FrameRelay топологиялары 2 страница

және компьютерлерге:

Router1 жіне Router2-ге RIP-ті конфигурациялаймыз.

Router(config)# router rip

Router(config-router)# network 1.0.0.0

Барлық құрылғылар интерфейсі бір-бірімен пингтелуі керек.

6.1. Желі-желі қолжетімділік тізімі.

PC4 және PC5 компьютерлерінің локальді желісінен PC1 компьютерінің локальді желісіне трафиктің өтуіне рұқсат беретін және PC2 және PC3 компьютерлерінің локальді желісінен PC1 компьютерінің локальді желісіне трафиктің өтуіне тыйым салатын тізім құрайық. Трафик router2-ден router1-ге келетіндіктен, тізімді router 1-дің serial2/0 интерфейсіне кіріс трафик үшін орналастыру керек.

Router1(conf)# access-list 100 permit ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1(conf)# access-list 100 permit ip 1.1.2.0 0.0.0.255 any log

Бірінші команда берілген тапсырманы орындайды, ал екінші команда RIP протоколының широковещаниесіне рұқсат береді. Құрылған тізімді тексерелік:

Router1# showaccess-list

Интерфейске қолжетімділік тізімін қолданайық.

Router1(conf)# interface Serial2/0

Router1(conf-if)# ip access-group 100 in

Қолжетімділік тізімін тексеру үшін PC2, PC3, PC4 және PC5-тен PC1-ге пинк жасап көрейік.

PC# Ping 1.1.3.2

PC2 және PC3 үшін пингтер жүрмейді. PC4 и PC5 үшін пингтер жүреді. Қолжетімділік тізімі жұмыс жасайды. Router1-дегі логтарды көріңіз.

6.2. Хост-хост қолжетімділік тізімі.

Router2-де PC2-ден PC5-ге қолжетімділікті шектейтін қолжетімділік тізімін құрайық. Router2-де логтары бойынша қолжетімділік мүмкіндіктерін бақылауға болады..

Router2(conf)# access-list 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 log

Router2(conf)# access-list 101 permit ip any any

Жасалған тізімді тексерелік.

Router2# show access-list

Router2-нің fast Ethernet интерфейсіне қолжетімділік тізімін қолданайық.

Router2(conf)# interface FastEthernet0/0

Router2(conf-if)# ip access-group 101 in

PC2-ге қосылып, PC5-ке пинг жасай алмайтындығыңызды тексеріңіз.

PC2# Ping 1.1.1.3

Router2-де лог пайда болады.

PC3-ке қосылып, PC5-ке пинг жасай алатындығыңызды тексеріңіз.

PC3# Ping 1.1.1.3

Router2-де лог пайда болады.

6.3. Желі-хост қолжетімділік тізімі.

Router1 және Router2 интерфейстеріндегі бастапқы тізімдерді өшіреміз.

Router1(conf)# interface Serial2/0

Router1(conf-if)# no ip access-group 100 in

және

Router2(conf)# interface FastEthernet0/0

Router2(conf-if)# no ip access-group 101 in

PC2 және PC3 компьютерлерінің локальді желіден PC1 компьютеріне баратын барлық трафиктерді шектейтін кеңейтілген қолжетімділік тізімін құрамыз. Барлық трафикті шектейтін болғандықтан IP протоколын қолданатын боламыз.

Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log

Router2(conf)#access-list 102 permit ip any any

Жасалған тізімді тексереміз.

Router2# show access-list

Router2-нің Serial2/0 интерфейсінің шығыс трафигіне тізімді қолданамыз.

Router2(conf)# interface Serial2/0

Router2(conf-if)# ip access-group 102 out

Тізімді тексері үшін PC2 және PC3-тен PC1 (1.1.3.2)-ге пинг жаса көріңіз. Пингтер жүрмейді. Симулятор Router2 консолына лог бермейді. Бірақ сіз эффектті былай көре аласыз.

Көріп тұрғаныңыздай, әрбіз сәтсіз пинг сайын табылған (matches) пакеттер саны көбеюде.

Бақылау сұрақтары.

1. ACL деген не?

2. Қандай адрес пакетке рұқсат беру/тыйым салу критерийі болып табылады?

3. ACL қай жерде қолданылады?

4. ACL элементін қалай беру керек және и инверсті маска деген не?

5. ACL элементтерін роутер қалай өңдейді?

6. Қандай элемент ACL-де болады?

7. Интерфейске ACL-ді қалай қолдану керек және алып тастау керек?

8. Кіріс ACL мен шығыс ACL-дің айырмашылығы неде?

9. Желінің қай жеріне ACL-ді орнатқан дұрыс?

