find links kladde... · web vieweksempler på services, som en server kan tilbyde: webserver, dns,...

6 ugers kursus i

Netværk og operativsystemer

RapportACME Marketing

Etablering af netværk

Dato: 21. januar 2013 til 27. februar 2013

Udarbejdet af:Gruppe 1

Kursus: Netværk og Operativsystemer Dato: jan-feb 2013

Indholdsfortegnelse

1. Indledning..........................................................................................Side 3

2. Beskrivelse af netværkskomponenter................................................Side 4

3. Fysisk opbygning af netværket..........................................................Side 9

4. Bandwith Capacity...........................................................................Side 16

5. Beskrivelse af hvad der foregår på netværket.................................Side 16

6. Konfiguration af enheder på netværket...........................................Side 22

7. Oversigt over enhedernes IP-adresser.............................................Side 23

8. Konklusion........................................................................................Side 25

Bilag......................................................................................................Side 26

Tegning udarbejdet i Cisco Packet Tracer.............................................Side 45

Gruppe 1 – Dennis, Tommy og Christoffer Side 2 af 47


1. IndledningI denne rapport gives information som virksomheden ACME Marketing har brug for når de

skal etablere et lokalt netværk med forbindelse til internettet.

Der er stillet krav om at de 2 afdelinger der er skal have adskilt deres netværkstrafik. Der

er forskel på hvad forskelligt netværksudstyr kan afhængig af mærke og model, forskellige

overvejelser omkring dette fokuseres der på i denne rapport. En af de ting vi har lagt vægt

på er at vi mener det er vigtigt at have en god grundlæggende struktur. Grunden til det er

at derved er det nemmere at gennemgå netværket og eventuelt senere foretage

ændringer på netværket.

Der er to grundlæggende faktorer der ofte fokuseres på ved EDB og netværk, hvilket er

sikkerhed og hastighed. Derfor er der i netværk og operativsystemer ofte hierarki og der

gøres brug af cache, som er midlertigig hukommelse der lagres på computere eller i

netværksudstyr. Der kan for eksempel ved overførsel mellem DNS-Servere ske

kommunikation den ene vej eller begge veje.

På netværket hos ACME Marketing skal der ved overførsel benyttes protocollen TCP/IP.

Det er en forkortelse for Transmission Control Protocol / Internet Protocol, som er en

protokol der kan benyttes af mange enheder, som ved brug af netværkskort, enten trådløst

eller ved brug af kabel, kan bruges ved overførsel af information i lokale netværk (LAN) og

på internettet.

Der er blandet andet givet følgende oplysninger:

Department A:Administration and Human Resources.

Antal IP-adresser der er brug for til computere i afdeling A:

20 IP-adresser.

Department B:Sales Department.

Antal IP-adresser der er brug for til computere i afdeling B:

100 IP-adresser.

Der er 10 lokaler fordelt på 3 etager.



2. Beskrivelse af netværkskomponenter

SwitcheEn netværksswitch (ofte bare kaldet en switch) er et stykke netværksudstyr med to eller

flere porte. Switche kan fås til forskellige typer datanet Ethernet, Firewire (1394) og

Fiberchannel. En switch sender datapakker ud forstærket på en eller flere porte.

Som standard kan alle Switche dele bitstrømmen op i frames. Der er Switche som

understøtter Spanning-Tree (også kaldet STP, som er en forkortelse der står for Spanning-

Tree Protocol, hvilket kan forhindre loops og flooding). Der kan også være mulighed for at

foretage yderligere konfiguration på Switche, som er specifikke mærker og modeller.

Desuden findes der også Switche som kan adskille netværkstrafikken ved brug af VLANs.

Switche kan ikke ændre i bitstrømmen, de kan dele bitstrømmen op og se på MAC-

adressen der er angivet som destinations og ud fra det kan de sende det ud på en specifik

fysisk port, det vil sige ud gennem et specifikt netværkskabel.

RoutereSom standard håndterer Routere kun hele TCP/IP-pakker. Routere og Switche benytter

sig af ARP (Address Resolution Protocol), de danner en intern ARP-tabel og derudover

kan de sende trafik videre fra et subnet til et andet og eventuelt oversætte IP-adresser ved

brug af NAT (Network Address Translation), det betegner oversættelse af både IP-

adresser og portnumre eller kun oversættelse af IP-adresser, for oversættelse af både IP-

adresser og portnumre bruges også betegnelsen PAT (Port Adress Translation). Indenfor

samme broadcastdomaine bruges MAC-adresser til at få trafikken frem til den rette

destination. Ved videresendelse benytter Routeren sin egen rutetabel. Routere afgrænser

broadcastdomainer, så det fortsætter ikke gennem Routere. Hvilket vil sige at Routere

ændre MAC-adresserne for scource og destination i TCP/IP-pakker.



En router er en enhed på computernetværk som forbinder et antal logiske eller fysiske

netværk ved at videresende pakker fra et netværk til deres destination på et andet netværk

i en proces kaldet rutning.

Trådløse Access-PointsEt Trådløst Access-Point (forkortes AP) fungerer på samme måde som en Switch, dog

med den forskel at netværkstrafikken sendes videre trådløst gennem luften. For at få

forbindelse til et AP skal der således bruges et trådløst netværkskort. Forbindelsen til AP

fra det øvrige netværk sker ved brug af et netværkskabel.

ServereEn server tilbyder en service eller flere services til enheder der er tilsluttet netværket med

serveren.

Eksempler på services, som en server kan tilbyde: Webserver, DNS, DHCP, FTP, Mail,

Fildeling, Tids-server (NTP) og Domain Controller.

DNS (Domain Name System)

DNS (Domain Name System) oversætter navne til IP-adresser, og IP-adresser til navne

(Reverse DNS lookup).

For at undgå at skulle huske disse IP-adresser, når man skal besøge internetsider og ved

øvrige angivelser af servere, er der lavet DNS-servere. Disse servere kan oversætte

adresser til IP-adresser og omvendt.

