Skip to content

lan 1

В данном цикле статей, я расскажу как настроить сеть на оборудовании  в средней организации.

Давайте рассмотрим пример, у нас средняя компания, человек на 100-500. Что нам нужно?

Настроить маршрутизаторы и коммутаторы, VLAN, разделить сети, настроить туннель VPN между филиалами, DHCP, ACL, NAT, подключиться к ISP провайдеру, изолировать некоторые сети (DMZ), маршрутизацию (Static, OSPF, ERGRP), агрегацию каналов (Etherchannel).

Придерживаться мы будем следующего плана ip адресов:

Адресация Gateway VLAN Назначение Регион
10.10.1.0/24 10.10.1.1 101 Workstations MSK
10.10.2.0/24 10.10.2.1 102 IP Phones MSK
10.10.3.0/24 10.10.3.1 103 Servers MSK
10.10.4.0/24 10.10.4.1 104 Printers MSK
10.10.9.0/24 10.10.9.1 109 Management all
Адресация Gateway VLAN Назначение Регион
10.11.1.0/24 10.11.1.1 201 Workstations DC
10.11.2.0/24 10.11.2.1 202 IP Telephony DC
10.11.3.0/24 10.11.3.1 203 Servers DC
10.11.4.0/24 10.11.4.1 204 DMZ DC
Адресация Gateway VLAN Назначение Регион
10.12.1.0/24 10.12.1.1 301 Workstations YAR
10.12.2.0/24 10.12.2.1 302 IP Phones YAR
10.12.3.0/24 10.12.3.1 303 Servers YAR
10.12.4.0/24 10.12.4.1 304 Printers YAR
Адресация Gateway VLAN Назначение Регион
10.10.10.0/24 GRE Tunnel MSK-DC-YAR
192.168.12.0/24 192.168.12.1 400 WIFI ALL
Сеть провайдера ISP
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24
172.16.5.0/24
172.16.5.0/24
172.16.7.0/24
172.16.8.0/24
172.16.9.0/24
172.16.10.0/24

В данной статье мы рассмотрим:

1) Базовую настройку маршрутизатора

2) Настройку SSH

3) Настройку доступов

4) Настройку VLAN

5) Настройку VTP

Итак, начнем. Тренироваться мы будем в эмуляторе GNS3 , будем использовать образы IOS c3725-adventerprisek9-mz124-15, c7200-advipservicesk9-mz.152-4.S5 , c2691-entservicesk9-mz.124-13b.

Добавим маршрутизатор c3725, это будет ядром нашей сети в Москве.

Подключаемся к консоли и назначаем hostname

Готово, как видите теперь наш маршрутизатор имеет нормальное название.

Теперь настроим доступы

Создадим новую модель

Создадим пользователя

Установим Enable пароль

Теперь настроим SSH

Назначаем имя локального домена

Создаем RSA ключ

Включаем шифрование паролей

Конфигурируем виртуальный терминал

Указываем соединение по умолчанию — SSH

Устанавливаем SSH таймаут в 60 минут

Теперь 2 раза вводим exit и сохраняем настройки

Теперь мы можем подключаться к нашему устройству по SSH, пользователем admin.

Теперь настроим VLAN.

Переходим в режим конфигурации (команда conf t)

И настраиваем первый VLAN -101

 

Готово! Наш первый Vlan создан.

Теперь создадим остальные VLAN из таблицы

Готово, vlan для московского офиса добавлены.

Список vlan можно посмотреть командой

или

Теперь настроим интерфейсы VLAN

Для этого переходим в режим конфигурации

Выбираем интерфейс нашего vlan

Настраиваем ip адрес, этот адрес будет шлюзом сети этого vlan

Поднимем интерфейс

Выйдем из режима конфигурации порта

Настраиваем остальные vlan

Теперь адреса шлюзов виртуальных сетей настроены.

Просмотреть настройки интерфейса можно командой

Сохраняем конфигурацию

Теперь виртуальные сети на нашем ядре настроены, очередь vtp.

VTP будет использоваться для автоматической загрузки VLAN на другие коммутаторы.

Начнем!

Переводим ядро в режим сервера

Устанавливаем домен

Устанавливаем пароль

Готово.

