Оглавление

Задание...................................................................................................... ...............2
Топология............................................................................................................ ......2
Оборудование............................................................................................. ..............3
Технологии........................................................................................................... .....3
Распределение IP-адресов.......................................................................................3
Конфигурация оборудования..................................................................................4
Коммутаторы................................................................................... ......................4
Мрашрутизаторы......................................................................................... ..........7
Конечная конфигурация оборудования..................................................................9
Задание
Вы являетесь инженером в крупной компании, ваша задача развернуть
сетевую инфраструктуру в новом филиале (Анадырь) в котором
насчитывается 4 отдела:

• Бухгалтерия – 15 компьютеров(3,4 этажи)

• Отдел продаж – 62 компьютера(1,4 этажи)
• Отдел кадров – 5 компьютеров(2,4 этажи)
• Склады – 14 компьютеров(3 склада: 1-й на расстоянии 15 км(4
компьютера), 2-й на расстоянии 64 км(9 компьютеров), 3-й на
расстоянии 5 км(1 компьютер) от офиса филиала)

Также располагаются сервера по отделам: в каждом отделе по серверу

печати и файловому серверу. Эти сервера должны быть доступны только
компьютерам отделов. Существует сервер БД, доступ к которому должны
получить компьютеры из складов по порту 80, а другим отделам и интернету
доступ запрещен, сервера http, к которым должен быть обеспечен доступ из
интернета.

Доступ к интернету должны получать только пользователи отдела продаж,

остальным доступ в интернет должен быть запрещен.

Центральный офис компании располагается в Москве и соединение с ним

должно быть установлено с минимальными затратами. Трафик, пересылаемый
в центральный офис из филиала должен быть конфиденциальным. Требуемая
полоса пропускания 1,5 Мбит/c. Все применяемые технологии должны быть
стандартами. На филиал из интернета выделен блок адресов 82.0.0.128/28. В
связи с политикой компании внешние IP адреса серверам назначать
запрещено. IP адресация внутри компании приватная, на филиал выделена
подсеть 10.11.0.0/16. Необходимо разработать топологию, обоснование этой
топологии, составить конфигурацию сетевого оборудования и присвоения IP
адресов.

Топология
Имеется четырехэтажное здание, на каждом этаже которого располагается
от одного до трех отделов. Предлагается установить на каждом этаже
коммутаторы и соединить их с главным коммутатором, установленном на
первом этаже. Такая схема наиболее широко распространена и
рекомендуема, она требует наименьшее количество оборудования и затрат по
прокладке, и, в то же время, надежна и удобна для поиска и устранения
неисправностей. В ТЗ не указаны требования к пропускной способности сети,
поэтому предлагается ограничиться пропускной способностью 100мБит.
Исходя из этого, горизонтальную прокладку лучше выполнить кабелем UTP
категории 6 (для более быстрого перехода на пропускную способность 1гБит
в будущем). Вертикальную прокладку можно выполнить двумя способами:
используя кабель UTP или оптоволокно. Второй вариант более дорогой, но
предоставляет более высокую пропускную способность канала и задел на
возможное улучшение сети в будущем.

Так же необходимо оборудовать серверную комнату на первом этаже или в

подвале, если таковой имеется. Все сервера необходимо размещать именно в
ней, их размещение вне специальных помещений недопустимо. Размещение
всех серверов в одной комнате намного более эффективно, нежели
оборудование специальных комнат на каждом этаже для установки серверов
соответствующих отделов. Все сервера должны быть соединены с главным
коммутатором с помощью кабеля UTP.

Необходим один маршрутизатор, соединяющий офисное здание с интернетом

и складами. Он должен быть соединен с главным коммутатором.

Имеются три склада на расстоянии 15км, 64км, 5км от офиса соответственно.

Соединение с первыми двумя складами рекомендуется установить с помощью
технологии WAN,арендовавканал у какого-нибудь провайдера, так как
расстояние слишком велико для прокладки т поддержки собственных каналов
из-за высокой стоимости. Соединить третий склад с офисом рекомендуется
одномодовым оптоволокном или, при нехватке бюджета, используя
технологию DSL (так как на этом складе всего один компьютер, высокая
пропускная способность не требуется). На каждый склад требуется
установить по одному коммутатору и маршрутизатору (на третьем складе
можно обойтись без коммутатора при подключении единственного
компьютера напрямую к маршрутизатору).

