Первая большая лабораторная работа CCIE за год Linkmeup
Текст задания лабораторной и конфигурация лабораторной по ссылке
http://ccie.linkmeup.ru/2016/05/02/pervaya-bolshaya-laboratornaya-rabota/1. (2 баллов)
На всех коммутаторах VTP должен быть полностью выключен.
vtp version 3
vtp mode off mst
vtp mode off vlan
vtp mode off unknown
2 для того чтобы установить путь до лупбек адреса другого маршрутизатора приоритетнее чем статический маршрут, он должен быть directly connected, это возможно сделать задав тип encapsulation PPP на последовательных интерфейсах, и вместо адреса они должны иметь адрес лупбека ip unnumbered.
R1
interface Loopback0
ip address 180.1.1.1 255.255.255.255
ipv6 address 2001:C0FF:EE:1::1:1/128
end
interface Serial1/0
ip unnumbered Loopback0
encapsulation ppp
serial restart-delay 0
end
interface Ethernet0/1.12
encapsulation dot1Q 12
ip address 188.1.12.1 255.255.255.0
ipv6 address 2001:CC1E:1:12::1/64
end
R2
interface Serial1/0
ip unnumbered Loopback0
encapsulation ppp
serial restart-delay 0
end
interface Loopback0
ip address 180.1.2.2 255.255.255.255
ipv6 address 2001:C0FF:EE:1::2:2/128
end
interface Ethernet0/1.12
encapsulation dot1Q 12
ip address 188.1.12.2 255.255.255.0
ipv6 address 2001:CC1E:1:12::2/64
end
ip route 180.1.1.1 255.255.255.255 188.1.12.1
3.
Настройте SSH доступ на R4 согласно следующим требованиям:
1) Доменное имя: linkmeup.ru
#ip domain name linkmeup.ru
2) Размер RSA ключа должен быть 2048 бит
#crypto key generate rsa modulus 2048
3) Из протоколов удаленного доступа только SSH должен быть разрешён
line vty 0 4
transport input ssh
4) Использовать локальную базу пользователей для аутентификации (пользователь cisco/cisco преднастроен)
line vty 0 4
login local
5) SSH тайм-аут до успешной аутентификации должен быть в два раза меньше значения по умолчанию.
ip ssh time-out 60 ( default 120)
6) Версия SSH: 2
ip ssh version 2
7) После двух неудачных попыток логина в течение 60 секунд, маршрутизатор должен запрещать последующие
попытки входа на vty на 30 секунд.
login block-for 30 attempts 2 within 60
на R6 поменять enc dot 654 на 456
на R4 пропустить ssh Трафик от ближайешего интерфейса R6 в ACL
Extended IP access list NEVER-ENOUGH
5 permit tcp host 188.1.45.6 host 180.1.4.4 eq 22 (15 matches)
10 deny tcp any any eq 22 (5 matches)
20 permit ip any any (54 matches)
на R6 включить ssh для того чтобы можно ьыло пользоваться клиентом
4.
1) При подключении устройство не должно запрашивать пароль
no login
2) Пользователь должен сразу попадать в privileged-level EXEC
privileve level 153) Из протоколов удаленного доступа только Telnet должен быть разрешён
transport input telnet4) Устройство также должно слушать на 3008 порту для входящих telnet сессий.
rotary 8, пользовляет включать телнет на портах 3008 и 70085) При вводе неправильной команды устройство не должно пробовать подключаться через telnet,
пытаясь разрешить DNS имя неправильной команды. При этом устройство всё равно может разрешать
DNS имена (например, если используется ping). Этот подпункт должен быть выполнен для консоли
и виртуальных линий (vty).
line con 0
transport preferred none
line vty 0 4
privilege level 15
no login
rotary 8
transport preferred none
transport input telnet
ip domain lookup
После настройки убедитесь, что можно подключиться по Telnet с R7 на R8 Loopback0
R7#telnet 180.1.8.8
Trying 180.1.8.8 ... Open
R8#exit
5.
R5#telnet 180.1.1.1
на r5 добавить маршрут через underlay сеть ip route 180.1.1.1 255.255.255.255 10.0.0.1, после этого r1 будет знать источник пакета клиента telnet. т.к. он directly connected
6.
