Курсовая работа / Пример курсоыой Ikb-72
.pdfНа основе этих сведений, получим на границе между уровнем доступа и распределения следующие значения переподписки для Москвы:
8*1000/1*1000 = 8:1 => 1:8 Трибуна 1/2/3 – 3*1000/1*1000=3:1 => 1:3
Для СПБ:
на границе между уровнем доступа и распределения:
12*1000/1*1000 = 12:1 => 1:12
На границе между уровнем распределения и ядра:
Для каждого 1*1000/1*1000 = 1:1 => 1:1
Отказоустойчивость на уровне распределения
В рамках курсового проекта для достижения отказоустойчивости на уровне распределения был выбран протокол HSRP.
HSRP (Hot Standby Router Protocol) – это проприетарный протокол компании Cisco Systems, который предназначен для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путем объединения маршрутизаторов в группу и назначения им общего виртуального IP-адреса. Назначенный IP и будет использоваться как шлюз по умолчанию.
В терминологии HSRP-протокола существуют несколько основных понятий (терминов):
Активный маршрутизатор (Active Router) — маршрутизатор или маршрутизирующий коммутатор третьего уровня, выполняющий роль виртуального маршрутизатора и обеспечивающий пересылку пакетов из одной подсети в другую;
Резервный маршрутизатор (Standby Router) — маршрутизатор или маршрутизирующий коммутатор третьего уровня, выполняющий роль резервного виртуального маршрутизатора, ожидающего отказа активного маршрутизатора в рамках одной HSRP группы;
Группа резервирования (Standby Group) — группа маршрутизаторов или маршрутизирующих коммутаторов третьего уровня, которые являются членами одной HSRP-группы и обеспечивают работу и отказоустойчивость виртуального маршрутизатора;
Из группы маршрутизаторов HSRP выбирает один активный и один standby маршрутизаторы. Остальные маршрутизаторы выступают как просто члены группы. Активный маршрутизатор отвечает за пересылку пакетов. Standby-маршрутизатор займет место Активного маршрутизатора в случае отказа последнего. Маршрутизатор с наибольшим приоритетом, из оставшихся членов группы, в этом случае, будет выбран в качестве Standby.
31
Выборы проводятся на основании приоритета маршрутизатора, который может изменяться в пределах от 1 до 255. Приоритет может быть назначен вручную, что позволяет влиять на процесс выбора. Если системный администратор не определил приоритет, используется значение по умолчанию, равное 100. Если ни одному из маршрутизаторов в группе не был назначен приоритет, то приоритеты всех маршрутизаторов совпадут и активным в этом случае станет маршрутизатор с наибольшим IP-адресом интерфейса, на котором настроен HSRP. В процессе работы Активный и Standby маршрутизаторы обмениваются hello-сообщениями.
Произведём настройку отказоустойчивости на уровне распределения:
Настройка Standby на интерфейсе Fa0/2 на L3 коммутаторе 6 :
Настройка Standby на интерфейсе Fa0/6 на L3 коммутаторе 7 :
Расстановка приоритета для определения активного коммутатора:
32
Активный L3 коммутатор 6:
Благодаря протоколу HSRP была произведена настройка отказоустойчивости на уровне распределения. В качестве активного коммутатора был выбран L3 коммутатор 6, а в качестве резервного был выбран L3 коммутатор 7.
Протокол OSPF
В качестве протокола маршрутизации должен использоваться OSPF. Необходимо выделить устройства, на которых будет применяться протокол, и описать внедрение OSPF в ваш разрабатываемый проект.
Протокол OSPF (Open Shortest Path First) вычисляет маршруты в IP-
сетях, сохраняя при этом другие протоколы обмена маршрутной информацией. Может использоваться на оборудовании различных производителей сетевого оборудования. Его преимущества заключаются в том, что он надежен, прост в настройке, легко масштабируется, возможность разделения на зоны позволяет снизить нагрузку на CPU маршрутизаторов за счет уменьшения количества перерасчетов по алгоритму SPF, а также уменьшить размер таблиц маршрутизации, за счет суммирования маршрутов на границах зон.
Данный протокол устанавливается на граничных маршрутизаторах граничащих. Рассмотрим подробнее какие роутеры участвуют в конфигурации.
