Автор: Пользователь скрыл имя, 17 Марта 2013 в 14:40, курсовая работа
В перших чотирьох описано спосіб побудови локальної мережі, який було обрано і чому саме він був обраний, вказано майбутні стадії та етапи розробки. Описано призначення даної мережі, вимоги до програмного, апаратного забезпечення та ведення документації.
В п’ятій частині дається загальний опис задачі та її специфічні особливості. Здійснюється розробка схеми фізичного розташування кабелів та вузлів. Також тут здійснено обґрунтування вибору обладнання для мережі.
Вступ…………………………………………………………………………….
Аналітичний огляд існуючих рішень…………………………….
Аналіз технічного завдання……………………………………….
Стадії та етапи розробки………………………………………….
Вимоги до апаратного та програмного забезпечення……………
Побудова моделі комп’ютерної мережі………………………….
5.1 Опис та обгрунтування вибору логічної та фізичної
топологій комп’ютерної мережі……………………………..
5.2 Характеристика активного комунікаційного
обладнання…………………………………………………….
Налаштування маршрутизатора…………………………….……
Тестування моніторинг та налагодження комп’ютерної мережі……………………………………………………………...
Висновки………………………………………………………………… …….
Перелік посилань……………………………………………………………….
Додатки
Вводжу
interface FastEthernet 0/0
щоб перейти в режим конфігурації для інтерфейсу Fast Ethernet 0/0.
Тепер потрібно призначити інтерфейсу IP-адрес:
ip address 164.34.24.97 255.255.255.224
Число 164.34.24.97 буде ІР адресою даного інтерфейсу а число 255.255.255.224 буде його маскою.
По замовчуванню фізичні інтерфейси виключені, для їх активації
використовується команда:
no shutdown
Після введення вищезгаданої команди виведеться повідомлення:
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
яке повідомить про активізацію інтерфейсу FastEthernet0/0.
Командою
exit
виходжу у термінал конфігурування інтерфейсів де ввожду знову
interface FastEthernet 1/0
для переходу налаштування даного інтерфейсу та вводжу команду
ip address 164.34.24.65 255.255.255.224
для задання адреси та маски
no shutdown
для активізації інтерфейсу.
Вищезгадані дії повторюю ще для двох інтерфейсів FastEthernet2/0 та FastEthernet3/0. Після цього потрібно налаштувати інтерфейс WAN для використання протоколу DHCP, щоб отримати для нього ІР-адресу. Для цього вводжу
Interface FastEthernet 4/0
слідом команду
ip address dhcp
потім використовую команду exit для виходу з режиму налаштування інтерфейсу.
Оскільки ІР адреси введені потрібно налаштувати два списки доступу, які використовуються до вхідних з'єднань. Як показано на малюнку, «вхідний» іменується трафік, що поступає на інтерфейс; «вихідним» іменується трафік, що покидає його.
Рисунок 6.1 – Вхідний та вихідний трафік у маршрутизаторі
У списку який наведений нижче показано два списки доступу: перший застосовується до інтерфейсу локальної мережі (в даному випадку, Fastethernet 0/0), а другий - до інтерфейсу WAN (в даному випадку
Fastethernet 4/0).
ip access-list extended 97
permit ip 164.34.24.97.255.255.255.224 any
deny ip any any
exit
ip access-list extended 24
permit upd any eq bootps any eq bootps
permit tcp any any
permit upd any any
permit icmp any any echo-reply
permit icmo any any time-exceeded
permit icmp any any unreachable
deny ip any any
exit
Список доступу 97 застосовуватиметься до інтерфейсу локальної мережі. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим налаштування списку доступу. У наступному рядку дозволяється проходження в інтерфейс будь-якого IP-трафіку, відповідаючого мережі (164.34.24.97/27). У списках доступу IOS використовуються інверсні маски підмережі. Їх нескладно обчислити вручну, віднімаючи кожен октет звичайної маски з 255. Таким чином, маска 255.255.252.0 перетворюється на 0.0.3.255, 255.252.0.0 перетворюється на 0.3.255.255 і так далі.
У третьому рядку забороняється вхід в інтерфейс локальної мережі будь-якого іншого трафіку. В кінці всіх списків доступу неявно міститься deny all, але має сенс явно ввести рядок deny, щоб знати, де кінчається список доступу, і спростити читання конфігурації. Останній рядок виводить маршрутизатор з режиму налаштування списку доступу.
Список доступу 24 застосовуватиметься до інтерфейсу WAN. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим його налаштування. У даному проекті використовується кабельний модем, тому в наступному рядку трафіку DHCP (bootps і bootpc) дозволяється вхід в інтерфейс WAN. Без цього запису інтерфейс WAN ніколи б не прийняла публічний IP-адрес, і доступ в Internet був би неможливий. У третьому і четвертому рядках дозволяється проходження в інтерфейс WAN будь-якого трафіку TCP і UDP з будь-якого джерела, що направляється в будь-яке місце призначення.
У п'ятому, шостому і сьомому рядках дозволяється будь-який трафік ICMP, який виходить з будь-якого джерела; прямує в будь-яке місце призначення; є відповіддю ping, повідомленням про закінчення часу або недоступності, WAN, що поступає в інтерфейс. Потрібно обережно вибирати
ICMP-трафік, оскільки протокол ICMP уразливий для різних атак, особливо з відмовою в обслуговуванні (DOS). Проте ці три рядки необхідно для застосування команд ping і traceroute в цілях діагностики. Два останні рядки - такі ж, як в списку доступу локальної мережі.
Налаштування базової перевірки TCP/UPD/ICMP
Для виконання даного пункту скористаємося вбудованими функціями брандмауера, якщо вони є у версії IOS. Брандмауер IOS не забезпечує глибокої інспекції на прикладному рівні, як, наприклад, в брандмауері ISA Server, але задіювати його варто по двох причинах. По-перше, щоб переконатися, що трафік, заявлений як TCP, UDP або ICMP дійсно належить протоколам TCP, UDP або ICMP. По-друге, перевірка дозволяє управляти доступом на основі контексту Context-based Access Control (CBAC). За допомогою CBAC операційна система IOS може створювати динамічні записи в списку доступу, дозволяючи проходження зворотного трафіку через маршрутизатор. Приведені вище списки доступу дуже загальні (наприклад, дозволений весь трафік TCP), тому після того, як буде отримана працездатна конфігурація, напевно потрібно буде застосувати строгіші умови, призначити внутрішні сервери, доступні з Internet, і так далі. Після того, як це буде зроблено, CBAC забезпечить проходження зворотного трафіку через маршрутизатор. Наприклад, при прогляданні Amazon.com CBAC динамічно поміщає записи у витікаючий список доступу, який застосовуєтсья до зовнішнього (WAN) інтерфейсу, щоб дозволити надходження в маршрутизатор зворотного трафіку з Amazon.com. Коли з'єднання розривається, ці записи автоматично видаляються.
Обов'язково потрібно встановити поріг тайм-ауту TCP SYN, щоб запобігти flood-атаки SYN з відмовою в обслуговуванні:
ip tcp synwait-time 30
Ця команда вказує IOS на необхідність закрити будь-який TCP-сеанс, не встановлений протягом 30 секунд.
Потім призначаю окремі правила перевірки для ICMP, TCP і UDP:
ip inspect name Inspect icmp
ip inspect name Inspect tcp
ip inspect name Inspect udp
Застосування списків доступу і правил перевірки
Для інтерфейсу WAN (в даному випадку Fastethernet 4/0) потрібно спочатку увійти до режиму налаштування інтерфейсу:
interface FastEthernet 4/0
Потім застосувати список доступу
ip access-group 24 in
Застосувати правило перевірки
ip inspect Inspect in
Та вийти з режиму налаштування інтерфейсу
Exit
Вводжу параметри для локальної мережі(Fastethernet 0/0)
interface Fastethernet 0/0
ip access-group 97 in
ip inspect Inspect in
exit
Варто відзначити, що правило перевірки IP у витікаючому напрямі можна застосувати наряду або замість вхідного напряму.
