Вторая большая лабораторная работа,
1)
conf t
SW4
conf t
spanning-tree mode rapid-pvst
interface Ethernet0/0
 spanning-tree portfast edge trunk
interface Ethernet0/1
 spanning-tree portfast edge trunk
!
SW3
conf t
spanning-tree mode rapid-pvst
spanning-tree vlan  1,3,5,7,9,23,67,89,109,201,203,211,213 priority 0
interface Ethernet0/0
 spanning-tree portfast edge trunk
!
SW1
conf t
spanning-tree mode rapid-pvst
spanning-tree vlan 2,4,6,8,10,12,34,78,144,202,212,456 priority 0
interface Ethernet0/0
 spanning-tree portfast edge trunk
interface Ethernet0/1
 spanning-tree portfast edge trunk
interface Ethernet0/2
 spanning-tree portfast edge trunk
interface Ethernet0/3
 spanning-tree portfast edge trunk
interface Ethernet1/0
 spanning-tree portfast edge trunk
!
SW2
conf t
spanning-tree mode rapid-pvst
spanning-tree vlan 2,4,6,8,10,12,34,78,144,202,212,456 priority 36864
interface Ethernet0/0
 spanning-tree portfast edge trunk
 interface Ethernet0/1
 spanning-tree portfast edge trunk

2)
SW1
conf t
vtp file nvram://ccie.dat
vtp domain SW1
vtp mode off
SW2
conf t
vtp file nvram://ccie.dat
vtp domain SW2
vtp mode off
SW3
conf t
vtp file nvram://ccie.dat
vtp domain SW3
vtp mode off
SW4
conf t
vtp file nvram://ccie.dat
vtp domain SW4
vtp mode off
3)

SW1
conf t
int e0/0
switchport trunk allowed vlan add 12
R2
conf t
ip route 180.1.1.1 255.255.255.255 et0/1.12

SW4
conf t
int e0/1
no sh

R1
conf t
aaa new-model
aaa authentication login default local
aaa authorization exec default local
crypto key generate rsa modulus 1024
username cisco password 0 cisco
username cisco autocommand ssh -l ccie -p 9009 180.1.7.7
ip ssh port 3009 rotary 1
ip ssh version 2
line vty 3
 rotary 1
 transport input ssh
 transport output ssh


R7
conf t
crypto key generate rsa modulus 1024
ip ssh port 9009 rotary 1
ip ssh version 2
username ccie nopassword
line vty 3
 login local
 rotary 1
 transport input ssh

4)
SW1
conf t
int e1/0
switchport trunk allowed vlan add 109

R9
conf t
int e0/1.109
 ip broadcast-address 188.1.109.255
 ip rip v2-broadcast
int e0/1.89
 ip rip v2-broadcast
 router rip
 no validate-update-source
 ip route 188.1.89.8 255.255.255.255 Ethernet0/1.89

R10
conf t
int e0/1.109
 ip broadcast-address 188.1.109.255
 ip rip v2-broadcast

SW2
conf t
 vlan 89
 int e0/1
 sw trunk allowed vlan add 89

R8
conf t
int e0/1.89
 ip rip v2-broadcast
 router rip
 no validate-update-source
 ip route 188.1.98.9 255.255.255.255 Ethernet0/1.89

R7
conf t
ip access-list extended C-3PO
  5 permit udp host 188.1.78.8 host 224.0.0.9 eq rip





 }
5)
 R6
 conf t
no service dhcp
no logging on
line con 0
escape-character 3
6)
R7
conf t
ip http server
ip http port 10001
R9
conf t
logging source-interface Loopback0
logging host 180.1.7.7 transport tcp port 10001

7)
R7
conf t
ip dhcp excluded-address 188.1.235.6 188.1.235.254
ip dhcp excluded-address 188.1.235.1 188.1.235.4
ip dhcp pool VLAN235
 network 188.1.235.0 255.255.255.0
 default-router 188.1.235.2

