Задача №8.9

Схема:



Условие: ЛинкМиАп использует статические маршруты к провайдерам (не BGP).

Конфигурация. Маршрутизаторы провайдеров также не используют BGP.

Задание:
Настроить маршрутизацию таким образом, чтобы HTTP-трафик из локальной сети 10.0.1.0 шел через Балаган Телеком, а весь трафик из сети 10.0.2.0 через Филькин Сертификат. Если в адресе отправителя фигурирует любой другой адрес, трафик должен быть отброшен, а не маршрутизироваться по стандартной таблице маршрутизации (задание надо выполнить не используя фильтрацию с помощью ACL, примененных на интерфейсе).
Дополнительное условие: Правила PBR должны работать так только если соответствующий провайдер доступен (в данной задаче достаточно проверки доступности ближайшего устройства провайдера). Иначе должна использоваться стандартная таблица маршрутизации.

Ответ.

Задача №8.8

Схема:



Условие: ЛинкМиАп использует статические маршруты к провайдерам (не BGP).

Конфигурация. Маршрутизаторы провайдеров также не используют BGP.

Задание: Настроить переключение между провайдерами.
Маршрут по умолчанию к Балаган Телеком должен использоваться до тех пор, пока приходят icmp-ответы на пинг google (103.0.0.10) ИЛИ yandex (103.0.0.20). Запросы должны отправляться через Балаган Телеком. Если ни один из указанных ресурсов не отвечает, маршрут по умолчанию должен переключиться на провайдера Филькин Сертификат. Для того чтобы переключение не происходило из-за временной потери отдельных icmp-ответов, необходимо установить задержку переключения, как минимум, 5 секунд.

Ответ.

Задача №8.7

Схема: Общая схема сети

Условие: На маршрутизаторе msk-arbat-gw1 настроено управление входящим и исходящим трафиком. Основной провайдер Балаган Телеком, резервый — Филькин Сертификат. При проверке настроек оказалось, что исходящий трафик передается правильно. При проверке входящего трафика, оказалось, что входящий трафик идет и через провайдера Балаган Телеком, но когда отключается Балаган Телеком, входящий трафик не идет через Филькин Сертификат.

Задание: Исправить настройки.
Конфигурация:
hostname msk-arbat-gw1
!
interface Loopback0
ip address 100.0.0.1 255.255.255.255
!
interface FastEthernet0/0
description Balagan_Telecom_Internet
ip address 101.0.0.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
description Philkin_Certificate_Internet
ip address 102.0.0.2 255.255.255.252
speed 100
full-duplex
!
router bgp 64500
no synchronization
bgp log-neighbor-changes
network 100.0.0.0 mask 255.255.254.0
neighbor 101.0.0.1 remote-as 64501
neighbor 101.0.0.1 prefix-list LAN out
neighbor 101.0.0.1 weight 500
neighbor 102.0.0.1 remote-as 64502
neighbor 102.0.0.1 prefix-list LAN out
neighbor 102.0.0.1 route-map INBOUND out
no auto-summary
!

route-map INBOUND permit 10
set as-path prepend 64502 64502 64502
!
ip prefix-list LAN permit 100.0.0.0/23
!
ip route 100.0.0.0 255.255.254.0 Null0


Ответ.

Задача №8.6

Схема: Общая схема сети
Условие: ЛинкМиАп получает Full View от обоих провайдеров.

Задание:
Не используя атрибуты weight, local preference или фильтрацию, настроить маршрутизатор msk-arbat-gw1 так, чтобы для исходящего трафика Балаган Телеком был основным, а Филькин Сертификат резервным.

Ответ.

Задача №8.5

Схема: Текущая схема сети
Условие: ЛинкМиАп получает от обоих провайдеров маршрут по умолчанию.

Задание:
Настроить балансировку исходящего трафика между маршрутами по умолчанию от провайдеров Балаган Телеком и Филькин Сертификат в пропорции 3 к 1.

Ответ.

Задача №8.4

Схема: Общая схема сети
Условие: ЛинкМиАп получает Full View от обоих провайдеров.

