datortĪkla izveide un konfigurĒŠana mazos un vidĒjos ... · izveidot tīkla iekārtu...
TRANSCRIPT
ALBERTA KOLEDŽA
Informācijas tehnoloģiju programma
ANDRIS LOSKUTOVS
Kursa darbs studiju kursā „Datortīkli”
DATORTĪKLA IZVEIDE UN
KONFIGURĒŠANA MAZOS UN VIDĒJOS
UZŅĒMUMOS, IZMANTOJOT CISCO
IEKĀRTAS
Specializācija: Datortīklu administrēšana
Kursa darba vadītājs: .... Dr. sc. comp., docents Valdis Vītoliņš __________ (paraksts, datums)
Students: ____________________ (paraksts, datums)
Rīga-2014
2
SATURS
IEVADS .......................................................................................................................................... 3
1. UZŅĒMUMA TĪKLA PLĀNOŠANA .................................................................................. 4
1.1. Uzņēmuma esošās infrastruktūras vērtēšana ............................................................................ 4
1.2. Loģiskā topoloģija........................................................................................................................ 5
1.2.1. Slēgumu veidi ........................................................................................................ 5
1.2.2. Iekārtu savstarpējās saslēgšanas risinājumi ........................................................... 8
1.2.3. Drošības risinājumi .............................................................................................. 14
1.3. Fiziskā topoloģija .......................................................................................................................19
1.3.1. Informācijas nesēji ............................................................................................... 19
1.3.2. Iekārtas................................................................................................................. 22
2. TĪKLA MODELIS IZMANTOJOT CISCO IEKĀRTAS ............................................... 23
2.1. Uzņēmuma analīze, loģiskā un fiziskā topoloģija .................................................................23
2.2. Iekārtu konfigurācija ..................................................................................................................26
SECINĀJUMI .............................................................................................................................. 33
PRIEKŠLIKUMI ......................................................................................................................... 34
BIBLIOGRĀFISKAIS SARAKSTS .......................................................................................... 35
GRAFISKĀ DAĻA ...................................................................................................................... 37
PIELIKUMI ................................................................................................................................. 44
1.pielikums. Tīkla modeļa maršrutētāju konfigurācija .................................................................. 45
2.pielikums. Tīkla modeļa komutatoru konfigurācija ................................................................... 50
3
IEVADS
CISCO korporācija uz šo brīdi ir viena no lielākajām organizācijām, kas ražo tīkla
iekārtas. Šīs korporācijas produkti tiek uzskatīti par drošiem un arī ASV Aizsardzības
departaments tos ir definējis kā savās struktūrās izmantojamus risinājumus [11]. CISCO
izstrādātie risinājumi kļūst ar vien pieejamāki un no 2013. gada CISCO ir pasludinājis savu
maršrutēšanas protokolu EIGRP par atvērta tipa protokolu, kas nozīmē tā drīzu pieejamību citu
ražotāju izstrādājumos. Ne mazsvarīgi ir, ka arī lielu daļu no kopējā Latvijas uzņēmumu
daudzuma veido mazie un vidējie uzņēmumi un šādu uzņēmumu daudzums 2012. gadā
pārsniedza 85 000 [12].
Līdz ar to ir lietderīgi savlaicīgi iepazīties ar CISCO definētajiem risinājumiem un arī šo
protokolu un iespēju izmantot tos mazo un vidējo uzņēmumu tīklos.
Kursa darba galvenie uzdevumi ir:
1. Iepazīties ar dažādiem datu pārraides līdzekļiem un izvērtēt to izmantošanas
lietderību mazos un vidējos uzņēmumos, pamatojoties uz ekonomisko un informācijas drošības
aspektu.
2. Iepazīties ar CISCO mazajiem un vidējiem uzņēmumiem piedāvātajās tīklu iekārtās
pieejamajiem tīklu un apakštīklu izveides un savstarpējās sasaistīšanas un drošības risinājumiem.
3. Izveidot tīkla iekārtu konfigurācijas vispārīgu modeli, izmantojot Cisco Packet
Tracer tīklu modelēšanas rīku.
Kursa darbu veido divas izvērstas nodaļas, kur pirmajā ir izvērtēti jautājumu teorētiskie
aspekti un otrajā ir piedāvāts tehnisks risinājums. Šāda darba struktūra nodrošina maksimāli
efektīvu problēmu izvērtēšanu gan no teorētiskā, gan no praktiskā viedokļa. Darbā ir izmantotas
sekojošas vispārzinātniskās pētījumu metodes: loģiski konstruktīvā, grafiskā un analīze.
Šī darba ierobežojumi ir saistīti ar izstrādes laiku un ierobežoto darba apjomu, kā
rezultātā atsevišķi jautājumi, kas ir neatņemama tīkla plānošanas daļa, tiek apskatīti tikai
vispārīgi. Ierobežojums ir saistīts arī ar darba tēmā noteikto uzņēmuma termina vispārīgumu un
ar to saistītajiem uzņēmuma struktūras analīzes ierobežojumiem.
Pētījuma periods ir no 2013. gada 21. decembra līdz 2014. gada 8. februārim un to
nosaka Alberta koledžas „Informācijas tehnoloģijas” programmas kursa darbu izstrādes grafiks.
Darbs ir veidots, analizējot Eiropas Komisijas regulas, ārvalstu zinātnieku darbus un
publikācijas periodikā un tīmeklī pieejamos materiālus.
4
1. UZŅĒMUMA TĪKLA PLĀNOŠANA
1.1. Uzņēmuma esošās infrastruktūras vērtēšana
Jebkura projekta izstrādē ir jāievēro noteikta metodika. Projekta izstrāde ir pakāpenisks
process, kur katra nākamā fāze ir saistīta ar iepriekšējo. Projektā, kura mērķis ir jauna datortīkla
izveide vai jau esošā modernizācija, pirmā fāze ir saistīta ar informācijas analīzi. Nav iespējams
realizēt sekmīgu uzņēmuma mērķiem atbilstošu projektu bez iepriekšējās sagatavošanās darbiem.
Gan uzņēmuma informāciju tehnoloģiju (turpmāk – IT) daļai, gan ārpakalpojumu sniedzējam ir
jāzina uzņēmuma izvirzītās prasības, kuras nepieciešamas tā funkciju izpildei. Šajās prasībās
ietilpst gan uzņēmuma biznesa vajadzības, gan struktūra, gan ģeogrāfiskais izvietojums, gan
izmantojamie servisi un ja tā ir modernizācija arī esošā tīkla spēju analīze. Pamatojoties uz šīm
prasībām otrajā fāzē jau ir iespējams izstrādāt loģisko modeli, kur jau tiek aprakstīta jaunā tīkla
loģiskā topoloģija, tajā skaitā izmantojamie adrešu lauki un maršrutēšanas protokoli. Projekta
trešajā fāzē tiek noteiktas jau konkrētas iekārtas un mediji, kas tiks izmantoti, lai nodrošinātu
loģiskajā topoloģijā minēto prasību izpildi un ceturtajā izveidots tīkla modelis, kur tiek testēts
plānotais risinājums un sagatavota jauno tīklu aprakstošā dokumentācija [8, 6. lpp].
Līdz ar to, lai izveidotu vispārīgu datortīkla modeli, kas būtu piemērots izmantošanai
mazos un vidējos uzņēmumos, ir jādefinē, kas ir šie uzņēmumi un kāda ir to specifika.
Ekonomikā viena no izmantotajām metodēm kā tiek iedalīti uzņēmumi ir to dalījums pēc
personāla daudzuma un uzņēmuma finanšu apgrozījuma. Arī atbilstoši Eiropas komisijas 2004.
gada 25. februāra regulas Nr. 364/2004 2. pantam par sīkiem tiek definēti uzņēmumi ar
darbinieku skaitu līdz 10, par maziem — līdz 50 un par vidējiem — līdz 250, ar apgrozījumu
atbilstoši līdz 2, 10 un 43 miljoniem eiro gadā [1]. Plānojot datortīklu konkrētā uzņēmumā gan
nevar pamatoties tikai uz darbinieku skaitu, bet tas ir jāveido ņemot vērā uzņēmuma
darbiniekiem nepieciešamo serveru un darbstaciju skaitu un to fizisko izvietojumu. Ir jāsaprot,
kādi servisi un jaudas uzņēmumam atbilstoši tā specifikai būs nepieciešami un ir jāizvēlas
atbilstošs tīkla risinājums, lai nodrošinātu informācijas aizsardzību atbilstoši tās svarīgumam.
Plānošanas laikā ir jāņem arī vērā ekonomiskais aspekts un plānoto risinājumu lietderība
salīdzinājumā ar nepieciešamo — finansējumu.
Ir ikdienišķa situācija, kad mazajam uzņēmumam ar, piemēram, 10 darbiniekiem un no
aizsargāšanas viedokļa ar salīdzinoši zema līmeņa informāciju, nav nepieciešami specifiski
servisi, kā savs e-pasta serveris, failu serveris un datortīkls. Šādos uzņēmumos datortīkls bieži ir
5
veidots ar mazbudžeta klases maršrutētāju, kas reizē pilda arī komutatora funkcijas un vairākām
darbstacijām, kas ar to saslēgtas zvaigznes slēgumā. Tomēr šāda tīkla analīzes lietderība
maznozīmīguma dēļ nav lietderīga, ja vien nav plānots attīstīt uzņēmu vai mainās tā drošības
politiku. Kā analīzes modelis jau var būt izmantojams uzņēmums ar klasiski hierarhisku struktūru
(1. att). Šādos uzņēmumos katrai uzņēmuma apakšstruktūrai tiek uzskatīts, ka ir nodalīti darba
pienākumi. Līdz ar to ir prognozējama arī tīkla resursu pieejamība atbilstoši nodaļām.
1.att. Vispārīga uzņēmuma shēma
Kā jau iepriekš minēts, viens no sagatavošanas darbiem uzņēmumam nepieciešamo
servisu izvērtēšana, lai noteiktu nepieciešamās tīkla jaudas. Šo vērtēšanu var pamatot uz
informāciju, kas veikta aptaujājot darbiniekus. Ne mazāk svarīga ir risinājuma ekonomiskā
pamatotība un tajā skaitā ir jāapzina cik svarīgi ir dati, kas tiks pārraidīti tīklā. Ir jāsamēro tīkla
veidošanas izmaksas, kas saistītas ar informācijas aizsardzību, darba nepārtrauci un sistēmas
pieejamību ar uzņēmuma informācijas svarīgumu.
1.2. Loģiskā topoloģija
1.2.1. Slēgumu veidi
Topoloģijas izveides laikā ir jāizstrādā tīkla arhitektūra, adresācija un jāizvēlas
izmantojamie maršrutēšanas protokoli.
Visplašāk izplatītie arhitektūras tipi ir zvaigznes un hierarhiskais slēgums un šo slēgumu
apvienojumi. Zvaigznes slēgumam ir raksturīgi, ka katra iekārta tiek pieslēgta pie centrālā
komutatora (2. att). Šo metodi ir visvienkāršāk ieviest, jo neprasa ne lielus kapitālieguldījumus,
ne specifiskas zināšanas. Tomēr kā trūkumu ir jāmin, ka centrālā mezgla bojājuma gadījumā
nepieejama kļūst visa sistēma. Slēgums ir plaši izplatīts mājsaimniecības kā arī ļoti mazos
6
uzņēmumos, kad ienākošo signālu apstrādā mazbudžeta maršrutētājs/komutators un pie tā ir
pieslēgtas visas mājsaimniecības iekārtas.
Komutators
Darbstacija
Darbstacija
Darbstacija
Darbstacija
Darbstacija
2.att. Zvaigznes slēgums
CISCO ieteiktais slēguma tips uzņēmumiem ir hibrīdais pakāpeniska tipa slēgums (3. att)
[8, 121. lpp.]. Šāds slēguma tips ļauj ērti dalīt tīklu līmeņos un katram līmenim noteikt
specifiskas funkcijas. Risinājumam ir raksturīgi, ka augšējā līmenī — pamata slānī, kas veido
kopējo tīkla daļu ar citu tiek izmantoti jaudīgi maršrutētāji, kas nodrošina kopējo savas
apakšstruktūras pieejamību kopējā tīklā, vidējā jeb izplatīšanas slānī tiek koncentrēti dažādi
ierobežojumi un politikas un zemākais jeb piekļuves slānis nodrošina gala lietotāju piekļuvi
kopējiem tīkla servisiem.
Uzņēmuma iekšējais tīkls
Ra1
Ra11
Ra111 Ra112 Ra121 Ra122
Piekļuves slānis
Pamata slānis
Izplatīšanas slānis
Ra12
3.att. Hierarhiskais slēgums
Salīdzinoši nelielos uzņēmumos bieži vien gan šāds dalījums ir ekonomiski nepamatots
un līdz ar to viens un tas pats maršrutētājs pilda gan pamatslāņa, gan izplatīšanas slāņa
maršrutētāja funkcijas, kā tas ir redzams piemērā 4. attēlā.
7
Interneta pakalpojumu sniedzējs (ISP)
KomutatorsSw1
Piekļuvesmaršrutētājs Ra11
Piekļuvesmaršrutētājs Ra12
Ārējās robežas maršrutētājs
Ra1
Darbstacija
Darbstacija
Darbstacija
Darbstacija
DarbstacijaServeris
KomutatorsSw2
Serveris
4.att. Hierarhisks maršrutētāju slēgums vidējos uzņēmumos
Kā jau iepriekš minēju uzņēmumos bieži veidojas situācijas, kad datortīklos nepieciešams
veikt specifiskas plūsmas dalīšanu, piemēram, ja uzņēmums uztur dažādus serverus un to skaitā ir
arī tīmekļa vai e-pasta serveri, kas ir daļēji publiskie serveri. Šādos gadījumos ir nepieciešams
strikti ierobežot plūsmas pa slāņiem, nosakot, ka visiem pieejamie resursi ir tīmekļa un e-pasta
serveri, kamēr failu un aplikāciju serveriem var piekļūt tikai darbinieki, kas atrodas pašā
uzņēmumā. Lai nodrošinātu šo kontrolēto piekļuvi kādai uzņēmuma datortīkla daļai, ir izdevīgi
dalīt tīklu vairākās daļās (5. att): buferzonas jeb demilitarizētās zonas (turpmāk — DMZ) un
iekšējā tīkla risinājuma.
Interneta pakalpojumu sniedzējs (ISP)
WEBserveris
DMZKomutatorsSwdmz01
E-pastaserveris
Uzņēmuma iekšējais tīkls
Ugunsmūris (3+ portu)
5.att. Demilitarizētā zona izmantojot vienu ugunsmūra iekārtu
8
1.2.2. Iekārtu savstarpējās saslēgšanas risinājumi
Veidojot tīklus ir jāparedz kā tajā plānotās iekārtas spēs sazināties savā starpā. Galvenās
tīkla iekārtas, kas veic šo funkciju ir maršrutētāji un to iespējas ir atkarīgas no maršrutētāja
programmnodrošinājumā iestrādātajiem standartiem. Maršrutētāji izmanto specifiskas
maršrutēšanas tabulas, lai noteiktu labāko ceļu līdz konkrētam adresātam. Maršrutēšanas ceļu
izvēle var būt manuāla, ko nodrošina ar statiskiem ceļiem, kas tiek katrs manuāli ievadīts
maršrutētājos vai dinamiska, ko savukārt veic maršrutēšanas protokoli, kas pie atbilstošas
konfigurācijas izmaiņas automātiski atjauno maršrutēšanas tabulas. CISCO maršrutētājos
maršrutēšanas tabulu var aplūkot ar komandas „show ip rou te” palīdzību. Veidojot
maršrutēšanas tabulu ir jāņem vērā, ka ceļš no viena adresāta līdz otram var būt konfigurēts
izmantojot dažādus protokolus, kā rezultātā var veidoties konfliktsituācijas. Lai no tā izvairītos ir
ieviests administratīvās distances termins un katram protokolam ir piešķirta noteikta vērtība. Ja
starp diviem adresātiem ir iespējami vairāki ceļi, tad par vēlamo tiek izvēlēts ar mazāko
administratīvo distanci. Tabulā Nr. 1.1. [8, 229. lpp] ir attēlotas populārāko protokolu
administratīvo distanču vērtības.
Tabula Nr.1.1.
CISCO maršrutēšanas protokolu/ceļu administratīvās distances
Maršrutēšanas ceļi, protokoli Standarta apzīmējums
maršrutēšanas tabulā Administratīvā distance
1 2 3
Ar maršrutētāju tieši saistītie ceļi C 0
Statiskie ieraksti S 1
EIGRP D 90
IGRP I 100
OSPF O 110
IS-IS I 115
RIP (1. un 2.versija) R 120
Neatpazīts protokols - 255
Maršrutēšanas tabulās ir loģiski, ka par primāriem tiek uzskatīti ar maršrutētāju tieši saistītie
ceļi, piemēram, 6. attēlā attēlotajā modelī interfeisam FastEthernet0/0 tieši saistītais ceļš ir uz
adrešu lauku 192.168.0.0 /24. Kā nākamā prioritāte tiek uzskatīti tie, kas tiek konfigurēti manuāli
— statiskie ceļi. Šīs standarta administratīvās distanču vērtības nepieciešamības gadījumā ir
maināmas.
9
192.168.1.0 /24Fa0/0 Fa0/1 Fa0/1 Fa0/0
192.168.0.0/24Fa0/0 Fa0/1
Ra01 Ra03
192.168.0.1/24
10.0.0.1/24
10.0.0.10/24
10.1.1.1/24
10.1.1.10/24
192.168.1.1/24
Ra02
6.att. Iekšējā tīkla modelis
Iepriekš tika minēts, ka maršrutēšanas ceļus var veidot ar statisko ierakstu palīdzību. Šādu
ceļu izveide no vienas puses ir vienkārša, jo pieraksts nav sarežģīts, no otras puses, konfigurācija
var būt ļoti gara, jo katrā maršrutētājā ir jānorāda kā nokļūt līdz katram apakštīklam. Tabulā
Nr. 1.2. ir redzams piemērs kā tiek veidoti statiskie ceļa ieraksti, par pamatu ņemot 6. attēla tīkla
konfigurāciju. Šie ieraksti vienmēr tiek veidoti, esot konfigurācijas režīmā.
Tīkla piemērā ar tikai četriem apakštīkliem katrs maršrutētājs satur divus statiskos
ierakstus. Palielinoties apakštīklu skaitam automātiski palielinās arī manuāli veicamo ierakstu
skaits. Līdz ar to lielos tīklos, tā pat kā veidojot sākuma konfigurāciju, tīkla pārstatīšana var prasīt
lielu laika apjomu un līdz ar to var būt ilgs tīkla nefunkcionēšanas laiks. Sarežģītas konfigurācijas
gadījumā ir iespējama arī cilvēciskā faktora kļūda.
Tabula Nr.1.2.
Statisko ierakstu konfigurācijas piemērs
Maršrutētājs Komanda Apraksts
1 2 3
Ra01 ip route 10.1.1.0 255.255.255.0 10.0.0.10 Ceļš caur Ra02 uz 10.1.1.0/24
ip route 192.168.1.0 255.255.255.0 10.0.0.10 Ceļš caur Ra02 uz 192.168.1.0/24
Ra02 ip route 192.168.0.0 255.255.255.0 10.0.0.1 Ceļš caur Ra01 uz 192.168.0.0/24
ip route 192.168.1.0 255.255.255.0 10.1.1.10 Ceļš caur Ra03 uz 192.168.1.0/24
Ra03 ip route 10.0.0.0 255.255.255.0 10.1.1.1 Ceļš caur Ra02 uz 10.1.1.0/24
ip route 192.168.0.0 255.255.255.0 10.1.1.1 Ceļš caur Ra02 uz 192.168.1.0/24
Dinamisko labākā ceļa izvēli un šīs informācijas apmaiņu ar citiem maršrutētājiem
nodrošina maršrutēšanas protokoli. Viens no protokolu iedalījumiem ir dalījums iekšējos un
ārējos. Par iekšējiem tiek uzskatīti RIPv1, RIPv2, IGRP, EIGRP, OSPF, IS-IS, savukārt par ārējo
BGP. Protokoli RIPv1 un IGRP ir novecojuši un praktiski vairs netiek izmantoti. To galvenais
trūkums, kā tas redzams tabulā Nr. 1.3. [8, 230. lpp], kur ir savstarpēji salīdzināti dažādi
maršrutēšanas protokoli, ir nespēja nodrošināt bezklases starpdomēnu maršrutēšanas atbalstu.
10
Uzņēmumu datortīklos lielākoties tiek izmantoti RIPv2 (angļu: Routing Information
Protocol version 2), OSPF (angļu: Open Shortest Path First) vai EIGRP (angļu: Enhanced
Interior Gateway Routing Protocol) maršrutēšanas protokoli.
Tabula Nr.1.3.