10.ACL-дің құрамын және интерфейске тіркелуін қандай үш командамен білуге?

11. Кеңейтілген ACL нені фильтрлейді?

12. Стандартты ACL-дерге қарағанда кеңейтілген ACL-дің қандай қосымша функциялары бар?

13. Кеңейтілген ACL-ді қолдана отырып, белгілі бір TCP/IP қызметінің трафигіне шектеу қоюға бола ма?

14. Ат берілген ACL-ді құру процессін сипаттап беріңіз.

15. Сандық ACL-де белгілі бір жолды қалай баптау керек?

16. Ат берілген ACL-де белгілі бір жолды қалай баптау керек?

17. Сандық және ат берілген ACL-ге элементтерді енгізу командаларының форматының айырмашылығы қандай?

Жұмысты жасау және тапсыру тәртібі.

1. теориялық және практикалық бөлімді оқу.

2. Оқытушыға териялық бөлімді бақылау сұрақтарына жауап беру арқылы тапсыру.

3. Практической бөлімнің үш пунктін қатарынан орындау. 1-кестеге, кейін 2-кестеге қарап, қолжетімділікті тексеру.

4. Оқытушыға желінің 1-кестедегі қолжетімділік матрицасын қанағаттандыратындығын көрсету.

5. Оқытушыға желінің 2-кестедегі қолжетімділік матрицасын қанағаттандыратындығын көрсету.

6. PacketTracer бағдарламасында өздік жұмысты орындаңыз.

7. Өз нұсқаңызға байланысты өзіңіздің қолжетімділік матрицасын құрып, оқытушыға желінің осы матрицаны қанағаттандыратындығын көрсетіңіз.

8. Отчетті жасаңыз. Оның мазмұнын төменде көріңіз.

9. Отчетті қорғаңыз.

Өздік жұмыс тапсырмалары.

1. Практикалық бөлімдегі үшінші пунктте жасалған 2- қолжетімділік тізімін вариантқа байланысты қолданыңыз.

2. Мына командалардың орындалуының скриншотын жасаңыз:

router1# showaccess-list

және

router1# show running-config

3. Қолжетімділік матрицасын құрыңыз.

4. 4-суреттегі топология және таблицада көрсетілген өз вариантыңыз үшін практикалық бөлімдегі 6-пункттін үш подпунктін орындаңыз.

Практикалық бөлімнің алтыншы пунктінде жасалған скринтшоттарды жасаңыз.

Отчет мазмұны.

Отчѐт электронды түрде жасалып, шығарылады. Отчѐт мазмұны.

1. Практикалық бөлімдегі топология скринтшоттары.

2. Практикалық бөлімді орындау барысындағы барлық скринтшоттар.

3. Практикалық бөлімді орындау барысындағы барлық маршрутизаторлардың конфигурациясы (.txt файл конфигурацияларындағы).

4. Өздік жұмыстың 1-пунктін орындау барысындағы барлық маршрутизаторлардың конфигурациясы (.txt файл конфигурацияларындағы).

5. Өздік жұмыстың 3-пунктін дегі қолжетімділік матрицасы.

6. Өздік жұмыстың 4-пунктін орындау барысындағы барлық маршрутизаторлардың конфигурациясы (.txt файл конфигурацияларындағы).

Өздік жұмысында жасалған барлық скриншоттар.

№ 8 лабораториялық жұмыс. NAT желі адрестерінің қайта құру.

Теориялық бөлім.

Network address translation (NAT - перенос сетевых адресов) IP адресацияны жеңілдету және қысқарту үшін арналған. NAT сыртқы әлемге IP адресацияның ішкі құрылымын басқа жағынан көруге мүмкіндік береді.Бұл ғаламтордың өз ішінде глобальді уникалды IP адресациясыз қосылуға мүмкіндік береді.Бұл ғаламторға корпоративтік ішкі IP желісі мен ішкі IP адрестары (intranet) арқылы кіруге мүмкіндік береді,олар глобалді бірегей емес болғандықтан Ғаламторға бағыталмайды. NAT тағы да Ғаламтордағы шекараларды бөліктерге бөлу үшін қолданылады.

Әлемдік бірлестік Ғаламторға мына диапазондарда адрестер бөлген

Class A: 10.0.0.0-10.255.255.255

Class B: 172.16.0.0-172.16.255.255

Class C: 192.168.1-192.168.255.255

NAT ішкі кеңістіктегі IP адрестерді сыртқы кеңістіктегі IP адрестерге ауыстырады. NAT intranet-тен пакеттер қабылдағаннан кейін дерекнама адресін өзгертіп, ондағы бақылау сомасын санап оны Ғаламторға жібереді.

NAT адрестерді жаңғыртып және бейнелеп бір аймақтан басқа аймаққа жібереді.Ол түссіз баудан -бауға бағытталуды қамтамасыз етеді. NAT-та адрестерді трансляциялаудың бірнеше тәсілі бар, олар әрқайсысы жағдайға қарай қолданылады.

Cisco NAT-тың intranet баулары мен ғаламтордың бастапқы және соңғы жаңғыртулар үшін спецификалық терминология қолданады.

Ішкі (inside) адрес.Адрес кәсіпорындарда қолданылады.Әртүрлі кәсіпорындарда бірдей ішкі адрестер бола алады.

Сыртқы (outside) адрес.Кәсіорын сыртында белгіленген адрес.Кәсіпорының сыртқы адресі осы кәсіпорының ішкі адресімен сәйкес келе алады.

Глобальді адрес.Бұл ғаламтор арқылы өте заңды тіркелген IP адрес.

Жергілікті адрес. Intranet ішінде қолданылатын IP адрес.Бұл адрестер ғаламторды қимайды және олар жергілікті болып саналады.

Ішкі жергілікті адрес (insidelocal).Кәсіпорындарда қолданылатын, ғаламторда қиылмайтын адрес түрі.

Ішкі глобальді адрес (insideglobal).Кәсіпорындарда қолданылатын, ғаламтор адресі болып табылатын адрес түрі.

Сыртқы глобальді адрес (outsideglobal).Кәсіпорындарда белгіленген сыртқы ақпаратты өткізетін және ғаламтор адресі болып табылатын адрес түрі.

Симулятор әрқашанда сыртқы жергілікті адрестің (OutsideLocal),сыртқы глобальді адреске (outsideglobal) тең екенің көрсетеді.

Интерфейс атынан жіберілген пакеттер сыртқы NAT хосты арқылы глобальді адресті бірнеше адреске өзгертеді. Қабылдағанкезінде NAT ондағы қабылдағыштың (адрес внешнего интерфейса локального маршрутизатора) глобальді адресін нитерфейстағы ішкі хост адресіне ауыстырады.Бұндай ауыструлар үшін маршрутизатор әдейі өзгерту кестесін қолданады, ол кесте әрқашан жаңартылап отырады.Өзгертулердің үш әдісі бар: статикалық, динамикалық және қайта жүктеу (overload). NAT-тағы статикалық әдісте көмекке IOS командаса келеді,ол мынандай жұп (ішкі_ адрес-глобальді_адрес) құрады.Диманикалық өзгертуде глобальді адресті белгілі пулдың сыртқы адресінен алады.Қайта жүктеу әдісі кезінде барлық өзгертуге келтірілген ішкі адрестер, маршрутизатор интерфейсінің сытрқы адресінің бірігуіне әкеледі.

NAT-ты конфигурациялау кезінде маршрутизаторға сыртқы және ішкі желі арқылы мына команданы орындаттыру керек: ipnatinside | outside. Бұл командалар интерфейс қабатын немесе interface командасын анықтайды. Қосымша командалар NAT қолданылуына байланысты. NAT-та статикалық тапсырма,динамикалық тапсырма немесе қайта жүктеу командасының пулының сыртқы адресіне байланысты анықталады.Ереже бойынша өзгеретін сыртқы трафика ACL бақылау тізімін беру керек. ACL өзінше NAT-та өзгерту енгізе алмайды.

Қайта жүктеу әдісінде қосымша тоқтайық, бұл әдісті басқа атпен PAT(Port Address Translation - преобразование адресов с помощью портов)деп те атайды. PAT бірнеше ішкі хостарға бір глобальді адрес қолдануға рұқсат береді. PAT жұмыс істеуінің бір нұсқасы болып жүйелік түрде жүретін бос TCP және UDP порттары.

NAT қызметі М маршрутизаторында X ішкі глобальді адреспен орналасқан. П ішкі жергілікті адрес Yi және Pi портардан сытрқы G және p портарында бар. Пакет М маршрутизаторы арқылы өтеді. NAT Yi портын P сыртқы хостың портына жұп X:Pinew ретінде өзгертеді, Pinew- кезекті бос порт нөмірі. (Yi:Pi,X: Pinew, G:p) жолағы М маршрутизаторының NAT кестесіне енгізіледі.Жауап пакеті қабылдағыш алаңында X, ал қабылдағыш алаңында – Pinew деп белгіленеді.Адрес алаңында: G:p порты болады.М маршрутизаторы X, Pinew, G, p мағыналары бойынша NAT кестесінде (Yi:Pi,X: Pinew, G:p) енгізеді, қабылдағыш адрес пакетін X -тан Yi-ға,ал порт адресін Pinew-дан Pi-ға ауыстырады.Жауап пакеті керек Yi адресіне керек Pi портымен келеді. Pinew порты тізімге бос порт ретінде қайта оралады.

NAT процессі ішкі адрестерге мөлдір болып көрінеді. Yi ішкі адресті хост сыртқы әлемге жіберілген пакетті маршрутизаторда NAT арқылы жіберілген және қабылданған кезде өзгертілгенін қабылдағыш порт білмей қалады.Ішкі хостқа әрқашанда сыртқы әлемге шығуға мүмкіндік беріледі.

Практикалық бөлім.

1. Симуляторға суретте берілген топологияны кіргізіңіз.

Конфигурацияны құрыңыз.

G1 -ге OSPF бағытын берейік

G1(config)# router ospf 1

G1(config- router)# network 10.10.1.0 0.0.0.255 area 0

G1(config- router)# network 175.10.1.0 0.0.0.255 area 0

На L1

L1 (config)# router ospf 1

L1 (config- router)# network 10.10.1.0 0.0.0.255 area 0

Для G2

G2 (config)# router ospf 1

G2(config- router)# network 175.10.1.0 0.0.0.255 area 0

G2 телнетке G2 паролімен кіруге рұқсат берейік.

G2 (config)# linevty 0 4

G2 (config-line)# login

G2 (config-line)# password G2

Тораптың жұмыс істеуін ping командасы арқылы тексерейік.Telnet- қосылысын L1 (10.10.1.2)-ден G2 тексерейік.

L1# telnet 175.10.1.2

Password: G2

G2> show users

Телнеттен шығу үшін:ctrl+shift+6 сосын x басамыз.Сессия телнетін жабу үшін disconnect на L1 мен G2.

G1 маршрутизаторында NAT/PAT түзетулерін енгізу керек.Үш әдісті адрестер ауыстыруын ұйымдастыру керек: желілік адрестердің статикалық,динамикалық және қайта жүктеу. Ethernet 10.10.1.0/24 желісі intranet-тің ішкі желісі деп санаймыз, ол сыртқы әлеммен G1 арқыла, дәлірек қарайтын болсақ 175.10.1.0/24 кезекті интерфейс желісімен орнатылады.

1.1 G1 маршрутизаторында NAT статикалық ауыстыруын орындайық. Ішкі жергілікті Ethernet-адресін L1 10.10.1.2 маршрутизаторының жаңа ішкі глобальді 169.10.1.2 адресіне ауыстыру.

G1(config)#ip nat inside source static 10.10.1.2 169.10.1.2

Желіні орнатайық fastEthernet0/0 ішкі интерфейс

G1(config)#interface fa0/0

G1(config-if)# ip nat inside

Желіні орнатайық serial2/0

сыртқы интерфейс G1(config-if)#interface s2/0

G1(config-if#ip nat outside

Түйінің кестеге кіргізіңіз

маршрутизаторда G1# showipnattranslations

L1-ден G2-ге Telnet қосылысын тексеріңіз. Telnet-тен G2-ге showusers командасын кіргізу.Ауыстырылған IP-адрес 169.10.1.2. көрулерін керек.

L1# telnet

175.10.1.2

Password: G2

G2>showusers

169.10.1.2 орнына Serial2/0 G1 интерфейсты қолдануға болды.

175.10.1.1

G1(config)# no ip nat inside source static 10.10.1.2 169.10.1.2

G1(config)# ip nat inside source static 10.10.1.2 175.10.1.1

L1# telnet 175.10.1.2

Password: G2

G2> show users

1.2 G1 маршрутизаторында алдыңдағы NAT статикалық ауыстыруын өшіріңіз.

G1(config)# no ip nat inside source static 10.10.1.2 175.10.1.1

NAT-ты Ethernet-адресі бойынша L1 маршрутизаторына динамикалық ауыстыру жасаңыз.

169.10.1.50 - 169.10.1.100 диапазонында адрестер қолданайық.Пул адресі: pool1

G1(config)# ipnatpoolpool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0

NAT өзгертуіне тізімдегі 1 пул адресі pool1

G1(config)# ip nat inside source list 1 pool pool1

Ішкі адрестер үшін тізімдегі 1-ші адресті түзетіп тексереміз,олар өзгертіледі

G1(config)# access-list 1 permit 10.10.1.0 0.0.0.255

^Z

G1# Showaccess-list

showrunning-config командасы арқылы G1 маршрутизаторын команданы қалай түсінгенің тексереміз.Нәтижелер ішінде болу керек:

Ауыстыруды тексеріңіз, L1 маршрутизаторынан G2-ге Telnet қосылысын орнатып. G2 Telnet-ке кіргенде showusers командасын енгізіңіз.Сіз ауыстырылған 169.10.1.50. IP адресін көруіңіз керек.

