Gyakorlat 12. Számítógép hálózatok I. kozlovszky.miklos@nik.uni-obuda.hu
VLAN alapok A VLAN egy broadcast domain a hálózati kapcsolón belül Különböző VLAN-ban lévő gépek nem hallják a másik VLAN forgalmát: (broadcast, multicast, unicast) (akkor sem ha egymás melletti portban vannak a switch-ben - 2. réteg) VLAN-ok között útvonalválasztás használata!: 3. réteg szükséges (belső router modullal, vagy külső routerrel)
VLAN VLAN-ok a switch-ekben a VTP (VLAN trunking protokoll által kezelt adatbázisban tárolódnak VLAN-ok konfigurálható paraméterei: név, típus, állapot Néhány VLAN-nak kitüntetett feladata van, a többi szabadon használható (pl.: 1 = menedzsment vlan) Cisco VLAN tartományok Normál tartomány: 1-1000 (2-től használjuk) Kiterjesztett tartomány: 1025-4096
Egyszerű VLAN beállítások VTP konfigurálás Vagy domain név megadása, vagy VTP leállítás , VTP szinkronizáció is lekapcsolható (Packet Tracerben nem kell) Definiálni kell a VLAN-okat: vlan (vlan) vlan vlan-id [name vlan-name] [state {suspend | active}] [mtu mtu-size] (global) vlan vlan-id (vlan-config) vlan vlan-id [mtu mtu-size] [name vlan-name] [state {suspend | active}] Az egyes portokat VLAN-okhoz kell rendelni interface FastEthernet x/z switchport access vlan vlan_number
VLAN kezelés további parancsai Port eltávolítása a VLAN-ból interface FastEthernet x/z no switchport access vlan vlan_number VLAN törlése no vlan vlan_number VLAN-ok listázása show vlan show vlan brief (PT-ben nincs) Port layer 2 státusza show interface int_name x/y switchport
Több switch-es VLAN hálózat Kétféle kapcsolati típus Access link Egyetlen VLAN forgalmát engedi át switch-ek között Trunk link Több VLAN forgalmát engedi át a switch-ek között Ekkor az egyes keretek jelölést kapnak (VLAN ID tag-et) Inter Swtch Linking (ISL) - Cisco saját fejlesztésű protokolja IEEE 802.1q (dot1q) - általános szabvány VLAN trunk protokoll LANE –trunk használat ATM linkek felett IEEE 802.10 (dot10q) – trunk használat FDDI linkek esetében Problémák: 1500-as MTU méret (p-p tag-elést használnak) DTP – Dynamic Trunking Protocol automatikusan tud trunking protokollt választani. Trunk-ok listázása show interfaces trunk Hálózat kialakításának menete Trunk-ök kialakítása VTP (VLAN Trunking Protocol) a switch-ek között Menedzsment VLAN kialakítása
Trunk beállítás switch-ek között Mind a két switch megfelelő portján: interface fastethernet x/y switchport mode trunk switchport trunk encapsulation dot1q Alapértelmezettként 1-1005-ig átküld minden forgalmat VLAN-ok kivétele betétele a TRUNK-be switchport trunk allowed vlan remove 1-1005 switchport trunk allowed vlan add 1-3 Érdemes mindig csak a használt VLAN-ok forgalmát átküldeni
Feladat03 D, Budapest és Szeged között trunk port kapcsolat - Ki, kit tud pingetni?
Feladat04 DHCP RIPv2 VLAN3 RIPv2 trunk DHCP VLAN3
Hálózati címfordítás NAT – Network Address Translation Célja Kevés a publikus IP cím Hálózatvédelem (access list) Belső felhasználók kommunikációja kifelé Külső felhasználók kommunikációja befelé Port átirányítás Hálózat rendelkezésre állásának biztosítása Átfedő címtartományok használata
NAT típusok Statikus NAT (ezt használjuk majd) Dinamikus NAT Overloading (több IP 1 IP-re) Hibrid megoldások
NAT interfészek Belső és külső interfészek meghatározása Internet Belső hálózat Külső hálózat
Statikus NAT beállítása Megfelelő interfészeken ip nat inside ip nat outside ip nat inside source static valódi-belső-IP-cím alias-IP-cím Lehet belső és külső interfészen is címfordítás: ip nat inside source Forráscím fordítás, amikor belülről kifelé megy a csomag Célcím fordítás amikor kívülről befelé megy a csomag ip nat outside source Forráscím fordítás, ha kívülről befelé megy a csomag Célcím fordítás, he belülről kifelé megy a csomag Debug-olás NAT tábla : show ip nat translation routing tábla: show ip route
Feladat01 Tartományok elkészítése, DHCP-s PC-k, statikusan, utána rip(v1)-el, statikus NAT Belső hálózatok Külső hálózat
Feladat02 Tartományok elkészítése, DHCP-s PC-k, statikusan, rip(v2)-vel, statikus NAT VLAN 3 Belső hálózat VLAN 2 VLAN 2 VLAN 3 VLAN 2 Trunk
Acces list (hozzáférési lista) Cisco IOS® Software Release 8.3 + Használjuk: IP szűrés Címfordítás Nem támogatott protokollok szűrése Titkosítás … Cisco oldalakon további infok…
Maszk használat Maszkot használunk ahhoz hogy megadjuk mit szűrünk és mit engedünk át Fordított, vagy ún.:inverz maszkot használunk Lényege: Ugyanúgy 0 és 1 –esekből épül fel 0 = fontos, figyelembe kell venni 1 = lényegtelen (don’t care bit)
Néhány egyszerű szabály 255.255.255.255 - 255.255.255.0 (normal mask) = 0.0.0.255 (inverse mask) 0.0.0.0/255.255.255.255 = "any". 10.1.1.2/0.0.0.0 = "host 10.1.1.2".
ACL feldolgozás ACL bejegyzések vannak a konfigban A beérkező csomag alapján az eszköz végignézi az ACL listákat Új ACL a lista végére kerül Addig olvassa a listát, amíg nem talál csomagra illő szabályt, vagy a végére ér a listának Ha nincs szabály, a csomag automatikusan eldobódik! (alapértelmezetten dobunk) ACL-t definiálhatunk anélkül hogy aktiválnánk.
Kényelmi funkciók Variációk egy témára (lehetőleg „KIS”) A két szabály azonos: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any A cli automatikusan segit néhány protokolnál (? használat): access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514)
ACL definiálás és aktiválás 1. lépés ACL definiálás 2. lépés ACL aktiválása az adott interfészen Érdemes az aktiválást: a forgalom forrásához legközelebbi interfészen megtenni a hálózatba való belépési pontnál megtenni Ne csináljunk rendetlenséget + törekedjünk az átláthatóságra ACL-ek megtekintése: show access-list
Kulcsszavak és szintaxis In - a csomag éppen belépett az interfészen a routerbe Out - a csomag már áthaladt a routeren és éppen ki akar lépni valamelyik interfészen Source - csomagot küldő állomás Destination – csomag célállomása ACL parancs szintaxis: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Lista: 1-99 ACL-nek lehet száma, vagy címkéje (IOS 11.2+: címkék) access-list 101 permit ip any any ip access-list extended test
ACl aktiválás interfészen A definiált ACL-t az interfészhez kell rendelni interface <interface> ip access-group number {in|out} Példa alap/szabványos ACL-re: interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 1 in access-list 1 permit 10.1.1.0 0.0.0.255 Kiterjesztett ACL definíció: (101 - 199) Példa: IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] Hasznos példák: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml
Feladat01 Tegyük fel hogy: interface ethernet0 ip access-group 1 in Melyik engedi át 192.168.10.1-ből jövő forgalmat, miért? A: access-list 1 deny host 192.168.10.1 access-list 1 permit any B:
NAT (overload) ACL-lel Ethernet numberx-nek az IP címére fordítunk minden belső IP-t 1. lépés ACL definíció access-list 1 permit lan_address_range 2. lépés ip nat inside source list access-list-number interface overload 3. Lépés: Hozzárendelés belső interfészhez conf t interface ethernet number ip nat inside 4. lépés: hozzárendelés külső interfészhez (ez külső láb) interface ethernet numberx ip nat outside