Копютерная сеть школы

Вводжу

interface FastEthernet 0/0

щоб перейти в режим конфігурації для інтерфейсу Fast Ethernet 0/0.

Тепер потрібно призначити інтерфейсу IP-адрес:

ip address 164.34.24.97 255.255.255.224

Число 164.34.24.97 буде ІР адресою даного інтерфейсу а число 255.255.255.224 буде його маскою.

По замовчуванню фізичні інтерфейси виключені, для їх активації

використовується команда:

no shutdown

Після введення вищезгаданої команди виведеться повідомлення:

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

яке повідомить про активізацію інтерфейсу FastEthernet0/0.

Командою

exit

виходжу у термінал конфігурування інтерфейсів де ввожду знову

interface FastEthernet 1/0

для переходу налаштування даного інтерфейсу та вводжу команду

ip address 164.34.24.65 255.255.255.224

для задання адреси та маски

no shutdown

для активізації інтерфейсу.

Вищезгадані дії повторюю ще для двох інтерфейсів FastEthernet2/0 та FastEthernet3/0. Після цього потрібно налаштувати інтерфейс WAN для використання протоколу DHCP, щоб отримати для нього ІР-адресу. Для цього вводжу

Interface FastEthernet 4/0

слідом команду

ip address dhcp

потім використовую команду exit для виходу з режиму налаштування інтерфейсу.

Оскільки ІР адреси введені потрібно налаштувати два списки доступу, які використовуються до вхідних з'єднань. Як показано на малюнку, «вхідний» іменується трафік, що поступає на інтерфейс; «вихідним» іменується трафік, що покидає його.

 

 

 

 

 

 

 

 

 

 

Рисунок 6.1 – Вхідний та вихідний трафік у маршрутизаторі

 

У списку який наведений нижче показано два списки доступу: перший застосовується до інтерфейсу локальної мережі (в даному випадку, Fastethernet 0/0), а другий - до інтерфейсу WAN (в даному випадку

Fastethernet 4/0).

 

ip access-list extended 97

permit ip 164.34.24.97.255.255.255.224 any

deny ip any any

exit

 

ip access-list extended 24

permit upd any eq bootps any eq bootps

permit tcp any any

permit upd any any

permit icmp any any echo-reply

permit icmo any any time-exceeded

permit icmp any any unreachable

deny ip any any

exit

 

Список доступу 97 застосовуватиметься до інтерфейсу локальної мережі. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим налаштування списку доступу. У наступному рядку дозволяється проходження в інтерфейс будь-якого IP-трафіку, відповідаючого мережі (164.34.24.97/27). У списках доступу IOS використовуються інверсні маски підмережі. Їх нескладно обчислити вручну, віднімаючи кожен октет звичайної маски з 255. Таким чином, маска 255.255.252.0 перетворюється на 0.0.3.255, 255.252.0.0 перетворюється на 0.3.255.255 і так далі.

У третьому рядку забороняється вхід в інтерфейс локальної мережі будь-якого іншого трафіку. В кінці всіх списків доступу неявно міститься deny all, але має сенс явно ввести рядок deny, щоб знати, де кінчається список доступу, і спростити читання конфігурації. Останній рядок виводить маршрутизатор з режиму налаштування списку доступу.

Список доступу 24 застосовуватиметься до інтерфейсу WAN. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим його налаштування. У даному проекті використовується кабельний модем, тому в наступному рядку трафіку DHCP (bootps і bootpc) дозволяється вхід в інтерфейс WAN. Без цього запису інтерфейс WAN ніколи б не прийняла публічний IP-адрес, і доступ в Internet був би неможливий. У третьому і четвертому рядках дозволяється проходження в інтерфейс WAN будь-якого трафіку TCP і UDP з будь-якого джерела, що направляється в будь-яке місце призначення.

У п'ятому, шостому і сьомому рядках дозволяється будь-який трафік ICMP, який виходить з будь-якого джерела; прямує в будь-яке місце призначення; є відповіддю ping, повідомленням про закінчення часу або недоступності, WAN, що поступає в інтерфейс. Потрібно обережно вибирати

ICMP-трафік, оскільки протокол ICMP уразливий для різних атак, особливо з відмовою в обслуговуванні (DOS). Проте ці три рядки необхідно для застосування команд ping і traceroute в цілях діагностики. Два останні рядки - такі ж, як в списку доступу локальної мережі.

Налаштування базової перевірки TCP/UPD/ICMP

Для виконання даного пункту скористаємося вбудованими функціями брандмауера, якщо вони є у версії IOS. Брандмауер IOS не забезпечує глибокої інспекції на прикладному рівні, як, наприклад, в брандмауері ISA Server, але задіювати його варто по двох причинах. По-перше, щоб переконатися, що трафік, заявлений як TCP, UDP або ICMP дійсно належить протоколам TCP, UDP або ICMP. По-друге, перевірка дозволяє управляти доступом на основі контексту Context-based Access Control (CBAC). За допомогою CBAC операційна система IOS може створювати динамічні записи в списку доступу, дозволяючи проходження зворотного трафіку через маршрутизатор. Приведені вище списки доступу дуже загальні (наприклад, дозволений весь трафік TCP), тому після того, як буде отримана працездатна конфігурація, напевно потрібно буде застосувати строгіші умови, призначити внутрішні сервери, доступні з Internet, і так далі. Після того, як це буде зроблено, CBAC забезпечить проходження зворотного трафіку через маршрутизатор. Наприклад, при прогляданні Amazon.com CBAC динамічно поміщає записи у витікаючий список доступу, який застосовуєтсья до зовнішнього (WAN) інтерфейсу, щоб дозволити надходження в маршрутизатор зворотного трафіку з Amazon.com. Коли з'єднання розривається, ці записи автоматично видаляються.

Обов'язково потрібно встановити поріг тайм-ауту TCP SYN, щоб запобігти flood-атаки SYN з відмовою в обслуговуванні:

ip tcp synwait-time 30

Ця команда вказує IOS на необхідність закрити будь-який TCP-сеанс, не встановлений протягом 30 секунд.

Потім призначаю окремі правила перевірки для ICMP, TCP і UDP:

ip inspect name Inspect icmp

ip inspect name Inspect tcp

ip inspect name Inspect udp

Застосування списків доступу і правил перевірки

Для інтерфейсу WAN (в даному випадку Fastethernet 4/0) потрібно спочатку увійти до режиму налаштування інтерфейсу:

interface FastEthernet 4/0

Потім застосувати список доступу

ip access-group 24 in

Застосувати правило перевірки

ip inspect Inspect in

Та вийти з режиму налаштування інтерфейсу

Exit

Вводжу параметри для локальної мережі(Fastethernet 0/0)

interface Fastethernet 0/0

ip access-group 97 in

ip inspect Inspect in

exit

Варто відзначити, що правило перевірки IP у витікаючому напрямі можна застосувати наряду або замість вхідного напряму.

Налаштування NAT

Тепер необхідно налаштувати NAT на перетворення адрес між внутрішньою мережею 164.34.24.0/27 і загальнодоступним Internet. Для цього потрібно підготувати список доступу, який використовуватиметься тільки для NAT:

ip access-list standard 10

permit 192.168.100.0 0.0.0.255

deny any

exit

Як і раніше, перший рядок переводить маршрутизатор в режим налаштування списку доступу. За допомогою звичайних списків доступу дозволяється або забороняється тільки трафік з вказаних IP-адрес або мереж. У них не можна вказати місце призначення або тип трафіку, як в розширених списках доступу. У другому рядку вказується трафік, який потрібно перетворити. Приведений вище код дозволяє перетворення трафіку внутрішньої локальної мережі для Internet. У третьому рядку забороняється перетворення будь-якого іншого трафіку, а в четвертій маршрутизатор виводиться з режиму налаштування списку доступу.

Потім для операційної системи IOS вказуються інтерфейси, які братимуть участь в перетворенні мережевих адрес:

interface FastEthernet 0/0

ip nat inside

exit

interface FastEthernet 4/0

ip nat outside

exit

Ці рядки вказують операційній системі, що інтерфейс локальної мережі, FastEthernet 4/0, міститиме адреси, які потрібно перетворити, а інтерфейс WAN, Fastethernet 4/0, містить адреси, в які будуть перетворені внутрішні адреси.

Нарешті, вводиться власне інструкція NAT:

ip nat inside source list 10

interface FastEthernet 4/0 overload

Команда вказує IOS, що потрібно перетворити всі адреси в списку доступу 10 в адреси, призначені інтерфейсу Fastethernet 4/0. Ключове слово overload дозволяє розділяти одну публічну адресу між декількома внутрішніми приватними адресами.

Тестування конфігурації

Тепер необхідно протестувати мережу. Вводжу

copy running-config startup-config

щоб зберегти виконані налаштування в незалежній пам'яті і забезпечити відновлення конфігурації після перезапуску маршрутизатора, збою електроживлення і в інших ситуаціях.

Команда

show running-config

потрібна для виведення копії тільки що створеної конфігурації на екран. Конфігурацію можна скопіювати і вставити в текстовий редактор для звернень до неї в майбутньому. Можна також змінити конфігурацію в текстовому редакторові і вставити її в сеанс терміналу, щоб внести зміни до маршрутизатора. На даному етапі конфігурація повинна виглядати приблизно так, як показано в додатку 2. Звернете увагу, що основа цього дадотку - команди, введені вище.

