TOPO_VLAN05_05c

Úvodné pokyny:

Úloha je určená na komplexné opakovanie základnej konfigurácie smerovačov a switchov, konfigurácie dynamického smerovania, konfiguráciu VLAN, konfigurácie prístupu ku konzole zariadení a zabezpečenie prístupov.

Niektoré údaje ohľadom konfigurácie sa v zadaní vyskytujú opakovane.
Zadanie je členené do viacerých oddielov.
Každý oddiel sa venuje konfigurácii určitej témy, resp. funkcionality.

Úvodná konfigurácia

Vychádza sa z topológie TOPO_VLAN05

Konfigurácia IP adresnej schémy

Nakonfigurujte IP adresy podľa IP adresnej schémy zobrazenej v popiskoch na ploche

Vykonajte základnú konfiguráciu smerovačov a switchov:

Úprava kabeláže a parametrov rozhraní

  • Linka od ISP ku Router1 má DCE na strane ISP
  • Všetky ostatné linky na Router1 majú DCE na strane Router1
  • Router2 bude slúžiť ako DCE pre linky ku Router0 a Router3

    Hodnoty taktovacích frekvencií na seriových spojoch:

  • ISP - Router1: 2 MHz
  • Router2 - Router1: 1,3 MHz
  • Router0 - Router1: 1 MHz
  • Router3 - Router1: 1 MHz
  • Router0 - Router2: 128 kHz
  • Router3 - Router2: 64 kHZ

    Úprava parametrov na linkách typu Ethernet:

  • Na Router3 konfigurujte port, ktorým je tento router pripojený ku Switch0, manuálne na hodnotu komunikačnej rýchlosti 10 Mbps a pre režim duplexu ponechajte možnosť automatického nastavenia komunikačného režimu.
  • Na Router3 konfigurujte port, ktorým je tento router pripojený ku Switch30, manuálne na hodnotu komunikačnej rýchlosti 100 Mbps a režim duplexu nastavte na najvýhodnejšie hodnoty komunikačného režimu.
  • Na Switch30 konfigurujte port, ktorým je tento router pripojený ku Router3, na také parametre, ktoré umožnia maximálnu možnú mieru automatického prispôsobenia parametrov portu na Switch30 aktuálnym parametrom nastaveným na portu na smerovači. Komunikácia medzi Router3 a Switch30 však musí byť pre aktuálne nastavené hodnoty zachovaná.
  • Na Router0 konfigurujte port, ktorým je tento router pripojený ku Switch4, na najefektívnejšie parametre komunikácie.
  • Na Switch4 určte port, ktorým je tento switch pripojený ku smerovaču Router0 a tento port konfigurujte manuálne na hodnoty, ktoré umožnia najvyššiu možnú komunikačnú rýchlosť a najefektívnejšie hodnoty komunikácie pre túto linku.
  • Na PC4 konfigurujte jeho Ethernetový port manuálne na hodnoty 10 Mbps a režim polovičného duplexu.
  • Na Switch4 určte port, ktorým je tento switch pripojený ku PC4 a konfigurujte tento port na najefektívnejšie hodnoty parametrov komunikácie.

    Zabezpečenie smerovania v rámci intranetu

  • Dynamické smerovanie medzi všetkými sieťami, s výnimkou linky ku smerovaču ISP, konfigurujte prostredníctvom protokolu OSPF.
  • Na všetkých smerovačoch bude číslo OSPF procesu 1 a oblasť bude pre všetky smerované siete spoločná - označená číslom oblasti 1.
  • ID routerov bude konfigurované manuálne. Číslo ID bude mať tvar 10.35.x.1, kde za x dosadíte číslo z hostname smerovača.
  • Zabráňte posielaniu aktualizačných OSPF paketov do koncových lokálnych sietí.
  • Ako referenčnú hodnotu bandwidth pre výpočet hodnoty COST pre OSPF proces zvoľte 100 Mbps
  • Hodnoty COST na seriových linkách upravte manuálne tak, aby zodpovedali skutočným hodnotám bandwidth na linkách, s výnimkou linky medzi Router1 a Router 3, kde nastavíte manuálnu hodnotu COST na hodnotu 100
  • Na rozhrania Fa 0/0 na smerovačoch Router1 a Router3 nastavte manuálne hodnotu COST pre OSPF proces na hodnotu 1562
  • Na ISP sa OSPF nekonfiguruje.