Статус VTP можно посмотреть командой:

Теперь включим на ядре маршрутизацию, иначе наши VLAN пинговаться не будут.

Готово. Теперь самое время добавить клиентские коммутаторы.

Добавим в GNS3 свич 2691

Теперь соединим его с ядром. Тут есть один момент.

Чтобы наши VLAN проходили между устройствами, порт прохождения должен быть транковым.

Еще нам нужно настроить ip адрес нового клиентского свича, вот тут и кроется нюанс.

Мы не можем назначить ip адрес на транковый порт. Порт должен быть в режиме маршрутизации.

А настраивать такой порт нам нет смысла.

Поэтому предлагаю убить 2-х зайцев и сделать следующее:

1) настроить ip адрес устройства на vlan 109

2) настроить 2 порта как link aggregation (для отказоустойчивости и повышенной пропускной способности) и перевести их в режим транк.

3) Настроить Access порты для клиентских устройств.

Начнем!

Первое что вы должны настроить, это доступы, пользователей, SSH, hostname. После этого переходите к следующему шагу. Настраивайте по аналогии с ядром.

Начнем настройку

Настроим транковые порты

Выбираем порты

Включаем на портах link aggregation

Настраиваем режим инкапсуляции порта

Переключаем порт в режим транк

Включаем порт

Готово.

Делаем параллельную настройку  link aggregation на ядре и соединяем порты ядра и свича.

Теперь настроим VTP клиент на клиентском свиче

В данном примере я покажу как это сделать в старых версиях IOS и новых.

В старых:

В новых:

Еще один момент. В GNS3 может корректно не заработать VTP если на интерфейсах не выполнить команды

Желательно предварительно выполнить эти команды на всех портах.

Теперь посмотрим создались ли VLAN на клиентском свиче

 

 

 

Как видите VLAN создались

Теперь настроим ip адрес устройства в vlan 109

Теперь у нашего устройства есть адрес.

Теперь настроим порты под клиентские устройства

Готово, клиентские порты настроены, можно подключать устройства.

По аналогии настроим еще один клиентский свич sw-climsk02

Теперь подключим клиентские устройства в свичи.

Если запустить ping с ПК из VLAN 101 на коммутаторе sw-climsk01 на ПК из VLAN 103 на коммутаторе sw-climsk02, пинг пройдет корректно.

В итоге мы должны получить следующую схему:

Подведем итоги.

Мы настроили доступы, SSH, Vlan для наших сетей, VTP для передачи настроек VLAN между маршрутизаторами и коммутаторами, шлюзы, link aggregation, и порты.

В следующей статье мы рассмотрим настройку DHCP на устройствах Cisco, правила ACL, и многое другое.

 

В данной статье мы продолжим настройку нашей сети. В этом выпуске мы настроим: DHCP, ACL и добавим сеть WIFI.Начнем с добавления DHCP.

Открываем консоль нашего ядра, и вводим:

Создадим DHCP pool для Vlan 101

Теперь укажем сеть

Укажем шлюз

Теперь укажем какие адреса не нужно раздавать клиентам, в нашем случае это адрес шлюза

Настраиваем другие DHCP пулы по аналогии

Готово, теперь настройте компьютеры на автоматическое получение адресов.

Как видите компьютеры получили адреса из своей сети.

Если вы используете свой DHCP сервер, то на шлюзе нужно указать IP Helper

Делается это так:

Где 10.10.3.55, это адрес вашего DHCP сервера.

Теперь добавим сеть WIFI.

Условие такое, сеть должна быть изолирована, никто кроме клиентов WIFI не должен ее видеть.

Добавляем новый VLAN на ядре

Настроим шлюз

Теперь добавим коммутатор для WIFI.

Настройте на нем portchannel, VTP ,  и назначьте все клиентские порты на vlan 400

Теперь нам нужно изолировать сеть WIFI.

Данную сеть должны видеть только клиенты сети 192.168.12.0

Для этого на coremsk создадим правило ACL , разрешить сеть 192.168.12.0

Примечание. Так создаются extended правила, в них можно разрешать не только хосты но и типы трафика и многое другое

Вот пример создания стандартного ACL правила:

Добавим описание

Добавляем разрешающее правило для DHCP, его трафик было бы тоже неплохо разрешить

Добавим разрешающее правило для сети

Обратите внимание, в правиле мы используем обратную маску подсети, тут можно почитать что это такое.