Der kan på enheder defineres flere DNS-servere i konfigurationen. Ved forespørgsel om

opslag bruges altid først den første på listen, kommer der svar fra denne DNS-server, som

siger at adressen ikke eksisterer, så bliver der ikke foretaget yderligere forespørgsler.



Kommer der i stedet for ikke noget svar fra denne DNS-server, så bliver der sendt en

forespørgsel til den DNS-server der står, som den næste på listen.

DHCP (Dynamic Host Configuration Protocol)

DHCP står for "Dynamic Host Configuration Protocol".DHCP-servicen kører på en server

(eller router), og den har til formål at konfigurere en klients TCP/IP-indstillinger automatisk,

når maskinen starter op. Serveren kan bl.a. udsende IP-adresse og netmaske (subnet

mask) til klienten, IP-adresser på DNS servere, default gateway, tidsservere, WINS

servere. DORA står for “Discover Offer Request Acknowledgement” og er en proces, der

foregår når en klient tilgår netværket, hvis den er sat til automatisk at få tildelt en IP

adresse fra DHCP.

Webserver

En webserver gør det muligt at lagre og udlevere data på internettet. De data som ligger

på webserveren, kan webbrowsere hente via HTTP eller HTTPS protokollen. Der findes

mange forskellige webserver programmer. Et af de mest udbredte er Apache, som er open

source.

FTP-Server

FTP er en forkortelse for File Transfer Protocol. FTP er en klient-server- protokol der

bruges til at overføre filer mellem to computere. På værtsmaskinen skal der være

installeret en FTP-server og på den tilsluttende maskine skal der være en FTP-klient.



FirewallEn Firewall kan være indbygget i en Router eller det kan være en selvstændig

netværksenhed, som udelukkende er Firewall. En Firewall eller på dansk brandmur er et

stykke netværksudstyr eller software, der udvælger hvilke netværkspakker som skal have

adgang fra den ene side af Firewall til den anden side efter et regelsæt.

Oftest sidder Firewallen mellem adgang til et ubeskyttet netværk som for eksempel

internet og et beskyttet netværk for eksempel LAN. En Firewall skal således hindre

uautoriseret adgang til det interne netværk. Firewallen er typisk ikke lavet udelukkende i

hardware. Derimod afvikler den et program som kan opdateres. Nogle Firewalls har en

webserver indbygget, så de er nemme at administrere via en browser.

En personlig Firewall på en enkelt computer er et program, som modererer

netværkstrafikken til og fra de netkort, hvor Firewallen er slået til.

Brug af Access-Control Lists (ACL’s) på RoutereDer er valgt at bruge ACL’s for at begrænse adgangen til netværket, Router og Switche,

så det kun er muligt for bestemte IP-adresser at få adgang til firmaets Router og hele det

lokale netværk i det hele taget.

En ACL er en liste af instruktioner der fortæller en Router hvilke pakke typer der må få

adgang eller der skal afvises.

ACL skal konfigureres før en Router kan afvise pakker. Med undtagelse af, hvis der

bruges NAT. Ellers vil Routeren accepter og videresende alle pakker så længe der er

forbindelse.

Der kan gives adgang eller afvises pakker baseret på:

Afsender adresse

Modtager adresse

TCP & UDP port nummer

Der kan skrives ACL til alle Routede protokoller. Dvs. hver Routede protokol konfigureret

til et interface kan have sin egen ACL til at filtrer trafikken.



Standard: Der kan kun angives source adresse.

Extended: Der kan både angives source IP, destination IP og destination port/protocol.

Named er en variation af de to.

Således benytter Cisco Routere Access Control Lister:

- Der startes fra toppen med første linje.

- Matcher pakken, som Routeren modtager denne linje, så vil der blive set på om

der i linjen står permit eller deny.

- Står der der permit , bliver pakken sendt videre af Routeren.

- Står der deny bliver pakken smidt væk af Routeren.

- Hvis der ikke var match på linjen, så fortsættes der med næste linje osv. indtil

sidste linje evt. bliver nået.

- Til sidst er der en implicit ”deny ip any any”. Hvilket vil sige underforstået at hvis

der ikke har været en linje som matcher, så vil pakken blive smidt væk.

NetværkskablerI vore dage bruges der i LAN netværk kobberkabler af typen twisted-pair (parsnoet) og

hvor der er behov for større båndbrdde eller overførsel over større afstande, hvor der er

brug for større rækkevidde, så benyttes der fiberkabler.



3. Fysisk opbygning af netværketSwitchePå netværket indgår: Der er valgt 2960 frem for 2950 da 2960 har bedre hardware (bedre

køling = mindre varme = længere levetid). Desuden har 2950 ingen Gigabit porte, 2960

har 2 Gigabit porte. Så det giver mulighed for at der kan overføres fra LAN serveren med

Gigabit hastighed og eventuelt også andre steder på netværket, hvor der kan overføres

med Gigabit, hvis der skulle blive brug for det.

De interfaces på Switche der er tilsluttet stik i væggen, i de lokaler som de ansatte

benytter, de konfigureres som Access-porte. Alle øvrige interfaces konfigureres som

Trunk-porte. Desuden gøres der så MAC-adressen der kan benyttes på Access-portene er

låst, så en ansat fra en anden afdeling ikke kan bytte om på netværkskablerne for at få

adgang til den anden afdelings FTP-Server.

RouterePå netværket indgår: 2 stk. Cisco 2621 XM.

Trådløse Access-PointsPå netværket indgår: 3 stk. et til hver etage. De Trådløse Access-Points sættes på deres

eget VLAN, således at der er adgang til internettet og ikke er mulighed for FTP-serverne

kan benyttes. Der gøres brug af Access-Control Lister (ACL’s). I konfigurationen på disse

deaktiveres DHCP-Server, fordi det kan administreres fra de DHCP-servere der allerede

er på netværket, som er vores LAN-server og ”LAN Router”.

