Лабораторная по теме 60

Цикл 10, Тема 60: Data Plane Security 7.4

13KB

lab060.zip

archive

Начальная конфигурация

1. Загрузить начальную конфигурацию всех устройств.

2. Для задания используется логическая и физическая топологии проекта.

3. На граничных маршрутизаторах между EIGRP NAMED и CLASSIC Mode настроить NBAR для ограничения Smurf трафика следующим образом:

   1. Настроить ACL под названием AntiSmurf и применить следующие настройки:

      1. разрешить ICMP ECHO в обе стороны

      2. разрешить ICMP ECHO Reply в обе стороны

   2. Настроить Class-map под названием AnySmurf и применить следующие настройки:

      1. привязать его к ACL AntiSmurf

   3. Настроить Policy-map под названием MarkSmurf и применить следующие настройки::

      1. привязать его к Class-map AnySmurf

      2. установить DSCP раной 1

   4. Настроить Class-map под названием SmurfMarked и применить следующие настройки:

      1. привязать его к DSCP 1

   5. Настроить Policy-map под названием LimitSmurf и применить следующие настройки::

      1. привязать его к Class-map SmurfMarked

      2. настроить политику где ICMP-трафик ограничен средней пропускной способностью 64 кбит, с всплеском 4 кбайта. Если какой-либо из этих пределов превышен, то политика должна отбросить эти избыточные сообщения ICMP.

   6. Применить Policy-map MarkSmurf на интерфейсах между EIGRP NAMED и CLASSIC Mode.

   7. Применить Policy-map LimitSmurf на интерфейсах, смотрящих в сторону маршрутизаторов локального режима

4. На маршрутизаторе R9 настроить TCP Intercept в Watch Mode следующим образом:

   1. Настроить ACL под названием TCPINT и применить следующие настройки:

      1. разрешить трафик по портам 25 и 80

   2. Настроить изменение таймеров:

      1. Максимальное время ожидания окончания three-way handshake в Watch Mode 400 секунд

      2. Максимальное время ожидания пакетов с флагами RST или FIN 50 секунд

      3. Максимальное время управления сессией 30 часов

      4. Указать значение максимального порога для начала сбрасывания неполных соединений в 400 и минимального значения в 300

      5. Указать максимальное значение для ожидания неполных соединений в период 1-ой минуты в 80, а минимальной в 50

      6. Настроить Drop Mode случайным образом

5. На маршрутизаторе R3 настроить uRPF следующим образом:

   1. Настроить ACL под номером 100 и применить следующие настройки:

      1. запретить ip адрес интерфейса E0/1.235 R5, все данные должны писаться в лог

      2. разрешить ip адрес интерфейса E0/1.235 R2, все данные должны писаться в лог

   2. Применить ACL 100 совместно с uRPF на интерфесе E0/1.235

14KB

lab060_answers.zip

archive

Конечная конфигурация