- •Реферат
- •Задание
- •Содержание
- •Введение
- •1. Разработка физической схемы сети
- •1.1 Выбор топологии сети
- •1.2 Разработка физической схемы глобальной сети
- •1.3 Разработка физической схемы локальной сети
- •2. Разработка логической схемы сети
- •2.1 Разработка схемы адресации
- •2.2 Разработка логической схемы глобальной сети
- •2.3 Разработка логической схемы локальной сети
- •3. Выбор активного сетевого оборудования
- •3.1 Выбор маршрутизатора ядра
- •3.2 Выбор маршрутизатора кампуса
- •3.3 Выбор маршрутизатора уровня доступа для подключения корпоративной сети к Интернету
- •3.4 Выбор коммутаторов рабочих групп
- •3.5 Выбор коммутаторов зданий и кампуса
- •3.6 Расчет стоимости выбранного активного оборудования
- •4. Настройка активного оборудования
- •4.1 Общие настройки для всех устройств
- •4.2 Настройка маршрутизаторов
- •4.2.1 Настройка маршрутизаторов ядра
- •4.2.1.1 Настройка интерфейсов для подключения коммутаторов
- •4.2.2 Настройка маршрутизатора кампуса
- •4.2.3 Настройка маршрутизатора доступа в Интернет
- •4.3 Настройка коммутаторов
- •4.3.1 Настройка коммутаторов подразделений и зданий
- •4.3.2 Настройка виртуальных локальных сетей
- •4.3.3 Настройка протокола покрывающего дерева
- •4.3.4 Настройка коммутаторов кампуса
- •Заключение
- •Библиографический список
4.2.1.1 Настройка интерфейсов для подключения коммутаторов
Через интерфейс модуля SPA-2X1GE на маршрутизаторах A,B,C будет осуществлено подключению к коммутатору, через который будет осуществлено подключение к интернету. Соединение осуществляется напрямую, достаточно присвоить интерфейсу модуля необходимый IP-адрес:
R7606-A (config) # interface Gigabit Ethernet1/1
R7606-A (config-if) #ip address 10.32.3.1 255.255.255.0
…
4.2.2 Настройка маршрутизатора кампуса
На маршрутизаторе кампуса необходимо настроить технологию MPLS, протокол EIGRP, назначить IP-адреса интерфейсам. Настройки будут представлены на примере маршрутизатора первого кампуса региона А.
Данный маршрутизатор находится на границе между ядром и кампусом и одной из выполняемых им функций должна быть фильтрация трафика, которая будет выполнятся при помощи списков доступа.
Маршрутизаторы кампуса минимально должны отбрасывать (не пропускать) следующие пакеты:
выходящие пакеты, с адресами источника, не принадлежащими сети кампуса;
выходящие пакеты, с адресами приемника не принадлежащими корпоративной сети;
входящие пакеты с адресами приемника не принадлежащими сети кампуса.
Настройка маршрутизатора кампуса будет рассмотрена в первом кампусе первого региона:
Для начала будет создан список доступа который будет фильтровать пакеты не принадлежащие корпоративной сети:
Будет создан расширенный список доступа который не будет пропускать пакеты из корпоративной сети не принадлежащие первому кампусу региона А. Необходимо указать протокол для которого выполняется данное условие.
…
R3945-AК1 (config) # access-list 100 permit IP 10.0.0.0 0.255.255.255 10.32.7.0 0.255.255.255
…
Число "100" представляет собой номер расширенного списка доступа и может находится в диапазоне от 100 до 199. Для стандартных списков доступа используется диапазон от 1до 99
Также следует создать список доступа который не выпускает в сеть пакеты не принадлежащие сети кампусу:
…
R3945-AК1 (config) #access-list 101 permit IP 10.32.7.0 0.255.255.255 10.0.0.0 0.255.255.255
…
Следующим шагом является применение списков доступа на соответствующих интерфейсах:
…
R3945-AК1 (config) # interface Gigabit Ethernet0/0
R3945-AК1 (config-if) # ip access - group 101 in
…
Произведём настройку протокола EIGRP.
R3945-AК1#router eigrp 1 // запущен процесс маршрутизации EIGRP 1
R3945-AК1 # network 10.0.0.0 // Маршрутизировать все сети, подключенные к этому маршрутизаторы с адресами, попадающими в диапазон 10.0.0.0.
R3945-AК1 #no auto-summary // отключить автоматическое суммирование.
R3945-AК1 #ip cef // включена коммутация Cisco Express Forwarding
4.2.3 Настройка маршрутизатора доступа в Интернет
К основным задачам данного маршрутизатора относятся фильтрация входящего и исходящего трафика, а также трансляция внешних и внутренних адресов.
Трансляция адресов будет применяться для того, чтобы отображать внутренние адреса корпоративной сети на внешние адреса общественной. Трансляция осуществляется следующим образом: для каждого пакета, направляемого во внешнюю сеть, внутренний адрес заменяется внешним из доступного пула адресов. При этом этот адрес резервируется (точнее говоря, адрес вместе с номером порта). Все ответы, пришедшие на зарезервированный адрес, транслируются обратно.
Для того чтобы настроить трансляцию адресов, необходимо указать пул, из которого берутся внешние адреса:
R2921-IntА (config) # ip nat pool corp 192.168.0.1 192.168.0.1.
В этой команде указывается имя пула (corp), начальный (первые цифры 192.168.0.1) и конечный (вторые цифры 192.168.0.1) адреса. В данном случае пул состоит из одного адреса. Запросы от различных узлов корпоративной сети будут транслироваться с использованием различных портов.
Следующим шагом указывается список адресов, для которых разрешено транслирование:
R2921-IntА (config) # access-list 1 permit 10.0.0.0 0.255.255.255.
Далее указывается, что адреса, определяемые с помощью первого списка доступа, будут транслироваться с помощью определенного пула:
R2921-IntА (config) # ip nat inside source 1 pool corp overload.
Ключевое слово "overload" указывает на то, что один внешний адрес можно использовать для нескольких внутренних. Последним шагом необходимо указать входной и выходной интерфейсы. Следующие команды даются в режиме конфигурации соответствующих интерфейсов:
R2921-IntА (config) #interface Gigabit Ethernet1/0
R2921-IntА (config - if) # ip nat inside
R2921-IntА (config) #interface Serial1.0
R2921-InА (config - if) # ip nat outside;
Помимо трансляции адресов, как уже было сказано выше, необходимо сделать фильтрацию трафика, что будет сделано при помощи списков доступа.
Список доступа это набор условий, в которых определяется, какой пакет может быть пропущен, а какой нет.
Задача фильтрации пакетов (трафика) разбивается на два разных этапа. На первом с помощью команд access-list и ip access-list задаются критерии фильтрации. На втором этапе эти критерии фильтрации накладываются на желаемые интерфейсы.
Списки доступа могут быть стандартными и расширенными. Стандартный список доступа позволяет фильтровать трафик только по адресу источника. Создается он следующим образом:
(config) # access-list 1 deny 10.0.0.1 0.0.0.255.
Здесь первая цифра означает номер списка доступа, служебное слово "deny" запрещает прохождение пакетов из сети (служебное слово "permit" - разрешает прохождение пакетов) с адресом, указанным далее. Последняя группа цифр (0.0.0.255) - так называемая карта (wildcard). Сравнение адресов анализируемого пакета и указанного в условии ведется только для тех бит, которые в этой карте установлены в ноль.
Карту можно заменять служебным словом host, что соответствует нулевой карте (т.е. проверяются все биты адреса). Пару чисел из адреса и карты можно заменять служебным словом any, что означает адрес любого пакета.
Набор подобных условий составляет список доступа. При поступлении пакета они проверяются в порядке записи. Если ни одно из условий не подошло, то пакет отбрасывается.
Расширенные списки доступа позволяют задавать более гибкие условия.
Номера расширенных листов начинаются с 101-го. На третьей позиции записывается протокол, для которого выполняется это условие. Далее идут две пары чисел, состоящие из адреса и карты, определяющие источник и приемник пакета. На последней позиции может указываться номер порта. После создания списков доступа они могут быть приложены к любому интерфейсу.
Указываем какие виды трафика необходимо пропускать:
R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq www
R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq pop3
R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq smtp
Для FTP-сервера разрешается любой трафик:
R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3
Применяем список:
R2921-IntА (config) #interface serial0/1
R2921-IntА (config-if) # ip access-group 101 in