Servere



På netværket indgår:

- Webserver - Ajax Sales

- FTP servere: 2 stk.: Dep. A og Dep. B.

- Lokalt Server med DNS og DHCP.

KlientmaskinerPå netværket indgår: 120 stk computere.

Forbindelse til internettetRouteren ”Firewall Router” forbindes til internettet. Der benyttes internetudbyderen:

”BlitZugang AG”.

- På internettet er der ”For test purpose” en Web Server med IP-adressen:

90.100.200.2.

- På internettet er der desuden en Server med IP-adresen: 66.66.66.66.

Domainnavn: Badguys.com.

DMZ (Demilitarized Zone)I sammenhæng med edb-sikkerhed, er en DMZ (undertiden benævnt perimeter netværk)

et fysisk eller logisk undernet, som indeholder og udsætter en organisations eksterne

vender tjenesteydelser til en større tillid til net, sædvanligvis internettet. Formålet med en

DMZ er at tilføje et ekstra lag af sikkerhed til en organisations lokale netværk (LAN), en

ekstern hacker har kun adgang til udstyr i DMZ, snarere end nogen anden del af nettet.

Navnet er afledt af ordet "Demilitarized Zone", et område mellem nationalstater, hvor

militær aktion ikke er tilladt.



Opdelingen af netværket i subnetsNår der i denne sammenhæng omtales subnets menes der der TCP/IP subnets. Det at de

forskellige afdelinger er på forskellige subnets gør det muligt at definere forskellige regler i

Routeren for hvad de må og ikke må, for eksempel at den ene afdeling kun har adgang til

den ene FTP-server og at den anden afdeling kun har adgang til den anden FTP-server.

Vi har valgt at der skal være en server ekstra på det lokale netværk. Denne server skal

tilbyde DHCP og DNS.

Den lokale DNS service har det formål at der kan laves lokale adresser, som henviser til

de IP-adresser virksomheden selv vælger og desuden videresende forespørgsler til andre

DNS-servere på internettet, samt eventuelt gemme opslag i en bestemt angivet

tidsperiode, således at gentagne opslag på samme adresse vil blive besvaret hurtigere.

Både router og den ekstra server skal tilbyde DHCP. De skal ikke dele de samme IP-

adresser ud fordi det ville resultere i tekniske problemer. Der er valgt en fordeling, hvor

Routeren tager sig af 80% af de adresser der uddeles på hvert subnet og Serveren tager

sig af de resterende 20% af IP-adresserne.

Vores vurdering er at der skal være mulighed for at DHCP Serverne kan dele 200 IP-

adresser på hvert subnet.

VLAN (Virtual Local Area Network)

VLAN giver noget mere fleksibilitet ved at netværksstrukturen nemt kan ændres, det stiller

dermed også krav om at den router der tager sig af at forbinde hele netværket den kører

hele tiden. Ellers kan de enkelte subnets ikke komme i forbindelse med hinanden.

Ved brug af VLAN kan en klientmaskine flyttes fra et subnet til et andet uden at der

behøver at blive flyttet nogen kabler. Det kan er muligt at ændre det i switchens

konfiguration.



Ved brug af subnets vil der være nogen sikkerhedsmæssige gevinster i det at der ikke er

direkte fysisk adgang til de øvrige VLANs.

Der skal en Router til for at VLAN’s kan få forbindelse med hinanden. Switche der

understøtter VLAN kan markere pakker gennem tagging, således at en enkelt interconnect

(trunk) kan anvendes til at transportere data for forskellige VLANs på samme

netværkskabel.

VLAN-medlemskab kan konfigureres via software i stedet for fysisk at flytte enheder eller

forbindelser. De fleste enterprise-niveau-netværk anvender i dag begrebet virtuelle LANs.

Uden VLAN beslutter en switch at alle interfaces på switchen er på samme

broadcastdomæne.

I modsætning til fysisk adskilte netværk, kan VLANs dele båndbredde.

RutetabellerVi har vurderet at der skal benyttes statisk rutning på de to routere. Hvis der havde været

mere end én LAN-router, så ville det være fornuftigt at overveje at bruge

rutningsprotokollen OSPF eller rutningsprotokollen RIP, hvis der benyttes en Router der

ikke understøtter OSPF.



Brug af kabler

På netværket indgår: Parsnoet kobber netværkskabel med RJ45 stik. Eventuelt fiber

netværkskabel til WAN-forbindelse.

Ved brug af netværksudstyr der kan bruge twisted-pair kabler også kaldet patchkabler, så

skelnes der mellem to forskellige kabler. Der findes lige kabler eller på engelsk "straight

through" og krydsede kabler eller på engelsk "cross over". Hvis mindst den ene af de

enheder der forbindes med hinanden har Auto-MDIX, så finder udstyret selv ud af om det

er det eller det andet kabel der er brugt og tilpasser sig efter det, hvilket gør at begge dele

kan bruges.

Det er sådan at to ens enheder der forbindes kun kan bruge krydset kabel og to forskellige

enheder der forbindes kun kan bruge lige kabel. Enhederne kan deles op i DTE (Data

Terminal Equipment) og DCE (Data Communications Equipment) enheder.

Direkte forbindelser uden anden enhed mellem, som forbindes med krydset kabel:

- PC til PC.- Switch til Switch.- Hub til Hub.- Router til Router.- Router til PC.- Switch til Hub.

Direkte forbindelser uden anden enhed mellem, som forbindes med lige kabel:

- PC til Switch.- PC til Hub.- Switch til Router.- Hub til Router.

Desuden skelnes der også mellem UTP og STP, som står for henholdsvis Unshielded

Twisted Pair og Shielded Twisted Pair. Det angiver om kablet er skærmet.



