Лабораторная работа № 8.

Тема: Маршрутизатор
Цель работы: построить маршрутизируемую IP-сеть
Теоретические основы: Маршрутизатор
Маршрутизатор (Router) — специализированное устройство, которое пересылает пакеты между
различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может
связывать разнородные сети различных архитектур. Для принятия решений о пересылке пакетов
используется информация о топологии сети и определённые правила, заданные администратором.
Маршрутизаторы работают на «сетевом» (третьем) уровне сетевой модели OSI, в отличие от
коммутаторов (свитчей) L2 уровня OSI и концентраторов (хабов), которые работают
соответственно на втором и первом уровнях модели OSI.

Принцип работы. Обычно маршрутизатор использует адрес получателя, указанный в заголовке

пакета, и определяет по таблице маршрутизации путь, по которому следует передать данные. Если
в таблице маршрутизации для адреса нет описанного маршрута — пакет отбрасывается.
Существуют и другие способы определения маршрута пересылки пакетов, когда, например,
используется адрес отправителя, используемые протоколы верхних уровней и другая информация,
содержащаяся в заголовках пакетов сетевого уровня. Нередко маршрутизаторы могут
осуществлять трансляцию адресов отправителя и получателя, фильтрацию транзитного потока
данных на основе определённых правил с целью ограничения доступа, шифрование/
расшифровывание передаваемых данных и т. д.
Таблица маршрутизации содержит информацию, на основе которой маршрутизатор принимает
решение о дальнейшей пересылке пакетов. Таблица состоит из некоторого числа записей —
маршрутов, в каждой из которых содержится идентификатор сети получателя (состоящий из
адреса и маски сети), адрес следующего узла, которому следует передавать пакеты,
административное расстояние — степень доверия к источнику маршрута и некоторый вес записи
— метрика. Метрики записей в таблице играют роль в вычислении кратчайших маршрутов к
различным получателям. В зависимости от модели маршрутизатора и используемых протоколов
маршрутизации, в таблице может содержаться некоторая дополнительная служебная информация.

Таблица маршрутизации может составляться двумя способами:

• статическая маршрутизация — когда записи в таблице вводятся и изменяются вручную.
Такой способ требует вмешательства администратора каждый раз, когда происходят
изменения в топологии сети. С другой стороны, он является наиболее стабильным и
требующим минимума аппаратных ресурсов маршрутизатора для обслуживания таблицы.
• динамическая маршрутизация — когда записи в таблице обновляются автоматически при
помощи одного или нескольких протоколов маршрутизации — RIP, OSPF, IGRP, EIGRP, IS-
 IS, BGP, и др. Кроме того, маршрутизатор строит таблицу оптимальных путей к сетям
назначения на основе различных критериев — количества промежуточных узлов,
пропускной способности каналов, задержки передачи данных и т. п. Критерии вычисления
оптимальных маршрутов чаще всего зависят от протокола маршрутизации, а также
задаются конфигурацией маршрутизатора. Такой способ построения таблицы позволяет
автоматически держать таблицу маршрутизации в актуальном состоянии и вычислять
оптимальные маршруты на основе текущей топологии сети. Однако динамическая
маршрутизация оказывает дополнительную нагрузку на устройства, а высокая
нестабильность сети может приводить к ситуациям, когда маршрутизаторы не успевают
синхронизировать свои таблицы, что приводит к противоречивым сведениям о топологии
сети в различных её частях и потере передаваемых данных..
NAT
Network Address Translation «преобразование сетевых адресов» — это механизм в сетях TCP/IP,
позволяющий преобразовывать IP-адреса транзитных пакетов.
Преобразование адреса методом NAT может производиться почти любым маршрутизирующим
устройством — маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным
является SNAT, суть механизма которого состоит в замене адреса источника (source) при
прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном
пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника
и назначения.
Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это
локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо
переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес
компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует
(подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет
номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам).
Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице.
Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер
сотрёт у себя в таблице запись об n-м порте за сроком давности.
Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами
доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне
транслируются межсетевым экраном на компьютер пользователя в локальной сети, имеющий
внутренний адрес и потому недоступный извне сети непосредственно (без NAT).
Существует 3 базовых концепции трансляции адресов:
• Статический NAT — отображение незарегистрированного IP-адреса на
зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда
устройство должно быть доступным снаружи сети.
• Динамический NAT — отображает незарегистрированный IP-адрес на
зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT
также устанавливает непосредственное отображение между незарегистрированными и
зарегистрированными адресами, но отображение может меняться в зависимости от
зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
• Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического
NAT, который отображает несколько незарегистрированных адресов в единственный
зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port
 Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот
же самый адрес, но с различным номером порта.