Оборудование
Исходя из предложенной топологии рекомендуется следующее оборудование:

1. Коммутаторы с поддержкой технологии VLAN Cisco Catalyst 2960

2. Маршрутизаторы с поддержкой технологий NAT и ACL Cisco 1841

Технологии
Для наиболее быстрого и удобного разграничения доступа между отделами
предлагается использовать технологию VLAN, которая позволит нам
управлять доступом на основе уже имеющегося оборудования без затрат на
дополнительное программное обеспечение. Кроме того технология VLAN
проста в управлении и позволит легко масштабировать сеть в будущем.

Для управления доступом между складами и главным офисом рекомендуется

использовать технологию Access Control List (ACL) , поддержку которой имеют
все маршрутизаторы Cisco. Она предоставит нам централизованное
управление доступом складов к серверам компании.

Доступ к веб-серверам компании из интернета предлагается организовать с

помощью технологии NAT, которая позволит маршрутизировать обращения к
любому количеству веб-серверов, не выделяя им внешний статический IP-
адрес (что противоречит политике компании).
Для организации связи между офисом-филиалом и главным офисом
рекомендуется использовать технологию PPP. Необходимо арендовать канал у
провайдера, который гарантирует нам конфиденциальность трафика и
пропускную способность в 1,5Мбит/c (T1). Кроме того технология PPP
поддерживается практически на любом современном оборудовании.

Распределение IP-адресов
На филиал выделена подсеть 10.11.0.0/16, которая предоставляет нам 65534
свободных хостовых адресов, что позволяет нам выделять большие подсети
отделам для обеспечения лучшей масштабируемости. Имеется четыре отдела,
каждому из которых присваивается свой VLAN и подсеть.

Отдел VLAN # Имя VLAN Подсеть

Бухгалтерия 10 ACCT 10.11.1.0/24
Продаж 20 SALES 10.11.2.0/24
Кадров 30 HR 10.11.3.0/24

Распределение IP-адресов в подсетях на примере VLAN1:

IP-адрес Тип Описание

10.11.1.1 – 10.11.1.10 Static Статические адреса для
серверов
10.11.1.11 – 10.11.1.20 Static Статические адреса для
принтеров
10.11.1.21 – 10.11.1.254 DHCP
Остальным серверам компании назначаются статические адреса подсети
10.11.5.0/24

Распределение адресов на складах.

Так как наибольшее количество компьютеров на складе 9(Склад 3), выделим

на склады подсети /26, которые предоставляют 62 свободных хоста, что
обеспечит нам большой запас свободных адресов на случай увеличения
компьютеров на складах.

Склад Подсеть
Склад 1 10.11.4.0/26
Склад 2 10.11.4.64/26
Склад 3 10.11.4.128/26
Распределение адресов для линков

Линк Подсеть
Rmain ↔ RWH1 10.11.6.0/30
Rmain ↔ RWH2 10.11.6.4/30
Rmain ↔ RWH3 10.11.6.8/30
При этом первый адрес любой подсети присваивается интерфейсу роутера
Rmain.
Конфигурация оборудования
Коммутаторы
S4

На этом коммутаторе необходимо сконфигурировать три VLAN. Для этого

выполним поочередно следующие команды:

configure terminal
vlan 10
name ACCT
end
vlan 20
name SALES
end
vlan 30
name HR
end

После чего портам коммутатора нужно назначить соответствующий VLAN

командой:

configure terminal
interface interface id
switchport mode access
switchport access vlan vlan id
end

Один интерфейс коммутатора необходимо сконфигурировать как trunk:

configure terminal
interface interface id
switchport mode trunk
end

S3

На этом коммутаторе необходимо сконфигурировать только VLAN 1:

configure terminal
vlan 10
name ACCT
end

После чего портам коммутатора нужно назначить соответствующий VLAN

командой:

configure terminal
interface interface id
switchport mode access
switchport access vlan vlan id
end

Один интерфейс коммутатора необходимо сконфигурировать как trunk:

 configure terminal
interface interface id
switchport mode trunk
end

S2

На этом коммутаторе необходимо сконфигурировать только VLAN 3:

configure terminal
vlan 30
name HR
end

После чего портам коммутатора нужно назначить соответствующий VLAN

командой:

configure terminal
interface interface id
switchport mode access
switchport access vlan vlan id
end

Один интерфейс коммутатора необходимо сконфигурировать как trunk:

configure terminal
interface interface id
switchport mode trunk
end

S1

На этом коммутаторе необходимо сконфигурировать только VLAN 2:

configure terminal
vlan 20
name SALES
end

После чего портам коммутатора нужно назначить соответствующий VLAN

командой:

configure terminal
interface interface id
switchport mode access
switchport access vlan vlan id
end