 

7. Тестування моніторинг та налагодження комп’ютерної  мережі

Для тестування комп’ютерної мережі використовуються різні апаратні та програмні засоби. Нище представлені декілька программ для моніторигу мережі:

• Lanscope - це багатопотоковий сканер расшаренних ресурсів. Сканує вказані діпазони адрес, визначає доступність ресурсів (читання, запис). Визначає імена комп'ютерів. Дозволяє шукати ресурси із заданим ім'ям (Music, Video, etc.). Визначає наявність встановлених сервісів (ftp, http) на видаленому хосте.
• Tmeter - програма призначена для візуалізації і обліку IP-трафіку в реальному часі через PPP-з’єднання або в Ethernet-сегменті. Використовуючи Tmeter, ви можете створити повноцінну систему обліку Інтернет-трафіку користувачів для домашньої або офісної мережі. Tmeter працює в реальному часі, тобто зібрана статистика відображається на екрані негайно в графічному або цифровому вигляді. Таким чином, ви можете завжди бачити хто з ваших користувачів більше всього навантажує Інтернет-канал.
• Iris Network Traffic Analyzer Окрім стандартних функцій збору, фільтрації і пошуку пакетів, а також побудови звітів, програма пропонує унікальні можливості для реконструювання даних. Iris The Network Traffic Analyzer допомагає детально відтворити сеанси роботи користувачів з різними web-ресурсами і навіть дозволяє імітувати відправку паролів для доступу до захищених web-серверам за допомогою cookies. Унікальна технологія реконструювання даних, реалізована в модулі дешифровки (decode module), перетворить сотні зібраних двійкових мережевих пакетів в електронні листи, web-сторінки, повідомлення ICQ. eEye Iris дозволяє проглядати незашифровані повідомлення web-пошти і програм миттєвого обміну повідомленнями, розширюючи можливості наявних засобів моніторингу і аудиту.
• Аналізатор пакетів eeye Iris дозволяє зафіксувати різні деталі атаки, такі як дата і час, IP-адреса і DNS-имена комп'ютерів хакера і жертви, а також використані порти.

До апаратних засобів можна віднести мережний тестер.

 

 

 

 

 

 

 

 

 

 

 

Рисунок 7.1- Кабельний тестер

 

Тестер Smart Сlass Ethernet - це простий у використанні прилад, який дозволяє проводити повномасштабні вимірювання Ethernet і IP сервісів до 3 рівня згідно стандарту RFC 2544. Функція генерування потоку трафіку дає можливість реалізувати стресс-тестування мережі. Міцний корпус, функціонування від батарей і спеціалізовані функції роблять прилад незамінним при перевірці віддалених вузлів.

Можливості:

• Генерування трафікe: рваний ритм, режим «швидкісної черги», режим затоплення каналу (flood);
• Генерування трафіку для MPLS мереж;
• Фільтрація трафіку: адреса джерела, адреса приймача, тип кадру, довжина кадру, VLAN ID, пріоритет, відповідність масці;
• Послідовності для перевірки бітових помилок: PBRS, все 1, все 0, задана користувачем;
• Автотест на відповідність стандарт RFC 2544;
• Підтримка VLAN;
• IP Ping і Traceroutre;
• Визначення швидкості передачі даних;
• Визначення відстані до пошкодження;
• Визначення довжини пари;
• Визначення типу кабелю.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВИСНОВКИ

 

На основі аналітичного огляду існуючих рішень спроектовано логічну та фізичну топології мережі для ЗОШ №1 села Яблунів. Вибрано стандарт та обладнання для провідної частини мережі, сервера та джерело безперебійного живлення. Описано процедуру налаштування маршрутизатора.

Особлива увага приділена налаштуванню маршрутизатора для задач спільного доступу до мережі Інтернет, забезпечення захисту мережі відзовнішніх атак.

В додатку А наведено набір команд для налаштування маршрутизатора.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ПЕРЕЛІК ПОСИЛАНЬ

 

 

1. Джеймс Ф. Куроуз, Кит В. “Росс Компьютерные сети. Многоуровневая архитектура Интернета” – СПб: Издательство “Питер” , 2004. – 768c.
2. В.Г. Олифер, Н.А. Олифер. “Компьютерные сети. Принципы, технологии, протоколы”. Учебник - Издательство “Диалектика”, 2002. – 960c.
3. А. П. Сергеев. ” Офисные локальные сети”. Самоучитель - Издательство “Диалектика”, 2004. – 320c.
4. А.Старовойтов “Компьютерные сети” – Издательство БХВ-Петербург, 2006. – 288c. 
5. http://www.skomplekt.com/
6. http://forum.ru-board.com/
7. http://planetsecurity.org.ua
8. http://www.xakep.ru
9. http://www.grandtele.com.ua/
10. http://ftp.tk.te.ua/

 

 

 

 

 

 

 

 

 

 

 

 

ДОДАТОК А

!

version 12.2

no service password-encryption

!

hostname Router

!

!

!

!

!

ip ssh version 1

!

!

interface FastEthernet0/0

ip address 164.34.24.34 255.255.255.224

duplex auto

speed auto

!

interface FastEthernet1/0

ip address 164.34.24.65 255.255.255.224

duplex auto

speed auto

!

interface FastEthernet2/0

ip address 164.34.24.97 255.255.255.224

duplex auto

speed auto

!

interface FastEthernet3/0

ip address 164.34.24.129 255.255.255.224

duplex auto

speed auto

!

interface FastEthernet4/0