Конфигурирование сетевых устройств

Министерство образования и науки РФ

Федеральное агентство по образованию

Саратовский государственный технический университет

КОнфигурирование

сетевых устройств

Методические указания к выполнению

курсового проекта по курсу
«Теория вычислительных процессов и структур»
для студентов специальности 220400 и направления 654600

Одобрено

редакционно-издательским советом

Саратовского государственного

технического университета

Саратов 2006

1. Цель и назначение курсового проекта

Целью курсового проекта является закрепление и углубление знаний, полученных студентами при изучении курса "Теория вычислительных процессов и структур" путем выполнения самостоятельных заданий по созданию структур и конфигурированию сетевых устройств, а также получение практических навыков в разработке и использовании современных средств построения системного программного обеспечения.

2. Программно-технические средства,

используемые для выполнения проекта

Для выполнения курсового проекта используется приложение Boson NetSim любой версии.

3. Описание приложения

Создание новой топологии осуществляется в окне Boson Network Designer (Пуск → Программы → Boson Software → Boson NetSim for CCNP) непосредственным перетаскиванием устройства из левой панели в правую панель, и указанием его параметров в появляющемся окне (рис. 1).

Рис. 1. Создание топологии

Устройства могут быть соединены с помощью хаба, коммутатора или маршрутизатора (это три различных уровня соединения, указанные в порядке возрастания). Выбор устройства зависит от связей.

В работе будут использованы маршрутизаторы (Routers) серии 2600 модели 2621 (каждый имеет 2 Fast Ethernet порта - это видно в нижней части левой панели) или серии 3600 модели 3640 (каждый имеет 1 Fast Ethernet порт и 4 слота, в каждом из которых по 1 Fast Ethernet).

Когда будут выбраны все элементы топологии и указано число соединений каждого из них, устанавливают связи.

Рассмотрим в качестве примера схему, состоящую из 3 Routers модели 2621 (у каждого из них в полях WAN 1 Options и WAN 2 Options установлено – None) и двух PC. Чтобы установить связи, используют контекстное меню каждого устройства (Рис. 2).

Рис.2. Установка связей

Для РС1 (рис. 3.) выбирают единственное соединение с Router 1 (для РС это шлюз, а для Router это интерфейс):

Аналогично соединяются Routers. Схему сохраняют, данный файл будет иметь маску *.top, и окно Boson Network Designer закрывают.

Для дальнейшей настройки необходимо окно Boson NetSim. С помощью команд File → Load NetMap загружается ранее созданный файл топологии (для её просмотра воспользуйтесь кнопкой NetMap на панели инструментов).

Каждому РС и каждому интерфейсу маршрутизатора должен быть определен IP адрес в точечной нотации.

IP адреса назначаются сетевым интерфейсам хостов. Большинство компьютеров в IP сети имеют единственный сетевой интерфейс (и как следствие один IP адрес). Другие устройства могут иметь несколько сетевых интерфейсов, ­и каждый интерфейс будет иметь свой собственный IP адрес. Так устройство с 6 активными интерфейсами (например, маршрутизатор) будет иметь 6 IP адресов ­по одному на каждый интерфейс в каждой сети, к которой он подключен.

Рис. 3. Соединение PC1 с роутером (Router1) через шлюзFastEthernet0/0

IP адреса в "точечной нотации"

В текущей (IPv4) реализации адресов IP, IP адреса состоят из 4 байт (8 бит) ­дающих в совокупности 32 бита доступной информации. Это приводит к тому, что числа выглядят слишком большими (даже когда записаны в десятичном исчислении). Поэтому для читабельности (и по организационным причинам) IP адреса обычно записываются в "точечно­разделительной нотации". В качестве примера для РС 1 возьмем IP адрес: 192.168.1.1

4 (десятичных) числа, разделенных (.) точками. Так как каждое из четырех чисел - это десятичное представление 8 битного байта, то каждое число может принимать значения от 0 до 255, что дает 256 уникальных значений (­помните, ноль ­это тоже величина). Кроме того, часть IP адреса хоста определяет сеть, в которой находится хост, а оставшиеся ’биты’ IP адреса определяют сам хост (oops ­сетевой интерфейс). То, сколько бит используется сетевым ID и сколько бит доступно для идентификации хостов (интерфейсов) в этой сети, определяется сетевыми ’классами’.

Классы IP сетей

Существует три класса IP адресов

·  Класс A IP сетевых адресов использует левые 8 бит (самый левый октет) для указания сети, оставшиеся 24 бита (оставшиеся три октета) для идентификации интерфейса хоста в этой сети. Адреса класса A всегда имеют самый левый бит самого левого байта нулевым, то есть значения от 0 до 127 для первого октета в десятичной нотации. Т. о., доступно максимум 128 адресов сетей класса A, каждый из которых может содержать до 33,554,430 интерфейсов. Однако сети 0.0.0.0 (сеть известная как маршрут по умолчанию) и 127.0.0.0 (loop back сеть) имеют специальное назначение и не доступны для использования в качестве идентификаторов сети. Поэтому доступно только 126 адресов сетей класса A.