Один интерфейс коммутатора необходимо сконфигурировать как trunk:

configure terminal
interface interface id
switchport mode trunk
end
S0

Четыре порта этого коммутатора(которые соединены с коммутаторами S1-4)

должны быть настроены как trunk:

configure terminal
interface interface id
switchport mode trunk
end

На этом коммутаторе необходимо сконфигурировать три VLAN. Для этого

выполним поочередно следующие команды:

configure terminal
vlan 10
name ACCT
end
vlan 20
name SALES
end
vlan 30
name HR
end

После этого тем портам коммутатора, которые соединены с серверами

отделов, нужно назначить соответствующий VLAN:

configure terminal
interface interface id
switchport mode access
switchport access vlan vlan id
end

Мрашрутизаторы
RWH1

Необходимо настроить статическую маршрутизацию для связи с сервером БД

в офисе:

Ip route 10.11.5.0 255.255.255.0 10.11.6.1

RWH2

Необходимо настроить статическую маршрутизацию для связи с сервером БД

в офисе:

Ip route 10.11.5.0 255.255.255.0 10.11.6.5

RWH3

Необходимо настроить статическую маршрутизацию для связи с сервером БД

в офисе:
 Ip route 10.11.5.0 255.255.255.0 10.11.6.9

Rmain

Необходимо настроить статическую маршрутизацию для связи сервера БД со

складами. Для этого необходимо добавить три маршрута:

Ip route 10.11.4.0 255.255.255.192 10.11.6.2

Ip route 10.11.4.64 255.255.255.192 10.11.6.6
Ip route 10.11.4.128 255.255.255.192 10.11.6.10

Настройка ACL.

Необходимо создать правило, разрешающее подключаться к интернету

только сотрудникам отдела продаж:

access-list 1 deny any

access-list 1 permit 10.11.2.0 0.0.0.255

После этого необходимо применить это правило к интерфейсу

маршрутизатора, который подключен к интернету:

Interface interface id
Ip access-group 1 out

Необходимо создать правило, позволяющее подключаться к серверу БД

складам по порту 80 и запрещающее подключаться отделам и интернету:

access-list 101 deny any ip address of DB server

access-list 101 permit tcp 10.11.4.0 0.0.0.64 ip address of DB server eq 80
access-list 101 permit tcp 10.11.4.64 0.0.0.64 ip address of DB server eq 80
access-list 101 permit tcp 10.11.4.128 0.0.0.64 ip address of DB server eq 80

После этого необходимо применить это правило к интерфейсу

маршрутизатора, который подключен к серверу БД :

Interface interface id
Ip access-group 1 out

Настройка NAT.

Для обеспечения доступа к интернету сотрудниками и интернету к http-

серверам необходимо настроить NAT. Ну филиал выделен блок публичных
адресов 82.0.0.1/28. inside Nat interface id1 – интерфейс маршрутизатора,
который соединен с сервером БД, inside Nat interface id2 – интерфейс
маршрутизатора, который соединен с отделами, outside Nat interface id1 -
интерфейс маршрутизатора, который соединен с интернетом.

access-list 3 permit 10.11.5.0 0.0.0.255

access-list 3 permit 10.11.2.0 0.0.0.255
ip nat pool NAT-POOL1 82.0.0.128 82.0.0.143 netmask 255.255.255.240
ip nat inside source list 3 pool NAT-POOL1 overload
interface inside Nat interface id1
ip nat inside
 interface inside Nat interface id2
ip nat inside
interface outside Nat interface id1
ip nat outside

Настройка PPP.

Соединение с центральным офисом в Москве осуществляется по

арендованному каналу по технологии PPP.

interface frame relay interface id

encapsulation ppp
bandwidth 1536

Аналогично нужно настроить на интерфейсе маршрутизатора в Москве.

Конечная конфигурация оборудования

SW4

Current configuration : 1026 bytes

!
version 12.2
no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/1
switchport access vlan 2
!
interface FastEthernet0/2
switchport access vlan 3
!
interface FastEthernet0/3
switchport access vlan 4
!
interface FastEthernet0/4
switchport mode trunk
!
...
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
 login
line vty 5 15
login
!
!
end

SW3

Current configuration : 974 bytes

!
version 12.2
no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/1
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode trunk
!
….
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end

SW2

Current configuration : 974 bytes

!
version 12.2
no service password-encryption
!
hostname Switch
!
!
 !
interface FastEthernet0/1
switchport access vlan 4
!
interface FastEthernet0/2
switchport mode trunk
!
…
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end