Типы NAT:
• Симметричный NAT (Symmetric NAT) — трансляция, при которой каждое соединение,
инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную
уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом
инициация соединения из публичной сети невозможна.
• Cone NAT, Full Cone NAT — однозначная (взаимная) трансляция между парами
«внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой
внешний хост может инициировать соединение с внутренним хостом (если это разрешено в
правилах межсетевого экрана).
• Address-Restricted cone NAT, Restricted cone NAT — постоянная трансляция между парой
«внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое
соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему
пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
• Port-Restricted cone NAT — трансляция между парой «внутренний адрес: внутренний
порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на
внутренний хост только с одного порта публичного хоста — того, на который внутренний
хост уже посылал пакет.

Преимущества NAT:
1. Позволяет сэкономить IP-адреса (только в случае использования NAT в режиме PAT),
транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в
несколько, но меньшим количеством, чем внутренних). По такому принципу построено
большинство сетей в мире: на небольшой район домашней сети местного провайдера или
на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают
доступ интерфейсы с приватными (внутренними) IP-адресами.
2. Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам,
оставляя возможность обращения изнутри наружу. При инициации соединения изнутри
сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют
созданной трансляции и поэтому пропускаются, если для пакетов, поступающих снаружи,
соответствующей трансляции не существует они не пропускаются.
3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По
сути, выполняется та же указанная выше трансляция на определённый порт, но возможно
подменить внутренний порт официально зарегистрированной службы (например, 80-й порт
TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после
трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет
попасть по адресу http://example.org:54055, но на внутреннем сервере, находящемся за NAT,
он будет работать на обычном 80-м порту. Повышение безопасности и сокрытие
«непубличных» ресурсов.
Недостатки NAT:
1. Старые протоколы. Протоколы, разработанные до массового внедрения NAT, не в
состоянии работать, если на пути между взаимодействующими хостами есть трансляция
адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут
исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в
заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP).
 2. Идентификация пользователей. Из-за трансляции адресов «много в один» появляются
дополнительные сложности с идентификацией пользователей и необходимость хранить
полные логи трансляций.
3. Иллюзия DoS-атаки. Если NAT используется для подключения многих пользователей к
одному и тому же сервису, это может вызвать иллюзию DoS-атаки на сервис (множество
успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ
за NAT приводит к проблеме с подключением к серверу некоторых пользователей из-за
превышения допустимой скорости подключений. Частичным решением проблемы является
использование пула адресов (группы адресов), для которых осуществляется трансляция.
4. Пиринговые сети. В NAT-устройствах, не поддерживающих технологию Universal Plug &
Play, в некоторых случаях, необходима дополнительная настройка при работе с
пиринговыми сетями и некоторыми другими программами, в которых необходимо не только
инициировать исходящие соединения, но также принимать входящие.

VPN
Virtual private network «виртуальная частная сеть» — обобщённое название технологий,
позволяющих обеспечить одно или несколько сетевых соединений поверх чьей-либо другой сети.
Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем
доверия (например, публичные сети), уровень доверия к построенной логической сети не зависит
от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования,
аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и изменений
передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения
трёх видов: узел-узел, узел-сеть и сеть-сеть.

