Počítačové sítě ZS 2013/2014 Projekt návrhu sítě zadání

Podobné dokumenty
Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Počítačové sítě ZS 2009/2010 Projekt návrhu sítě zadání

Počítačové sítě ZS 2011/2012 Projekt návrhu sítě zadání

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Počítačové sítě Zadání semestrálních projektů

Počítačové sítě - program cvičení

Počítačové sítě - program cvičení

e1 e1 ROUTER2 Skupina1

VLSM Statické směrování

VLSM Statické směrování

Semestrální projekt 2. část

Počítačové sítě - program cvičení

Přidělení parametrů projektu návrhu sítě skupinám studentů

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Základy IOS, Přepínače: Spanning Tree

Počítačové sítě - program cvičení

Podsíťování. Počítačové sítě. 7. cvičení

DNS. Počítačové sítě. 11. cvičení

Site - Zapich. Varianta 1

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Access Control Lists (ACL)

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Projekt VRF LITE. Jiří Otisk, Filip Frank

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Přepínaný Ethernet. Virtuální sítě.

Laboratorní práce: SNMP - Linux snmputils

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Konfigurace sítě s WLAN controllerem

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

L2 multicast v doméně s přepínači CISCO

Správa systému MS Windows II

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Téma 2 - DNS a DHCP-řešení

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Ladislav Pešička KIV FAV ZČU Plzeň

Analýza protokolů rodiny TCP/IP, NAT

L2 multicast v doméně s přepínači CISCO

Informační technologie. Název oboru: Školní rok: jarní i podzimní zkušební období 2017/2018

Virtuální sítě 2.část VLAN

DNS, DHCP DNS, Richard Biječek

Obrana sítě - základní principy

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Střední odborná škola a Střední odborné učiliště, Hořovice

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

PROVOZNÍ ŘÁD NIX.CZ, z.s.p.o. (Verze 10.0 ze dne s účinností od )

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Semestrální projekt do předmětu SPS

Část l«rozbočovače, přepínače a přepínání

5. Směrování v počítačových sítích a směrovací protokoly

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

NETSPEC. e-learningové vzdělávání síťových specialistů. registrační číslo: CZ / /0010

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

X36PKO Úvod Protokolová rodina TCP/IP

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Počítačové sítě. Další informace naleznete na :

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Obsah. Úvod 13. Věnování 11 Poděkování 11

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Počítačové sítě - program cvičení

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Počítačová síť TUONET a její služby

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Počítačové sítě I - rozvrh cvičení

Audit bezpečnosti počítačové sítě

Domain Name System (DNS)

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Počítačové sítě - program cvičení

Aktion Connector NÁVOD

Přepínače: VLANy, Spanning Tree

SPS Úvod Technologie Ethernetu

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

AKTION CONNECTOR POPIS FUNKCÍ A NÁVOD

Směrování VoIP provozu v datových sítích

Maturitní otázky z předmětu Počítačové sítě školní rok 2007/2008

Obsah PODĚKOVÁNÍ...11

Poděkování 21 O autorovi 23 Úvod 25 Síťové certifikace Cisco 25

Zásobník protokolů TCP/IP

Konfigurace síťových stanic

WrapSix aneb nebojme se NAT64. Michal Zima.

Typická využití atributu Community protokolu BGP - modelové situace

Směrování a směrovací protokoly

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Co znamená IPv6 pro podnikovou informatiku.

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Zabezpečení v síti IP

Další nástroje pro testování

Transkript:

Počítačové sítě ZS 2013/2014 Projekt návrhu sítě zadání Pavel Moravec, FEI VŠB-TU Ostrava Zadání Navrhněte a zdokumentujte konfiguraci podnikové sítě připojené do Internetu. Řešení po částech realizujte, otestujte a odevzdejte elektronicky konfigurace a protokoly, dokládající funkčnost způsobem, stanoveným cvičícím/tutorem. Popis sítě Firemní síť je připojena ke směrovači ISP poskytovatele Internetu hraničním směrovačem zákazníka R1. Spojovací linka mezi směrovači ISP a R1 je adresována privátními adresami, které nejsou propagovány do Internetu, pro usnadnění diagnostiky chyb jsou však vnitřním směrovacím protokolem propagovány do firemní sítě. Na směrovači ISP je konfigurována statická cesta do sítí veřejného adresního rozsahu firmy, který je směrovačem ISP také propagován do Internetu. Na hraničním směrovači firmy (R1) je realizována filtrace provozu mezi firmou a Internetem pomocí ACL (Access Control Lists). Počítače na Internetu jsou představovány servery na adresách 30.0.0.10, 40.0.0.11 a 50.0.0.12. Aktivní prvky infrastruktury firemní sítě zahrnují směrovače Cisco, přepínače Cisco Catalyst řady 2900 a rozbočovače. Infrastruktura firemní sítě odpovídá jedné z topologií uvedených v příloze (pro skupinou studentů přidělí spolu s dalšími parametry cvičící). Směrovač ISP a servery v Internetu jsou předkonfigurovány a nejsou předmětem řešení projektu. Požadavky pro návrh Vypracujte konfiguraci sítě vaši firmy pro všechny síťové prvky (směrovače a přepínače), stanice a síťové služby (Linux) s ohledem na dále uvedené pokyny. 1

