Případová studie datové sítě

Transkript

1 ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická Katedra telekomunikační techniky Případová studie datové sítě X32KDS - Komunikace v datových sítích Skupina: Vypracovali: X32KDS PO 9.15h Daniel Tureček Michal Vondra Michal Tripes Jan Vobořil Roman Wiesner

2 Obsah Úvod 5 1 Adresace sítě Úvod Rozdělení IP adres Konfigurace přepínačů Popis topologie přepínačů Základní konfigurace přepínače Konfigurace přístupových přepínačů SWx Konfigurace přepínačů SWSx Spannig Tree Protocol (STP) Nastavení management VLAN Konfigurace směrovačů Popis topologie směrovačů Základní konfigurace směrovačů Konfigurace rozhraní s přepínačem SWSx Konfigurace rozhraní s Frame-Relay Konfigurace směrovacích tabulek Konfigurace access-listů Konfigurace DHCP Konfigurace Frame Relay Popis Frame-Relay Rozvržení identifikátorů DLCI Přepínací tabulky FR přepínačů Konfigurace Frame-Relay Konfigurace DNS Popis DNS

3 5.2 DNS pro zónu cs.cz Zónové soubory Závěr 30 Seznam použitých zdrojů 31 Přílohy 32 A Konfigurační soubory pro přepínače 32 A.1 Přepínač SW A.2 Přepínač SW A.3 Přepínač SW A.4 Přepínač SW A.5 Přepínač SW A.6 Přepínač SW A.7 Přepínač SW A.8 Přepínač SW A.9 Přepínač SW A.10 Přepínač SW A.11 Přepínač SWS A.12 Přepínač SWS A.13 Přepínač SWS A.14 Přepínač SWS A.15 Přepínač SWS B Konfigurační soubory pro směrovače 52 B.1 Směrovač R B.2 Směrovač R B.3 Směrovač R B.4 Směrovač R B.5 Směrovač R

4 C Konfigurační soubory pro FR přepínače 58 C.1 Přepínač FRS C.2 Přepínač FRS C.3 Přepínač FRS D DNS Zónové soubory 61 D.1 Zónový soubor pro centrálu D.2 Reverse zónový soubor pro centrálu D.3 Zónový soubor pro pobočku Praha D.4 Reverse zónový soubor pro pobočku Praha D.5 Zónový soubor pro pobočku Plzeň D.6 Reverse zónový soubor pro pobočku Plzeň D.7 Zónový soubor pro pobočku České Budějovice D.8 Reverse zónový soubor pro pobočku České Budějovice D.9 Zónový soubor pro pobočku Brno D.10 Reverse zónový soubor pro pobočku Brno D.11 Zónový soubor pro pobočku Ostrava D.12 Reverse zónový soubor pro pobočku Ostrava

5 Případová studie datové sítě 5 Úvod Cílem tohoto projektu je navrhnout datovou síť pro firmu Carrier Services, která působí na celém území České republiky. Má pobočky v pěti městech Praha, Brno, Plzeň, Ostrava a České Budějovice. Síť bude centrálně orientovaná, tj. všechny pobočky budou připojeny do centrály v Praze a bude založena na technologii TCP/IP. Jednotlivé pobočky budou mezi sebou propojeny virtuálními datovými okruhy založených na technologii Frame-Relay. Každá pobočka bude obsahovat centrální směrovač, který se bude starat o směrování provozu v pobočce a směrování provozu s dalšími pobočkami. V každé pobočce budou dvě oddělení provozní a účetní. Tato oddělení budou mít svou vlastní LAN síť realizovanou virtuální lokální síti VLAN. Navíc bude v pobočce další LAN síť servisní, která bude sloužit pro připojení serverů pobočky (WEB server, Mail server a DNS server). DNS server bude poskytovat pro celou pobočku jmenný systém. Úkolem projektu bude navrhnou adresaci celé sítě, tj. alokovat jednotlivým sítím rozsah IP adres z přiděleného rozsahu a určit IP adresy serverů, směrovačů a uživatelských počítačů v každé pobočce. Dále bude nutné navrhnout konfiguraci pobočkových směrovačů a LAN přepínačů. V případě LAN přepínačů bude navrženo pojmenování jednotlivých virtuálních lokálních sítí. Trochu netypickým úkolem projektu bude konfigurace sítě Frame Relay, která je bežně zákaznickým sítím skryta. Pro tuto síť bude nutné navrhnout DLCI čísla pro jednotlivé okruhy a IP adresy pro tyto point-to-point spoje. V neposlední řadě bude provedena konfigurace DNS serverů v jednotlivých pobočkách.