Уровни реализации
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на
этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP,
UDP). Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в
какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point
Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия).
При должном уровне реализации и использовании специального программного обеспечения сеть
VPN может обеспечить высокий уровень шифрования передаваемой информации.
Структура VPN
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько,
и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется
Интернет).
Подключение удалённого пользователя к VPN производится посредством сервера доступа,
который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении
удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер
доступа требует прохождения процесса идентификации, а затем — процесса аутентификации.
После успешного прохождения обоих процессов удалённый пользователь (удалённая сеть)
наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN

По степени защищённости используемой среды

• Защищённые. Наиболее распространённый вариант виртуальных частных сетей. С его
помощью возможно создать надежную и защищённую сеть на основе ненадёжной сети, как
правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
• Доверительные. Используются в случаях, когда передающую среду можно считать
надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках
большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных
решений VPN являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling
Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения
безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
По способу реализации
• В виде специального программно-аппаратного обеспечения. Реализация сети VPN
осуществляется при помощи специального комплекса программно-аппаратных средств.
Такая реализация обеспечивает высокую производительность и, как правило, высокую
степень защищённости.
• В виде программного решения. Используется персональный компьютер со специальным
программным обеспечением, обеспечивающим функциональность VPN.
• Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий
также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения
качества обслуживания.
По назначению
• Intranet VPN. Используется для объединения в единую защищённую сеть нескольких
распределённых филиалов одной организации, обменивающихся данными по открытым
каналам связи.
• Remote-access VPN. Используется для создания защищённого канала между сегментом
корпоративной сети (центральным офисом или филиалом) и одиночным пользователем,
который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера,
корпоративного ноутбука, смартфона или интернет-киоска.
• Extranet VPN. Используется для сетей, к которым подключаются «внешние» пользователи
(например заказчики или клиенты). Уровень доверия к ним намного ниже, чем к
сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты,
предотвращающих или ограничивающих доступ последних к особо ценной,
конфиденциальной информации.
• Internet VPN. Используется провайдерами для предоставления доступа к интернету, обычно
если по одному физическому каналу подключаются несколько пользователей. Протокол
PPPoE стал стандартом в ADSL-подключениях.
• Client/server VPN. Этот вариант обеспечивает защиту передаваемых данных между двумя
узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN
строится между узлами, находящимися, как правило, в одном сегменте сети, например,
между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех
случаях, когда в одной физической сети необходимо создать несколько логических сетей.
Например, когда надо разделить трафик между финансовым департаментом и отделом
кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот
 вариант похож на технологию VLAN, но вместо разделения трафика используется его
шифрование.
По уровню сетевого протокола
По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой
модели ISO/OSI.
VPN-соединение на маршрутизаторах
С ростом популярности VPN-технологий многие пользователи стали активно настраивать
VPN-соединение на маршрутизаторах ради увеличения безопасности в сети. VPN-
соединение, сконфигурированное на маршрутизаторе, шифрует сетевой трафик всех
подсоединённых устройств, в том числе и тех, которые не поддерживают VPN-технологий.

Межсетевой экран
Межсетевой экран — программный или программно-аппаратный элемент компьютерной сети,
осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в
соответствии с заданными правилами.
Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или
отдельных хостов от несанкционированного доступа с использованием уязвимых мест в
протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах
сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с
заданными шаблонами.
От каких видов атак защищает брандмауэр Межсетевой экран предназначен для защиты от
следующих типов киберугроз:
• Бэкдор-доступа. Это атаки с использованием уязвимостей в установленном на ПК
программном обеспечении: операционной системе, утилитах, прикладных приложениях.
Они позволяют хакеру получить доступ к устройству, посылать и принимать с него с
трафик. Брандмауэр блокирует подобные действия.
• Фишинг. Мошенническая схема, в ходе которой пользователь попадает на фальшивый
(фишинговый) сайт, один в один копирующий известный веб-ресурс. Например, повторяет
страницы входа в социальную сеть или оплаты через онлайн-банкинг. Человек вводит
личные данные, и они попадают в руки злоумышленника. Файервол запрещает
подключения к подозрительным сайтам.
• Взлом удаленного доступа. С помощью удаленного рабочего стола пользователь может
управлять компьютером через интернет, т. е. дистанционно. Хакеры могут перехватить этот
доступ и украсть важные данные. В задачи брандмауэра входит запрет на передачу такого
трафика.
• Переадресация маршрута. Пакеты данных передаются по сети определенными
маршрутами, а этот вид атак предполагает подмену пути следования информации таким
образом, чтобы конечное устройство ничего не «заподозрило».
• DdoS-атаки. Поскольку главная задача брандмауэра — это фильтрация, он помогает
справиться с наплывом огромных объемов трафика. Блокировка работает как на входящие,
так и на исходящие пакеты, если ваше устройство попробуют использовать в качестве
атакующего.
Порядок выполнения работы:
1. Запускаем Cisco Packet Tracer;

