Методуказания к ЛБ 4
advertisement
Лабораторная работа № 4 Тема: Программное обеспечение маршрутизаторов, операционные системы сетевого оборудования Данная лабораторная работа посвящена изучению и программированию одного из основных аппаратных компонентов вычислительных сетей – маршрутизаторов. 1. Функции современных маршрутизаторов поддерживают коммутацию уровня 3, высокоскоростную маршрутизацию уровня 3 и коммутацию уровня 4; поддерживают передовые технологии передачи данных, такие как Fast Ethernet, Gigabit Ethernet и АТМ; поддерживают технологии АТМ с использованием скоростей до 622 Мбит/сек; поддерживают одновременно разные типы кабельных соединений (медные, оптические и их разновидности); поддерживают WAN-соединения включая поддержку PPP, Frame Relay, HSSI, SONET и др.; поддерживают технологию коммутации уровня 4 (Layer 4 Switching), использующую не только информация об адресах отправителя и получателя, но и информацию о типах приложений, с которыми работают пользователи сети; обеспечивают возможность использования механизма "сервис по запросу" (Quality of Service) - QoS, позволяющего назначать приоритеты тем или иным ресурсам в сети и обеспечивать передачу трафика в соответствии со схемой приоритетов; позволяют управлять шириной полосы пропускания для каждого типа трафика; поддерживают основные протоколы маршрутизации, такие как IP RIP1, IP RIP2, OSPF, BGP-4, IPX RIP/SAP, а также протоколы IGMP, DVMPR, PIM-DM, PIM-SM, RSVP; поддерживают несколько IP сетей одновременно; поддерживают протоколы SNMP, RMON и RMON 2, что дает возможность осуществлять управление работой устройств, их конфигурированием со станции сетевого управления, а также осуществлять сбор и последующий анализ статистики как о работе устройства в целом, так и его интерфейсных модулей. 2. Приборы, оборудование и программное обеспечение, необходимые для выполнения лабораторной работы 1.Маршрутизатор Cisco 1811; 2. Персональный компьютер. (Процессор - Celeron® 420 (LGA775, Box, 1,6GHz/512Kb, 800MHz, EM64T, DIMM 512Mb DDR II, DVD+RW/-RW/CD-RW, 80Gb Samsung) и выше. 3. Операционная система - Windows XP Home Edition Russian OEM или Windows 2003 R2. 4. На персональный компьютер должен быть также установлен компонент Java Runtime Environment (JRE) 6 Update 6 и в браузере должна быть установлена поддержка SSL 2.0 и TSL 1.0. 5. Кабель витая пара Patch-cord, RJ45 кат. 5е, 3 м – 4 шт. 6. USB Serial adapter (COM) – кабель для соединения компьютера с маршрутизатором через порты “Console” на маршрутизаторе и USB на компьютере. 7. Выход в ЛВС лаборатории и Интернет- кабель, витая пара Patch-cord, RJ45 кат. 5е, 3 м – информационная розетка. 2 3. Описание маршрутизатора и его основные характеристики Рис. 1. Маршрутизатор Cisco 1811 Маршрутизатор Cisco 1811 (рис. 1) с интегрированными услугами обеспечивает высокоскоростной доступ через интерфейс Ethernet. Маршрутизатор имеет два порта Ethernet 10/100 и встроенный аналоговый модем V.92 для резервирования канала доступа в Интернет. Также эта модель маршрутизатора оснащена встроенным 8-портовым коммутатором с опциональной поддержкой PoE для питания IP-телефонов или других устройств с поддержкой этой функции, содержит ПО с расширенными функциями Cisco IOS (Firewall, IPSec с шифрованием 3DES). Маршрутизатор Cisco 1811 может использоваться, чтобы организовать или использовать: o защищенный широкополосный доступ к совместно используемым службам для филиалов и небольших офисов o Аналоговый модем или запасной Ethernet-порт для создания запасного WAN-канала связи или распределения нагрузки o встроенный LAN-коммутатор с опциональной поддержкой PoE (Power-over-Ethernet) o защищенную беспроводную сеть – (опционально), одновременно работающую по стандартам 802.11a и 802.11b/g (при использовании нескольких антенн) o расширенные функции безопасности, включающие в себя: o SIF (Stateful Inspection Firewall) o IPSec VPNs (IP Security Virtual Private Networks) – поддержка шифрования 3DES (Triple Data Encryption Standard) или AES (Advanced Encryption Standard) o DMPVN (Dynamic Multipoint VPN) и Easy VPN o IPS (Intrusion Prevention System) - система предупреждения вторжений o борьба с вирусами с помощью NAC (Network Admission Control) и усиления политики безопасности. 3 4. Схема сетевого лабораторного стенда. Схема сетевого лабораторного стенда представлена на рис.2 DSL порты модемов Телефонный кабель 1 UTP Модем Zuxel 700 Series Модем Zuxel 700 Series Кабель Fe 0 192.168.3.1 4 PAIR UTP CAT-5E Fe 0 192.168.3.2 Порты Fast Ethernet ... Порт для Fe 1 192.168.0.2 консольного подключения к компьютеру Маршрутизатор Cisco 2800 Порт для консольного подключения к компьютеру Слоты Расширения (не используются) Маршрутизатор Cisco 1800 Fe 0 192.168.0.1 Порт для консольного подключения Коммутатор Cisco Catalist 2960 (24Порты порта FE) Fe 0 и Fe1 коммутатора Коммутатор Cisco Catalist 2960 (24 порта FE) Порты Fe 0 и Fe1 коммутатора ... ... Fe 192.168.1.4 255.255.255.0 Fe 192.168.0.5 255.255.255.0 Рабочая станция Рабочая станция Windows Server Windows Server 2003 2003 Рабочие станции объединённые в VPN сеть средствами Windows } Порты встроенного комутатора (не используются) Fe 0 192.168.1.1 Порт для консольного подключения Fe 192.168.0.4 255.255.255.0 Fe 1 192.168.1.2 Рабочая станция Windows Server 2003 Fe 192.168.1.4 255.255.255.0 Рабочая станция Windows Server 2003 Беспроводной интерфейс Wi-Fi Рис. 2. Схема сетевого лабораторного стенда Схема лабораторного стенда представленного на Рис. 2, является примером схемы ITинфраструктуры предприятия, состоящего из двух подразделений, расположенных в разных частях города. Они объединены между собой при помощи двух DSL-модемов и выделенной телефонной линии. Адресный план разработан с учётом требований к адресации Интранет сетей. (См. литературу «Введение в IP». Так как данная лабораторная работа является продолжением лабораторной работы №1. (Разработка «IT- инфраструктуры предприятия», у магистранта должна быть разработана своя IT- инфраструктура, своего предприятия и свой адресный план. На основе разработанной инфраструктуры и адресного плана осуществляется настройка маршрутизатора серии Cisco 1800, в нашем случаи это маршрутизатор Cisco 1811/k9. Следует учитывать, что схема, представленная на рис. 2, носит ознакомительный характер, а значит, не может быть применена в реальной работе, но набор 4 устройств реальный. Стартовый IP-адрес можно использовать, начиная с адреса 192.168.0.1 –адрес маршрутизатора, и далее. Цель работы: 1. Создать списки пользователей, кому разрешён выход в Интернет. 2. Создать резервные каналы для выхода в интернет, для каждого предприятия. Проверить результаты настройки маршрутизатора. 3. Обосновать политику безопасности реализованную с помощью маршрутизатора. 5. Программирование и настройка маршрутизатора Cisco 1811 Маршрутизатор Cisco 1811, представляет собой аппаратную платформу со своим процессором, оперативной памятью, целым рядом сетевых интерфейсов, ПЗУ, где хранится операционная система-Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T8, RELEASE SOFTWARE (fc3), которая при включении загружается в оперативную память и там стартует. Можно привести некоторую аналогию с материнской платой персонального компьютера и встроенной программой BIOS. Различают два режима программирования маршрутизатора Cisco 1811: 1. Режим командной строки. Используется порт “console”, на задней панели маршрутизатора, кабель USB Serial adapter (COM) или кабель Serial DB-9 (COM), программа Hyper Terminal из состава Windows XP/2003, раздел Accessories, Communications. Используя данный кабель, соедините порт “console” маршрутизатора с портом COM1 компьютера, если на компьютере нет порта COM1, а только порты USB, то следует использовать кабель USB Serial adapter (COM), подключая данный кабель к портам “console” - маршрутизатора и USB на ПК. Войдите в программу Hyper Terminal и включите питание маршрутизатора Cisco 1811/k9, на экране появиться следующие сообщение: Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T8, RELEASE SOFTWARE (fc3), Technical Support: http://www.cisco.com/techsupport . Copyright (c) 1986-2007 by Cisco Systems, Inc.Compiled Wed 25-Jul-07 14:51 by khuie, ROM: System Bootstrap, Version 12.3(8r)YH8, RELEASE SOFTWARE и приглашение к работе. Данный режим настройки требует определённых навыков в работе, знание операционной системы Cisco IOS, команд данной системы и пр. Предназначен для системных администраторов и инсталляторов, мы его рассматривать не будем. 2. Настройка маршрутизатора Cisco 1811 с помощью Cisco Security Device Manager (SDM) – web-утилиты для настройки маршрутизаторов Cisco. и соблюдением условий изложенных в разделе 2, пункт 4. Поддерживаются операционные системы Windows XP Home Edition Russian OEM или Windows 2003 R2. 2.1. Соедините кабелем, витая пара Patch-cord, RJ45 кат. 5е, 3 м, сетевую карту Ethernet Вашего компьютера с портом №2, встроенного 8-портового коммутатора Cisco 1811. 2.2. Щёлкните правой клавишей мыши по значку “Local Area Connection”, “Status”, далее в статусной форме выберите “Properties”. Далее “ Internet Protocol (TCP/IP), “Use the following IP address”. 2.3. Задайте Вашему компьютеру следующий IP-адрес: 10.10.10.2, маска 255.255.255.248, для первоначальной загрузки используется статический метод задания IPадреса., щёлкните ОК. 2.4 Включите питание на маршрутизаторе Cisco 1811. Наберите в браузере адрес https://10.10.10.1/ - адрес аппаратного сайта маршрутизатора , где расположена утилита Cisco SDM Express, данный адрес поставляется компанией изготовителем устройства (Cisco) и является стартовым, в дальнейшем пользователь заменяет его на адрес своей Интранет сети, согласно адресному плану. Далее устройство запрашивает имя и пароль. Имя пользователя –cisco, пароль –cisco. А дальнейшем пользователь заменяет данные реквизиты на свои. Перед Вами появиться следующая картина:cu 5 Рис. 3. Окно Cisco SDM Express Щёлкните “Next”. Cisco Security Device Manager (SDM) – это web-утилита для настройки маршрутизаторов Cisco. SDM предназначена для использования с широким спектром маршрутизаторов Cisco, начиная с серии 800 и заканчивая серией 7301. SDM предустановленна на каждый маршрутизатор Cisco с интеграцией сервисов. SDM обеспечивает графический инструмент для безопасной настройки маршрутизатора, который удобно использовать для конфигурирования сетей филиалов и автономных офисов. SDM поддерживает конфигурации LAN/WAN, VPN и межсетевых экранов в рамках программной среды Cisco IOS. Кроме того, SDM выполняет функции аудита системы безопасности, применяемые для проверки конфигурации маршрутизатора, и предлагает варианты повышения уровня защиты в соответствии с рекомендациями ICSA Labs и Cisco Technical Assistance Center. SDM предлагает простой и экономичный способ управления всеми функциями безопасности, имеющимися в маршрутизаторах доступа Cisco, и настройки маршрутизатора без необходимости поддержки сторонней организацией. Более подробно об Cisco Security Device Manager (SDM) читайте в папке LabslibCisco. 6 Рис. 4. Окно регистрация имени маршрутизатора, системного администратора и паролей Регистрация имени маршрутизатора, системного администратора и паролей выполняется следующим образом. Ведите, например: Имя пользователя: Lab66 Пароль: Лаб66212 (на анг. регистре русскими буквами). Введите секретный пароль для командной строки (CLI), Лаб66212 (на анг. регистре русскими буквами). Нажмите “NEXT” 7 Введите начальный адрес Вашей Интранет сети: 192.168.0.1 это будет IP- адрес ядра маршрутизатора. Нажмите “NEXT” Маска: 255.255.255.0 - 8 3. Настройка DHCP- сервера. Автоматическое распределение адресного пространства осуществляется встроенным в маршрутизатор, аппаратным DHCP-сервером. Необходимо указать стартовый IP-адрес, в нашем случаи это будет адрес маршрутизатора Lab66-192.168.0.1 и конечный адрес адресного пространства - 192.168.0.254. Это означает, что в нашей Интранет сети может быть до 254 компьютеров. Данная опция крайне важна также, если в сети имеется беспроводная точка. При подключении к сети мобильных компьютеров они будут получать IP- адрес автоматически. Адресация DNS –серверов. Введите следующие адреса DNS –серверов: 195.208.174.7 195.208.160.7 Данные сервера служат для преобразования имён веб-сайтов, в IP-адреса веб-сети. Адреса DNS –серверов приведены из состава сети ИКЦ ТПУ для наглядности, но могут быть и другими, если вы создадите собственный DNS –сервер. Нажмите “NEXT”. 4. Назначение IP-адреса WAN- интерфейса маршрутизатора Cisco 1811. Данный порт, это один из двух портов Ethernet 10/100, предназначенных для связи нашего маршрутизатора с внешним миром. Розетки данных портов находятся на задней панели Cisco 1811 и имеют обозначение “fe1” и fe2”. Вы можете выбрать для связи с маршрутизатором провайдера любой их этих двух портов. Как правило, IP-адреса для этих портов назначаются статическими, то есть Вы сами заносите 9 адрес в адресное окно. Для получения IP-адреса WAN- интерфейса данного маршрутизатора Вам необходимо проделать следующие действия: Считать аппаратный (МАС) адрес Cisco 1811 используя, действия, изложенные, а пункте 5.1. Записать почитанный МАС- адрес и предъявить его администратору провайдера. Администратор провайдера запишет полученный МАС- адрес в базу данных адресов и присвоит данному МАС- адресу IP-адрес всемирной паутины, из адресного пула выданного ему администрацией Рунета. Данный пункт, в схему лабораторной работы не входит и служит для сведения. В нашем случае это будет: IP fe0- 195.208.174.243, маска подсети- 255.255.255.128 Нажмите “ОК” 5. Занесение IP-адреса шлюза. Адрес шлюза по умолчанию – это адрес интерфейса маршрутизатора провайдера, который обеспечивает выход в Интернет данного предприятия. В нашем случаи мы используем адрес шлюза ИКЦ ТПУ для наглядности. Если пакет предназначен не для внутреннего использования то он будет направлен по данному адресу, через WAN- интерфейс нашего маршрутизатора. Нажмите “NEXT” 10 6. Назначение портов ввода-вывода для аппаратного сервера – маршрутизатора. Укажите тип сервера –“Otcher” Оригинальный порт -310 Транслирующий порт -320 Нажмите “ОК” 11 7. Следующий пункт касается установки защитного экрана (Firewall) между Вашей внутренней сетью и Интернетом. Поставьте точку в меню предлагающее установить Firewall и нажмите «Next», будет установлен защитный экран, с функциями предлагаемые фирмой изготовителем, по умолчанию. Cisco IOS Firewall Feature Set – эта функциональность реализует в маршрутизаторе межсетевой экран, с учетом состояния соединений, осуществляющий мониторинг данных на прикладном уровне (Context-Based Access Control, CBAC). Проводится мониторинг протоколов HTTP (блокирование Java), SMTP, FTP, TFTP, а также SIP, SCCP (Skinny), H.323, RTSP, RealAudio и других мультимедийных приложений. Маршрутизаторы Cisco ISR также имеют функциональность прозрачного межсетевого экрана (работающего на Уровне 2) и поддерживают протокол IPv6. Система предотвращения вторжений (Cisco IOS IPS) – функциональность, проводящая анализ проходящего через маршрутизатор трафика на предмет обнаружения сетевых атак. В случае выявления подозрительной активности Cisco IPS блокирует атаку еще до того, как она достигла защищаемой сети, и отправляет предупредительное сообщение на управляющую консоль. Шифрование данных – используя аппаратные средства, интегрированные на системную плату маршрутизатора, маршрутизаторы Cisco ISR осуществляют высокоскоростное (до нескольких T3/E3) шифрование данных по стандартам DES, 3DES и AES для поддержки виртуальных частных сетей (VPN). Также возможна установка в 12 маршрутизаторы дополнительных модулей для обеспечения еще больших скоростей шифрования данных. Контроль доступа к сети (Network Admission Control, NAC) – эта функциональность позволяет контролировать соответствие подключающихся к сети хостов политике безопасности компании. С помощью программного обеспечения Cisco Trust Agent (CTA), установленного на персональных компьютерах и серверах, производится сбор сведений об установленном на них программном обеспечении (операционной системе, антивирусном ПО и т. д.). . На основе этой информации с помощью сервера контроля доступа Cisco Secure ACS принимается соответствующее решение, например о разрешении хосту доступа в сеть или блокировании его, наложении ограничений доступа и т. п. Фильтрация URL – маршрутизаторы Cisco с интеграцией сервисов позволяют производить фильтрацию запрашиваемых пользователями URL. Эту функциональность можно использовать, например, в том случае, когда компания хочет ограничить доступ своих сотрудников к webсайтам, не связанным с их должностными обязанностями. Это позволяет предотвратить расход служебного времени и сетевых ресурсов на посещение сотрудниками совершенно необязательных сайтов. 