Организация защищенной сети Методические указания по проведению курсовой работы
..pdfФЕДЕРАЛЬНОЕ АГЕНСТВО СВЯЗИ Федеральное государственное бюджетное образовательное учреждение высшего образования «ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАТИКИ»
КАФЕДРА СЕТЕЙ И СИСТЕМ СВЯЗИ
М.В.Кузнецов, И.В.Ротенштейн
ОРГАНИЗАЦИЯ ЗАЩИЩЕННОЙ СЕТИ
Методические указания
по проведению курсовой работы по дисциплине «Сети и системы передачи информации»
Самара, ПГУТИ, 2020
1
УДК 004.7 / 621.391
М.В. Кузнецов, И.В. Ротенштейн Организация защищенной сети: Методические указания по проведению курсовой
работы/ Кузнецов М.В., Ротенштейн И.В. – Самара: ФГБОУ ВО ПГУТИ, ИУНЛ, 2020. 13с.
Методические указания по выполнению курсовой работы «Организация защищенной сети» для специальности:
10.03.01 – Информационная безопасность (бакалавриат), направление «Безопасность телекоммуникационных систем»
Курсовая работа посвящена проектированию и конфигурированию сетевых устройств распределенной составной сети с коммутацией пакетов, реализованной на коммутаторах и маршрутизаторах. Рассматривается организация защиты сетевых устройств. В методических указаниях приведены индивидуальные задания на курсовую работу, порядок выполнения, примеры конфигурирования устройств.
©, Кузнецов М.В. 2020 ©, Ротенштейн И.В. 2020
2
Содержание
Задание на курсовую работу………………………………………….. 4
Порядок выполнения курсовой работы……………………………… 7 1. Конфигурирование и задание адресов и масок узлам……… 7
2.Конфигурирование интерфейсов маршрутизаторов ……..... 7
3.Конфигурирование виртуальных локальных сетей……….. 10
4.Конфигурирование списков доступа……………………….. 11
Список использованных источников……………………………...... 13
3
Задание на курсовую работу
Необходимо создать локальные компьютерные сети центрального офиса и филиала согласно заданной конфигурации и топологии. Сконфигурировать взаимодействие подсетей по заданному протоколу обмена данными. Защитить маршрутизаторы и коммутаторы паролями. Установить пароль удаленного доступа по протоколу SSH на маршрутизатор и коммутатор филиала. Организовать сегментирование сети на основе виртуальных локальных сетей. На одном из коммутаторов организовать защиту портов от хакерских атак путем отключения порта коммутатора. Организовать защиту сети с помощью списков контроля доступа.
Провести конфигурирование устройств сети, представленной на рис.1.
Рис.1. Составная сеть
1.Адреса сетей и префиксы заданы в табл.1. Согласно заданию распределить адреса между всеми устройствами. Первый адрес в сети или подсети задавать шлюзу по
умолчанию (Default Gateway), а для узлов задать адреса следующий и последний.
2. |
В |
соответствии с заданием сконфигурировать |
маршрутизаторы. |
В |
качестве |
|
протоколов маршрутизации выбрать один из следующих: RIPv2, OSPF, EIGRP или |
||||
|
статическую. |
|
|
|
|
|
На |
маршрутизаторах и коммутаторах задать |
имена и пароли |
на |
вход в |
привилегированный режим, на входы через консольный порт и вход через удаленный
4
доступ по протоколу Telnet, а на маршрутизатор и коммутатор филиала установить пароль на удаленный доступ по протоколу SSH.
3.Провести конфигурирование коммутаторов сети рис.1. Создать три виртуальных локальных сети (VLAN), для чего разделить выделенную жирным шрифтом сеть (табл.1) на 3 VLAN. Организовать перевод управления коммутатором на VLAN 111 на коммутаторе филиала.
4.Сконфигурировать списки доступа:
4.1. Разрешить только администратору сети (из VLAN-10) удалённый доступ по протоку SSH к маршрутизатору филиала (сеть 4);
4.2. Разрешить VLAN 30 связь только с VLAN 10 и подсетью филиала (сеть 4); 4.3. Запретить VLAN 20 доступ в сеть филиала.
5.Проверить функционирование сети рис.1, используя команды ping, tracert, traceroute, show running-config, show ip route, show access-list, show vlan и др.
|
|
|
|
|
Таблица 1 |
|
|
|
|
|
|
|
протоко |
Сеть 1 |
Сеть 2 |
Сеть 3 |
Сеть 4 |
|
л |
|
|
|
|
|
|
|
|
|
|
1 |
RIPv2 |
192.168.10.32/27 |
172.16.20.16/28 |
10.1.30.0/26 |
192.168.10.64/29 |
|
|
|
|
|
|
2 |
EIGRP |
172.16.30.0/26 |
10.1.10.96/27 |
192.168.20.32/29 |
10.1.10.176/28 |
|
|
|
|
|
|
3 |
OSPF |
10.1.10.48/28 |
192.168.30.0/26 |
172.16.20.144/29 |
10.1.10.192/27 |
|
|
|
|
|
|
4 |
Статич. |
192.168.10.128/27 |
172.16.20.80/28 |
10.1.30.0/26 |
192.168.10.32/29 |
|
|
|
|
|
|
5 |
RIPv2 |
10.1.10.16/28 |
192.168.30.0/26 |
172.16.20.128/29 |
10.1.10.64/27 |
6 |
EIGRP |
192.168.10.64/27 |
172.16.20.32/28 |
10.1.30.0/26 |
192.168.10.128/29 |
|
|
|
|
|
|
7 |
OSPF |
172.16.30.0/26 |
10.1.10.128/27 |
192.168.20.40/29 |
10.1.10.160/28 |
|
|
|
|
|
|
8 |
Статич. |
10.1.10.64/28 |
192.168.30.0/26 |
172.16.20.160/29 |
10.1.10.224/27 |
|
|
|
|
|
|
9 |
RIPv2 |
192.168.10.8/29 |
172.16.20.32/27 |
10.1.30.0/26 |
192.168.10.32/28 |
|
|
|
|
|
|
10 |
EIGRP |
10.1.10.32/28 |
192.168.30.0/26 |
172.16.20.136/29 |
10.1.10.128/27 |
|
|
|
|
|
|
11 |
OSPF |
172.16.10.0/26 |
10.1.20.24/29 |
192.168.30.160/28 |
172.16.10.192/27 |
|
|
|
|
|
|
12 |
Статич. |
192.168.10.32/29 |
172.16.20.128/27 |
10.1.30.0/26 |
192.168.10.112/28 |
|
|
|
|
|
|
13 |
RIPv2 |
172.16.10.0/26 |
10.1.20.8/29 |
192.168.30.128/28 |
172.16.10.64/27 |
|
|
|
|
|
|
14 |
EIGRP |
192.168.10.16/29 |
172.16.20.64/27 |
10.1.30.0/26 |
192.168.10.64/28 |
|
|
|
|
|
|
15 |
OSPF |
192.168.10.24/29 |
10.2.30.0/26 |
172.16.20.96/27 |
192.168.10.96/28 |
|
|
|
|
|
|
16 |
Статич. |
172.16.10.0/26 |
10.1.20.32/29 |
192.168.30.176/28 |
172.16.10.224/27 |
|
|
|
|
|
|
17 |
RIPv2 |
192.168.30.8/29 |
172.16.10.128/28 |
10.1.20.0/26 |
172.16.10.32/27 |
|
|
|
|
|
|
18 |
EIGRP |
172.16.10.0/26 |
10.1.20.16/29 |
192.168.30.144/28 |
172.16.10.128/27 |
|
|
|
|
|
|
19 |
OSPF |
192.168.30.24/29 |
172.16.10.160/26 |
10.1.20.0/28 |
172.16.10.96/27 |
|
|
|
|
|
|
20 |
Статич. |
192.168.30.32/29 |
172.16.10.192/28 |
10.1.20.0/26 |
172.16.10.128/27 |
|
|
|
|
|
|
21 |
RIPv2 |
10.1.30.128/29 |
192.168.10.0/26 |
172.16.20.32/27 |
192.168.10.64/28 |
|
|
|
|
|
|
22 |
EIGRP |
192.168.30.16/29 |
172.16.10.144/28 |
10.1.20.0/26 |
172.16.10.64/27 |
|
|
|
|
|
|
23 |
OSPF |
192.168.10.0/26 |
10.1.30.144/29 |
172.16.20.96/27 |
192.168.10.96/28 |
|
|
|
|
|
|
24 |
Статич. |
10.1.30.160/29 |
192.168.10.0/26 |
172.16.20.128/27 |
192.168.10.112/28 |
|
|
|
|
|
|
25 |
RIPv2 |
172.16.30.0/26 |
10.1.10.64/27 |
192.168.20.24/29 |
10.1.10.192/28 |
|
|
|
|
|
|
26 |
EIGRP |
10.1.30.136/29 |
192.168.10.0/26 |
172.16.20.64/27 |
192.168.10.80/28 |
|
|
|
|
|
|
|
|
|
5 |
|
|
27 |
OSPF |
192.168.10.96/27 |
172.16.20.48/28 |
10.1.30.0/26 |
192.168.10.192/29 |
|
|
|
|
|
|
28 |
Статич. |
172.16.30.0/26 |
10.1.10.160/27 |
192.168.20.48/29 |
10.1.10.128/28 |
|
|
|
|
|
|
29 |
RIPv2 |
172.16.30.0/26 |
10.1.10.96/27 |
192.168.20.32/29 |
10.1.10.176/28 |
|
|
|
|
|
|
30 |
EIGRP |
10.1.10.48/28 |
192.168.30.0/26 |
172.16.20.144/29 |
10.1.10.192/27 |
|
|
|
|
|
|
Для всех вариантов сети пятая, шестая и седьмая имеют адреса соответственно:
Сеть 5 имеет адрес 200.5.5.0/30, Сеть 6 – 200.5.5.4/30, Сеть 7 – 200.5.5.8/30.
6
Порядок выполнения курсовой работы.
1. Конфигурирование и задание адресов и масок узлам
Задание 1.1 Для заданного варианта из табл.1, соответствующего номеру в списке группы, рассчитать максимальное количество IP-адресов в каждой сети или подсети (рис.1) по IP-адресу и префиксу.
Назначить адреса первому и последнему компьютеру в сети, маску и шлюз по умолчанию.
Пример 1.1 Задан IP-адрес одной из подсетей 10.1.20.16/28.
Исходя из префикса 28, маска сети будет 255.255.255.240. Таким образом, для сетей выделено 28 двоичных разрядов. В младшем байте адреса для формирования подсетей выделено 4 двоичных разряда, а для адресации конечных узлов остается 4 разряда, что дает возможность сформировать 16 адресов (24=16).
Первый адрес – 10.1.20.16 является адресом сети (подсети).
Второй адрес – 10.1.20.17, в соответствии с заданием, будет адресом шлюза по умолчанию, т.е. он будет присвоен интерфейсу F0/0 маршрутизатора.
Первый компьютер в сети будет иметь адрес 10.1.20.18, маску 255.255.255.240 и шлюз
(Default Gateway) 10.1.20.17.
При маске 255.255.255.240 каждой подсети соответствует 16 адресов, включая адрес самой подсети и широковещательный (broadcast) адрес, следовательно следующая подсеть будет иметь адрес 10.1.20.32. Широковещательный адрес сети 10.1.20.16 будет 10.1.20.31.
Следовательно адрес последнего компьютера в заданной подсети будет 10.1.20.30, маска 255.255.255.240 и шлюз (Default Gateway) 10.1.20.17. Таким образом в заданной сети может быть размещено до 13 конечных узлов (компьютеров).