Maršrutēšanas protokolu parametri
Pro
tok
ols
Iek
šējs
vai
ārē
js
Bez
kla
ses
adre
sāci
jas
atb
alst
s
Iesp
ējam
ā t
īkla
izm
ērs
Sal
āgo
šan
ās l
aik
s
Resursu noslodze
Au
ten
tifi
kāc
ija
Ap
kal
po
šan
a
Pro
ceso
rs
Atm
iņa
Josl
a
1 2 3 4 5 6 7 8 9 10
RIPv1 Iekšējs Nē 15 hopi Vidējs Zema Zema Augsta Nav Viegla
RIPv2 Iekšējs Jā 15 hopi Vidējs Zema Zema Augsta Ir Viegla
IGRP Iekšējs Nē 255 hopi Ātrs Zema Zema Augsta Nav Viegla
EIGRP Iekšējs Jā Ļoti liels Ļoti
ātrs Zema Vidēja Zema Ir Viegla
OSPF Iekšējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta
IS-IS Iekšējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta
BGP Ārējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta
RIPv2 ir apkalpošanā vienkāršs distances vektora tipa protokols, kas izvēlas labāko ceļu
pēc mazākā maršrutēšanas iekārtu apjoma, kas atrodas ceļā līdz adresātam. Lielākoties tas ir
paredzēts maziem tīkliem, jo maksimālais „hopu” jeb lēcienu līdz nākamajam maršrutētājam
attālums starp adresātiem ir piecpadsmit. Visi ieraksti, kas satur lielāku „hopu” skaitu tiek
uzskatīti par nereāliem. Tā, piemēram, ja maršrutētājs saņem salāgošanās sarakstu, kurā ir
ieraksts par sešpadsmit „hopiem” līdz adresātam, tad šis ieraksts tiek dzēsts no maršrutēšanas
tabulas.
RIPv2 salāgošanas laikā ik pa 30 sekundēm tīklā izsūta visu maršrutēšanas tabulu. RIPv2
īpatnība ir, ka salāgošanas pakete var saturēt ne vairāk kā 25 ierakstus [8, 218. lpp]. Līdz ar to
lielāku tīklu gadījumā, kad nepieciešams pārraidīt vairāk ierakstu, tiks izsūtītas papildus paketes,
kas savukārt rada papildus slodzi tīklam. RIPv2 ir iespējama vienkārša autentifikācija ar paroles
vārdu, kas ir vai nu nešifrēts vai MD5 formātā [10].
Protokols uztur bezklases starpdomēnu maršrutēšanu, kas tiek aktivizēta atslēdzot adrešu
automātisko summēšanu. Tabulā Nr.1.4. ir redzams vienkāršs piemērs 6. attēla tīkla
konfigurācijai kā ar RIPv2 protokola palīdzību tiek veidoti maršrutēšanas ieraksti.
11
Tabula Nr.1.4.
RIPv2 ierakstu konfigurācijas piemērs
Maršrutētājs Komanda Apraksts
1 2 3
Ra01
Router RIP Tiek aktivizēts RIP konfigurēšanas režīms
No auto -summary Tiek ieslēgta bezklašu adresācija
Network 192.168.0.0
Network 10.0.0.0
RIP protokolam tiek piesaistīti izmantojamie RA01
tieši saistītie tīkli
Ra02
Router RIP Tiek aktivizēts RIP konfigurēšanas režīms
No auto -summary Tiek ieslēgta bezklašu adresācija
Network 10.0.0.0
Network 10.1.1.0
RIP protokolam tiek piesaistīti izmantojamie RA02
tieši saistītie tīkli
Ra03
Router RIP Tiek aktivizēts RIP konfigurēšanas režīms
No auto -summary Tiek ieslēgta bezklašu adresācija
Network 192.168.1.0
Network 10.1.1.0
RIP protokolam tiek piesaistīti izmantojamie RA03
tieši saistītie tīkli
OSPF ir IETF organizācijas (angļu: Internet Engineering Task Force) izstrādāts iekšējais
maršrutēšanas protokols. Tas jau sākotnēji bija atvērtā tipa protokols un līdz ar to ir iestrādāts
praktiski visu ražotāju vidēja līmeņa maršrutētājos. Kā norādīts tabulā Nr. 1.3. tam ir īss
salāgošanās laiks un tai ir samērā maza noslodze uz tīklu, jo OSPF izsūta tikai izmaiņas nevis
visu maršrutēšanas tabulu kā tas ir RIP gadījumā. OSPF gan regulāri ik pa 10 sekundēm izsūta
„Hello” paketes, lai informētu tieši saistīto tīklu maršrutētājus par stāvokli un ik pa 30 minūtēm
vai kad ir izmaiņas, izsūta LSA jeb posma stāvokļa paketes. OSPF atbalsta bezklases
starpdomēnu maršrutizāciju. Atšķirībā no RIP, kas ir distances tipa protokols, OSPF ir posma
stāvokļa (angļu: Link state) protokols Labākā ceļa noteikšanai OSPF izmanto Dijkstra jeb SPF
(angļu: Shortest Path First) algoritmu. Algoritma ideja ir bāzēta uz cenu, kas tiek veidota dalot
108
ar izmantotās saskarnes joslas platumu un šo cenu summu no vienas iekārtas līdz otrai [4,
4 - 9. lpp].
Galvenās priekšrocības salīdzinājumā ar RIP protokolu ir, ka OSPF var izmantot daudz
lielākos tīklos un ir nepieciešams īsāks salāgošanās laiks. Lielos tīklos ar vairākiem paralēliem
savienojumiem uz kādu adresi, OSPF var nodrošināt arī plūsmas dalīšanu pa šiem kanāliem.
Tomēr jāņem vērā, ka OSPF dala plūsmu tikai kanāliem ar vienādu cenu.
Tabulā Nr. 1.5 ir redzams vienkāršs piemērs 6. attēla tīkla konfigurācijai kā ar OSPF
protokola palīdzību tiek veidoti maršrutēšanas ieraksti. Veidojot OSPF ierakstus, ir jāņem vērā,
ka komandas tiek rakstītas maršrutētājā, atrodoties konfigurācijas režīmā.
12
Tabula Nr.1.5.
OSPF ierakstu konfigurācijas piemērs
Maršrutētājs Komanda Apraksts
1 2 3
Ra01
Router ospf 1 Tiek aktivizēts OSPF konfigurēšanas
režīms
Network 192.168.0.0 0.0.0.255 area 0 OSPF protokolam tiek piesaistīti
izmantojamie RA01 tieši saistītie tīkli Network 10.0.0.0 0.0.0.255 area 0
Ra02
Router ospf 2 Tiek aktivizēts OSPF konfigurēšanas
režīms
Network 10.0.0.0 0.0.0.255 area 0 OSPF protokolam tiek piesaistīti
izmantojamie RA02 tieši saistītie tīkli Network 10.1.1.0 0.0.0.255 area 0
Ra03
Router ospf 3 Tiek aktivizēts OSPF konfigurēšanas
režīms
Network 10.1.1.0 0.0.0.255 area 0 OSPF protokolam tiek piesaistīti
izmantojamie RA02 tieši saistītie tīkli Network 192.168.1.0 0.0.0.255 area 0
OSPF pierakstā tiek izmantoti divi dažādi identifikācijas numuri: viens identificē OSPF
procesu un šis numurs attiecībā pret citu maršrutētāju konfigurācijām ir maznozīmīgs un otrs
apzīmē autonomo apgabalu. Arī piemērā ir norādīts, ka viena tīkla konfigurācijai ir izmantoti
dažādi procesa numuri, bet autonomais apgabals ir identisks, jo tas apzīmē to apgabalu, kurā
dotajai OSPF konfigurācijai ir savstarpēji jādarbojas. Konfigurējot OSPF ir jāņem arī vērā, ka
tiek izmantotas aizstājējzīmes jeb apvērstās maskas, kuras iegūst atņemot adrešu lauka masku no
255.255.255.255.
EIGRP ir CISCO izstrādāts iekšējais maršrutēšanas protokols. Tas ir modernizēts IGRP
protokols, kas ir papildināts ar bezklases starpdomēnu maršrutizācijas atbalstu. EIGRP ir
savietojams ar savu priekšgājēju — IGRP protokolu. Šis protokols tiek uzskatīts par vienkāršāku
nekā OSPF protokols un to izmantojot ir nepieciešami salīdzinoši mazāki maršrutētāja resursi, kā
tas ir redzams no tabulas Nr. 1.3. Tā kā CISCO ir protokola izstrādātājs, tam piederēja tiesības
izmantot OSPF protokolu tikai savos maršrutētājos. Tomēr no 2013. gada tas ir uzskatāms par
atvērta tipa standartu un ir pieejams visiem ražotājiem.
EIGRP tiek uzskatīts par hibrīdu distances-vektora tipa protokolu un tas īsākā maršruta
noteikšanai izmanto DUAL (angļu: Diffusing update algorithm) mehānismu, kurā kopējā ceļa
noteikšanai tiek izmantotas trīs veidu tabulas: kaimiņu iekārtu tabula satur ierakstus (adresi) par
katru maršrutētāju, kas ir fiziski pieslēgts konkrētajam maršrutētājam, topoloģijas tabula – satur
ierakstus par visiem autonomās sistēmas maršrutiem [4, 5 - 6. lpp].
Pieslēdzot maršrutētāju tīklam un to ieslēdzot, tas ar „Hello” pakešu palīdzību informē
citus tam tieši pieslēgtos maršrutētājus par savu esamību. Turpmāk ar regulārām (standarts – ik
13
pa 5 sekundēm) šīm paketēm maršrutētāji informē vien otru par savu funkcionalitāti. Kad
kaimiņu iekārtas ir atklātas, maršrutētājs, izmantojot EIGRP, veido loģisku saikni ar šīm
iekārtām. Šīs loģiskās saiknes turpmāk nosaka, no kurienes maršrutētājs saņems EIGRP
maršrutēšanas ierakstu atjauninājumus, no kuriem maršrutētājs tad arī veidos topoloģijas tabulu.
Maršrutētājs saņem no kaimiņa iekārtām visus tam zināmos ceļus kopā ar to vērtībām un, ņemot
vērā ceļa vērtību līdz kaimiņu maršrutētājam, izrēķina jauno ceļu vērtības līdz visiem adresātiem
par ko ir informējusi šī kaimiņu iekārta [9, 267. lpp]. Ja kāda no iespējamajām ceļu vērtībām līdz
adresātam ir mazāka par iepriekš zināmo, tad jaunais ceļš kļūst par galveno un tiek iekļauta
maršrutēšanas tabulā.