SW1

!
version 12.2
no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/5
switchport access vlan 2
!
interface FastEthernet0/6
switchport access vlan 2
!
interface FastEthernet0/7
switchport access vlan 3
!
interface FastEthernet0/8
switchport access vlan 3
!
interface FastEthernet0/9
switchport access vlan 4
!
interface FastEthernet0/10
switchport access vlan 4
 !
interface FastEthernet0/11
switchport mode trunk
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end

SW0

Current configuration : 1104 bytes

!
version 12.2
no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
switchport access vlan 2
!
interface FastEthernet0/6
switchport access vlan 2
!
interface FastEthernet0/7
switchport access vlan 3
!
interface FastEthernet0/8
switchport access vlan 3
!
interface FastEthernet0/9
 switchport access vlan 4
!
interface FastEthernet0/10
switchport access vlan 4
!
interface FastEthernet0/11
switchport mode trunk
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end

RWH1

show run
Current configuration : 406 bytes
!
version 12.2
no service password-encryption
!
hostname Router
!
!
!
!
!
ip ssh version 1
!
!
interface FastEthernet0/0
ip address 10.11.4.1 255.255.255.192
duplex auto
speed auto
!
interface Serial0/0
ip address 10.11.6.2 255.255.255.252
!
interface FastEthernet1/0
no ip address
shutdown
 !
ip classless
ip route 10.11.5.0 255.255.255.0 10.11.6.1
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
end

RWH2

show run
Current configuration : 477 bytes
!
version 12.4
no service password-encryption
!
hostname Router
!
!
!
!
!
ip ssh version 1
!
!
interface FastEthernet0/0
ip address 10.11.4.65 255.255.255.192
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/1/0
ip address 10.11.6.6 255.255.255.252
!
interface Vlan1
no ip address
shutdown
!
 ip classless
ip route 10.11.5.0 255.255.255.0 10.11.6.5
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
end

RWH3

Current configuration : 362 bytes

!
version 12.2
no service password-encryption
!
hostname Router
!
!
!
!
!
ip ssh version 1
!
!
interface FastEthernet0/0
ip address 10.11.4.129 255.255.255.192
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 10.11.6.10 255.255.255.252
!
ip classless
ip route 10.11.5.0 255.255.255.0 10.11.6.9
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
 end

Rmain

show run

Current configuration : 1813 bytes

!
version 12.2
no service password-encryption
!
hostname Router
!
!
!
!
!
ip ssh version 1
!
!
interface FastEthernet0/0
no ip address
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 10.11.1.254 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 10.11.2.254 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 30
ip address 10.11.3.254 255.255.255.0
!
interface FastEthernet1/0
no ip address
ip access-group 1 out
ip nat outside
duplex auto
speed auto
!
interface Serial2/0
ip address 10.11.6.5 255.255.255.252
!
interface Serial3/0
ip address 10.11.6.1 255.255.255.252
!
interface Serial4/0
encapsulation ppp
!

interface FastEthernet4/0
ip address 10.11.6.9 255.255.255.252
!
interface FastEthernet5/0
no ip address
shutdown
!
interface FastEthernet6/0
ip address 10.11.5.254 255.255.255.0
ip access-group 101 out
ip nat inside
duplex auto
speed auto
!
interface FastEthernet7/0
no ip address
duplex auto
speed auto
!
interface FastEthernet8/0
no ip address
duplex auto
speed auto
!
interface FastEthernet9/0
no ip address
duplex auto
speed auto
shutdown
!
ip nat pool NAT-POOL1 82.0.0.129 82.0.0.142 netmask 255.255.255.240
ip nat inside source list 3 pool NAT-POOL1 overload
ip classless
ip route 10.11.4.0 255.255.255.192 10.11.6.2
ip route 10.11.4.64 255.255.255.192 10.11.6.6
ip route 10.11.4.128 255.255.255.192 10.11.6.10
!
!
access-list 1 deny any
access-list 1 permit 10.11.2.0 0.0.0.255
access-list 101 permit tcp 10.11.4.0 0.0.0.64 10.11.5.0 0.0.0.255 eq www
access-list 101 permit tcp 10.11.4.128 0.0.0.64 10.11.5.0 0.0.0.255 eq www
access-list 101 deny tcp any 10.11.5.0 0.0.0.255
access-list 3 permit 10.11.5.0 0.0.0.255
access-list 3 permit 10.11.2.0 0.0.0.255
!
!
!
line con 0
line vty 0 4
login
!
!
end
Рисунок 1. Общая топология сети