-
Экспериментальная часть.
3.1 Настройка активного сетевого оборудования.
3.1.1 Настройка межсетевого экрана Cisco pix 501.
Необходимо настроить межсетевой экран CISCO. Активируем два порта: один будет использоваться для соединения с интернет, второй – для соединения с интернет – машинами в здании.
!--- Инициализация интерфейсов
interface ethernet0 auto
interface ethernet1 100full
!--- Определение уровня безопасности интерфейсов
nameif ethernet0 outside security0
nameif ethernet1 inside security100
!--- Задаем имя
hostname pixfirewall
!--- Инспекция трафика по основным протоколам
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
no fixup protocol tftp 69
names
!--- Создаем access list
access-list outside1 permit tcp any host 108.160.10.60 eq 1993
access-list outside1 permit tcp any host 108.160.10.60 eq 53749
access-list outside1 permit tcp any host 108.160.10.60 eq 4300
access-list outside1 permit tcp any host 108.160.10.60 eq www
access-list outside1 permit tcp any host 108.160.10.60 eq pop3
access-list outside1 permit tcp any host 108.160.10.60 eq smtp
pager lines 24
mtu outside 1500
mtu inside 1500
!--- Назначение ip адресов
ip address outside 108.160.10.60 255.255.255.224
ip address inside 10.10.0.10 255.255.240.0
!--- Настройка обнаружения вторжений
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
!--- Трансляция внутренних адресов хостов во внешние (NAT)
global (outside) 1 108.160.10.60
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 10.10.0.10 108.160.10.60 netmask 255.255.255.255 0 0
access-group outside1 in interface outside
!--- Установка маршрута по умолчанию на Router
route outside 0.0.0.0 0.0.0.0 108.160.10.60 1
!--- Настройка службы DHCP
dhcp address 10.10.0.20 – 10.10.0.50 inside
dhcp dns 108.160.0.1 108.160.0.2
dhcp lease 3600
dhcp domain ipmp.ru
dhcpd enable inside
!---Настройка системы авторизации
(авторизация на Cisco удет осуществляться через терминал)
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
3.1.1 Настройка коммутаторов d-Link. Объединение портов и создание высокоскоростных сетевых магистралей
В настоящее время для повышения надежности и производительности каналов связи в распоряжении интеграторов и сетевых администраторов имеется целый набор протоколов и функций. Наиболее распространенным является создание резервных связей между коммутаторами на основе двух технологий:
1. Резервирование соединений с помощью протоколов семейства Spanning Tree.
2. Балансировка нагрузки, обеспечивающая параллельную передачу данных по всем альтернативным соединениям с помощью механизм агрегирования портов.
В данном случае предложено использовать второй вариант.
Агрегирование портов (Port Trunking) - это объединение нескольких физических каналов (Link Aggregation) в одну логическую магистраль. Используется для объединения вместе нескольких физических портов с целью образования высокоскоростного канала передачи данных и позволяет активно задействовать избыточные альтернативные связи в локальных сетях.
Так как на каждом этаже (кроме первого) и в серверной установлен коммутатор (итого 8), необходимо произвести агрегирование портов для каждого.
На центральном коммутаторе D-Link DGS-3324 под транкинг будет отведено 16 портов, на остальных (D-Link 3100) – 2.
Настройка каждого транка на DGS-3324 выглядит следующим образом:
В меню конфигураций необходимо в “Link Aggregation” произвести выбор портов для настройки транкинга.
Для коммутаторов D-Link DGS-3100 также необходимо выполнить агрегирование портов. В “L2 Features”, далее “Trunking” выполнить объединение первого и второго портов.
Настройка VLAN на коммутаторах.
Чтобы дать возможность пользователям работать в сети интернет без нахождения рабочей станции во внутренней сети и при этом не использовать дополнительную аппаратуру необходима виртуальная локальная сеть (VLAN).
Настройка VLAN на DGS-3324, куда будет подключен маршрутизатор CISCO.