Розробка логічної структури корпоративної комп’ютерної мережі

Размещено на http://www.allbest.ru/

Зміст

Вступ

1. Огляд сучасних технологій побудови комп'ютерних мереж

1.1 Трирівнева ієрархічна модель мережі

1.2 Використання комутаторів третього рівня

1.3 Віртуальні локальні мережі

1.4 Характеристика протоколу динамічної маршрутизації OSPF

1.5 Характеристика протоколу динамічної маршрутизації EIGRP

1.6 Трансляція мережевих адрес

1.7 Технологія frame relay

2. Проектування корпоративної мережі

2.1 Проектування мережі центрального офісу (СO)

2.2 Проектування мережі віддаленого офісу (RO1)

2.3 Проектування мережі віддаленого офісу (RO2)

2.4 Об'єднання підмереж CO, RO1, RO2

2.5 Налаштування загальнодоступної частини мережі та обмеження доступу до неї

2.6 Тестування розробленої мережі

Висновок

Література

Додаток



Вступ

Сучасній людині важко уявити собі життя без різних засобів зв'язку. Пошта, телефон, радіо та інші комунікації перетворили людство в єдиний “живий” організм, змусивши його обробляти величезний потік інформації. Підручним засобом для обробки інформації став комп'ютер.

Однак масове використання окремих, не взаємозв'язаних комп'ютерів породжує ряд серйозних проблем: як зберігати використовувану інформацію, як зробити її загальнодоступною, як обмінюватися цією інформацією з іншими користувачами, як спільно використовувати дорогі ресурси (диски, принтери, сканери, модеми) декільком користувачам. Рішенням цих проблем є об'єднання комп'ютерів у єдину комунікаційну систему - комп'ютерну мережу.

Передача інформації між комп'ютерами відбувається за допомогою електричних сигналів, які бувають цифровими та аналоговими. У комп'ютері використовуються цифрові сигнали у двійковому вигляді, а під час передачі інформації по мережі - аналогові (хвильові). Частота аналогового сигналу - це кількість виникнень хвилі у задану одиницю часу. Аналогові сигнали також використовуються модеми, які двійковий ноль перетворюють у сигнал низької частоти, а одиницю - високої частоти.

Комп'ютери підключаються до мережі через вузли комутації. Вузли комутації з'єднуються між собою канали зв'язку. Вузли комутації разом з каналами зв'язку утворюють середовище передачі даних. Комп'ютери, підключені до мережі, у літературі називають вузлами, абонентськими пунктами чи робочими станціями. Комп'ютери, що виконують функції керування мережею чи надають які-небудь мережеві послуги, називаються серверами. Комп'ютери, що користуються послугами серверів, називаються клієнтами [1].

Постановка задачі.

1) Розробити логічну структуру корпоративної комп'ютерної мережі.

2) Розрахувати адресний простір підмереж.

3) Створити конфігураційні файли для всіх мережних пристроїв.

4) Виконати моделювання мережі засобами емулятора роботи комп'ютерної мережі.



1. Огляд сучасних технологій побудови комп'ютерних мереж

Однією із суттєвих причин, які прискорили появу комп'ютерів, була потреба в розв'язуванні дуже широкого спектра задач. Між комп'ютерами, які розв'язували схожі завдання, досить часто виникали проблеми обміну даними. Як наслідок, з'явилася ідея об'єднати обчислювальні ресурси різних комп'ютерів, тобто ідея створення комп'ютерної мережі.

Комп'ютерна мережа -- сукупність пристроїв, з'єднаних каналами передавання даних, для спільного користування апаратними, програмними та інформаційними ресурсами під керуванням спеціального програмного забезпечення.

Вузол мережі -- пристрій, з'єднаний з іншими пристроями через мережу. Вузлами можуть бути комп'ютери, мобільні телефони, кишенькові комп'ютери та спеціальні мережні пристрої.

Призначенням комп'ютерних мереж є забезпечення:

* швидкого обміну даними між окремими комп'ютерами мережі;

* спільного використання комп'ютерних програм і даних;

* спільної роботи користувачів над проектами;

* віддаленого керування комп'ютерами;

* спільного доступу до периферійних пристроїв (принтерів, сканерів, зовнішньої пам'яті);

* спільного доступу до інформаційних ресурсів.

У комп'ютерній мережі комп'ютери можуть виконувати різні функції. Комп'ютер, який керує розподілом ресурсів мережі, називають сервером (від англ. server -- той, хто подає); комп'ютери, які користуються ресурсами мережі, називають клієнтами, або робочими станціями.

1.1 Трирівнева ієрархічна модель мережі

Ієрархічна модель мережі - трирівнева модель організації мережі компанії, вперше запропонована інженерами Cisco Systems, що включає в себе три логічних рівня (рис. 1.1): рівень доступу (access layer), рівень розподілу / агрегації (distribution layer), рівень ядра (core layer).

Рисунок 1.1 -- Трирівнева модель мережі

Для кожного рівня визначені свої функції. Три рівня не обов'язково передбачають наявність трьох різних пристроїв. Якщо провести аналогію з ієрархічною моделлю OSI, то в ній окремий протокол не завжди відповідає одному з семи рівнів. Іноді протокол відповідає більш ніж одного рівня моделі OSI, а іноді кілька протоколів реалізовані в рамках одного рівня. Так і при побудові ієрархічних мереж, на одному рівні може бути як кілька пристроїв, так і один пристрій, який виконує всі функції, визначені на двох сусідніх рівнях.

Рівень ядра знаходиться на самому верху ієрархії і відповідає за надійну і швидку передачу великих обсягів даних. Трафік, що передається через ядро, є загальним для більшості користувачів. Призначені для користувача дані обробляються на рівні розподілу, який, при необхідності, пересилає запити до ядра. Для рівня ядра велике значення має його відмовостійкість, оскільки збій на цьому рівні може призвести до втрати зв'язності між рівнями розподілу мережі.

Рівень розподілу, який іноді називають рівнем робочих груп, є сполучною ланкою між рівнями доступу та ядра. Залежно від способу реалізації рівень розподілу може виконувати наступні функції:

1) забезпечення маршрутизації, якості обслуговування та безпеки мережі;

2) агрегування каналів;

3) перехід від однієї технології до іншої (наприклад, від 100Base -TX до 1000Base-T).

Рівень доступу управляє доступом користувачів і робочих груп до ресурсів об'єднаної мережі. Основним завданням рівня доступу є створення точок входу / виходу користувачів в мережу. Рівень виконує наступні функції:

1) управління доступом користувачів і політиками мережі;

2) створення окремих доменів колізій (сегментація);

3) підключення робочих груп до рівня розподілу;

4) використання технології комутованих локальних мереж [2].

