Gyakorlat 12. Számítógép hálózatok I.

Slides:



Advertisements
Hasonló előadás
Mire van szükség? Internet böngészővel ellátott számítógép vagy más készülék közvetlen csatlakozásához szükséges: (Chrome, Internet explorer, Firefox,
Advertisements

Hálózati architektúrák
A hálózat működése 1. A DHCP és az APIPA
Készítette: Nagy Márton
GPRS/EDGE General Packet Radio Service/ Enhanced Data rate for GSM Evolution.
TCP/IP protokollverem
14. gyakorlat Zelei Dániel.
Hálózatok.
INTERNET.
Alap hálózat összerakása Packet Tracerben
Balla Attila CCIE #7264 BGP optimalizálás Balla Attila CCIE #7264
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Hálózati architektúrák
2008. augusztus 6.Budapest New Technology Meetup Group1 Zoltan Kalmar: Hahó Zoltan Kalmar: Hahó Kalmár Zoltán Internet Szolgáltatók.
Útválasztás. A statikus útválasztásos környezet A statikus útválasztásos IP környezet kis, egyetlen útvonallal rendelkező, statikus IP alapú összetett.
Hálózat összeállítási feladat 2
Spanning Tree Protocol
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Tűzfal beállítása Ubuntuban
Számítógépes hálózatok
Szakdolgozat Prezentáció.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Hálózat összeállítási feladat 1 Készíts egy hálózatot. A hálózatban legyen 4 PC, fix IP címmel. Legyen egy DNS szerver, és működjön a név feloldás is.
OSI Modell.
IP alapú hálózatok tervezése és üzemeltetése II.
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/4.
Address Resolution Protocol (ARP)
Routing Information Protocol
A TCP/IP cím.
IP címzés Számítógép hálózatok gyakorlata
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Vezeték nélküli hálózatok eszközei F ű rész Attila Salamon Róza (felkészít ő tanár) 8.A Dr. Török Béla Óvoda, Általános Iskola, Speciális Szakiskola,
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
A protokollok határozzák meg a kapcsolattartás módját.
Hálózati eszközök.
Ez a dokumentum az Európai Unió pénzügyi támogatásával valósult meg. A dokumentum tartalmáért teljes mértékben Szegedi Tudományegyetem vállalja a felelősséget,
Routing Windows 2003 server alatt Földvári Eszter - Kovács András.
Hálózati beállítások és szolgáltatások
Confidential Asus Pocket Wireless Router WL-530gV2.
Hálózati eszközök Bridge, Switch, Router
Hálózati alapismeretek
Gyakorlat 3. Számítógép hálózatok I.
Windows Server 2008 Távoli elérés – I.
Gyakorlat 6. Számítógép hálózatok I.
Gyakorlat 10. Számítógép hálózatok I.
A TCP/IP protokoll és az Internet
Óravázlat Készítette: Toldi Miklós
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Óravázlat Készítette: Toldi Miklós
Készítette: Pandur Dániel
Kapcsolatok ellenőrzése
Számítógép hálózatok.
Az áttérés teljes művelete 4321 P2P migráció P2C migráció P2V migráció.
HEFOP 3.3.1–P /1.0A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. 1 Számítógép- hálózatok dr. Herdon.
IP alálózatok.
Hálózatok II. Alapfogalamak.
Dynamic Host Configuration Protocol
IP alapú hálózatok tervezése és üzemeltetése
Tűzfal (firewall).
Almási Béla - NAT 1 Network Address Translation -NAT.
IP címzés Gubó Gergely Konzulens: Piedl Péter Neumann János Számítástechnikai Szakközépiskola Cím: 1144 Budapest Kerepesi út 124.
Hálózati architektúrák
A Linux beállítása tűzfalnak
MIB Dokumentáció.
Hálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózatok építése és üzemeltetése
Hálózatok.
Válasz a hálózatra, biztonságra, meg mindenre: 7
Előadás másolata:

