Материал: lab1
План подключения оборудования по портам
Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока. Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.
Имя устройства |
Порт |
Название |
VLAN |
|
Access |
Trunk |
|||
msk-arbat-gw1 |
FE0/1 |
UpLink |
|
|
|
FE0/0 |
msk-arbat-dsw1 |
|
2,3,101,102,103,104 |
msk-arbat-dsw1 |
FE0/24 |
msk-arbat-gw1 |
|
2,3,101,102,103,104 |
|
GE1/1 |
msk-arbat-asw1 |
|
2,3 |
|
GE1/2 |
msk-arbat-asw3 |
|
2,101,102,103,104 |
|
FE0/1 |
msk-rubl-asw1 |
|
2,101,104 |
|
||||
msk-arbat-asw1 |
GE1/1 |
msk-arbat-dsw1 |
|
2,3 |
|
GE1/2 |
msk-arbat-asw2 |
|
2,3 |
|
FE0/1 |
Web-server |
3 |
|
|
FE0/2 |
File-server |
3 |
|
|
||||
msk-arbat-asw2 |
GE1/1 |
msk-arbat-asw1 |
|
2,3 |
|
FE0/1 |
Mail-Server |
3 |
|
|
||||
msk-arbat-asw3 |
GE1/1 |
msk-arbat-dsw1 |
|
2,101,102,103,104 |
|
FE0/1-FE0/5 |
PTO |
101 |
|
|
FE0/6-FE0/10 |
FEO |
102 |
|
|
FE0/11-FE0/15 |
Accounting |
103 |
|
|
FE0/16-FE0/24 |
Other |
104 |
|
|
||||
msk-rubl-asw1 |
FE0/24 |
msk-arbat-dsw1 |
|
2,101,104 |
|
FE0/1-FE0/15 |
PTO |
101 |
|
|
FE0/20 |
administrator |
104 |
|
Почему именно так распределены VLAN'ы, мы объясним в следующих частях. Excel-документ со списком VLAN, IP, портов
Схемы сети
На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)). Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.
L1
То
есть на схеме L1 мы отражаем физические
устройства сети с номерами портов: что
куда подключено.
L2
На схеме L2 мы
указываем наши VLAN’ы
L3
В
нашем примере схема третьего уровня
получилась довольно бесполезная и не
очень наглядная, из-за наличия только
одного маршрутизирующего устройства.
Но со временем она обрастёт
подробностями.
Dia-файлы со схемами
сети: L1,
L2,
L3
Как
видите, информация в документах избыточна.
Например, номера VLAN повторяются и на
схеме и в плане по портам. Тут как бы кто
на что горазд. Как вам удобнее, так и
делайте. Такая избыточность затрудняет
обновление в случае изменения конфигурации,
потому что нужно исправиться сразу в
нескольких местах, но с другой стороны,
облегчает понимание.
Будет у нас такая
сеть:
Вспомним,
как мы её планировали:
VLAN
IP-план
план коммутации
Советуем на дополнительной вкладке отрыть их, потому что мы будем обращаться туда периодически. Мы могли бы сейчас броситься сразу настраивать всё по порядку: полностью одно устройство, потом другое. Но так не будет, пожалуй, понимания значения процессов.
Порты доступа (access)
Поэтому начнём с
простого: настроим два порта на
msk-arbat-asw3 как access для влана 101
(ПТО):
msk-arbat-asw3(config)#interface
FastEthernet0/1 msk-arbat-asw3(config-if)#description PTO
msk-arbat-asw3(config-if)#switchport mode access
msk-arbat-asw3(config-if)#switchport access vlan 101 % Access VLAN
does not exist. Creating vlan 101 msk-arbat-asw3(config)#interface
FastEthernet0/2 msk-arbat-asw3(config-if)#description PTO
msk-arbat-asw3(config-if)#switchport access vlan 101
msk-arbat-asw3(config-if)switchport mode access
Все
настройки делаем сразу в соответствии
с планом.
Заметили, что коммутатор
ругается на отсутствие влана? Тут надо
быть аккуратным. Некоторые версии ПО
работают несколько нелогично.
Даже
если вы его не создадите, то настройки
применятся и при отладке на первый
взгляд всё будет нормально, но связи не
будет. Причём коварство заключается в
том, что фраза Creating vlan 101 вовсе не
означает, что этот самый влан будет
создан. Поэтому отправляемся в режим
глобальной конфигурации и создаём его
(а заодно и все другие вланы, нужные на
этом коммутаторе):
Switch>enable
Switch#configure terminal Switch(config)#hostname msk-arbat-dsw1
msk-arbat-dsw1(config)#vlan 2 msk-arbat-dsw1(config-vlan)#name
Management msk-arbat-dsw1(config-vlan)#vlan 3
msk-arbat-dsw1(config-vlan)#name Servers
msk-arbat-dsw1(config-vlan)#vlan 101 msk-arbat-dsw1(config-vlan)#name
PTO msk-arbat-dsw1(config-vlan)#vlan 102
msk-arbat-dsw1(config-vlan)#name FEO msk-arbat-dsw1(config-vlan)#vlan
103 msk-arbat-dsw1(config-vlan)#name Accounting
msk-arbat-dsw1(config-vlan)#vlan 104 msk-arbat-dsw1(config-vlan)#name
Other
Теперь подключите
компьютеры к портам FE0/1 и FE0/2, настройте
на них адреса 172.16.3.2 и 172.16.3.3 с маской
подсети 255.255.255.0 и шлюзом 172.16.3.1 и проверьте
связь:
После
того, как это получилось, настроим порт
FE0/16, как access, для 104-го влана (сеть других
пользователей):
msk-arbat-asw3(config)#interface
FastEthernet0/16 msk-arbat-asw3(config-if)#description Other
msk-arbat-asw3(config-if)#switchport access vlan 104
msk-arbat-asw3(config-if)switchport mode access
Подключите
к нему компьютер и настройте адрес из
той же подсети, что ПТО, например,
172.16.3.5 с маской 255.255.255.0.
Если вы
попытаетесь теперь пропинговать этот
адрес, то у вас не должно этого получиться
— компьютеры находятся в разных вланах
и изолированы друг от друга:
То
есть ещё раз, что происходит? От вашего
компьютера приходит на 1-й порт
широковещательный запрос: “Кто такой
172.16.3.5”, потому что сам компьютер пока
не знает MAC-адреса получателя. Кадр,
который несёт в себе этот запрос
помечается, как принадлежащий 101-му
VLAN’у в соответствии с портом, на который
он поступил. И далее, чтобы узнать где-же
находится компьютер 172.16.3.5, кадр
рассылается на все порты-члены 101-го
VLAN’а. А в их числе нет порта FE0/16, поэтому,
естественно, этот адрес считается
недостижимым, что приводит к ответу
“Request timed out”.
Внимание!
Если в этом VLAN’е все-таки окажется
устройство с таким IP, то это не будет
тем же самым ноутбуком Other и при этом
они не буду конфликтовать друг с другом,
поскольку логически находятся в разных
широковещательных доменах.
Транковые порты (trunk)
Итак, врата для
вас открылись, теперь вам предстоит
создать коридор — транк между тремя
коммутаторами: msk-arbat-asw3, msk-arbat-dsw1 и
msk-rubl-asw1.
Uplink портом на msk-arbat-asw3
является GE1/1. Ну а поскольку нам всё
равно все вланы нужно будет пробросить,
то сделаем это сейчас, то есть помимо
101 и 104 пропишем 2, 102 и
103:
msk-arbat-asw3(config)#interface
GigabitEthernet1/1 msk-arbat-asw3(config-if)#description
msk-arbat-dsw1 msk-arbat-asw3(config-if)#switchport trunk allowed
vlan 2,101-104 msk-arbat-asw3(config-if)#switchport mode trunk
На
самом деле на интерфейсе достаточно
команды #switchport mode trunk, чтобы у вас
через этот порт уже пошли тегированные
кадры всех вланов, потому что по умолчанию
транковый порт пропускает всё. Но мы же
инженеры, а не эникейщики. Где это видано,
чтобы безлимит творился за нашей спиной?
Поэтому через нас проходит только то,
что мы разрешаем. Как только вы дали
команду switchport trunk allowed vlan 101, через
порт не пройдёт кадр никаких вланов,
кроме 101 (VLAN 1 ходит по умолчанию и
нетегированным).
Внимание!
Если вы хотите в транковый порт добавить
ещё один влан, то вам необходимо
использовать следующий синтаксис
команды:
msk-arbat-dsw1(config-if)#switchport
trunk allowed vlan add 105
В
противном случае (написав switchport
trunk allowed vlan 105) вы сотрёте все старые
разрешения и добавите новый 105-й влан.
И хорошо ещё, если при этом вы не потеряете
доступ на этот коммутататор. Но за
простой связи всё равно вы получите по
пятое число)
Переходим к
msk-arbat-dsw1. На нём необходимо создать все
вланы и настроить два порта:
GE1/2 в
сторону msk-arbat-asw3
FE0/1 в сторону
msk-rubl-asw1:
msk-arbat-dsw1(config)#interface
GigabitEthernet1/2 msk-arbat-dsw1(config-if)#description
msk-arbat-asw3 msk-arbat-dsw1(config-if)#switchport trunk allowed
vlan 2,101-104 msk-arbat-dsw1(config-if)#switchport mode trunk
msk-arbat-dsw1(config)#interface FastEthernet0/1
msk-arbat-dsw1(config-if)#description msk-rubl-asw1
msk-arbat-dsw1(config-if)#switchport trunk allowed vlan 2,101,104
msk-arbat-dsw1(config-if)#switchport mode trunk
Ну
и настроим, конечно, порты на
msk-rubl-asw1:
msk-rubl-asw1(config)interface
FastEthernet0/24 msk-rubl-asw1(config-if)switchport trunk allowed
vlan 2,101,104 msk-rubl-asw1(config-if)switchport mode trunk
msk-rubl-asw1(config)#int FastEthernet0/1
msk-rubl-asw1(config-if)#description PTO
msk-rubl-asw1(config-if)#switchport mode access
msk-rubl-asw1(config-if)#switchport access vlan 101 % Access VLAN
does not exist. Creating vlan 101
Снова
нужно настроить вланы. И заметьте, при
настройке транковых портов никаких
сообщений нет.
Если вы всё настроили
правильно (в чём не приходится сомневаться),
то с первого порта msk-rubl-asw1 вы увидите
компьютеры ПТО, подключённые к
msk-arbat-asw3.
Для
уверенности проверим ещё и 104-й влан.
Через транк мы его сюда уже
доставили.
msk-rubl-asw1(config)#interface
FastEthernet 0/16 msk-rubl-asw1(config-if)#switchport mode access
msk-rubl-asw1(config-if)#switchport access vlan 104
Подключаем
компьютер к 16-му порт и настраиваем на
нём IP-адрес 172.16.6.3 с маской 255.255.255.0 и
шлюзом 172.16.6.1. А IP-адрес ноутбука на
арбате поменяйте на 172.16.6.2 с теми же
маской и шлюзом.
Сеть управления
Настроим IP-адрес
для управления.
В наших лабах они не
понадобятся, потому что мы настраиваем
устройство через окно РТ. А вот в реальной
жизни это вам жизненно необходимо.
