Практические работы по принципам построения компьютерных сетей. Практическая работа Знакомство с командами Cisco ios
 Скачать 5.47 Mb.
|
|
Программирование R1 Конфигурируем R1. Рисунок 10.15 – Конфигурирование R1 Программирование R2 Конфигурируем R2. Рисунок 10.16 – Конфигурирование R2 Проверка работы сети Проверяем работу маршрутизаторов. Рисунок 10.17 – Результат проверки работоспособности сети Практическая работа 11. Пример конфигурирования протокола OSPF для 4-х устройств Протокол OSPF Алгоритм работы протокола динамической маршрутизации OSPF основан на использовании всеми маршрутизаторами единой базы данных, описывающей, с какими сетями связан каждый маршрутизатор. Описывая каждую связь, маршрутизаторы связывают с ней метрику – значение, характеризующее "качество" канала связи. Это позволяет маршрутизаторам OSPF (в отличие от RIP, где все каналы равнозначны) учитывать реальную пропускную способность канала и выявлять наилучшие маршруты. Важной особенностью протокола OSPF является то, что используется групповая, а не широковещательная рассылка (как в RIP), то есть, нагрузка каналов меньше. OSPF (Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала link-state (LSA). Основан на алгоритме для поиска кратчайшего пути. Отслеживание состояния канала требует отправки объявлений о состоянии канала (LSA) на активные интерфейсы всех доступных маршрутизаторов зоны. В этих объявлениях содержится описание всех каналов маршрутизатора и стоимость каждого канала. LSA сообщения отправляются, только если произошли какие-либо изменения в сети, но раз в 30 минут LSA сообщения отправляются в принудительном порядке. Протокол реализует деление автономной системы на зоны (areas). Использование зон позволяет снизить нагрузку на сеть и процессоры маршрутизаторов и уменьшить размер таблиц маршрутизации. Описание работы протокола: Все маршрутизаторы обмениваются специальными Hello-пакетами через все интерфейсы, на которых активирован протокол OSPF. Таким образом, определяются маршрутизаторы-соседи, разделяющие общий канал передачи данных. В дальнейшем hello-пакеты посылаются с интервалом раз в 30 секунд. Маршрутизаторы пытаются перейти в состояние соседства со своими соседями. Переход в данное состояние определяется типом маршрутизаторов и типом сети, по которой происходит обмен hello- пакетами, по зонному признаку. Пара маршрутизаторов в состоянии соседства синхронизирует между собой базу данных состояния каналов. Каждый маршрутизатор посылает объявление о состоянии канала своим соседям, а каждый получивший такое объявление записывает информацию в базу данных состояния каналов и рассылает копию объявления другим своим соседям. При рассылке объявлений по зоне, все маршрутизаторы строят идентичную базу данных состояния каналов. Каждый маршрутизатор использует алгоритм SPF для вычисления графа (дерева кратчайшего пути) без петель. Каждый маршрутизатор строит собственную маршрутизацию, основываясь на построенном дереве кратчайшего пути. Прямая и обратная маска В оборудовании Cisco иногда приходится использовать обратную маску, то есть не привычную нам 255.255.255.0 (Subnet mask — прямая маска), а 0.0.0.255 (Wildcard mask — обратная маска). Обратная маска используется в листах допуска (access list) и при описании сетей в протоколе OSPF. Прямая маска используется во всех остальных случаях. Отличие масок заключается также в том, что прямая маска оперирует сетями, а обратная — хостами. С помощью обратной маски вы можете, например, выделить во всех подсетях хосты с конкретным адресом и разрешить им доступ в Интернет. Так, как чаше всего в локальных сетях используют адреса типа 192.168.1.0 с маской 255.255.255.0, то самая распространенная Wildcard mask (шаблонная маска или обратная маска, или инверсная маска) - маска 0.0.0.255. Новый термин Шаблонная маска (wildcard mask) — маска, указывающая на количество хостов сети. Является дополнением для маски подсети. Вычисляется по формуле для каждого из октетов маски подсети как 255-маска_подсети. Например, для сети 192.168.1.0 и маской подсети 255.255.255.242 шаблонная маска будет выглядеть как 0.0.0.13. Шаблонная маска используется в настройке некоторых протоколов маршрутизации, а также является удобным параметром ограничений в списках доступа. Расчѐт Wildcard mask Существует связь, между обратной и прямой маской: в сумме эти маски по каждому разряду должны составлять 255. Пусть наша сеть 192.168.32.0 /28. Рассчитает wildcard mask: префикс /28 это 255.255.255.240 или 11111111.11111111.11111111.11110000. Для wildcard mask нам нужны только нули, то есть, 11110000 переводим в десятичное число и считаем: 128/64/32/16/8/4/2/1 это будет 8+4+2+1=15, т.е. наша wildcard mask будет равна 0.0.0.15. Самостоятельно Дана прямая маска 255.255.255.248. Выполните расчет и докажите, что обратная равна 0.0.0.7. Задание 1. Соберите схему, изображенную на рис. 11.1. Рисунок 11.1 – Схема для конфигурации протокола OSPF Настройка роутеров Выполним конфигурирование R1. Рисунок 11.2 – Настройка R1 Теперь выполним настройки R2. Рисунок 11.3 – Настройка R2 Совет Если вам потребуется в CPT сбросить настройки роутера, то следует выключить его тумблер питания, а затем снова включить. Проверка результата Для проверки маршрутизации пропингуем ПК из разных сетей. Рисунок 11.4 – Результат проверки работоспособности OSPF Задание 2. Настройка маршрутизации по протоколу OSPF для 6 устройств Постройте следующую схему. Рисунок 11.5 – Начальная схема сети для нашей работы Цель работы – настроить маршрутизацию в данной сети по протоколу OSPF. Настроим loopback интерфейс на R1 На R1 настроим программный loopback интерфейс — алгоритм, который направляет полученный сигнал (или данные) обратно отправителю. Примечание IPv4-адрес, назначенный loopback-интерфейсу, может быть необходим для процессов маршрутизатора, в которых используется IPv4-адрес интерфейса в целях идентификации. Один из таких процессов — алгоритм кратчайшего пути (OSPF). При включении интерфейса loopback для идентификации маршрутизатор будет использовать всегда доступный адрес интерфейса loopback, а не IP-адрес, назначенный физическому порту, работа которого может быть нарушена. На маршрутизаторе можно активировать несколько интерфейсов loopback. IPv4-адрес для каждого интерфейса loopback должен быть уникальным и не должен быть задействован другим интерфейсом. Рисунок 11.6 – Настраиваем интерфейс loopback на R1 Настраиваем протокол OSPF на R1 Включаем OSPF на R1, все маршрутизаторы должны быть в одной зоне area 0. Рисунок 11.7 – Включаем протокол OSPF на R1 Подводим курсор мыши к R1 и наблюдаем результат наших настроек. Рисунок 11.8 – Маршрутизатор R1 настроен Примечание Обратите внимание, что физически порта 192.168.100.1 нет, он существует только логически (программно). Настроим loopback интерфейс на R2 На R2 настроим программный loopback интерфейс по аналогии с R1. Рисунок 11.9 – Настраиваем логический интерфейс loopback на R2 Настраиваем OSPF на R2 Включаем протокол OSPF на R2, все маршрутизаторы должны быть в одной зоне area 0. Рисунок 11.10 – Включаем протокол OSPF на R2 Подводим курсор мыши к R2 и наблюдаем результат наших настроек. Рисунок 11.11 – Маршрутизатор R2 настроен Настраиваем loopback интерфейс на R3 Делаем все аналогично. Рисунок 11.12 – Настраиваем логический интерфейс loopback на R3 Настраиваем протокол OSPF на R3 Здесь делаем все, как раньше. Рисунок 11.13 – Включаем протокол OSPF на R2 Проверяем результат. Рисунок 11.14 – Маршрутизатор R3 настроен Проверяем работу сети Убеждаемся, что роутер R3 видит R2 и R1. Рисунок 11.14 – Роутер R3 видит своих соседей Теперь посмотрим таблицу маршрутизации для R3. Рисунок 11.15 – Таблица маршрутизации для R3 Примечание В этой таблице запись с буквой "О" говорит о том, что данный маршрут прописан протоколом OSPF. Мы видим, что сеть 192.168.1.0 доступна для R3 через адрес 10.10.11.1 (это порт gig0/1 маршрутизатора R1). Аналогично, сеть 192.168.2.0 доступна для R3 через адрес 10.10.12.1 (это порт gig0/1 маршрутизатора R2). Теперь проверяем доступность разных сетей. Рисунок 11.16 – Сети 192.168.1.0 и 192.168.2.0 доступны Практическая работа 12. Создание стандартного списка доступа Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие. В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений. На рис. 12.1 показаны две подсети: 192.168.0.0 и 10.0.0.0. Рисунок 12.1 – Схема сети Постановка задачи Требуется разрешить доступ на сервер PC1 с адресом 192.168.0.12, а PC0 c адресом 192.168.0.11 – запретить. Рисунок 12.2 – Постановка задачи Соберем данную схему и настроим ее. Настройку PC0 и PC1 выполните самостоятельно. Настройка R0 Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами: Router>en Router#conf t Router (config)#int fa0/0 Router (config-if)#ip addr 192.168.0.1 255.255.255.0 Router (config-if)#no shut Router (config-if)#exit Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим: Router (config)#intfa0/1 Router (config-if)#ip addr 10.0.0.1 255.255.255.0 Router (config-if)#no shut Настройка сервера Настройки сервера приведены на рис. 9.3 Рисунок 12.3 – Конфигурирование S0 Диагностика сети Проверяем связь ПК из разных сетей. Рисунок 12.4 – ПК из разных сетей могут общаться Приступаем к решению задачи Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всѐ разрешено (permit). Но, стоит создать список, сразу действует механизм "Всѐ, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер. Рисунок 12.5 – Создаем на R0 разрешающий ACL Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0). Эта настройка означает, что список доступа (правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении. Рисунок 12.6 – Применяем правило к порту Fa0/0 Примечание Входящий трафик (in) — этот тот, который приходит на интерфейс извне. Исходящий (out) — тот, который отправляется с интерфейса вовне. Список доступа вы можете применить либо на входящий трафик, тогда неугодные пакеты не будут даже попадать на маршрутизатор и соответственно, дальше в сеть, либо на исходящий, тогда пакеты приходят на маршрутизатор, обрабатываются им, доходят до целевого интерфейса и только на нѐм обрабатываются. Как правило, списки применяют на входящий трафик (in). Проверяем связь ПК с сервером. Рисунок 12.7 – Для PC1 сервер доступен Рисунок 12.8 – Для PC0 сервер не доступен Давайте посмотрим ACL. Рисунок 12.9 – Узел 192.168.0.12 разрешен Примечание Теперь, предположим, нужно добавить новый узел, например, PC2 с адресом 192.168.0.13 в раздел "разрешѐнных". Пишем команду Router (config)#access-list 1 permit host 192.168.0.13. Теперь адреса 192.168.0.12 и 192.168.0.13 могут общаться с сервером, в 192.168.0.11 – нет. А для отмены какого-либо правила – повторяем его с приставкой "no". Тогда это правило исключается из конфигурации. Например, если выполнить команду Router (config-if)#no ip access-group 1 in, то ACL будет отменен и снова все ПК могут пинговать сервер. Расширенные списки доступа ACL Стандартные права не так гибки, как хотелось бы. В отличие от стандартных списков, расширенные списки фильтруют трафик более "тонко". При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (): Таблица 9.1. Обозначение портов в ACL обозначение действие lt n Все номера портов, меньшие n. gt n Все номера портов, большие n. eq n Порт n neq n Все порты, за исключением n. range n m Все порты от n до m включительно. Практическая работа 13. Расширенные списки доступа ACL Соберите схему сети, показанную на рис. 13.1. Рисунок 13.1 – Схема сети Задача: разрешить доступ к FTP серверу 10.0.1.3 для узла 192.168.1.2 и запретить для узла 192.168.1.3. Создаем расширенные списки доступа и запрещаем FTP трафик Постановка задачи графически изображена на рис. 13.2. Рисунок 13.2 – Стрелками показана цель нашей работы Изначально на сервере 10.0.1.3 FTP сервис поднят по умолчанию со значениями имя пользователя Cisco, пароль Cisco. Убедимся, что узел S0 доступен и FTP работает, для этого заходим на PC1 и связываемся с сервером. Выполняем какие-либо команды, например, DIR – чтение директории. Рисунок 13.3 – FTPсервер доступен Примечание При наборе пароля на экране ничего не отображается. Теперь создадим список правил с номером 101 в котором укажем 2 разрешающих и по 2 запрещающих правила для портов сервера 21 и 20 (Эти порты служат для FTP - передачи команд и данных). Рисунок 13.4 – Составляем расширенные списки доступа Совет Набирайте команды аккуратно и внимательно: даже один лишний пробел может привести к ошибке при выполнении команды. А теперь применяем наш список с номером 101 на вход (in) Fa0/1 потому, что трафик входит на этот порт роутера со стороны сети 192.168.1.0 ( рис. 9.14 ). Рисунок 13.5 – Применяем правило с номером 101 к порту 0/1 роутера Проверяем связь сервера с PC2. Рисунок 13.6 – Для PC2 FTP сервер не доступен Проверяем связь сервера с PC1. Рисунок 13.7 – Для PC1 FTP сервер доступен Практическая работа 14. Статическая трансляция адресов NAT NAT (Network Address Translation) — трансляция сетевых адресов, технология, которая позволяет преобразовывать (изменять) IP адреса и порты в сетевых пакетах. NAT используется чаще всего для осуществления доступа устройств из локальной сети предприятия в Интернет, либо наоборот для доступа из Интернет на какой- либо ресурс внутри сети. Локальная сеть предприятия строится на частных IP адресах: 10.0.0.0 — 10.255.255.255 (10.0.0.0/255.0.0.0 (/8)) 172.16.0.0 — 172.31.255.255 (172.16.0.0/255.240.0.0 (/12)) 192.168.0.0 — 192.168.255.255 (192.168.0.0/255.255.0.0 (/16)) Эти адреса не маршрутизируются в Интернете, и провайдеры должны отбрасывать пакеты с такими IP адресами отправителей или получателей. Для преобразования частных адресов в Глобальные (маршрутизируемые в Интернете) применяют NAT. Новый термин NAT — технология трансляции сетевых адресов, т.е. подмены адресов (или портов) в заголовке IP-пакета. Другими словами, пакет, проходя через маршрутизатор, может поменять свой адрес источника и/или назначения. Подобный механизм служит для обеспечения доступа из LAN, где используются частные IP-адреса, в Internet, где используются глобальные IP-адреса. Существует три вида трансляции Static NAT, Dynamic NAT, Overloading (PAT). Static NAT (статический NAT) осуществляет преобразование IP адреса один к одному, то есть сопоставляется один адрес из внутренней сети с одним адресом из внешней сети. Иными словами, при прохождении через маршрутизатор, адрес(а) меняются на строго заданный адрес, один-к-одному (Например, 10.1.1.5 всегда заменяется на 11.1.1.5 и обратно). Запись о такой трансляции хранится неограниченно долго, пока есть соответствующая строчка в конфигурации роутера. Dynamic NAT (динамический NAT) производит преобразование внутреннего адреса/ов в один из группы внешних адресов. То есть, перед использованием динамической трансляции, нужно задать nat-пул внешних адресов. В этом случае при прохождении через маршрутизатор, новый адрес выбирается динамически из некоторого диапазона адресов, называемого пулом (pool). Запись о трансляции хранится некоторое время, чтобы ответные пакеты могли быть доставлены адресату. Если в течение некоторого времени трафик по этой трансляции отсутствует, трансляция удаляется и адрес возвращается в пул. Если требуется создать трансляцию, а свободных адресов в пуле нет, то пакет отбрасывается. Иными словами, хорошо бы, чтобы число внутренних адресов было ненамного больше числа адресов в пуле, иначе высока вероятность проблем с выходом в WAN. Overloading(или PAT) позволяет преобразовывать несколько внутренних адресов в один внешний. Для осуществления такой трансляции используются порты, поэтому такой NAT называют PAT (Port Address Translation). С помощью PAT можно преобразовывать внутренние адреса во внешний адрес, заданный через пул или через адрес на внешнем интерфейсе. |