ZiMSK.z05.(VLAN_trun..

Transkrypt

ZADANIE.05
Zarządzanie i Monitorowanie Sieci Komputerowych v.2015
Imię
Nazwisko
ZADANIE.05
Cisco.&.Juniper
Tworzenie sieci VLAN
(VLAN, trunk, inter-VLAN routing)
2,5h
1.
2.
3.
4.
Zbudować sieć laboratoryjną
Czynności wstępne
Skonfigurować sieci VLAN
Skonfigurować łącze trunk i routing pomiędzy
sieciami VLAN
5. Skonfigurować translację adresów
6. Czynności końcowe
-1-
ZADANIE.05
1. Zbudować sieć laboratoryjną
Zadanie
 Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.
Topologia sieci laboratoryjnej
79.96.21.160 / 28
OUTSIDE
dmz
security-level 50
outside
security-level 0
212.191.89.128 / 25
subinterfaces, trunk
172.18.0.0 / 16
10.2.0.0 / 16
VLAN Admin
sec.lev.95
10.10.0.0 / 16
VLAN Dyrekcja
10.20.0.0 / 16
sec.lev.85
VLAN Pracownicy
sec.lev.80
-2-
ZADANIE.05
2. Czynności wstępne

Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania
(z serwera TFTP albo metodą „Crtl+C, Crtl+V”).


Sprawdzić za pomocą programu ping działanie interfejsów:
o z hosta wewnątrz sieci inside adres interfejsu inside ASA:
………………
o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA:
………………
o z hosta wewnątrz sieci outside adres interfejsu Routera:
………………
o z hosta wewnątrz sieci outside adres interfejsu outside ASA:
………………
Zainstalować w strefie dmz i outside po jednym serwerze FTP
(np. TYPSoft FTP Server).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do
dowolnego folderu na dysku.

Przeprowadzić testy:
o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? ………………
Jeśli tak - z jakiego adresu nastąpiło połączenie? ……………………………………………………
Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………
o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? …………
o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? ……………
o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? ……………
-3-
ZADANIE.05
3. Skonfigurować sieci VLAN
(ang. Virtual Local Area Network)
Zadanie
 Skonfigurować sieci VLAN na switch zgodnie z tabelą:
Urządzenie
Numer
VLAN
Nazwa VLAN
Porty przełącznika
należące do VLAN
Adres IP
1
-
Fa0/1, Gi0/1, Gi0/2
-
2
Admin
Fa0/2 – Fa0/4
Dowolny, zgodny
z topologią i
adresacją sieci.
10
Dyrekcja
Fa0/5 – Fa0/9
-
20
Pracownicy
Fa0/10 – Fa0/24
-
Materiał pomocniczy
Segmentacja sieci przy użyciu VLAN
-4-
ZADANIE.05
Konfiguracja sieci VLAN
Tworzenie sieci VLAN:
Switch# vlan database
Switch(vlan)# vlan <VLAN_ID> name <nazwa_sieci_VLAN>
Usuwanie sieci VLAN:
Switch# vlan database
Switch(vlan)# no vlan <VLAN_ID>
Przypisanie portu do sieci VLAN:
Switch(config)# interface fastethernet <nr_portu>
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan <VLAN_ID>
Usunięcie portu z sieci VLAN:
Switch(config-if)# no switchport access vlan <VLAN_ID>
Weryfikacja sieci VLAN
Informacja o wszystkich sieciach VLAN:
Switch# show vlan
Informacja o wybranej sieci VLAN:
Switch# show vlan id <VLAN_ID>
Informacja o portach switch:
Switch# show interface
-5-
ZADANIE.05
Informacja o trybie pracy wybranego portu switch:
Switch# show interface fastethernet <nr_portu> switchport
Wyjaśnienie pojęć:

VLAN_ID – identyfikator sieci VLAN, najważniejsza liczba określająca sieć VLAN.

nazwa_sieci_VLAN – dowolna nazwa opisująca sieć VLAN.

nr_portu – numer portu na switch.
Sprawozdanie

Podłączyć jeden host do sieci VLAN Dyrekcja (adres IP z puli sieci inside).