1.2 Використання комутаторів третього рівня

Комутатор третього рівня - це керований комутатор пакетів, який може здійснювати комутацію пакетів (кадрів) як на основі адрес третього (мережного) рівня (IP-адреса), так і на основі адрес другого (канального) рівня (МАС-адреса). Режим роботи комутатора третього рівня (комутація на другому рівні або маршрутизація на третьому) визначається конфігурацією його інтерфейсів, які можуть бути сконфігуровані як інтерфейси другого або третього рівня. При цьому інтерфейси третього рівня можуть бути як фізичними, так і віртуальними (реалізованими програмно). Застосування віртуальних інтерфейсів дозволяє забезпечити маршрутизацію пакетів між різними віртуальними мережами (VLAN) засобами самого комутатора третього рівня. Основним режимом роботи комутатора третього рівня є комбінований режим, коли частина його інтерфейсів сконфігурована як інтерфейси другого рівня, а інша частина - як інтерфейси третього рівня. Перевагою комутатора третього рівня у порівнянні з маршрутизатором є значно вища продуктивність, яка досягається, як правило, за рахунок апаратної реалізації функції комутації (маршрутизації) на основі спеціалізованих інтегральних мікросхем. Однак комутатор третього рівня може виконувати тільки базові функції маршрутизаторів, тому не є для них повноцінною заміною. Комутатори третього рівня застосовують на рівнях розподілу та/або ядра в ієрархічній моделі мережі. Хоча у ряді випадків можливо їх застосування і на рівні доступу. Відзначимо, що маршрутизатори на відміну від комутаторів третього рівня застосовуються, як правило, для забезпечення зв'язку із зовнішніми мережами, де на перший план виходить наявність необхідних функцій, а не гранично висока продуктивність пристрою. Робота комутатора третього рівня у режимі комутації на другому рівні, тобто коли всі інтерфейси комутатора сконфігуровано як інтерфейси другого рівня, нічим не відрізняється від роботи комутатора другого рівня з підтримкою технології віртуальних мереж VLAN [3].

1.3 Віртуальні локальні мережі

При потребі розділення комутованої мережі на частини, це можна здійснити або фізично, коли кожний сегмент має свій окремий комутатор, або логічно, шляхом створення віртуальних локальних мереж. Фізичний метод є дуже трудомістким при змінах логічної структури мережі (збільшення кількості користувачів, перехід їх в інший сегмент,розділення великих сегментів на частини). До того ж, при цьому існує досить висока ймовірність помилок. Логічний метод простіший і гнучкіший, він не потребує змін у фізичній структурі, а вимагає лише правильного налаштування комутаторів.

При створенні віртуальних локальних мереж на одному комутаторі може використовуватися метод групування на основі портів комутатора. Кожний порт (і всі комп'ютери, що підключені до нього) приписується до тієї чи іншої віртуальної мережі. Таке налаштування зазвичай не потребує від адміністратора великих зусиль.

Інший метод створення віртуальних локальних мереж - це групування на основі МАС-адрес. Цей метод більш складний і зазвичай не придатний для використання в мережах з великою кількістю вузлів.

Віртуальні локальні мережі (VLAN) - це окремі групи вузлів, трафік від яких на канальному рівні (тобто на основі адрес канального рівня) повністю ізольований від трафіку інших груп. Обмеження стосується також і широкомовного трафіку. В межах такої групи робота комутаторів здійснюється звичайним шляхом. Окремі комп'ютери можуть належати одночасно до кількох віртуальних локальних мереж. Так, приміром, можна налаштовувати сервери загального користування. Порти різних віртуальних мереж ніколи не з'єднуються між собою. У такому випадку зв'язок між мережами може здійснюватися лише через маршрутизатори або комутатори третього рівня.

Для створення аналогічної мережі без технології VLAN було б потрібно використати відповідну кількість окремих комутаторів, а для зміни логічної структури мережі довелося б також міняти її фізичну структуру.

При побудові мережі на двох чи більше комутаторах, вони з'єднуються між собою кабелем. Порти, через які здійснюється таке з'єднання, мають належати до відповідних віртуальних локальних мереж. Якщо для кожної з VLAN слід було б використовувати окремий порт, то кількість з'єднань і пар відповідних портів мала б дорівнювати загальній кількості VLAN. Очевидно, що таке рішення є незручним і неефективним. Такі ж самі проблеми виникають при з'єднанні віртуальних мереж через маршрутизатори: кожна віртуальна мережа потребувала б окремого порту маршрутизатора.

Для ефективного рішення описаної вище проблеми використовується технологія тегування пакетів. Комутатори з'єднують лише одним кабелем, але пакети помічають спеціальними мітками до якої віртуальної мережі вони належать. Ці мітки (додаткові заголовки розміром 4 байти) звуться Теги (Tag), а відповідні пакети, що мають такі мітки, тегованими (або поміченими). Зазвичай теги та відповідні технології використовуються лише при взаємодії між комутаторами. При з'єднанні з комп'ютерами теги зазвичай видаляються, тому в роботі комп'ютерів може нічого не змінюватися. Однак, деякі сучасні мережеві адаптери підтримують цю технологію і тому повністю сумісні навіть з поміченими (тегованими) портами комутаторів [4].

1.4 Характеристика протоколу динамічної маршрутизації OSPF

Протокол OSPF. Найбільш універсальний і гнучкий у налаштуванні протокол динамічної маршрутизації в корпоративних мережах на сьогоднішній день - відкритий протокол вибору першого найкоротшого шляху (Open Shortest Path First Protocol - OSPF) . Протокол споконвічно був орієнтований на роботу у великих мережах (до 65536 маршрутизаторів) зі складною топологією. Він заснований на алгоритмі стану каналів зв'язку і має високу стійкість до змін топології мережі і швидку збіжність. При виборі маршруту використовується метрика пропускної спроможності складових мережі (тобто передача даних здійснюється по найбільш швидкісним каналам зв'язку). Протокол може підтримувати різні вимоги IP-пакетів на якість обслуговування (пропускна здатність, затримка і надійність) за допомогою побудови окремої таблиці маршрутизації для різних показників.

До інших переваг протоколу відносяться можливість балансування навантаження між каналами з рівними метриками та засоби аутентифікації як зокрема і по шифрованому паролю. Нумерація пакетів виключає їх повторюваність і таким чином можливість повторної атаки. Відкритість протоколу визначає його підтримку практично всіма виробниками мережевого устаткування, реалізації в ПЗ під всі популярні ОС (наприклад, для Unix- подібних ОС - пакети Zebra, Quagga і ін), а також безпосередню інтеграцію в ряд ОС (наприклад, Windows2000 Server і вище, OpenBSD, Cisco IOS, Solaris 10 і т.д.).

