Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava Semestrální projekt 2. část Počítačové sítě Pavel Příkaský (PRI205) Roman Zajíc (ZAJ34) Martin Dočkal (DOC068) Tomáš Jeřábek (JER042) 2008
Zadání Firma Apple Topologie Počty stanic na podsítích VLAN A - 63 VLAN B - 32 VLAN C - 6 S - 32 IP veřejné.2.6.0/22 IP privátní 0.208..0/24 Segment s NAT S Velikost NAT poolu 32 Čísla VLAN VLAN A - 0 VLAN B - 02 VLAN C - 03 Segment s DNS serverem VLAN A Segment s DHCP VLAN A Směrovací protokol OSPF ACL T VLAN B N S Záznamy pro reverzní překlad v DNS 6.2..in-addr.arpa. NS X.X.X.X poskytovatele 7.2..in-addr.arpa. NS X.X.X.X (místo X.X.X.X patří IP adresa vašeho DNS 8.2..in-addr.arpa. NS X.X.X.X serveru uveďte v dokumentaci) 9.2..in-addr.arpa. NS X.X.X.X
Adresní plán Topologie Netmask: 255.255.255.28 = 25, 255.255.255.0 = 24 Označení Adresa/maska Adresa výchozí Rozsah podsítě brány použitelných IP adres (alternativní) stanic A.2.6.0/25.2.6..2.6.3 - (.2.6.2).2.6.26 B.2.6.28/25.2.6.29.2.6.30 -.2.6.254 C.2.7.0/25.2.7..2.7.2 -.2.7.26 D.2.7.28/25.2.7.29.2.7.3 -.2.7.30.2.7.254 E.2.8.0/25.2.8..2.8.3 -.2.8.2.2.8.26 F (NAT).2.8.28/25.2.8.29 -.2.8.254 G 0.208..0/24 0.208.. 0.208..2-0.208..254 Broadcast adresa.2.6.27.2.6.255.2.7.27.2.7.255.2.8.27.2.8.255 0.208..255 Adresa DNS serveru:.2.6.3 2
Popis namapování síťových prvků Propojení zařízení: device:interface ISP:eth0 -- ISP-R -- R:ethernet0 PCC:eth0 -- SW2-PCC -- SW2:fastethernet0/6 PCB:eth0 -- SW-PCB -- SW:fastethernet0/4 PCA:eth0 -- SW-PCA -- SW:fastethernet0/3 PC:eth0 -- R3-PC -- R3:ethernet R3:serial0 -- R-R3 -- R:serial R3:serial -- R2-R3 -- R2:serial R3:ethernet0 -- SW2-R3 -- SW2:fastethernet0/5 R2:ethernet0 -- SW-R2 -- SW:fastethernet0/5 R2:ethernet -- SW2-R2 -- SW2:fastethernet0/4 R:ethernet -- R-SW -- SW:fastethernet0/ SW2:fastethernet0/2 -- SW-SW2 -- SW:fastethernet0/2 3
Zabezpečení sítě ACL Tabulky pravidel Ze sítě Pořadí Povolení/zákaz L3/L4 Zdrojová Zdrojový Cílová Cílový Omezení protokol adresa/maska port adresa/maska port povolit TCP.2.6.28/25 * 40.0.0./32 23 2 zakázat TCP.2.8.28/25 * 30.0.0.0/32 80 3 zakázat TCP.2.8.28/25 * 30.0.0.0/32 443 4 povolit TCP * * * 80 5 povolit TCP * * * 443 6 povolit UDP.2.6.3/32 53 * * 7 povolit TCP.2.6.3/32 53 * * 8 povolit UDP * * * 53 9 povolit TCP * * * 53 0 povolit ICMP * * echo povolit ICMP.2.6.3/32 * echo-reply 2 zakázat IP.2.6.0/22 * 3 zakázat IP 0.208..0/24 * 4 zakázat IP * * Do sítě Pořadí Povolení/zákaz L3/L4 Zdrojová Zdrojový Cílová Cílový Omezení protokol adresa/maska port adresa/maska port povolit TCP 40.0.0./32 23.2.6.28/25 * established 2 zakázat TCP 30.0.0.0/32 80.2.8.28/25 * 3 zakázat TCP 30.0.0.0/32 443.2.8.28/25 * 4 povolit TCP * 80 * * established 5 povolit TCP * 443 * * established 6 povolit UDP * *.2.6.3/32 53 7 povolit TCP * *.2.6.3/32 53 8 povolit UDP * 53 * * 9 povolit TCP * 53 * * established 0 povolit ICMP * * echo-reply povolit ICMP *.2.6.3/32 echo 2 zakázat IP.2.6.0/22 * 3 zakázat IP 0.208..0/24 * 4 zakázat IP * * 4
