\begin{figure}[ht]
  \includegraphics[width=1\textwidth]{res/image}
  \caption{Zadanie\ -\ topológia}
  \label{topo}
\end{figure}

\vspace{20pt}

\noindent
\textbf{Pro připojení k WAN použijte prvek NAT.}

\vspace{20pt}

\noindent
Pro router použijte šablonu: \textbf{Dle svého výběru v anketě v tomto týdnu}\\
Pro switche šablonu: \textbf{cisco-IOS-L2.7z}\\
Pro automat-COLA: \textbf{Toolbox}\\
Pro DNSpublic: \textbf{DNS}\\
Pro Servery: \textbf{Toolbox}\\
Pro AAA: \textbf{Radius}\\
Pro koncové PC: \textbf{Firefox 31.1.1~2}\\

\noindent
\textbf{Šablony jsou ke stažení v sekci SW v úvodu kurzu.\\
\\
Pro ověřování nastavení 802.1x můžete použít jako koncové zařízení Windows 10.}

\vspace{20pt}
\hrule
\vspace{20pt}

\noindent
Řešíte připojení menší sítě do Internetu. Na routeru budete mít 6 interface.

\vspace{20pt}

\noindent
V síti budou nastaveny bezp. mechanismy:
\begin{itemize}
  \item na koncových portech max. 2 MAC adresy (narušení = shutdown portu 120s)
  \item aktivní DHCP Snooping - autorizovaným DHCP serverem bude \textbf{CoreRouter}
  \item ARP inspection (narušení = shutdown portu 300s)  
\end{itemize}

\vspace{20pt}

\noindent
\textbf{Pravidla provozu:}
\begin{itemize}
  \item VLAN-HOST a wifi pro hosty může pouze do Internetu.
  \item Uživatelům \textbf{VLAN-HOST} zamezte komunikaci s \textbf{Automat-Cola}
  \item DMZ má přístup omezen na porty:
  \begin{itemize}
    \item z Internetu: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25
    \item z Interní sítě: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25, TCP 22(pouze
  \end{itemize}
    stroj \textbf{IT-01}), TCP 9090 (pouze stroj \textbf{IT-01})
  \item K síti Intranet ma přístup pouze síť zaměstnanců (LAN i Wifi).
  \item Na switchi \textbf{INTRA} nastavte ARP inspection a port security tak, aby se k nim mohly připojit(fyzicky) pouze servery, které tam máte nastavené - pokud by někdo server odpojil a připojil tak např. NTB, port se vypne a zůstane vypnutý. Stejně se port zachová i při jakémkoliv MiTM útoku.
  \item Na zásuvce \textbf{Staff e0/1} zamezte připojení jiného PC než je \textbf{IT-01}. Pokud tam připojíte jiný VM, nebude s ním síť komunikovat (natrvalo).
  \item U zaměstnanců nastavte autentizaci PC pomocí \textbf{802.1X}. Otestujte nastavení proti radius serveru s účty Alice  a BOB
  \item Pro IT oddělení vytvořte nový 802.1X účet na Radius serveru. Autentizace bude nastavena s loginem: it-novak, passwd: 65+123sPL-22
  \item Porty, které nejsou osazeny koncovými stanicemi/servery jsou vypnuté.
  \item Nastavte administraci aktivních prvků (telnet/SSH),  vytvořte účty pro administraci(zabezpečte default účty) a  nastavte aby se na administraci aktivních prvků se službou SSH/Telnet dostal pouze počítač IT-01
  \item \textbf{Na management prvků infrastruktury} (VLAN management) se
    dostane \textbf{pouze PC IT-01}
\end{itemize}

\vspace{20pt}

\noindent
\textbf{IP rozsahy:}
\begin{itemize}
  \item DMZ: 192.168.100.0/25 (DHCP bude přidělovat od IP x.x.x.31 - ) - servery budou mít rezervovanou výpůjčku (10-30)
  \item Intranet: 192.168.255.0/25 (DHCP bude přidělovat od IP x.x.x.61 - ) - servery budou mít rezervovanou výpůjčku (10-30)
  \item VLAN-HOST: 10.0.10.0/23 (DHCP bude přidělovat od IP x.x.11.1 - )
  \item Interni sit: 192.168.10.0/22  (DHCP bude přidělovat od IP x.x.10.51 - )
  \item Wifi síť pro hosty: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 50 zařízení.
  \item Wifi síť pro zaměstnance: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 800 zařízení.
  \item VLAN pro management prvků(routerů, switchů, APček,...): předpoklad, cca. 100 zařízení.
  \item AAA,DNS a MAIL server bude mít natavenu IP ručně(staticky), ostatní servery pomocí statických leasů z DHCP.
\end{itemize}

\vspace{20pt}

\noindent
\textbf{Doplňte:}
\begin{itemize}
  \item Doplňte do schématu monitorovací server pro monitoring aktivních prvků (Prvek: Toolbox).  
  \item Umístění zvolte tak aby mohl přistupovat přes SNMP ke switchům a routerům, a pomocí zabbix agenta k serverům.
  \item \textbf{Zabbix} bude mít ručně nastavenou statickou IP.
  \item Komunikace mezi Zabbixem a monitorovanými prvky musí být chráněna před
    odposlechem a manipulací (\textbf{izolovaná})
  \item k Zabbixu se bude moct dostat pouze počítač IT-01 a to pouze na portu TCP 22,443.
  \item navrhněte strategii/konfiguraci, které by řešila následující situaci:
  \begin{itemize}
    \item V případě potřeby je nutné s minimem konfigurace připojit Wifi AP ke
      kterémukoliv volnému protu na switci \textbf{STAFF}
    \item na AP mohou být vysílány sítě jak pro \textbf{HOSTY}, tak i pro \textbf{ZAMĚSTNANCE}.
    \item Každé AP bude mít svoji IP adresu pro namagement.
  \end{itemize}
\end{itemize}