    Konfigurácia CDP protokolu

  • Na všetkých smerovačoch vrátane ISP a na switchoch Switch30 a Switch31 aktivujte CDP protokol. Na ostatných zariadeniach nebude tento protokol spustený.
  • Na zariadeniach, ktoré majú CDP protokol spustený, zabráňte posielaniu CDP paketov tými portami, na ktorých sa nenachádza CDP aktívne zariadenie.
  • Ako referenčnú hodnotu bandwidth pre výpočet hodnoty COST pre OSPF proces zvoľte 100 Mbps
  • Použite hodnoty podľa: https://ipwithease.com/ospf-cost-calculation/

    Konfigurácia VLAN 10, 20, 30 a switchov Switch30 a Switch31

  • Na Switch30 vykonajte konfiguráciu: Doména spsepn.net, ako predvolenú bránu použite bránu pre VLAN30 na Router3.
  • Konfigurujte VLAN: vlan 10 - name ´obchod´; vlan 20 - name ´sklad´; vlan 30 - name ´servis´.
  • IP adresy priradené jednotlivým VLAN sú uvedené v popiskoch na ploche ku príslušným VLAN
  • Pre managementový prístup zvoľte VLAN30 a konfigurujte interface s IP s koncovou hodnotou posledného oktetu IP adresy .253, popis interface je ´servisna´.
  • Konfigurujte potrebné access a trunk porty s príslušnými parametrami.
  • Na Switch31 vykonajte konfiguráciu: Doména ´spsepn.net´, ako predvolenú bránu použite bránu pre VLAN30 na Router3.
  • Konfigurujte VLAN: vlan 10 - name ´obchod´; vlan 30 - name ´servis´.
  • IP adresy priradené jednotlivým VLAN sú uvedené v popiskoch na ploche ku príslušným VLAN
  • Pre managementový prístup zvoľte VLAN30 a konfigurujte interface s IP s koncovou hodnotou posledného oktetu IP adresy .254, popis interface je ´servisna´.
  • Konfigurujte potrebné access a trunk porty s príslušnými parametrami.
  • Medzi Switch30 a Switch31 konfigurujte na obidvoch stranách linky Gi 0/1 porty ako trunk porty, ktoré budú prepravovať výhradne a len pakety VLAN sietí, ktoré sú na Switch31 konfigurované. Prepravu paketov natívnej VLAN nepovoľte.
  • Na Router3 konfigurujte inter-VLAN-routing metódou On-Stick na rozhraní FastEthernet 1/0.
  • Tento port nebude mať priradenú žiadnu IP adresu. Na porte budú vytvorené sub-interfaces Fa 1/0.10, Fa 1/0.20 a Fa 1/0.30, ktoré budú slúžiť ako brány pre jednotlivé VLAN. Číslo VLAN bude zodpovedať číslu príslušného sub-interface. Enkapsulácia paketov na sub-interfaces bude vykonávaná podľa normy IEEE 802.1q.
  • IP adresy sub-interfaces budú priradené podľa pravidiel dohodnutých pre prideľovanie IP adresy pre bránu, vychádzajte z údajov na popiskoch ktorými sú pridelené IP adresy jednotlivým VLAN.
  • Overte správnosť smerovacích tabuliek na smerovačoch.
  • Overte konektivitu medzi všetkými uzlami v lokálnych sieťoch v intranete. Prípadné nedostatky identifikujte a odstráňte.

    Konfigurácia smerovača ISP a prístupu do Internetu

  • Parametre základnej konfigurácie smerovača sú uvedené v úvodnom oddieli.
  • Internet na tomto smerovači bude simulovaný prostredníctvom loopbacku Lo0.
  • Seriové rozhranie, ktoré pripája router ISP ku smerovaču Router1, bude na strane ISP konfigurované ako DCE s komunikačnou rýchlosťou 1,3 Mbps.
  • IP adresy rozhraní - seriového aj Lo0 - sú uvedené v popiskoch na ploche.
  • Smerovanie do intranetu, tzn. smerom ku Router1, bude zabezpečené statickým smerovaním. Použite manuálnu sumarizáciu smerovaných sietí, a počet statických trás minimalizujte tak, aby iba jedna sumárna adresa bola použitá pre koncové siete a iba jediná sumarizovaná IP adresa siete bola použitá pre adresovanie spojov medzi smerovačmi. Počet staticky konfigurovaných trás minimalizujte aj za cenu, že sumarizovaná adresa bude nebude konfigurovaná celkom presne a bude pokrývať aj IP rozsahy sietí, ktoré sa v intranete nevyskytujú. Na druhej strane sa usilujte za týchto podmienok definovať sumarizované adresy čo najtesnejšie s ohľadom na existujúce a použité IP adresy v intranete.

    Smerovanie do Internetu na Router1

  • Smerovanie do Internetu zabezpečte pomocou Default Route staticky.
  • Prostredníctvom OSPF procesu zabezpečte redistribuovanie tejto statickej trasy automaticky na všetky smerovače.
  • Overte, že zo všetkých uzlov vo všetkých lokálnych sieťach je dosiahnuteľný loopback Lo0, ktorý simuluje Internet.

