ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická Katedra telekomunikační techniky Případová studie datové sítě X32KDS - Komunikace v datových sítích Skupina: Vypracovali: X32KDS PO 9.15h Daniel Tureček Michal Vondra Michal Tripes Jan Vobořil Roman Wiesner
Obsah Úvod 5 1 Adresace sítě 6 1.1 Úvod...................................... 6 1.2 Rozdělení IP adres.............................. 6 2 Konfigurace přepínačů 10 2.1 Popis topologie přepínačů.......................... 10 2.2 Základní konfigurace přepínače....................... 11 2.3 Konfigurace přístupových přepínačů SWx.................. 11 2.4 Konfigurace přepínačů SWSx........................ 13 2.5 Spannig Tree Protocol (STP)........................ 14 2.6 Nastavení management VLAN........................ 15 3 Konfigurace směrovačů 16 3.1 Popis topologie směrovačů.......................... 16 3.2 Základní konfigurace směrovačů....................... 16 3.3 Konfigurace rozhraní s přepínačem SWSx.................. 17 3.4 Konfigurace rozhraní s Frame-Relay..................... 17 3.5 Konfigurace směrovacích tabulek....................... 18 3.6 Konfigurace access-listů............................ 19 3.7 Konfigurace DHCP.............................. 20 4 Konfigurace Frame Relay 21 4.1 Popis Frame-Relay.............................. 21 4.2 Rozvržení identifikátorů DLCI........................ 21 4.3 Přepínací tabulky FR přepínačů....................... 22 4.4 Konfigurace Frame-Relay........................... 23 5 Konfigurace DNS 25 5.1 Popis DNS................................... 25 2
5.2 DNS pro zónu cs.cz.............................. 25 5.3 Zónové soubory................................ 27 6 Závěr 30 Seznam použitých zdrojů 31 Přílohy 32 A Konfigurační soubory pro přepínače 32 A.1 Přepínač SW1................................. 32 A.2 Přepínač SW2................................. 33 A.3 Přepínač SW3................................. 35 A.4 Přepínač SW4................................. 36 A.5 Přepínač SW5................................. 38 A.6 Přepínač SW6................................. 39 A.7 Přepínač SW7................................. 40 A.8 Přepínač SW8................................. 42 A.9 Přepínač SW9................................. 43 A.10 Přepínač SW10................................ 45 A.11 Přepínač SWS1................................ 46 A.12 Přepínač SWS2................................ 47 A.13 Přepínač SWS3................................ 49 A.14 Přepínač SWS4................................ 50 A.15 Přepínač SWS5................................ 51 B Konfigurační soubory pro směrovače 52 B.1 Směrovač R1................................. 52 B.2 Směrovač R2................................. 53 B.3 Směrovač R3................................. 54 B.4 Směrovač R4................................. 55 B.5 Směrovač R5................................. 57 3
C Konfigurační soubory pro FR přepínače 58 C.1 Přepínač FRS1................................ 58 C.2 Přepínač FRS2................................ 59 C.3 Přepínač FRS3................................ 60 D DNS Zónové soubory 61 D.1 Zónový soubor pro centrálu......................... 61 D.2 Reverse zónový soubor pro centrálu..................... 62 D.3 Zónový soubor pro pobočku Praha..................... 62 D.4 Reverse zónový soubor pro pobočku Praha................. 62 D.5 Zónový soubor pro pobočku Plzeň...................... 63 D.6 Reverse zónový soubor pro pobočku Plzeň................. 63 D.7 Zónový soubor pro pobočku České Budějovice............... 64 D.8 Reverse zónový soubor pro pobočku České Budějovice........... 64 D.9 Zónový soubor pro pobočku Brno...................... 64 D.10 Reverse zónový soubor pro pobočku Brno.................. 65 D.11 Zónový soubor pro pobočku Ostrava.................... 65 D.12 Reverse zónový soubor pro pobočku Ostrava................ 65 4
Případová studie datové sítě 5 Úvod Cílem tohoto projektu je navrhnout datovou síť pro firmu Carrier Services, která působí na celém území České republiky. Má pobočky v pěti městech Praha, Brno, Plzeň, Ostrava a České Budějovice. Síť bude centrálně orientovaná, tj. všechny pobočky budou připojeny do centrály v Praze a bude založena na technologii TCP/IP. Jednotlivé pobočky budou mezi sebou propojeny virtuálními datovými okruhy založených na technologii Frame-Relay. Každá pobočka bude obsahovat centrální směrovač, který se bude starat o směrování provozu v pobočce a směrování provozu s dalšími pobočkami. V každé pobočce budou dvě oddělení provozní a účetní. Tato oddělení budou mít svou vlastní LAN síť realizovanou virtuální lokální síti VLAN. Navíc bude v pobočce další LAN síť servisní, která bude sloužit pro připojení serverů pobočky (WEB server, Mail server a DNS server). DNS server bude poskytovat pro celou pobočku jmenný systém. Úkolem projektu bude navrhnou adresaci celé sítě, tj. alokovat jednotlivým sítím rozsah IP adres z přiděleného rozsahu a určit IP adresy serverů, směrovačů a uživatelských počítačů v každé pobočce. Dále bude nutné navrhnout konfiguraci pobočkových směrovačů a LAN přepínačů. V případě LAN přepínačů bude navrženo pojmenování jednotlivých virtuálních lokálních sítí. Trochu netypickým úkolem projektu bude konfigurace sítě Frame Relay, která je bežně zákaznickým sítím skryta. Pro tuto síť bude nutné navrhnout DLCI čísla pro jednotlivé okruhy a IP adresy pro tyto point-to-point spoje. V neposlední řadě bude provedena konfigurace DNS serverů v jednotlivých pobočkách.
