Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Gyakorlat 12. Számítógép hálózatok I.
2
VLAN alapok A VLAN egy broadcast domain a hálózati kapcsolón belül
Különböző VLAN-ban lévő gépek nem hallják a másik VLAN forgalmát: (broadcast, multicast, unicast) (akkor sem ha egymás melletti portban vannak a switch-ben - 2. réteg) VLAN-ok között útvonalválasztás használata!: 3. réteg szükséges (belső router modullal, vagy külső routerrel)
3
VLAN VLAN-ok a switch-ekben a VTP (VLAN trunking protokoll által kezelt adatbázisban tárolódnak VLAN-ok konfigurálható paraméterei: név, típus, állapot Néhány VLAN-nak kitüntetett feladata van, a többi szabadon használható (pl.: 1 = menedzsment vlan) Cisco VLAN tartományok Normál tartomány: (2-től használjuk) Kiterjesztett tartomány:
4
Egyszerű VLAN beállítások
VTP konfigurálás Vagy domain név megadása, vagy VTP leállítás , VTP szinkronizáció is lekapcsolható (Packet Tracerben nem kell) Definiálni kell a VLAN-okat: vlan (vlan) vlan vlan-id [name vlan-name] [state {suspend | active}] [mtu mtu-size] (global) vlan vlan-id (vlan-config) vlan vlan-id [mtu mtu-size] [name vlan-name] [state {suspend | active}] Az egyes portokat VLAN-okhoz kell rendelni interface FastEthernet x/z switchport access vlan vlan_number
5
VLAN kezelés további parancsai
Port eltávolítása a VLAN-ból interface FastEthernet x/z no switchport access vlan vlan_number VLAN törlése no vlan vlan_number VLAN-ok listázása show vlan show vlan brief (PT-ben nincs) Port layer 2 státusza show interface int_name x/y switchport
6
Több switch-es VLAN hálózat
Kétféle kapcsolati típus Access link Egyetlen VLAN forgalmát engedi át switch-ek között Trunk link Több VLAN forgalmát engedi át a switch-ek között Ekkor az egyes keretek jelölést kapnak (VLAN ID tag-et) Inter Swtch Linking (ISL) - Cisco saját fejlesztésű protokolja IEEE 802.1q (dot1q) - általános szabvány VLAN trunk protokoll LANE –trunk használat ATM linkek felett IEEE (dot10q) – trunk használat FDDI linkek esetében Problémák: 1500-as MTU méret (p-p tag-elést használnak) DTP – Dynamic Trunking Protocol automatikusan tud trunking protokollt választani. Trunk-ok listázása show interfaces trunk Hálózat kialakításának menete Trunk-ök kialakítása VTP (VLAN Trunking Protocol) a switch-ek között Menedzsment VLAN kialakítása
7
Trunk beállítás switch-ek között
Mind a két switch megfelelő portján: interface fastethernet x/y switchport mode trunk switchport trunk encapsulation dot1q Alapértelmezettként ig átküld minden forgalmat VLAN-ok kivétele betétele a TRUNK-be switchport trunk allowed vlan remove switchport trunk allowed vlan add 1-3 Érdemes mindig csak a használt VLAN-ok forgalmát átküldeni
8
Feladat03 D, Budapest és Szeged között trunk port kapcsolat
- Ki, kit tud pingetni?