4. Bandwith CapacityAlle steder i netværket bruges 10/100 Mbit netværkskabler. Det vil sige at den maksimale kapacitet der er tilrådighed er 100 Mbit. Netværkstrafik til internettet og FTP-Servere deler samme netværkskabel, hvilket vil sige at ved samtidig overførsel bliver kapaciteten mindre for hver part.

5. Beskrivelse af hvad der foregår på netværket

Beskrivelse af IP-adresserIP-adresser er adresser computeren får eller som gives manuelt, således at der kan

kommunikeres i netværk med andre computere og det kan eventuelt give adgang til

internettet. IP-adresser kan automatisk tildeles computeren, hvis der er en DHCPserver på

netværket.

IPv4 er den mest udbrede form for IP-adresser, der benyttes ved brug af

internetprotokollen TCP/IP. Disse består af 4 tal adskilt med punktum. Tallene kan være

indenfor intervallet 0 - 255. Dette skyldes at de er baseret på binære tal, hvilket vil sige at

der kan benyttes op til 8 bit ved hver af de 4 tal. 11111111 med binære tal = 255 med

decimale tal også kaldet 10-talssystemet.

Subnetting

Subnettet angiver hvor stor en del af IP-adressen der er netværk og hvornår

gatewayadressen skal benyttes.



Se information om IP-adresser i bilag 6.

SwitchSwitche er normalt sat op til at beregne pakkens checksum (CRC), og hvis checksummen

stemmer med portbufferens pakkechecksum, sendes pakken videre (store-and-forward).

Switchen "lærer" at finde ud af hvilke porte, som skal modtage datapakkerne. De fleste

switchporte kan normalt modtage og sende datapakker samtidigt (fuld duplex)

Følgende gælder kun ethernetswitche: En switchport, som er stillet til autonegotiation, vil

ved tilkobling af netudstyr eller terminaludstyr i de fleste tilfælde kunne finde ud af hvilken

datakommunikationshastighed, det tilkoblede udstyr kan kommunikere med: 10 Mbit/s,

100 Mbit/s eller 1 Gbit/s og enten fuld eller halv duplex.

De fleste switche i dag anvender store-and-forward. Store-and-forward betyder, at

switchen gemmer hele pakken internt og at der laves en CRC-checksumsberegning.

Stemmer checksummen sendes pakken til en eller flere udgående port køer.

Switche kan formidle ethernetdatapakker mellem 64 og 1518 bytes. Nogle switche og

routere kan også formidle pakker med en ekstra VLAN-header/tag (4 bytes) pakker på

mellem 68 og 1522 bytes. Nogle switche og router kan klare jumbo pakker på op til 9000

bytes.

FTP-ServerTekstfiler behandles specielt idet linjeskift oversættes alt efter hvad der er normen på

klienten og serveren. Med simple FTP-klienter skal brugeren selv styre om en fil skal

opfattes som tekst eller ej, men de fleste programmer kan lave et fornuftigt gæt.

FTP bruges blandt andet til at lægge nye hjemmesider ud på en webserver, hente

programmer og andre filer fra en kilde på internettet.

Mange steder, hvor filer kan hentes på internettet, tillader adgang via anonym FTP.



I lighed med flere af de tidlige internetprotokoller er der ikke tænkt på sikkerhed, idet

brugernavn og adgangskode sendes over netværket i klar tekst, altså ukrypteret.

Sikkerhedsmæssigt og netværksmæssigt kan FTP være besværlig. Almindeligvis fungerer

FTP på den måde, at man "bestiller" hentning af en fil hvorefter FTP-serveren etablerer en

forbindelse til klientmaskinen. Set fra en Firewalls synspunkt kommer der således et helt

uafhængigt forsøg på at etablere en forbindelse, og det vil normalt blive afvist. Alternativt

kan man bruge passiv FTP, hvor klientcomputeren etablerer den forbindelse, som filen

sendes over.

DHCP-serverDer benyttes DHCP (Dynamic Host Configuration Protocol) for at konfigurationen af IP-

adresser på klientmaskiner skal foregå nemmere. Risikoen for IP-adresse konflikter bliver

minimeret og klientmaskiner kan nemt sættes over på et andet VLAN uden at skulle ændre

på netværksindstillingerne på klientmaskinen eller servere.

Når der foretages en DHCP forespørgsel sendes denne normalt ikke videre af routere,

men derimod kun af switche, repeatere og hubs, med mindre der er lavet en konfiguration

på en given router, som tillader dette, hvilket kun er muligt hvis den givne router

understøtter den mulighed. Det er ikke alle routere der understøtter det.

En DHCP-server til IPv4 står og lytter på et lokalt netværk på UDP port 67 og sørger for at

klienter på netværket får tildelt en korrekt IP-adresse og den rigtige information om

netværkstruktur, altså subnet og gateways således at klienten kan kommunikere med

andre computere på netværket. Forløbet er som følger:

Klient starter op, altså maskinen tændes.

Netkortet undersøger om der er en DHCP server på netværket således:

Netkortet sender en forespørgsel ud på netværket, det giver mulighed for at én eller

flere DHCP-servere på netværket svarer og sender oplysning om hvilken IP-

adresse klienten kan benytte.



DHCP benytter DORA processen som består af 4 punkter som sendes mellem klienten og

DHCP serveren:

Klienten DHCP-Server

Discover >> << Offer

Request >> << Ack

Når en klient PC skal bruge en IP startes med "DORA".

DORA = Discover - Offer - Request - Acknowledge (Anerkend)

1. Discover - sendes som broadcast på IP: 255.255.255.255.

2. Offer - sendes som unicast.

3. Request – forespørger en ny lease tid.

4. Acknowledge - betyder at der sendes en besked til DHCP serveren.

Ved 50% af lease tiden foretages "RA" og hvis DHCP serveren ikke er tilgængelig vil

klienten blot beholde sin IP uden at den bliver fornyet. Ved 87.5% foretages ”DORA”

processen. Ved 100% foretages "DORA" processen igen, hvis DHCP serveren ikke er

tilgængelig her vil der blive brugt en APIPA adresse, som kun virker lokalt og kan ikke

bruges til at komme på internettet med.