Případová studie datové sítě 6 1 Adresace sítě 1.1 Úvod Při realizaci sítě je první věcí, kterou je nutné provést, topologický návrh celé sítě, tj. jak budou zařízení (směrovače, přepínače, servery a koncové počítače) mezi sebou zapojeny a jak budou rozděleny do logických celků. Tato část návrhu je již definována v zadání. Po topologickém návrhu je nutné rozvrhnout rozdělení IP adres jednotlivým LAN sítím, směrovačů a koncovým zařízením. V zadání byl přidělen celé síti rozsah IP adres 10.136.176.0/20. Na obrázku 1 je zobrazeno schéma celé sítě s LAN sítěmi. LAN8 LAN6 LAN7 LANS5 LAN5 LANS4 R5 LAN54 R4 Frame Relay LAN9 LAN10 LAN51 R1 R2 LAN52 LAN53 R3 LAN3 LAN4 LANS1 LAN1 LANS2 LANS3 LAN2 Obrázek 1: Schéma LAN sítí Síť je rozdělena na 5 poboček (směrovače R1 až R5), které obsahují 3 LAN sítě. Dvě LAN sítě pro uživatelské zařízení LANX a jednu servisní LAN síť SLANX. Dále jsou mezi směrovači R1 až R4 a směrovačem R5 další LAN sítě označené LAN5X. V každé pobočce je ještě management LAN síť (LANMX), ve které jsou všechny přepínače a směrovače. Všem těmto LAN sítím je nutné přiřadit část IP adres ze zadaného rozsahu. 1.2 Rozdělení IP adres V zadání jsou určeny požadavky na počet koncových systémů pro jednotlivé LAN sítě. V management LAN byl počet koncových systému stanoven na 4 (3 přepínače a jeden směrovač). V tabulce 1 je uvedeno rozdělení IP adres pro jednotlivé LAN sítě. Adresování bylo provedeno od LAN sítí s největším počtem počítačů po LAN sítě s nejmenším počtem. Podle požadavků na koncové zařízení (hosty), se přiřadila k LAN síti
Případová studie datové sítě 7 Síť Hosti Adresa sítě Maska Rozsah IP pro IP brány DNS Broadcast hosty LAN3 273 10.136.176.0 23.176.1-.177.254.176.1.185.130.177.255 LAN4 171 10.136.178.0 24.1 -.254.178.1.185.130.178.255 LAN7 244 10.136.179.0 24.1 -.254.179.1.185.194.179.255 LAN8 141 10.136.180.0 24.1 -.254.180.1.185.194.180.255 LAN10 239 10.136.181.0 24.1 -.254.181.1.185.66.181.255 LAN9 122 10.136.182.0 24.1 -.254.182.1.185.66.182.127 LAN2 149 10.136.183.0 24.1 -.254.183.1.185.98.183.255 LAN1 80 10.136.184.0 24.1 -.254.184.1.185.98.184.255 LAN5 21 10.136.185.0 27.1 -.30.185.1.185.162.185.31 LAN6 15 10.136.185.32 27.33 -. 62.185.33.185.162.185.63 LANS1 27 10.136.185.64 27.65 -. 94.185.65.185.95 LANS2 27 10.136.185.96 27.97-126.185.97.185.127 LANS3 27 10.136.185.128 27.129 -.158.185.129.185.159 LANS4 27 10.136.185.160 27.161 -.190.185.161.185.191 LANS5 27 10.136.185.192 27.193 -.222.185.193.185.223 LANM1 4 10.136.191.200 29.201 -.206.191.201.191.207 LANM2 4 10.136.191.208 29.209 -.214.191.209.191.215 LANM3 4 10.136.191.216 29.217 -.222.191.217.191.223 LANM4 4 10.136.191.224 29.225 -.230.191.225.191.231 LANM5 4 10.136.191.232 29.233 -.238.191.233.191.239 LAN51 2 10.136.191.240 30.241 -.242.191.243 LAN52 2 10.136.191.244 30.245 -.246.191.247 LAN53 2 10.136.191.248 30.249 -.250.191.251 LAN54 2 10.136.191.252 30.253 -.254.191.255 Tabulka 1: Adresace jednotlivých LAN sítí (R1) nejbližší vyšší možná maska, tj. např. pro LAN4 (171 hostů) maska /24 (255 adres). U sítí LAN9 a LAN1 by postačovala maska /25 (128 adres), z důvodů větší přehlednosti sítě, sumarizace na směrovačích a rezervy byla zvolena maska /24. Management LAN a point-to-point LAN byly zařazeny na konec přiděleného adresního prostoru proto, aby bylo možné přidat další LAN sítě. Tyto adresy jsou pouze servisní a nebudou přístupné uživatelům sítě. Přiřazení adres koncovým zařízením bylo provedeno tak, že vždy první adresa z rozsahu pro danou LAN síť byla přidělena rozhraní směrovače. V servisních LAN sítích byla druhá adresa přiřazena DNS serveru a třetí WEB+MAIL serveru. V management LAN je první adresa také přidělena směrovači, druhá potom přepínači SWSX, třetí adresa přepínači SWX s nižším číslem a čtvrtá přepínači SWX s větším číslem. Na obrázku 2 je zobrazena celá síť i s přiřazenými IP adresami jednotlivým koncovým zařízením. V tabulkách 2 až 6 je sepsáno adresování LAN pro jednotlivé pobočky.