6 Případová studie datové sítě 6 1 Adresace sítě 1.1 Úvod Při realizaci sítě je první věcí, kterou je nutné provést, topologický návrh celé sítě, tj. jak budou zařízení (směrovače, přepínače, servery a koncové počítače) mezi sebou zapojeny a jak budou rozděleny do logických celků. Tato část návrhu je již definována v zadání. Po topologickém návrhu je nutné rozvrhnout rozdělení IP adres jednotlivým LAN sítím, směrovačů a koncovým zařízením. V zadání byl přidělen celé síti rozsah IP adres /20. Na obrázku 1 je zobrazeno schéma celé sítě s LAN sítěmi. LAN8 LAN6 LAN7 LANS5 LAN5 LANS4 R5 LAN54 R4 Frame Relay LAN9 LAN10 LAN51 R1 R2 LAN52 LAN53 R3 LAN3 LAN4 LANS1 LAN1 LANS2 LANS3 LAN2 Obrázek 1: Schéma LAN sítí Síť je rozdělena na 5 poboček (směrovače R1 až R5), které obsahují 3 LAN sítě. Dvě LAN sítě pro uživatelské zařízení LANX a jednu servisní LAN síť SLANX. Dále jsou mezi směrovači R1 až R4 a směrovačem R5 další LAN sítě označené LAN5X. V každé pobočce je ještě management LAN síť (LANMX), ve které jsou všechny přepínače a směrovače. Všem těmto LAN sítím je nutné přiřadit část IP adres ze zadaného rozsahu. 1.2 Rozdělení IP adres V zadání jsou určeny požadavky na počet koncových systémů pro jednotlivé LAN sítě. V management LAN byl počet koncových systému stanoven na 4 (3 přepínače a jeden směrovač). V tabulce 1 je uvedeno rozdělení IP adres pro jednotlivé LAN sítě. Adresování bylo provedeno od LAN sítí s největším počtem počítačů po LAN sítě s nejmenším počtem. Podle požadavků na koncové zařízení (hosty), se přiřadila k LAN síti

7 Případová studie datové sítě 7 Síť Hosti Adresa sítě Maska Rozsah IP pro IP brány DNS Broadcast hosty LAN LAN LAN LAN LAN LAN LAN LAN LAN LAN LANS LANS LANS LANS LANS LANM LANM LANM LANM LANM LAN LAN LAN LAN Tabulka 1: Adresace jednotlivých LAN sítí (R1) nejbližší vyšší možná maska, tj. např. pro LAN4 (171 hostů) maska /24 (255 adres). U sítí LAN9 a LAN1 by postačovala maska /25 (128 adres), z důvodů větší přehlednosti sítě, sumarizace na směrovačích a rezervy byla zvolena maska /24. Management LAN a point-to-point LAN byly zařazeny na konec přiděleného adresního prostoru proto, aby bylo možné přidat další LAN sítě. Tyto adresy jsou pouze servisní a nebudou přístupné uživatelům sítě. Přiřazení adres koncovým zařízením bylo provedeno tak, že vždy první adresa z rozsahu pro danou LAN síť byla přidělena rozhraní směrovače. V servisních LAN sítích byla druhá adresa přiřazena DNS serveru a třetí WEB+MAIL serveru. V management LAN je první adresa také přidělena směrovači, druhá potom přepínači SWSX, třetí adresa přepínači SWX s nižším číslem a čtvrtá přepínači SWX s větším číslem. Na obrázku 2 je zobrazena celá síť i s přiřazenými IP adresami jednotlivým koncovým zařízením. V tabulkách 2 až 6 je sepsáno adresování LAN pro jednotlivé pobočky.

