CCNA - Project 2 公開版

--- tags: TA, Course, NCTU --- # CCNA - Project 2 公開版 ![](https://i.imgur.com/BOF6qSn.png) ## :warning:注意事項:warning: - 請在 User Profile 的 Name 欄位填入你的學號，否則**成績以0分計算** - 寫作業的過程中建議定時存檔，以免 Packet Tracer 突然 crash - 特別是在 Simulation 模式下如果紀錄太多封包可能會因為記憶體用量過大而 crash，請多加注意 - 定時存檔包括保存 pka 以及 switch 的設定 - 在 Packet Tracer 底下測試網路時，時常有「前幾次測試沒通，後來就通了」的情況 - 如果網路不通時可以多測1、2次以確保不是 Packet Tracer 在雷你 - 請勿增加任何不必要的設定以免影響自動評分腳本 ## 本次作業你需要修改的範圍包括： - CSCC - CSCC Management 不包括： - NYCU IT - CSCC DMZ - CSCC Secret - CSCC Classroom - lab 1 - lab 2 ## 基本設定 - 在每臺 Switch、Router - 將 Hostname 設爲標籤上的名稱 - 增加本地帳號 ccna - 密碼 owopasswd - 以 **md5** 形式存在 configuration 裏 - 設定 enable 密碼 - 密碼 TAisHandsome - 以 **md5** 形式存在 configuration 裏 - 設定 ssh - 使用 cs.nycu.edu.tw 爲 domain name - modulus length = 2048 - ssh version 2 - 僅能使用 ssh 登入，關閉 telnet 登入（**套用到所有 vtys**） - 設定 AAA，RADIUS Server 資訊如下： - IP：140.113.2.237 - Preshared-Key：qaqkey - ~~有一組 user 帳號 ccna-radius 密碼 qaqpw~~ - 有一組 user 帳號 ccna-radius 密碼 qaqpasswd - **你不應該修改 RADIUS Server 的設定** - 新增一條 authentication list 叫 vty_login - 僅看 RADIUS server 和 local user - RADIUS server 優先於 local user - 請將它套用到所有 vtys - CS-Core 的 console 操作必須要先登入 local user - 新增一條 authentication list 叫 console_login - 僅看 local user - 套用在 console 上 - 對於 PC-Classroom、CS-Labs、CC-intranet1、CC-intranet2 - 不允許向終端發送 cdp，白名單如下： - PC-Classroom 僅向 Gig0/1 發送 cdp - CS-Labs 僅向 Gig0/1 發送 cdp - CC-intranet1 僅向 Gig0/1、Gig0/2 發送 cdp - CC-intranet2 僅向 Gig0/1、Gig0/2 發送 cdp - **請勿將不發送設為預設，僅將某些下行介面關閉就好。** - 關閉所有沒有在使用的 interface（沒有接線的 interface） - CS-Core 的上行介面（Gig1/0/24） - 要是 L3 的介面 - 要發送與接收 lldp 封包 - CS-Core 設定 default route 將流量丟往 140.113.1.1 - 指令：`ip route 0.0.0.0 0.0.0.0 140.113.1.1` - 爲什麼不能直接設定 `ip default-gateway 140.113.1.1`？ - 當 `ip routing` 被啓用的時候，IOS 會忽略掉 `ip default-gateway` 語句 - 因此我們可以知道 `ip default-gateway` 是對於把交換機當終端設備時設的 ## VLANs - Lab1 使用 VLAN 101 - Lab2 使用 VLAN 102 - CSCC DMZ 使用 VLAN 10 - CSCC Secret 使用 VLAN 20 - CSCC Management 使用 VLAN 30 - CSCC 324 使用 VLAN 324 - CSCC 316 使用 VLAN 316 所有從 Lab1、Lab2、CSCC DMZ、CSCC Secret、CSCC Management、CSCC 316、CSCC 324 要往上到 CS-Core 的封包都應該被打上對應的 vlan tag。 - L2 聯通性 - 來自 Lab1 和 Lab2 的流量必須要能通過 CS-Labs 送到 CS-Core - 來自 CSCC DMZ、CSCC Secret、CSCC Management 的流量都必須能透過 CSCC-intranet1 和 CSCC-intranet2 送到 CS-Core - 來自 CSCC-324 和 CSCC-316 的流量必須能透過 PC-Classroom 送到 CS-Core - 所有交換機都能在 VLAN 30（管理用 VLAN）聯通 - 確保 CS-Core、CSCC-intranet1、CSCC-intranet2 之間任何一條 link 斷線都不會影響聯通性 - 對於每一條 trunk - 請勿允許不必要的 VLAN - 請勿修改 Native VLAN ## IP Address & Gateway - PC、Server | Device | IP | Gateway | | ----------- | ---------------- | -------------- | | Lab1-PC1 | 140.113.20.2/27 | 140.113.20.1 | | Lab1-PC2 | 140.113.20.3/27 | 140.113.20.1 | | Lab2-PC1 | 140.113.20.34/27 | 140.113.20.33 | | Lab2-PC2 | 140.113.20.35/27 | 140.113.20.33 | | EC316-PC{X} | 140.113.16.X/24 | 140.113.16.254 | | EC324-PC{X} | 140.113.24.X/24 | 140.113.24.254 | | CSCC-PC | 140.113.10.100/24| 140.113.10.254 | | CS-WWW | 140.113.2.138/26 | 140.113.2.129 | | CS-Radius | 140.113.2.237/26 | 140.113.2.193 | - Switch、Router - CS-Core 的上行（Gig 1/0/24）要有 IP 140.113.1.2/30，GW 是 140.113.1.1 - CS-Core 會擔任每一個 VLAN 的 gateway： - VLAN 101: 140.113.20.1/27 - VLAN 102: 140.113.20.33/27 - VLAN 324: 140.113.24.254/24 - VLAN 316: 140.113.16.254/24 - VLAN 10: 140.113.2.129/26 - VLAN 20: 140.113.2.193/26 - VLAN 30: 140.113.10.254/24 - 所有 CSCC Zone 的交換機都需要在 Management VLAN 有 SVI，並有 default gateway 140.113.10.254： - CS-Core 不需要設定 default gateway，這點前面有提到 | Device | IP | | ----------- | ------| | CS-Core | 140.113.10.254/24 | | PC-Classroom | 140.113.10.10/24 | | CC-intranet1 | 140.113.10.11/24 | | CC-intranet2 | 140.113.10.12/24 | | CS-Labs | 140.113.10.20/24 | - L3 聯通性 - 在設置 ACL 之前，所有的機器彼此應該都能 ping 通（包括 ping 到 NYCU-IT） ## ACLs 請把 ACL 全部設在 CS-Core 對應的 interface 上 - named Outgoing standard ACL，請使用恰好 2 條 entries，對於從 CS-Core 往 NYCU IT - 禁止來自 Management 網段流量出去 - 允許其他所有流量出去 - named Incoming standard ACL，請使用恰好 3 條 entries，對於從 NYCU IT 往 CS-Core - 禁止所有來自 192.168.0.0/16 或是 10.0.0.0/8 的流量進入 - 允許其他所有流量進入 - numbered 10 standard ACL，請使用恰好 2 條 entries，對於 CSCC Secret - 允許來自 CSCC DMZ、CSCC Secret、Management 網段的流量進入 - 禁止其他所有流量進入 - numbered 20 standard ACL，請使用恰好 2 條 entries，對於 Management - 僅允許來自 CSCC Secret、Management 網段的流量進入 - numbered 30 standard ACL，請用恰好 1 條 entry，對於 CS-Core - 僅允許來自 140.113.10.100/32 的 SSH 上來，否則直接拒絕 SSH 流量 - numbered 100 extended ACL，請使用恰好 3 條 entries，對於 CSCC DMZ - 允許所有 dst port 是 80、443 的 TCP 流量進入 - 允許來自 CSCC DMZ、CSCC Secret 的流量進入 - 禁止所有其他流量進入 - numbered 110 extended ACL，請使用恰好 3 條 entries，對於 CSCC 316、324 - 禁止 dst port 是 80、443 的 TCP 流量進入 - 允許其他所有流量進入 ## STP - 對於每臺 Switch - STP Mode 設定爲 rapid-pvst - 爲 PC-Classroom、CS-Labs、CSCC-intranet1、CSCC-intranet2 的下行介面設置 portfast - 這些 2960 所有的 FastEthernet 介面 - 防止 BPDU 封包進入這些界面，當偵測到，則 Error Disable 掉該介面 - 不要將設定設爲 default - 固定 CS-Core 爲以下 VLAN 的 spanning tree instance 的 root - 設爲 root primary - 包括 VLAN 1,10,20,30,101,102,316,324 - 設定 CSCC-intranet1 和 CSCC-intranet2 之間的 link 的 cost 爲 29 - 包含 VLAN 1,10,20,30 ## Q&A 與 Tips ### AAA 有設好但是就是沒辦法 SSH 進去，換了一隻帳號就可以了，這是爲什麼？可以藉由 `show aaa local user lockout` 檢查是否因爲該帳號登入次數過多而被鎖登入。 Hint. 在本次作業你們無法修改 RADIUS ### CS-Core 有那麼多個 IP，RADIUS Server 要怎麼設定 Client IP？可以在 CS-Core 上面下 `show ip route` 來看他的 route table，看 RADIUS Server 的 IP 會從哪個 interface 出去，就填該 interface 的 IP。 Hint. 在本次作業你們無法修改 RADIUS ### Tips - 可以透過裏面的 PC 的 Desktop 來進行測試 ## 作業繳交 - 如果有任何對 Spec 有不清楚的地方需要請助教解釋或是需要助教幫忙，請以下方式擇一： - TA Time 時候來系計中（EC320） - 寄信到 npta@cs.nctu.edu.tw - **如果你寄信到助教的私人信箱，那麼有可能會被忽略！** - 將 pka 檔上傳至 NewE3 作業繳交區（檔名請命名為 HW2_<學號>.pka） - ex. HW2_0612213.pka - 請確定你有保存 switch 的 config，到時候 demo 我們將重啓交換機 - ![](https://i.imgur.com/vivz40h.png) - Deadline: 2022/04/11 23:55 - 允許在 Demo 前補交，分數將打**九折** - Demo: 2022/04/12 - Demo 時將會問一些問題