Případová studie datové sítě 8 Síť Adresa sítě Maska IP brány DNS Broadcast LAN9 10.136.182.0 255.255.255.0.182.1.185.66.182.127 LAN10 10.136.181.0 255.255.255.0.181.1.185.66.181.255 LANS1 10.136.185.64 255.255.255.224.185.65.185.95 LANM1 10.136.191.200 255.255.255.248.191.201.191.199 LAN51 10.136.191.240 255.255.255.252.191.243 Tabulka 2: Adresace pobočky Plzeň (R1) Síť Adresa sítě Maska IP brány DNS Broadcast LAN1 10.136.184.0 255.255.255.0.184.1.185.98.184.255 LAN2 10.136.183.0 255.255.255.0.183.1.185.98.183.255 LANS2 10.136.185.96 255.255.255.224.185.97.185.127 LANM2 10.136.191.208 255.255.255.248.191.209.191.215 LAN52 10.136.191.244 255.255.255.252.191.247 Tabulka 3: Adresace pobočky České Budějovice (R2) Síť Adresa sítě Maska IP brány DNS Broadcast LAN3 10.136.176.0 255.255.254.0.176.1.185.130.177.255 LAN4 10.136.178.0 255.255.255.0.178.1.185.130.178.255 LANS3 10.136.185.128 255.255.255.224.185.129.185.159 LANM3 10.136.191.216 255.255.255.248.191.217.191.223 LAN53 10.136.191.248 255.255.255.252.191.251 Tabulka 4: Adresace pobočky Brno (R3) Síť Adresa sítě Maska IP brány DNS Broadcast LAN5 10.136.185.0 255.255.255.224.185.1.185.162.185.31 LAN6 10.136.185.32 255.255.255.224.185.33.185.162.185.63 LANS4 10.136.185.160 255.255.255.224.185.161.185.191 LANM4 10.136.191.224 255.255.255.248.191.225.191.231 LAN54 10.136.191.252 255.255.255.252.191.255 Tabulka 5: Adresace pobočky Ostrava (R4) Síť Adresa sítě Maska IP brány DNS Broadcast LAN7 10.136.179.0 255.255.255.0.179.1.185.194.179.255 LAN8 10.136.180.0 255.255.255.0.180.1.185.194.180.255 LANS5 10.136.185.192 255.255.255.224.185.193.185.223 LANM5 10.136.191.232 255.255.255.248.191.233.191.239 Tabulka 6: Adresace pobočky Praha (R5)
Případová studie datové sítě 9.180.2 PC8/1.179.2 PC7/1.180.3 PC8/2.179.3 PC7/2 Fa0/2 VLAN Fa0/3 205.234 Fa0/4 Praha Fa0/1 Fa0/5 SWS5 DNS5.191.241 Fa0/1.185.194 Fa0/6.191.245 Fa0/7.191.249 R5.191.253 WEB5.233 S0/0.185.195 WEBC 501,502, DNSC 503,504.185.196.185.197.185.34 PC6/1.185.2 PC5/1.185.3 PC5/2.185.35 PC6/2 VLAN Fa0/12 Fa0/3 Fa0/3 VLAN VLAN 108 Fa0/2 Fa0/2 Fa0/12 VLAN Fa0/12 Fa0/3 Fa0/12 107 106 Fa0/2 Fa0/2 105.236 Fa0/3.235 SW8 Fa0/1 Fa0/1.228.227 SW7 SW6 Fa0/1 Fa0/1 SW5 Ostrava S0/0.191.254 Fa0/1 405 Fa0/3.226 Fa0/1 R4.225 SWS4 Fa0/4 Fa0/2 Fa0/5 DNS4 WEB4.184.162.184.163 VLAN 204 Frame Relay PC10/1.191.242 S0/0 105 VLAN 201 WEB1 R1.185.67 Fa0/5 Fa0/1.201 Fa0/1 Fa0/4.202 Plzeň DNS1 Fa0/3 Fa0/2.185.66 SWS1 SW10 SW9 Fa0/1 Fa0/1.203.204 VLAN Fa0/2 Fa0/2 Fa0/12 Fa0/3 VLAN 110 Fa0/3 Fa0/12 109 PC9/1 PC9/2 PC10/2 PC4/1 VLAN.191.250 305 203 S0/0 DNS3 R3.185.130 Fa0/1.217 Fa0/4 WEB3 Fa0/1 Fa0/5.185.131 Brno.218 Fa0/3 Fa0/2 SWS3 SW4 SW3 Fa0/1 Fa0/1.220.219 VLAN 104 Fa0/3 PC3/1 Fa0/2 Fa0/2 Fa0/12 PC3/2 Fa0/12 Fa0/3 VLAN 103 PC4/2.181.2.182.2 PC2/1.182.3.183.2 PC1/1.184.2.181.3 PC1/2.184.3.178.2 PC2/2.183.3.176.2.191.246 S0/0 205 VLAN R2 202.209 České Fa0/1 DNS2.185.98 Budějovice Fa0/1 Fa0/4.210 Fa0/5 WEB2 Fa0/3 Fa0/2.185.99 SWS2 SW2 SW1 Fa0/1 Fa0/1.211.212 Fa0/3 Fa0/2 Fa0/2 Fa0/12 VLAN Fa0/12 Fa0/3 VLAN 102 101.176.3.178.3 10.136.X.X Trunk Access Serial 10.136.191.201 MGMT IP 205 DLCI Obrázek 2: Podrobné schéma celé sítě