2. Создадим три компьютера, один коммутатор 2960 и маршрутизатор (рис. а). Пусть будет три
сегмента VLAN2, VLAN3 и VLAN4.
3. Настроим коммутатор в режиме глобального конфигурирования.

3.1. Создадим VLAN2, VLAN3 и VLAN4 и назначим им имена;

3.2. Определяем компьютеры в соответствующий интерфейс. Компьютер РС0 подключен к

интерфейсу fastEthernet 0/1, РС1 к fastEthernet 0/2, РС1 к fastEthernet 0/3. Настройте интерфейсы с
помощью команд interface fastEthernet 0/1, switchport mode access, switchport access vlan 2.
Аналогично для оставшихся VLAN3 и VLAN4;
3.3. Настройте trunk порт, который идет до маршрутизатора (в нашем случае порт коммутатора
fastEthernet 0/4).
4. Настроим маршрутизатор:

4.1. Заходим в CLI;

4.2. Режим глобального конфигурирования;
4.3. Необходимо поднять физический порт (в нашем случае gigabitEthernet 0/0) с помощью
команд interface gigabitEthernet 0/0, no shutdown.
5. Т.к. на маршрутизатор приходит три VLAN, необходимо создать подинтерфейсы, которым
будут соответствовать свой VLAN с помощью команд interface gigabitEthernet 0/0.2, encapsulation
dot1Q 2, и зададим IP адрес 192.168.2.1 255.255.255.0, no shutdown. Аналогично сделайте для
VLAN 3 и 4. Сохраните.
6. Настройте компьютеры. Например, в нашем случае для РС0 IP адрес 192.168.2.2, маска
255.255.255.0 и шлюз 192.168.2.1. Аналогично для остальных компьютеров.
7. Проверьте соединение.
Рассмотрим пример (рис. б):
1. Добавим 4 компьютера, 3 коммутатора 2960, один коммутатор третьего уровня, один
маршрутизатор и 2 сервера;
2. Наши компьютеры РС0 и РС2 находятся в VLAN 2, РС1 и РС3 в VLAN 3, сервера
находятся в своем выделенном VLAN 4;
3. Настройте коммутаторы Switch0, Switch1 и Switch3.

4. Для компьютеров присвойте IP адреса: РС0 – 192.168.22.2, РС2 – 192.168.22.3, РС1 –

192.168.33.2, РС3 – 192.168.33.3, для серверов 192.168.44.2 и 192.168.44.3;
5. Настройте коммутатор L3;

6. Создайте VLAN 5;

7. Настройте коммутатор L3 для данного сегмента. Поднимите виртуальный интерфейс с

помощью команд ip address 192.168.55.2 255.255.255.0, no shutdown;
8. Порт gigabitEthernet 0/1 определите как access порт;

9. Настроим маршрутизатор:

9.1. Режим глобального конфигурирования.

9.2. Поднимите физический интерфейс (в нашем случае gigabitEthernet 0/0). И задаем IP адрес
ip address 192.168.55.1 255.255.255.0;
10. Проверьте сеть.
Контрольные вопросы:
1. В чем сходство и отличие таких устройств как маршрутизатор, шлюз и межсетевой экран?
2. С какой целью используется VPN в организациях?
3. Какие риски могут быть при использовании VPN, в каких случаях?
4. Что такое перегрузка PAT или NAT?