·  Класс B IP сетевых адресов использует левые 16 бит (два левых октета) для идентификации сети, оставшиеся 16 бит (последние два октета) указывают хостовые интерфейсы. Адрес класса B всегда имеет самые левые два бита установленными в 1 0. Т. о. для номера сети остается 14 бит, что дает 32767 доступных сетей класса B. Первый октет адреса сети класса B может принимать значения от 128 до 191, и каждая из таких сетей может иметь до 32,766 доступных интерфейсов.

·  Класс C IP сетевых адресов использует левые 24 бит (три левых октета) для идентификации сети, оставшиеся 8 бит (последний октет) указывает хостовый интерфейс. Адрес класса С всегда имеет самые левые три бита установленными в Т. о., для номера сети остается 14 бит, что дает 4,194,303 доступных сетей класса С. Первый октет адреса сети класса С может принимать значения от 192 до 255, и каждая из таких сетей может иметь до 254 доступных интерфейсов. Однако сети класса C с первым байтом больше, чем 223, зарезервированы и не используются.

В таблице № 1 указаны классы и соответствующие им диапазоны:

Таблица № 1

Существует также специальные адреса, которые зарезервированы для ’несвязанных’ сетей - это сети, которые используют IP, но не подключены к Internet. Вот эти адреса:

·  Одна сеть класса A 10.0.0.0

·  16 сетей класса B 172.16.

·  256 сетей класса С 192.168.5.0

В курсовом проекте используются только адреса класса С, чтобы предотвратить пересечение с ’настоящими’ сетями и хостами.

Сетевая маска

Сетевую маску более правильно называть подсетевой маской. Однако в основном говорят "сетевая маска". Сетевая маска определяет как будут локально интерпретироваться IP адреса в сегменте IP сети, что очень важно, поскольку определяет процесс разбивки на подсети.

Стандартная (под) сетевая маска - все сетевые биты в адресе установлены в ’1’ и все хостовые биты установлены в ’0’. Это означает, что стандартные сетевые маски для трех классов сетей:

·  A класс - сетевая маска: 255.0.0.0

·  B класс - сетевая маска: 255.255.0.0

·  C класс - сетевая маска: 255.255.255.0

При создании подсети нельзя смешивать Ethernet, Token Ring, FDDI, ATM и т. д. в одной сети, однако они могут быть взаимосвязаны!

Как разбить сетевые IP адреса на подсети

Чтобы разбить IP сеть на подсети, перечислим основные шаги:

·  Установите физические соединения (сетевые кабели и сетевые соединители - такие как маршрутизаторы).

·  Решите, насколько большие/маленькие подсети вам нужны, исходя из количества устройств, которое будет подключено к ним, т. е. сколько IP адресов требуется использовать в каждом сегменте.

·  Вычислите соответствующие сетевые маски и сетевые адреса.

·  Раздайте каждому интерфейсу в каждой сети свой IP адрес и соответствующую сетевую маску.

·  Установите маршруты на каждом маршрутизаторе и соответственно шлюзы, маршруты и/или маршруты по умолчанию на сетевых устройствах.

·  Проверьте систему, исправьте ошибки и расслабьтесь!

Для примера, предположим, что разбиваем на подсети одну сеть класса С с адресом 192.168.1.0 Она может иметь до 254 интерфейсов (хостов) плюс адрес сети (192.168.1.0) и широковещательный адрес (192.168.1.255).

Итак, определим в виде таблицы № 2 каждому интерфейсу свой IP-адрес с маской 255.255.255.0

Теперь в программе необходимо выполнить настройки. Начнём с РС1.

Для вызова окна настроек на данном устройстве в окне топологии (рис. 4) выбрать опцию Configure контекстного меню или в окне Boson NetSim выбрать опцию PC1 в меню eStations.

Таблица № 2

Рис.4. Окно топологии в приложении Boson NetSim

После появления приглашения C:> используют по порядку следующие команды:

·  ipconfig – просмотр текущей конфигурации (IP-адреса и ключей) для компьютера (рис. 5);

·  ipconfig /ip 192.168.0 – изменение текущего IP-адреса на необходимый с указанием маски;

Рис.5. Просмотр текущей конфигурации PC

·  ipconfig /dg 192.168.1.2 – указан шлюз по умолчанию Default Gateway (все пакеты пересылаемые с РС1 по сети проходят через данный шлюз);

Для быстрой записи команд можно воспользоваться «историей команд», т. е. клавишами ↓ и ↑ (перебор всех используемых команд для данного устройства).

Аналогично выполняется настройка всех РС и выбор окна настройки маршрутизатора.

Настройка Router:

·  enable – смена приглашения (с Router:> на Router#) и переход в привилегированный режим – режим настроек маршрутизатора ;

·  show running-config – просмотр текущих настроек (видны интерфейсы, которым будут даны IP-адреса) ; (--More-- – нажмите пробел для дальнейшего просмотра)

·  config terminal – переход в режим конфигурирования Router (можно записать conf t), приглашение сменится на Router(config)# ;

·  interface fastEthernet 0/0 – переход к настройкам первого интерфейса R1 (сокращенная команда – int fas0/0), приглашение сменится на Router(config-if)# ;

·  ip address 192.168.0 – добавление нового адреса с маской (см. таблицу № 2) на интерфейс 0/0 ;

·  no shutdown – включение выше указанного интерфейса ;

·  exi – выход на предыдущий уровень.

Аналогично прописываются все остальные интерфейсы данного маршрутизатора, затем указывается статический маршрут на сеть (для связи с другими Routers).

·  ip route 192.168.0 192.168.2.2 – в режиме конфигурации эта команда добавляет статический маршрут сети 3 через интерфейс, ip-адрес которого указан последним в записи (Аналогично добавляется маршрут сети 4 : 192.168.0 192.168.2.2) ;

·  sh ip route – просмотр маршрутов Router1 в режиме Router#

Настройка маршрутизатора 1 закончена.

Ниже перечислим команды, которые могут понадобиться во время конфигурирования.

·  hostname R1 – переименование Router на R1 (выполняется в режиме Router(config)#) ;

·  no ip address 192.168.0 – удаление ошибочно введенного адреса интерфейса (в режиме работы с данным интерфейсом) ;

no ip route 192.168.0 192.168.2.2 – удаление ошибочно введенного маршрута (в соответствующем режиме).

Рис. 6. Просмотр настроенной конфигурации

Пакетные фильтры и их конфигурирование

Пакетные фильтры позволяют управлять прохождением траффика через интерфейсы роутера, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети.

Пакетные фильтры в Cisco реализованы через списки доступа (access-lists).

Списки доступа Access Lists

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

Управление передачей пакетов на интерфейсах Управление доступом к виртуальным терминалам роутера и управлению через SNMP Ограничение информации, передаваемой динамическими протоколами роутинга

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка. Некоторые, наиболее часто применяемые диапазоны приведены ниже:

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

Создание списков доступа (краткий обзор)

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке <приложения> списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут.

Использование tftp-сервера для создания списков доступа

Поскольку порядок строк в списке доступа очень важен, а также поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа, рекомендуется создавать списки доступа на tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на роутере.

Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no access-list <number/name>".

Назначение списков доступа на интерфейсы (Обзор)

Для каждого протокола на интерфейс может быть назначен только один список доступа.

Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после принятия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило "deny all", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга).

Списки доступа для протокола IP

Стандартные и расширенные нумерованные списки доступа

Поддерживаются следующие виды списков доступа для IP:

Стандартные списки доступа (проверяют адрес отправителя пакета) Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета) Динамические расширенные списки доступа (имеют конечное <время жизни> и условия применения)

Создание стандартного списка доступа:

Критерии записываются последовательно в следующем формате:

access-list access-list-number {deny | permit} source [source-wildcard]

Пример:

access-list 1 deny 192.168.

access-list 1 permit 192.168.

Разрешается прохождение пакетов с адресов в блоке 192.168.0.0/16 за исключением адресов 192.168.1.0/24

Обратите внимание на порядок записи критериев. Запись их в другом порядке приведет к тому, что второе условие не будет работать никогда.

Обратите внимание на запись маски, в отличие от метода записи маски на сетевых интерфейсах маска в списках доступа записана инверсно, единицами отмечены биты, которые НЕ будут проверяться.

Часто используемое описание фильтра, которому удовлетворяет любой адрес 0.0.255 имеет специальное обозначение "any".

access-list access-list-number {deny | permit} any

Создание расширенного списка доступа:

Критерии расширенного списка доступа записываются в следующем формате:

access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log]

access-list access-list-number {deny | permit} protocol any any

access-list access-list-number {deny | permit} protocol host source host destination

Ключевое слово "log" вызывает выдачу записи о совпадении пакета с данным критерием на консоль и в системный лог-файл.

Если в качестве протокола указано "tcp" или "udp", то описания source - и destination-wildcard могут включать номера портов для данных протоколов с ключевыми словами "eq", "lt", "gt", "range" . Для протокола "tcp", возможно также применение слова "established" для выделения только установленных tcp-сессий.

Ключевое слово "host source" - эквивалентно записи: "source 0.0.0.0"

Создание динамического списка доступа

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log]

Создание именованных списков доступа

Именованные списки доступа не распознаются Cisco IOS версиях младше 11.2.

Именованные списки доступа в настоящее время можно использовать только в качестве пакетных фильтров и фильтров роутинга.

Прежде чем использовать именованные списки доступа, запомните следующее:

Именованные списки несовместимы с предыдущими версиями IOS. Не во всех случаях, где необходимы списки доступа, могут быть использованы именованные списки. Не могут существовать одновременно стандартный и расширенный списки с одинаковым именем.

Создание стандартного именованного списка доступа

Шаг 1. Задание имени и переход в режим формирования списка.

ip access-list standard name

Шаг 2. Задание критериев в порядке, в котором они должны применяться в списке..

deny {source [source-wildcard] | any} or permit {source [source-wildcard] | any}

Шаг 3. Выход из режима формирования списка.

exit

Расширенный именованный список доступа создается аналогично.

Шаг 1.

ip access-list extended name

Шаг 2.

{deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log]

{deny | permit} protocol any any

{deny | permit} protocol host source host destination

Шаг 3.

exit

Назначение списка доступа на интерфейс или терминальную линию

На терминальную линию могут быть назначены только нумерованные списки.

§  На интерфейс могут назначаться ка кнумерованные, так и именованные списки.

В режиме конфигурировании терминальной линии выполните команду:

access-class access-list-number {in | out}

В режиме конфигурирования интерфейса выполните команду:

ip access-group {access-list-number | name} {in | out}

Если в результате применения списка доступа, назначенного на интерфейс, пакет отбрасывается, то отправителю посылается ICMP Host Unreachable message.

Если на интерфейс назначен список доступа, который не определен в конфигурации, то считается, что никакого списка не назначено и никакой фильтрации пакетов не происходит.

Обратите внимание, что как только будет введен хотя бы один критерий с этим номером/именем списка доступа, вслед за ним появится критерий "deny all", который добавляется в конце всех существующих списков доступа. Поэтому, во избежание полной блокировки системы при заведении списков доступа следует:

Либо отменять назначение списка доступа на интерфейс перед редактированием списка и назначать на интерфейс только полностью сформированные и проверенные списки Либо создавать и редактировать списки доступа на tftp-сервере и загружать в роутер опять-таки полностью сформированные и провереные списки доступа.

Примеры расширенных списков доступа

Первый критерий разрешает любые входящие TCP-соединения на порты с номерами больше 1023. Второй критерий разрешает входящие SMTP-соединения на адрес 128.88.1.2. Следующий критерий разрешает прохождение ICMP-сообщений.

ВСЕ остальные пакеты, входящие с интерфейса Ethernet0 будут ОТБРОШЕНЫ!

access-list 102 permit tcp 0.0..0.255.255 gt 1023

access-list 102 permit tcp 0.0..0.0.0 eq 25

access-list 102 permit icmp 0.0.55.255.255.255

interface ethernet 0

ip access-group 102 in

Пример именованного списка доступа

Создается стандартный списко доступа с именем Internet_filter и расширенный список доступа с именем marketing_group:

interface Ethernet0/5

ip address 2.0.0

ip access-group Internet_filter out

ip access-group marketing_group in

...

ip access-list standard Internet_filter

permit 1.2.3.4

deny any

ip access-list extended marketing_group

permit tcp any 171.69.eq telnet

deny tcp any any

permit icmp any any

deny udp any 171.69.lt 1024

deny ip any any log

Задание

1.  Собрать указанную преподавателем топологию.

2.  Сконфигурировать сетевые устройства для обеспечения связанности указанных сетевых сегментов.

Содержание отчета

1.  Формулировка задания.

2.  Рисунок топологии.

3.  Описание конфигурирования каждого элемента (с комментарием).

4.  Рисунок окна уже готовой конфигурации каждого элемента.

5.  Рисунок окна проверки списка доступов.

На титульном листе указать Ф. И.О. и № группы в подгруппе.

Рис. 7. Образец оформления топологии

Литература

1.  Кульгин, М. Компьютерные сети. Практика построения. / М. Кульгин; СПб.: Питер 2003, – 462 c.

2.  Leinvand, А. Конфигурирование маршрутизаторов Cisco M. / Leinvand Allan Pinski Bryus. Пер. с анг. - М.: ЭКОМ, 2004.-552 с.

КОнфигурирование сетевых устройств

Методические указания к выполнению

курсового проекта по курсу
«Теория вычислительных процессов и структур»

Составили:

Под редакцией: д. ф.-м. н., проф.

Рецензент: доц.