Topoloģijas tabulā atrodamos ceļus maršrutētājs neizmanto līdz tam brīdim kamēr tie nav
ievietoti maršrutēšanas tabulā, savukārt maršrutēšanas tabula satur ierakstus par labāko iespējamo
maršrutu, kas tiek iegūti no topoloģiju tabulas.
EIGRP darbības laikā maršrutētājs nepārsūta regulārus ierakstu atjauninājumus, līdz ar to
ietekme uz joslu ir zema. Tikai salāgošanās vai izmaiņu gadījumā tiek pārsūtīta topoloģijas tabula
vai izmaiņas arhitektūrā un nevis precīza maršrutēšanas tabula.
Konfigurācijas pieraksta piemērs bez autentifikācijas, kas veidots atbilstoši 6. attēlā
parādītajai shēmai, ir norādīts tabulā Nr. 1.6. Tāpat kā citiem dinamiskajiem protokoliem, tas tiek
uzstādīts un labots no konfigurēšanas režīma. EIGRP kā jau iepriekš norādīts ir iekšējais
maršrutēšanas protokols, jo, lai tas darbotos, ir starp maršrutētājiem jāsakrīt tā saucamajiem
autonomās sistēmas numuriem. Šos numurus pēc brīvas izvēles nosaka tīkla konfigurācijas autors
un vienīgais ierobežojums ir, ka tiem jābūt diapazonā no 1 - 65535.
Tabula Nr. 1.6.
EIGRP konfigurācijas piemērs
Maršrutētājs Komanda Apraksts
1 2 3
Ra01
router e igrp 5 Tiek uzstādīts kopējais autonomās sistēmas numurs
(5)
no auto -summary Tiek atslēgta adrešu summēšana un tādējādi
nodrošināta bezklašu adresācija
ne twork 192.168.0.0 0.0.0.255 EIGRP tiek aktivizēti adrešu lauki (interfeisi), kurus
vēlamies izmantot ne twork 10.0.0.0 0.0.0.255
Ra02
router e igrp 5 Tiek uzstādīts kopējais autonomās sistēmas numurs
(5)
no auto -summary Tiek atslēgta adrešu summēšana
ne twork 10.0.0.0 0.0.0.255 EIGRP tiek aktivizēti adrešu lauki (interfeisi), kurus
vēlamies izmantot
ne twork 10.1.1.0 0.0.0.255
14
1 2 3
Ra03
router e igrp 5 Tiek uzstādīts kopējais autonomās sistēmas numurs
(5)
no auto -summary Tiek atslēgta adrešu summēšana
ne twork 10.1.1.0 0.0.0.255 EIGRP tiek aktivizēti adrešu lauki (interfeisi), kurus
vēlamies izmantot ne twork 192.168.1.0 0.0.0.255
EIGRP iespējama MD5 autentifikācija un to veido tieši uz konkrētā interfeisa, uz kura
lietotājs vēlas, lai tiktu pārbaudīti saņemtie EIGRP atjauninājumi. Izmantojot autentifikāciju ir
iespējams veidot atslēgu grupas ar vairākām atslēgām un savstarpējās salāgošanās laikā
maršrutētājs sāk apstrādāt saņemto informāciju, ja vismaz viena no atslēgām sakrīt.
EIGRP uztur arī plūsmas dalīšanu un atšķirībā no OSPF, kas ļauj to izmantot tikai
vienādas cenas kanālos, EIGRP var izmantot arī nevienādas cenas kanālus [4, 5 - 25. lpp].
EIGRP protokols, lai arī ir viegli konfigurējams, tomēr ir vairāk paredzēts liela izmēra
tīkliem, bet tas neliedz veiksmīgi to izmantot arī nelielos risinājumos.
Kā atsevišķs iekārtu savstarpējās saslēgšanas risinājums ir jāmin virtuālie lokālie tīkli
(VLAN). VLAN ļauj veidot loģiski atdalītus apakštīklus un tādējādi nodalīt lietotājus atbilstoši to
nepieciešamībai piekļūt kādai informācijas daļai. Ar VLAN palīdzību var katram komutatora
interfeisam (portam) piešķirt savu VLAN un līdz ar to arī atbilstošu piekļuvi resursiem. Vairāk
izmanto slēgumos, kas veidoti uz komutatoru bāzes. Izmantojot VLAN, maršrutētāji ar
komutatoriem, tā pat kā komutatori savā starpā tiek saslēgti izmantojot stumbrošanu (angļu:
trunking). Ērtākai VLAN pārvaldībai CISCO ir ieviesis VTP servera/klienta risinājumu.
1.2.3. Drošības risinājumi
DMZ ir neitrālā zona, agrāk saukta par brīvās tirdzniecības zonu, kas nodrošina publiski
pieejamās informācijas atdalīšanu no privātās. DMZ zonā bieži ir izvietoti tādi publiski pieejamie
resursi kā tīmekļa serveris, e-pasta serveris, domēna nosaukuma sistēmas (turpmāk — DNS)
serveris, FTP serveris.
DMZ var veidot, par robežiekārtām izmantojot vienu vai vairākas specifiskas ugunsmūra
iekārtas, vai arī atbilstoši konfigurējot maršrutētājus. Līdz ar to uzņēmumos ir pieejami vairāki
iespējamie risinājumi. Izvēle izmantot DMZ risinājumu ar vienu vai diviem maršrutētājiem, vai
ugunsmūra iekārtām ir atkarīga nevis no uzņēmuma lieluma, bet gan no uzņēmuma iekšējās
informācijas svarīguma un no uzņēmuma puses pieļaujamā riska līmeņa. CISCO gan vienkāršo šo
ideju uzskatot, ka neatkarīgi no informācijas svarīguma, lielajos uzņēmumos ir jāizmanto
speciālas ugunsmūra iekārtas [8, 162. lpp].
15
Gadījumos, ja tiek izmantota viena ugunsmūra iekārta, kā tas ir attēlots 5. attēlā, ir
jārēķinās, ka tā tiks pakļauta lielai slodzei, jo ugunsmūris vienlaicīgi apstrādās visu datu plūsmu
uz DMZ.
Šāds risinājums ir arī pakļauts lielākam riskam, ka nepareizas ugunsmūra konfigurācijas
vai kādas konkrētā modeļa ievainojamības gadījumā var piekļūt privātiem resursiem. Tāpēc tiek
pielietots risinājums, kurā tiek izmantoti divi dažādi ugunsmūri, kas darbojas kā tīkla ārējās un
iekšējās robežas iekārtas. Šāds risinājums (7. att), lai arī ir uzskatāms par drošāku (lai piekļūtu
informācijai, ir jāpārvar divi dažādi aizsardzības līmeņi un tajā mazāk tiek noslogotas ugunsmūra
iekārtas, jo katrs lielākoties apstrādā tikai datus attiecīgi no iekšējās vai ārējās vides), ir dārgāks
un apkalpošanā prasa papildu resursus. Šo risinājumu apkalpojošam tīklu speciālistam, ir arī jābūt
papildus apmācītam darbam ar katru no šīm iekārtām, kas savukārt arī sadārdzina sistēmas
ieviešanas izmaksas.
Interneta pakalpojumu sniedzējs (ISP)
Publiski pieejamie serveri
Uzņēmuma iekšējais tīkls
Ugunsmūris1 Ugunsmūris2
DMZKomutatorsSwdmz01
7.att. Demilitarizētā zona izmantojot divas ugunsmūra iekārtu
Pēc savas būtības ugunsmūra iekārtas ir specializēti maršrutētāji un līdz ar to daudz
vienkāršāks risinājums ir veidot DMZ no maršrutētājiem (8. att). Arhitektūra, ir līdzīga kā
gadījumā ar DMZ risinājumu, izmantojot ugunsmūra iekārtas un vienīgā atšķirība ir, ka
specifisko ugunsmūra iekārtu vietā tiek izmantoti maršrutētāji. Šāds risinājums ir lēts un arī
vienkāršs apkalpošanā, jo neprasa papildus iemaņas no kvalificēta personāla, kas jau apkalpo
tīkla maršrutētājus. Kā negatīvais gan ir jāmin nosacīti zemāks drošības līmenis kā specializēto
iekārtu gadījumā.
16
Interneta pakalpojumu sniedzējs (ISP)
Iekšējais tīkls
Ārējās robežas maršrutētājs
DMZ komutators
E-pasta Serveris
WEB Serveris
8.att. Demilitarizētā zona izmantojot maršrutētājus
Tā kā gan DMZ, gan iekšējā tīkla vides ir uzņēmuma iekšējā infrastruktūra, tad tās tiek
veidotas ar privātajām IP adresēm (1.7. tabula). Līdz ar to, papildu piekļuves sarakstiem ir
jāizmanto adrešu (turpmāk - NAT) un portu (turpmāk - PAT) translēšana.
Tabula Nr.1.7.
Privāto adrešu lauki
Adrešu klase Adrešu lauks
1 2
A klases adreses 10.0.0.0 – 10.255.255.255
B klases adreses 172.16.0.0 – 172.31.255.255
C klases adreses 192.168.0.0 – 192.168.255.255
Adrešu un portu translēšana ļauj uz laiku uzņēmuma iekšējā tīkla adresēm piešķirt vienu
adresei vai veselu adrešu grupu, kuras ārējais tīkls turpmāk uzskata par pieprasītāja avota adresi.
Adrešu translēšana iedalās statiskajā — vienai iekšējai adresei tiek piešķirta viena konkrēta ārējā,
dinamiskā — iekšējā tīkla adresei uz laiku tiek piešķirta tai brīdī brīvā adrese no brīvajām ārējām
un portu translēšanā — eksistē tikai viena ārējā adrese, kura tiek piešķirta iekšējām ar katru reizi
savu porta numuru [6, 615. lpp]. Tabulā Nr. 1.8. ir apskatāms PAT konfigurācijas piemērs, kurā
6. attēlā redzamā slēguma maršrutētāja Ra03 adrešu lauks 192.168.1.0 /24 (saskarne Fa0/1) tiek
pārveidots uz Fa0/0 saskarnes adresi 10.1.1.10 /24.
17
Tabula Nr.1.8.
PAT konfigurācija
Maršrutētājs Komanda Apraksts
1 2 3
Ra03
access -l i st 10 permi t 192.168.1.0 0.0.0.255 Piekļuves sarakstā tiek definēta adrešu
grupa, kurai tiks piemērots PAT
ip nat in source l i st 10 int fa0/0 overload
Tiek norādīts interfeiss, kuram tiek
piemērots iepriekš norādītais saraksts un
aktivizēts PAT (Overload)
in t fa0/0
ip nat out Katram interfeisam tiek norādīts,
pārveidošanas virziens in t fa0/1
ip nat in
Svarīgs priekšnoteikums tīkla drošības nodrošināšanai ir komunikācijas iekārtu
aizsardzība pret neautorizētu piekļuvi. Maršrutētājos un komutatoros ir jānodrošina
autentifikācija uzstādot drošas paroles gan, lai piekļūtu maršrutētāja konfigurācijai, gan, lai
varētu veikt tās labošanu un nodrošinātu vai atslēgtu specifiskus pakalpojumus. Viena no
vienkāršākajām metodēm, lai uzstādītu drošības konfigurācijas minimumu maršrutētājos ir
izmantot komandu „auto secure ”.
Kā jau iepriekš minēts demilitarizētās zonas mērķis ir nodrošināt plūsmas kontroli un
neļaut datu plūsmai, kas nāk no ārienes, piekļūt uzņēmuma iekšējā tīkla resursiem. To panāk
maršrutētājos loģiski atdalot tīklus un iestatot piekļuves sarakstus (angļu: Access list – ACL).
Piekļuves saraksti tiek veidoti maršrutētājos ieejošajai un izejošajai datu plūsmai uz katru
no saskarnēm. Veidojot piekļuves sarakstus, ir svarīgi izprast, kāda ir darbību izpildes secība
maršrutētājā, laikā, kad tas apstrādā informāciju. Neprecīzi plānots ieraksts maršrutētājā var būt
par iemeslu sistēmas nepilnvērtīgai darbībai.
CISCO piekļuves sarakstu virziena izvēles un aktivizēšanas sintakses piemērs ir redzams
9. attēlā. Izmantojot ieejošās plūsmas piekļuves sarakstu (angļu: inbound), maršrutētājs, saņemot
paketi, to sākotnēji pārbauda pēc saraksta un tikai tad izvēlas pieprasīto maršrutu un pārsūta to
tālāk. Savukārt, ja tiek izmantots izejošās (angļu: outbound) plūsmas piekļuves saraksts,
maršrutētājs sākumā apstrādā paketi, norāda tai ceļu un tikai tad salīdzina ar sarakstu un vai nu to
pārsūta vai nomet [5, 6 - 9. lpp].
18
9.att. CISCO piekļuves sarakstu aktivizēšanas sintakse
CISCO maršrutētāju operētājsistēma nodrošina piekļuves sarakstos divus iespējamos
stāvokļus: atļauts (angļu: permit) un aizliegts (angļu: deny). Ar piekļuves sarakstiem informācijas
plūsmu interfeisos var ierobežot atbilstoši atsevišķām adresēm, adrešu laukiem, protokoliem (IP,
ICMP, TCP, UDP), portu numuriem, kā arī izmantot tādas papildus iespējas kā atļaut tikai jau
iepriekš nodibinātu datu plūsmu vai ierobežot atļauto darba laiku. Izšķir divu veida piekļuves
saraksta ierakstus: standarta un paplašināto. Standarta ierakstu numerācija ir no 1 - 99 un
1300 - 1999 un ieraksti nodrošina tikai informācijas ierobežošanu atbilstoši avota IP adresei.
Paplašinātais ieraksts savukārt nodrošina papildus parametru izmantošanu, piemēram, avota un
mērķa IP adreses, protokoli, porti. Paplašinātā ieraksta numerācija ir 100 - 199 un 2000 – 2699
[7, 256. lpp].
Vienkāršots CISCO iekārtās izmantotais piekļuves saraksta paplašinātā ieraksta pieraksts
ir norādīts 10. attēlā un tajā tiek izveidots ieraksts, kurš ļauj no adrešu lauka 10.1.1.0
255.255.255.0 pārsūtīt e-pastus uz adrešu lauku 172.16.10 255.255.255.0.
10.att. CISCO piekļuves sarakstu parametru iestatīšanas sintakse
Viena no pieraksta īpatnībām ir, ka, rakstot avota vai mērķa adrešu grupu, tiek norādīta
aizstājējzīme jeb apvērstā maska. Ierobežojot tīklu, ir jāņem vērā arī, ka lietotājiem var būt
19
nepieciešamība atļaut vai aizliegt izmantot noteiktus servisus. Līdz ar to atbilstoši tabulai Nr.1.9
tabulai, kur ir apskatāmi daži svarīgākie portu numuri un to apraksts, ir redzams, ka atļautais
serviss ir TCP 25. porta jeb SMTP (angļu: Simple Message Transport Protocol) pakete.
Tabula Nr.1.9.
Svarīgāko portu saraksts
Porta numurs Protokols Serviss Piezīmes
1 2 3 4
20 un 21 TCP FTP Novecojis datu apmaiņas protokols, jo netiek nodrošināta
informācijas šifrēšana.
22 TCP SSH Secure shell, šifrēts kanāls, aizvieto Telnetu un FTP.
23 TCP Telnet Nešifrēts līdz ar to novecojis.
25 TCP SMTP Plaši izmantots e-pasta transporta protokols.
53 TCP/UDP DNS Nodrošina Domēna nosaukuma sistēmas darbību.
80 TCP HTTP Standarta tīmekļa serviss.
110 TCP POP3 Ienākošo e-pastu saņemšanu no servera.
443 TCP HTTPS Šifrēts tīmekļa serviss.
8080 TCP HTTP Alternatīvs tīmekļa ports.
Veidojot piekļuves sarakstus CISCO iekārtās, ir situācijas, kad tiek regulēta plūsma starp
divām noteiktām iekārtām un tad piekļuves sarakstā jau konkrēti var norādīt abu adresātu IP
adreses. Šajā gadījumā adrese tiek rakstīta bez apvērstās maskas, pirms tās rakstot vārdu „host”.
Savukārt, ja tiek ierobežota visa plūsmas daļa atbilstoši, piemēram, kādam portam, tad katras
adreses vietā tiek izmantots vārds „any”. CISCO iekārtās visus piekļuves ierakstus var tāpat kā
citus konfigurācijas ierakstus — atkārtojot ierakstu un pirms tā ievietojot vārdu „no”.
Izmantojot piekļuves sarakstus to raksturīgā pazīme ir, ka atļautas ir tikai tās darbības, kas
ir iekļautas sarakstā un maršrutētājs izmanto sarakstā pirmo pēc kārtas, kas atbilst nosacījumiem.
Visas pārējās tiek uzskatītas par aizliegtām.
Piešķirot maršrutētāja interfeisiem izejošo vai ieejošo piekļuves sarakstu, vēlams izmantot
noteikumu, ka standarta saraksts tiek novietots maksimāli tuvu mērķa adresei, bet paplašinātais
saraksts - iespējami tuvu avotam.
1.3. Fiziskā topoloģija
1.3.1. Informācijas nesēji
Veidojot tīklus, ne mazāk svarīgs apstāklis kā maršrutēšanas protokolu izvēle ir tīkla
caurlaides spējas nepieciešamība katrā konkrētajā tīkla daļā un atbilstošas datu pārraides vides
izvēle šajā posmā.
20
Par datu pārraides vidi jeb informācijas nesējiem var tikt izmantoti gan dažādu veidu
kabeļi, gan radioviļņi. Mūsdienās populārākie datu pārraides nesēji mazo un vidējo uzņēmumu
iekšējos datortīklos ir vītā pāra kabelis un optiskais kabelis, savukārt no radioviļņiem var minēt,
WLAN, ko biežāk sista ar WiFi standartu.
Vītā pāra kabelis: ir veidots no viena vai vairāku savstarpēji vītu pārsvarā vara vadu pāriem. Kā
jau uz metāla vadītāja bāzes veidots kabelis tas ir pakļauts elektromagnētisko traucējumu riskam.
Kabelī traucējumi var rasties no citām dzīslām vai no ārējās vides, piemēram, dažādām
elektroiekārtām. Lai samazinātu šo ietekmi, izmanto vadu pāru savīšanas tehnoloģiju un katru
vadu pāris kabelī savij ar dažādu soli. Populārākie šāda tipa kabeļi ir CAT3 un CAT4, kurus
pārsvarā izmanto telefonijā, un CAT5, CAT6 un CAT7 Ethernet kabeļi, kā arī to modifikācijas,
kurus izmanto datortīklos.
Liela daļa no lokālajiem datortīkliem ir veidota no CAT 5 UTP jeb neekranētā
CAT5 kabeļa, kas paredzēts 10BASE-T, 100BASE-TX un 1000BASE-TX Ethernet (IEEE 802.3
standarts un tā modifikācijas) tipa tīkliem. Kabeļa savienojumu ar iekārtām nodrošina 8C8P jeb
RJ-45 spraudnis (11.attēls), kurā tiek izmantots EIA/TIA-568 A vai B standartam atbilstošs
dzīslu izkārtojums, kā tas redzams tabulā Nr. 1.10 [2]. Veidojot datortīklus, ir jāņem vērā, ka
šādu kabeļa maksimālais nepārtrauktais garums nevar pārsniegt 100 metrus.
11.att. RJ-45 spraudnis un kontaktu izkārtojums
CAT5 kabelis ir ļoti pieticīgs lietošanā, to var salocīt šaurā leņķī nemazinot tā darbaspējas
un kabelis ir arī ļoti lēts. 2014.gada sākumā kabeļa metra cena ir sākot no 0.10 EURO metrā par
CAT5 UTP un 0.11 EURO metrā par CAT5e kabeli. Mazas ir arī tīkla veidošanas izmaksas, jo
savienojumu izveidošana (spraudņu uzlikšana) ir ātra un šī darba veikšanai ir nepieciešamas tikai
21
īpašas knaibles. Protams eksistē arī specifiski trūkumi un, kā jau iepriekš minēts, viens no
galvenajiem ir iespēja tikt pakļautam ārējam elektromagnētiskajam starojumam.
Tabula Nr.1.10.
RJ-45 spraudņa vadu izkārtojums
Kontakts
(PIN) EIA/TIA 568A EIA/TIA 568B
100Base-TX
100Mbps Cat5
1000Base-T 1Gbps
Cat5
1 2 3 4 5
1 balts/zaļš balts/oranžs TX+ BI DA+
2 zaļš oranžs TX- BI DA-
3 balts/oranžs balts/zaļš RX+ BI DB+
4 zils zils - BI DC+
5 balts/zils balts/zils - BI DC-
6 oranžs zaļš RX- BI DB-
7 balts/brūns balts/brūns - BI DD+
8 brūns brūns - BI DD-
TX - raida datus, RX - uztver datus, BI - abpusēji.
Optiskais šķiedru kabelis sastāv no trim daļām — serdes, iekšējā apvalka un ārējā apvalka.