ISP – маршрутизатор провайдера, он не входит в зону нашей ответственности и в OSPF процессе не участвует
33
R1 – наш пограничный маршрутизатор, он должен обеспечить пропуск трафика из внутренних сетей к провайдеру и обратно. На нём следует настроить статический маршрут по умолчанию и передать его остальным маршрутизаторам с помощью OSPF
R2, R3, R4 и R5 – внутренние маршрутизаторы каждый из них отвечает за некую локальную сеть (10.55.0.0, 172.16.1.0 и 172.16.2.0 и 172.16.64.0).
На каждом маршрутизаторе необходимо создать процесс OSPF командой router ospf номер-процесса, какой именно номер мы укажем – не имеет значения, для простоты будем везде использовать 1.
Далее надо описать все сети, входящие в процесс маршрутизации с помощью команды network. Когда мы указываем некоторую сеть, это приводит к двум последствиям:
Информация об этой сети начинает передаваться другим маршрутизаторам (при условии, что на маршрутизаторе есть рабочий интерфейс в данной сети)
Через интерфейс, находящийся в этой сети маршрутизатор начинает общаться с соседями.
Таким образом, необходимо указывать на каждом маршрутизаторе все сети, непосредственно подключенные к нему. Исключением является R1 – на нём не надо указывать сеть, где с находится провайдер, который ничего не знает про наш внутренний OSPF и так как с ним не надо устанавливать соседских отношений (он просто прописывает статический маршрут в наши сети), к провайдеру итак пойдёт маршрут по умолчанию, поэтому именно про эту сеть никому из внутренних маршрутизаторов знать не обязательно.
Пример конфиграции:
R1(config)#router ospf 1
R1(config-router)#network 10.55.0.0 0.0.255.255 area 0 R1(config-router)#network 172.16.1.0 0.0.0.255 area 1 R1(config-router)#network 172.16.2.0 0.0.0.255 area 2 R1(config-router)#network 172.16.64.0 0.0.63.255 area 3
При добавлении сетей используется wildcard маска, обратная к маске подсети.
После того как мы пропишем с двух сторон одну и ту же сеть, маршрутизаторы сразу же установят соседские отношения. Так же мы прописали нашу «локальную» сеть чтобы сообщить маршрутизаторам о ней. Список соседей можно увидеть с помощью команды show ip ospf neighbor
Диагностика OSPF
После установки маршрутизаторами друг с другом соседских отношений, посмотрим снова на таблицу соседей, где будет видно, что:
34
1.Все соседи выбрали себе Router ID – в данном случае это наибольший из адресов их loopback интерфейсов
2.Через какой именно интерфейс доступны соседи.
Эта команда важна для диагностики OSPF и именно с неё надо начинать диагностику, так как, если маршрутизатор отсутствует в таблице соседей, то это один класс проблем (перепутали ip адреса, не включили нужную сеть командой network, не включили интерфейс командой no shutdown, не совпадают значения Hello-интервалов с двух сторон линка). Если же маршрутизатор есть в таблице соседей, значит, скорее всего, сам OSPF работает нормально и надо проверить таблицу маршрутизации (show ip route).
Если все маршруты появились в таблице с буквой «O», что означает работоспособность OSPF нам не хватает только маршрута по умолчанию, но об этом позже. «O» означает, что маршрут получат с помощью OSPF, «*» – что он является маршрутом по умолчанию, а «E2» – что маршрут является внешним по отношению к OSPF, то есть изначально он получен не от OSPF (в данном случае был статическим), а OSPF используется только для передачи этого маршрута.
Ещё одна полезная команда позволяет нам посмотреть содержимое LSDB – то есть, кто где с кем связан. По сути, это и есть полная карта сети
(show ip ospf database).
Passive-interface
При настройке динамической маршрутизации на оборудовании Cisco, необходимо указать, какие интерфейсы входят в процесс маршрутизации. Этот общий принцип, не зависящий от того, какой именно протокол маршрутизации мы используем.
Выбор таких интерфейсов выполняется по-разному для IPv4 и IPv6. В случае использования протокола для IPv4 нужно зайти в раздел настройки маршрутизатора и написать там команду network с указанием сети, подключенной к данному маршрутизатору (уже указали выше).