1. Adresní plán a konfigurace VLAN Vypracujte a elektronicky odevzdejte nákres ekvivalentní topologie sítě, jak se jeví protokolům 3.vrstvy OSI RM (tj. s odhlédnutím od použití VLAN). Pro adresování firemní sítě bude cvičícím přidělen veřejný prefix sítě a požadované počty stanic na jednotlivých segmentech. Jeden ze segmentů sítě slouží pro obsluhu velkého počtu externích uživatelů a je na hranici firemní sítě skryt za NAT s omezeným počtem veřejných adres (v rámci návrhu adresování k tomu účelu vyhraďte jednu podsíť veřejného rozsahu). O který segment půjde, rozsah privátních adres a počet sdílených veřejných adres budou přiděleny cvičícím. Veřejný adresní rozsah firemní sítě adresujte podsíťováním s maskou podsítě proměnné délky (VLSM). Přidělte pouze nezbytný počet adres, případnou zbylou část adresního rozsahu ponechte pro další rozšiřování firmy. Při návrhu podsíťování nezapomeňte na rozsah veřejných adres vyhrazených pro NAT. Rozhraním směrovačů přidělujte vždy nejnižší použitelné adresy na podsíti. PC na jednotlivých segmentech přiřaďte poslední použitelnou adresu z rozsahu příslušného segmentu. Navržené adresování zapište přehledně do původního plánku sítě i plánku ekvivalentní topologie a obojí odevzdejte elektronicky jako soubor ve formátu PDF. Při odevzdání shrňte všechny použité podsítě, vždy s uvedením adresy sítě, masky podsítě, adresy výchozí brány (resp. i alternativních bran) pro podsíť, rozsahu použitelných IP adres stanic a broadcast adresy pro podsíť. Oadresujte rovněž síť prostřednictvím IPv6 s pevnou maskou /64, na základě přiděleného IPv6 prefixu. Na cvičícím přiděleném segmentu vyhraďte (a uveďte) IPv4 adresu vašeho firemního DNS serveru. 2. VLANy U všech přepínačů nakonfigurujte jejich jména (příkaz hostname). Na všech přepínačích nakonfigurujte přiřazení portů do VLAN a trunk porty. Čísla VLAN použitých ve firemní sítí přidělí cvičící. Všechna rozhraní přepínačů budou mít nakonfigurován popis (příkaz description) informující, kam je dané rozhraní připojeno. 3. Směrování a NAT U všech směrovačů nakonfigurujte jejich jména (příkaz hostname) a nakonfigurujte IP adresy rozhraní (IPv4 i IPv6). Všechna rozhraní směrovačů i přepínačů budou mít nakonfigurován popis (příkaz description) informující, kam je dané rozhraní připojeno. Uvnitř firmy je podle požadavků pro jednotlivé skupiny studentů provozován směrovací protokol RIP nebo OSPF. U OSPF je použita jediná oblast (area 0). Všechny směrovače propagují veškeré k nim připojené segmenty sítí. Hraniční směrovač R1 dosahuje sítí na Internetu pomocí statické implicitní (default) cesty. Ze směrovače R1 propagujte implicitní (default) cestu do použitého dynamického směrovacího protokolu. Na rozhraní hraničního směrovače R1 vedoucím ke směrovači ISP realizujte dynamický NAT pro vnitřní segment firmy, který používá privátní adresy. Vnitřní privátní adresy se pomocí NAT dynamicky mapují na rozsah veřejně směrovatelných adres vyhrazený při návrhu 2