Gyakorlat 12. Számítógép hálózatok I. kozlovszky.miklos@nik.uni-obuda.hu

VLAN alapok A VLAN egy broadcast domain a hálózati kapcsolón belül Különböző VLAN-ban lévő gépek nem hallják a másik VLAN forgalmát: (broadcast, multicast, unicast) (akkor sem ha egymás melletti portban vannak a switch-ben - 2. réteg) VLAN-ok között útvonalválasztás használata!: 3. réteg szükséges (belső router modullal, vagy külső routerrel)

VLAN VLAN-ok a switch-ekben a VTP (VLAN trunking protokoll által kezelt adatbázisban tárolódnak VLAN-ok konfigurálható paraméterei: név, típus, állapot Néhány VLAN-nak kitüntetett feladata van, a többi szabadon használható (pl.: 1 = menedzsment vlan) Cisco VLAN tartományok Normál tartomány: 1-1000 (2-től használjuk) Kiterjesztett tartomány: 1025-4096

Egyszerű VLAN beállítások VTP konfigurálás Vagy domain név megadása, vagy VTP leállítás , VTP szinkronizáció is lekapcsolható (Packet Tracerben nem kell) Definiálni kell a VLAN-okat: vlan (vlan) vlan vlan-id [name vlan-name] [state {suspend | active}] [mtu mtu-size] (global) vlan vlan-id (vlan-config) vlan vlan-id [mtu mtu-size] [name vlan-name] [state {suspend | active}] Az egyes portokat VLAN-okhoz kell rendelni interface FastEthernet x/z switchport access vlan vlan_number

VLAN kezelés további parancsai Port eltávolítása a VLAN-ból interface FastEthernet x/z no switchport access vlan vlan_number VLAN törlése no vlan vlan_number VLAN-ok listázása show vlan show vlan brief (PT-ben nincs) Port layer 2 státusza show interface int_name x/y switchport

Több switch-es VLAN hálózat Kétféle kapcsolati típus Access link Egyetlen VLAN forgalmát engedi át switch-ek között Trunk link Több VLAN forgalmát engedi át a switch-ek között Ekkor az egyes keretek jelölést kapnak (VLAN ID tag-et) Inter Swtch Linking (ISL) - Cisco saját fejlesztésű protokolja IEEE 802.1q (dot1q) - általános szabvány VLAN trunk protokoll LANE –trunk használat ATM linkek felett IEEE 802.10 (dot10q) – trunk használat FDDI linkek esetében Problémák: 1500-as MTU méret (p-p tag-elést használnak) DTP – Dynamic Trunking Protocol automatikusan tud trunking protokollt választani. Trunk-ok listázása show interfaces trunk Hálózat kialakításának menete Trunk-ök kialakítása VTP (VLAN Trunking Protocol) a switch-ek között Menedzsment VLAN kialakítása

Trunk beállítás switch-ek között Mind a két switch megfelelő portján: interface fastethernet x/y switchport mode trunk switchport trunk encapsulation dot1q Alapértelmezettként 1-1005-ig átküld minden forgalmat VLAN-ok kivétele betétele a TRUNK-be switchport trunk allowed vlan remove 1-1005 switchport trunk allowed vlan add 1-3 Érdemes mindig csak a használt VLAN-ok forgalmát átküldeni

Feladat03 D, Budapest és Szeged között trunk port kapcsolat - Ki, kit tud pingetni?

Feladat04 DHCP RIPv2 VLAN3 RIPv2 trunk DHCP VLAN3

Hálózati címfordítás NAT – Network Address Translation Célja Kevés a publikus IP cím Hálózatvédelem (access list) Belső felhasználók kommunikációja kifelé Külső felhasználók kommunikációja befelé Port átirányítás Hálózat rendelkezésre állásának biztosítása Átfedő címtartományok használata

NAT típusok Statikus NAT (ezt használjuk majd) Dinamikus NAT Overloading (több IP 1 IP-re) Hibrid megoldások

NAT interfészek Belső és külső interfészek meghatározása Internet Belső hálózat Külső hálózat