Statisk IP-adresseDer er tilfælde hvor det er en fordel at have en statisk IP-adresse. Det vil sige at enheden

konfigureres med en IP-adresse, hvor der samtidig angives en subnetmaske, samt

eventuelt en eller flere gateways og en eller flere DNS-servere. Når et netværkskortet har

en statisk IP-adresse, så sender netværkskortet ikke forespørgsel ud på nettet for at finde

ud af om der er en DHCP-server på netværket. Det kan være en fordel på servere at

enheden har en statisk IP-adresse, som også kaldes for fast IP-adresse, fordi ellers skal

oplysninger opdateres ved tildeling af ny IP-adresse fra en DHCP-server. De oplysninger

der skal opdateres kan være DNS-records og øvrige oplysninger der henviser til den givne

IP-adresse.



NAT (Network Address Translation)Det NAT kan er at oversætte en IP-adresse til en eller flere IP-adresser.

Der benyttes NAT og PAT fordi det giver mulighed for at mange forskellige IP-adresser

kan benytte en eller flere fælles IP-adresser. Det er ideelt til firmaet, fordi der er brug for

internetadgang, men der er ikke brug for at personer kan tilgå de enkelte servere,

klientmaskiner og andre enheder fra internettet.

NAT benyttes til f.eks. at oversætte private IP-adresser til offentlige. Ved at benytte

oversatte sourceports kan et eller flere netværk oversættes til en offentlig IP-adresse.

NAT oversætter IP pakkerne således at de på ydersiden ser ud til at have en anden

afsenderadresse (eller source / destination port) end maskinen, de oprindeligt kommer fra.

NAT er i langt de fleste tilfælde transparent for slutbrugeren.

Der vil dog i visse tilfælde opstå et problem, på grund af at slutbrugeren ikke har en unik

offentlig IP-adresse. Der er visse protokoller og aplikationer, der kræver dette. NAT-

enheden tager specielt hensyn til de mest udbredte tjenester som f.eks. aktiv FTP eller

Voice over IP.

Hvis en bruger bag en NAT-enhed har brug for at opsætte en server, kræver det en statisk

1-1 mapning af IP-adresserne eller at en specifik port oversættes og mappes til en intern

IP-adresse.

PAT bruger unikke portnumre for at skelne imellem oversættelserne. Portnummeret består

af 16 bit, hvilket kan give op til 65.535 portnumre pr. IP-adresse. Normalt anvendes dog

”kun” ca. 4000 portnumre til en IP adresse.

I de fleste tilfælde bruges betegnelsen NAT i forbindelse med oversættelse af både IP-

adresser og porte. Cisco bruger denne betegnelse lidt anderledes, der skelnes på den

måde at der også gøres brug af PAT (Port Address Translation).



Ved brug af Cisco routere

PAT konfigureres som NAT, blot med tilføjelse af ordet overload i NAT kommandoen.

BEMÆRK her vil alle hosts med private adresser præsentere sig for omverdenen med IP

adressen, som tilhører interfacet der er defineret som outside på gateway-routeren. Det er

oftest sådan PAT konfigureres.

For at kontrollere NAT og PAT kan der anvendes clear og show kommandoer til at

kontrollere om NAT fungerer som forventet. Når der ikke er konfigureret PAT vil en NAT

oversættelse først ”time out” efter 24 timer.

Der kan anvendes kommandoen ip nat translation timeout (sekunder) i global config mode til at

ændre time out perioden. Oplysninger om oversættelser fås ved at anvende de viste show

kommandoer. Benyt også show run kommandoen til kontrol af syntaks (show access-list, interface

og pool kommandoer).

RutetabelMåden Routere finder ud af hvilken hvad der skal gøres ved den enkelte TCP/IP-pakke er

ved hjælp af deres egen rutetabel. Ud fra tabellen er det muligt for Routeren at finde ud af

hvilket interface pakken skal sende ud på og eventuelt også til en specifik IP-adresse, som

for eksempel kan være en anden Router eller en computer. Der findes forskellige

protocoller der kan konfigureres på Routere, som gør de kan modtage og sende updates

til andre Routere og på den måde kan deres rutetabel blive opdateret. Hvilket kan være

nyttigt, hvis et interface mister netværksforbindelse, fordi så kan netværkstrafikken måske

automatisk benytte andre netværkskabler og der kan være tilfælde hvor det er nemmere at

Routeren selv fortæller de øvrige Routere hvilke subnets den benytter på sine interfaces.



6. Konfiguration af enheder på netværket

På Cisco Routere og Cisco Switche i CLI (commando line interface) skrives følgende:

For at udføre priviligerede kommandoer, det vil sige få adgang til ”global exec mode”:

Enable

For at få mulighed for at ændre konfigurationen:

Config terminal

For at komme tilbage til ”priviligerede kommandoer” også kaldet ”global exec mode” fra ”configuration mode”:

End

Et niveau op:

Exit

*** TIP: Der kan altid benyttes tasterne tab og ”?” (tegnet ”?” skrives) for at fuldføre kommandoerne.

Sådan konfigureres Cisco 2621 XM RouterSe kommandoer til konfiguration af Routere i bilag 2.

Se running config fra Routere i bilag 4.



Sådan konfigureres Cisco 2960 SwitchSe kommandoer til konfiguration af Switche i bilag 3.

Se running config fra Switche i bilag 5.

Trådløse Access-PointsSom tidligere nævnt så deaktiveres DHCP-Server i konfigurationen på disse. Der skal ikke

laves nogen yderligere konfiguration på disse, udover at det vil være meget fornuftigt at

benytte adgangskode, der skal benyttes for at opnå forbindelse til de Trådløse Access-

Pointer, hvis det ikke skal være muligt at stå på gaden og benytte virksomhedens

internetforbindelse.