8 Případová studie datové sítě 8 Síť Adresa sítě Maska IP brány DNS Broadcast LAN LAN LANS LANM LAN Tabulka 2: Adresace pobočky Plzeň (R1) Síť Adresa sítě Maska IP brány DNS Broadcast LAN LAN LANS LANM LAN Tabulka 3: Adresace pobočky České Budějovice (R2) Síť Adresa sítě Maska IP brány DNS Broadcast LAN LAN LANS LANM LAN Tabulka 4: Adresace pobočky Brno (R3) Síť Adresa sítě Maska IP brány DNS Broadcast LAN LAN LANS LANM LAN Tabulka 5: Adresace pobočky Ostrava (R4) Síť Adresa sítě Maska IP brány DNS Broadcast LAN LAN LANS LANM Tabulka 6: Adresace pobočky Praha (R5)

9 Případová studie datové sítě PC8/ PC7/ PC8/ PC7/2 Fa0/2 VLAN Fa0/ Fa0/4 Praha Fa0/1 Fa0/5 SWS5 DNS Fa0/ Fa0/ Fa0/ R WEB5.233 S0/ WEBC 501,502, DNSC 503, PC6/ PC5/ PC5/ PC6/2 VLAN Fa0/12 Fa0/3 Fa0/3 VLAN VLAN 108 Fa0/2 Fa0/2 Fa0/12 VLAN Fa0/12 Fa0/3 Fa0/ Fa0/2 Fa0/ Fa0/3.235 SW8 Fa0/1 Fa0/ SW7 SW6 Fa0/1 Fa0/1 SW5 Ostrava S0/ Fa0/1 405 Fa0/3.226 Fa0/1 R4.225 SWS4 Fa0/4 Fa0/2 Fa0/5 DNS4 WEB VLAN 204 Frame Relay PC10/ S0/0 105 VLAN 201 WEB1 R Fa0/5 Fa0/1.201 Fa0/1 Fa0/4.202 Plzeň DNS1 Fa0/3 Fa0/ SWS1 SW10 SW9 Fa0/1 Fa0/ VLAN Fa0/2 Fa0/2 Fa0/12 Fa0/3 VLAN 110 Fa0/3 Fa0/ PC9/1 PC9/2 PC10/2 PC4/1 VLAN S0/0 DNS3 R Fa0/1.217 Fa0/4 WEB3 Fa0/1 Fa0/ Brno.218 Fa0/3 Fa0/2 SWS3 SW4 SW3 Fa0/1 Fa0/ VLAN 104 Fa0/3 PC3/1 Fa0/2 Fa0/2 Fa0/12 PC3/2 Fa0/12 Fa0/3 VLAN 103 PC4/ PC2/ PC1/ PC1/ PC2/ S0/0 205 VLAN R České Fa0/1 DNS Budějovice Fa0/1 Fa0/4.210 Fa0/5 WEB2 Fa0/3 Fa0/ SWS2 SW2 SW1 Fa0/1 Fa0/ Fa0/3 Fa0/2 Fa0/2 Fa0/12 VLAN Fa0/12 Fa0/3 VLAN X.X Trunk Access Serial MGMT IP 205 DLCI Obrázek 2: Podrobné schéma celé sítě