Statikus NAT beállítása Megfelelő interfészeken ip nat inside ip nat outside ip nat inside source static valódi-belső-IP-cím alias-IP-cím Lehet belső és külső interfészen is címfordítás: ip nat inside source Forráscím fordítás, amikor belülről kifelé megy a csomag Célcím fordítás amikor kívülről befelé megy a csomag ip nat outside source Forráscím fordítás, ha kívülről befelé megy a csomag Célcím fordítás, he belülről kifelé megy a csomag Debug-olás NAT tábla : show ip nat translation routing tábla: show ip route

Feladat01 Tartományok elkészítése, DHCP-s PC-k, statikusan, utána rip(v1)-el, statikus NAT Belső hálózatok Külső hálózat

Feladat02 Tartományok elkészítése, DHCP-s PC-k, statikusan, rip(v2)-vel, statikus NAT VLAN 3 Belső hálózat VLAN 2 VLAN 2 VLAN 3 VLAN 2 Trunk

Acces list (hozzáférési lista) Cisco IOS® Software Release 8.3 + Használjuk: IP szűrés Címfordítás Nem támogatott protokollok szűrése Titkosítás … Cisco oldalakon további infok…

Maszk használat Maszkot használunk ahhoz hogy megadjuk mit szűrünk és mit engedünk át Fordított, vagy ún.:inverz maszkot használunk Lényege: Ugyanúgy 0 és 1 –esekből épül fel 0 = fontos, figyelembe kell venni 1 = lényegtelen (don’t care bit)

Néhány egyszerű szabály 255.255.255.255 - 255.255.255.0 (normal mask) = 0.0.0.255 (inverse mask) 0.0.0.0/255.255.255.255 = "any". 10.1.1.2/0.0.0.0 = "host 10.1.1.2".

ACL feldolgozás ACL bejegyzések vannak a konfigban A beérkező csomag alapján az eszköz végignézi az ACL listákat Új ACL a lista végére kerül Addig olvassa a listát, amíg nem talál csomagra illő szabályt, vagy a végére ér a listának Ha nincs szabály, a csomag automatikusan eldobódik! (alapértelmezetten dobunk) ACL-t definiálhatunk anélkül hogy aktiválnánk.

Kényelmi funkciók Variációk egy témára (lehetőleg „KIS”) A két szabály azonos: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any A cli automatikusan segit néhány protokolnál (? használat): access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514)

ACL definiálás és aktiválás 1. lépés ACL definiálás 2. lépés ACL aktiválása az adott interfészen Érdemes az aktiválást: a forgalom forrásához legközelebbi interfészen megtenni a hálózatba való belépési pontnál megtenni Ne csináljunk rendetlenséget + törekedjünk az átláthatóságra ACL-ek megtekintése: show access-list

Kulcsszavak és szintaxis In - a csomag éppen belépett az interfészen a routerbe Out - a csomag már áthaladt a routeren és éppen ki akar lépni valamelyik interfészen Source - csomagot küldő állomás Destination – csomag célállomása ACL parancs szintaxis: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Lista: 1-99 ACL-nek lehet száma, vagy címkéje (IOS 11.2+: címkék) access-list 101 permit ip any any ip access-list extended test

ACl aktiválás interfészen A definiált ACL-t az interfészhez kell rendelni interface <interface> ip access-group number {in|out} Példa alap/szabványos ACL-re: interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 1 in access-list 1 permit 10.1.1.0 0.0.0.255 Kiterjesztett ACL definíció: (101 - 199) Példa: IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] Hasznos példák: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml

Feladat01 Tegyük fel hogy: interface ethernet0 ip access-group 1 in Melyik engedi át 192.168.10.1-ből jövő forgalmat, miért? A: access-list 1 deny host 192.168.10.1 access-list 1 permit any B:

NAT (overload) ACL-lel Ethernet numberx-nek az IP címére fordítunk minden belső IP-t 1. lépés ACL definíció access-list 1 permit lan_address_range 2. lépés ip nat inside source list access-list-number interface overload 3. Lépés: Hozzárendelés belső interfészhez conf t interface ethernet number ip nat inside 4. lépés: hozzárendelés külső interfészhez (ez külső láb) interface ethernet numberx ip nat outside