Avaliação de habilidades PT de prática SRWE (PTSA) - Parte 2

Objetivos

Nesta avaliação, você configurará o seguinte:

= Rotas estáticas e padrão flutuantes em IPv4 e IPv6.

= Rotas de host em IPv4 e IPv6.

= pools e escopos DHCP.

= Mude a segurança, incluindo a segurança da porta.

= Segurança de LAN aprimorada com espionagem de DHCP, inspeção dinâmica de ARP, PortFast e
proteção de BPDU.

= LAN sem fio baseada em controlador de LAN sem fio com autenticação corporativa.

Você configurará apenas os roteadores R-1-A e R-B-10, o switch Sw-A e o controlador de LAN sem fio
WLC-10. O acesso a outros dispositivos não está disponível.

Antecedentes / Cenário

A Cisco Demo LLC está reformulando sua rede. Você foi solicitado a criar um protótipo da rede no
Packet Tracer para avaliação pela equipe sênior de rede.

Instruções

Parte 1: Configurar a segurança do switch

Nesta parte da avaliação, você configurará o switch Sw-A com os recursos de segurança do switch. As
portas de switch FastEthernet0/1 a FastEthernet0/5 são as portas de switch ativas. A porta
GigabitEthernet0/1 é um link dedicado ao roteador R-1-A. Todas as outras portas devem ser
protegidas.

Etapa 1: Configurar VLANs

a. Configure VLAN 10 com usuários de nome.

b. Configure a VLAN 999 com o nome não utilizado.

Etapa 2: Configurar portas de switch ativas.

Nas portas de switch ativas, configure o seguinte:

a. Configure FastEthernet 0/1 a 0/5 e GigabitEthernet 0/1 como portas de acesso estático na VLAN 10.

b. Ative a segurança de porta nas portas.

1) Configure as portas ativas para aceitar no máximo 4 endereços MAC.

2) Se ocorrer uma violação, configure as portas para descartar quadros do endereço MAC não
autorizado, registre-o e envie um alerta.

3) Os endereços MAC devem estar presentes na tabela de endereços MAC por no máximo 10 minutos
antes de serem removidos.

4) As portas devem adicionar os endereços MAC aprendidos à configuração em execução.

5) Configure o endereço MAC de HQ-1-1 como um endereço estático na porta FastEthernet0/1.

c. Proteger contra espionagem de DHCP.

Nota: Nesta rede simulada, o rastreamento de DHCP pode não funcionar corretamente no Packet
Tracer. Configure-o normalmente. Você receberá crédito total por uma configuração que atenda aos
requisitos abaixo.

1) Ative a espionagem DHCP globalmente.

2) Ative a espionagem DHCP para as duas VLANs que você configurou.

3) Configure as portas para limitar a taxa a 5 pacotes DHCP por segundo.

4) Configure a porta que conecta ao roteador como confiável.

d. Proteja-se contra ataques ARP implementando DAI.

1) Ative o DAI globalmente.

2) Ative DAI nas duas VLANs.

3) Configure a porta que conecta ao roteador como confiável.

e. Reduza ataques STP configurando BPDUguard e PortFast nas portas ativas.

Etapa 3: Proteger portas de switch não utilizadas.

a. Mova todas as portas de switch não utilizadas para a VLAN 999.

b. Configure todas as portas de switch não utilizadas como portas de acesso estático.

c. Desative todas as portas de switch não utilizadas.

Parte 2: Configurar endereçamento e DHCP

Você configurará o DHCP e o endereçamento de interface no roteador R-B-10 para preparar a

implementação da rede do controlador LAN sem fio.

Etapa 1: Configurar e endereçar uma subinterface para a rede WLAN do usuário.

a. Configure a subinterface 10 na interface do roteador que está conectada ao switch Sw-D.

b. O roteador deve fornecer roteamento de roteador em bastão para VLAN 10.

c. Configure a subinterface com o endereço da Tabela de Endereçamento.

Etapa 2: Configurar um pool DHCP para a rede WLAN do usuário.

a. Exclua o endereço da interface do roteador e o endereço de gerenciamento do WLC.

b. Configure um pool de DHCP que será usado pelos hosts que estão se conectando à WLAN.

1) Nomeie o pool de hosts WLAN.

2) Configure o pool para usar endereços na rede 192.168.10.0/24.

3) O pool também deve fornecer o gateway padrão e os endereços do servidor DNS.

Etapa 3: Configurar uma interface como um cliente DHCP.

No R-B-10, configure a interface que está conectada ao Edge Router para receber seu endereço por
DHCP.

Parte 3: configurar rotas estáticas

Nesta parte da avaliação, você configurará rotas estáticas, padrão, flutuantes estáticas e de host em
IPv4 e I Pv6. Você configurará os roteadores R-1-A e R-B-10. A Cisco Demo LLC decidiu que deseja usar
o roteamento estático entre todas as suas redes. Além disso, a empresa deseja usar os links Ethernet
entre os roteadores para a maior parte do tráfego de dados e reservar o link serial entre R-1-A e R-B-
10 para fins de backup caso um dos links Ethernet fique indisponível. Você configurará rotas
flutuantes estáticas e padrão.