Этим действием мы указываем на два момента:
1.Информация об этой сети начинает передаваться другим маршрутизаторам (при условии, что на маршрутизаторе есть рабочий интерфейс в данной сети)
2.Через интерфейс, находящийся в этой сети маршрутизатор начинает общаться с соседями.
Каким бы способом мы ни добавляли интерфейс, какой бы протокол маршрутизации мы ни использовали, добавление некоторого интерфейса приводит к указанным выше двум вещам. Однако, часто бывает ситуация, когда мы хотим рассказывать другим маршрутизаторам про некоторую сеть, но в неё мы не хотим слать апдейты, то есть, первый пункт нас устраивает, а второй – нет. Это обычно происходит в случае, когда сеть является тупиковой,
35
за ней нет других маршрутизаторов – только пользователи и нам не хочется чтобы они видели апдейты от маршрутизаторов, так как это потенциально может привести к проблемам безопасности. Кроме того, если не настроена аутентификация, то пользователь может отправлять нам фиктивные апдейты из своей сети и повлиять на работу маршрутизации.
Мы не можем решить эту проблему просто убрав соответствующую сеть (в IPv4) или убрать соответствующий интерфейс в (IPv6), так как в этом случае маршрутизатор перестанет рассказывать остальным про эту сеть и маршруты
внеё исчезнут (то есть, вместе с пунктом два мы убираем и пункт один).
Вкачестве решения применяется команда passive-interface. Она запрещает слать апдейты протокола маршрутизации через некоторый интерфейс. Команда работает со всеми протоколами маршрутизации. То есть, мы включаем интерфейс, смотрящий в пользовательскую сеть в процесс маршрутизации, но запрещаем слать на него апдейты командой passiveinterface. Например, если на маршрутизаторе есть сеть 172.16.1.0/24, на интерфейсе Fastethernet0/0, в которой нет других маршрутизаторов, а располагаются только конечные устройства пользователей, то для OSPF настройка будет выглядеть так:
(config-router)#passive-interface FastEthernet 0/0
Передача статического маршрута по умолчанию средствами OSPF
Последняя задача, которую необходимо решить – сообщить всем внутренним маршрутизаторам о том, что у нас есть маршрут по умолчанию, смотрящий на провайдера. Задача эта решается достаточно просто на R1:
R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1 R1(config)#router ospf 1 R1(config-router)#default-information originate
Первая строчка добавляет статический маршрут по умолчанию в направлении ISP, но этот маршрут пока локальный, то есть он известен только на R1. Команда default-information originate заставляет OSPF передавать этот маршрут остальным маршрутизаторам.
Настройка Radius аутентификации с Windows Server 2016 NPS (Network Policy Server)
Рассмотрим настройку Radius аутентификации на Cisco устройствах, посредством службы Политики сети и доступа (Network Policy Server) на
Windows Server 2012 R2.
36
Добавление роли, настройка Active Directory
Добавляем роль, переходим в Диспетчер серверов — Управление — Добавить роли и компоненты.
•Выбираем роль (Службы политики сети и доступа)
•Выбираем службу ролей (Сервер политики сети)
Для завершения установки роли, нажимаем Установить и дожидаемся установки компонента, после чего нажимаем Завершить.
В Active Directory необходимо создать группу безопасности (прим. NPS_Cisco) и включить в нее пользователей кому будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.
Настройка Network Policy Server
Открываем оснастку Сервер политики сети (Network Policy Server).
Для полноценного использования функций NPS-сервера в домене, выполним регистрацию его в Active Directory. В оснастке на NPS (Локально), нажимаем правой кнопкой мыши и выбираем Зарегистрировать сервер в
Active Directory (Register server in Active Directory):
Подтверждаем регистрацию сервера в Active Directory.
После регистрации NPS в Active Directory, добавим клиента RADIUS. На строке RADIUS-клиенты и серверы (RADIUS Clients and Servers) щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):
Во вкладке «Параметры» вводим Понятное имя (Friendly name), IP-
адрес (Address) и Общий секрет (Shared Secret). Во вкладке «Дополнительно» указываем Имя поставщика (Vendor name) — Cisco
Значение в поле Понятное имя (Friendly name) может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.