Просмотреть созданные ACL правила можно командой

Теперь применим правило на VLAN 400

Теперь создадим DHCP pool

Теперь подключим клиентов wifi сети

Как видите пинги между wifi клиентами идут.

Если сделать пинг между клиентом vlan 101 и клиентом wifi пинг идти не будет.

Теперь наша сеть выглядит вот так:

 

В следующей статье мы настроем подключение к ISP провайдеру, рассмотрим настройку динамической маршрутизации и многое другое.

 

Настройка сети в организации. Часть 3

Дата: 27.01.2015 Автор Admin

В данной статье мы рассмотрим подключение к ISP провайдеру и динамическую маршрутизацию.

Итак, добавим отдельную сеть ISP провайдера.

добавим 4-е маршрутизатора и соединим их вместе.

Будем использовать следующие адреса:

172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24
172.16.5.0/24
172.16.5.0/24
172.16.7.0/24
172.16.8.0/24
172.16.9.0/24
172.16.10.0/24
172.16.11.0/24

Перейдем к настройке назначим адреса первому роутеру.

Настраиваем 2-й интерфейс.

Далее настраиваем интерфейсы на всех маршрутизаторах чтобы получилось как на рисунке:

С роутера ISP-R1 должны идти пинги на 172.16.2.56 и 172.16.1.56.

На другие сети 172.16.3.0 и 172.16.4.0 пинг идти не будет.

Исправим эту ситуацию с помощью динамической маршрутизации, поможет нам протокол  OSPF.

Первое, что нам нужно сделать — запустить процесс OSPF маршрутизаторе.

Далее указываем сети которые наш роутер будет анонсировать.

 

Проводим аналогичные настройки на всех маршрутизаторах.

Обратите внимание что для каждого роутера указываются свои сети. Также обратите внимание что в сети мы указываем обратную маску.

В процессе настройки вы будете видеть следующую надпись:

Это означает что роутер загрузил настройки (информацию о маршрутизируемых сетях)  с роутера соседа.

Теперь когда вы настроили OSPF на всех роутерах запустите пинг с ISP-R3 на адрес 172.16.2.56.

Как видите пинг идет.

Просмотреть все маршруты можно командой:

Теперь маршрутизаторы анонсируют друг другу известные им сети.

На основе динамических маршрутов роутеры строят пути прохождения пакетов.

Также роутеры проверяют доступность друг друга, если кто-то из них умрет маршрут уже  пойдет по другому пути, через доступный роутер.

Теперь добавим в нашу схему еще один сегмент ISP сети.

Добавим еще 4 роутера и настроим сеть как показано на рисунке.

Теперь мы настроим протокол динамической маршрутизации EIGRP.

Настройка практически идентична OSPF

Такую настройку нужно произвести на каждом роутере.

Соответственно анонсированные сети на роутерах будут разные.

В процессе настройки будут появляться сообщения:

Теперь можно проверить пинг.

Все работает корректно.

Теперь рассмотрим как соединить 2-е наши сети.

Рассмотрим как соединить OSPF и EIGRP.

Соединяем сети и настраиваем интерфейсы как на рисунке.

Настроим маршрутизацию со стороны EIGRP на роутере ISP-R7.

Теперь из OSPF в EIGRP на роутере ISP-R2.

Теперь проверим пинг с ISP-R3 на ISP-R6.

Как видите все работает. Теперь у нас работает динамическая маршрутизация  между OSPF и EIRGP.

Теперь самое время добавить нашей компании интернет.

Добавим нашей компании маршрутизатор.

Настроим следующую схему подключений:

Подключим его к ядру.

Настроим адрес на ядре.

Настроим адрес на маршрутизаторе.

Настроим внешний ip адрес.

Теперь настроим адрес на стороне ISP и добавим сеть в анонс.

Готово. Теперь настроим NAT для нашей сети.

Переходим на gw-msk01.

Настраиваем ACL лист с внутренней сетью.

Теперь назначим NAT интерфейс внутрь сети.

И наружу.