podsíťování. Rozsahu veřejných adres pro NAT přidělte podle zadaného požadavku na jeho velikost odpovídající část rozsahu veřejných adres. Vytvořte statické záznamy pro směrování IPv6 uvnitř firmy, nebo zprovozněte přidělený směrovací protokol i pro IPv6. 4. DHCP server (pro kombinovné studium volitelné) Na cvičícím stanoveném směrovači nakonfigurujte DHCP server, který bude dynamicky přidělovat parametry síťového připojení stanicím na určeném segmentu (vč. adresy lokálního DNS serveru). Vyhněte se IP adresám, které jsou na segmentu již pevně přiděleny. 5. DNS server (pro kombinovné studium volitelné) Na cvičícím stanoveném PC s OS Linux nakonfigurujte DNS server. DNS server bude poskytovat mapování jmen pro poddoménu domény isp.cz. odpovídající jménu vaší firmy (přidělí cvičící). Doménové jméno jmenného serveru samotného bude ns.<jmeno_firmy>.isp.cz. V DNS databázi vašeho serveru budou záznamy pro překlad jmen všech rozhraní vnitřních směrovačů firmy (R1-R3), mimo rozhraní do segmentu s privátními adresami). Jména rozhraní směrovačů budou mít tvar R-<ID routeru>-<id rozhrani>.<jmeno_firmy>.isp.cz. (např. R-1-e1..mojefirma.isp.cz) DNS server napojte do globálního stromu pod doménu.isp.cz., jejíž DNS server dns.isp.cz již běží na adrese 50.0.0.12 a je předkonfigurován. Mimo překladu doménových jmen na IP adresy bude váš DNS server překládat i IP adresy z veřejného rozsahu vaši firmy na doménová jména. Do konfigurace reverzního překladu vložte PTR záznamy pro všechna jména, pro něž jste vytvořili mapování jména na IP adresu. Správce DNS ISP napojil váš DNS server s ohledem na vám přidělený adresní rozsah do podstromu domény in_addr.arpa (předkonfigurováno). DNS server realizujte na Linuxu pomocí démona bind a konfigurujte jej jako rekurzivní. 6. Zabezpečení sítě - ACL Na rozhraní hraničního směrovače R1 vedoucím ke směrovači ISP implementujte filtraci provozu s použitím ACL (Access Control Lists). Požadavky jsou uvedeny dále. Cvičící stanoví, který ze segmentů přidělené topologie bude v roli segmentu níže symbolicky označeného T a který segmentu N. 1. Ze segmentu T se lze připojit na Telnet server 40.0.0.11 2. Stanice na segmentu N nesmějí na WWW server 30.0.0.10, jinak smí celá firma k WWW serverům na Internetu přistupovat volně 3. DNS dotazy směrem ven a odpovědi zvnějšku jsou propouštěny volně, DNS dotazy dovnitř a příslušné odpovědi pouze na adresu vašeho firemního DNS servery. 4. Stanicím a směrovačům ve firmě je dovolen ping (ICMP echo request) kamkoli do Internetu, stanice firmy však nemají být ohrožovány pokusy o ping zvnějšku (mimo DNS serveru, na který ping zvnějšku prochází). Na vnější rozhraní směrovače R1 je žádost o ping také povolena. 3

