Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Számítógép hálózatok I. Gyakorlat 12.

Hasonló előadás


Az előadások a következő témára: "Számítógép hálózatok I. Gyakorlat 12."— Előadás másolata:

1 Számítógép hálózatok I. Gyakorlat 12.

2 VLAN alapok A VLAN egy broadcast domain a hálózati kapcsolón belül Különböző VLAN-ban lévő gépek nem hallják a másik VLAN forgalmát: (broadcast, multicast, unicast) (akkor sem ha egymás melletti portban vannak a switch- ben - 2. réteg) VLAN-ok között útvonalválasztás használata!: 3. réteg szükséges (belső router modullal, vagy külső routerrel)

3 VLAN VLAN-ok a switch-ekben a VTP (VLAN trunking protokoll által kezelt adatbázisban tárolódnak VLAN-ok konfigurálható paraméterei: név, típus, állapot Néhány VLAN-nak kitüntetett feladata van, a többi szabadon használható (pl.: 1 = menedzsment vlan) Cisco VLAN tartományok – Normál tartomány: (2-től használjuk) – Kiterjesztett tartomány:

4 Egyszerű VLAN beállítások VTP konfigurálás – Vagy domain név megadása, vagy VTP leállítás, VTP szinkronizáció is lekapcsolható (Packet Tracerben nem kell) Definiálni kell a VLAN-okat: vlan (vlan) vlan vlan-id [name vlan-name] [state {suspend | active}] [mtu mtu-size] (global) vlan vlan-id (vlan-config) vlan vlan-id [mtu mtu-size] [name vlan-name] [state {suspend | active}] Az egyes portokat VLAN-okhoz kell rendelni interface FastEthernet x/z switchport access vlan vlan_number

5 VLAN kezelés további parancsai Port eltávolítása a VLAN-ból interface FastEthernet x/z no switchport access vlan vlan_number VLAN törlése no vlan vlan_number VLAN-ok listázása show vlan show vlan brief (PT-ben nincs) Port layer 2 státusza show interface int_name x/y switchport

6 Több switch-es VLAN hálózat Kétféle kapcsolati típus – Access link Egyetlen VLAN forgalmát engedi át switch-ek között – Trunk link Több VLAN forgalmát engedi át a switch-ek között Ekkor az egyes keretek jelölést kapnak (VLAN ID tag-et) –Inter Swtch Linking (ISL) - Cisco saját fejlesztésű protokolja –IEEE 802.1q (dot1q) - általános szabvány VLAN trunk protokoll –LANE –trunk használat ATM linkek felett –IEEE (dot10q) – trunk használat FDDI linkek esetében Problémák: 1500-as MTU méret (p-p tag-elést használnak) DTP – Dynamic Trunking Protocol automatikusan tud trunking protokollt választani. Trunk-ok listázása show interfaces trunk Hálózat kialakításának menete Trunk-ök kialakítása VTP (VLAN Trunking Protocol) a switch-ek között Menedzsment VLAN kialakítása

7 Trunk beállítás switch-ek között Mind a két switch megfelelő portján: interface fastethernet x/y switchport mode trunk switchport trunk encapsulation dot1q Alapértelmezettként ig átküld minden forgalmat VLAN-ok kivétele betétele a TRUNK-be interface fastethernet x/y switchport trunk allowed vlan remove switchport trunk allowed vlan add 1-3 Érdemes mindig csak a használt VLAN-ok forgalmát átküldeni

8 Feladat03 D, Budapest és Szeged között trunk port kapcsolat - Ki, kit tud pingetni?

9 Feladat04 DHCP VLAN3 trunk RIPv2

10 Hálózati címfordítás NAT – Network Address Translation Célja – Kevés a publikus IP cím – Hálózatvédelem (access list) Belső felhasználók kommunikációja kifelé Külső felhasználók kommunikációja befelé – Port átirányítás – Hálózat rendelkezésre állásának biztosítása – Átfedő címtartományok használata