Případová studie datové sítě 10 2 Konfigurace přepínačů 2.1 Popis topologie přepínačů Každá pobočka obsahuje celkem tři přepínače. Dva přepínače jsou tzv. přístupové přepínače a jsou označeny SWX, kde X je číslo od 1 do 10 odpovídající číslu jedné z LAN připojených do přepínače. Třetí přepínač je označen SWSX, kde X reprezentuje číslo od 1 do 5 odpovídající číslu směrovače pobočky. K tomuto přepínači jsou připojené zbylé dva přepínače a také servery v servisní LAN. Do každého ze dvou přístupových přepínačů jsou připojeny počítače z obou LAN. Aby bylo možné počítače ze dvou různých LAN od sebe oddělit, používá se na těchto přepínačích technologie VLAN (Virtual LAN). Ta umožňuje přiřadit jednotlivé porty přepínače několika různým sítím. Každá VLANa má přiřazené své číslo. Podle tohoto čísla přepínač rozlišuje, o kterou VLAN se jedná. VLANy je navíc možné také pojmenovat (pro lepší orientaci). Pojmenování v každé pobočce je provedeno tak, že číslo servisní VLAN je ve tvaru 20X a její jméno je SLANX, kde X je číslo směrovače pobočky. Přístupové VLAN mají čísla ve tvaru 10X (např. LAN10 odpovídá 110) a jména LANX, kde X je číslo LAN. Na obrázku 3 je zobrazena topologie sítě v pobočce (příklad pro Plzeň). Plzeň VLAN 201 WEB1 R1 Fa0/5 Fa0/1 Fa0/4 Fa0/1 DNS1 Fa0/3 Fa0/2 SWS1 SW10 SW9 Fa0/1 Fa0/1 PC10/1 VLAN 110 Fa0/3 Fa0/2 Fa0/2 Fa0/12 Fa0/3 PC9/1 PC10/2 PC9/2 Fa0/12 VLAN 109 Obrázek 3: Topologie sítě v pobočce Plzeň
Případová studie datové sítě 11 2.2 Základní konfigurace přepínače Mezi základní konfiguraci přepínače patří nastavení jeho jména (příkaz hostname). Příklad pro přepínač SW9: Switch> enable Switch# configure terminal Switch(config)# hostname SW9 SW9(config)# service password-encryption SW9(config)# enable secret cisco Zabezpeční přepínače heslem Z důvodu bezpečnosti je dobré povolit přístup k přepínačům pouze po zadaní hesla. Heslo pro přístup do privilegovaného režimu nastavíme pomocí příkazu enable secret nové_heslo. Nejprve je dobré spustit službu šifrování hesla, aby nebylo v konfiguračním souboru uloženo jako plain-text. To se provede příkazem service password-encryption. SW9(config)# service password-encryption SW9(config)# enable secret cisco Dále je dobré nastavit heslo pro přístup přes lokální a vzdálenou konzoli. To se provede nastavením rozhraní line 0 a vty 0-4. Nastavení hesla se provede příkazem password nové_heslo. Rozhraní vty představuje konzoli přístupnou přes protokol telnet. SW9(config)# line 0 SW9(config-line)# password cisco SW9(config-line)# SW9(config-line)# exit SW9(config)# line vty 0 4 SW9(config-line)# password cisco SW9(config-line)# SW9(config-line)# exit 2.3 Konfigurace přístupových přepínačů SWx 2.3.1 Vytvoření VLAN Na přístupových přepínačích musíme nejprve vytvořit VLANy 10X (pro Plzeň 109, 110) a pojmenovat je (LAN9 a LAN10): SW9(config)# vlan 109