До недоліків проколу слід віднести високу обчислювальну складність і, отже, високі вимоги, що пред'являються до ресурсів маршрутизатора. Складність OSPF зростає зі збільшенням розмірів мережі. Для збільшення масштабованості протоколу можливий поділ мережі на логічні області, з'єднані магістральною областю. Внутрішня топологічна інформація між областями не передається. Можлива деяка оптимізації за рахунок сумаризації мереж.

В якості перспективних функцій OSPF слід назвати підтримку протоколу Ipv6 і можливість вибору маршруту на підставі поточного коефіцієнта завантаженості каналів зв'язку (розширена версія OSPF отримала назву Constrained Shortest Path First - СSPF). Протокол сумісний з RIP.

1.5 Характеристика протоколу динамічної маршрутизації EIGRP

Протокол EIGRP. Протокол EIGRP компанії Cisco Systems представляє собою поліпшену версію протоколу IGRP. Протокол є гнучкий та заснований на алгоритмі поновлення Diffusing-Update Algorithm (DUAL). Він поєднує в собі кращі сторони дистанційно-векторних протоколів (простота алгоритму вибору оптимального маршруту) і протоколів стану каналів зв'язку (швидка збіжність і економія смуги пропускання мережі за рахунок повідомлень тільки про стан зв'язків та про їх зміни). Всі розсилки протоколу є мультикастними або індивідуальними. Таким чином, інформація розсилається тільки при змінах і тільки тим маршрутизаторам, яких вона стосується. З метою підвищення маштабуємості протоколу в нього додана підтримка масок підмереж змінної довжини і можливість об'єднання маршрутів. Маршрути діляться на внутрішні і зовнішні - отримані від інших протоколів маршрутизації або записані в таблиці статично. В останніх версіях EIGRP є додаткові засоби захисту. Крім того, в даний час для EIGRP розробляють засоби підтримки IPv6, так що цей протокол буде розвиватися надалі [5].

1.6 Трансляція мережевих адрес

NAT (Network Address Translation) - технологія трансляції мережевих адрес, тобто підміни адрес в заголовку IP-пакета або заміна порту в заголовках TCP / UDP. Іншими словами, пакет, проходячи через маршрутизатор, може поміняти свою адресу джерела і/або призначення.

Ця технологія використовується для забезпечення доступу з LAN, де найчастіше використовуються приватні IP-адреси, в Internet, де маршрутизируются тільки глобальні IP-адреси, а також для приховування топології мережі і створення деякого захисного бар'єру для проникнення всередину мережі .

NAT має певну класифікацію:

1. Static NAT - статичний NAT задає однозначну відповідність однієї адреси іншій. Іншими словами, при проходженні через маршрутизатор, адреса (а) змінюються на чітко вказану адресу, один-до-одного. Запис про таку трансляцію зберігається необмежено довго, поки він існує в конфігураційному файлі.

2. Dynamic NAT - при проходженні через маршрутизатор, нова адреса вибирається динамічно з деякого діапазону адрес, званого пулом (англ. Pool). Запис про трансляцію зберігається деякий час, щоб відповідні пакети могли бути доставлені адресату. Якщо протягом деякого часу трафік по цій трансляції відсутній, трансляція видаляється і адреса повертається в пул. Якщо потрібно створити трансляцію, а вільних адрес в пулі немає, то пакет відкидається. Іншими словами, добре б, щоб число внутрішніх адрес було ненабагато більше числа адрес в пулі, інакше висока ймовірність проблем з доступом назовні.

3. Dynamic NAT with overload або PAT. Працює майже також, як dynamic NAT, але при цьому відбувається трансляція багато-в-один, задіюючи при цьому можливості транспортного рівня.

1.7 Технологія frame relay

Зародження технології Frame Relay відноситься до кінця 80-х років. У цей час все більшого поширення почали отримувати надійні цифрові канали систем плезиохронної та синхронної цифрових ієрархій (PDH і SDH). Дані технології надавали надійний високошвидкісний канал з низьким рівнем перешкод і помилок.

Стек протоколів X.25, який існував до появи Frame Relay, включав в себе безліч систем перевірок на помилки і відновлення даних, оскільки використовувався в низькошвидкісних каналах з великим рівнем перешкод. Але з приходом технологій PDH і SDH якість зв'язку значно покращився і відпала необхідність у складній системі перевірок, яка була присутня в X.25. У підсумку на зміну даного стека протоколів прийшла технологія Frame Relay, яка володіла лише необхідним мінімумом для доставки інформації від відправника до одержувача. Також проривом даної технології було те, що вона надавала гарантовану пропускну здатність, чого не могли надати ранні технології.

Технологія Frame Relay використовує техніку віртуальних каналів на основі міток, що дозволяє знизити невизначеність в доставці даних одержувачу.

Для обміну даними між вузлами встановлюється віртуальний канал і робляться записи в таблицях маршрутизації всіх вузлів, через які будуть проходити дані. Встановлюється відповідність вхідних і вихідних міток, якими позначається канал на всьому шляху проходження даних. При цьому канали можуть бути як односпрямовані, так і двонаправлені.

Механізм проходження пакета по каналу наступний (рис.1.2). Якщо пакет необхідно передати від комп'ютера С1 до комп'ютери С4, то пакет позначається міткою 102 і передається на перший вузол, де по таблиці маршрутизації даний пакет позначає нової міткою 106 і передається на вихідний порт 3. Далі з цією міткою він потрапляє на другий комутатор і там отримує нову мітку 117, з якої потрапляє на комп'ютер С4.

Рисунок 1.2 -- Просування кадру в технології Frame Relay

Мітка віртуального каналу є локальною адресою цього каналу, формально мітка FR має назву DLCI (Data Link Connection Identifier - ідентифікатор з'єднання рівня каналу даних). Мітки віртуального каналу завжди повинні бути унікальні для кожного комутатора, і при цьому вони мають сенс тільки для конкретного комутатора, тобто вони не мають значення для інших комутаторів, а з'єднання між комутаторами повинні мати узгоджені за значенням мітки.

Однією з функцій даної технології є гарантія пропускної здатності, яка поділяється на декілька видів:

1. Узгоджена швидкість передачі даних (Committed Information Rate, CIR) - завжди гарантована пропускна здатність, нижче якої швидкість передачі не опускається.

2. Узгоджена величина пульсації (Committed Burst Size, Bс) - максимальна пропускна здатність, яку провайдер може дати, але не гарантує подібну швидкість передачі даних, оскільки це не вкладається в профіль CIR.

3. Додаткова величина пульсації (Excess Burst Size, Be) - максимальна кількість байтів, яку мережа буде намагатися передати понад установлене значення Bс за інтервал часу Т [6].



