Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Podobné dokumenty
Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Počítačové sítě ZS 2009/2010 Projekt návrhu sítě zadání

Počítačové sítě ZS 2013/2014 Projekt návrhu sítě zadání

Počítačové sítě Zadání semestrálních projektů

Počítačové sítě ZS 2011/2012 Projekt návrhu sítě zadání

Přidělení parametrů projektu návrhu sítě skupinám studentů

e1 e1 ROUTER2 Skupina1

Přepínaný Ethernet. Virtuální sítě.

VLSM Statické směrování

Konfigurace sítě s WLAN controllerem

VLSM Statické směrování

Semestrální projekt 2. část

Počítačové sítě - program cvičení

Počítačové sítě - program cvičení

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Podsíťování. Počítačové sítě. 7. cvičení

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

5. Směrování v počítačových sítích a směrovací protokoly

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Základy IOS, Přepínače: Spanning Tree

Site - Zapich. Varianta 1

Počítačové sítě - program cvičení

Počítačové sítě - program cvičení

Access Control Lists (ACL)

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Přepínače: VLANy, Spanning Tree

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Semestrální projekt do předmětu SPS

Laboratorní práce: SNMP - Linux snmputils

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Projekt VRF LITE. Jiří Otisk, Filip Frank

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Propojování sítí,, aktivní prvky a jejich principy

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Část l«rozbočovače, přepínače a přepínání

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Aktivní prvky: brány a směrovače. směrovače

Informační technologie. Název oboru: Školní rok: jarní i podzimní zkušební období 2017/2018

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

DNS. Počítačové sítě. 11. cvičení

L2 multicast v doméně s přepínači CISCO

Počítačové sítě. Další informace naleznete na :

Analýza protokolů rodiny TCP/IP, NAT

Zabezpečení v síti IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Ladislav Pešička KIV FAV ZČU Plzeň

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Virtuální sítě 2.část VLAN

Audit bezpečnosti počítačové sítě

Výpočetní technika. PRACOVNÍ LIST č. 8. Ing. Luděk Richter

Počítačové sítě - program cvičení

Pokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Směrované a přepínané sítě

Počítačové sítě I - rozvrh cvičení

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

L2 multicast v doméně s přepínači CISCO


Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Směrování VoIP provozu v datových sítích

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Aktivní prvky: přepínače

X36PKO Úvod Protokolová rodina TCP/IP

Routování směrovač. směrovač

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Konfigurace směrovače, CDP

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Domain Name System (DNS)

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Aktivní prvky: síťové karty

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Obrana sítě - základní principy

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Jak funguje SH Síť. Ondřej Caletka

DNS, DHCP DNS, Richard Biječek

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Další nástroje pro testování

PROVOZNÍ ŘÁD NIX.CZ, z.s.p.o. (Verze 10.0 ze dne s účinností od )

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Architektura TCP/IP je v současnosti

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Počítačová síť TUONET a její služby

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Poděkování 21 O autorovi 23 Úvod 25 Síťové certifikace Cisco 25

PB169 Operační systémy a sítě

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Transkript:

imac imac imac Počítačové sítě, ZS 2007/2008, kombinované studium Návrh sítě zadání Petr Grygárek, FEI VŠB-TU Ostrava Zadání Navrhněte a zdokumentujte konfiguraci sítě přidělené lokality korporátní sítě WAN připojené do Internetu. Popis sítě Síť (viz obrázek 1) sestává z lokalit, připojených k páteřní síti založené na směrovačích Cisco (v obrázcích je pro příklad vyznačen model C4500). Páteřní směrovače jsou vzájemně propojeny pronajatými synchronními sériovými linkami o různých přenosových rychlostech. Prostřednictvím směrovače RB2 je páteřní síť připojena do Internetu. Každá lokalita je připojena k páteři přes jedno z rozhraní Ethernet některého směrovače Cisco. Na tomto rozhraní je také realizována filtrace provozu do/z lokality pomocí ACL (Access Control Lists). Topologie lokalit jsou uvedeny v Příloze (přidělí tutor). KARVINA FRYDEK HRANICE PREROV.14.30.46.62 210.0.0.0/28 210.0.0.16/28 210.0.0.32/28 210.0.0.48/28.1 e0 e1.17.33 e0 e1.49 200.0.0.0/30.1.2 C4500-RB1 C4500-RC1 s0 64 kbps s1.14 s1 s0.5 200.0.0.12/30 128 kbps 32 kbps 200.0.0.4/30.13 s0 210.0.0.112/28.113.126 C4500-RB2 e0 e1 OSTRAVA INTERNET s1.10 s1.6 64 kbps s0 200.0.0.8/30 C4500-RC2.9.97 e0 e1.65 210.0.0.96/28 210.0.0.64/28.110.94 WWW server 30.0.0.10 Telnet server 40.0.0.11 DNS server posnet.cz. 50.0.0.12 ROZNOV VSETIN Obrázek 1 1

Aktivní prvky lokalit zahrnují směrovače s OS Linux (microdebian) se směrovacím démonem Zebra (resp. Quagga), přepínače Cisco Catalyst 1900 a rozbočovače. Topologie jednotlivých lokalit, navrhovaných vždy jednou skupinou studentů, jsou uvedeny v příloze. Konkrétní topologii a požadované parametry pro jednotlivé lokality přidělí skupinám studentů tutor. Konfigurace páteřní sítě (mimo ACL vaší lokality) již není ve vaši kompetenci. Požadavky pro návrh Vypracujte dokumentaci vaši lokality včetně konfiguračních souborů pro všechny síťové prvky (směrovače Linux i Cisco, přepínače Cisco), případně síťové služby (Linux) s ohledem na dále uvedené pokyny. Základní zapojení a konfigurace VLAN Stanovte a v plánku sítě zdokumentujte konkrétní rozhraní (resp. porty), kterými jsou jednotlivé síťové prvky propojeny. U přepínačů zdokumentujte trunk porty a čísla VLAN přiřazená portům napojeným na jiné aktivní prvky nebo stanice. Čísla VLAN použitých v lokalitě přidělí tutor. Symbolické označení VLAN a odpovídající čísla shrněte ve zvláštní tabulce. Uveďte konfigurační příkazy pro konfigurací všech přepínačů (pouze příkazy pro realizaci požadované funkcionality, ne úplné výpisy s implicitním nastavením (show runningconfig)). Všechna rozhraní směrovačů i přepínačů budou mít nakonfigurován popis (description) informující, kam je dané rozhraní připojeno. Uveďte nákres ekvivalentní topologie sítě, jak se jeví protokolům 3. vrstvy OSI RM (s odhlédnutím od použití VLAN). Přepínač reprezentující VLAN b na přepínači SWa označte SWa/b. V nákresu také označte fyzická rozhraní síťových prvků. Adresní plán Páteřní síť používá pevně stanovený veřejný rozsah IP adres (obr.1). Tento rozsah zahrnuje spojovací linky mezi páteřními směrovači i linky napojující páteřní směrovače Cisco na směrovač(e) jednotlivých lokalit. Pro vnitřní sítě každé lokality bude tutorem přidělen (jiný) veřejný prefix sítě a požadované počty stanic na jednotlivých segmentech lokality. Pro jeden segment sítě bude přidělen privátní rozsah adres a stanice na tomto segmentu budou dosahovat vnějších cílů s použitím překladu adres (NAT). Navrhněte adresování sítě s maskou podsítě pevné délky. Přidělte pouze nezbytný počet adres, případné zbylé podsítě ponechte pro další rozšiřování lokality. Rozhraním směrovačů přidělujte vždy nejnižší použitelné adresy na podsíti. Zapište navržené adresování přehledně do (původního) plánku sítě (k jednotlivým síťovým rozhraním), vč. adres rozhraní aktivních prvků. Toto schéma přikládejte vždy znovu při odevzdávání dalších částí projektu. Uveďte souhrnně v tabulce všechny použité podsítě, vždy s uvedením adresy sítě, masky podsítě, adresy výchozí brány (resp. i alternativních bran) pro podsíť, rozsahu použitelných IP adres stanic a broadcast adresy pro podsíť. 2

Překlad adres (NAT) Na směrovači připojujícím lokalitu k páteřnímu směrovači Cisco je realizován NAT. Adresy z privátního rozsahu se dynamicky mapují na rozsah veřejně směrovatelných adres alokovaný z rozsahu vaši lokality. Rozsahu veřejných adres, na který se privátní adresy z části sítě za NAT překládají, rezervujte podle potřeby jednu nebo více podsítí veřejného rozsahu lokality. Doporučení: Navrhněte si adresy podsítí v lokalitě tak, aby v případě potřeby použití více podsítí pro rozsah adres pro NAT tyto podsítě tvořily souvislý rozsah adres. Jedna z adres privátního rozsahu za NAT je pevně přidělena WWW serveru. Ten je dostupný zvnějšku pod jednou pevně stanovenou adresou veřejného rozsahu pro NAT, kterou vyhraďte pouze pro tento účel. Obě adresy jasně uveďte v textové části dokumentace. Doporučení: Z důvodu snadnější konfigurace dynamického NAT kombinovaného se statickým záznamem může být výhodné pro WWW server vyhradit první nebo poslední adresu z rozsahu adres pro NAT. Do dokumentace uveďte příkazy potřebné pro konfiguraci iptables. Směrování Směrování v páteři Páteřní síť včetně směrování je již realizována a mimo oblast vašeho řešení. Směrování v páteřní síti je z historických důvodů řešeno proprietárním směrovacím protokolem EIGRP firmy Cisco. Do protokolu EIGRP jsou propagovány i spojovací linky do jednotlivých lokalit. Jednotlivé směrovače páteře mají nakonfigurovány statické cesty do veřejných adresních rozsahů přilehlých lokalit. Tyto statické cesty jsou redistribuovány do EIGRP. Nespojitost IP podsítí v páteři v případě EIGRP není na závadu, protože EIGRP šíří s adresami sítí i masky podsítí. Situace je znázorněna na obrázku 2. redistribute connected redistribute static EIGRP EIGRP static static Obrázek 2 3

Směrování v lokalitách Mezi směrovači Linux v jednotlivých lokalitách je podle požadavků pro jednotlivé skupiny studentů provozován směrovací protokol RIP nebo OSPF. U OSPF je použita jediná oblast (area 0). Všechny směrovače propagují veškeré k nim připojené segmenty sítí (s výjimkou spojovací linky k páteřním směšovačům Cisco). Směrovače připojené k páteřním směšovačům Cisco dosahují vnějších cílů pomocí statické implicitní (default) cesty. Z těchto směrovačů propagujte implicitní cestu do dynamického směrovacího protokolu použitého v lokalitě. Směrování v lokalitě je realizováno pomocí démonů zebrad a ripd nebo ospfd. V dokumentaci textově stručně okomentujte směrování použitý směrovací protokol, které směrovače dosahují vnějších cílů pomocí statického směrování a které směrovače propagují do směrovacího protokolu implicitní cestu. Uveďte přehledně výpisy konfiguračních souborů těchto démonů ze všech směrovačů lokality s OS Linux (jen potřebný nastavení, ne implicitně přítomné příkazy). Zabezpečení sítě - ACL Na rozhraní páteřního směrovače Cisco připojujícím vaši lokalitu implementujte filtraci provozu s použitím ACL (Access Control Lists). Požadavky jsou následující: 1. Ze segmentu T se lze připojit na Telnet server 40.0.0.11 2. Stanice na segmentu N nesmějí na WWW server 30.0.0.10, jinak smí celá lokalita k WWW serverům vně oblasti přistupovat volně 3. Je dovolen přístup zvnějšku lokality na WWW server lokality umístěný za NAT (pod jeho veřejnou adresou) 4. DNS dotazy směrem ven a odpovědi zvnějšku jsou propouštěny volně, DNS dotazy dovnitř a příslušné odpovědi pouze na adresu vašeho DNS serveru lokality. 5. Stanicím a směrovačům v lokalitě je dovolen ping (ICMP echo request) kamkoli mimo oblast, stanice lokality však nemají být ohrožovány pokusy o ping zvnějšku (mimo serverů). Na vnější rozhraní směrovačů přímo připojených k C4500 je žádost o ping povolena. 6. Realizujte anti-spoofing filtr, zahazující veškeré (podvržené) pakety přicházející z páteřní sítě se zdrojovou adresou odpovídající adresám uvnitř lokality (jak privátním, tak veřejnému rozsahu). Nedovolte únik paketů s privátní zdrojovou adresou mimo vaší lokalitu (odpověď by byla v páteři nesměrovatelná). Veškerý výše neuvedený provoz je zakázán. Přiřazení segmentů T a N určí tutor. Uveďte konfiguraci ACL pro oba směry provozu formou tabulky ve tvaru podle Příkladu konfigurace ACL z http://www.cs.vsb.cz/grygarek/pos/projekt0304/acl_priklad.pdf. Položky ACL v dokumentaci symbolicky označte číslem požadavku (viz číslování výše), k jehož realizaci pravidlo slouží. Uveďte na které rozhraní a který směr budete jednotlivé ACL aplikovat.. Nezapomeňte vždy na povolení obou směrů každého z dovolených typů provozů. Nezapomeňte na existenci NAT ve vaši lokalitě 4

Volitelná část: DNS server Na některém směrovači s OS Linux nakonfigurujte DNS server, který bude poskytovat mapování jmen pro poddoménu domény posnet.cz. odpovídající jménu vám přidělené lokality. V DNS databázi budou záznamy pro překlad jmen všech rozhraní směrovačů vaší lokality (mimo rozhraní za NAT), WWW serveru a vždy alespoň jedné stanice na každém segmentu, k němuž lze stanice připojovat. Vhodný systém pojmenovávání zvolte sami a zdokumentujte. DNS server napojte do globálního stromu pod doménu.posnet.cz., jejíž DNS server dns.posnet.cz již centrální IT oddělení vaši firmy spravuje na adrese 50.0.0.12. Specifikujte, jaké záznamy je třeba do databáze serveru dns.posnet.cz přidat pro zajištění propojení vašeho DNS serveru do stromu. Mimo překladu doménových jmen na IP adresy bude váš DNS server překládat i IP adresy z veřejného rozsahu vaši lokality na doménová jména. Do konfigurace reverzního překladu vložte PTR záznamy pro všechna jména, pro něž jste vytvořili mapování jména na IP adresu. Předpokládejte, že poskytovatel Internetu pro vaši firmu napojil váš DNS server s ohledem na vám přidělený adresní rozsah do podstromu domény in_addr.arpa. Pokud byl vaši lokalitě tutorem přidělen rozsah adres neodpovídající žádné třídě adres, byla delegace domény pro reverzní překlad u poskytovatele nakonfigurována v souladu s RFC 2317. Spojovací záznamy nakonfigurované v DNS poskytovatele pro delegování reverzního překladu adres vám poskytne tutor. DNS server realizujte na Linuxu pomocí démona bind. V dokumentaci uveďte, na kterém směrovači DNS server běží a všechny podstatné konfigurační soubory démona bind (DNS). Popište vámi navržené schema pojmenovávání rozhraní směrovačů a počítačů v DNS. Volitelná část: DHCP server Nakonfigurujte na vhodném směrovači (Linux) DHCP server, který bude dynamicky přidělovat adresy stanicím na tutorem určeném segmentu. Vyhněte se IP adresám, které jsou na segmentu již pevně přiděleny. DHCP server realizujte pomocí démona dhcpd. Uveďte podstatné konfigurační soubory démona dhcpd. Organizace, odevzdávání a hodnocení projektu Studenti budou rozděleni do skupin, každá skupina (max. 4 studentů) navrhne a zdokumentuje jednu z lokalit sítě. Projekt bude hodnocen za skupinu jako celek po částech odevzdávaných nejpozději v termínech uvedených pro každou část v Harmonogramu Při hodnocení odevzdané dokumentace bude zohledněna o celková kultura zpracování, zejména přehlednost. 5

Pokyny pro tutory Každé skupině přidělit: Umístění lokality vzhledem k páteři (rozhraní Cisco routeru, resp. jméno lokality) Topologii lokality Skutečná čísla VLAN (>=2) a počty portů v jednotlivých VLAN Rozsah veřejných a privátních adres lokality Počty požadovaných stanic na jednotlivých segmentech lokality, počet adres NAT poolu Směrovací protokol lokality (RIP nebo OSPF) Skutečné segmenty pro zástupné symboly T a N pro ACL Na vyžádání o Segment, pro který pracuje DHCP server (ne segment za NAT) o Záznamy DNS serveru poskytovatele delegující část poddomény in_addr.arpa na DNS server lokality. 6

Příloha topologie lokalit 7

Topologie 1 C4500 Linux PC1 SW1,C SW2 trunk,c Linux PC2 Linux PC3 HUB1 Segment S1 8

Topologie 2 C4500 Linux PC1 Linux PC2 SW1 trunk SW2 Linux PC3 9

Topologie 3 C4500 Linux PC1 Linux PC2 Linux PC3 HUB1 Segment S1 SW1 trunk SW2 10

Topologie 4 C4500 Linux PC1 HUB1 Linux PC2 Linux PC3 Segment S1 SW1 trunk SW2 11

Topologie 5 C4500 - servery SW1 SW2 trunk Linux PC1 Linux PC2 Linux PC3 12

Topologie 6 Linux PC2 C4500 SW1 trunk SW2 Linux PC1 Linux PC3 HUB1 Segment S1 13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář