Проектирование корпоративных сетей

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование

? адреса, определяемые с помощью первого списка доступа, будут транслироваться с помощью определенного пула:

R2921-IntА (config) # ip nat inside source 1 pool corp overload.

Ключевое слово "overload" указывает на то, что один внешний адрес можно использовать для нескольких внутренних. Последним шагом необходимо указать входной и выходной интерфейсы. Следующие команды даются в режиме конфигурации соответствующих интерфейсов:

R2921-IntА (config) #interface Gigabit Ethernet1/0-IntА (config - if) # ip nat inside-IntА (config) #interface Serial1.0-InА (config - if) # ip nat outside;

Помимо трансляции адресов, как уже было сказано выше, необходимо сделать фильтрацию трафика, что будет сделано при помощи списков доступа.

Список доступа это набор условий, в которых определяется, какой пакет может быть пропущен, а какой нет.

Задача фильтрации пакетов (трафика) разбивается на два разных этапа. На первом с помощью команд access-list и ip access-list задаются критерии фильтрации. На втором этапе эти критерии фильтрации накладываются на желаемые интерфейсы.

Списки доступа могут быть стандартными и расширенными. Стандартный список доступа позволяет фильтровать трафик только по адресу источника. Создается он следующим образом:

(config) # access-list 1 deny 10.0.0.1 0.0.0.255.

Здесь первая цифра означает номер списка доступа, служебное слово "deny" запрещает прохождение пакетов из сети (служебное слово "permit" - разрешает прохождение пакетов) с адресом, указанным далее. Последняя группа цифр (0.0.0.255) - так называемая карта (wildcard). Сравнение адресов анализируемого пакета и указанного в условии ведется только для тех бит, которые в этой карте установлены в ноль.

Карту можно заменять служебным словом host, что соответствует нулевой карте (т.е. проверяются все биты адреса). Пару чисел из адреса и карты можно заменять служебным словом any, что означает адрес любого пакета.

Набор подобных условий составляет список доступа. При поступлении пакета они проверяются в порядке записи. Если ни одно из условий не подошло, то пакет отбрасывается.

Расширенные списки доступа позволяют задавать более гибкие условия.

Номера расширенных листов начинаются с 101-го. На третьей позиции записывается протокол, для которого выполняется это условие. Далее идут две пары чисел, состоящие из адреса и карты, определяющие источник и приемник пакета. На последней позиции может указываться номер порта. После создания списков доступа они могут быть приложены к любому интерфейсу.

Указываем какие виды трафика необходимо пропускать:

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq www-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq pop3-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq smtp

Для FTP-сервера разрешается любой трафик:

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3

Применяем список:-IntА (config) #interface serial0/1-IntА (config-if) # ip access-group 101 in

4.3 Настройка коммутаторов

Список основных настроек, которые необходимо выполнить на коммутаторах в рамках данного курсового проекта:

настройка общих параметров и сетевых интерфейсов;

виртуальных локальных сетей (VLAN);

протокола покрывающего дерева (STP).

4.3.1 Настройка коммутаторов подразделений и зданий

Для всех коммутаторов корпоративной сети в общем случае необходимо выполнить следующие настройки:

общих параметров;

виртуальных локальных сетей;

протокола покрывающего дерева.

Для коммутаторов корпоративных серверов и серверов демилитаризованной зоны требуется настроить только общие параметры и назначит этим коммутаторам IP-адреса следующей командой (соответствующие IP-адреса и маска описаны в таблицах раздела 2 данной пояснительной записки):

СИУ (config) # ip address ip-address netmask

Аналогичной командой присваиваем соответствующие IP-адреса всем коммутаторам сети.

4.3.2 Настройка виртуальных локальных сетей

К коммутаторам рабочих групп подключается большое количество компьютеров, принадлежащих работникам разных подразделений, которые могут иметь разные права доступа к ресурсам. В такой ситуации целесообразно организовать виртуальные локальные сети (VLAN). При этом необходимо портам FastEthernet присвоить номера VLANов исходя из того, к какому подразделению будет отнесён хост, подключенный к конкретному интерфейсу коммутатора (всего 100 подразделений на кампус). Порты FastEthernet0/0 подключаем к коммутатору здания/маршрутизирующему коммутатору кампуса и переводим их в транковый режим, указываем тип инкапсуляции 802.1q, который использует внутренний механизм тэгирования, который добавляет к оригинальному фрейму 4 байта, вставляя тэг между MAC-адресом источником и полем Type/Length фрэйма Ethernet (СИУ - символьное имя устройства - коммутатора рабочей группы, X - номер интерфейса коммутатора, Z - номер подразделения, к которому относится хост, подключенный к указанному интерфейсу):

СИУ (config) # interface FE0/X

СИУ (config-if) # switchport access vlan Z

Настройка транкового порта:

СИУ (config) # interface FastEthernet0/0

СИУ (config-if) # switchport mode trunk

СИУ (config-if) # encapsulation dot1q Z

Настройка коммутаторов здания сводится к установке транкового режима работы для всех его интерфейсов и инкапсуляции типа 802.1q (СИУ - символьное имя устройства - коммутатора здания):