2. Проектування корпоративної мережі

2.1 Проектування мережі центрального офісу (СO)

Мережа центрального офісу (СO) має структуру, яка зображена на рисунку 2.1 та складається з різного мережевого обладнання такого як комутатори другого та третього рівнів, а токож маршрутизатор. Мережа поділяється на шість підмереж користувачів (Net 1 - Net 6) та дві підмережі з серверами Net 7 та Net 8.

Рисунок 2.1 -- Структура мережі CO

Зважаючи на те, що у цій мережі із обладнання в основному комутатори для розподілу доступу користувачів до ресурсів використано технологію віртуальний локальних мереж (VLAN). За допомогою неї можна реалізовувати підмережі на комутаторах, пристрої в цих підмережах будуть мати різні ІР-адреси, а трафік з однієї віртуальної мережі до іншої може потрапити через комутатори третього рівня. На комутаторах (D1-D2, C1) створено чотири користувальницьких VLAN з номерами 10, 20, 30, 40:

D1-22-CO(config)#vlan10

D1-22-CO(config-vlan)#ex

Конфігурація решти VLANів та всієї мережі центрального офісу наведено в додатку А.

Адресний простір кожного з VLANа визначено шляхом поділу адреси мережі 172.28.38.0/24 на чотири однакові підмережі (таб. 2.1). Мережі Net1-Net8 належать до певного VLAN згідно із завданням.

Таблиця 2.1 -- Розподіл ІР-адрес мережі між VLANами

VLAN	Префікс	Маска	Вид адреси	ІР-адреса
10	26	255.255.255.192	Адреса мережі	172.28.38.0
			Хости	172.28.38.1 -172.28.38.62
			Широкомовна	172.28.38.63
20	26	255.255.255.192	Адреса мережі	172.28.38.64
			Хости	172.28.38.65 - 172.28.38.126
			Широкомовна	172.28.38.127
30	26	255.255.255.192	Адреса мережі	172.28.38.128
			Хости	172.28.38.129 - 172.28.38.190
			Широкомовна	172.28.38.191
40	26	255.255.255.192	Адреса мережі	172.28.38.192
			Хости	172.28.38.193 -172.28.38.254
			Широкомовна	172.28.38.255

Оскільки комутатори працюють на канальному рівні моделі ISO/OSI, то ІР-адресу призначають за допомогою VLANів, а саме:

D1-22-CO(config)#interface vlan 10

D1-22-CO(config-if)#ip address 172.28.38.62 255.255.255.192

На інтерфейсах комутаторів другого рівня (А1-А5), що під'єднуються до кінцевих користувачів встановлюємо режим access та асоціюємо їх з відповідним VLANом:

А1-22-CO(config)#interface FastEthernet0/1

А1-22-CO(config-if)# switchport mode access

А1-22-CO(config-if)# switchport access vlan 40

А1-22-CO(config-if)# interface FastEthernet0/2

А1-22-CO(config-if)# switchport mode access

А1-22-CO(config-if)# switchport access vlan 30

В той же час, на інтерфейсах, що з'єднують між собою комутатори другого та третього рівнів встановлюємо режим trunk та дозволяємо проходження відповідних VLANів:

А1-22-CO(config)#interface FastEthernet0/5

А1-22-CO(config-if)# switchport mode trunk

А1-22-CO(config-if)# switchport trunk allowed vlan 30,40

Для підвищення продуктивності та надійності зв'язків між комутаторами використано технологію агрегування каналів, тобто декілька паралельних фізичних зв'язків між комутаторами утворюють один логічний канал. У роботі використано два способи агрегації портів: LACP (Link Aggregation Control Protocol) та PAgP (Port Aggregation Protocol). З одного боку агрегованих каналів налаштування на комутаторі виглядає наступним чином:

C1-22-CO(config)#interface range fa0/11-14

C1-22-CO(config-if-range)#channel-protocol PAgP

C1-22-CO(config-if-range)#channel-group 4 mode auto

D2-22-CO(config)#interface range fa0/6-7

D2-22-CO(config-if-range)#channel-protocol LACP

D2-22-CO(config-if-range)#channel-group 2 mode active

З іншого боку агрегованого каналу налаштування є аналогічним, але з невеликою відмінністю: для протоколу PAgP режим не auto, а desirable; а для протоколу LACP замість active - passive.

В подальшому такі канали налаштовуються як один. Для увімкнення режиму trunk на комутаторах третього рівня необхідно прописати наступні команди:

D2-22-CO(config)# interface port-channel 2

D2-22-CO(config-if)# switchport trunk encapsulation dot1q

D2-22-CO(config-if)# switchport mode trunk

Для активації режиму маршрутизації на комутаторах третього рівня необхідно використати таку команду:

D2-22-CO(config)# ip routing

У даній локальній мережі адреси хостам призначаються динамічно завдяки DHCP-сервісу, який налаштований на основі сервера Sr1-22-CO. Для налаштування такого сервісу необхідно відкрити конфігурування сервера та на вкладці Services обрати DHCP, увімкнути його перевівши перемикач на ON. Наступним кроком створити пул адрес для кожного VLANа, вказавши першу адресу з пулу, маску, маршрут за замовчуванням та максимальну кількість адрес у пулі (рис. 2.2).

Рисунок 2.2 -- Налаштування DHCP-сервісу

Маршрутами за замовчуванням для пулів VLANів вказані ІР-адреси, які призначені сабінтерфейсам маршрутизатора R1, який знаходиться найвище в ієрархічні структурі мережі CO:

R1(config)#interface fastEthernet 0/0.1

R1(config-subif)#encapsulation dot1Q 10

R1(config-subif)#ip address 172.28.38.59 255.255.255.192



2.2 Проектування мережі віддаленого офісу (RO1)

Мережа RO1 позиціонується як мережа віддаленого офісу (рисунку 2.3). Першим етапом налаштування даного сегменту мережі буде поділ адресного простору (192.168.11.0/24, 192.168.13.0/24, 192.168.15.0/24), для різних зон маршрутизації. Під час поділу використано маски змінної довжини аналогічно їх використання в мережі центрального офісу, що наведено в підрозділі 2.1.

Рисунок 2.3 -- Структура мережі RO1

Адреси хостам у мережі RO1 призначаються динамічно DHCP-сервісом, що налаштований на основі шлюзового роутера R4-22-RO1. Для цього першим кроком потрібно вилучити з пулу адрес, які можуть призначатися хостам, ті адреси, які є маршрутом за замовчуванням. Наступним кроком створюємо сам пул адрес та вказуємо адресу маршруту за замовчуванням. Прикладом налаштування будемо розглядати лише мережу 192.168.11.0/25:

R4-22-RO1(config)#ip dhcp excluded-address 192.168.11.126

R4-22-RO1(config)#ip dhcp pool POOL_192.168.11.0

R4-22-RO1(dhcp-config)# network 192.168.11.0 255.255.255.128

R4-22-RO1(dhcp-config)# default-router 192.168.11.126

Для отримання кінцевими користувачами IP-адреси динамічно необхідно відкрити комп'ютер та на вкладці Desktop обрати IP Configuration, де перевести перемикач на DHCP режим.

Головною метою підмережі віддаленого офісу є обмін даними всередині підмережі та з підмережею центрального офісу. Для досягнення ціє мети використовується OSPF протокол динамічної маршрутизації, що дає змогу розділити мережу на декілька зон [7].

Усі особливості налаштування OSPF протоколу будуть розглядатися на прикладі конфігурування шлюзового роутера R4. Решта налаштувань пристроїв підмережі віддаленого офісу наведено в додатку А. Тож першим кроком є виконання наступних команд:

R4-22-RO1(config)# router ospf 1

R4-22-RO1(config-router)#network 192.168.15.64 0.0.0.63 area 2

R4-22-RO1(config-router)#network 192.168.15.128 0.0.0.3 area 2

R4-22-RO1(config-router)#network 192.168.11.136 0.0.0.3 area 0

R4-22-RO1(config-router)#network 192.168.11.144 0.0.0.3 area 0

Для зменшення обсягів маршрутних таблиць слід на ABR (Area Border Router) налаштувати суммаризацію маршрутів:

R4-22-RO1(config)# router ospf 1

R4-22-RO1(config-router)# area 2 range 192.168.15.0 255.255.255.192

Наступним кроком необхідно захистити маршрутну інформацію за допомогою аутентифікації на маршрутизаторах. Для цього на кожному інтерфейсі кожного маршрутизатора задати ключ, та включити аутентифікацію на маршрутизаторі для певної зони:

R4-22-RO1(config)#interface Serial0/2/0

R4-22-RO1(config-if)#ip ospf message-digest-key 1 md5 cisco

R4-22-RO1(config)# router ospf 1

R4-22-RO1(config-router)# area 2 authentication message-digest

R4-22-RO1(config-router)# area 0 authentication message-digest

Останнім кроком налаштування підмережі став процес перерозподілу маршруту за замовчуванням, що активується наступною командою:

R4-22-RO1(config)#router ospf 1

R4-22-RO1(config-router)#default-information originate

2.3 Проектування мережі віддаленого офісу (RO2)

Загальна структура мережі вклячає в себе ще один віддалений офіс (RO2), що зображений на рисунку 2.4

Рисунок 2.4 -- Структура мережі RO2

Розподіл адресного простору та динамічне призначення адрес налаштовано аналогічно до конфігурування мережі RO1 (підрозділ 2.2). Основною відмінністю є використання EIGRP протоколу динамічної маршрутизації замість OSPF. Як і в попередньому випадку, прикладом з налаштування виступає шлюзовий роутер R4-22-RO2. Першим кроком є налаштування EIGRP протоколу, для чого прописуються усі маршрути з оберненою маскою, що є безпосередньо під'єднані до маршрутизатора:

R4-22-RO2(config)#router eigrp 1

R4-22-RO2(config-router)#network 172.29.43.132 0.0.0.3

R4-22-RO2(config-router)#network 172.29.43.140 0.0.0.3

R4-22-RO2(config-router)#network 10.11.36.128 0.0.0.3

R4-22-RO2(config-router)#network 10.11.36.0 0.0.0.63

Аналогічно і до протоколу OSPF, EIGRP має можливість суммаризувати маршрути, але реалізується це дещо по-іншому, адже налаштування відбуваються на інтерфейсах маршрутизатора, що виходять з зони сумаризації, а не у режимі конфігурування динамічної маршрутизації, як це було в OSPF:

R4-22-RO2(config)#interface Serial0/2/1

R4-22-RO2(config-if)#ip summary-address eigrp 1 10.11.36.0 255.255.255.0 5

Також на маршрутизаторі вмикається аутентифікація. Першим кроком створюється ланцюжок ключів та ключ:

R4-22-RO2(config)#key chain EIGRP_KEY

R4-22-RO2(config-keychain)#key 1

R4-22-RO2(config-keychain-key)# key-string cisco

Наступним кроком налаштовуємо аутентифікацію EIGRP за допомогою ланцюжка ключів і ключа (налаштовується на інтерфейсі в сторону EIGRP-сусіда):

R4-22-RO2(config)#interface Serial0/2/1

R4-22-RO2(config-if)#ip authentication mode eigrp 1 md5

R4-22-RO2(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY

Для перерозподілу маршруту за замовчуванням виконуємо команду:

R4-22-RO2(config)#router eigrp 1

R4-22-RO2(config-router)#redistribute static

2.4 Об'єднання підмереж CO, RO1, RO2

Об'єднання локальних мереж CO, RO1, RO2 здійснюється через шлюзові маршрутизатори, завдяки використоанню технології Frame Relay. Відповідно до завдання об'єднана мережа реалізує топологію Hub&Spoke. У ролі Hub виступає маршрутизатор центрального офісу, через який передається трафік з одного віддаленого офісу в інший, а також в мережу Internet та з неї. Для початку необхідно до обладнання, що емулює WAN технології, PT-Cloud під'єднати через послідовні інтерфейси шлюзові маршрутизатори об'єднуваних підмереж. Данним інтерфейсам призначити ІР-адреси, що входять в адресний простір мережі, увімкнути технологію Frame Relay, вказати відповідність між ІР-адресою інтерфейса та номером віртуального каналу, прописати статичні маршрути. Приклад налаштування проілюстровано маршрутизатором R1:

Рисунок 2.5 -- Налаштування Frame Relay

R1(config)#interface Serial0/1/0

R1(config-if)#ip address 172.29.45.2 255.255.255.0

R1(config-if)# encapsulation frame-relay

R1(config-if)# frame-relay map ip 172.29.45.1 201 broadcast

R1(config-if)# frame-relay map ip 172.29.45.3 203 broadcast

R1(config)#ip route 192.168.0.0 255.255.0.0 172.29.45.3

R1(config)#ip route 10.11.36.0 255.255.255.0 172.29.45.1

R1(config)#ip route 192.168.29.0 255.255.255.0 172.29.45.1

R1(config)#ip route 172.29.43.0 255.255.255.0 172.29.45.1

Відповідно такі ж налаштування прописані й на інших шлюзових маршрутизаторах (Додаток А).

На завершення в налаштуванні PT-Cloud на вкладці Config перейти в розділ Connections та обравши технологію Frame Relay, у вікні поставити у відповідність інтерфейси та номери віртуальних каналів (рисунок 2.5).

