Файл: Практическая работа Знакомство с командами Cisco ios.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.11.2023
Просмотров: 240
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Рисунок 11.7 – Включаем протокол OSPF на R1
Подводим курсор мыши к R1 и наблюдаем результат наших настроек.
Рисунок 11.8 – Маршрутизатор R1 настроен
Примечание
Обратите внимание, что физически порта 192.168.100.1 нет, он существует только логически (программно).
Настроим loopback интерфейс на R2
На R2 настроим программный loopback интерфейс по аналогии с R1.
Рисунок 11.9 – Настраиваем логический интерфейс loopback на R2
Настраиваем OSPF на R2
Включаем протокол OSPF на R2, все маршрутизаторы должны быть в одной зоне area 0.
Рисунок 11.10 – Включаем протокол OSPF на R2
Подводим курсор мыши к R2 и наблюдаем результат наших настроек.
Рисунок 11.11 – Маршрутизатор R2 настроен
Настраиваем loopback интерфейс на R3
Делаем все аналогично.
Рисунок 11.12 – Настраиваем логический интерфейс loopback на R3
Настраиваем протокол OSPF на R3
Здесь делаем все, как раньше.
Рисунок 11.13 – Включаем протокол OSPF на R2
Проверяем результат.
Рисунок 11.14 – Маршрутизатор R3 настроен
Проверяем работу сети
Убеждаемся, что роутер R3 видит R2 и R1.
Рисунок 11.14 – Роутер R3 видит своих соседей
Теперь посмотрим таблицу маршрутизации для R3.
Рисунок 11.15 – Таблица маршрутизации для R3
Примечание
В этой таблице запись с буквой "О" говорит о том, что данный маршрут прописан протоколом OSPF. Мы видим, что сеть 192.168.1.0 доступна для R3 через адрес 10.10.11.1
(это порт gig0/1 маршрутизатора R1). Аналогично, сеть 192.168.2.0 доступна для R3 через адрес 10.10.12.1 (это порт gig0/1 маршрутизатора R2).
Теперь проверяем доступность разных сетей.
Рисунок 11.16 – Сети 192.168.1.0 и 192.168.2.0 доступны
Практическая работа 12.
Создание стандартного списка доступа
Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие.
В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений.
На рис. 12.1 показаны две подсети: 192.168.0.0 и 10.0.0.0.
Рисунок 12.1 – Схема сети
Постановка задачи
Требуется разрешить доступ на сервер PC1 с адресом 192.168.0.12, а PC0 c адресом
192.168.0.11 – запретить.
Рисунок 12.2 – Постановка задачи
Соберем данную схему и настроим ее. Настройку PC0 и PC1 выполните самостоятельно.
Настройка R0
Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами:
Router>en
Router#conf t
Router (config)#int fa0/0
Router (config-if)#ip addr 192.168.0.1 255.255.255.0
Router (config-if)#no shut
Router (config-if)#exit
Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим:
Router (config)#intfa0/1
Router (config-if)#ip addr 10.0.0.1 255.255.255.0
Router (config-if)#no shut
Настройка сервера
Настройки сервера приведены на рис. 9.3
Рисунок 12.3 – Конфигурирование S0
Диагностика сети
Проверяем связь ПК из разных сетей.
Рисунок 12.4 – ПК из разных сетей могут общаться
Приступаем к решению задачи
Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всѐ разрешено (permit). Но, стоит создать список, сразу действует механизм "Всѐ, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер.
Рисунок 12.5 – Создаем на R0 разрешающий ACL
Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0). Эта настройка означает, что список доступа
(правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении.
Рисунок 12.6 – Применяем правило к порту Fa0/0
Примечание
Входящий трафик (in) — этот тот, который приходит на интерфейс извне.
Исходящий (out) — тот, который отправляется с интерфейса вовне. Список доступа вы можете применить либо на входящий трафик, тогда неугодные пакеты не будут даже попадать на маршрутизатор и соответственно, дальше в сеть, либо на исходящий, тогда пакеты приходят на маршрутизатор, обрабатываются им, доходят до целевого интерфейса и только на нѐм обрабатываются. Как правило, списки применяют на входящий трафик
(in).
Проверяем связь ПК с сервером.
Рисунок 12.7 – Для PC1 сервер доступен
Рисунок 12.8 – Для PC0 сервер не доступен
Давайте посмотрим ACL.
Рисунок 12.9 – Узел 192.168.0.12 разрешен
Примечание
Теперь, предположим, нужно добавить новый узел, например, PC2 с адресом
192.168.0.13 в раздел "разрешѐнных". Пишем команду Router (config)#access-list 1 permit
host 192.168.0.13. Теперь адреса 192.168.0.12 и 192.168.0.13 могут общаться с сервером, в
192.168.0.11 – нет. А для отмены какого-либо правила – повторяем его с приставкой "no".
Тогда это правило исключается из конфигурации. Например, если выполнить команду Router (config-if)#no ip access-group 1 in, то ACL будет отменен и снова все ПК могут пинговать сервер.
Расширенные списки доступа ACL
Стандартные права не так гибки, как хотелось бы. В отличие от стандартных списков, расширенные списки фильтруют трафик более "тонко". При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения ():
Таблица 9.1. Обозначение портов в ACL
обозначение действие
lt n
Все номера портов, меньшие n. gt n
Все номера портов, большие n. eq n
Порт n neq n
Все порты, за исключением n. range n m
Все порты от n до m включительно.
Практическая работа 13.
Расширенные списки доступа ACL
Соберите схему сети, показанную на рис. 13.1.
Рисунок 13.1 – Схема сети
Задача: разрешить доступ к FTP серверу 10.0.1.3 для узла 192.168.1.2 и запретить для узла 192.168.1.3.
Создаем расширенные списки доступа и запрещаем FTP трафик
Постановка задачи графически изображена на рис. 13.2.
Рисунок 13.2 – Стрелками показана цель нашей работы
Изначально на сервере 10.0.1.3 FTP сервис поднят по умолчанию со значениями имя пользователя Cisco, пароль Cisco. Убедимся, что узел S0 доступен и FTP работает, для этого заходим на PC1 и связываемся с сервером. Выполняем какие-либо команды, например, DIR – чтение директории.
Рисунок 13.3 – FTPсервер доступен
Примечание
При наборе пароля на экране ничего не отображается.
Теперь создадим список правил с номером 101 в котором укажем 2 разрешающих и по 2 запрещающих правила для портов сервера 21 и 20 (Эти порты служат для FTP - передачи команд и данных).
Рисунок 13.4 – Составляем расширенные списки доступа
Совет
Набирайте команды аккуратно и внимательно: даже один лишний пробел может привести к ошибке при выполнении команды.
А теперь применяем наш список с номером 101 на вход (in) Fa0/1 потому, что трафик входит на этот порт роутера со стороны сети 192.168.1.0 (
рис. 9.14
).
Рисунок 13.5 – Применяем правило с номером 101 к порту 0/1 роутера
Проверяем связь сервера с PC2.
Рисунок 13.6 – Для PC2 FTP сервер не доступен
Проверяем связь сервера с PC1.
Рисунок 13.7 – Для PC1 FTP сервер доступен
Практическая работа 14.
Статическая трансляция адресов NAT
NAT (Network Address Translation) — трансляция сетевых адресов, технология, которая позволяет преобразовывать (изменять) IP адреса и порты в сетевых пакетах. NAT используется чаще всего для осуществления доступа устройств из локальной сети предприятия в Интернет, либо наоборот для доступа из Интернет на какой- либо ресурс внутри сети. Локальная сеть предприятия строится на частных IP адресах:
10.0.0.0 — 10.255.255.255 (10.0.0.0/255.0.0.0 (/8))
172.16.0.0 — 172.31.255.255 (172.16.0.0/255.240.0.0 (/12))
192.168.0.0 — 192.168.255.255 (192.168.0.0/255.255.0.0 (/16))
Эти адреса не маршрутизируются в Интернете, и провайдеры должны отбрасывать пакеты с такими IP адресами отправителей или получателей. Для преобразования частных адресов в Глобальные (маршрутизируемые в Интернете) применяют NAT.
Новый термин
NAT — технология трансляции сетевых адресов, т.е. подмены адресов (или портов) в заголовке IP-пакета. Другими словами, пакет, проходя через маршрутизатор, может поменять свой адрес источника и/или назначения. Подобный механизм служит для обеспечения доступа из LAN, где используются частные IP-адреса, в Internet, где используются глобальные IP-адреса.
Существует три вида трансляции Static NAT, Dynamic NAT, Overloading (PAT).
Static NAT (статический NAT) осуществляет преобразование IP адреса один к одному, то есть сопоставляется один адрес из внутренней сети с одним адресом из внешней сети. Иными словами, при прохождении через маршрутизатор, адрес(а) меняются на строго заданный адрес, один-к-одному (Например, 10.1.1.5 всегда заменяется на 11.1.1.5 и обратно). Запись о такой трансляции хранится неограниченно долго, пока есть соответствующая строчка в конфигурации роутера.
Dynamic
NAT
(динамический
NAT) производит преобразование внутреннего адреса/ов в один из группы внешних адресов. То есть, перед использованием динамической трансляции, нужно задать nat-пул внешних адресов. В этом случае при прохождении через маршрутизатор, новый адрес выбирается динамически из некоторого диапазона адресов, называемого пулом (pool). Запись о трансляции хранится некоторое время, чтобы ответные пакеты могли быть доставлены адресату. Если в течение некоторого времени трафик по этой трансляции отсутствует, трансляция удаляется и адрес возвращается в пул. Если требуется создать трансляцию, а свободных адресов в пуле нет, то пакет отбрасывается. Иными словами, хорошо бы, чтобы число внутренних адресов было ненамного больше числа адресов в пуле, иначе высока вероятность проблем с выходом в WAN.
Overloading(или PAT) позволяет преобразовывать несколько внутренних адресов в один внешний. Для осуществления такой трансляции используются порты, поэтому такой NAT называют PAT (Port Address Translation). С помощью PAT можно преобразовывать внутренние адреса во внешний адрес, заданный через пул или через адрес на внешнем интерфейсе.
Задание 1.
На рис. 14.1 имеется внешний адрес 20.20.20.20 (внешний интерфейс fa0/1) и внутренняя сеть 10.10.10.0
(внутренний интерфейс fa0/0).
Нужно настроить NAT.
Предполагается, что адреса уже прописаны, и сеть поднята (рабочая).
Рисунок 14.1 – Схема сети
1 2 3 4
На R0 добавляем access-list, разрешаем всѐ (any)
Разрешаем весь трафик, то есть, любой IP адрес.
Рисунок 14.2 – Составляем лист допуска
Создаѐм правило трансляции
Теперь настроим трансляцию на интерфейсах (на внутреннем inside, на внешнем – outside), то есть, для R0 указываем внутренний и внешний порты.
Рисунок 14.3 – Для R0 назначаем внутренний и внешний порты
Выходим из режима глобального конфигурирования и записываем настройки роутера в микросхему памяти.
Разрешаем весь трафик, то есть, любой IP адрес.
Рисунок 14.2 – Составляем лист допуска
Создаѐм правило трансляции
Теперь настроим трансляцию на интерфейсах (на внутреннем inside, на внешнем – outside), то есть, для R0 указываем внутренний и внешний порты.
Рисунок 14.3 – Для R0 назначаем внутренний и внешний порты
Выходим из режима глобального конфигурирования и записываем настройки роутера в микросхему памяти.
Рисунок 14.4 – Сохраняем настройки в ОЗУ
Проверяем работу сети (просмотр состояния таблицы NAT)
С PC0 пингуем провайдера и убеждаемся, что PC1 и сервер могут общаться.
Рисунок 14.5 – Из внутренней сети пингуем внешнюю сеть
Для просмотра состояния таблицы NAT, одновременно с пингом используйте команду Router#sh ip nat translations (я запустил пинг с машины 10.10.10.1, т.е., с PC1 на адрес 20.20.20.21, т.е., на S0).
Рисунок 14.6 – Вовремя пинга просматриваем состояние таблицы NAT
Убеждаемся в успешной маршрутизации в режиме симуляции.
Рисунок 14.7 – Связь PC0 и S0 работает
Если в схему добавить PC1, то будет ли работать статический NAT между ним и
S0?
Рисунок 14.8 – Задание для самостоятельной работы
Задание 2.
Настройка статического NAT
Статический NAT
– сопоставляет один NAT inside
(внутренний=частный локальный ip-адрес) с одним NAT outside (глобальным=публичным внешним ip-адресом) –
рис. 14.9. Здесь ISP (Internet Service Provider) - поставщик Интернет-услуг (Интернет-
провайдер).
Рисунок 14.9 – Схема сети
Алгоритм настройки R1
Ниже приведена последовательность команд конфигурирования маршрутизатора
R1 по шагам.
Шаг 1. Настройка дефолта на R1
R1(config)# ip route 0.0.0.0 0.0.0.0 200.20.20.2
Шаг 2. Настройка внутреннего интерфейса в отношение NAT
R1(config)# interface fastethernet 0/0
R1(config-if)# ip nat inside
Шаг 3. Настройка внешнего интерфейса в отношение NAT
R1(config)# interface fastethernet 0/1
R1(config-if)# ip nat outside
Шаг 4. Настройка сопоставления ip-адресов.
R1(config)# ip nat inside source static 10.10.10.2 200.10.21.5
В результате этой команды ip-адресу 200.10.21.5 всегда будет соответствовать внутренний ip-адрес 10.10.10.2, т.е. если мы будем обращаться к адресу 200.10.21.5 то отвечать будет PC1.
Полный листинг команд приведен на рис 14.10.
Рисунок 14.10 – Полный листинг команд по настройке R1
Команды для проверки работы NAT
Проверим связь PC1 и R2.
Рисунок 14.11 – PC1 видит R2
Проверим, что R1 видит соседние сети.
Рисунок 14.12 – R1 видит PC1 и R2
Проверим механизм работы статического NAT: команда show ip nat
translations выводит активные преобразования, а команда show ip nat statistics выводит статистику по NAT преобразованиям.
Рисунок 14.13 – Проверка механизма работы статического NAT