Налаштування NAT
Тепер необхідно налаштувати NAT на перетворення адрес між внутрішньою мережею 164.34.24.0/27 і загальнодоступним Internet. Для цього потрібно підготувати список доступу, який використовуватиметься тільки для NAT:
ip access-list standard 10
permit 192.168.100.0 0.0.0.255
deny any
exit
Як і раніше, перший рядок переводить маршрутизатор в режим налаштування списку доступу. За допомогою звичайних списків доступу дозволяється або забороняється тільки трафік з вказаних IP-адрес або мереж. У них не можна вказати місце призначення або тип трафіку, як в розширених списках доступу. У другому рядку вказується трафік, який потрібно перетворити. Приведений вище код дозволяє перетворення трафіку внутрішньої локальної мережі для Internet. У третьому рядку забороняється перетворення будь-якого іншого трафіку, а в четвертій маршрутизатор виводиться з режиму налаштування списку доступу.
Потім для операційної системи IOS вказуються інтерфейси, які братимуть участь в перетворенні мережевих адрес:
interface FastEthernet 0/0
ip nat inside
exit
interface FastEthernet 4/0
ip nat outside
exit
Ці рядки вказують операційній системі, що інтерфейс локальної мережі, FastEthernet 4/0, міститиме адреси, які потрібно перетворити, а інтерфейс WAN, Fastethernet 4/0, містить адреси, в які будуть перетворені внутрішні адреси.
Нарешті, вводиться власне інструкція NAT:
ip nat inside source list 10
interface FastEthernet 4/0 overload
Команда вказує IOS, що потрібно перетворити всі адреси в списку доступу 10 в адреси, призначені інтерфейсу Fastethernet 4/0. Ключове слово overload дозволяє розділяти одну публічну адресу між декількома внутрішніми приватними адресами.
Тестування конфігурації
Тепер необхідно протестувати мережу. Вводжу
copy running-config startup-config
щоб зберегти виконані налаштування в незалежній пам'яті і забезпечити відновлення конфігурації після перезапуску маршрутизатора, збою електроживлення і в інших ситуаціях.
Команда
show running-config
потрібна для виведення копії тільки що створеної конфігурації на екран. Конфігурацію можна скопіювати і вставити в текстовий редактор для звернень до неї в майбутньому. Можна також змінити конфігурацію в текстовому редакторові і вставити її в сеанс терміналу, щоб внести зміни до маршрутизатора. На даному етапі конфігурація повинна виглядати приблизно так, як показано в додатку 2. Звернете увагу, що основа цього дадотку - команди, введені вище.
7. Тестування моніторинг та налагодження комп’ютерної мережі
Для тестування комп’ютерної мережі використовуються різні апаратні та програмні засоби. Нище представлені декілька программ для моніторигу мережі:
До апаратних засобів можна віднести мережний тестер.
Рисунок 7.1- Кабельний тестер
Тестер Smart Сlass Ethernet - це простий у використанні прилад, який дозволяє проводити повномасштабні вимірювання Ethernet і IP сервісів до 3 рівня згідно стандарту RFC 2544. Функція генерування потоку трафіку дає можливість реалізувати стресс-тестування мережі. Міцний корпус, функціонування від батарей і спеціалізовані функції роблять прилад незамінним при перевірці віддалених вузлів.
Можливості:
ВИСНОВКИ
На основі аналітичного огляду існуючих рішень спроектовано логічну та фізичну топології мережі для ЗОШ №1 села Яблунів. Вибрано стандарт та обладнання для провідної частини мережі, сервера та джерело безперебійного живлення. Описано процедуру налаштування маршрутизатора.
Особлива увага приділена налаштуванню маршрутизатора для задач спільного доступу до мережі Інтернет, забезпечення захисту мережі відзовнішніх атак.
В додатку А наведено набір команд для налаштування маршрутизатора.
ПЕРЕЛІК ПОСИЛАНЬ
ДОДАТОК А
!
version 12.2
no service password-encryption
!
hostname Router
!
!
!
!
!
ip ssh version 1
!
!
interface FastEthernet0/0
ip address 164.34.24.34 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 164.34.24.65 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 164.34.24.97 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet3/0
ip address 164.34.24.129 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet4/0
Информация о работе Розробка локальної комп’ютерної мережі ЗОШ №1 села Яблунів