- •1. Локальная сеть
- •Введение
- •1 Разработка схемыIp-адресации
- •2 Построение схем локальной и глобальной сети
- •3 Выбор коммутаторов
- •3.1 Выбор коммутаторов
- •3.1.1 Выбор коммутаторов для рабочих групп
- •3.1.2 Выбор коммутаторов зданий
- •3.1.3 Выбор коммутаторов кампусов
- •4 Выбор маршрутизаторов
- •4.1 Магистральные маршрутизаторы для ядра сети
- •4.2 Маршрутизатор кампуса
- •4.3 Маршрутизатор уровня доступа для подключения корпоративной сети к Интернету
- •5 Обоснование выбора программного обеспечения для маршрутизаторов
- •5.1 Cisco ios
- •6 Расчет количества и стоимости активного оборудования
- •7 Настройка активного оборудования
- •7.1 Настройки, общие для всех устройств
- •7.2 Разработка схемы символических имен устройств (сиу)
- •7.3 Разработка системы паролей
- •8 Настройка маршрутизаторов
- •8.1 Настройка маршрутизаторов ядра
- •8.2 Настройка маршрутизаторов кампуса (уровня доступа)
- •8.2.1 Настройка списков доступа на маршрутизаторах уровня доступа
- •8.3 Настройка маршрутизатора доступа в Интернет
- •8.3.1 Настройка списков доступа на маршрутизаторе доступа в Интернет
- •8.3.2 Настройка трансляции адресов на маршрутизаторе доступа в Интернет
- •8.3.3 Настройка adsl по протоколу ppPoE на маршрутизаторе доступа в Интер-нет
- •9Настройка коммутаторов
- •9.1 Настройка коммутаторов рабочих групп и коммутаторов зданий
- •9.1.1 Настройка виртуальных сетей на коммутаторах
- •9.1.2 Настройка протокола покрывающего дерева на коммутаторах
- •9.2 Настройка коммутаторов кампуса
- •10Выбор серверов
- •Приложение
8.3 Настройка маршрутизатора доступа в Интернет
Для этого маршрутизатора необходимо настроить интерфейсы и протокол мар-шрутизации. В качестве протокола маршрутизации используется RIPv2.
Настройка протокола RIP:
router-int-3(config)#router rip;
router-int-3(config-router) #version 2;
router-int-3(config-router)#network 10.0.0.0.
8.3.1 Настройка списков доступа на маршрутизаторе доступа в Интернет
Расширенные списки доступа представляют собой довольно простую вариацию стандартных списков доступа. Стандартные списки ограничены фильтрацией на основе адресов источников и получателя IP-пакетов. Расширенные списки добавляют возмож-ность фильтрации на основе протокола и порта, указанного в пакете. Синтаксис расши-ренного списка доступа:
access-list номер действие протокол источник исх_порт приемник цел_порт
Расшифровка полей:
Номер – идентификационный номер списка. Для расширенных списков доступа диапазон от 100 до 199. Мы взяли 102;
Протокол – указание на протокол, к которому применяется правило. Допустимые значения: ip, tcp, udp, icmp. В нашем будет tcp;
Приемник – целевой адрес пакета: указывается также, как и адрес источника. За-дается IP-адрес с шаблонной маской, пишется ключевое слово host и IP-адрес ключевого узла либо пишется слово any.
Настраиваем фильтрацию для маршрутизаторов доступа в Интернет. Исключим для внутренних хостов возможность использовать протоколы, отличные от FTP (порты 20-21), HTTP (порт 80), HTTPS (порт 443), POP3 (порт 110), SMTP (порт 25). Доступ для этого трафика разрешен только сетям соответствующего региона.
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any range 20 21,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 80,
rouert-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 433,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq pop3,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq smtp,
где 10.n.0.0 – номер сети региона. Запись eq n означает номер порта или название прото-кола.
Выполняем установку соединений. Устанавливать соединение разрешается толь-ко пользователям внутри нашей сети. Для этого в настройку добавляем ключевое слово established, которое включает механизм отбора пакетов:
router-int-3(config)# access-list 103 permit tcp any any established.
Применяем списки доступа к соответствующим интерфейсам:
router-int-3(config) #interface gigabitethernet0/0;
router-int-3(config-if)#access-group 102 in;
router-int-3(config) #interface adsl0/0;
rouert-int-3(config-if)#access-group 103 in.
8.3.2 Настройка трансляции адресов на маршрутизаторе доступа в Интернет
Маршрутизатор доступа в Интернет должен выполнять трансляцию адресов, что-бы отображать внутренние адреса корпоративной сети на внешние адреса Интернет. Трансляция осуществляется следующим образом: для каждого пакета, направляемого во внешнюю сеть, внутренний адрес заменяется внешним, из доступного пула адресов. При этом адрес резервируется. Все ответы, пришедшие на зарезервированный адрес, трансли-руются обратно.
Для того, чтобы настроить трансляцию адресов, необходимо указать пул, из кото-рого берутся внешние адреса:
router-int-3(config) # ip nat pool pool1 217.174.23.51 217.174.23.59.
В этой команде указывается имя пула (pool1) и адреса.
Следующим шагом указывается список адресов, для которых разрешено трансли-рование:
router-int-3(config) # access-list 1 permit 10.32.0.0 0.31.255.255,
где 10.32.0.0 – сеть первого региона;
router-int-3(config) # access-list 1 permit 10.64.0.0 0.31.255.255,
где 10.64.0.0 – сеть второго региона;
router-int-3(config) # access-list 1 permit 10.96.0.0 0.31.255.255,
где 10.96.0.0 – сеть третьего региона.
router-int-3(config) # access-list 1 permit 10.128.0.0 0.31.255.255,
где 10.128.0.0 – сеть четвертого региона.
Далее указывается, что адреса, определяемые с помощью первого списка доступа, будут транслироваться с помощью заданного пула:
router-int-3(config) # ip nat inside source 1 pool pool1 overload.
Слово «overload» указывает, что один внешний адрес можно использовать для не-скольких внутренних. Последним шагом нужно указать входной и выходной интерфейсы. Следующие команды выполняются в режиме конфигурации соответствующих интерфейсов:
rout-int-3(config) #interface gigabitethernet0/0;
rout-int-3(config – if) # ip nat inside;
rout-int-3(config) #interface Adsl0/0;
rout-int-3(config – if) # ip nat outside.