3.4 Опис проектованої мережі
Проектована кампусна мережа побудована з використанням маршрутизатора Cisco 2811, комутаторів серії Cisco 3750, безпровідного маршрутизатора Lynksys-WRT300N, а також додаткових комутаторів Cisco 2960.
Підключення мережі до глобальної мережі Інтернет здійснюється за допомогою маршрутизатора Cisco 2811. Маршрутизатор визначатиме маршрути пакетів, які надходитимуть в нашу мережу, що дозволить швидко отримувати інформацію.
В кожному будинку використано комутатор серії Cisco 3750, до портів якого будуть підключені абоненти. Комутатори між собою з’єднані за допомогою оптоволокна, за рахунок такого з’єднання ми отримаємо високу швидкість передачі і довготривалість роботи мережі. На комутаторах налаштовано VTP I STP. Протокол формування магістральних каналів віртуальної локальної мережі (далі VTP) дозволяє спростити адміністрування VLAN на комутаторах мережі - замість того, щоб створювати і дозволяти VLAN на кожному комутаторі від точки термінації трафіку (наприклад, інтерфейсу клієнта на роутері) до кінцевого обладнання клієнта - необхідно створити VLAN тільки на центральному комутаторі мережі. А STP забезпечить уникнення петель в мережі.
В другому будинку було встановлено додаткові комутатори Cisco 2960, так як на основному не вистачало портів для підключення всіх бажаючих абонентів.
В наш час розвитку технологій також досить важливим в мережі є мобільність її абонентів, тому було встановлено безпровідний маршрутизатор Lynksys-WRT300N, що дасть змогу користувачам мати доступ до мережі з різних пристроїв.
Структурна схема мережі приведена на рисунку 3.6.
Рис. 3.6 Структурна схема мережі
Розділ 4. Налаштування мережевих технологій
4.1 Налаштування списків доступу ACL
Access Control List або ACL - список контролю доступу, який визначає, хто або що може отримувати доступ до конкретного об'єкта, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом. Списки контролю доступу є основою систем з виборчим управлінням доступу.
Налаштуємо список доступу для користувачів Wi-Fi. Нам потрібно відокремити їх від користувачів у середині мережі, щоб запобігти ймовірному пошкодженню конфіденційних даних, тощо.
Налаштування проведемо на маршрутизаторі Main, тому що саме він відповідає за маршрутизацію та видачу Інтернет адрес підмережі користувачів бездротового виходу до мережі Інтернет(Wi-Fi):
Main> enable
Main# configure terminal
Main(config)# ip access-list extended wifi
Main(config-ext-nacl)# ip access-list extended wifi
Main(config-ext-nacl)# deny ip any 0.0.0.0 255.255.0.0
Main(config-ext-nacl)# permit udp any eq domain any
Main(config-ext-nacl)# permit icmp any 0.0.0.2 255.255.255.252
Main(config-ext-nacl)# permit ip any 0.0.0.2 255.255.255.252
Main(config-ext-nacl)# permit udp any 0.0.0.2 255.255.255.252
Main(config-ext-nacl)# exit
Щоб цей список працював, його треба налаштувати на інтерфейсі:
Main> enable
Main# configure terminal
Main(config-subif)# interface GigabitEthernet8/0.31
Main(config-subif)# ip access-group wifi in
Main(config-subif)# exit
У середині мережі також можуть бути зловмисники серед працівників, котрі можуть зашкодити мережі. Усіма правами доступу в мережі кампусу будуть наділені лише адміністрація та охорона.
Для того, щоб охорона могла "бачити" будь-який комп'ютер в мережі, а будь-який комп'ютер в мережі не зміг "побачити" охоронців, треба створити такий список доступу на маршрутизаторі Main:
Main> enable
Main# configure terminal
Main(config)# ip access-list extended sec
Main(config-ext-nacl)# permit icmp any any echo-reply
Main(config-ext-nacl)# permit tcp any any established
Main(config-ext-nacl)# permit udp any eq domain any
Main(config-ext-nacl)# exit
Також, його треба призначити інтерфейсу:
Main> enable
Main# configure terminal
Main(config-subif)# interface GigabitEthernet8/0.31
Main(config-subif)# ip access-group sec out
Main(config-subif)#exit