Případová studie datové sítě 12 SW9(config-vlan)# name LAN9 SW9(config-vlan)# exit SW9(config)# vlan 110 SW9(config-vlan)# name LAN10 SW9(config-vlan)# exit 2.3.2 Přiřazení módů portům (Trunk vs Access) Každý port může být nastaven do dvou režimů access nebo trunk. Mód access znamená, že na portu bude připojeno koncové zařízení a tento port bude součástí jedné VLAN. Trunk znamená, že k tomuto portu bude připojen další přepínač nebo směrovač a bude se tímto rozhraním přenášet několik VLAN najednou. Porty na každém přístupovém přepínači jsou rozděleny podle tabulky 7 (příklad pro Plzeň a SW9). Port Připojené zařízení mód F0/1 SWS1 trunk F0/2 SW10 trunk F0/3 - F0/11 PC VLAN 10 access F0/11 - F0/24 PC VLAN 9 access Tabulka 7: Rozdělení módů portům pro přepínač SW9 Přiřazení módu portům se provede přímo na jednotlivých portech/rozhraních pomocí příkazu switch-port mode access/trunk. Přepínače Cisco umožňují konfigurovat několik rozhraní najednou a to pomocí interface range FastEthernet 0/a - b: SW9(config)# interface FastEthernet 0/1 SW9(config-if)# no shutdown SW9(config-if)# SW9(config-if)# exit SW9(config)# interface range FastEthernet 0/3-11 SW9(config-if-range)# SW9(config-if-range)# no shutdown SW9(config-if-range)# exit 2.3.3 Přiřazení VLAN k access portům Pro access port je nutné specifikovat, do které VLAN bude patřit pomocí příkazu switchport access vlan číslo_vlan: SW9(config)# interface range FastEthernet 0/3-11 SW9(config-if-range)# switchport access vlan 110
Případová studie datové sítě 13 SW9(config-if-range)# exit SW9(config)# interface range FastEthernet 0/12-24 SW9(config-if-range)# switchport access vlan 109 SW9(config-if-range)# exit 2.4 Konfigurace přepínačů SWSx 2.4.1 Vytvoření VLAN Na přepínačích SWSX je nutné vytvořit jak servisní VLANy 20X, tak i přístupové VLANy 10X pro danou pobočku. Příklad pro SWS1: SWS1(config)# vlan 109 SWS1(config-vlan)# name LAN9 SWS1(config-vlan)# exit SWS1(config)# vlan 110 SWS1(config-vlan)# name LAN10 SWS1(config-vlan)# exit SWS1(config)# vlan 201 SWS1(config-vlan)# name SLAN1 SWS1(config-vlan)# exit 2.4.2 Přiřazení módů a portů Na přepínačích jsou tři trunk porty a dva access porty. Jejich rozdělení pro SWS1 je v tabulce 8. Port Připojené zařízení mód F0/1 R1 trunk F0/2 SW9 trunk F0/3 SW10 trunk F0/4 DNS1 access F0/5 WEB1 access Tabulka 8: Rozdělení módů portům pro přepínač SWS1 Posloupnost příkazů pro nastavení módů a přiřazení VLAN portům je obdobná jako pro přepínače SWX.
