Альтман-11.102
.pdfму можно подсоединиться с помощью команды «telnet» с соседнего маршрутизатора.
При выполнении лабораторной работы необходимо произвести следующие действия.
1)Проанализируйте таблицы маршрутизации всех маршрутизаторов. Определите, какая информация содержится в таблицах для каждой подсети и для чего эта информация используется.
2)С помощью интерфейса loopback создайте виртуальную подсеть, посмотрите, в таблицах каких маршрутизаторов она появилась, и объясните почему.
3)Проверьте присутствие в конфигурации маршрутизаторов и при необходимости отключите протоколы маршрутизации. Настройте соединение между всеми подсетями при помощи статических маршрутов. Убедитесь в том, что все сети доступны с любого маршрутизатора и компьютера.
4)Настройте резервные статические маршруты с большей административной дистанцией. Отключив основную линию, убедитесь в работоспособности резервных маршрутов.
Команды, необходимые для выполнения работы, приведены в табл. 4.1.
|
|
Т а б л и ц а 4.1 |
Команды операционной системы IOS |
||
|
|
|
Команда |
Режим |
Описание команды |
1 |
2 |
3 |
show ip route |
Привилегиро- |
Выводит на терминал таблицу |
interface loopback номер |
ванный |
маршрутизации |
Глобальная |
Создает петлевой интерфейс с |
|
|
конфигурация |
уникальным номером от 0 до 255 |
ip address адрес маска |
|
(виртуальную подсеть) |
Конфигурация |
Назначает IP-адрес интерфейсу |
|
|
интерфейса |
(определяет IP-подсеть интер- |
|
|
фейса) |
(no) shutdown |
То же |
Включает (выключает) интер- |
ip route сеть_назначения |
|
фейс |
Глобальная |
Указывает статический маршрут |
|
маска_сети_назначения |
конфигурация |
|
адрес_следующего_шага |
|
|
административная_ дис- |
|
|
танция |
|
|
20
|
|
О к о н ч а н и е т а б л. |
4.1 |
|||
|
|
|
|
|
|
|
1 |
2 |
|
|
3 |
|
|
show ip protocols |
Привилегиро- |
Выводит |
на |
терминал |
список |
|
|
ванный |
включенных |
протоколов |
маршру- |
||
|
|
тизации и информацию об их сос- |
||||
no router протокол |
|
тоянии |
|
|
|
|
Глобальная |
Выключает |
протокол |
маршру- |
|||
(telnet) ip_address |
конфигурация |
тизации |
|
|
|
|
Привилегиро- |
Позволяет |
|
осуществить |
под- |
||
|
ванный |
ключение по протоколу telnet к се- |
||||
|
|
тевому устройству (слово telnet |
||||
|
|
можно не указывать) |
|
|
4.3.Содержание отчета
1)Подробные схемы для всех экспериментов с указанием IP-адресов интерфейсов маршрутизаторов.
2)Конфигурации и таблицы маршрутизации маршрутизаторов для каждого эксперимента.
3)Выводы по результатам работы и ответы на контрольные вопросы.
4.4.Контрольные вопросы
1)В чем суть алгоритма работы маршрутизатора?
2)Какая информация содержится в таблице маршрутизации?
3)Что такое статический маршрут?
4)Что такое динамический маршрут?
5)В чем преимущества статических и динамических маршрутов?
6)Как создается статический маршрут?
7)Какие маршруты заносятся в таблицу маршрутизации?
8)Что такое административная дистанция?
Лабораторная работа 5
ПРОТОКОЛ МАРШРУТИЗАЦИИ RIP
Ц е л ь р а б о т ы: приобретение навыков настройки и отладки протоколов маршрутизации.
21
5.1. Краткие теоретические сведения
Для автоматического формирования таблицы маршрутизации существует несколько протоколов динамической маршрутизации. Общий принцип работы этих протоколов заключается в том, что маршрутизаторы обмениваются между собой информацией об известных им сетях. К каждой из сетей подключен по крайней мере один маршрутизатор, поэтому в конечном итоге все маршрутизаторы будут иметь информацию о местонахождении всех сетей.