Тема: Поиск неисправностей.
От провайдеров: полная таблица маршрутов BGP

На маршрутизаторе msk-arbat-gw1 настроено распределение исходящего трафика между провайдерами Балаган Телеком и Филькин Сертификат. Трафик идущий в сети провайдера Филькин Сертификат, должен идти через него, если он доступен. Остальной исходящий трафик, должен передаваться через провайдера Балаган Телеком, когда он доступен.
При проверке исходящего трафика, оказалось, что при отключении Балаган Телеком, исходящий трафик к ЦОД (103.0.0.1) не идет через Филькин Сертификат.

Конфигурация:
neighbor 102.0.0.1 route-map OUTBOUND in
no auto-summary
!
route-map OUTBOUND permit 10
match as-path 10
set weight 1000
!
ip prefix-list LAN permit 100.0.0.0/23
!
ip as-path access-list 10 permit ^64502$
!
ip route 100.0.0.0 255.255.254.0 Null0


В остальном конфигурация стандартная.

Задание:
Исправить настройки так, чтобы исходящий трафик в сети провайдера ISP2, к его клиенту и в сеть удаленного офиса компании, шел через провайдера ISP2.

Ответ.

Задача №8.2

Схема: Общая схема сети
Задание:
Настроить фильтрацию со стороны провайдера таким образом, чтобы он передавал нам только маршрут по умолчанию и ничего лишнего.
То есть, чтобы таблица BGP выглядела так:


Ответ.

Задача №8.1

Схема:



Условие:
Настройки маршрутизаторов несущественны. Никаких фильтров маршрутов не настроено. Почему на одном из соседей отсутствует альтернативный маршрут в сеть 195.12.0.0/16 через AS400?



Ответ.

Задача №7.6

Начальная конфигурация: «DMVPN»

Сценарий:
Сеть DMVPN была полностью работоспособной, всё работало корректно.
Но после перезагрузки хаба msk-arbat-gw1 началось странное поведение.

Задание:
1. Проверить работоспособность сети.
2. Перезагрузить хаб
3. После перезагрузки проверить работоспособность сети ещё раз
4. Устранить проблему:
4.1. (минимум) Сделать сеть снова работоспособной
4.2. Сделать так, чтобы сеть восстанавливалась автоматически, после того как хаб снова появится.

Ответ

Задача №7.5

Схема: «GRE_over_IPSec»



Конфигурация: прилагается

Описание проблемы:
После настройки GRE over IPSec между R1 и R3, всё прекрасно работает, трафик между R1 и R3 (c 10.0.0.0 на 10.1.1.0) передается.
Однако, через несколько дней, когда администратор хотел посмотреть состояние VPN, обнаружилось, что на маршрутизаторах вообще нет установленных SA.
Соответственно, трафик между R1 и R3 не шифруется.

Задание:
Необходимо проверить настройки, исправить конфигурацию и сделать так, чтобы трафик шифровался (трафик между loopback-интерфейсами 10.0.0.0 и 10.1.1.0).

Конфигурация R1:

hostname R1
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
!
crypto map CRMAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 120
!
interface Loopback0
ip address 10.0.0.0 255.255.255.255
!
interface Tunnel0
ip address 10.20.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1
!
interface FastEthernet0/0
ip address 100.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map CRMAP1
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.1.1.0 255.255.255.255 10.20.2.2
!
access-list 120 permit gre host 10.0.0.0 host 10.1.1.0


Конфигурация R2:

hostname R2
!
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.0.0.2 255.255.255.252
duplex auto
speed auto


Конфигурация R3:
hostname R3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
!
crypto map CRMAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 120
!
!
interface Loopback0
ip address 10.1.1.0 255.255.255.255
!
interface Tunnel0
ip address 10.20.2.2 255.255.255.252
tunnel source 200.0.0.1
tunnel destination 100.0.0.1
!
interface FastEthernet0/1
ip address 200.0.0.1 255.255.255.0
duplex auto
speed auto
crypto map CRMAP1
!
!
ip route 0.0.0.0 0.0.0.0 200.0.0.2
ip route 10.0.0.0 255.255.255.255 10.20.2.1
!
access-list 120 permit gre host 10.1.1.0 host 10.0.0.0

Ответ