    Konfigurácia záložnej statickej trasy

  • Medzi sieťou VLAN30 a sieťou, kde sa nachádza Switch1 zabezpečte náhradnú statickú trasu smerovanú cez Router2. Náhradná trasa bude mať parameter administrative distance presne o 15 väčší, ako je táto hodnota pre použitý dynamický smerovací protokol.
  • Žiadne iné siete nebudú pri výpadku OSPF procesu zabezpečené náhradnou statickou trasou.
  • Overte, že zo všetkých uzlov v sieti, kde sa nachádza Switch1, je dosiahnuteľný PC vo VLAN30.

    Konfigurácia SSH a prístupu cez virtuálne linky

  • Na všetkých smerovačoch okrem ISP a na Switch30 a Switch31 konfigurujte protokol SSH verzie 2 a týmto protokolom ošetrite prvých päť liniek virtuálneho prístupu na všetkých vymenovaných zariadeniach tak, že prístup po týchto linkách bude umožnený výhradne týmto protokolom.
  • Parametre SSH konfigurujte s RSA šifrovacím kľúčom s hodnotou modulus 1024.
  • Súčasne konfigurujte na uvedených zariadeniach užívateľa Adam s heslom Jablk0 a najvyššími možnými oprávneniami. Linky ošetrené výhradným prístupom cez SSH protokol budú vyžadovať prihlásenie na lokálneho používateľa a súčasne bude zrušené akékoľvek heslo zadané pre spoločný prístup po týchto linkách. na všetkých linkách pre virtuálny prístup bude definovaný maximálny počet súbežných pripojení na počet 3 a čas nečinnosti na linke na 3 minúty, po uplynutí ktorých bude linka automaticky odpojená.
  • Ak zariadenie umožňuje prihlásenie aj na virtuálnych linkách s číslami 5 až 15, budú tieto linky zabezpečené požiadavkou na prihlásenie na lokálneho používateľa: Bude konfigurovaný zákaz prihlásenia sa na linku všeobecne platným heslom (akékoľvek všeobecne platné heslo bude zneplatnené) a bude vyžadované prihlásenie sa na lokálneho používateľa. Súčasne budú tieto linky ošetrené zákazom použitia akéhokoľvek komunikačného protokolu na týchto linkách.
  • Overte prístup z PC vo VLAN30 na všetky konfigurované zariadenia protokolom SSH.

    Doplnenie konfigurácie vzdialeného prístupu na všetkých linkách

  • Pre všetky linky bude konfigurovaná synchronizácia oznamov systému s príkazmi zadávanými z konzoly
  • Pre všetky konzolové (a aj auxiliary linky, ak je zariadenie vybavené aj auxiliary linkou) bude konfigurovaný zákaz zobrazovania MOTD bannera a maximálny čas nečinnosti na linke na 3 minúty; po tomto čase nečinnosti bude linka automaticky odpojená na konzolových linkách bude konfigurované vynútené prihlásenie všeobecne platným heslom ´cisco´ (bez použitia lokálneho používateľa)
  • Na auxiliary linkách, ak je nimi zariadenie vybavené, bude konfigurovaný zákaz prihlásenia sa na linku všeobecne platným heslom (akékoľvek všeobecne platné heslo bude zneplatnené) a bude vyžadované prihlásenie sa an lokálneho používateľa

    Zabezpečenie aktualizačných paketov OSPF procesu autentifikáciou

  • Všetky smerovače v oblasti area 1 ošetrite požiadavkou na autentifikáciu aktualizačných paketov OSPF procesu. Autentifikácia bude spoločná pre celú oblasť, použité zabezpečenie bude realizované šifrovaním metódou message-digest.
  • Overte, že konektivita medzi uzlami v rámci intranetovej siete ani dostupnosť Internetu (loopback Lo0) nebola narušená.

    Konfigurácia serverov.

  • Na Server1 konfigurujte web stránku web.maturitanahaku.my tak, aby jej vzhľad zodpovedal vzoru uvedenému v tomto zadaní.

    --------------------------------------------------------------------------------------------------------

    Maturitu mám na háku!

    --------------------------------------------------------------------------------------------------------

    HTTP server konfigurujte tak, aby stránka bola dosiahnuteľná výhradne prostredníctvom HTTPs protokolu.
    Na Server0 konfigurujte DNS server tak, aby z ľubovoľného PC v sieti bolo možné zobraziť stránku web.maturitanahaku.my zadaním jej URL adresy do web browsera na PC.