5. Realizujte anti-spoofing filtr, zahazující veškeré (podvržené) pakety přicházející z Internetu se zdrojovou adresou odpovídající adresám uvnitř firmy (jak privátnímu, tak veřejnému rozsahu). Nedovolte únik paketů s privátní zdrojovou adresou mimo vaší firmu (odpověď by byla v Internetu nesměrovatelná). Veškerý výše neuvedený provoz je zakázán. Nezapomeňte vždy na povolení obou směrů každého z dovolených typů provozů. Organizace, odevzdávání a hodnocení projektu Studenti budou rozděleni do skupin po dvou, v kombinovaném studiu může být na vyžádání skupina i tříčlenná. Každá skupina řeší společné zadání sítě v jedné firmě. Projekt bude hodnocen za skupinu jako celek po částech odevzdávaných (nejpozději)/předvedených prostřednictvím real-time testu v termínech uvedených pro každou část v rozvrhu cvičení, resp. tutoriálů. Maximální bodová hodnocení jednotlivých částí jsou uvedena tamtéž. V případě překročení termínu odevzdání se body nepřidělují. Pro udělení zápočtu je nutné dosáhnout minimální množství bodů specifikované na WWW stránkách předmětu v sekci Podmínky zápočtu, způsob hodnocení. Části projektu budou odevzdány kterýmkoli členem řešitelské skupiny podle pokynů, stanovených cvičícím/tutorem. Nezapomeňte, že výsledné bodování se bude přidělovat podle výsledků testů funkčnosti potřebných částí projektu (viz část poznámky k odevzdání projektu). Orientace v odevzdaném/předvedeném řešení může být po odevzdání přezkoušena a v takovém případě je podmínkou přiznání bodů jednotlivým studentům řešitelské skupiny. Poznámky k odevzdání projektu prezenční studium Jednotlivé části řešení je možno před odevzdáním konzultovat. První část projektu bude odevzdávána cvičícímu domluveným způsobem (v tištěné či elektronické podobě podle preference cvičícího). Za skupinu může první část odevzdávat kterýkoliv člen skupiny. Druhá a třetí část projektu nebude odevzdávána, ale znalost problematiky bude ověřena pomocí real-time testu na částečně modifikovaném zadání (je tedy silně doporučeno se na real-time test připravit vypracováním řešení pro Vaši parametrizaci před vlastním testem, jinak se vystavujete riziku, že na testu neuspějete). Ze seznamu úloh budou na každém real-time testu přiděleny dvě dílčí, samostatně bodované, podúlohy a bude řešen v průběhu celého cvičení. Body za real-time test obdrží pouze ti členové skupiny, kteří se real-time testu zúčastní. Funkčnost řešení bude ověřena cvičícím pro každou z částí real-time testu podle bodů, uvedených v kapitole Ověření projektu. Pokud to umožní konkrétní typ podúlohy, bude možné ji řešit ve virtualizovaném prostředí na učebně místo na fyzických aktivních prvcích. První real-time test zahrnuje body 2 a 3 zadání, druhý real-time test body 4-6 zadání. Druhého real-time testu se lze zúčastnit i v případě absence na 1. real-time testu. Při testu není možné využít žádné externí materiály včetně předem vypracovaného řešení projektu. 4

Poznámky k odevzdání projektu kombinované studium Projekt bude odevzdáván prostřednictvím systému moodle ve dvou částech. Za skupinu může jednotlivé části odevzdávat kterýkoliv člen skupiny. Odevzdané řešení je možno do konečného termínu odevzdání modifikovat, ale po termínu již není odevzdání možné. Projekt je možno v režii skupinky realizovat ve Vámi zvoleném prostředí (účastníci a absolventi CCNA mohou využít Packet Tracer, ostatní některý z alternativních způsobů směrovací démon Quagga ve virtualizovaném prostředí, GNS3, apod.). Je ale potřeba doložit funkčnost řešení a to buď požadovanými výpisy z aktivních prvků, nebo výpisy z programů a zachycením paketů, demonstrujících provoz v paketovém analyzátoru Wireshark (k textu řešení přiložte screenshoty podle vzoru a do archivu s řešením přidejte capture file) k zachycení je možno použít i tcpdump -s 1550 -w out.cap. Funkčnost je třeba demonstrovat (doložit) v odevzdaném řešení na součástech, uvedených v kapitole Ověření projektu. Ověření projektu Části projektu musí být ověřeny v kombinovaném studiu dodáním následujících výpisů/v denním studiu bude na konci real-time testu cvičícím z následujících údajů: Výpisy konfigurací všech aktivních prvků, DNS a DHCP serveru Výpisy konfigurace VLANů na přepínačích Sousedi na 2. (CDP neighbours) resp. 3. vrstvě OSI-RM Výsledek úspěšného překladu NAT (vnitřní a vnější rozhraní) Data směrovacího protokolu na 1 z rozhraní Rx, počet naučených záznamů ve směrovacích tabulkách na jednotlivých směrovačích. Výpis (statických) cest pro IPv6 na Ry Výsledek příkazů ping a traceroute na server poskytovatele Test získání adresy z DHCP serveru (včetně detailů přidělených adres) Test běžného a reverzního překladu na DNS serveru. Test funkčnosti pravidel firewallu pro jednotlivá pravidla. Ukázka zachycení nabídky DHCP serveru v analyzátoru Wireshark 5

Příloha topologie firemních sítí 6

Topologie A Topologie B 7

Topologie C Topologie D 8

Topologie E Topologie F 9

Topologie G Topologie H 10

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář