Вы находитесь на странице: 1из 2

Комплексная практическая работа

Часть 1а
Все используемые веб-сайты и сервисы необходимо настроить самостоятельно.

1. Настройте базовую защиту устройств для маршрутизатора CORP.


a) Настройте маршрутизатор CORP на прием только паролей длиной не менее 10
символов.
b) Настройте зашифрованный пароль привилегированного уровня ciscoclass.
c) Включите шифрование паролей для всех паролей в виде открытого текста в файле
конфигурации.
d) Настройте консольный порт и все линии vty со следующими требованиями:
 Имя пользователя CORPADMIN и секретный пароль ciscoccnas.
e) использовать локальную базу данных для входа
f) отключиться после простоя в течение 20 минут.
g) Отключите протокол CDP на канале в сторону Internet.
2. Настройте безопасное управление сетью для маршрутизатора CORP.
a) Включите маршрутизатор CORP:
1. в качестве клиента NTP на сервер NTP/Syslog
2. обновить календарь роутера (аппаратные часы) из источника времени NTP
3. добавьте временную метку в сообщения журнала
4. отправлять сообщения журнала на сервер NTP/Syslog
b) Настройте маршрутизатор CORP для приема SSH-соединений. Используйте
следующие рекомендации:
 имя пользователя SSHAccess и секретный паролем ciscosshaccess.
 доменное имя ccnas.com
 Пара ключей шифрования RSA с использованием модуля 1024
 SSH версии 2, время ожидания 90 секунд и 2 попытки аутентификации
 все линии VTY принимают только SSH-соединения
c) Сконфигурируйте маршрутизатор CORP с аутентификацией AAA и проверьте его
функциональность:
 ААА-аутентификация с использованием локальной базы данных по умолчанию
для доступа к консольной линии и линиям VTY
3. Настройте Zone-Based Policy Firewall на маршрутизаторе Branch.
a) Получите доступ к маршрутизатору Branch с именем пользователя CORPADMIN,
паролем ciscoccnas и включенным секретным паролем ciscoclass.
b) На маршрутизаторе Branch создайте зоны брандмауэра.
1. Создайте внутреннюю зону с именем BR-IN-ZONE.
2. Создайте внешнюю зону с именем BR-OUT-ZONE.
c) Определите класс трафика и список доступа.
1. Создайте ACL (ACL 110), чтобы разрешить все протоколы из сети
198.133.219.32/27 в любой пункт назначения.
2. Создайте карту классов, используя опцию проверки типа карты классов с
ключевым словом match-all. Подберите ACL 110 и назовите карту классов BR-IN-
CLASS-MAP.
3. Укажите политики брандмауэра.
4. Создайте карту политик с именем BR-IN-OUT-PMAP.
5. Используйте карту класса BR-IN-CLASS-MAP.
6. Укажите действие проверки для этой карты политик.
d) Примените брандмауэр.
1. Создайте пару зон с именем IN-OUT-ZPAIR с источником как BR-IN-ZONE и
местом назначения как BR-OUT-ZONE.
2. Укажите карту политик BR-IN-OUT-PMAP для обработки трафика между двумя
зонами.
3. Назначьте интерфейсы для соответствующих зон безопасности.
e) Проверьте конфигурацию ZPF.
1. PC Admin в филиале имеет доступ к URL-адресам http://www.theccnas.com и
http://www.externalone.com.
2. PC Admin в филиале может пропинговать внешний ПК (192.31.7.33).
3. Внешний ПК не может пропинговать PC Admin в филиале (198.133.219.35).
4. PC Admin в филиале может установить SSH-соединение с маршрутизатором CORP
с помощью имени пользователя SSHAccess и пароля ciscosshaccess. Если вы
получите приглашение Corp>, значит, ваша конфигурация верна.

Вам также может понравиться