Podłączyć drugi host do sieci VLAN Pracownicy (adres IP z puli sieci inside).

Zainstalować w sieci VLAN Pracownicy serwer FTP (np. TYPSoft FTP Server).

Utworzyć na tym serwerze FTP przynajmniej jedno konto z uprawnieniami do
dowolnego folderu na dysku.

Podłączyć ASA do portu Switch należącego do sieci VLAN Dyrekcja.

o Czy z hosta z VLAN Dyrekcja działa ping do interfejsu inside ASA?
………………
o Czy z hosta z VLAN Pracownicy działa ping do interfejsu inside ASA? ………………
o Czy z hosta z sieci VLAN Dyrekcja można się połączyć z serwerem FTP
w sieci dmz? ………………
Dlaczego? …………………………………………………………………………………………………………………
w sieci outside? ………………
Dlaczego? …………………………………………………………………………………………………………………
w sieci VLAN Pracownicy? ………………
Dlaczego? …………………………………………………………………………………………………………………
o Czy z hosta z sieci VLAN Pracownicy można się połączyć z serwerem FTP
Dlaczego? …………………………………………………………………………………………………………………
Dlaczego? …………………………………………………………………………………………………………………
-6-
ZADANIE.05
4. Skonfigurować łącze trunk i routing pomiędzy
sieciami VLAN
Zadanie
 Skonfigurować łącze trunk na switch zgodnie z tabelą:
Urządzenie
Port trunk
Protokół enkapsulacji
Fa0/1 albo Gi0/1
802.1q
 Skonfigurować podinterfejsy na ASA tak aby możliwy był routing pomiędzy sieciami
VLAN:
Urządzenie
VLAN Admin
VLAN Dyrekcja
VLAN Pracownicy
Opis: dowolny
Opis: dowolny
Opis: dowolny
VLAN ID: 2
VLAN ID: 10
VLAN ID: 20
Nazwa podinterfejsu:
inside_admin
inside_dyrekcja
inside_pracownicy
Poziom
bezpieczeństwa: 95
Poziom
bezpieczeństwa: 85
Poziom
bezpieczeństwa: 80
Adres IP: zgodnie z
topologią sieci
Adres IP: zgodnie z
topologią sieci
Adres IP: zgodnie z
topologią sieci
Maska sieci: zgodnie
z topologią sieci
z topologią sieci
z topologią sieci
-7-
ZADANIE.05
Materiał pomocniczy
Idea działania łącza trunk
Konfiguracja łącza trunk
(do połączeń Switch-Switch, Switch-Router, Switch-ASA)
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation <isl | dot1q>

nr_portu – numer portu na switch.
-8-
ZADANIE.05
Idea routingu pomiędzy sieciami VLAN
Konfiguracja routingu pomiędzy sieciami VLAN
router(config)# interface fastethernet nr_podinterfejsu
router(config-subif)# description opis_podinterfejsu
router(config-subif)# encapsulation {isl | dot1q} VLAN_ID
router(config-subif)# ip address adres_IP maska_sieci
ASA(config)# interface ethernet nr_podinterfejsu
ASA(config-subif)# descritption opis_podinterfejsu
ASA(config-subif)# vlan VLAN_ID
ASA(config-subif)# nameif nazwa_podinterfejsu
ASA(config-subif)# security-level wartosc
ASA(config-subif)# ip address adres_IP maska_sieci
-9-
ZADANIE.05

VLAN_ID – identyfikator sieci VLAN, najważniejsza liczba określająca sieć VLAN.

nr_podinterfejsu – numer podinterfejsu, np. podinterfejs 1 na interfejsie 0/0
zapisuje się jako 0/0.1

opis_podinterfejsu – dowolny opis podinterfejsu.

nazwa_podinterfejsu – nazwa za pomocą, której ASA będzie identyfikowała
podinterfejs.