Kabeļa serde var būt veidota gan no stikla, gan plastmasas. Serdes un iekšējā apvalka materiāliem
ir dažādas gaismas laušanas spējas, kā rezultātā vada iekšienē notiek pilnīga iekšēja atstarošanās.
Datu pārraidi veic lāzers vai diode, kas pārveido elektriskos signālus gaismas impulsos un nosūta
tos adresātam, kur savukārt uztvērējs impulsus pārveido atpakaļ elektriskos signālos. Lāzera tipa
raidītājus, pateicoties to koncentrētajam gaismas staram, var izmantot vienmodas (angļu: single-
mode) kabeļos, atšķirībā no diodes tipa raidītājiem, kurus var izmantot tikai daudzmodu (angļu:
multi-mode) kabeļos [3].
Daudzmodu (serde >50 mkm) kabelim ir salīdzinoši liela diametra serde, un tajā
ievietojas vairāki raidītā signāla viļņa garumi. Daudzmodu kabeļos var izmantot lētākus, ne tik
precīzus savienojumus, bet šādā vadā ir liela signāla dekoherence (fāzu izkliede), tāpēc ir mazs
maksimālais kabeļa garums, ar kuru vēl var izšķirt noraidīto signālu. Vienmodas kabeļu serde ir
8-10 mkm un tajā ievietojas tikai viens raidītā viļņa garums, tāpēc tajā praktiski nepastāv signāla
dekoherence un maksimālo vada garumu nosaka signāla rimšana.
Izmantojamais kabeļa attālums ir atkarīgs no kabeļa tipa un nepieciešama datu pārraides
ātruma. Tā, piemēram, vienam un tam pašam daudzmodu kabelim pie nepieciešamās plūsmas
100Mb maksimālais kabeļa garums ir 2 kilometri, kamēr pie 10 Gb tikai 82 metri [13].
Populārākie savienojumu veidi ir SC, ST un LC spraudņi.
Mazos un vidējos uzņēmumos šis risinājums var būt nepiemērots, jo lai arī optiskajam
kabelim ir daudz priekšrocību pret metāla serdes kabeli plūsmas caurlaidības ziņā un arī vadītājs
22
nav pakļauts elektromagnētiskajai iedarbībai, tas ir dārgs un nepieciešamas specifiskas iemaņas
un aprīkojums, lai veiktu tīkla montāžu.
Radio vai bezvadu risinājumi lokālajos tīklos (WLAN) lielākoties ir balstīti uz IEEE
802.11 standartu. WLAN lietošana ir ērta un nav nepieciešami resursi, kas saistīti ar kabeļu
infrastruktūras izbūvi, tomēr WLAN tehnoloģijas nespēj sniegt tikpat augstu fiziskās aizsardzības
nodrošinājumu kā vadu sakaros. Līdz ar to uzņēmumam, ja tas plāno izmantot šīs tehnoloģijas, ir
jāsamēro riski, kas saistīti ar datu konfidencialitāti (neautorizēta piekļuve datiem) un pieejamību
ar iespējamajiem ieguvumiem.
1.3.2. Iekārtas
Galvenās tīkla iekārtas mūsdienu lokālajos tīklos ir maršrutētāji un komutatori.
Maršrutētāji nodrošina galveno OSI (angļu: Open Systems Interconnection) tīkla modeļa 3.slāņa
(tīkla) funkciju – spēju tīklā pārsūtīt paketes izvēloties labāko iespējamo pārsūtīšanas ceļu.
Komutatori – atšķirībā no maršrutētājiem tiek uzskatīti par OSI tīkla modeļa otrā līmeņa iekārtu,
jo tie pārsūta kadrus, salīdzinot to mērķa adresi ar komutatorā esošo fizisko (Media Access
Control – MAC) adrešu tabulu, nevis paketes. Kā izņēmumu gan var minēt 3.līmeņa komutatorus,
kas pēc funkcionalitātes ir tuvi maršrutētājiem.
CISCO savas ražotās iekārtas iedala pamatojoties uz uzņēmuma lielumu un funkcijām,
piemēram, apakšstruktūras līmeņa iekārtas, servisa pakalpojuma sniedzēja līmeņa iekārtas vai
mazā biznesa risinājumi. Te gan ir jāpiebilst, ka šie dalījumi savstarpēji pārklājas un arī, ka
CISCO mazā biznesa risinājumam ir cits vērtējums kā Latvijā pieņemtajam, proti šajā kategorijā
CISCO iekļauj gan mazbudžeta „RV” sērijas maršrutētājus, gan pietiekoši jaudīgos „CISCO
2900” sērijas maršrutētājus. Latvijas mērogiem gan 800, gan 1800, gan 2900 sērijas maršrutētājus
var sākt uzskatīt par atbilstošus vidējiem uzņēmumiem. Lai arī CISCO iekārtas tiek uzskatītas par
drošām, to galvenais trūkums ir cena. Jau tikai bāzes konfigurācijā tā pārsniedz 1000 EURO par
vienu „CISCO 2901” maršrutētāju. Tabulā 1.11. ir uzskaitīti atbalstītie „CISCO 2901” standarti.
Tabula Nr.1.11.
CISCO 2901 atbalstītie standarti un protokoli
Parametrs Apraksts
Atbalstītie standarti IEEE 802.3, IEEE 802.1Q, IEEE 802.3af, IEEE 802.3ah,
IEEE 802.1ah, IEEE 802.1ag, ANSI T1.101, ITU-T
G.823, ITU-T G.824
Atbalstītie protokoli OSPF, IS-IS, BGP, EIGRP, DVMRP, PIM-SM, Statiskā
IP maršrutēšana, IGMPv3, GRE, PIM-SSM, Statiskā
IPv4 un IPv6 maršrutēšana, MPLS, BFD, IPv4-to-IPv6
Multicast
23
2. TĪKLA MODELIS IZMANTOJOT CISCO IEKĀRTAS
2.1. Uzņēmuma analīze, loģiskā un fiziskā topoloģija
Datortīkla modelis ir veidojams standartizētam vidējā un mazā uzņēmuma modelim un šī
darba pirmajā nodaļā jau ir veikts vispārīga uzņēmuma prasību apskats.
Tā kā piemērā datortīkla modelis ir vispārīgs un nav pieejama esoša infrastruktūra, nav
zināma uzņēmuma darba specifika un precīzs kopējais darbinieku skaits un to daudzums katrā no
nodaļām, tad ir praktiski neiespējami prognozēt iekārtu un kabeļu infrastruktūras optimālo jaudu.
Tāpēc arī tabulā Nr. 2.1 kā piemērs, tiek uzskaitīti tikai daži minimālie parametri, kurus var
apzināt, izvērtējot uzņēmumu.
Tabula Nr.2.1.
Uzņēmuma minimālās prasības datortīklam
Serviss Jā Nē
1 2 3
Piekļuve globālajam tīmeklim X
E-pasts (piekļuve no uzņēmuma vides) X
E-pasts (piekļuve no ārpuses) X
Failu serveris (piekļuve no uzņēmuma vides) X
Failu serveris (piekļuve no ārpuses) X
Citi iekšējie serveri (piekļuve no uzņēmuma vides) X
Citi iekšējie serveri (piekļuve no ārpuses) X
Pieejamība
Augsts - -
Vidējs X
Zems - -
Iekšējās informācijas aizsardzības līmenis
Augsts - -
Vidējs X
Zems - -
Strukturēta organizācija X
Atbilstoši tabulā apkopotajām prasībām var novērtēt, ka tīklam ir vēlama iepriekš
aprakstīta strukturēta topoloģija un ir nepieciešams tīkls ar kādu no DMZ risinājumiem (12. att).
Šādam vidējam vispārīgā uzņēmuma modelim ir pietiekoši izmantot risinājumu ar vienu
ugunsmūri vai ārējās robežas maršrutētāju. Tā kā nav zināma cik augsta nepieciešamība
uzņēmumam piekļūt saviem datiem, tad izmantots risinājums bez kanālu dublēšanas. Lietotāju
bloks ir standartizēts un modelī tiek izmantots viens maršrutētājs, bet lietotāju (darbstaciju)
daudzums tiek regulēts, izmantojot tam pieslēgtos komutatorus.
24
Interneta pakalpojumu sniedzējs (ISP)
DMZ
Iekšējā (privāto datu) tīkla
daļaWEB
Serveris1Serveris2
Serveris3
Projektu daļas
stacija
E-pasta serveris
WEB Serveris
Ārējās robežas
maršrutētājs
RR01
DMZ komutators
SWD1Piekļuves maršrutētājs
RA02
Piekļuves maršrutētājs
RA01Fa0/0 Fa0/1
Fa1/0
Fa0/0
Fa0/0 Fa0/1
Fa0/1
Galvenais komutators
CLSW
Serveru komutators
SW01
Piekļuves komutators
ASW1
Piekļuves komutators
ASW2
IT daļas stacija
Atbalsta daļas
stacija
Atbalsta daļas
stacija
Komutators
SwCe01
Lietotāju daļa
12.att. Tīkla modeļa vispārīga slēguma shēma
Zinot vispārējo slēguma shēmu tiek noteikts piekļuves modelis (Tabula Nr. 2.2.), kas tiek
ņemts par pamatu turpmāko piekļuves sarakstu izveidē.
Tabula Nr.2.2.
Tīkla piekļuves modelis
Internets DMZ
serveri
Uzņēmuma lietotājs Uzņēmuma
iekšējie
serveri Projektu
daļa IT daļa
Atbalsta
daļa
Internets X
DMZ serveri X X
Uzņēmuma
lietotāji:
Projektu daļa X X X X X X
IT daļa X X X X X X
Atbalsta daļa X X X X X
Uzņēmuma iekšējie serveri X X X
Uzņēmuma iekšējais tīkls un DMZ zona tiek veidoti no brīvi izvēlētiem privāto adrešu
laukiem. Izvēloties adreses un veidojot vispārīgai shēmai atbilstošu adresācijas plānu (2.3. tabula)
gan katrā pozīcijā ir jāparedz adrešu rezerve, lai gala iekārtu palielināšanas gadījumā nav
jāpārkonfigurē viss tīkls.
25
Tabula Nr.2.3.