Теперь включаем PAT и склеиваем его с нашим созданным ACL.

Опция overload включает PAT, позволяя выпускать в интернет более чем 1 ip адрес.

Теперь настраиваем default route на ядре и роутере.

Теперь настроим маршруты с gw-msk01 во внутреннюю сеть.

Теперь запустим пинг с клиентского компьютера «наружу»

Все работает.

Для проверки запустим пинг с ISP-R3 на клиентский компьютер.

Как видите, все настроено правильно, пинг не идет.

Теперь в нашей сети появился интернет.

В следующей статье мы добавим нашей компании дата центр, построим GRE туннель, перенесем vtp сервер, добавим DMZ сеть, и рассмотрим статические маршруты.

 

 

Настройка сети в организации. Часть 4

Дата: 30.01.2015 Автор Admin

В этой части статьи мы рассмотрим создание GRE туннеля между офисом нашей компании и дата центром. Создадим инфраструктуру нашего оборудования в ДЦ, перенесем VTP сервер, добавим DMZ сеть и пропишем статические маршруты.Начнем мы с того что добавим новые устройства в нашу топологию, а именно:

gw-dc01 — маршрутизатор

coredc — ядро в сети ДЦ

sw-dcsrv01 — коммутатор для серверов

sw-dcdmz01 — коммутатор для DMZ сети

Должна получится следующая схема:

Теперь настроим наш маршрутизатор

Настройте hostname, пользователей, SSH.

Теперь настроим интерфейсы и подключимся к ISP

Интерфейс во внутреннюю сеть

Интерфейс к ISP

Не забываем про маршруты

На самом роутере ISP тоже пропишем адрес и добавим адрес в топологию EIGRP

Проверяем, пинг до Isp должен проходить.

Теперь настроим NAT для будущих сетей.

Теперь время настроить GRE туннель между офисом и ДЦ

Проверим пинг между внешними адресами

Пинг есть. Отлично.

Начнем настройку туннеля.

Туннель настраивается с 2-х сторон. Начнем с DC

Создаем интерфейс туннеля

Задаем IP адрес туннеля

Указываем выходной интерфейс

Указываем принимающий IP

Теперь настроим шифрование IPsec

Создаем политику

Указываем алгоритм шафрования

Указываем аутентификацию по предварительному ключу

Указываем pre-shared key для проверки подлинности соседа

Далее мы указываем параметры для обработки трафика.

Теперь создаём карту шифрования:

Указываем адрес соседа IPsec

Создаем ACL для нашего туннеля

Назначаем карту шифрования на интерфейс

Со стороны DC все готово. Проведем симметричную настройку со стороны офиса.

Проверяем пинг между маршрутизаторами в туннеле.

Все работает. Туннель настроен

Теперь настроим маршруты между нашими сетями.

Из DC в Office

Из Office в DC

Проверяем пинг из DC

Все работает.

Перейдем к настройке ядра.

Настройте на нем пользователей, SSH, hostname

Настроим интерфейсы

Включим маршрутизацию.

Пропишем Default route

Настроим VTP сервер для DC

Объясню почему мы поднимаем отдельный VTP сервер.

Дело в том что vtp работает только по транковым портам, а в нашем случае взять транковый порт неоткуда. Поэтому создаем сервер и заполняем VLAN вручную.

И так добавляем все известные VLAN

Настроим шлюзы для VLAN

Теперь настроим DMZ сеть.

Создадим ACL правило

Применим правило.

Готово. Теперь настроим клиентские коммутаторы.

Настройте коммутатор sw-dcsrv01 на использование VTP  и настройте Access порты на VLAN 203

Настройте коммутатор sw-dcdmz01 на использование VTP  и настройте Access порты на VLAN 400

В итоге у Вас должна получиться такая схема сети:

Дата центр

Общая схема сети

Подведем итоги.

Мы добавили нашей компании датацентр, построили GRE туннель между офисом и датацентром, зашифровали трафик внутри, а также настроили сетевую инфраструктуру нашей стойки в дата центре.

Теперь на основе полученных знаний Вы можете добавить еще один регион, построить в нем сетевую инфраструктуру, и построить GRE туннель.

 

 

 

Published inVLAN
Яндекс.Метрика