

neighbor 100.45.10.1 activate

neighbor 22.84.4.5 remote-as 65002

neighbor 22.84.4.5 activate

bgp redistribute-internal

network 30.78.87.0 mask 255.255.255.248

network 100.45.10.0 mask 255.255.255.252

network 22.84.4.4 mask 255.255.255.252

BR1

router bgp 65010

neighbor 100.45.5.1 remote-as 65001

neighbor 100.45.5.1 activate

network 3.3.3.3 mask 255.255.255.255

network 100.45.5.0 mask 255.255.255.252

4)    Маршрутизаторы HQ1 и FW1 должны быть связаны с помощью iBGP.

Используйте для этого соседства, интерфейсы, которые находятся в подсети

30.78.87.0/29. (выше)

5)    Включите в обновления маршрутизации сети в соответствии с Routing диаграммой. (выше)

6)    Настройте протокол динамической маршрутизации EIGRP поверх защищенного туннеля и выделенного канала L2 VPN между маршрутизаторами HQ1 и BR1.

a)    Включите в обновления маршрутизации сети в соответствии с Routing-

диаграммой.

b)   Используйте номер автономной системы 6000.

HQ1, BR1

ipv6 router eigrp 6000

eigrp router-id 1.1.1.1

exit

на интерфейсах прописываем ipv6 address и прописываем группу ipv6 eigrp 6000

Пример

interface GigabitEthernet0/0

ip address 30.78.87.1 255.255.255.248

no sh

ipv6 address 2001:3::/64

ipv6 enable

ipv6 eigrp 6000

1)    В сетевой инфраструктуре сервером синхронизации времени является SRV1. Все остальные сетевые устройства должны использовать его в качестве сервера времени.

a)     Передача данных между осуществляется без аутентификации.

b)    Настройте временную зону с названием MSK, укажите разницу с UTC +3 часов.

Clock timezone MSK 3

c)     Убедитесь, в том, что есть все необходимые маршруты, иначе проверить

корректность настроенной трансляции портов, будет невозможно.

HQ1, BR1, FW1

Clock timezone MSK 3

ntp server 172.16.20.20 source tunnel 1

2)    Настройте протокол          динамической      конфигурации          хостов        со следующими характеристиками:

a)     На маршрутизаторе HQ1 для подсети OFFICE:

i)      Адрес сети – 30.78.21.0/24.

ii)   Адрес шлюза по умолчанию интерфейс роутера HQ1.

iii) Адрес TFTP-сервера 172.16.20.20.

iv) Компьютер PC1 должен получать адрес 30.78.21.10.

HQ1

ip dhcp pool MAC

host 30.78.21.21 255.255.255.0

client-identifier 0108.6266.3535.9F

client-name PC1

exit

ip dhcp pool OFFICE

network 30.78.21.0 255.255.255.0

default-router 30.78.21.1

option 66 ip 172.16.20.20

exit

1)    В офисе BR1 используется аутентификация клиентов с помощью протокола PPPoE. Для этого настройте сервер PPPoE на BR1.

a)     Аутентификация PC2 на сервере PPPoE должна осуществляться по

логину pc2user и паролю pc2pass.

b)    PC2 должен получать ip адрес от PPPoE сервера автоматически.

BR1

username ps2user password ps2pass

bba-group pppoe mygroup

virtual-template 1

exit

interface virtual-template 1

ip address 192.168.2.1 255.255.255.0

peer default ip address pool mypool

ppp authentication chap

exit

ip local pool mypool 192.168.2.10

interface g 0/1

pppoe enable group mygroup

exit

1)   На маршрутизаторе BR1 настройте пользователей с ограниченными правами.

a)    Создайте пользователей user1 и user2 с паролем cisco

BR1

Username user1 privilege 5 password cisco

Username user2 password cisco

a)    Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь возможность выполнять все команды пользовательского режима, а также выполнять перезагрузку, а также включать и отключать отладку с помощью команд debug.

Для начала нужно в enable прописать команду Enable view

(здесь он спросит пароль от enable, естественно мы вводим этот пароль)

После этого заходим в conf t

Parser view user1

Secret cisco

Command exec include reload

Commands exec include debug

b)   Создайте и назначьте view-контекст sh_view на пользователя user2

i) Команду show cdp neighbor ii)      Все команды show ip *

iii) Команду ping

iv)         Команду traceroute

c)    Убедитесь, что пользователи не могут выполнять другие команды в рамках присвоенных контекстов и уровней привилегий.

parser view sh_view

commands exec include show cdp neighbor

commands exec include all show ip                                                

commands exec include ping

commands exec include trace route

username user1 view user1

username user2 view sh_view

1)   На порту F0/10 коммутатора SW2, включите и настройте Port Security со следующими параметрами:

a)    не более 2 адресов на интерфейсе

b)   адреса        должны          динамически          определяться,      и          сохраняться         в

конфигурации.

c)    при попытке подключения устройства с адресом, нарушающим политику, на консоль должно быть выведено уведомление, порт не должен быть отключен.

SW2

switchport port-security

switchport port-security maximum 2

switchport port-security mac-address sticky

switchport port-security violation restrict

1)                На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование системных сообщений на сервер SRV1, включая информационные сообщения.

2)                На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность удаленного мониторинга по протоколу SNMP v3.

a)                 Задайте местоположение устройств MSK, Russia

b)                Задайте контакт admin@wsr.ru

c)                 Используйте имя группы WSR.

d)                Создайте профиль только для чтения с именем RO.

e)                 Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA1.

f)                  Используйте имя пользователя: snmpuser и пароль: snmppass

g)                Для проверки вы можете использовать команду snmp_test на SRV1.

HQ1, FW1

access-list 1 permit 30.78.21.0 0.0.0.255

access-list 1 permit 172.16.20.0 0.0.0.255

snmp-server contact admin@wsr.ru

snmp-server location MSK, Russia

snmp-server group WSR v3 priv read RO access 1

snmp-server view RO iso included

snmp-server user snmpuser WSR v3 auth sha snmppass priv aes 128 snmppass

1)                На маршрутизаторе HQ1 настройте резервное копирование конфигурации

a)                 Резервная копия конфигурации должна сохраняться на сервер SRV1 по

протоколу TFTP при каждом сохранении конфигурации в памяти устройства

b)                Для названия файла резервной копии используйте шаблон <hostname><time>.cfg

Archive

path tftp:172.16.20.20/$H-$T.cfg

write-memory

exit

1)                Между HQ1 и BR1 настройте GRE туннель со следующими параметрами:

a)                 Используйте в качестве VTI интерфейс Tunnel1

b)                Используйте адресацию в соответствии с L3-диаграммой

c)                 Режим — GRE

d)                Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.

e)                 Обеспечьте работу туннеля с обеих сторон через провайдера ISP1

f)                   

HQ1, BR1

interface Tunnel 1

ipv6 enable

ipv6 add 2001:1::/64

ip add 172.16.1.0 255.255.255.0

tunnel source 1.1.1.1

tunnel destination 3.3.3.3

tunnel mode gre ip

exit

2)                Защита туннеля должна обеспечиваться с помощью IPsec между BR1 и FW1.

a)                 Обеспечьте шифрование только GRE трафика.

b)                Используйте аутентификацию по общему ключу.

c)                 Параметры IPsec произвольные.

crypto isakmp policy 1

encr aes

authentication pre-share

group 14(здесь нужно смотреть по команде crypto key generate rsa)

crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0

crypto ipsec transform-set T1 esp-aes esp-sha-hmac

crypto ipsec profile P1

set transform-set T1