Протокол маршрутизации RIP очень прост в настройке и широко распространен в небольших сетях. Для того чтобы протокол RIP работал, достаточно его «включить» на сетевом устройстве и указать сети, с которыми он должен работать.
Маршрутизатор заносит в свою таблицу сети, указанные в настройке и присоединенные к его активным интерфейсам со стоимостью «0», и рассылает эту таблицу всем соседним маршрутизаторам, которые прибавляют к стоимости маршрутов по единице и заносят их в свои таблицы со стоимостью «1». В качестве интерфейса и адреса следующего маршрутизатора используются сеть и адрес того маршрутизатора, от которого была получена информация.
Далее соседние маршрутизаторы передают таблицы маршрутизации следующим маршрутизаторам, которые в свою очередь увеличивают стоимость маршрутов и заносят их в свои таблицы маршрутизации. Таким образом, информация о сетях, непосредственно присоединенных к первому маршрутизатору, будет передана всем маршрутизаторам.
Вместе с информацией о наличии сетей маршрутизаторы узнают и стоимость маршрута в эти сети – количество промежуточных маршрутизаторов. Если имеется несколько путей в какую-либо сеть, маршрутизатор выберет путь с меньшей стоимостью.
Рассылку информации маршрутизаторы производят по умолчанию один раз в 30 с, поэтому при появлении новых сетей информация о них автоматически распространится по всем устройствам.
Более сложный механизм используется для удаления из таблиц маршрутизации информации о сети в том случае, если маршрутизатор или его интерфейс вышел из строя и сеть недоступна. Маршрутизатор, «обнаруживший» недоступность сети, перестает рассылать информацию о ней в своей таблице маршрутизации. Соседние маршрутизаторы обнаруживают отсутствие информации о сети и удаляют сеть из своих таблиц. Во избежание ошибки, связанной, например, с простой потерей служебных пакетов с информацией о сетях, перед удалением сети из таблицы выдерживается определенный временной интервал (по умолчанию – 180 с).
22
Такой метод удаления маршрутов в сетях с большим количеством маршрутизаторов может привести к появлению ложных маршрутов. Это происходит в том случае, когда маршрутизатор, который «не знает» о поломке в сети, сообщает ранее полученный им путь в эту сеть другим маршрутизаторам. Для устранения этого явления требуется применение технологий, модифицирующих протокол RIP и препятствующих появлению ложных маршрутов. Например, технология «расщепление горизонта» запрещает передавать информацию о сетях тем маршрутизаторам, от которых она была получена, что препятствует появлению ложных маршрутов от соседних маршрутизаторов.
Существуют две версии протокола RIP. Основное отличие второй версии от первой заключается в том, что вместе с сетями передается информация об их маске. Эта информация позволяет работать второй версии протокола в сетях с бесклассовой адресацией. При использовании первой версии могут возникнуть проблемы с сетями, имеющими маску, не соответствующую сетевому префиксу при классовой адресации.
Если к маршрутизатору подключены сети, имеющие общую сеть с меньшей маской, то он проводит автоматическое суммирование маршрутов. Напри-
мер, если подключены сети 10.1.0.0/16, 10.2.0.0/16 и 10.3.0.0/16, то они ривилеются общей сетью 10.0.0.0/8. Соседним маршрутизаторам рассылается информация о суммированной сети. В некоторых случаях (например, если сеть 10.3.0.0/16 подключена к соседнему маршрутизатору) автоматическое суммирование адресов лучше отключить. При этом, если требуется суммирование только части адресов, нужно перечислить все общие сети.
В таблице маршрутизации для некоторых адресов может быть записано более одного маршрута. Например, одновременно в таблице могут быть записи для сетей 10.0.0.0/8 и 10.1.0.0/16. В этом случае выбирается маршрут до сети с более длинной маской (в примере – 10.1.0.0/16), поскольку этот адрес, по всей вероятности, был получен при суммировании адресов.
Описав путь в сеть с маской «0» (0.0.0.0/0), можно указать маршрут по умолчанию, он будет использоваться только в том случае, если для сети назначения пакета не будет найдено ни одного пути с более длинной маской. С помощью специальной команды можно настроить протокол маршрутизации RIP таким образом, чтобы маршрут по умолчанию передавался соседним маршрутизаторам наравне с другими маршрутами.