Klientmaskiner og servereKlientmaskinerne skal have konfiguration til at modtage IP-adresser fra DHCP og der skal

ikke laves nogen yderligere konfiguration på dem.

Serverne skal have statisk IP-adresse, det vil sige at der konfigureres direkte på dem

hvilken IP-adresse de skal have.

7. Oversigt over enhdernes IP-adresser

Klientmaskiner



Klientmaskinerne fordeles på de forskellige VLANs afhængig af hvilken afdeling de tilhører

og så de bliver fordelt ligeligt. Fordelingen på VLANs kan også ske afhængig af om der er

klientmaskiner der skal lave overførsler, hvor det er bedst at de er på samme VLAN.

Generelt for alle VLANs, hvor der tilsluttes de ansattes klientmaskiner:

Subnet: 255.255.255.0Antal brugbare IP-adresser på subnettet: 254Router DHCP: 160 Hosts: IP-adresser: x.x.x.50 –x.x.x.209 /24Server DHCP: 40 Hosts: IP-adresser: x.x.x.210 – x.x.x.249 /24Gateway: x.x.x.1Primær DNS: 10.207.100.201Sekundær DNS: 80.100.200.145Antal IP-adresser der kan tildeles vha. DHCP: 200 stk.

Eksempel på tildeling af IP-adresser på et VLAN:

Afdeling: Dep. B: Sales Department.VLAN nummer: 10.Subnet: 255.255.255.0.Netværksadresse: 10.202.10.0 /24Antal brugbare IP-adresser på subnettet: 254.Router DHCP: 160 Hosts: IP-adresser: 10.202.10.50 – 10.202.10.209 /24Server DHCP: 40 Hosts: IP-adresser: 10.202.10.210 – 10.202.10.249 /24Gateway: 10.202.10.1.Primær DNS: 10.207.100.201.Sekundær DNS: 80.100.200.145.Antal IP-adresser der kan tildeles vha. DHCP: 200 stk.

Se hele oversigten over IP-adresser i bilag 1.



8. KonklusionDet forslag til udarbejdelse af netværk, der er lavet, det er lavet så det er nemt at flytte en ansat fra en computer til en anden. På den enkelte PC skal logges på ved brug af brugernavn og adgangskode. På den måde får personen ikke adgang til dele af netværket, der ikke skal være adgang til. Det vil sige at personen derved ikke får adgang til den anden afdelings FTP-Server. Der er brugt mindst muligt netværksudstyr, så der ikke er flere Switche og Routere end der minimum kan være.

For at gøre netværket så sikkert som muligt er der lavet Vlans til de respektive afdelinger og afdelingerne er opdelt på flere Vlans, fordi der bruges NAT, så gør det ikke noget at der bliver brugt flere private IP-adresser til interfaces til hver afdeling og at de IP-subnets der er oprettet er større end hvad der bliver brugt på nuværende tidspunkt. Derved kan administrationen blive nemmere.

På WAN forbindelsen er brugt private IP-adresser. Vi har en DMZ zone til Web-Server som er hos servercamping inc. På den ene Router er der lavet Firewall der blokere IP-adressen: 66.66.66.66.

Vi har valgt at udvide med et Access-Point på hver etage for at gæster udefra kan logge på med begrænset adgang. Der er Vlan til opdeling af det lokale netværk så ansatte i afdeling A kan bruge FTP-Server A og ikke FTP-Server B og det samme med afdeling B og FTP-Server B. Vi har valgt at lave ”sticky MAC-adresser”, fordi det forhindre de ansatte i at sætte sit netværkskabel i et andet stik i væggen og derved få adgang til den anden afdelings FTP-Server.

Vi har valgt at bruge Cisco komponenter da det var det ACME ville have. Der er ikke skrevet nogen ”show kommandoer” i rapporten, der kan bruges til visning af konfiguration i Cisco Routere og Cisco Switche.

Det den her opgave har lært os er at tage velovervejede beslutninger mht. valg af PC / netværkskomponenter. Vi har desuden lært at konfigurere det netværksudstyr, så det sikkerhedsmæssigt er mere optimalt. Det er valg omkring brug af Firewalls, DMZ (demillitarized zone), FTP servere, DNS-servere, DHCP-servere og Web-servere.

Yderligere har vi lært at lave Vlan som er en rigtig god ting at kunne. Med Vlan har man mulighed for at separere domænet/domænerne. Det er lig med fleksibilitet og sikkerhed.



BilagBilag 1: Oversigt over enhedernes IP-adresser

Side 1



Side 2



Side 3



Bilag 2: Kommandoer til konfiguration af Routere

Router LAN: Interfacesint Fa0/1Ip add 192.168.0.2 255.255.255.0no sh

Interface Fa0/0no ip addno sh

Interface Fa0/0.2Encap dot1Q 2 native

interface FastEthernet0/0.700encapsulation dot1Q 700ip address 10.207.100.1 255.255.255.0desc LAN-Server

interface FastEthernet0/0.10encapsulation dot1Q 10ip address 10.202.10.1 255.255.255.0














interface FastEthernet0/0.140 encapsulation dot1Q 140 ip address 10.201.40.1 255.255.255.0




Router LAN: DHCP### Konfiguration af DHCP på Cisco Router

Config terminal



### *** Routeren kan godt finde ud af og lade være med at dele IP-adresser ud som den selv bruger til sine interfaces.

ip dhcp excluded-address 10.202.10.2 10.202.10.49ip dhcp excluded-address 10.202.10.210 10.202.10.254









ip dhcp pool vlan10network 10.202.10.0 255.255.255.0default-router 10.202.10.1dns-server 10.207.100.201



ip dhcp pool vlan40network 10.202.40.0 255.255.255.0



default-router 10.202.40.1dns-server 10.207.100.201












ip dhcp pool vlan110



network 10.201.10.0 255.255.255.0default-router 10.201.10.1dns-server 10.207.100.201