Konfigurace Vytvoření ACL pro odchozí směr R>enable R#configure terminal R(config)#access-list 0 permit tcp.2.6.28 0.0.0.27 host 40.0.0. eq 23 R(config)#access-list 0 deny tcp.2.8.28 0.0.0.27 host 30.0.0.0 eq 80 R(config)#access-list 0 deny tcp.2.8.28 0.0.0.27 host 30.0.0.0 eq 433 R(config)#access-list 0 permit tcp any any eq 80 R(config)#access-list 0 permit tcp any any eq 433 R(config)#access-list 0 permit udp host.2.6.3 eq 53 any R(config)#access-list 0 permit tcp host.2.6.3 eq 53 any R(config)#access-list 0 permit udp any any eq 53 R(config)#access-list 0 permit tcp any any eq 53 R(config)#access-list 0 permit icmp any any echo R(config)#access-list 0 permit icmp host.2.6.3 any echo-reply R(config)#access-list 0 deny ip.2.6.0 0.0.3.255 any R(config)#access-list 0 deny ip 0.208..0 0.0.0.255 any Vytvoření ACL pro příchozí směr R(config)#access-list 02 permit tcp host 40.0.0. eq 23.2.6.28 0.0.0.27 established R(config)#access-list 02 deny tcp host 30.0.0.0 eq 80.2.8.28 0.0.0.27 R(config)#access-list 02 deny tcp host 30.0.0.0 eq 443.2.8.28 0.0.0.27 R(config)#access-list 02 permit tcp any eq 80 any established R(config)#access-list 02 permit tcp any eq 443 any established R(config)#access-list 02 permit udp any host.2.6.3 eq 53 R(config)#access-list 02 permit tcp any host.2.6.3 eq 53 R(config)#access-list 02 permit udp any eq 53 any R(config)#access-list 02 permit tcp any eq 53 any established R(config)#access-list 02 permit icmp any any echo-reply R(config)#access-list 02 permit icmp any host.2.6.3 echo R(config)#access-list 02 deny ip.2.6.0 0.0.3.255 any R(config)#access-list 02 deny ip 0.208..0 0.0.0.255 any Přiřazení ACL na rozhraní a určení směrů filtrace R(config)#interface ethernet 0 R(config-if)#ip access-group 0 out R(config-if)#ip access-group 02 in 5
DNS server Konfigurace (adresa DNS serveru:.2.6.3) Soubor named.conf zone "apple.isp.cz" { type master; file "apple.isp.cz.db"; }; zone "6.2..in-addr.arpa." IN { type master; file "6.2..in-addr.arpa.db"; }; zone "7.2..in-addr.arpa." IN { type master; file "7.2..in-addr.arpa.db"; }; zone "8.2..in-addr.arpa." IN { type master; file "8.2..in-addr.arpa.db"; }; Soubor apple.isp.cz.db TTL 0800 $ORIGIN isp.cz. apple IN SOA ( ns.apple office.apple.cz. 0800 3600 777600 3600); $ORIGIN apple.isp.cz. IN NS ns ns IN A.2.6.3 ethernet0-r2 A.2.7. ethernet0-r3 A.2.6.29 ethernet-r A.2.6. ethernet-r2 A.2.6.2 serial0-r3 A.2.7.30 serial-r A.2.7.29 serial-r2 A.2.8.2 serial-r3 A.2.8. 6
Soubor 6.2..in-addr.arpa.db $TTL 0800 @ IN SOA ( ns.apple.isp.cz office.apple.cz. 0800 3600 777600 3600); IN NS ns ns IN A.2.6.3 PTR ethernet-r.apple.isp.cz. 2 PTR ethernet-r2.apple.isp.cz. 29 PTR ethernet0-r3.apple.isp.cz. Soubor 7.2..in-addr.arpa.db $TTL 0800 @ IN SOA ( ns.apple.isp.cz office.apple.cz. 0800 3600 777600 3600); IN NS ns ns IN A.2.6.3 PTR ethernet0-r2.apple.isp.cz. 30 PTR serial0-r3.apple.isp.cz. 29 PTR serial-r.apple.isp.cz. Soubor 8.2..in-addr.arpa.db $TTL 0800 @ IN SOA ( ns.apple.isp.cz office.apple.cz. 0800 3600 777600 3600); IN NS ns ns IN A.2.6.3 PTR serial-r3.apple.isp.cz. 2 PTR serial-r2.apple.isp.cz. Spuštění: named g c /etc/bind/named.conf nslookup server localhost set type=a apple.isp.cz.db 7
Prohlašuji že jsem se podílel na návrhu této části projektu a souhlasím s odevzdáním takto vypracované práce....... Pavel Příkaský Roman Zajíc...... Martin Dočkal Tomáš Jeřábek 8