5.2. Порядок проведения работы
Данная лабораторная работа проводится на оборудовании, находящемся в стойке с маршрутизаторами, схема которой приведена на рис. 4.1.
23
При выполнении лабораторной работы необходимо произвести следующие действия.
1)Настройте на всех маршрутизаторах протокол RIP и убедитесь в работоспособности маршрутов.
2)С помощью программы-снифера просмотрите пакеты RIP. Включите и просмотрите отладочные сообщения протокола. Определите, какая информация передается в пакетах обновления.
3)Отключите, а затем включите одну из линий связи. Запишите в отчет отладочные сообщения всех протоколов маршрутизации. Для каждого сообщения определите причину его появления.
4)На всех маршрутизаторах настройте протокол RIP с установками по умолчанию. На одном из маршрутизаторов с помощью интерфейсов loopback создайте сети 10.20.0.0 и 10.20.0.4 с маской 30. Просмотрите таблицы маршрутизации всех устройств, переключите их на вторую версию протокола. Сравните таблицы маршрутизации различных версий протокола.
5)На всех маршрутизаторах настройте протокол RIP с установками по умолчанию. На одном из маршрутизаторов с помощью интерфейсов loopback создайте сети 11.1.0.0 и 11.2.0.0 с маской 24. Сравните таблицы маршрутизации
савтосуммированием маршрутов и без него. Настройте суммирование вручную.
6)На одном из маршрутизаторов укажите маршрут по умолчанию. Обеспечьте передачу этого маршрута на другие маршрутизаторы.
Команды, необходимые для выполнения работы, приведены в табл. 5.1.
|
|
|
Т а б л и ц а 5.1 |
|
Команды операционной системы IOS |
||
|
|
|
|
Команда |
Режим |
|
Описание команды |
1 |
2 |
|
3 |
router rip |
Глобальная |
кон- |
Переводит в режим настройки прото- |
network сеть |
фигурация |
|
кола маршрутизации RIP |
Настройка |
прото- |
Указывает сеть, информацию о кото- |
|
|
кола маршрутизации |
рой следует рассылать и в которую сле- |
|
|
|
|
дует посылать обновления |
terminal moni- |
Привилегирован- |
Включает транслирование отладочных |
|
tor |
ный |
|
сообщений на виртуальные терминаль- |
|
|
|
ные линии (telnet) |
debug ip rip |
Глобальная |
кон- |
Включает вывод на терминал отладоч- |
|
фигурация |
|
ных сообщений протокола RIP |
24
|
|
|
О к о н ч а н и е |
т а б л. 5.1 |
|
|
|
|
|
|
|
1 |
2 |
|
|
3 |
|
version 1 (2) |
Настройка |
прото- |
Устанавливает версию протокола RIP |
||
|
кола маршрутизации |
|
|
|
|
timers basic |
То же |
|
Настраивает таймеры обновлений про- |
||
|
|
|
токолов маршрутизации |
|
|
ip split-horizon |
Конфигурация |
Включает |
технологию |
«расщепление |
|
|
интерфейса |
|
горизонта» |
|
|
auto-summary |
То же |
|
Включает |
автоматическое суммирова- |
|
|
|
|
ние адресов |
|
|
ip summary- |
» |
|
При выключенном автосуммировании |
||
address прото- |
|
|
устанавливает суммирование адресов для |
||
кол адрес маска |
|
|
конкретной сети и выбранного протокола |
||
ip route 0.0.0.0 |
Глобальная |
кон- |
Устанавливает маршрут по умолчанию |
||
0.0.0.0 адрес |
фигурация |
|
|
|
|
default- |
Настройка |
прото- |
Включает режим рассылки в сообще- |
||
information |
кола маршрутизации |
ниях протокола RIP информации о марш- |
|||
originate |
|
|
руте по умолчанию |
|
5.3.Содержание отчета
1)Подробные схемы для всех экспериментов с указанием IP-адресов интерфейсов маршрутизаторов.