Аналогично задать IP-адреса, маски и шлюзы для всех компьютеров в сетях и подсетях.
Соединения между компьютером, коммутатором и маршрутизатором производить прямым кабелем используя разъёмы Fast-Ethernet.
2. Конфигурирование интерфейсов маршрутизаторов
Провести конфигурирование основных параметров маршрутизатора. Задать имя, установить пароли на консоль, на виртуальные линии, на вход в привилегированный режим.
Маршрутизаторы в распределенных сетях часто соединяются последовательно серийными интерфейсами. Один из двух последовательно соединенных серийных интерфейсов маршрутизаторов выполняет роль устройства DCE, а второй – устройства
DTE.
Пример 2.1 Сконфигурировать интерфейсы маршрутизаторов.
Router>ena Router#conf t
Конфигурирование интерфейса F0/0
Router_А(config)#int f0/0
Установка IP-адреса и маски интерфейса производится следующей командой:
7
Router_А(config-if)#ip address 192.168.10.1 255.255.255.0
По умолчанию все интерфейсы выключены. Включение интерфейса производится по команде no shutdown, а выключение - командой shutdown:
Router_A(config-if)#no shutdown
При конфигурировании последовательного интерфейса, имеющего DCE подключение, например интерфейса s1/1 маршрутизатора Router_А, задается не только IP-адрес, но и скорость передачи данных в битах в секунду с помощью команды clock rate:
Router_А(config)#int s1/1
Router_А(config-if)#ip address 200.50.50.11 255.255.255.0
Router_А(config-if)#clock rate 64000 Router_А(config-if)# no shutdown
Аналогичное конфигурирование произвести на других маршрутизаторах, учитывая, что для последовательного серийного интерфейса, где нет DCE подключения, команда clock rate не применяется.
Пример 2.2 Установить пароли на консоль, на виртуальные линии, на вход в привилегированный режим.
Router>ena Router#conf t
Конфигурирование пароля на консольный порт:
Router_A(config)#line console 0 Router_A(config-line)#password ****
Router_A(config-line)#login
Конфигурирование пароля на виртуальные линии:
Router_A(config-line)#line vty 0 4 Router_A(config-line)# password ***
Router_A(config-line)# login
Конфигурирование пароля на вход в привилегированный режим:
Router_A(config)#enable password **
Пример 2.3 Для того чтобы сконфигурировать SSH на коммутаторе необходимо выполнить ряд команд.
Предварительно нужно задать имя коммутатора, например:
Switch(config)#hostname Sw-A
В режиме глобального конфигурирования требуется задать имя домену, где функционирует SSH, например class:
Sw-A(config)#ip domain-name class
Протокол SSH автоматически включается при создании пары ключей RSA, при этом требуется указать длину модуля в диапазоне от 360 до 2048. В приведенном примере задана длина 1024:
Sw-A(config)#crypto key generate rsa
The name for the keys will be: S-A.class
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
8
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Для аутентификации пользователя задают его имя (например, vas) и пароль (например, cis1):
Sw-A(config)#username vas secret cis1
*??? 1 0:4:3.608: %SSH-5-ENABLED: SSH 1.99 has been enabled
Сообщение говорит о том, что используется версия 1.99. В настоящее время предпочтительной является версия 2, которую необходимо задать.
Настройку SSH на виртуальных линиях реализует следующая последовательность команд:
Sw-A(config)#line vty 0 4 Sw-A(config-line)#transport input ssh Sw-A(config-line)#login local Sw-A(config-line)#exit Sw-A(config)#ip ssh version 2
Аналогично устанавливается протокол SSH на маршрутизаторе.
Пример 2.4 Произвести конфигурирование протокола маршрутизации в соответствии с заданием.