L1# telnet 175.10.1.2

Password: G2

G2> show users

NAT пулдан ең бірінші бос адресін алды 169.10.1.50.

G1. маршрутизаторында show ip nat translations командасын енгізіңіз.

1.3 G1 маршрутизаторында алдыңдағы NAT динамикалық ауыстыруын өшіріп, қайта жүктеу ауыстыруын орындаңыз. Ethernet-адреса

маршрутизатор L1-ден (10.10.1.2) интерфейс serial2/0 (175.10.1.1) G1 маршрутизаторына.

G1(config)# no ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0

G1(config)# no nat inside source list 1 pool pool1

G1(config)# ip nat inside source list 1 interface s2/0 overload

showrunning-config командасы арқылы G1 маршрутизаторын команданы қалай түсінгенің тексереміз.Нәтижелер ішінде болу керек:

Ауыстыруды тексеріңіз, L1 маршрутизаторынан G2-ге Telnet қосылысын орнатып. G2 Telnet-ке кіргенде showusers командасын енгізіңіз.Сіз ауыстырылған 175.10.1.2 IP адресін көруіңіз керек.

L1# telnet 175.10.1.2

Password: G2

G2> show users

G1 маршрутизаторына NAT ауыстыру тізімін енгізіңіз.

G1#show ip nat translations

2.Топология құрастырыңыз. Маршрутизатор L1, L2, G1 және G2 -805, LG және G –1605 моделдерімен.

Кестеге байланысты адрестер беріңіз. Маскалар барлығы үшін 255.255.255.0

OSPF маршрутизациясын орнатайық.

LG(config)# router ospf 1

LG(config-router)# network 1.1.1.0 0.0.0.255 area 10

LG(config-router)# network 10.1.1.0 0.0.0.255 area 10

LG(config-router)# network 10.1.2.0 0.0.0.255 area 10

G(config)# router ospf 1

G(config-router)# network 1.1.1.0 0.0.0.255 area 10

G(config-router)# network 1.1.2.0 0.0.0.255 area 10

G(config-router)# network 1.1.3.0 0.0.0.255 area 10

L1(config)# router ospf 1

L1(config-router)# network 10.1.1.0 0.0.0.255 area 10

L2(config)# router ospf 1

L2(config-router)# network 10.1.2.0 0.0.0.255 area 10

G1(config)# router ospf 1

G1(config-router)# network 1.1.2.0 0.0.0.255 area 10

G2(config)# router ospf 1

G2(config-router)# network 1.1.3.0 0.0.0.255 area 10

телнет G1 және G2 рұқсат берейік:

G1(config)# line vty 0 4

G1(config-line)# login

G1(config-line)# password G1

G2(config)# line vty 0 4

G2(config-line)# login

G2(config-line)# password G2

Тексеріңіз: телнетке L1-ден G1, L1- ден G2, L2 -ден G1, L2 -ден G2 сұраныс жасаңыз.

Міндетті түрде барлық телнет сессияларын disconnect 1 командасымен өшіріңіз.Барлығы 8 команда қолданылады.Әр құрылғыға екіден: L1, L2, G1 және G2.

Роутерде LG желісіне 10.1.1.0/24 және 10.1.2.0/24 ішкі деп, ал

1.1.1.0/24 желісін сыртқы деп белгілеңіз.

LG(config)# interface s2/0

LG(config-if)# ip nat outside

LG(config-if)# interface fa0/0

LG(config-if)# ip nat inside

LG(config-if)# interface fa1/0

LG(config-if)# ip nat inside

Ethernet ішкі екі адрестердің қолжетімділік адрестер тізімін құрайық

LG(config)# access-list 2 permit 10.1.0.0 0.0.255.255

PAT ауыстыруын осы екі глобальді ішкі адреске жіберейік.

1.1.1.1 интерфейса Serial2/0

LG(config)# ip nat inside source list 2 interface s2/0 overload

Тексеріңіз: Телнетпен L1-ден G1-ге кіріңіз.

L1# telnet 1.1.2.2

Password: G1

G1> showusers

Телнет сессиясынан Ctrl-shift-6 сосын x командасын басып шығыңыз.

Дата добавления: 2017-02-01; Просмотров: 71; Нарушение авторских прав?; Мы поможем в написании вашей работы!