Případová studie datové sítě 14 2.5 Spannig Tree Protocol (STP) 2.5.1 Popis STP Na rozdíl od IP packetů neobsahují Ethernet rámce pole TTL. Proto v případě, že vytvoříme mezi přepínači smyčku, mohou rámce kolovat v této smyčce neomezeně dlouho a s rostoucím počtem takovýchto rámcu může dojít až k zahlcení sítě. Proti tomuto byl vyvinut protokol STP, který se stará o to, aby v případě, že jsou přepínače zapojeny do smyčky, byl vždy jeden z portů některého z přepínačů v neaktivním stavu, a tím zabránil kolování rámců. Existuje několik různých implementací protokolu STP standardizované nebo proprietární verze firmy Cisco. Na Cisco přepínačích je standartně používána implementace PVST+ (Per-VLAN Spanning Tree). Plus v názvu znamená, že podporuje zapouzdření 802.1Q. Jak již název napovídá PVST+ se konfiguruje pro každou VLAN zvlášť, tzn. že pro jednu VLAN bude některý port v neaktivním režimu, zatímco pro jinou bude v aktivním. Tím můžeme rozdělit provoz jednotlivých VLAN rovnoměrně mezi přepínači. PVST+ používá speciální algoritmus k určení, které porty mají být neaktivní. Pro tento algoritmus je nutné specifikovat, který z přepínačů bude root přepínač (přepínače si dokáží podle určitých kritérií domluvit sami, který bude root, ale pro větší kontrolu je lepší manuální nastavení). 2.5.2 Konfigurace STP Při konfiguraci STP musíme nejdříve specifikovat, kterou implementaci STP budeme používat, a to příkazem spanning-tree mode pvst. Dále musíme nastavit, který přepínač bude pro kterou VLAN root příkazem spanning-tree vlan XXX root primary. Rozdělení, který přepínač bude pro kterou VLAN root je v tabulce 9. VLAN VLAN 109 VLAN 110 VLAN 201 Root přepínač SW9 SW10 SWS1 Tabulka 9: Rozdělení root přepínačů pro VLANy v pobočce Plzeň Konfigurace STP potom vypadá následovně: SW9(config)#spanning-tree mode pvst SW9(config)#spanning-tree vlan 109 SW9(config)#spanning-tree vlan 110 SW9(config)#spanning-tree vlan 201 SW9(config)#spanning-tree vlan 109 root primary
Případová studie datové sítě 15 SW9(config)#exit Na ostatních přepínačích bude konfigurace obdobná. 2.6 Nastavení management VLAN Management VLAN slouží ke konfigurací přepínačů a směrovačů na dálku pomocí protokolu telnet. Proto musí mít každé zařízení IP adresu. Na přepínači bude jako management VLAN použitá nativní vlan 1. Nejdříve je nutné přiřadit přepínači IP adresu. To se provede tím, že se přiřadí IP adresa VLAN1. Příklad pro SW9: SW9(config)# interface vlan 1 SW9(config-if)# no shutdown SW9(config-if)# ip address 10.136.191.203 255.255.255.248 SW9(config-if)# exit Dále je nutné nastavit nativní VLAN pro všechny trunk rozhraní. Nativní znamená, že veškerý provoz, který nebude otagován 802.1Q, bude zařazen právě do této VLAN. Na každém rozhraní tedy nastavíme nativní VLANu: SW9(config)# interface FastEthernet 0/1 SW9(config-if)# switchport trunk native vlan 1 SW9(config-f)# exit Nakonec musíme ještě přepínači nastavit jeho výchozí bránu. Jedná se o adresu rozhraní směrovače pobočky. To je nutné z toho důvodu, aby přepínač věděl, kam má posílat data, která jsou určena pro jinou síť. SW9(config)# ip default-gateway 10.136.191.201
Případová studie datové sítě 16 3 Konfigurace směrovačů 3.1 Popis topologie směrovačů Každá pobočka obsahuje jeden směrovač, který se stará jak o směrovaní provozu v rámci pobočky, tak i provozu s ostatními pobočkami. Směrovače jsou označeny podle zadání R1 až R5. Směrovače jsou mezi sebou spojeny přes WAN síť Frame-Relay. Každý směrovač je rozhraním FastEthernet připojen k přepínači SWSX. Na obrázku 4 je zobrazeno zapojení směrovačů včetně přiřazených IP adres a DLCI čísel pro Frame-Relay. Fa0/1 R5 501 502 503 504.191.241.191.245.191.249.191.253 S0/0 Frame Relay.191.254 S0/0 Fa0/1 405 R4.191.242 S0/0 105 Fa0/1 R1 S0/0.191.246.191.250 S0/0 205 R2 Fa0/1 R3 305 Fa0/1 Obrázek 4: Schéma směrovačů 3.2 Základní konfigurace směrovačů Základní konfigurace je obdobná jako u přepínačů, tj. nastavení jména a zaheslování. Příklad pro směrovač R1: Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# service password-encryption R1(config)# enable secret cisco R1(config)# line 0 R1(config-line)# password cisco R1(config-line)# R1(config-line)# exit
Případová studie datové sítě 17 R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# R1(config-line)# exit 3.3 Konfigurace rozhraní s přepínačem SWSx Každá pobočka obsahuje celkem 3 VLANy. Směrovače jsou do pobočkové sítě připojeny svým rozhraním FastEthernet 0/1. VLANy zohledníme na směrovači tím, že vytvoříme na rozhraní FastEthernet 0/1 subrozhraní pro každou VLANu. To je možné provést pomocí interface FastEthernet 0/1.číslo_sub_rozhraní. V konfiguraci subrozhraní je nutné uvést, jaké zapouzdření daný trunk spoj má a ke které VLAN bude přiřazen příkazem encapsulation dot1q číslo_vlan. Nakonec se subrozhraní nastaví ip adresa použije se první adresa z rozsahu pro danou VLAN. Příklad pro směrovač R1: R1(config)# interface FastEthernet 0/1 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# interface FastEthernet 0/1.109 R1(config-if)# encapsulation dot1q 109 R1(config-if)# ip address 10.136.182.1 255.255.255.0 Ostatní směrovače budou nakonfigurovány obdobně. 3.4 Konfigurace rozhraní s Frame-Relay Směrovače jsou připojeny mezi sebou WAN technologií Frame-Relay (FR). K FR přepínači jsou připojeny rozhraním Serial 0/0. Při konfiguraci je nejprve nutné nastavit na rozhraní zapouzdření frame-relay: R1(config)# interface Serial 0/0 R1(config-if)# no shutdown R1(config-if)# encapsulation frame-relay R1(config)# exit Dále je nutné vytvořit na směrovačích R1 až R4 subrozhraní pro vytvoření point-topoint spoje se směrovačem R5. Subrozhraní bude číselně označeno stejně jako DLCI číslo Frame-Relay. O DLCI a Frame-Relay více v kapitole 4. Dále musíme subrozhraní přiřadit FR DLCI číslo pomocí příkazu frame-relay intertface-dlci DLCI_číslo. Nakonec specifikujeme IP adresu. První IP adresa z rozsahu pro point-to-point spoj mezi směrovačem R5 a směrovačem R1 až R4 je na R5, druhá na R1 až R4.