9
Feladat04 DHCP RIPv2 VLAN3 RIPv2 trunk DHCP VLAN3
10
Hálózati címfordítás NAT – Network Address Translation
Célja Kevés a publikus IP cím Hálózatvédelem (access list) Belső felhasználók kommunikációja kifelé Külső felhasználók kommunikációja befelé Port átirányítás Hálózat rendelkezésre állásának biztosítása Átfedő címtartományok használata
11
NAT típusok Statikus NAT (ezt használjuk majd) Dinamikus NAT
Overloading (több IP 1 IP-re) Hibrid megoldások
12
NAT interfészek Belső és külső interfészek meghatározása Internet
Belső hálózat Külső hálózat
13
Statikus NAT beállítása
Megfelelő interfészeken ip nat inside ip nat outside ip nat inside source static valódi-belső-IP-cím alias-IP-cím Lehet belső és külső interfészen is címfordítás: ip nat inside source Forráscím fordítás, amikor belülről kifelé megy a csomag Célcím fordítás amikor kívülről befelé megy a csomag ip nat outside source Forráscím fordítás, ha kívülről befelé megy a csomag Célcím fordítás, he belülről kifelé megy a csomag Debug-olás NAT tábla : show ip nat translation routing tábla: show ip route
14
Feladat01 Tartományok elkészítése, DHCP-s PC-k, statikusan, utána rip(v1)-el, statikus NAT Belső hálózatok Külső hálózat
15
Feladat02 Tartományok elkészítése, DHCP-s PC-k, statikusan, rip(v2)-vel, statikus NAT VLAN 3 Belső hálózat VLAN 2 VLAN 2 VLAN 3 VLAN 2 Trunk
16
Acces list (hozzáférési lista)
Cisco IOS® Software Release 8.3 + Használjuk: IP szűrés Címfordítás Nem támogatott protokollok szűrése Titkosítás … Cisco oldalakon további infok…
17
Maszk használat Maszkot használunk ahhoz hogy megadjuk mit szűrünk és mit engedünk át Fordított, vagy ún.:inverz maszkot használunk Lényege: Ugyanúgy 0 és 1 –esekből épül fel 0 = fontos, figyelembe kell venni 1 = lényegtelen (don’t care bit)
18
Néhány egyszerű szabály
(normal mask) = (inverse mask) / = "any". / = "host ".
19
ACL feldolgozás ACL bejegyzések vannak a konfigban
A beérkező csomag alapján az eszköz végignézi az ACL listákat Új ACL a lista végére kerül Addig olvassa a listát, amíg nem talál csomagra illő szabályt, vagy a végére ér a listának Ha nincs szabály, a csomag automatikusan eldobódik! (alapértelmezetten dobunk) ACL-t definiálhatunk anélkül hogy aktiválnánk.
20
Kényelmi funkciók Variációk egy témára (lehetőleg „KIS”)
A két szabály azonos: access-list 101 permit ip access-list 102 permit ip access-list 102 deny ip any any A cli automatikusan segit néhány protokolnál (? használat): access-list 102 permit tcp host host eq ? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514)
21
ACL definiálás és aktiválás
1. lépés ACL definiálás 2. lépés ACL aktiválása az adott interfészen Érdemes az aktiválást: a forgalom forrásához legközelebbi interfészen megtenni a hálózatba való belépési pontnál megtenni Ne csináljunk rendetlenséget + törekedjünk az átláthatóságra ACL-ek megtekintése: show access-list
22
Kulcsszavak és szintaxis
In - a csomag éppen belépett az interfészen a routerbe Out - a csomag már áthaladt a routeren és éppen ki akar lépni valamelyik interfészen Source - csomagot küldő állomás Destination – csomag célállomása ACL parancs szintaxis: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Lista: 1-99 ACL-nek lehet száma, vagy címkéje (IOS : címkék) access-list 101 permit ip any any ip access-list extended test
23
ACl aktiválás interfészen
A definiált ACL-t az interfészhez kell rendelni interface <interface> ip access-group number {in|out} Példa alap/szabványos ACL-re: interface Ethernet0/0 ip address ip access-group 1 in access-list 1 permit Kiterjesztett ACL definíció: ( ) Példa: IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] Hasznos példák:
24
Feladat01 Tegyük fel hogy:
interface ethernet0 ip access-group 1 in Melyik engedi át ből jövő forgalmat, miért? A: access-list 1 deny host access-list 1 permit any B:
25
NAT (overload) ACL-lel
Ethernet numberx-nek az IP címére fordítunk minden belső IP-t 1. lépés ACL definíció access-list 1 permit lan_address_range 2. lépés ip nat inside source list access-list-number interface overload 3. Lépés: Hozzárendelés belső interfészhez conf t interface ethernet number ip nat inside 4. lépés: hozzárendelés külső interfészhez (ez külső láb) interface ethernet numberx ip nat outside
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.