2)Конфигурации и таблицы маршрутизации для каждого эксперимента.
3)Отладочные сообщения протоколов маршрутизации с комментариями.
4)Выводы по результатам работы и ответы на контрольные вопросы.
5.4.Контрольные вопросы
1)Какие преимущества и недостатки имеет динамическая маршрутизация?
2)В чем заключается принцип работы протокола маршрутизации RIP?
3)В каких случаях происходит удаление информации о сетях из таблицы маршрутизации?
4)В чем различие существующих версий протокола RIP?
5)Что такое суммирование маршрутов?
6)В каких случаях необходимо отключить автосуммирование маршрутов?
7)Что такое маршрут по умолчанию, как его можно создать?
25
Лабораторная работа 6
УПРАВЛЕНИЕ СЕТЕВЫМ ОБОРУДОВАНИЕМ ФИРМЫ CISCO
Ц е л ь р а б о т ы: получение навыков настройки и администрирования сетевого оборудования фирмы Cisco.
6.1. Краткие теоретические сведения
Простейшим способом управления сетевым устройством фирмы Cisco является подключение к этому устройству с помощью терминала. В качестве терминала может выступать персональный компьютер с программой эмуляции терминала (HyperTerminal) и COM-портом для физического подключения. Возможно также подключение по сети с помощью виртуального терминала, работающего по протоколу telnet.
При терминальном подключении к сетевому устройству им можно управлять с помощью интерфейса командной строки. С точки зрения сетевого устройства каждое такое подключение имеет свою линию. Все настройки ривилечения сетевого устройства (необходимость аутентификации, пароль и др.) выполняются отдельно для каждой линии (или для группы линий).
Настройки устройства, произведенные с помощью интерфейса командной строки, хранятся в файле конфигурации. Существует два файла конфигурации. Начальные установки хранятся в файле загрузочной конфигурации «startupconfig», при включении устройства они переписываются в файл текущей конфигурации «running-config». Изменения в конфигурации, производимые с помощью команд в интерфейсе командной строки, записываются в файле «run- ning-config». Для того чтобы введенные команды действовали после перезагрузки устройства, необходимо скопировать файл текущей конфигурации в файл загрузочной.
Более удобным по сравнению с командной строкой является графический web-интерфейс. Внешний вид этого интерфейса зависит от типа сетевого оборудования. По возможностям web-интерфейс эквивалентен интерфейсу командной строки. По умолчанию web-интерфейс отключен из соображений безопасности.
Для сбора данных о работе сетевого устройства используют протокол SNMP, который определяет правила передачи по сети блоков управляющей информацией (MIB). Часть этих блоков определяется международным стандартом (например, блок, содержащий информацию о MAC-адресах устройства), а другая часть – производителями оборудования. Управляющие блоки от фирмы
26
Cisco широко распространены и могут быть просмотрены соответствующими программами. Для использования протокола SNMP необходимо включить этот протокол на устройстве и установить пароль для чтения или изменения данных.
Функции пароля выполняет так называемая строка сообщества, которую станция управления использует для запроса информации. Доступны два режима: RO – доступ только для чтения (непривилегированный) и RW – доступ для чтения и записи (привилегированный). Для повышения безопасности доступ разрешается лишь небольшому количеству узлов, IP-адреса которых указыва-
ются в списках доступа.
6.2. Порядок проведения работы
При выполнении лабораторной работы необходимо произвести следующие действия.
1)Подключитесь к маршрутизатору с консоли. Определите тип устройства и версию операционной системы, количество интерфейсов, тип процессора, объем оперативной памяти.
2)Задайте имя устройства, пароль на подключение по сети, пароль на подключение с консоли, пароль на вход в привилегированный режим, приветствие. Подключитесь к маршрутизатору с помощью программы telnet и убедитесь в правильности сделанных настроек. Определите линию, используемую программой telnet.
3)Перешлите конфигурацию на tftp-сервер, измените на компьютере в файле конфигурации имя маршрутизатора и загрузите новую конфигурацию на сетевое устройство.
4)На коммутаторе и маршрутизаторе настройте возможность управления этими устройствами через web-интерфейс. Сравните возможности управления устройствами с помощью этого интерфейса и командной строки.