Etapa 1: Configurar rotas estáticas em R-1-A.

a. Configure as rotas padrão do IPv4 para a nuvem usando o link Ethernet como o link preferencial e o
link serial como o backup flutuante. Use uma distância administrativa de 10 para a rota de backup.
Essas rotas devem ser configuradas como rotas conectadas diretamente.Â

Nota: As interfaces Ethernet darão um aviso quando configuradas sem um endereço de próximo
salto. Nessa configuração, a interface é ponto a ponto, portanto, o aviso pode ser ignorado.

b. Configure rotas estáticas IPv4 para a rede de usuário Village Branch LAN WLAN seguindo as
mesmas diretrizes acima para tipo de rota e distância administrativa.

c. Configure uma rota de host IPv4 em R-1-A para o servidor O-S-10 na LAN da prefeitura. Crie uma
rota conectada diretamente.

Observação: para fins desta avaliação, insira as rotas estáticas IPv4 na seguinte ordem:

1) rota padrão do IPv4

2) Rota padrão flutuante IPv4

3) Rota do host IPv4

4) Rota estática IPv4 para Village Branch LAN

5) Rota estática flutuante IPv4 para Village Branch LAN

d. Certifique-se de que o dispositivo esteja configurado para rotear IPv6.

e. Configure as rotas padrão do IPv6 para a nuvem. Use o link Ethernet como rota principal e o link
serial como backup flutuante. Use uma distância administrativa de 10 para a rota de backup. Essas
rotas devem especificar o endereço da interface do próximo salto.

f. Configure uma rota de host IPv6 em R-1-A para o servidor O-S-10 na LAN da prefeitura. Deve ser
uma rota de próximo salto.

Observação: para fins desta avaliação, insira as rotas estáticas IPv6 na seguinte ordem:

1) rota padrão do IPv6

2) Rota padrão flutuante IPv6

3) Rota do host IPv6

Etapa 2: Configurar rotas estáticas no R-B-10.

O R-B-10 também deve ser configurado com rotas estáticas para as outras três redes na rede Cisco
Demo LLC. Isso exigirá rotas estáticas e padrão flutuantes em IPv4 e IPv6 seguindo as mesmas
diretrizes usadas para as rotas estáticas R-1-A.

o As rotas IPv6 usam argumentos de endereço do próximo salto.

o Rotas IPv4 usam argumentos de interface de saída.

o Todas as rotas devem preferir os links Ethernet sobre o link serial.

o As rotas flutuantes de backup usam uma distância administrativa de 10.

a. Configure as rotas padrão do IPv4 para a nuvem usando o link Ethernet como o link preferencial e o
link serial como backup.

Observação: para fins desta avaliação, insira as rotas estáticas IPv4 na seguinte ordem:

1) rota padrão do IPv4

2) Rota padrão flutuante IPv4

b. Certifique-se de que o dispositivo esteja configurado para rotear IPv6.

c. Configure as rotas padrão do IPv6 para a nuvem. Use o link Ethernet como rota principal e o link
serial como backup. Use uma distância administrativa de 10 para a rota de backup. Essas rotas devem
especificar o endereço da interface do próximo salto.

Observação: para fins desta avaliação, insira as rotas estáticas IPv6 na seguinte ordem:

1) rota padrão do IPv6

2) Rota padrão flutuante IPv6

Parte 4: Configurar uma LAN sem fio usando um controlador de LAN sem fio

Nesta parte da avaliação, você configurará o controlador de LAN sem fio para fornecer acesso sem fio
à rede. O nome de usuário e a senha são admin/admin padrão. Conecte ao WLC sobre HTTPS à
interface de gerenciamento.

Etapa 1: Configurar uma interface VLAN.

a. Crie uma nova interface e nomeie-a como WLAN 10. A interface deve usar a VLAN 10 e a porta
física 1.

b. Use as informações na tabela de endereçamento para definir as configurações de endereçamento

da interface. A interface usará um pool de DHCP configurado na subinterface atribuída à VLAN 10 no
roteador R-B-10.

Etapa 2: Configurar um servidor RADIUS.

a. Configure o WLC com o endereço IPv4 do servidor RADIUS.

b. Use um segredo compartilhado de RADsecret.

Etapa 3: Configurar uma LAN sem fio.

a. Crie uma nova WLAN. Nomeie-o como WLAN 10 e configure o SSID como SSID-10.

b. A LAN sem fio deve usar a interface VLAN que foi configurada anteriormente.

c. Configure a WLAN para usar a política de segurança WPA2 e o gerenciamento de chave de

autenticação dot1x.

d. Configure a WLAN para usar o servidor RADIUS que foi configurado anteriormente para autenticar
usuários sem fio.

e. Abra a guia Avançado e role para baixo até as seções Flexconnect. Ative FlexConnect Local
Switching e FlexConnect Local Auth.

f. Verifique se a WLAN está configurada e operacional.

Etapa 4: Configurar um escopo DHCP para a rede de gerenciamento.

Configure um novo escopo DHCP para ser usado pelos LAPs e outros dispositivos de gerenciamento
na rede.

a. Nomeie o escopo DHCP como Wired_Admin.

b. Inicie o escopo no endereço 192.168.100.240. Termine o escopo no endereço 192.168.100.249.

c. Outras informações necessárias podem ser encontradas na Tabela de Endereçamento.

Etapa 5: Configurar um servidor SNMP.

Configure um servidor SNMP para receber traps do WLC.

a. Use o nome de comunidade branch-wireless.

b. Use 172.16.1.100 como o endereço do servidor.

Etapa 6: Configurar o host sem fio.

Configure o laptop LT-1 para se conectar à WLAN.

a. Crie um novo perfil wireless no host. Use o nome rede de trabalho para o perfil.

b. Configure o perfil para o SSID da WLAN.

c. Use a autenticação corporativa com um nome de usuário user1 e senha user1Pass.

d. Quando terminar, clique em Conectar à rede. Levará algum tempo para que a conexão seja
estabelecida.