Конфигурирования протокола RIPv2. Конфигурирование протокола RIP производится путем использования команды router rip и сообщения протоколу номеров непосредственно присоединенных сетей. Для нормального функционирования сети необходимо отменить режим авто-суммирования на всех маршрутизаторах
R_А (config)#router rip R_А(config-router)#version 2
R_А (config-router)#network 200.60.60.0
R_А (config-router)#network 200.70.70.0
R_А (config-router)#network 192.168.30.0
R_А(config-router)#no auto-summary
Конфигурирование протокола EIGRP. Конфигурирование протокола EIGRP производится командой router eigrp 30 в режиме глобального конфигурирования с указанием номера автономной системы (в данном примере 30). После перехода маршрутизатора в режим детального конфигурирования вводятся адреса непосредственно присоединенных сетей с указанием инвертированной маски. Чтобы протокол EIGRP мог обеспечить маршрутизацию в сети (рис.12.1), необходимо отменить авто-суммирование маршрутов на всех маршрутизаторах.
R_A(config)#router eigrp 30 R_A(config-router)#network 192.168.10.16 0.0.0.15 R_A(config-router)#network 192.168.10.32 0.0.0.31 R_A(config-router)#network 200.5.5.0 0.0.0.3
R_А(config-router)#no auto-summary
Конфигурирование протокола OSPF. Протокол OSPF используется внутри определенной области, в которой маршрутизаторы разделяют маршрутную информацию между собой. Таких областей может быть несколько, среди которых нулевая область (area 0) является главной или единственной. При конфигурировании протокола OSPF необходимо задать номер процесса (по умолчанию 1) и адреса непосредственно присоединенных сетей с их масками переменной длины взятыми в инверсном виде. При этом для каждой сети указывается номер области (по умолчанию area 0).
9
R_A(config)#router ospf 1
R_A(config-router)#network 10.10.10.16 0.0.0.15 area 0 R_A(config-router)#network 200.5.5.0 0.0.0.3 area 0
Аналогичное конфигурирование протокола маршрутизации произвести на других маршрутизаторах.
3. Конфигурирование виртуальных локальных сетей
Создать три виртуальных локальных сети (VLAN). Учесть, что соединение коммутаторов осуществляется кроссовым кабелем.
Пример 3.1 Конфигурирование трех виртуальных локальных сетей vlan 10, vlan 20, vlan 30.
Sw-A(config)#vlan 10 Sw-A(config-vlan)#vlan 20 Sw-A(config-vlan)#vlan 30
На следующем этапе необходимо назначить виртуальные сети на определенные интерфейсы (приписать интерфейсы к созданным виртуальным сетям), используя пару команд switchport mode access, switchport access vlan №.
Пример конфигурирования порта f0/1.
Sw-A(config)#int f0/1
Sw-A(config-if)#switchport mode access Sw-A(config-if)#switchport access vlan 10
Аналогичное конфигурирование интерфейсов произвести для остальных портов коммутатора.
Для порта, который соединяет коммутаторы (например f0/10) произвести транковое соединение командой:
Sw_A(config-if)#int f0/10
Sw_A(config-if)#switchport mode trunk
Конфигурирование маршрутизатора сводится к тому, что на его интерфейсе F0/0 формируются субинтерфейсы F0/0.10, F0/0.20, F0/0.30. На указанных субинтерфейсах задается протокол Dot 1q для виртуальных сетей 10, 20, 30. Последовательность команд необходимо завершить включением интерфейса no shut.
Пример 3.2 Конфигурирование маршрутизатора с присоединёнными к нему виртуальными сетями. Конфигурирование маршрутизатора сводится к тому, что на его интерфейсе F0/0 формируются субинтерфейсы F0/0.10, F0/0.20, F0/0.30. На указанных субинтерфейсах конфигурируется протокол Dot 1q для виртуальных сетей 10, 20, 30. Последовательность команд необходимо завершить включением интерфейса.
Router>ena Router#conf t
Router(config-if)#int f0/0.10 Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip add 172.16.20.1 255.255.255.248
Router(config-subif)#int f0/0.20 Router(config-subif)#encapsulation dot1q 20
10