10 Případová studie datové sítě 10 2 Konfigurace přepínačů 2.1 Popis topologie přepínačů Každá pobočka obsahuje celkem tři přepínače. Dva přepínače jsou tzv. přístupové přepínače a jsou označeny SWX, kde X je číslo od 1 do 10 odpovídající číslu jedné z LAN připojených do přepínače. Třetí přepínač je označen SWSX, kde X reprezentuje číslo od 1 do 5 odpovídající číslu směrovače pobočky. K tomuto přepínači jsou připojené zbylé dva přepínače a také servery v servisní LAN. Do každého ze dvou přístupových přepínačů jsou připojeny počítače z obou LAN. Aby bylo možné počítače ze dvou různých LAN od sebe oddělit, používá se na těchto přepínačích technologie VLAN (Virtual LAN). Ta umožňuje přiřadit jednotlivé porty přepínače několika různým sítím. Každá VLANa má přiřazené své číslo. Podle tohoto čísla přepínač rozlišuje, o kterou VLAN se jedná. VLANy je navíc možné také pojmenovat (pro lepší orientaci). Pojmenování v každé pobočce je provedeno tak, že číslo servisní VLAN je ve tvaru 20X a její jméno je SLANX, kde X je číslo směrovače pobočky. Přístupové VLAN mají čísla ve tvaru 10X (např. LAN10 odpovídá 110) a jména LANX, kde X je číslo LAN. Na obrázku 3 je zobrazena topologie sítě v pobočce (příklad pro Plzeň). Plzeň VLAN 201 WEB1 R1 Fa0/5 Fa0/1 Fa0/4 Fa0/1 DNS1 Fa0/3 Fa0/2 SWS1 SW10 SW9 Fa0/1 Fa0/1 PC10/1 VLAN 110 Fa0/3 Fa0/2 Fa0/2 Fa0/12 Fa0/3 PC9/1 PC10/2 PC9/2 Fa0/12 VLAN 109 Obrázek 3: Topologie sítě v pobočce Plzeň

11 Případová studie datové sítě Základní konfigurace přepínače Mezi základní konfiguraci přepínače patří nastavení jeho jména (příkaz hostname). Příklad pro přepínač SW9: Switch> enable Switch# configure terminal Switch(config)# hostname SW9 SW9(config)# service password-encryption SW9(config)# enable secret cisco Zabezpeční přepínače heslem Z důvodu bezpečnosti je dobré povolit přístup k přepínačům pouze po zadaní hesla. Heslo pro přístup do privilegovaného režimu nastavíme pomocí příkazu enable secret nové_heslo. Nejprve je dobré spustit službu šifrování hesla, aby nebylo v konfiguračním souboru uloženo jako plain-text. To se provede příkazem service password-encryption. SW9(config)# service password-encryption SW9(config)# enable secret cisco Dále je dobré nastavit heslo pro přístup přes lokální a vzdálenou konzoli. To se provede nastavením rozhraní line 0 a vty 0-4. Nastavení hesla se provede příkazem password nové_heslo. Rozhraní vty představuje konzoli přístupnou přes protokol telnet. SW9(config)# line 0 SW9(config-line)# password cisco SW9(config-line)# SW9(config-line)# exit SW9(config)# line vty 0 4 SW9(config-line)# password cisco SW9(config-line)# SW9(config-line)# exit 2.3 Konfigurace přístupových přepínačů SWx Vytvoření VLAN Na přístupových přepínačích musíme nejprve vytvořit VLANy 10X (pro Plzeň 109, 110) a pojmenovat je (LAN9 a LAN10): SW9(config)# vlan 109

12 Případová studie datové sítě 12 SW9(config-vlan)# name LAN9 SW9(config-vlan)# exit SW9(config)# vlan 110 SW9(config-vlan)# name LAN10 SW9(config-vlan)# exit Přiřazení módů portům (Trunk vs Access) Každý port může být nastaven do dvou režimů access nebo trunk. Mód access znamená, že na portu bude připojeno koncové zařízení a tento port bude součástí jedné VLAN. Trunk znamená, že k tomuto portu bude připojen další přepínač nebo směrovač a bude se tímto rozhraním přenášet několik VLAN najednou. Porty na každém přístupovém přepínači jsou rozděleny podle tabulky 7 (příklad pro Plzeň a SW9). Port Připojené zařízení mód F0/1 SWS1 trunk F0/2 SW10 trunk F0/3 - F0/11 PC VLAN 10 access F0/11 - F0/24 PC VLAN 9 access Tabulka 7: Rozdělení módů portům pro přepínač SW9 Přiřazení módu portům se provede přímo na jednotlivých portech/rozhraních pomocí příkazu switch-port mode access/trunk. Přepínače Cisco umožňují konfigurovat několik rozhraní najednou a to pomocí interface range FastEthernet 0/a - b: SW9(config)# interface FastEthernet 0/1 SW9(config-if)# no shutdown SW9(config-if)# SW9(config-if)# exit SW9(config)# interface range FastEthernet 0/3-11 SW9(config-if-range)# SW9(config-if-range)# no shutdown SW9(config-if-range)# exit Přiřazení VLAN k access portům Pro access port je nutné specifikovat, do které VLAN bude patřit pomocí příkazu switchport access vlan číslo_vlan: SW9(config)# interface range FastEthernet 0/3-11 SW9(config-if-range)# switchport access vlan 110