R2,R3
conf t
interface Ethernet0/1.235
 ip helper-address 180.1.7.7
R5
conf t
interface e0/1.235
ip address dhcp
SW1
conf t
vlan 235
SW2
conf t
vlan 235
state active

8)

SW1
conf t
ip dhcp snooping vlan 235
interface Ethernet3/0
ip dhcp snooping trust
interface Ethernet1/0
ip dhcp snooping trust

SW2
conf t
ip dhcp snooping vlan 235
int e2/2
ip dhcp snooping trust

SW3
conf t
ip dhcp snooping vlan 235
int e2/2
ip dhcp snooping trust

9)
R10>R9>R8>R7>

SW1
conf t
vlan 67
no shut

R7
ip route 180.1.6.6 255.255.255.255 Ethernet0/1.67

R6
ip route 180.1.7.7 255.255.255.255 188.1.67.7

R2
no ip route 180.1.5.5 255.255.255.255 188.1.235.5
ip route 180.1.5.5 255.255.255.255 et0/1.235

R3
conf t
ip route 180.1.5.5 255.255.255.255 188.1.235.3

R4
conf t
ip route 180.1.5.5 255.255.255.255 Ethernet0/1.456
R5
conf t
int e0/1.456
no sh

tclsh
foreach IP {
180.1.1.1
180.1.2.2
180.1.3.3
180.1.4.4
180.1.5.5
180.1.6.6
180.1.7.7
180.1.8.8
180.1.9.9
180.1.10.10
} {ping $IP so l0
}

10)
class-map match-any ENT_VLAN
 match vlan  212
 match vlan  211
 match vlan  213
class-map match-any BS_VLAN
 match vlan  201
 match vlan  202
 match vlan  203
class-map match-all ENT_VOIP
 match class-map ENT_VLAN
 match access-group name VOIP
class-map match-all ENT_ICMP
 match class-map ENT_VLAN
 match access-group name ICMP
class-map match-all ENT_HTTP
 match class-map ENT_VLAN
 match access-group name HTTP
class-map match-all BS_VOIP
 match class-map BS_VLAN
 match access-group name ACL
class-map match-all BS_HTTP
 match class-map BS_VLAN
 match access-group name HTTP
class-map match-all BS_ICMP
 match class-map BS_VLAN
 match access-group name ICMP
class-map match-all ENT_NON_DEFAULT
 match class-map ENT_VLAN
 match not dscp default
end
policy-map IN_QOS
 class BS_VOIP
  set ip dscp ef
 class BS_HTTP
  set ip dscp af31
 class BS_ICMP
  set ip dscp af21
 class ENT_VOIP
  set ip dscp af41
 class ENT_HTTP
  set ip dscp af32
 class ENT_ICMP
  set ip dscp af11
 class ENT_NON_DEFAULT
  set ip dscp default

interface Ethernet0/1
 service-policy input IN_QOS
R8, R9
class-map match-all AF41
 match ip dscp af41
class-map match-all EF
 match ip dscp ef
class-map match-all AF21
 match ip dscp af31
class-map match-all AF31
 match ip dscp af31
class-map match-all AF32
 match ip dscp af32
class-map match-all AF11
 match ip dscp af11
class-map match-all NON_DEFAULT
 match not ip dscp default


 policy-map ENT_QOS
 class AF41
  priority percent 10
 class AF32
  priority percent 5
 class AF11
  bandwidth percent 35
 class class-default
  no random-detect precedence-based
  random-detect dscp-based

policy-map BS_QOS
 class EF
  priority percent 10
 class AF31
  priority percent 5
 class AF21
  bandwidth percent 35
 class NON_DEFAULT
  bandwidth percent 25
  random-detect dscp-based

class-map match-any BS
 match class-map EF
 match class-map AF31
 match class-map AF21
 match class-map NON_DEFAULT
class-map match-any EN
 match class-map AF41
 match class-map AF32
 match class-map AF11

policy-map OUT
 class BS
  shape average percent 70
   service-policy BS_QOS
 class EN
  shape average percent 30
   service-policy ENT_QOS