5)На коммутаторе и маршрутизаторе включите протокол SNMP. Определите, какая информация доступна по этому протоколу.
Команды, необходимые для выполнения работы, приведены в табл. 6.1.
6.3.Содержание отчета
1)Конфигурация маршрутизатора со всеми настроенными возможностями управления.
2)Примеры работы с сетевыми устройствами каждым из способов, рассмотренных в лабораторной работе 6.
3)Выводы по результатам работы и ответы на контрольные вопросы.
27
|
|
Т а б л и ц а 6.1 |
|
Команды операционной системы IOS |
|
|
|
|
Команда |
Режим |
Описание команды |
show version |
Привилеги- |
Выводит на терминал информацию о |
|
рованный |
версии операционной системы и аппаратных |
|
|
ресурсах |
show line |
То же |
Выводит на терминал информацию о |
hostname имя- |
|
состоянии линии |
Глобальная |
Устанавливает имя устройства |
|
устройства |
конфигурация |
|
line vty 0 4 |
То же |
Переводит в режим настройки виртуаль- |
|
|
ных терминальных линий (линий telnet) |
line console 0 |
» |
Переводит в режим настройки консольной |
|
|
линии |
login |
Конфигура- |
Указывает на необходимость аутентифи- |
|
ция линии |
кации при подключении по линии к сетевому |
password па- |
|
устройству |
То же |
Устанавливает пароль на подключение по |
|
роль |
|
линии к сетевому устройству |
enable password |
Глобальная |
Устанавливает пароль на вход в привиле- |
пароль |
конфигурация |
гированный режим |
banner |
Конфигура- |
Устанавливает приветствие подключивше- |
copy источник |
ция линии |
гося пользователя |
Привилеги- |
Копирует файл. В качестве приемника и |
|
приемник |
рованный |
источника могут выступать файл текущей |
|
|
конфигурации (runnig-config), файл загру- |
|
|
зочной конфигурации (startup-config) и tftp- |
|
|
сервер (tftp) |
ip http server |
Глобальная |
Разрешает управление сетевым устройст- |
|
конфигурация |
вом с помощью web-интерфейса |
snmp-server |
То же |
Задает строки доступа к SNMP- |
community |
|
сообществам |
строка RO/RW |
|
|
access-list |
» |
Задает стандартный нумерованный список |
номер |
|
доступа для группы узлов |
{permit | deny} |
|
|
адрес обрат- |
|
|
ная_маска |
|
|
28
Лабораторная работа проводится на маршрутизаторе, который через консольный порт подключен к COM-порту учебного компьютера. Для управления устройством используется программа «HyperTerminal» со следующими параметрами подключения: скорость – 9600 бит/с, бит данных – 8, контроль на четность и управление потоком отсутствуют.
На лабораторных установках запрещается изменение файла «startupconfig».
6.4.Контрольные вопросы
1)Какие способы управления сетевым оборудованием существуют?
2)Что такое линия маршрутизатора?
3)Какие настройки необходимо выполнить, чтобы сетевым устройством можно было управлять по сети?
4)Какие файлы конфигурации существуют?
5)Для чего используется протокол SNMP?
6)Для чего можно использовать TFTP-сервер?
7)Какие основные MIB применяются в сетевом оборудовании?
Лабораторная работа 7
БРАНДМАУЭР CISCO SECURE PIX 515
Ц е л ь р а б о т ы: изучение методов повышения безопасности компьютерных сетей с помощью брандмауэров фирмы Cisco.
7.1.Краткие теоретические сведения
Внастоящее время огромное количество компьютерных сетей объединено посредством Интернета, что позволяет получить удаленный доступ с любого компьютера к сети любой организации. Для безопасной работы необходимо ограничивать доступ к компьютерной сети организации и разделять объединенную сеть на изолированные сегменты, доступ в которые для посторонних лиц запрещен. Эту функцию обычно выполняют специализированные устройства – сетевые экраны, или брандмауэры.
Брандмауэр – это система или комбинация систем, позволяющая разделить сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр пропускает
29