Router LAN: Rutetabel### rutetabel:ip route 0.0.0.0 0.0.0.0 192.168.0.1

Router Firewall: Interfaces### Konfiguration af interfaces:



enableConfig terminal

int E1/1no ip addNo shutdown

Interface E1/1.2Encap dot1Q 2 native

Interface E1/1.701Encap dot1Q 701Ip add 10.207.1.1 255.255.255.0

Interface E1/1.702Encap dot1Q 702Ip add 10.207.2.1 255.255.255.0

int E1/0Ip add 10.207.3.1 255.255.255.0No shutdown

int Fa0/1Ip add 80.100.200.146 255.255.255.240no sh

int Fa0/0Ip add 192.168.0.1 255.255.255.0no sh

Router Firewall: Rutetabel etc.### rutetabel:

### Dette er alle IP-adresser: 0.0.0.0 0.0.0.0

ip route 0.0.0.0 0.0.0.0 80.100.200.145ip route 10.0.0.0 255.0.0.0 192.168.0.2

### NAT for internetadgang:

### På indvendige interfaces (LAN):

Int Fa0/0ip nat inside



Int E1/0ip nat inside

Int E1/1ip nat inside

### På udvendigt interface (WAN):

Int Fa0/1ip nat outside

### ACL der skal konfigureres for at bruge NAT:

no ip access-list standard NATip access-list standard NAT### Man kunne godt vælge bestemte IP-adresser som må oversættes, det anser vi ikke for at være nødvendigt. Så det undlades!### permit 192.168.0.0 0.0.255.255### permit 10.0.0.0 0.255.255.255### permit 172.16.0.0 0.0.0.255permit anydeny any

### Konfigureting af NAT på router

### Mulighed 1 med range af udvendige IP-adresser:ip nat pool WAN 80.100.200.147 80.100.200.157 netmask 255.255.255.240### denne kan bruges på den rigtige router ikke i "Cisco Packet Tracer":### >>> ip nat pool WAN 80.100.200.147 80.100.200.157 prefix-length 28ip nat inside source list NAT pool WAN overload

### Der kan skrives subnet 255.255.255.240 i stedet for: prefix-length 28

### Mulighed 2 med en udvendig IP-adresse:### (det interface der overloades konfigureres som outside)### >>> ip nat inside source list NAT interface fa0/1 overload

### Konfiguration af DMZ på Cisco Router

### ip nat inside source static tcp 10.207.3.100 80 80.100.200.158 80 extendable

ip nat inside source static tcp 10.207.3.100 80 80.100.200.158 80

### Konfiguration af ACL på Cisco Router

int Fa0/0



ip acc-group ACL1 inexit

### Bemærk at ved ACL bruges der wildcard i stedet for subnetmaske:

no ip access-list extended ACL1ip access-list extended ACL1deny ip any host 66.66.66.66deny tcp 10.0.0.0 0.255.255.255 host 80.100.200.158 eq wwwpermit ip any any

### Det skal være så de ikke kan få adgang til den anden afdelings FTP-Server.

no ip access-list extended ACL2ip access-list extended ACL2

### Afdeling: Dep. Apermit ip 10.201.0.0 0.0.255.255 host 10.207.1.100

### Afdeling: Dep. Bpermit ip 10.202.0.0 0.0.255.255 host 10.207.2.100

### for at kunne lave overvågning på Routeren bruges følgende to linjer:

deny ip 10.201.0.0 0.0.255.255 host 10.207.2.100deny ip 10.202.0.0 0.0.255.255 host 10.207.1.100

deny ip any any

int E1/1.701ip access-group ACL2 outexit

int E1/1.702ip access-group ACL2 outexit

### ACL er færdig.

### Der er ACL i stedet for to, man kunne godt dele det op og sætte forskellige på hvert subinterface, det ville ikke være en fordel, så derfor bruges den samme ACL på de to subinterfaces.



Bilag 3: Kommandoer til konfiguration af SwitcheSwitch 0: Forbundet til LAN Router### Konfiguration af interfaces:

### - valg af alle interfaces:

int range fa0/1 -24, Gi1/1 -2

switchport mode trunkswitchport trunk allowed vlan all


switchport mode access

int range Gi1/1 -2switchport access vlan 700

int fa0/1switchport access vlan 10





Switch 1 – Switch 5: Forbundet til Switch 0### ###### Switch SW1-SW5### Som udgangspunkt konfigureres disse 5 Switche ens:### ###

### Konfiguration af interfaces:






int range fa0/1 -23, Gi1/1

switchport mode access

int Gi1/1switchport access vlan 1


























### For at fastlåse MAC-adressen så der ikke er en anden PC der kan sætte sit netværkskabel i stikket og derefter komme på netværket.

int range fa0/1 -23, Gi1/1

switchport port-security MAC-address sticky

Switch F0: Forbundet til Firewall Router### ###### Switch F0 - Switch tilsluttet Firewall Router



### ###

### Konfiguration af interfaces:




int range fa0/1 -23, Gi1/1 -2switchport mode access



Konfiguration af managementKonfiguration af Switche, så de får IP-adresser der kan bruges til administration (Management) i forbindelse med konfiguration af Switchene.