 
R7
class-map match-all AF41
 match ip dscp af41
class-map match-all EF
 match ip dscp ef
class-map match-all AF21
 match ip dscp af31
class-map match-all AF31
 match ip dscp af31
class-map match-all AF32
 match ip dscp af32
class-map match-all AF11
 match ip dscp af11
class-map match-all NON_DEFAULT
 match not ip dscp default

class-map match-any EN
 match class-map AF41
 match class-map AF32
 match class-map AF11
class-map match-any BS
 match class-map EF
 match class-map AF31
 match class-map AF21
 match class-map NON_DEFAULT

policy-map ENT_QOS
 class AF41
  priority percent 10
 class AF32
  priority percent 5
 class AF11
  bandwidth percent 35
 class class-default
  random-detect dscp-based
policy-map BS_QOS
 class EF
  priority percent 10
 class AF31
  priority percent 5
 class AF21
  bandwidth percent 35
 class NON_DEFAULT
  bandwidth percent 25
  random-detect dscp-based

policy-map OUT72
 class EN
  bandwidth 50
   service-policy ENT_QOS
 class BS
  bandwidth 50
   service-policy BS_QOS
policy-map OUT72_TUN
 class class-default
  shape average percent 100

policy-map OUT73
 class EN
  bandwidth 40
   service-policy ENT_QOS
 class BS
  bandwidth 60
   service-policy BS_QOS
policy-map OUT73_TUN
 class class-default
  shape average percent 100
   service-policy OUT73

policy-map OUT74
 class EN
  bandwidth 30
   service-policy ENT_QOS
 class BS
  bandwidth 70
   service-policy BS_QOS
policy-map OUT74_TUN
 class class-default
  shape average percent 100
   service-policy OUT74

int t72
service-policy output OUT72_TUN
int t73
service-policy output OUT73_TUN
int t74
service-policy output OUT74_TUN

R2
policy-map OUT
 class BS
  shape average percent 50
   service-policy BS_QOS
 class EN
  shape average percent 50
   service-policy ENT_QOS

R3
policy-map OUT
 class BS
  shape average percent 60
   service-policy BS_QOS
 class EN
  shape average percent 40
   service-policy ENT_QOS
R4
policy-map OUT
 class BS
  shape average percent 70
   service-policy BS_QOS
 class EN
  shape average percent 30
   service-policy ENT_QOS