11 NAT típusok Statikus NAT (ezt használjuk majd) Dinamikus NAT Overloading (több IP 1 IP-re) Hibrid megoldások

12 NAT interfészek Belső és külső interfészek meghatározása Belső hálózat Külső hálózat Internet

13 Statikus NAT beállítása Megfelelő interfészeken – ip nat inside – ip nat outside ip nat inside source static valódi-belső-IP-cím alias-IP-cím Lehet belső és külső interfészen is címfordítás: – ip nat inside source Forráscím fordítás, amikor belülről kifelé megy a csomag Célcím fordítás amikor kívülről befelé megy a csomag – ip nat outside source Forráscím fordítás, ha kívülről befelé megy a csomag Célcím fordítás, he belülről kifelé megy a csomag Debug-olás – NAT tábla : show ip nat translation – routing tábla: show ip route

14 Feladat01 Tartományok elkészítése, DHCP-s PC-k, statikusan, utána rip(v1)-el, statikus NAT Belső hálózatok Külső hálózat

15 Feladat02 Tartományok elkészítése, DHCP-s PC-k, statikusan, rip(v2)-vel, statikus NAT Belső hálózat VLAN 2 VLAN 3 VLAN 2 Trunk VLAN 2 VLAN 3

16 Acces list (hozzáférési lista) Cisco IOS® Software Release Használjuk: – IP szűrés – Címfordítás – Nem támogatott protokollok szűrése – Titkosítás – … Cisco oldalakon további infok…

17 Maszk használat Maszkot használunk ahhoz hogy megadjuk mit szűrünk és mit engedünk át Fordított, vagy ún.:inverz maszkot használunk Lényege: – Ugyanúgy 0 és 1 –esekből épül fel – 0 = fontos, figyelembe kell venni – 1 = lényegtelen (don’t care bit)

18 Néhány egyszerű szabály (normal mask) = (inverse mask) / = "any" / = "host ".

19 ACL feldolgozás ACL bejegyzések vannak a konfigban A beérkező csomag alapján az eszköz végignézi az ACL listákat Új ACL a lista végére kerül Addig olvassa a listát, amíg nem talál csomagra illő szabályt, vagy a végére ér a listának Ha nincs szabály, a csomag automatikusan eldobódik! (alapértelmezetten dobunk) ACL-t definiálhatunk anélkül hogy aktiválnánk.

20 Kényelmi funkciók Variációk egy témára (lehetőleg „KIS”) – A két szabály azonos: access-list 101 permit ip access-list 102 permit ip access-list 102 deny ip any any A cli automatikusan segit néhány protokolnál (? használat): access-list 102 permit tcp host host eq ? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514)

21 ACL definiálás és aktiválás 1. lépés ACL definiálás 2. lépés ACL aktiválása az adott interfészen Érdemes az aktiválást: – a forgalom forrásához legközelebbi interfészen megtenni – a hálózatba való belépési pontnál megtenni Ne csináljunk rendetlenséget + törekedjünk az átláthatóságra ACL-ek megtekintése: show access-list

22 Kulcsszavak és szintaxis – In - a csomag éppen belépett az interfészen a routerbe – Out - a csomag már áthaladt a routeren és éppen ki akar lépni valamelyik interfészen – Source - csomagot küldő állomás – Destination – csomag célállomása ACL parancs szintaxis: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Lista: 1-99 ACL-nek lehet száma, vagy címkéje ( IOS 11.2+: címkék) access-list 101 permit ip any any ip access-list extended test

23 ACl aktiválás interfészen A definiált ACL-t az interfészhez kell rendelni interface ip access-group number {in|out} Példa alap/szabványos ACL-re: interface Ethernet0/0 ip address ip access-group 1 in access-list 1 permit Kiterjesztett ACL definíció: ( ) Példa: IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time- range time-range-name] Hasznos példák: 548.shtml

24 Feladat01 Tegyük fel hogy: interface ethernet0 ip access-group 1 in Melyik engedi át ből jövő forgalmat, miért? A: access-list 1 deny host access-list 1 permit any B: access-list 1 permit any access-list 1 deny host

25 NAT (overload) ACL-lel Ethernet numberx-nek az IP címére fordítunk minden belső IP-t 1. lépés ACL definíció access-list 1 permit lan_address_range 2. lépés ip nat inside source list access-list-number interface overload 3. Lépés: Hozzárendelés belső interfészhez conf t interface ethernet number ip nat inside 4. lépés: hozzárendelés külső interfészhez (ez külső láb) interface ethernet numberx ip nat outside


Letölteni ppt "Számítógép hálózatok I. Gyakorlat 12."

Hasonló előadás


Google Hirdetések