### Fælles for alle Switche:vlan 2name nativevlan 9name managementInt fa0/24switchport trunk native vlan 2switchport trunk allowed vlan allint vlan 2no ship default-gateway 10.207.99.1

### For Switch 1 – Switch 5:vtp mode clientvtp domain lanvtp password lan

### For Switch 0:vtp mode servervtp domain lan



vtp password lanInt range fa0/1 -24switchport trunk native vlan 2switchport trunk allowed vlan all

Switch 0:int vlan9ip add 10.207.99.2 255.255.255.0

Switch 1int vlan9ip add 10.207.99.3 255.255.255.0





Switch F0 – Switch tilsluttet Firewall Router.int vlan9ip add 10.200.99.2 255.255.255.0

### Router LAN:Int fa0/0.9Encap dot1Q 9Ip add 10.207.99.1 255.255.255.0

### Router Firewall:Int fa0/0.9Encap dot1Q 9Ip add 10.200.99.1 255.255.255.0



Bilag 6: Information om IP-adresser:

IP version 4 / IPv4

Private IP-adresser

10.0.0.0 - 10.255.255.255 /8

Standard subnet: 255.0.0.0

Antal brugbare adresser: 16.777.214.

172.16.0.0 - 172.31.255.255 /12

Standard subnet: 255.240.0.0.

Antal brugbare adresser: 1.048.574.

IP-adresserne tilhører klasse B og standard subnet for denne klasse er: 255.255.0.0. Som

er en /16. Det er dog ikke et helt klasse B subnet der er til rådighed i intervallet.

192.168.0.0 - 192.168.255.255 /24


Antal brugbare adresser: 254.

169.254.0.0 - 169.254.255.255 /16


Antal brugbare adresser: 65.534.

169.254.x.x er Link local og er et adresseområde, der

anvendes til Automatisk Privat IP-Adressering (APIPA).

Windows tildeler automatisk en APIPA-adresse, hvis en klient forsøger at komme i kontakt

med en DHCP-server og ikke får noget svar.



Lokale IP-adresser

Lokale adresser, som henviser til computeren selv:

127.0.0.0 - 127.255.255.255 /8

Normalt henviser hostnavnet "localhost" til 127.0.0.1 i Windows, hvilket kan ændres i

indstillingerne.

Offentlige IP-adresser

Alle øvrige IP-adresser er offentlige IP-adresser, som kan være i intervallet:

1.0.0.0 - 223.255.255.255

Yderligere findes der adresser der bliver brugt til multicast og broadcast.

Adresser i følgende område bruges til multicast. Derfor kan netværkskort ikke konfigureres

med disse IP-adresser:

224.0.0.0 - 239.255.255.255

Routere kan bruge følgende adresse i deres rutetabel:

0.0.0.0

Ved brug af subnets er første og sidste adresse henholdsvis netværksadresse og

broadcastadresse i intervallerne.

*** Ved et hvert valg af IP-adresse kan der vælges subnet mellem /8 og /30, dvs. fra

255.0.0.0 til 255.255.255.252. Ved virtuelle interfaces og rutning kan der også benyttes

/32, dvs. 255.255.255.255.

Den gatewayadresse er angivet skal være på samme subnet, som den IP-adresse der



benyttes ellers kan der ikke sendes ved brug af TCP/IP-protokollen.

Mulige subnets ved definering af IP-adresser

Se bilag 7.

Opdeling af IP-adresser i klasse A, B, C, D og E vil ikke blive omtalt her fordi det er muligt

at konfigurere netværk uden at have kendskab til disse klasser. Den opdeling benyttes

som regel ikke mere, især ikke i lokale netværk (LAN), der kan subnetmaske i

konfiguration vælges uafhængig af hvilken klasse IP-adresserne tilhører.

Beregning af IP-adresser

Broadcastadresse er den sidste adresse i subnet og er lige efter den sidste brugbare IP-

adresse.

Netværksadresse er den første adresse i subnet og er lige før den første brugbare

adresse. Denne kaldes også Netværks ID og det kan også forekomme at det bliver kaldt

Subnet ID.

Broadcastadresse = netværksadresse + 255.255.255.255 – subnet

Eksempel:

Netværksadresse: 192.168.0.0

Subnet: 255.255.0.0

Broadcastadresse = 192.168.255.255



Bilag 7:Mulige subnets ved definering af IP-adresserCIDR Subnet # of Hosts # of Useables # of Subnets

/8 (A) 255.0.0.0 2^24 16.777.216 16.777.214 1

/9 255.128.0.0 2^23 8.388.608 8.388.606 2

/10 255.192.0.0 2^22 4.194.304 4.194.302 4

/11 255.224.0.0 2^21 2.097.152 2.097.150 8

/12 255.240.0.0 2^20 1.048.576 1.048.574 16

/13 255.248.0.0 2^19 524.288 524.286 32

/14 255.252.0.0 2^18 262.144 262.142 64

/15 255.254.0.0 2^17 131.072 131.070 128

/16 (B) 255.255.0.0 2^16 65.536 65.534 1

/17 255.255.128.0 2^15 32.768 32.766 2

/18 255.255.192.0 2^14 16.384 16.382 4

/19 255.255.224.0 2^13 8.192 8.190 8

/20 255.255.240.0 2^12 4.096 4.094 16

/21 255.255.248.0 2^11 2.048 2.046 32

/22 255.255.252.0 2^10 1.024 1.022 64

/23 255.255.254.0 2^9 512 510 128

/24 (C) 255.255.255.0 2^8 256 254 1

/25 255.255.255.128 2^7 128 126 2

/26 255.255.255.192 2^6 64 62 4

/27 255.255.255.224 2^5 32 30 8

/28 255.255.255.240 2^4 16 14 16

/29 255.255.255.248 2^3 8 6 32

/30 255.255.255.252 2^2 4 2 64

Dette er ved brug af TCP/IP version 4.

Kan bruges ved beregning af IP-adresser og til at finde ud af hvilken subnetmaske der skal benyttes for at have IP-adresser nok tilrådighed.


9. Tegning udarbejdet i Cisco Packer Tracer

Denne side er udarbejdet til papirformatet A3.

Tegning udarbejdet i Cisco Packer Tracer

Denne side er udarbejdet til papirformatet A4.

find links kladde... · web vieweksempler på services, som en server kan tilbyde: webserver, dns,...

Documents