Первая большая лабораторная работа CCIE за год Linkmeup
Текст задания лабораторной и конфигурация лабораторной по ссылке
http://ccie.linkmeup.ru/2016/05/02/pervaya-bolshaya-laboratornaya-rabota/1. (2 баллов)
На всех коммутаторах VTP должен быть полностью выключен.
vtp version 3
vtp mode off mst
vtp mode off vlan
vtp mode off unknown
2 для того чтобы установить путь до лупбек адреса другого маршрутизатора приоритетнее чем статический маршрут, он должен быть directly connected, это возможно сделать задав тип encapsulation PPP на последовательных интерфейсах, и вместо адреса они должны иметь адрес лупбека ip unnumbered.
R1
interface Loopback0
ip address 180.1.1.1 255.255.255.255
ipv6 address 2001:C0FF:EE:1::1:1/128
end
interface Serial1/0
ip unnumbered Loopback0
encapsulation ppp
serial restart-delay 0
end
interface Ethernet0/1.12
encapsulation dot1Q 12
ip address 188.1.12.1 255.255.255.0
ipv6 address 2001:CC1E:1:12::1/64
end
R2
interface Serial1/0
ip unnumbered Loopback0
encapsulation ppp
serial restart-delay 0
end
interface Loopback0
ip address 180.1.2.2 255.255.255.255
ipv6 address 2001:C0FF:EE:1::2:2/128
end
interface Ethernet0/1.12
encapsulation dot1Q 12
ip address 188.1.12.2 255.255.255.0
ipv6 address 2001:CC1E:1:12::2/64
end
ip route 180.1.1.1 255.255.255.255 188.1.12.1
3.
Настройте SSH доступ на R4 согласно следующим требованиям:
1) Доменное имя: linkmeup.ru
#ip domain name linkmeup.ru
2) Размер RSA ключа должен быть 2048 бит
#crypto key generate rsa modulus 2048
3) Из протоколов удаленного доступа только SSH должен быть разрешён
line vty 0 4
transport input ssh
4) Использовать локальную базу пользователей для аутентификации (пользователь cisco/cisco преднастроен)
line vty 0 4
login local
5) SSH тайм-аут до успешной аутентификации должен быть в два раза меньше значения по умолчанию.
ip ssh time-out 60 ( default 120)
6) Версия SSH: 2
ip ssh version 2
7) После двух неудачных попыток логина в течение 60 секунд, маршрутизатор должен запрещать последующие
попытки входа на vty на 30 секунд.
login block-for 30 attempts 2 within 60
на R6 поменять enc dot 654 на 456
на R4 пропустить ssh Трафик от ближайешего интерфейса R6 в ACL
Extended IP access list NEVER-ENOUGH
5 permit tcp host 188.1.45.6 host 180.1.4.4 eq 22 (15 matches)
10 deny tcp any any eq 22 (5 matches)
20 permit ip any any (54 matches)
на R6 включить ssh для того чтобы можно ьыло пользоваться клиентом
4.
1) При подключении устройство не должно запрашивать пароль no login 2) Пользователь должен сразу попадать в privileged-level EXEC privileve level 153) Из протоколов удаленного доступа только Telnet должен быть разрешён transport input telnet4) Устройство также должно слушать на 3008 порту для входящих telnet сессий. rotary 8, пользовляет включать телнет на портах 3008 и 70085) При вводе неправильной команды устройство не должно пробовать подключаться через telnet,
пытаясь разрешить DNS имя неправильной команды. При этом устройство всё равно может разрешать
DNS имена (например, если используется ping). Этот подпункт должен быть выполнен для консоли
и виртуальных линий (vty).
line con 0 transport preferred none line vty 0 4 privilege level 15 no login rotary 8 transport preferred none transport input telnet  ip domain lookup

После настройки убедитесь, что можно подключиться по Telnet с R7 на R8 Loopback0
R7#telnet 180.1.8.8
Trying 180.1.8.8 ... Open
R8#exit
5.
R5#telnet 180.1.1.1
на r5 добавить маршрут через underlay сеть ip route 180.1.1.1 255.255.255.255 10.0.0.1, после этого r1 будет знать источник пакета клиента telnet. т.к. он directly connected
6.
на r6 server
!
bba-group pppoe global
virtual-template 1
!
interface Virtual-Template1
mtu 1492
ip unnumbered Loopback1
peer default ip address pool R7-P00L
ppp authentication chap callin
end
!
ip local pool R7-P00L 188.1.76.7
!
username R7 password 7 03277822234F
!
interface Ethernet0/1.67
encapsulation dot1Q 67
ip address 188.1.67.6 255.255.255.0
ipv6 address 2001:CC1E:1:67::6/64
pppoe enable group global
end заметка, для расшифроки пароля 7 можно использовать key chaing
R6(config)#username R7 password 7 03277822234F
R6(config)#key chain TEST
R6(config-keychain)#key 1
R6(config-keychain-key)#key-string 7 03277822234F
R6(config-keychain-key)#do show key chain TEST
Key-chain TEST:
key 1 -- text "CCIE "
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]На R7 клиент
interface Dialer1
mtu 1492
ip address negotiated
encapsulation ppp
dialer pool 3
dialer-group 3
ppp chap password 0 CCIE
ppp ipcp route default
!
interface Ethernet0/1.67
encapsulation dot1Q 67
ip address 188.1.67.7 255.255.255.0
ipv6 address 2001:CC1E:1:67::7/64
pppoe enable group global
pppoe-client dial-pool-number 3
7.