Для
этого мы создаём виртуальный интерфейс
и указываем номер интересующего нас
влана. А далее работаем с ним, как с самым
обычным физическим
интерфейсом.
msk-arbat-dsw1:
msk-arbat-dsw1(config)#interface
vlan 2 msk-arbat-dsw1(config-if)#description Management
msk-arbat-dsw1(config-if)#ip address 172.16.1.2 255.255.255.0
msk-arbat-asw3:
msk-arbat-asw3(config)#interface
vlan 2 msk-arbat-asw3(config-if)#description Management
msk-arbat-asw3(config-if)#ip address 172.16.1.5 255.255.255.0
С
msk-arbat-asw3 запускаем пинг
до msk-arbat-dsw1:
msk-arbat-asw3#ping
172.16.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP
Echos to 172.16.1.2, timeout is 2 seconds: ..!!! Success rate is 60
percent (3/5), round-trip min/avg/max = 4/4/4 ms
Первые
пару пакетов
могут потеряться
на работу
протокола ARP:
определение соответствия
IP-адрес — MAC-адрес.
При этом MAC-адрес, порт и номер влана
добавляются в таблицу коммутатора.
Самостоятельно
настройте IP-адреса сети управления на
остальных коммутаторах и проверьте их
доступность
Собственно вот и вся
магия. Зачастую к подобного рода действиям
и сводится вся настройка, если вы не
работаете в провайдере. С другой стороны,
если вы работаете в провайдере, то,
наверняка, такие вещи вам объяснять не
нужно.
Если желаете знать больше об
этом, читайте: VTP,
QinQ,
зарезервированные
номера VLAN
Ещё один небольшой
инструмент, который может немного
увеличить удобство работы: banner. Это
объявление, которое циска покажет перед
авторизацией на устройство.
Switch(config)#banner
motd q Enter TEXT message. End with the character 'q'. It is just
banner. q Switch(config)#
После motd вы
указываете символ, который будет служить
сигналом о том, что строка закончена. В
это примере мы поставили “q”.
Относительно содержания баннера. Существует такая легенда: хакер вломился в сеть, что-то там поломал\украл, его поймали, а на суде оправдали и отпустили. Почему? А потому, что на пограничном роутере(между интернет и внутренней сетью), в banner было написано слово “Welcome”. “Ну раз просят, я и зашел”)). Поэтому считается хорошей практикой в баннере писать что-то вроде “Доступ запрещен!”.
Для упорядочивания знаний по пунктам разберём, что вам необходимо сделать: 1) Настроить hostname. Это поможет вам в будущем на реальной сети быстро сориентироваться, где вы находитесь. Switch(config)#hostname HOSTNAME 2) Создать все вланы и дать им название Switch(config)#vlan VLAN-NUMBER Switch(config-vlan)#name NAME-OF-VLAN 3) Настроить все access-порты и задать им имя Switch(config-if)#description DESCRIPTION-OF-INTERFACE Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan VLAN-NUMBER Удобно иногда бывает настраивать интерфейсы пачками: msk-arbat-asw3(config)#interface range fastEthernet 0/6 — 10 msk-arbat-asw3(config-if-range)#description FEO msk-arbat-asw3(config-if-range)#switchport mode access msk-arbat-asw3(config-if-range)#switchport access vlan 102 4) Настроить все транковые порты и задать им имя: Switch(config-if)#description DESCRIPTION-OF-INTERFACE Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan VLAN-NUMBERS 5) Не забывайте сохраняться: Switch#copy running-config startup-config Итого: чего мы добились? Все устройства в одной подсети видят друг друга, но не видят устройства из другой. В следующем выпуске разбираемся с этим вопросом, а также обратимся к статической маршрутизации и L3-коммутаторам. В общем-то на этом данный урок можно закончить. В видео вы сможете ещё раз увидеть, как настраиваются вланы. В качестве домашнего задания настройте вланы на коммутаторах для серверов.
ACL и NAT
1) учимся настраивать различные списки контроля доступа (Access Control List) 2) пытаемся понять разницу между ограничением входящего и исходящего трафика 3) разбираемся с тем, как работает NAT, его плюсы, минусы и возможности 4) на практике организуем подключение к Интернету через NAT и увеличим безопасность сети, используя списки доступа.