1. Используйте в качестве VTI интерфейс Tunnel100

2. На каждом интерфейсе установите значение MTU равное 1400

3. На каждом интерфейсе установите значение максимального сегмента TCP равное 1360

4. Используйте адресацию в соответствии с VPN-диаграммой

5. Режим — GRE Multipoint

6. Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.

7. Настройки NHRP:

   1. Идентификатор сети — 100

   2. Ключ аутентификации — wsr2017

8. В качестве DMVPN-хабов и NHS-серверов используйте маршрутизаторы HQ1 и HQ2.

9. Spoke-маршрутизаторы не должны использовать hub-маршрутизаторы для связи друг к другом

1. На межсетевых экранах FW1, FW2 и маршрутизаторе BR3 настройте IKEv2 IPsec Site-to-Site VPN

   1. Параметры политики первой фазы:

      1. Проверка целостности – SHA-256

      2. Шифрование – AES-192

      3. Группа Диффи-Хэлмана – 14

      4. Псевдо-случайная функция - SHA

   2. Параметры преобразования трафика для второй фазы:

      1. Протокол – ESP

      2. Шифрование – AES-256

      3. Проверка целостности – MD5

   3. Параметры аутентификации

      1. Между FW1 и BR3 используйте аутентификацию по цифровому сертификату со стороны FW1 и по паролю cisco123 со стороны маршрутизатора BR3.

      2. Между FW2 и BR3 используйте аутентификацию по паролю cisco123 со стороны FW2 и по цифровому сертификату со стороны маршрутизатора BR3.

      3. Для аутентификации используйте цифровые сертификаты, полученные от маршрутизатора HQ2.

   4. Трафик, разрешенный к передаче через IPsec-туннель

      1. Между FW1 и BR3 только TCP трафик с любого порта адресов из подсети LAN к адресу интерфейса Loopback30 маршрутизатора BR3 на порт 10666

      2. Между FW2 и BR3 только TCP трафик с любого порта адресов из подсети VOICE2 к адресу интерфейса Loopback30 маршрутизатора BR3 на порт 10666.

2. На межсетевых экранах FW1 и FW2 настройте IKEv1 IPsec Site-to-Site VPN

   1. Параметры политики первой фазы:

      1. Проверка целостности – md5

      2. Шифрование – AES

      3. Группа Диффи-Хэлмана – 5

   2. Параметры преобразования трафика для второй фазы:

      1. Протокол – esp

      2. Шифрование – AES

      3. Проверка целостности – MD5

   3. В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан

      1. только UDP трафик с портов 16384 - 32767 с любого адреса подсети VOICE1 к любому адресу из подсети VOICE2 на порты 16384 - 32767

      2. только UDP трафик с портов 16384 - 32767 с любого адреса подсети VOICE2 к любому адресу из подсети VOICE1 на порты 16384 - 32767

   4. Используйте аутентификацию по цифровым сертификатам (используйте сертификаты, полученные от маршрутизатора HQ2)

3. На межсетевом экране FW1 настройте возможность подключения удаленных клиентов с помощью SSL-VPN

   1. Создайте на FW1 локального пользователя vpnuser

   2. Клиенты должны подключаться с помощью клиента AnyConnect, образ которого находится во флеш-памяти межсетевого экрана FW1.

   3. Настройте выдачу адресов для клиентов из диапазона 10.255.255.1 - 10.255.255.30

   4. Создайте два профиля подключения — VPN и Gateway

   5. При выборе профиля VPN пользователь должен получать список безопасных маршрутов, включающих в себя сети LAN, VOICE1 и EDGE

   6. При выборе профиля Gateway весь трафик клиента должен туннелироваться через SSL-VPN

Конфигурация подсистемы телефонной связи

На маршрутизаторах HQ2 и BR2 настройте Call Manager Express со следующими параметрами:

User	Site	Line	Extension	Dual-Line	Call waiting	Device
John Doe	HQ	1	101	Yes	Yes	Softphone
		2	103	No	-
Jane Doe	HQ	1	102	Yes	No	IP Phone
		2	103	No	-
John Snow	BR2	1	201	No	No	IP Phone
Your Mom	BR2	1	202	No	No	IP Phone

1. Назначьте имена HQ2-CME и BR2-CME для каждого сайта соответственно. Каждое имя должно отображаться на IP-телефоне или софтфоне в зависимости от того, на каком сайте они зарегистрированы.

2. Настройте IP-телефоны таким образом, чтобы на экране отображалось имя вместо номера. Убедитесь в том, что при звонке также отображается имя, а не номер телефона.

3. Настройте возможность перенаправлять звонки на другие номера.

4. Настройте Music-on-Hold на сайте HQ. Используйте файл MOH.wav.

5. John Doe и Jane Doe также разделяют между собой номер 103. При звонке на этот номер оба телефона должны звонить. Если один из телефонов отвечает на звонок, на втором телефоне должно быть видно, что линия 103 занята.

6. На сайте HQ настройте Call Park на номер 100 для того чтобы любой пользователь мог удержать вызов, после чего любой другой пользователь мог перевести на себя удержанный вызов позвонив на номер 100.

7. Настройте сервис локальной директории таким образом, чтобы пользователи могли отыскать необходимый номер любого сайта в телефонной книге.

8. Настройте конференц-связь поддерживающую как минимум трех участников для группового звонка.

9. На телефоне John Doe настройте третью линию для интеркома на телефон John Snow. При нажатии данной кнопки телефон John Snow должен автоматически отвечать в режиме громкоговорителя (speakerphone) с выключенным микрофоном (Mute).

10. На HQ-CME настройте правило трансляции. При звонке на номер 89129221488 вызов должен идти на номер 201.

11. На BR2-CME настройте Paging на номер 203. Оба телефона на сайте BR2 должны получать вызов при звонке на данный номер.

12. На BR2-CME настройте Speed Dial номер 911 для вызова Your Mom

Network Island. L1 Topology

	Условные обозначения Ethernet IEEE 802.1Q trunk
	Ethernet IEEE 802.3 access port Etherchannel (способ формирования канала указан в задании)

Network Island. L2 Topology

Network Island. L3 Topology

Network Island. WAN & VPN Topology

Network Island. Routing diagram