Případová studie datové sítě 18 R1(config)# interface Serial 0/0.105 point-to-point R1(config-if)# frame-relay interface-dlci 105 R1(config-if)# ip address 10.136.191.242 255.255.255.252 R1(config-if)# exit Na směrovači R5 bude konfigurace trochu složitější kvůli tomu, že všechny point-topoint spoje jsou mezi tímto směrovačem a vždy jedním z R1 až R4. Proto musí být pro každý takovýto spoj vyhrazeno jedno subrozhraní. R5(config)# interface Serial 0/0 R5(config-if)# encapsulation frame-relay R5(config-if)# no shutdown R5(config-if)# exit R5(config)# interface Serial 0/0.501 point-to-point R5(config-if)# frame-relay interface-dlci 501 R5(config-if)# ip address 10.136.191.241 255.255.255.252 R5(config-if)# exit R5(config)# interface Serial 0/0.502 point-to-point R5(config-if)# frame-relay interface-dlci 502 R5(config-if)# ip address 10.136.191.245 255.255.255.252 R5(config-if)# exit... V tabulce 10 jsou uvedeny příslušené IP adresy point-to-point spojů. RX IP adresa R5 DLCI R5 IP adresa RX DLCI RX R1 10.136.191.241 501 10.136.191.242 105 R2 10.136.191.245 502 10.136.191.246 205 R3 10.136.191.249 503 10.136.191.250 305 R4 10.136.191.253 504 10.136.191.254 405 Tabulka 10: IP adresy point-to-point rozhraní 3.5 Konfigurace směrovacích tabulek Aby směrovače mohly správně směrovat provoz, je nutné nakonfigurovat na každém směrovací tabulky. V případě směrovačů R1 až R4 postačí, když na každém nakonfigurujeme pouze defaultní cestu pomocí ip route adresa_sítě maska výstupní_rozhraní, jelikož směrovač R5 je centrální směrovač: R1(config)# ip route 0.0.0.0 0.0.0.0 Serial 0/0.105
Případová studie datové sítě 19 Na směrovači R5 musíme již specifikovat všechny sítě, nelze použít defaulní cestu. Některé sítě můžeme sumarizovat. To znamená, že dvě LAN můžeme směrovat pouze jedním záznamem ve směrovací tabulce. R5(config)# ip route 10.136.181.0 255.255.255.0 Serial 0/0.501 R5(config)# ip route 10.136.182.0 255.255.255.0 Serial 0/0.501 R5(config)# ip route 10.136.183.0 255.255.255.0 Serial 0/0.502... V tabulce 11 jsou uvedeny všechny cesty. Síť Maska Výstupní rozhraní 10.136.181.0 255.255.255.0 Serial 0/0.501 10.136.182.0 255.255.255.0 Serial 0/0.501 10.136.183.0 255.255.255.0 Serial 0/0.502 10.136.184.0 255.255.255.0 Serial 0/0.502 10.136.176.0 255.255.254.0 Serial 0/0.503 10.136.178.0 255.255.255.0 Serial 0/0.503 10.136.185.0 255.255.255.192 Serial 0/0.504 10.136.185.64 255.255.255.224 Serial 0/0.501 10.136.185.96 255.255.255.224 Serial 0/0.502 10.136.185.128 255.255.255.224 Serial 0/0.503 10.136.185.160 255.255.255.224 Serial 0/0.504 10.136.191.200 255.255.255.248 Serial 0/0.501 10.136.191.208 255.255.255.248 Serial 0/0.502 10.136.191.216 255.255.255.248 Serial 0/0.503 10.136.191.224 255.255.255.248 Serial 0/0.504 Tabulka 11: Směrovací tabulka směrovače R5 3.6 Konfigurace access-listů Abychom zabránili nepovolaným osobám přístup na směrovače a přepínače, je nutné na směrovačích nakonfigurovat přístupová omezení. Cílem je zamezit připojení na směrovače a přepínače z jiných LAN než z mangement LAN. Na každém směrovači tedy vytvoříme access-list, který povoluje připojení pouze z management VLAN pomocí příkazu access-list číslo permit ip_adresa wild_mask. Příklad pro směrovač R1: R1(config)# access-list 1 permit 10.136.191.192 0.0.0.63 Tento access-list povolí 8 adres pod 10.136.191.200, které nejsou alokovány. Je to proto, abychom mohli access list rozumně sumarizovat. Jinak bychom měli tři záznamy na každém směrovači. Adresy.193 -.199 zatím sice nejsou alokovány, ale do budoucna budou pro jistotu rezervovány.
Případová studie datové sítě 20 Vytvořené access-listy přiřadíme rozhraní FastEthernet 0/1 a virtuální konzoli vty 0-4: R5(config)# interface FastEthernet 0/1 R5(config-if)# ip access-group 1 out R5(config-if)# exit R5(config)# line vty 0 4 R5(config-line)# access-class 1 in R5(config-line)# exit Po aplikování těchto access-listů bude možno se připojit telnetem na jakýkoliv směrovač či přepínač z jakéhokoliv zařízení v management LAN, ale nebude to možné z jiné LAN. Pokud bychom chtěli dovolit přístup některému z počítačů, stačí přidat do accesslistů jeho IP adresu: R1(config)# access-list 1 permit 10.136.184.2 3.7 Konfigurace DHCP Abychom nemuseli zadávat IP adresy jednotlivým počítačům ručně, použijeme DHCP server. Na Cisco směrovačích je možné tuto službu nastavit. Nejdříve je nutné spustit službu DHCP pomocí service dhcp. Poté vytvoříme dhcp pool pro naši síť pomocí ip dhcp pool adresa_sítě/maska. Nastavíme síť, bránu a dns server. Níže je uveden příklad pro směrovač R3 a síť 10.136.176.0/23: R3(config)#service dhcp R3(config)#ip dhcp pool 10.136.176.0/23 R3(dhcp-config)#network 10.136.176.0 255.255.254.0 R3(dhcp-config)#default-router 10.136.176.1 R3(dhcp-config)#dns-server 10.136.185.130 R3(dhcp-config)#exit Na každém směrovači vytvoříme dva dhcp pooly pro obě uživatelské LAN. Pro servisní LAN dhcp použito nebude.
Případová studie datové sítě 21 4 Konfigurace Frame Relay 4.1 Popis Frame-Relay Síť Frame-Relay je síť přepínaných virtuálních okruhů, která nahradila starší technologii X.25. V dnešní době je již však FR spíše na ústupu a nahrazuje se modernější technologií MPLS. V síti FR se vyskytují dva druhy zařízení DTE (Device Termination Equipment) a DCE (Device Communications Equipment). Zařízení DTE jsou koncová zařízení, která se připojují do FR sítě. DCE jsou většinou FR přepínače ve FR síti, ke kterým se připojují DTE zařízení. Pro spojení dvou zařízení DTE na okrajích FR sítě, se vytváří virtuální okruhy. Tyto okruhy jsou v síti označeny identifikátory DLCI. Tyto identifikátory mají jen lokální význam, nejsou v celé síti unikátní. U zařízení DCE rozlišujeme podle zapojení dva druhy rozhraní UNI nebo NNI. UNI (User Network Interface) je rozhraní, ke kterému je připojeno zařízení DTE. NNI (Network to Netwok Interface) je rozhraní, ke kterému je připojeno další zařízení DCE. 4.2 Rozvržení identifikátorů DLCI Síť FR bude obsahovat celkem tři Frame-Relay přepínače FRS1, FRS2 a FRS3. Tyto přepínače jsou spojeny do trojúhelníku. K přepínači FRS3 je připojen směrovač R5, na který jsou směřovány všechny okruhy z ostatních směrovačů. Identifikátory DLCI se běžně volí z rozmezí 16 991. Čísla pod 16 a nad 991 jsou rezervována pro speciální účely. Proto byly DLCI voleny tak, že na straně směrovačů R1 až R4 jsou ve tvaru X05, kde X je číslo směrovače. Na straně směrovače R5 jsou okruhy označeny 50X, kde X je označení směrovačů R1 až R4. Mezi FR přepínači FRS1 až FRS3 jsou okruhy označeny X15, kde X je opět číslo jednoho ze směrovačů R1 až R4. DLCI čísla jsou zobrazena na obrázku 5 a v tabulce 12. Zařízení DLCI R1 - FRS1 105 R2 - FRS2 205 R3 - FRS2 305 R4 - FRS3 405 R5 - FRS3 501, 502, 503, 504 FRS1 - FRS3 115 FRS2 - FRS3 215, 315 Tabulka 12: Rozvržení DLCI identifikátorů