8. Следующим шагом будет установка данных менеджера безопасности. Cisco предлагает Вам меню, с уже отмеченными функциями безопасности. Вы можете исключить некоторые пункты, но это требует от Вас более глубоких знаний. Мы рекомендуем Вам оставить все отмеченные функции. Нажмите «Next». Cisco Security Device Manager (SDM) version 1.0. Менеджер безопасности Cisco SDM, предназначенный для маршрутизаторов доступа от младшей модели Cisco 830 до старшей модели Cisco 3700, дает возможность графического управления программными средствами безопасности Cisco IOS-. Он предоставляет пользователям интерактивные шаблоны (wizards) для настройки межсетевых экранов и услуг IPSec VPN. Кроме того, Cisco SDM позволяет изолировать маршрутизаторы через графический интерфейс пользователя и поддерживает 13 новаторские функции аудита безопасности, которые включают проверку конфигурации маршрутизаторов и выдачу рекомендаций по ее изменению на основе общепринятых спецификаций ICSA Labs. Итоговая конфигурация. Финиш. Первая часть лабораторной работы закончена конфигурация и основные настройки маршрутизатора. – установлена базовая 14 Вторая часть лабораторной работы. Щёлкните мышкой по кнопке «Cisco SDM” в левом углу Cisco SDM Express.Вы войдёте в утилиту “Cisco Router and Security Device Manager”. Далее щёлкните мышкой по кнопке “Configure”, появится следующая страница. 15 9. Выбор и редактирование интерфейсов. Выделите один из двух интерфейсов FastEthernet1 который будет исполнять функции Wan-интерфейса и далее щёлкните либо кнопку “Add”,если интерфейс ещё не выбран, либо “Edit” если интерфейс выбран. Далее настройте выбранный интерфейс. 16 10. Настройка интерфейса Wan. 1. Проверти правильно ли выбран Static IP address и IP адрес 195.208.174.243 ,маска 255.255.255.128, выданных администратором Вашего провайдера. Заполнение сведений об интерфейсе было проделано в предыдущих пунктах, либо Вы можете редактировать. 2. Нажмите последовательно все остальные кнопки и проверьте сведения, более подробно о данной операции прочтете, нажав пиктограмму? Help. 3. Немного подробнее о протоколе NAT, Cisco SDM Express уже установил протокол на выходном интерфейсе “outside”, как видно при нажатии NAT Протокол NAT Большинство современных маршрутизаторов поддерживают протокол NAT (Network Address Translation), базирующийся на сеансовом уровне и, по сути, представляющий собой протокол трансляции сетевых адресов. NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP -адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети. 17 Протокол NAT решает две главные задачи: помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров; обеспечивает безопасность внутренней сети — компьютеры локальной сети, защищенные маршрутизатором с активированным NAT -протоколом (устройством NAT), становятся недоступными из внешней сети. Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности. Принцип работы протокола NAT достаточно прост. Когда клиент внутренней сети устанавливает связь с сервером внешней сети, открывается сокет, определяемый IP -адресом источника, портом источника, IP -адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, то IP -адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP -адрес сервера и порт сервера. Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IPадрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT . Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IPадрес и порт. Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP -адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP -адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP -адрес и внешний порт в полях назначения пакета на IP -адрес и внутренний порт клиента внутренней сети. Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается. 4. Последовательно просмотрите все разделы главного меню слева и если это необходимо отредактируйте нужные Вам настройки. Для консультаций используйте,? Help и рекомендованную литературу. 5. Последним пунктом будет сохранение созданной Вами конфигурации в виде текстового файла на компьютере. Используйте пункт меню Additional Task, далее “Config Editor” и Save to PC. Это поможет Вам если Вы не закончите работу за отведённое время загрузить данный файл конфигурации и продолжить отладку. Для проверки Ваших действий, в процессе работы используйте для тестирования интерфейсов Wan кнопки “Test connection”и “Ping” из программы “cmd”- командная строка Windows. 6. Конечным тестом проверки созданной Вами конфигурации маршрутизатора Cisco 1811 служит выход из любого компьютера Вашей Интранет сети в Интернет. 18