13 Případová studie datové sítě 13 SW9(config-if-range)# exit SW9(config)# interface range FastEthernet 0/12-24 SW9(config-if-range)# switchport access vlan 109 SW9(config-if-range)# exit 2.4 Konfigurace přepínačů SWSx Vytvoření VLAN Na přepínačích SWSX je nutné vytvořit jak servisní VLANy 20X, tak i přístupové VLANy 10X pro danou pobočku. Příklad pro SWS1: SWS1(config)# vlan 109 SWS1(config-vlan)# name LAN9 SWS1(config-vlan)# exit SWS1(config)# vlan 110 SWS1(config-vlan)# name LAN10 SWS1(config-vlan)# exit SWS1(config)# vlan 201 SWS1(config-vlan)# name SLAN1 SWS1(config-vlan)# exit Přiřazení módů a portů Na přepínačích jsou tři trunk porty a dva access porty. Jejich rozdělení pro SWS1 je v tabulce 8. Port Připojené zařízení mód F0/1 R1 trunk F0/2 SW9 trunk F0/3 SW10 trunk F0/4 DNS1 access F0/5 WEB1 access Tabulka 8: Rozdělení módů portům pro přepínač SWS1 Posloupnost příkazů pro nastavení módů a přiřazení VLAN portům je obdobná jako pro přepínače SWX.

14 Případová studie datové sítě Spannig Tree Protocol (STP) Popis STP Na rozdíl od IP packetů neobsahují Ethernet rámce pole TTL. Proto v případě, že vytvoříme mezi přepínači smyčku, mohou rámce kolovat v této smyčce neomezeně dlouho a s rostoucím počtem takovýchto rámcu může dojít až k zahlcení sítě. Proti tomuto byl vyvinut protokol STP, který se stará o to, aby v případě, že jsou přepínače zapojeny do smyčky, byl vždy jeden z portů některého z přepínačů v neaktivním stavu, a tím zabránil kolování rámců. Existuje několik různých implementací protokolu STP standardizované nebo proprietární verze firmy Cisco. Na Cisco přepínačích je standartně používána implementace PVST+ (Per-VLAN Spanning Tree). Plus v názvu znamená, že podporuje zapouzdření 802.1Q. Jak již název napovídá PVST+ se konfiguruje pro každou VLAN zvlášť, tzn. že pro jednu VLAN bude některý port v neaktivním režimu, zatímco pro jinou bude v aktivním. Tím můžeme rozdělit provoz jednotlivých VLAN rovnoměrně mezi přepínači. PVST+ používá speciální algoritmus k určení, které porty mají být neaktivní. Pro tento algoritmus je nutné specifikovat, který z přepínačů bude root přepínač (přepínače si dokáží podle určitých kritérií domluvit sami, který bude root, ale pro větší kontrolu je lepší manuální nastavení) Konfigurace STP Při konfiguraci STP musíme nejdříve specifikovat, kterou implementaci STP budeme používat, a to příkazem spanning-tree mode pvst. Dále musíme nastavit, který přepínač bude pro kterou VLAN root příkazem spanning-tree vlan XXX root primary. Rozdělení, který přepínač bude pro kterou VLAN root je v tabulce 9. VLAN VLAN 109 VLAN 110 VLAN 201 Root přepínač SW9 SW10 SWS1 Tabulka 9: Rozdělení root přepínačů pro VLANy v pobočce Plzeň Konfigurace STP potom vypadá následovně: SW9(config)#spanning-tree mode pvst SW9(config)#spanning-tree vlan 109 SW9(config)#spanning-tree vlan 110 SW9(config)#spanning-tree vlan 201 SW9(config)#spanning-tree vlan 109 root primary