на коммутаторе sw 1 порты подключенные к r9 r10 Работают в режиме Protected т.е. не пропускают никакие l2 фреймы между этими портами.
поэтому связность можно огранизовать через другие линки
interface Multilink1
ip unnumbered Ethernet0/1.200
ppp multilink
ppp multilink group 1
end
R9#ping 188.1.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 188.1.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms
8.
SW3(config)#int e0/0
SW3(config-if)#switchport trunk allowed vlan add 34
данный влан не был в транке
interface Ethernet0/1.235
encapsulation dot1Q 235
ip address 188.1.235.5 255.255.255.0
ipv6 address 2001:CC1E:1:235::5/64
end
R5 тегирует dot1q, но sw2 на порту имеет принимает ISL Теги.
SW2(config)#int e0/0
SW2(config-if)#switchport trunk encapsulation dot1q
ip route 0.0.0.0 0.0.0.0 188.1.34.4
ip route 0.0.0.0 0.0.0.0 188.1.235.5 5
R3#trace 180.1.6.6 so lo0 nu
Type escape sequence to abort.
Tracing the route to 180.1.6.6
VRF info: (vrf in name/id, vrf out name/id)
1 188.1.34.4 3 msec 3 msec 2 msec
2 *
188.1.45.6 4 msec 3 msec
R3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#int e0/1.34
R3(config-subif)#sh
R3(config-subif)#
R3#conf t
*May 1 05:24:03.108: %SYS-5-CONFIG_I: Configured from console by console
R3#trace 180.1.6.6 so lo0 nu
Type escape sequence to abort.
Tracing the route to 180.1.6.6
VRF info: (vrf in name/id, vrf out name/id)
1 *
188.1.235.2 3 msec 2 msec
2 188.1.235.5 1 msec 1 msec 2 msec
3 188.1.45.6 3 msec 3 msec 3 msec
R3#wr
Building configuration...
[OK]
R3#sh run | i route
ip route 0.0.0.0 0.0.0.0 188.1.34.4
ip route 0.0.0.0 0.0.0.0 188.1.235.5 59
9.

начинаем с первого маршрутизатора R1

R1#ping 180.1.2.2 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.2.2, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms

не пингуется L0 R3 на R2 видим access-list блокирующий ICMP до L0 R1 убираем( маршрут от R3 до лупбека R1 менять не будем)

R2#sh access-lists STILL-ALIVE
Extended IP access list STILL-ALIVE
    10 deny tcp any any eq telnet
    20 deny icmp any host 180.1.1.1 (5 matches)

    30 permit ip any any (50 matches)
R2#conf t
R2(config)#ip access-list extended STILL-ALIVE

R2(config-ext-nacl)#no 20

R1#ping 180.1.4.4 source l0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 180.1.4.4, timeout is 2 seconds:

Packet sent with a source address of 180.1.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms

R1#ping 180.1.5.5 source l0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 180.1.5.5, timeout is 2 seconds:

Packet sent with a source address of 180.1.1.1

!!!!!

R1#ping 180.1.6.6 source l0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 180.1.6.6, timeout is 2 seconds:

Packet sent with a source address of 180.1.1.1

!!!!!

R1#ping 180.1.7.7 source l0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 180.1.7.7, timeout is 2 seconds:

Packet sent with a source address of 180.1.1.1

!!!!!

не пингутеся L0 маршрутизатор R8.

R8#sh ip cef 180.1.1.1

180.1.1.1/32

  attached to Ethernet0/1.78

R7#sh run int e0/1.78

Building configuration...

Current configuration : 128 bytes

!

interface Ethernet0/1.78

 encapsulation dot1Q 78
 no ip proxy-arp

 ip address 188.1.78.7 255.255.255.0

 ipv6 address 2001:CC1E:1:78::7/64

end

R7(config)#int e0/1.78

R7(config-subif)#ip proxy-arp

R8#ping 180.1.7.7

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 180.1.7.7, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms