Сетевые информационные технологии. В построенной сети необходимо произвести следующие настройки
 Скачать 0.84 Mb.
|
3 НАСТРОЙКА DHCP-СЕРВЕРА НА МАРШРУТИЗАТОРЕ CISCOВключение DHCP-сервера на маршрутизаторе Cisco По-умолчанию на маршрутизаторах Cisco включена функциональная возможность DHCP-сервера. Если же она не активирована, то это возможно сделать командой: Router(config)# service dhcp Отключить данную функциональную возможность: Router(config)# no service dhcp Базовые настройки DHCP-сервера на маршрутизаторе Cisco: настройка соединения между коммутатором и маршрутизатором; настройка DHCP-сервера. На интерфейсе маршрутизатора fa0/0: создать подынтерфейсы для каждого VLAN'а (подсети); настроить инкапсуляцию 802.1q и указать номер VLAN'а; задать на них адрес из соответствующей подсети[5]. Настройка DHCP-пула на маршрутизаторе access (рисунок 3) (аналогичным образом настраиваются пулы для каждой подсети) и указание шлюза по умолчанию для клиентов: Router(config)# service dhcp Router(config)# ip dhcp pool vlan10 Router(config-pool)# network 2.1.0.0 255.255.255.0 Router(config-pool)# dns-server 2.1.12.2 Router(config-pool)# default-router 2.1.1.1 Адресный пул для VLAN11 и VLAN 12 настраивается аналогичным образом. Конфигурация DHCP – сервера на маршрутизаторе access (рисунок 3). ip dhcp pool vlan10 network 2.1.0.0 255.255.255.0 default-router 2.1.0.1 dns-server 2.1.12.2 ip dhcp pool vlan11 network 2.1.1.0 255.255.255.0 default-router 2.1.1.1 dns-server 2.1.12.2 ip dhcp pool vlan12 network 2.1.2.0 255.255.255.0 default-router 2.1.2.1 dns-server 2.1.12.2 В пуле можно описать: DNS-сервер - dns-server; сервер WINS для сетей microsoft - netbios-name-server; шлюз по умолчанию - default-router. Исключение IP-адресов Исключить из пула адрес интерфейса маршрутизатора и DNS-сервера: Router(config)# ip dhcp excluded-address 2.1.0.3 Дополнительные настройки DHCP-сервера По умолчанию DHCP-сервер пингует IP-адрес из пула дважды, прежде чем назначает его клиенту. Если ответа на запрос ICMP не было, то DHCP-сервер считает, что адрес не используется и присваивает его клиенту, который его запрашивал. По умолчанию DHCP-сервер ждет две секунды ответ, а затем повторяет ICMP запрос. Эти параметры можно изменить: изменить количество отправляемых ICMP запросов (0 отключает ping): Router(config)# ip dhcp ping packets <0-10> изменение таймаута между запросами: Router(config)# ip dhcp ping timeout 300 Просмотр информации, о выданных адресах маршрутизатором access (рисунок 3): Router#show ip dhcp binding IP address Client-ID/Lease expiration Type Hardware address 2.1.0.2 000B.BEDA.D185 -- Automatic 2.1.0.3 00D0.D334.B840 -- Automatic 2.1.1.2 0001.C959.5EBC -- Automatic 2.1.1.3 00D0.FFC9.958E -- Automatic 2.1.2.2 0001.9655.694E -- Automatic 2.1.2.3 00E0.8F22.509D -- Automatic Для того, что бы посмотреть какому физическому адресу был предоставлен тот или иной IP-адрес: Router# show ip dhcp binding 2.1.0.1 Конфигурация маршрутизатора access (приложение Б). 4 NAT- ТЕХНОЛОГИЯТехнология трансляции сетевых адресов (NAT) была разработана для упрощения IP-адресации и экономного использования IP-адресов. Технология позволяет подключить к Интернету частные сети, в которых используются незарегистрированные IP-адреса. NAT работает на маршрутизаторе, обычно соединяющем две сети, и транслирует частные (не являющиеся уникальными в глобальном масштабе) адреса внутренней сети в легальные адреса, а затем перенаправляет пакеты в другую сеть. NAT может быть настроена таким образом, что во внешней сети будет объявляться только один IP-адрес для всей внутренней сети. Таким образом за одним адресом может быть спрятана целая сеть, что обеспечивает дополнительную безопасность. NAT выполняет две функции – обеспечения безопасности и экономии IP-адресов – и, как правило, используется в сетях удаленного доступа[1]. 4.1 Настройка NAT на маршрутизаторе CiscoДля настройки NAT на маршрутизаторе Cisco требуется определить пул адресов, из которого будет производиться выборка при трансляции. В нашем случае мы создадим пул всего из одного адреса. Для настройки пула используем следующие команды: Router (configure)# ip nat pool work 2.1.17.1 2.1.18.2 netmask 255.255.0.0 Router (configure)# ip nat inside source list 1 pool work Затем настраиваем список доступа на маршрутизаторе inet (рисунок 1): Router (configure)# access-list 1 permit 2.1.17.0 0.0.255.255 Далее настраиваем интерфейсы для трансляции: Router (configure)# Serial0/3/0 ip nat outside Router (configure)# Serial0/1/0 ip nat inside Проверяем работу транслятора, например обратившись к web серверу «yandex.ru» c рабочей станции PC 2 (рисунок 1). Router#show ip nat translations Pro Inside global Inside local Outside local Outside global Tcp 20.4.18.1:1025 10.5.0.2:1025 10.30.5.130:80 10.30.5.130:80 5 VPN-ТЕХНОЛОГИЯVPN (англ. Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений). 5.1 Структура VPNVPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации. 5.2 Классификация VPNКлассифицировать VPN решения можно по нескольким основным параметрам. 1. По степени защищенности используемой среды VPN решения делятся на: защищённые – наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP. доверительные - используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec). 2 По назначению VPN решения делятся на: intranet VPN – используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. remote Access VPN – используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa. extranet VPN – используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации. client/Server VPN – он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование[5]. 5.3 Преимущества технологии VPNVPN служит для организации прямого, безопасного соединения через общедоступный Интернет между клиентами (обычно конечным пользователем и корпоративным офисом) или между двумя ЛВС. Благодаря VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании. VPN может применяться как базовая архитектура обеспечения безопасности для экстрасети. Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. После того как соединение установлено, сотрудникам может предоставляться доступ ко всем ресурсам сети – так, словно они присутствуют в офисе. Самое большое достоинство технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN, иногда именуемое «туннелем», защищено столь надежно, что украсть данные или получить несанкционированный доступ к территориально-распределенной сети становится очень трудно. Сети VPN обладают рядом экономических преимуществ перед другими методами дистанционного доступа. Пользователи VPN могут обращаться к корпоративной сети, не устанавливая коммутируемое соединение, что позволяет сократить численность модемов или вообще отказаться от них. Можно обойтись и без выделенных линий, соединяющих удаленные офисы. Кроме того, повышается производительность труда, так как сотрудники могут пользоваться самыми быстрыми линиями связи, имеющимися в их распоряжении, вместо того чтобы тратить время на установление коммутируемого соединения через банк модемов[4]. 5.4 VPN-серверVPN-сервер – точка доступа с функцией аутентификации входящего VPN-соединения. После того, как произошла аутентификация входящего VPN соединения, сервер VPN просто работает как маршрутизатор, который предоставляет клиенту VPN доступ в частную сеть. Пример настройки VPN сервера на маршрутизаторе «inet» (рисунок 1): aaa new-model aaa authentication login project1 local aaa authorization network project1 local username admin password 0 admin crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp client configuration group group key key pool admin netmask 255.255.255.0 crypto isakmp client configuration group gr key key pool manager netmask 255.255.255.0 crypto ipsec transform-set tr esp-3des esp-sha-hmac crypto dynamic-map m 10 set transform-set tr reverse-route crypto map m client authentication list project1 crypto map m isakmp authorization list project1 crypto map m client configuration address respond crypto map m 10 ipsec-isakmp dynamic m Полная конфигурация и настройка VPN-сервера маршрутизатора inet (приложение А). 5.5 VPN-клиентVPN-клиент программное обеспечение, предназначенное для создания защищенного канала передачи данных через корпоративные и общественные каналы связи. Для подключения к серверу VPN и создания защищенного туннеля применяется протокол TLSv1, PPP. 6 DNS-ТЕХНОЛОГИЯDNS (англ. Domain Name System ‒ система доменных имён) ‒ компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене. Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения ‒ другой организации или человеку), что позволяет возложить ответственность за актуальность информации на сервера различных организаций (людей), отвечающих только за «свою» часть доменного имени. DNS обладает следующими характеристиками: распределенность администрирования. Ответственность за разные части иерархической структуры несут разные люди или организации. распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности и (возможно) адреса корневых DNS-серверов; кеширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть. иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам; резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов. DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла HOSTS, который составлялся централизованно и обновлялся на каждой из машин сети вручную. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS[4]. Пример настройки DNS-сервера Local-DNS (рисунок 4).  Рисунок 4 – DNS-сервер (Local DNS) Пример настройки DNS-сервера DNS1 (рисунок 5).  Рисунок 5 – DNS-сервер (DNS1) Пример настройки DNS-сервера DNS2 (рисунок 6).  Рисунок 6 – DNS-сервер (DNS2) |