Для створення мінімального рівня захисту маршрутизаторів від несанкціонованого конфігурування можна сторити користувача та встановити пароль на привілейований режим та на консольне з'єднання:

R4-22-RO1(config)#enable secret cisco

R4-22-RO1(config)#username iryna secret cisco

R4-22-RO1(config)#line console 0

R4-22-RO1(config-line)#login local

R4-22-RO1(config-line)#exit

Також на шлюзових маршрутизаторах та на комутаорі С1 центрального офісу реалізована можливість отримання доступу до них за допомогою SSH:

R4-22-RO1(config)#ip domain-name test.dom

R4-22-RO1(config)#line vty 0 4

R4-22-RO1(config-line)#login local

R4-22-RO1(config-line)#transport input ssh

2.5 Налаштування загальнодоступної частини мережі та обмеження доступу до неї

Структура загальнодоступної частини мережі зображена на рисунку 2.6. Вона складається з двох частин: мережі з серверами та клієнтської мережі. В клієнтській мережі на роутері Router_ISP налаштовано протокол PPPoE (Point to Point Protocol over Ethernet) з аутентифікацією типу CHAP, головною метою якого є інкапсуляція PPP фрейму всередину Ethernet фрейму [8].



Рисунок 2.6 -- Структура загальнодоступної частини мережі

Перевагами використання PPPoE є можливість використовувати всі переваги PPP (аутентифікація, стиснення даних, контроль якості ліній), також використовуючи PPPoE зникає необхідність видавати ІР-адресу клієнту для підключення його до серверів, адже адресу отримують лише після узгодження PPP. Налаштування PPPoE на роутері виконується наступним чином:

Router_ISP(config)# ip local pool mypool 10.8.27.1 10.8.27.10

Router_ISP(config)#interface Virtual-Template1

Router_ISP(config-if)# peer default ip address pool mypool

Router_ISP(config-if)# ppp authentication chap

Router_ISP(config-if)# ip unnumbered FastEthernet0/1

Router_ISP(config)#bba-group pppoe global

Router_ISP(config-bba)# virtual-template 1

Router_ISP(config)# interface FastEthernet0/1

Router_ISP(config-if)# pppoe enable group global

Router_ISP(config)#username iryna secret iRyN@Sti

Для підключення кінцевим користувачем через протокол PPPoE необхідно зайти на комп'ютер та на вкладці Desktop обрати PPPoE Dialer, де ввести ім'я користувача та його пароль, натиснути кнопку Connect, після чого на екрані з'явиться відповідне вікно, що зображене на рисунку 2.7. А в результаті коректного з'єднання користувач отримує ІР-адресу з пулу з 32-им префіксом.

Рисунок 2.7 -- Результат з'єднання через РРРоЕ

Маршрутизація між загальнодоступною частиною мережі та частиною мережі, в якій знаходяться офіси реалізована статичними маршрутами за замовчуванням:

Router_ISP(config)# ip route 0.0.0.0 0.0.0.0 201.235.14.1

R1(config)# ip route 0.0.0.0 0.0.0.0 201.235.14.2

Що ж стосується обмеження доступу певного трафіку в мережу Internet то для цієї мети були створені списки керування доступу на маршрутизаторі R1. Відповідно до завдання FTP-трафік заборонений з центрального офісу СO, SMTP-трафік заборонений з віддаленого офісу RO1, HTTP-трафік заборонений з віддаленого офісу RO2:

R1#sh access-lists

Extended IP access list ACL

10 deny tcp 192.168.0.0 0.0.255.255 any eq smtp

20 deny tcp 10.11.36.0 0.0.0.255 any eq www

30 deny tcp 172.29.43.0 0.0.0.255 any eq www

40 deny tcp 192.168.29.0 0.0.0.255 any eq www

50 permit ip any any

Extended IP access list ACL_CO

10 deny tcp 172.28.38.0 0.0.0.255 any eq ftp

20 permit ip any any

На інтерфейсах, що підключені до офісій прописаний напрямок дії списку керування доступу:

R1(config)#int range fa0/0.1-fa0/0.4

R1(config-if-range)#ip access-group ACL_CO in

R1(config)#interface Serial0/1/0

R1(config-if)#ip access-group ACL in

Загальна структура всієї мережі наведена у додатку Б.

2.6 Тестування розробленої мережі

Рисунок 2.8 -- Налаштування Complex PDU

Тестування розробленої мережі відбувається за допомогою інструментів середовища Cisco Packet Tracer. Інструменти Add Simple PDU і Add Complex PDU призначені для емуляції відправки з подальшим відстеженням довільного пакету даних всередині проекту. Дана можливість сприяє кращому розумінню модельованих технологій. Для тестування переважно використовувався Simple PDU. Для тестування правильності налаштування списку контролю доступу використовувався Complex PDU (рис. 2.8).

Для ілюстрації правильного функціонування загальної об'єднаної мережі відправимо ping між комп'ютером, який знаходиться в центральному офісі та комп'ютером, який знаходиться в загальнодоступній частині мережі (рисунку 2.9) [9].

Рисунок 2.9 -- Результат виконання команди ping



Висновок

Під час виконання курсового проекту було розроблено корпоративну мережу, яка вміщує в собі три локальні мережі (CO, RO1, RO2) з'єднаних через глобальну мережу та під'єднану до загальнодоступної мережі Інтернет. Об'єднання мереж забезпечує авторизацію користувачів та захищений доступ співробітників організації до ресурсів, розташованим в різних офісах. Також об'єднання мереж підвищує ефективність і оперативність служби технічної підтримки за рахунок можливості віддаленого управління комп'ютерами, серверами та іншим обладнанням.

В мережі центрального офісу використано технологію віртуальних локальних мереж. Це дало можливість створити повністю ізольовані сегменти мережі шляхом логічного конфігурування комутаторів, не вдаючись до зміни фізичної структури.

При конфігуруванні віддалених офісів RO1 та RO2 створено мережі з використанням динамічної маршрутизації за допомогою протоколу OSPF та EIGRP, що вимагатиме меншого втручання адміністратора при додаванні або видаленні мережі, оскільки протоколи автоматично реагують на зміни топології. Нарощування мережі зазвичай не породжуватиме проблем, адже конфігурація динамічної маршрутизації менш схильна до помилок.

У результаті сформовано практичні навички проектування та конфігурування комп'ютерних мереж з різними типами топології, застосовуваними технологіями та видами маршрутизації, а саме розроблено логічну структуру корпоративної комп'ютерної мережі, розраховано адресний простір підмереж, створено конфігураційні файли для всіх мережевих пристроїв, а заключним етапом виконано моделювання мережі засобами емулятора роботи комп'ютерної мережі.