Раскрываем ветку Политики (Policies) — Сетевые политики (Network Policies) и щелкаем правой кнопкой мыши и выбираем Новый документ
(NEW):
Задаем Имя политики (Policy name), Тип сервера доступа к сети (Type of network access server) оставляем без изменения:
37
Задаем условия, которые должны соответствовать для успешной аутентификации. Создадим два условия:
•Группы пользователей (указываем ранее созданную в Active Directory группу безопастности)
•Понятное имя клиента (указываем дружественные имена, начинающиеся с префикса CISCO)
Результат добавления условий:
Указываем разрешение доступа, оставляем значение Доступ разрешен
(Access Granted).
Cisco поддерживает только методы Проверка открытым текстом
(PAP, SPAP) (Unencrypted authentication (PAP, SPAP)). Снимаем все флажки и отмечаем только Проверка открытым текстом (PAP, SPAP) .
После настройки методов проверки подлинности вам будет предложено настроить Ограничения (Constraints), пропускаем этот раздел и переходим к следующему шагу.
Настройка параметров (Configure Settings), переходим в Атрибуты
RADIUS (RADIUS Attributes) — Стандарт (Standard). Удаляем имеющиеся там атрибуты и нажимаем Добавить… (Add…)
Тип доступа выбираем Service-Type, нажимаем Добавить, выставляем значение атрибута Login переходим в Атрибуты RADIUS (RADIUS Attributes) — Зависящие от поставщика (Vendor Specific), добавляем новый атрибут, и нажимаем Добавить… (Add…)
В пункте Поставщик (Vendor), указываем Cisco и нажимаем Добавить… (Add…). Будет предложено добавить сведения об атрибуте, нажимаем Добавить… (Add…) и устанавливаем значение атрибута:
38
shell: priv-lvl = 15
В итоге должно получится как изображено ниже. Нажимаем Далее
(Next).
Представление сводки новой политики, которая была сформирована. Нажимаем Готово (Finish)
После создания политики, можно переходить к настройке маршрутизаторов и коммутаторов Cisco для аутентификации на сервере
Radius NPS.
Настройка Cisco IOS AAA
Сперва настроим локальную учетную запись (прим. admin), на случай выхода из строя RADIUS-сервера, выполняем команды:
cisco(config)#username admin priv 15 secret Aa1234567
Выполняем последовательность действий по добавлению RADIUSсервера:
•Включаем режим AAA
•Добавляем RADIUS-сервер
•Настраиваем профиль аутентификации (сперва RADIUS-сервер, если он не доступен, то тогда локальные учетные записи)
•Настраиваем профиль авторизации (сперва RADIUS-сервер, если он не доступен, то тогда локальные учетные записи)
•Включаем аутентификацию на интерфейсах
Пример настройки cisco(config)#aaa new-model
39
cisco(config)#radius server NPS cisco(config-radius-server)#address ipv4 10.10.10.1 auth-port 1645 acct-port 1646 cisco(config-radius-server)#key CISCO cisco(config-radius-server)#exit
cisco(config)#aaa group server radius NPS cisco(config-sg-radius)#server name NPS cisco(config-sg-radius)#exit
cisco(config)#aaa authentication login NPS group NPS local
cisco(config)#aaa authorization exec NPS group NPS local cisco(config)#aaa authorization console
cisco(config)#line console 0 cisco(config-line)#authorization exec NPS cisco(config-line)#login authentication NPS
cisco(config)#line vty 0 4 cisco(config-line)#session-timeout 30 cisco(config-line)#authorization exec NPS cisco(config-line)#login authentication NPS cisco(config-line)#transport input ssh
cisco(config)#line vty 5 15 cisco(config-line)#session-timeout 30 cisco(config-line)#authorization exec NPS cisco(config-line)#login authentication NPS cisco(config-line)#transport input none
Выбор архитектуры
Cisco FlexConnect - это беспроводное решение, предназначенное главным образом для развертываний, которые состоят из нескольких небольших удаленных филиалов, подключенных к центральному. FlexConnect предоставляет очень экономичное решение, позволяющее организациям настраивать и контролировать точки доступа удаленного узла из штабквартиры через глобальную сеть без развертывания контроллера на каждом удаленном узле. AP Cisco, работающие в этом режиме, могут переключать трафик даннных клиента через локальный проводной интерфейс и могут использовать соединительные линии 802,1Q для сегментирования нескольких WLAN. Собственная VLAN магистрали используется для всей связи CAPWAP между AP и контроллером. Этот режим работы называется локальным переключением FlexConnect.
40