на r6 server
!
bba-group pppoe global
virtual-template 1
!
interface Virtual-Template1
mtu 1492
ip unnumbered Loopback1
peer default ip address pool R7-P00L
ppp authentication chap callin
end
!
ip local pool R7-P00L 188.1.76.7
!
username R7 password 7 03277822234F
!
interface Ethernet0/1.67
encapsulation dot1Q 67
ip address 188.1.67.6 255.255.255.0
ipv6 address 2001:CC1E:1:67::6/64
pppoe enable group global
end заметка, для расшифроки пароля 7 можно использовать key chaing
R6(config)#username R7 password 7 03277822234F
R6(config)#key chain TEST
R6(config-keychain)#key 1
R6(config-keychain-key)#key-string 7 03277822234F
R6(config-keychain-key)#do show key chain TEST
Key-chain TEST:
key 1 -- text "CCIE "
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]На R7 клиент
interface Dialer1
mtu 1492
ip address negotiated
encapsulation ppp
dialer pool 3
dialer-group 3
ppp chap password 0 CCIE
ppp ipcp route default
!
interface Ethernet0/1.67
encapsulation dot1Q 67
ip address 188.1.67.7 255.255.255.0
ipv6 address 2001:CC1E:1:67::7/64
pppoe enable group global
pppoe-client dial-pool-number 3
7.
на коммутаторе sw 1 порты подключенные к r9 r10 Работают в режиме Protected т.е. не пропускают никакие l2 фреймы между этими портами.
поэтому связность можно огранизовать через другие линки
interface Multilink1
ip unnumbered Ethernet0/1.200
ppp multilink
ppp multilink group 1
end
R9#ping 188.1.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 188.1.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms
8.
SW3(config)#int e0/0
SW3(config-if)#switchport trunk allowed vlan add 34
данный влан не был в транке
interface Ethernet0/1.235
encapsulation dot1Q 235
ip address 188.1.235.5 255.255.255.0
ipv6 address 2001:CC1E:1:235::5/64
end
R5 тегирует dot1q, но sw2 на порту имеет принимает ISL Теги.
SW2(config)#int e0/0
SW2(config-if)#switchport trunk encapsulation dot1q
ip route 0.0.0.0 0.0.0.0 188.1.34.4
ip route 0.0.0.0 0.0.0.0 188.1.235.5 5
R3#trace 180.1.6.6 so lo0 nu
Type escape sequence to abort.
Tracing the route to 180.1.6.6
VRF info: (vrf in name/id, vrf out name/id)
1 188.1.34.4 3 msec 3 msec 2 msec
2 *
188.1.45.6 4 msec 3 msec
R3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#int e0/1.34
R3(config-subif)#sh
R3(config-subif)#
R3#conf t
*May 1 05:24:03.108: %SYS-5-CONFIG_I: Configured from console by console
R3#trace 180.1.6.6 so lo0 nu
Type escape sequence to abort.
Tracing the route to 180.1.6.6
VRF info: (vrf in name/id, vrf out name/id)
1 *
188.1.235.2 3 msec 2 msec
2 188.1.235.5 1 msec 1 msec 2 msec
3 188.1.45.6 3 msec 3 msec 3 msec
R3#wr
Building configuration...
[OK]
R3#sh run | i route
ip route 0.0.0.0 0.0.0.0 188.1.34.4
ip route 0.0.0.0 0.0.0.0 188.1.235.5 59
9.
начинаем с первого маршрутизатора R1
R1#ping 180.1.2.2 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.2.2, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms
не пингуется L0 R3 на R2 видим access-list блокирующий ICMP до L0 R1 убираем( маршрут от R3 до лупбека R1 менять не будем)
Extended IP access list STILL-ALIVE
10 deny tcp any any eq telnet
20 deny icmp any host 180.1.1.1 (5 matches)
30 permit ip any any (50 matches)
R2#conf t
R2(config)#ip access-list extended STILL-ALIVE
R2(config-ext-nacl)#no 20
R1#ping 180.1.4.4 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.4.4, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 9/9/10 ms
R1#ping 180.1.5.5 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.5.5, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!
R1#ping 180.1.6.6 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.6.6, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!
R1#ping 180.1.7.7 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.7.7, timeout is 2 seconds:
Packet sent with a source address of 180.1.1.1
!!!!!
не пингутеся L0 маршрутизатор R8.
R8#sh ip cef 180.1.1.1
180.1.1.1/32
attached to Ethernet0/1.78
R7#sh run int e0/1.78
Building configuration...
Current configuration : 128 bytes
!
interface Ethernet0/1.78
encapsulation dot1Q 78
no ip proxy-arp
no ip proxy-arp
ip address 188.1.78.7 255.255.255.0
ipv6 address 2001:CC1E:1:78::7/64
end
R7(config)#int e0/1.78
R7(config-subif)#ip proxy-arp
R8#ping 180.1.7.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 180.1.7.7, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