wartość – poziom bezpieczeństwa dla podinterfejsu
(liczba całkowita z zakresu <0, 100>).

adres_IP – adres IP z sieci obsługiwanej przez podinterfejs.

maska_sieci – maska sieci obsługiwanej przez podinterfejs.
Juniper switch L2
Konfiguracja sieci VLAN:
{master:0}[edit]
user@Switch-1# show vlans
nazwa_vlan1 {
vlan-id id_vlan1;
}
nazwa_vlan2 {
vlan-id id_vlan2;
}
Konfiguracja portu typu Access:
{master:0}[edit]
user@Switch-1# show interfaces ge-x/y/z
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members nazwa_vlan1;
}
}
}
- 10 -
ZADANIE.05
Konfiguracja portu typu Trunk:
{master:0}[edit]
user@Switch-1# show interfaces ge-k/l/m
unit 0 {
port-mode trunk;
vlan {
members [ nazwa_vlan1 nazwa_vlan2 ];
}
}
}
Konfiguracja VLAN na interfejsie L2
Konfiguracja portu typu Trunk:
interfaces {
ge-a/b/c {
unit 0 {
port-mode trunk;
vlan {
members [ nazwa_vlan1 nazwa_vlan2 ];
}
}
}
}
Konfiguracja interfejsów VLAN:
interfaces {
vlan {
unit id_vlan1 {
family inet {
address adres/maska;
}
}
unit id_vlan2 {
family inet {
}
}
- 11 -
ZADANIE.05
Połączenie interfejsów VLAN z ID VLAN:
vlans {
nazwa_vlan1 {
vlan-id id_vlan1;
l3-interface vlan.id_vlan1;
}
nazwa_vlan2 {
vlan-id id_vlan2;
l3-interface vlan.id_vlan2;
}
}
Konfiguracja VLAN na interfejsie L3
Konfiguracja interfejsu typu Trunk:
interfaces {
ge-a/b/c {
vlan-tagging;
unit id_vlan1 {
vlan-id id_vlan1;
family inet {
}
}
}
Sprawozdanie

o Czy z hosta z sieci VLAN Dyrekcja działa ping do podinterfejsu
inside_dyrekcja ASA?
………………
o Czy z hosta z sieci VLAN Pracownicy działa ping do podinterfejsu
inside_pracownicy ASA?
………………
Dlaczego? …………………………………………………………………………………………………………………
Dlaczego? …………………………………………………………………………………………………………………
- 12 -
ZADANIE.05
Dlaczego? …………………………………………………………………………………………………………………
Dlaczego? …………………………………………………………………………………………………………………
Dlaczego? …………………………………………………………………………………………………………………
5. Skonfigurować translację adresów
Zadanie

Skonfigurować translację adresów na ASA zgodnie z poniższą tabelą:
Urządzenie
Parametry translacji adresów
Z sieci
Do sieci
Rodzaj
inside_pracownicy
dmz
NAT albo PAT
inside_pracownicy
outside
NAT albo PAT
inside_dyrekcja
dmz
NAT albo PAT
inside_dyrekcja
outside
NAT albo PAT
inside_dyrekcja
inside_pracownicy NAT albo PAT
Sprawozdanie

Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………
Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………
- 13 -
ZADANIE.05
o Czy z hosta z sieci VLAN Admin można się połączyć z serwerem FTP

Zweryfikować także:
o Czy z hosta z sieci dmz można się połączyć z serwerem FTP
o Czy z hosta z sieci outside można się połączyć z serwerem FTP
- 14 -
ZADANIE.05
6. Czynności końcowe

Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.
- 15 -

ZiMSK.z05.(VLAN_trun..

Transkrypt

Podobne dokumenty

EE 1022DC L2 Szybki switch autonomiczny Fast Ethernet Aktywne

- Laboratorium sieci komputerowych

załącznik 1 do SIWZ

Budowa i konfiguracja sieci komputerowej cz.3