15 Případová studie datové sítě 15 SW9(config)#exit Na ostatních přepínačích bude konfigurace obdobná. 2.6 Nastavení management VLAN Management VLAN slouží ke konfigurací přepínačů a směrovačů na dálku pomocí protokolu telnet. Proto musí mít každé zařízení IP adresu. Na přepínači bude jako management VLAN použitá nativní vlan 1. Nejdříve je nutné přiřadit přepínači IP adresu. To se provede tím, že se přiřadí IP adresa VLAN1. Příklad pro SW9: SW9(config)# interface vlan 1 SW9(config-if)# no shutdown SW9(config-if)# ip address SW9(config-if)# exit Dále je nutné nastavit nativní VLAN pro všechny trunk rozhraní. Nativní znamená, že veškerý provoz, který nebude otagován 802.1Q, bude zařazen právě do této VLAN. Na každém rozhraní tedy nastavíme nativní VLANu: SW9(config)# interface FastEthernet 0/1 SW9(config-if)# switchport trunk native vlan 1 SW9(config-f)# exit Nakonec musíme ještě přepínači nastavit jeho výchozí bránu. Jedná se o adresu rozhraní směrovače pobočky. To je nutné z toho důvodu, aby přepínač věděl, kam má posílat data, která jsou určena pro jinou síť. SW9(config)# ip default-gateway

16 Případová studie datové sítě 16 3 Konfigurace směrovačů 3.1 Popis topologie směrovačů Každá pobočka obsahuje jeden směrovač, který se stará jak o směrovaní provozu v rámci pobočky, tak i provozu s ostatními pobočkami. Směrovače jsou označeny podle zadání R1 až R5. Směrovače jsou mezi sebou spojeny přes WAN síť Frame-Relay. Každý směrovač je rozhraním FastEthernet připojen k přepínači SWSX. Na obrázku 4 je zobrazeno zapojení směrovačů včetně přiřazených IP adres a DLCI čísel pro Frame-Relay. Fa0/1 R S0/0 Frame Relay S0/0 Fa0/1 405 R S0/0 105 Fa0/1 R1 S0/ S0/0 205 R2 Fa0/1 R3 305 Fa0/1 Obrázek 4: Schéma směrovačů 3.2 Základní konfigurace směrovačů Základní konfigurace je obdobná jako u přepínačů, tj. nastavení jména a zaheslování. Příklad pro směrovač R1: Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# service password-encryption R1(config)# enable secret cisco R1(config)# line 0 R1(config-line)# password cisco R1(config-line)# R1(config-line)# exit

17 Případová studie datové sítě 17 R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# R1(config-line)# exit 3.3 Konfigurace rozhraní s přepínačem SWSx Každá pobočka obsahuje celkem 3 VLANy. Směrovače jsou do pobočkové sítě připojeny svým rozhraním FastEthernet 0/1. VLANy zohledníme na směrovači tím, že vytvoříme na rozhraní FastEthernet 0/1 subrozhraní pro každou VLANu. To je možné provést pomocí interface FastEthernet 0/1.číslo_sub_rozhraní. V konfiguraci subrozhraní je nutné uvést, jaké zapouzdření daný trunk spoj má a ke které VLAN bude přiřazen příkazem encapsulation dot1q číslo_vlan. Nakonec se subrozhraní nastaví ip adresa použije se první adresa z rozsahu pro danou VLAN. Příklad pro směrovač R1: R1(config)# interface FastEthernet 0/1 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# interface FastEthernet 0/1.109 R1(config-if)# encapsulation dot1q 109 R1(config-if)# ip address Ostatní směrovače budou nakonfigurovány obdobně. 3.4 Konfigurace rozhraní s Frame-Relay Směrovače jsou připojeny mezi sebou WAN technologií Frame-Relay (FR). K FR přepínači jsou připojeny rozhraním Serial 0/0. Při konfiguraci je nejprve nutné nastavit na rozhraní zapouzdření frame-relay: R1(config)# interface Serial 0/0 R1(config-if)# no shutdown R1(config-if)# encapsulation frame-relay R1(config)# exit Dále je nutné vytvořit na směrovačích R1 až R4 subrozhraní pro vytvoření point-topoint spoje se směrovačem R5. Subrozhraní bude číselně označeno stejně jako DLCI číslo Frame-Relay. O DLCI a Frame-Relay více v kapitole 4. Dále musíme subrozhraní přiřadit FR DLCI číslo pomocí příkazu frame-relay intertface-dlci DLCI_číslo. Nakonec specifikujeme IP adresu. První IP adresa z rozsahu pro point-to-point spoj mezi směrovačem R5 a směrovačem R1 až R4 je na R5, druhá na R1 až R4.

18 Případová studie datové sítě 18 R1(config)# interface Serial 0/0.105 point-to-point R1(config-if)# frame-relay interface-dlci 105 R1(config-if)# ip address R1(config-if)# exit Na směrovači R5 bude konfigurace trochu složitější kvůli tomu, že všechny point-topoint spoje jsou mezi tímto směrovačem a vždy jedním z R1 až R4. Proto musí být pro každý takovýto spoj vyhrazeno jedno subrozhraní. R5(config)# interface Serial 0/0 R5(config-if)# encapsulation frame-relay R5(config-if)# no shutdown R5(config-if)# exit R5(config)# interface Serial 0/0.501 point-to-point R5(config-if)# frame-relay interface-dlci 501 R5(config-if)# ip address R5(config-if)# exit R5(config)# interface Serial 0/0.502 point-to-point R5(config-if)# frame-relay interface-dlci 502 R5(config-if)# ip address R5(config-if)# exit... V tabulce 10 jsou uvedeny příslušené IP adresy point-to-point spojů. RX IP adresa R5 DLCI R5 IP adresa RX DLCI RX R R R R Tabulka 10: IP adresy point-to-point rozhraní 3.5 Konfigurace směrovacích tabulek Aby směrovače mohly správně směrovat provoz, je nutné nakonfigurovat na každém směrovací tabulky. V případě směrovačů R1 až R4 postačí, když na každém nakonfigurujeme pouze defaultní cestu pomocí ip route adresa_sítě maska výstupní_rozhraní, jelikož směrovač R5 je centrální směrovač: R1(config)# ip route Serial 0/0.105

19 Případová studie datové sítě 19 Na směrovači R5 musíme již specifikovat všechny sítě, nelze použít defaulní cestu. Některé sítě můžeme sumarizovat. To znamená, že dvě LAN můžeme směrovat pouze jedním záznamem ve směrovací tabulce. R5(config)# ip route Serial 0/0.501 R5(config)# ip route Serial 0/0.501 R5(config)# ip route Serial 0/ V tabulce 11 jsou uvedeny všechny cesty. Síť Maska Výstupní rozhraní Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/ Serial 0/0.504 Tabulka 11: Směrovací tabulka směrovače R5 3.6 Konfigurace access-listů Abychom zabránili nepovolaným osobám přístup na směrovače a přepínače, je nutné na směrovačích nakonfigurovat přístupová omezení. Cílem je zamezit připojení na směrovače a přepínače z jiných LAN než z mangement LAN. Na každém směrovači tedy vytvoříme access-list, který povoluje připojení pouze z management VLAN pomocí příkazu access-list číslo permit ip_adresa wild_mask. Příklad pro směrovač R1: R1(config)# access-list 1 permit Tento access-list povolí 8 adres pod , které nejsou alokovány. Je to proto, abychom mohli access list rozumně sumarizovat. Jinak bychom měli tři záznamy na každém směrovači. Adresy zatím sice nejsou alokovány, ale do budoucna budou pro jistotu rezervovány.

20 Případová studie datové sítě 20 Vytvořené access-listy přiřadíme rozhraní FastEthernet 0/1 a virtuální konzoli vty 0-4: R5(config)# interface FastEthernet 0/1 R5(config-if)# ip access-group 1 out R5(config-if)# exit R5(config)# line vty 0 4 R5(config-line)# access-class 1 in R5(config-line)# exit Po aplikování těchto access-listů bude možno se připojit telnetem na jakýkoliv směrovač či přepínač z jakéhokoliv zařízení v management LAN, ale nebude to možné z jiné LAN. Pokud bychom chtěli dovolit přístup některému z počítačů, stačí přidat do accesslistů jeho IP adresu: R1(config)# access-list 1 permit Konfigurace DHCP Abychom nemuseli zadávat IP adresy jednotlivým počítačům ručně, použijeme DHCP server. Na Cisco směrovačích je možné tuto službu nastavit. Nejdříve je nutné spustit službu DHCP pomocí service dhcp. Poté vytvoříme dhcp pool pro naši síť pomocí ip dhcp pool adresa_sítě/maska. Nastavíme síť, bránu a dns server. Níže je uveden příklad pro směrovač R3 a síť /23: R3(config)#service dhcp R3(config)#ip dhcp pool /23 R3(dhcp-config)#network R3(dhcp-config)#default-router R3(dhcp-config)#dns-server R3(dhcp-config)#exit Na každém směrovači vytvoříme dva dhcp pooly pro obě uživatelské LAN. Pro servisní LAN dhcp použito nebude.

21 Případová studie datové sítě 21 4 Konfigurace Frame Relay 4.1 Popis Frame-Relay Síť Frame-Relay je síť přepínaných virtuálních okruhů, která nahradila starší technologii X.25. V dnešní době je již však FR spíše na ústupu a nahrazuje se modernější technologií MPLS. V síti FR se vyskytují dva druhy zařízení DTE (Device Termination Equipment) a DCE (Device Communications Equipment). Zařízení DTE jsou koncová zařízení, která se připojují do FR sítě. DCE jsou většinou FR přepínače ve FR síti, ke kterým se připojují DTE zařízení. Pro spojení dvou zařízení DTE na okrajích FR sítě, se vytváří virtuální okruhy. Tyto okruhy jsou v síti označeny identifikátory DLCI. Tyto identifikátory mají jen lokální význam, nejsou v celé síti unikátní. U zařízení DCE rozlišujeme podle zapojení dva druhy rozhraní UNI nebo NNI. UNI (User Network Interface) je rozhraní, ke kterému je připojeno zařízení DTE. NNI (Network to Netwok Interface) je rozhraní, ke kterému je připojeno další zařízení DCE. 4.2 Rozvržení identifikátorů DLCI Síť FR bude obsahovat celkem tři Frame-Relay přepínače FRS1, FRS2 a FRS3. Tyto přepínače jsou spojeny do trojúhelníku. K přepínači FRS3 je připojen směrovač R5, na který jsou směřovány všechny okruhy z ostatních směrovačů. Identifikátory DLCI se běžně volí z rozmezí Čísla pod 16 a nad 991 jsou rezervována pro speciální účely. Proto byly DLCI voleny tak, že na straně směrovačů R1 až R4 jsou ve tvaru X05, kde X je číslo směrovače. Na straně směrovače R5 jsou okruhy označeny 50X, kde X je označení směrovačů R1 až R4. Mezi FR přepínači FRS1 až FRS3 jsou okruhy označeny X15, kde X je opět číslo jednoho ze směrovačů R1 až R4. DLCI čísla jsou zobrazena na obrázku 5 a v tabulce 12. Zařízení DLCI R1 - FRS1 105 R2 - FRS2 205 R3 - FRS2 305 R4 - FRS3 405 R5 - FRS3 501, 502, 503, 504 FRS1 - FRS3 115 FRS2 - FRS3 215, 315 Tabulka 12: Rozvržení DLCI identifikátorů