комутатор маршрутизація локальний мережа



Література

1. Комп'ютерні мережі / О. Д. Азаров, С. М. Захарченко, О. В. Кадук, М. М. Орлова, В. П. Тарасенко // Навчальний посібник. - Вінниця: ВНТУ, 2013./МОНУ (Лист №1/11 - 8260 від 15.05 2013 р.) - 500 с.

2. Захарченко С. М. Основи системного адміністрування комп'ютерних мереж на базі ОС Windows : [Навчальний посібник] / С. М. Захарченко, О. І. Суприган. - Вінниця: ВНТУ, 2008. - 100 с.

3. Комп'ютерні мережі : Навчальний посібник / В. Г. Хоменко, М. П. Павленко. - Донецьк : ЛАНДОН-ХХІ, 2011. - 316 с.

4. Уэнстром, М. Организация защиты сетей Cisco / М. Уэнстром ; [пер. с англ.]. - М. : Издательский дом «Вильямс», 2005. - 768 с.

5. Зайченко О. Ю. Комп'ютерні мережі / О. Ю. Зайченко, Ю. П. Зайченко. -- К. : Видавничий Дім «Слово», 2010. -- 520 с.

6. Олифер В. Г. Компьютерные сети / В. Г. Олифер, Н. А. Олифер. -- СПб. : Питер, 2006. -- 957 с.



Додаток

Конфігураційні файли пристроїв мережі

A1-22-CO#sh run

!

hostname A1-22-CO

!

interface FastEthernet0/1

switchport access vlan 40

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 30

switchport mode access

!

interface FastEthernet0/5

switchport trunk allowed vlan 30,40

switchport mode trunk

!

interface Vlan1

no ip address

shutdown

!

End

A2-22-CO#sh run

!

hostname A2-22-CO

!

interface Port-channel1

switchport trunk allowed vlan 20

switchport mode trunk

!

interface FastEthernet0/1

switchport access vlan 20

switchport mode access

!

interface FastEthernet0/2

switchport trunk allowed vlan 20

switchport mode trunk

interface FastEthernet0/3

switchport trunk allowed vlan 20

switchport mode trunk

channel-protocol pagp

channel-group 1 mode desirable

!

interface FastEthernet0/4

switchport trunk allowed vlan 20

switchport mode trunk

channel-protocol pagp

channel-group 1 mode desirable

!

End

A3-22-CO#sh run

!

hostname A3-22-CO

!

interface Port-channel3

switchport trunk allowed vlan 10,40

switchport mode trunk

!

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 40

switchport mode access

!

interface FastEthernet0/8

switchport trunk allowed vlan 10,40

switchport mode trunk

channel-protocol pagp

channel-group 3 mode desirable

!

interface FastEthernet0/9

switchport trunk allowed vlan 10,40

switchport mode trunk

channel-protocol pagp

channel-group 3 mode desirable

!

interface FastEthernet0/10

switchport trunk allowed vlan 10,40

switchport mode trunk

channel-protocol pagp

channel-group 3 mode desirable

!

End

A4-22-CO#sh run

hostname A4-22-CO

!

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/3

switchport trunk allowed vlan 10

switchport mode trunk

!

End

A5-22-CO#sh run

hostname A5-22-CO

!

interface Port-channel2

switchport trunk allowed vlan 20,30

switchport mode trunk

!

interface FastEthernet0/1

switchport access vlan 20

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 30

switchport mode access

!

interface FastEthernet0/5

switchport mode trunk

!

interface FastEthernet0/6

switchport trunk allowed vlan 20,30

switchport mode trunk

channel-protocol lacp

channel-group 2 mode passive

!

interface FastEthernet0/7

switchport trunk allowed vlan 20,30

switchport mode trunk

channel-protocol lacp

channel-group 2 mode passive

!

End

D1-22-CO#sh run

hostname D1-22-CO

!

ip routing

!

spanning-tree mode pvst

!

interface FastEthernet0/2

switchport trunk allowed vlan 20

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/3

switchport trunk allowed vlan 10

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/5

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Vlan10

mac-address 0040.0bc9.4901

ip address 172.28.38.62 255.255.255.192

!

interface Vlan20

mac-address 0040.0bc9.4902

ip address 172.28.38.126 255.255.255.192

!

interface Vlan30

mac-address 0040.0bc9.4903

ip address 172.28.38.190 255.255.255.192

!

interface Vlan40

mac-address 0040.0bc9.4904

ip address 172.28.38.254 255.255.255.192

!

End

D2-22-CO#sh run

hostname D2-22-CO

!

ip routing

!

spanning-tree mode pvst

spanning-tree vlan 1,10,20,30,40 priority 24576

!

interface Port-channel1

switchport trunk allowed vlan 20

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel2

switchport trunk allowed vlan 20,30

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel3

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel4

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/1

switchport trunk allowed vlan 10,20,30,40

!

interface FastEthernet0/3

switchport trunk allowed vlan 20

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 1 mode auto

!

interface FastEthernet0/4

switchport trunk allowed vlan 20

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 1 mode auto

!

interface FastEthernet0/5

switchport trunk allowed vlan 30,40

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/6

switchport trunk allowed vlan 20,30

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol lacp

channel-group 2 mode active

!

interface FastEthernet0/7

switchport trunk allowed vlan 20,30

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol lacp

channel-group 2 mode active

!

interface FastEthernet0/8

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 3 mode auto

!

interface FastEthernet0/9

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 3 mode auto

!

interface FastEthernet0/10

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 3 mode auto

!

interface FastEthernet0/11

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode desirable

!

interface FastEthernet0/12

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode desirable

!

interface FastEthernet0/13

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode desirable

!

interface FastEthernet0/14

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode desirable

!

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Vlan10

mac-address 000c.cfa5.b601

ip address 172.28.38.61 255.255.255.192

ip helper-address 172.28.38.66

!

interface Vlan20

mac-address 000c.cfa5.b602

ip address 172.28.38.125 255.255.255.192

ip helper-address 172.28.38.66

!

interface Vlan30

mac-address 000c.cfa5.b603

ip address 172.28.38.189 255.255.255.192

ip helper-address 172.28.38.66

!

interface Vlan40

mac-address 000c.cfa5.b604

ip address 172.28.38.253 255.255.255.192

ip helper-address 172.28.38.66

!

End

C1-22-CO#sh run

hostname C1-22-CO

!

enable password cisco

!

ip routing

!

username iryna password 0 cisco

!

ip domain-name test.dom

!

interface Port-channel4

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/1

switchport trunk allowed vlan 10,20,30,40

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface FastEthernet0/11

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode auto

!

interface FastEthernet0/12

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode auto

!

interface FastEthernet0/13

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode auto

!

interface FastEthernet0/14

switchport trunk encapsulation dot1q

switchport mode trunk

channel-protocol pagp

channel-group 4 mode auto

!

interface Vlan10

mac-address 000d.bd1c.3501

ip address 172.28.38.60 255.255.255.192

!

interface Vlan20

mac-address 000d.bd1c.3502

ip address 172.28.38.124 255.255.255.192

!

interface Vlan30

mac-address 000d.bd1c.3503

ip address 172.28.38.188 255.255.255.192

!

interface Vlan40

mac-address 000d.bd1c.3504

ip address 172.28.38.252 255.255.255.192

!

line vty 0 4

login local

transport input ssh

!

End

R1#sh run

!

hostname R1

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

username iryna secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

interface FastEthernet0/0.1

encapsulation dot1Q 10

ip address 172.28.38.59 255.255.255.192

ip helper-address 172.28.38.66

ip access-group ACL_CO in

ip nat inside

!

interface FastEthernet0/0.2

encapsulation dot1Q 20

ip address 172.28.38.123 255.255.255.192

ip helper-address 172.28.38.66

ip access-group ACL_CO in

ip nat inside

!

interface FastEthernet0/0.3

encapsulation dot1Q 30

ip address 172.28.38.187 255.255.255.192

ip helper-address 172.28.38.66

ip access-group ACL_CO in

ip nat inside

!

interface FastEthernet0/0.4

encapsulation dot1Q 40

ip address 172.28.38.251 255.255.255.192

ip helper-address 172.28.38.66

ip access-group ACL_CO in

ip nat inside

!

interface Serial0/1/0

ip address 172.29.45.2 255.255.255.0

encapsulation frame-relay

frame-relay map ip 172.29.45.1 201 broadcast

frame-relay map ip 172.29.45.3 203 broadcast

ip access-group ACL in

clock rate 2000000

!

interface Serial0/1/1

ip address 201.235.14.1 255.255.255.0

ip nat outside

clock rate 2000000

!

ip nat inside source list PAT interface Serial0/1/1 overload

ip nat inside source static 172.28.38.66 201.235.14.3

ip nat inside source static 172.28.38.130 201.235.14.4

ip classless

ip route 192.168.0.0 255.255.0.0 172.29.45.3

ip route 10.11.36.0 255.255.255.0 172.29.45.1

ip route 192.168.29.0 255.255.255.0 172.29.45.1

ip route 172.29.43.0 255.255.255.0 172.29.45.1

ip route 0.0.0.0 0.0.0.0 201.235.14.2

!

ip access-list standard PAT

permit 172.28.38.0 0.0.0.255

ip access-list extended ACL

deny tcp 192.168.0.0 0.0.255.255 any eq smtp

deny tcp 10.11.36.0 0.0.0.255 any eq www

deny tcp 172.29.43.0 0.0.0.255 any eq www

deny tcp 192.168.29.0 0.0.0.255 any eq www

permit ip any any

ip access-list extended ACL_CO

deny tcp 172.28.38.0 0.0.0.255 any eq ftp

permit ip any any

!

line con 0

login local

!

End

R1-22-RO1#sh run

hostname R1-22-RO1

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

username iryna secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

license udi pid CISCO2911/K9 sn FTX15248UPW-

!

interface GigabitEthernet0/0

ip address 192.168.13.62 255.255.255.192

ip helper-address 192.168.11.145

duplex auto

speed auto

!

interface Serial0/2/0

ip address 192.168.11.129 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

!

interface Serial0/2/1

ip address 192.168.11.133 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

!

interface Serial0/3/0

ip address 192.168.13.129 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000

!

router ospf 1

log-adjacency-changes

area 1 authentication message-digest

area 0 authentication message-digest

network 192.168.13.0 0.0.0.63 area 1

network 192.168.13.128 0.0.0.3 area 1

network 192.168.11.132 0.0.0.3 area 0

network 192.168.11.128 0.0.0.3 area 0

line con 0

login local

end

R2-22-RO1#sh run

!

hostname R2-22-RO1

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

username iryna secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

interface GigabitEthernet0/0

ip address 192.168.15.62 255.255.255.192

ip helper-address 192.168.15.130

duplex auto

speed auto

!

interface Serial0/3/0

ip address 192.168.15.129 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000

!

interface Serial0/3/1

ip address 192.168.11.130 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000

!

router ospf 1

log-adjacency-changes

area 2 range 192.168.15.0 255.255.255.0

area 2 authentication message-digest

area 0 authentication message-digest

network 192.168.15.128 0.0.0.3 area 2

network 192.168.15.0 0.0.0.63 area 2

network 192.168.11.128 0.0.0.3 area 0

!

line con 0

login local

!

End

R3-22-RO1#sh run

hostname R3-22-RO1

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

username iryna secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

interface GigabitEthernet0/0

ip address 192.168.13.126 255.255.255.192

ip helper-address 192.168.11.138

duplex auto

speed auto

!

interface Serial0/2/0

ip address 192.168.11.141 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000

!

interface Serial0/3/0

ip address 192.168.11.137 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000

!

interface Serial0/3/1

ip address 192.168.13.130 255.255.255.252

ip ospf message-digest-key 1 md5 cisco

!

router ospf 1

log-adjacency-changes

area 1 authentication message-digest

area 0 authentication message-digest

network 192.168.13.64 0.0.0.63 area 1

network 192.168.13.128 0.0.0.3 area 1

network 192.168.11.136 0.0.0.3 area 0

network 192.168.11.140 0.0.0.3 area 0

!

line con 0

login local

End

R4-22-RO1#sh run

hostname R4-22-RO1

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

ip dhcp excluded-address 192.168.13.62

ip dhcp excluded-address 192.168.13.126

ip dhcp excluded-address 192.168.11.126

ip dhcp excluded-address 192.168.15.126

ip dhcp excluded-address 192.168.15.62

!

ip dhcp pool POOL_192.168.13.0

network 192.168.13.0 255.255.255.192

default-router 192.168.13.62

ip dhcp pool POOL_192.168.13.64

network 192.168.13.64 255.255.255.192

default-router 192.168.13.126

ip dhcp pool POOL_192.168.15.64

network 192.168.15.64 255.255.255.192

default-router 192.168.15.126

ip dhcp pool POOL_192.168.15.0

network 192.168.15.0 255.255.255.192

default-router 192.168.15.62

ip dhcp pool POOL_192.168.11.0

network 192.168.11.0 255.255.255.128

default-router 192.168.11.126

!

username iryna secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

ip domain-name test.dom

!

interface GigabitEthernet0/0

ip address 192.168.15.126 255.255.255.192

ip helper-address 192.168.15.130

duplex auto

...