Tīkla modeļa adrešu lauks
Nr.
p.k. Iekārta
Interfeiss, tīkla
daļa Adrese, maska Vārtejas adrese Tīkla adrese
1 2 3 4 5
Maršrutētāji
1. RR01
fa1/0, (ISP) 46.109.187.190, 255.255.248.0 46.109.184.1 46.109.184.0 /21
fa0/1, (DMZ) 10.10.10.1, 255.255.255.240 - 10.10.10.0 /28
fa0/0,
(iekšējais) 10.1.1.1, 255.255.255.248 - 10.1.1.0 /29
2. RA01 fa0/0 10.1.1.5, 255.255.255.248 - 10.1.1.0 /29
fa0/1 192.168.1.1, 255.255.255.240 - 192.168.1.0 /28
3. RA02
fa0/0 10.1.1.3, 255.255.255.248 - 10.1.1.0 /29
fa0/1.1 192.168.10.2, 255.255.255.192 - 192.168.10.0 /26
fa0/1.2 192.168.10.66, 255.255.255.224 - 192.168.10.64 /27
fa0/1.3 192.168.10.98, 255.255.255.224 - 192.168.10.96 /27
Serveri
4. Tīmekļa - (DMZ) 10.10.10.2, 255.255.255.240 10.10.10.1 10.10.10.0 /28
5. E-pasta - (DMZ) 10.10.10.3, 255.255.255.240 10.10.10.1 10.10.10.0 /28
6. Serveris1
(tīmekļa) - (iekš.) 192.168.1.2, 255.255.255.240 192.168.1.1 192.168.1.0 /28
7. Serveris2 - (iekš.) 192.168.1.3, 255.255.255.240 192.168.1.1 192.168.1.0 /28
8. Serveris3 - (iekš.) 192.168.1.4, 255.255.255.240 192.168.1.1 192.168.1.0 /28
Darbstacijas
9.
Projektu
daļa - (iekš.)
192.168.10.1, 192.168.10.3-
192.168.10.62, 255.255.255.192 192.168.10.2 192.168.10.0 /26
IT daļa - (iekš.) 192.168.10.65, 192.168.10.67-
192.168.10.94, 255.255.255.224 192.168.10.66 192.168.10.64 /27
Atbalsta
daļa - (iekš.)
192.168.10.95, 192.168.10.97-
192.168.10.126, 255.255.255.224 192.168.10.98 192.168.10.96 /27
Tā kā EIGRP no 2013.gada ir kļuvis par atvērto standartu un, kā iepriekš apskatīts, tas
skaitās vienkāršs, bet ātrs dinamiskais protokols, tad iekšējā maršrutēšana tiek veikta ar tā
palīdzību. Uzņēmuma piemēram ir tikai viena ārējā IP adrese un līdz ar to iekšējās adreses ārējā
maršrutētājā ir jātranslē ar NAT/PAT un jāveic portu translēšana.
Visos maršrutētājos izmantots viens un tas pats EIGRP autonomās sistēmas numurs (5).
Minimālā maršrutētāja drošības konfigurācija tiek uzstādīta izmantojot CISCO piedāvāto
interaktīvo režīmu („auto - secure”). Pēc komandas izpildes tiek noņemti automātiski uzstādītie
piekļuves saraksti, kas konfigurēšanas beigās tiks aizvietoti ar šim tīklam izveidotajiem.
Komutatoros minimālie uzstādījumu laikā ar paroli tiek nodrošināta attālināta piekļuve un
piekļuve priviliģētajam režīmam.
Tā kā datortīkla modelis ir virtuāls un tiek veidots izmantojot CISCO Packet Tracer
programmu un tajā modelētajām iekārtām, tad modelī izmantotās iekārtas var nebūt labākās
nostādīto mērķu sasniegšanai. Komunikācijas iekārtu saraksts ir norādīts 2.4. tabulā.
26
Tabula Nr.2.4.
Tīkla modeļa adrešu lauks
Iekartas nosaukums tīklā Modelis Papildus interfeisi
1 2 3
Maršrutētājs RR01 CISCO 2811 NM-2FEWE
Maršrutētājs RA01 CISCO 2811 -
Maršrutētājs RA02 CISCO 2811 -
Komutatori: CLSW, ASW1, ASW2 Cisco Catalyst 2950 24 -
Komutatori:DSW01, SwCe01 CISCO vispārējs modelis
Maršrutētājs „CISCO 2811” vairs netiek ražots, bet tas ir nosacīti salīdzināms ar savas
sērijas nākamās paaudzes un pašreiz ražoto „CISCO 2900” sērijas maršrutētāju. Visas
konfigurācijā izmantotās iekārtām ir Ethernet interfeisi un savienojumiem virtuāli tiek izmantots
UTP tipa kabelis ar RJ-45 savienojumiem, kas saslēgti atbilstoši EIA/TIA 568A vai EIA/TIA
568B kabeļu standartam.
2.2. Iekārtu konfigurācija
Pirmajā solī (Tabula Nr. 2.5.) katrā maršrutētājā interfeisiem atbilstoši adrešu plānam tiek
uzstādītas IP adreses un, ar „au to secure” komandu aktivizēto interaktīvo vidi, uzstādīti
minimālie drošības parametri. „Auto secure ” komandas laikā tiek uzstādītas paroles, tās tiek
šifrētas, izveidots lietotājs, slēgtas atvērtās piekļuves un aktivizēti minimālā ugunsmūra
risinājuma piekļuves saraksti un saglabāta konfigurācija maršrutētāja atmiņā. CISCO Packet
Tracer veidotajā modelī gan maršrutētājiem gan komutatoriem vieglākai apkalpošanai ir
uzstādīta drošības standartiem neatbilstoša viena simbola parole - „a” gan autentifikācijai gan
piekļuvei priviliģētam režīmam. Lietotājvārds arī tiek izmantots - „a”.
Lai izvairītos no konfigurāciju konfliktiem, pēc komandas izpildes tiek noņemti
automātiski uzstādītie piekļuves saraksti.
Tabula Nr.2.5.
Maršrutētāju interfeisu konfigurēšana
Konfigurācija
Maršrutētājs RR01 Maršrutētājs RA01 Maršrutētājs RA02
1 2 3
config terminal
host RR01
inter face fa0/0
ip add 10.1.1.1
255.255.255.248
config terminal
host RA01
inter face fa0/0
ip add 10.1.1.3 255.255.255.248
no shut
in ter face fa0/1
config terminal
host RA02
inter face fa0/0
ip add 10.1.1.5 255.255.255.248
no shut
inter face fa0/1.1
27
1 2 3
no shut
inter face fa0/1
ip add 10.10.10.1
255.255.255.248
inter face fa1/0
ip add 46.109.187.190
255.255.248.0
shut
exit
exit
auto secure
no access - l i st 100 permi t
udp any any eq bootpc
no ip access -l is t extended
autosec_firewall_acl
ip add 192.168.1.1
255.255.255.240
shut
exit
exit
auto secure
no access - l i st 100 permi t
udp any any eq bootpc
no ip access -l is t extended
autosec_firewall_acl
encapsulat ion dot1q 11
ip address 192.168.1.2 255.255.255.192
inter face fa0/1.2
encapsulat ion dot1q 22
ip address 192.168.1.66 255.255.255.224
inter face fa0/1.3
encapsulat ion dot1q 33
ip address 192.168.1.98 255.255.255.224
shut
exit
exit
auto secure
no access - l i st 100 permi t udp any
any eq bootpc
no ip access -l is t extended
autosec_firewall_acl
Konfigurējot adreses maršrutētājā RA02 savlaicīgi, lai nodrošinātu lietotāju dalīšanu
atbilstoši nepieciešamībai piekļūt informācijai, tiek veidotas arī apakšsaskarnes virtuālo lokālo
tīklu izveidei un tie tiek konfigurēti kā stumbru (angļu: trunk) līnijas.
Nākamais solis ir EIGRP maršrutēšanas protokola uzstādīšana visos maršrutētājos (tabula
Nr.2.6.). Konfigurācijā tiek izmantots brīvi izvēlēts, bet visiem maršrutētajiem kopīgs EIGRP
autonomā apgabala numurs – 5. Maršrutētājā RR01, kam ir savienojums ar internetu, tiek
uzstādīts arī statiskais ceļš, kas ar komandu „Redis t r i bu te s t a t i c ” tiek iekļauts EIGRP
tabulās. Autentificēšanās EIGRP līmenī šajā piemērā netiek uzstādīta.
Tabula Nr.2.6.
EIGRP uzstādīšana
Konfigurācija
Maršrutētājs RR01 Maršrutētājs RA01 Maršrutētājs RA02
1 2 3
config terminal
ip route 0.0.0.0 0.0.0.0 fa0/1
router e igrp 5
no auto -summary
ne twork 10.10.10.0 0.0.0.15
ne twork 10.1.1.0 0.0.0.7
redistr ibute s ta t ic
exit
config terminal
router e igrp 5
no auto -summary
ne twork 192.168.1.0 0.0.0.15
ne twork 10.1.1.0 0.0.0.7
exit
config terminal
router e igrp 5
no auto -summary
ne twork 192.168.10.0 0.0.0.255
ne twork 10.1.1.0 0.0.0.7
exit
28
Pēc maršrutēšanas protokola konfigurēšanas tiek uzstādīta adrešu translēšana (Tabula
Nr.2.7.).
Tabula Nr.2.7.
NAT(PAT) uzstādīšana
Maršrutētāja RR01 konfigurācija
1
config terminal
access -l i st 10 permi t 10.1.1.0 0.0.0.7
ip nat inside source l is t 10 inte r face fa1/0 overload
int fa0/0
ip nat inside
ip fa0/1
ip nat inside
int fa1/0
ip nat outside
exit
ip nat inside source s ta t ic tcp 10.10.10.2 80 46.109.187.190 80
ip nat inside source s ta t ic tcp 10.10.10.2 443 46.109.187.190 443
ip nat inside source s ta t ic tcp 10.10.10.3 25 46.109.187.190 25
Šajā piemērā tiek uzstādīts PAT (NAT Overload) RR01 maršrutētājam, kas, atbilstoši
piekļuves sarakstam Nr. 10, nodrošinās tīkla iekšējo adrešu translēšanu uz vienu rīcībā esošo
ārējo. Izņēmums ir DMZ adrešu lauks, kurš satur iekārtas, kuru servisiem ir jāpiekļūst gan no
iekšējā tīkla, gan no ārējā. Šajā gadījumā ir jāizmanto statiskā portu translēšana. Piemērā ir
noteikts, ka pieprasījums uz adresi 46.109.187.190 ar portu 80 vai 443 tiek novirzīts uz tīmekļa serveri
(adrese 10.10.10.2) un pieprasījums uz 46.109.187.190 ar portu 25 tiek novirzīts uz e-pasta serveri (adrese
10.10.10.3).
Pēc NAT uzstādīšanas ar komandu „debug ip na t ” var ieslēgt pārveidošanas
paziņojumus un pārliecināties par konfigurācijas darbību.
Pēc tam, kad savstarpēji ir saslēgti maršrutētāji, tīkla konfigurācijā ir jāievieš drošības
pasākumi – piekļuves saraksti, kas savstarpēji atdalītu apakštīklus atbilstoši uzņēmuma
vajadzībām un nodrošinātu datu plūsmu tikai atļautos virzienos. Maršrutētāja RR01, kas ir tīkla
ārējās robežas maršrutētājs, pamatuzdevums ir nodrošināt tīkla aizsardzību no ārējās piekļuves.
Līdz ar to konfigurācijā (tabula Nr. 2.8.) ar paplašinātā tipa piekļuves sarakstu Nr. 151 tiek
ierobežota piekļuve iekšējam tīklam atļaujot abpusējā virzienā saskarnē FastEthernet 1/0, kas ir
savienots ar internetu, tikai standarta protokolus un portus, kas tiek izmantoti tīmekļa
pakalpojumu (HTTP un HTTPS), e-pastu (SMTP) un domēnu nosaukuma sistēmai.
29
Tabula Nr.2.8.
Piekļuves sarakstu uzstādīšana maršrutētājā RR01
Maršrutētāja RR01 konfigurācija
1
config terminal
access -l i st 151 permi t tcp any any eq 80
access -l i st 151 permi t tcp any any eq 25
access -l i st 151 permi t tcp any any eq 443
access -l i st 151 permi t udp any any eq 53
access -l i st 151 permi t tcp any eq 80 any
access -l i st 151 permi t tcp any eq 25 any
access -l i st 151 permi t tcp any eq 443 any
access -l i st 151 permi t udp any eq 53 any
access -l i st 151 deny udp any any
access -l i st 151 deny tcp any any
access -l i st 171 permi t tcp any 192.168.10.0 0.0.0.255 establ ished
inter face fastethernet1/0
ip access -group 151 in
inter face fastethernet0/0
ip access -group 171 out
exit
Papildus tam saskarnē FastEthernet0/0, kas vērsta iekšējā tīkla virzienā, lai nodrošinātu
plūsmu tikai no lietotāju apakštīkla un neatļautu to virzienā uz lietotāju apakštīklu, ja vien nav
iepriekš plūsma pieprasīta no lietotāja, ir uzstādīts piekļuves saraksts Nr. 171.
Maršrutētāja RA01 piekļuves sarakstu konfigurācija (Tabula Nr. 2.9.) papildus ierobežo
piekļuvi uzņēmuma iekšējiem serveriem. Atšķirībā no RR01 maršrutētāja, RA01 efekts tiek
panākts izmantojot tikai standarta tipa piekļuves sarakstus Nr. 11, 16 un 17.
Tabula Nr.2.9.
Piekļuves sarakstu uzstādīšana maršrutētājā RA01
Maršrutētāja RA01 konfigurācija
1
config terminal
access -l i st 11 permi t 192.168.10.0 0.0.0.255
access -l i st 11 permi t 10.1.1.0 0.0.0.7
access -l i st 11 deny any
access -l i st 16 deny 10.1.1.0 0.0.0.7
access -l i st 16 permi t any
access -l i st 17 deny 10.1.1.0 0.0.0.7
access -l i st 17 deny 10.10.10.0 0.0.0.15
access -l i st 17 permi t any
inter face fastethernet0/0
ip access -group 11 in
inter face fastethernet0/1
ip access -group 17 in
ip access -group 16 out
exit
30
Piekļuves saraksts Nr. 11 ir piesaistīts maršrutētāja ārējam – uz kopējo tīkla daļu
vērstajam interfeisam FastEthernet0/0 un atļauj plūsmu no adrešu lauka 192.168.10.0 /24, kur ir
izvietotas lietotāju darbstacijas un 10.10.10.1 /29, kur notiek EIGRP informācijas apmaiņa. Lai
maršrutētāji savstarpēji salāgotos piekļuves sarakstā ienākošai plūsmai ir jāatļauj šis ar lietotājiem
nesaistītais adrešu lauks. Savukārt piekļuves saraksti Nr. 16 un Nr. 17 ir piesaistīti uz serveru
grupu vērstajai saskarnei un Nr. 16 aizliedz piekļuvi DMZ adrešu laukam un iekšējam
maršrutēšanas adrešu laukam, kamēr Nr.17 ierobežo piekļuvi no DMZ un iekšējās maršrutēšanas
adrešu lauka.
Šādi izmantojot iekšējās un ārējās saskarnes tiek panākts, ka piekļuve serveru adrešu
laukam un līdz ar to šai tīkla daļai ir atļauta tikai no lietotāju adrešu lauka.
Maršrutētājā RA02 jeb lietotāju piekļuves maršrutētājā, izmantojot piekļuves sarakstus,
var ērti variēt ar atļautajiem servisiem dažādām lietotāju grupām. Tā apakšsaskarnē
FastEthernet0/1.3 ar vienkāršu standarta tipa sarakstu (Tabula Nr. 2.10.) ir aizliegta no lietotāju
apakštīkla, kas piesaistīts 192.168.10.96 /27, piekļuve DMZ izvietotajām iekārtām.
Tabula Nr.2.10.
Piekļuves sarakstu uzstādīšana maršrutētājā RA02
Maršrutētāja RA02 konfigurācija
1
access -l i st 155 deny tcp 192.168.10.96 0.0.0.31 10.10.10.0 0.0.0.15
access -l i st 155 permi t tcp any any
inter face fastethernet0/1.3
ip access-group 155 in
Pēc piekļuves sarakstu izveides un piesaistes maršrutētājos, tīkla modelī izmantotajiem
komutatoriem ir jāveic atbilstošo parametru iestatīšana. Visos komutatoros tiek atslēgti
neizmantotie porti un aizliegta neautorizēta piekļuve uzstādot paroli.
Tabulā Nr. 2.11. ir norādīta „CISCO Catalyst 2950 24” komutatorā izmantotā
konfigurācija. Komutatoru DSW01 un SwCe01 konfigurācija ir līdzīga un atšķiras tikai saskarņu
nosaukumi un to skaits komutatorā. Pilna visu modelī izmantoto komutatoru un maršrutētāju
konfigurācija ir atrodama 1. un 2. pielikumā.
31
Tabula Nr.2.11.
Komutatoru piekļuves konfigurācija
Konfigurācija CISCO Catalyst 2950 24 komutatoros
1
config terminal
no ip domain-lookup
banner motd ! Neautorizeta piekluve aizliegta !
enable secre t a
service password -encryp tion
l ine con 0
password a
login
logging synchronous
l ine vty 0 15
password a
login
logging synchronous
exit
in t range f0/1-24 (skaits atkarīgs no interfeisu skaita komutatorā, šajā piemērā ir 24)
shut
Tā kā lietotāju apakštīklā esošie komutatori nodrošinās virtuālo lokālo tīklu darbību, tad
starp komutatoriem tiek izveidoti stumbri VLAN informācijas apmaiņai un konfigurēts VTP
serveris centrālajā sadalošajā komutatorā. VTP serveris atjaunos VLAN informāciju tajos
komutatoros, kas konfigurēti kā atbilstošie VTP klienti (Tabula Nr. 2.12.).
Tabula Nr.2.12.
Komutatoru VTP konfigurācija un VLAN izveide
Konfigurācija
Komutators CLSW Komutators ASW1 Komutators ASW2
1 2 3
config terminal
vtp domain userix
vtp mode ser ver
vtp password a
int range f0/1-3
swi tchport mode t runk
no shut
exit
ip default -gateway 192.168.10.2
vlan 11
name Pr_dala
vlan 22
name It_dala
vlan 33
name Atb_dala
config terminal
vtp domain userix
vtp mode cl ient
vtp password a
int range f0 /1 -3
swi tchport mode t runk
no shut
config terminal
vtp domain userix
vtp mode cl ient
vtp password a
int range f0/1-3
swi tchport mode t runk
no shut
32
Pēc VTP servera un klientu izveides un saslēgšanas un VLAN izveides komutatorā CLSW
komutatoros ASW1 un ASW 2 ir jānorāda, kuras saskarnes izmantos attiecīgās nodaļas personāls
un līdz ar to, kurš VLAN ir jāpiesaista (Tabula Nr.2.13.).
Tabula Nr.2.13.
VLAN izveide
Konfigurācija
Komutators ASW1 Komutators ASW2
config terminal
int range f0/5-15
swi tchport mode access
swi tchport access vlan 11
int f0/16-20
swi tchport mode access
swi tchport access vlan 22
int f0/22-23
swi tchport mode access
swi tchport access vlan 33
config terminal
int f0/5
swi tchport mode access
swi tchport access vlan 33
Piemērā tiek komutatora ASW1 5.-15. interfeisam tiek piesaistīti Projektu daļas
darbstacijas (VLAN 11), 15.-20. interfeisam IT daļas darbstacijas (VLAN 22) un 22.-23.
interfeisam Atbalsta daļas darbstacijas (VLAN 33).
Līdz ar to datortīkla modeļa plānošanu un konfigurēšanu var uzskatīt par pabeigtu un
visās iekārtās ar komandu „copy run s t a r t ” ir jāsaglabā esošā konfigurācija. Tīklā atliek tikai
nokonfigurēt darbstacijas un serverus un piešķirt tiem atbilstošas IP adreses.
Esošais datortīkla modelis ir pilnībā funkcionējošs un nodrošina plānošanas laikā noteikto
prasību izpildi. Nepieciešamības gadījumā tā moduļu tipa uzbūve ļauj salīdzinoši vienkārši tīklu
paplašināt.
33
SECINĀJUMI
1. Tīkla plānošana ir saistīta ne tikai ar tehnisko risinājumu izstrādi, bet arī uzņēmuma
un tā lietotāju prasību analīzi. Tikai vispusīga uzņēmuma vērtēšana gan no uzņēmuma struktūras,
gan datu svarīguma, gan lietotāju prasībām var sniegt nepieciešamo informāciju sekmīgai
projekta realizācijai.
2. Iespējamo tīkla arhitektūru dažādība paver iespējas izmantot katram uzņēmumam
maksimāli efektīvu, gan izmaksu, gan jaudas ziņā, risinājumu un ar CISCO komunikācijas
iekārtām ir iespējami praktiski visi tīklu risinājumiem, neatkarīgi no izmantotās mediju vides vai
protokola standarta. Tomēr to plašu izmantošanu ierobežo iekārtu izmaksas.
3. Šobrīd datortīklu izveidei ir pieejama plaša mediju izvēle. Tomēr joprojām mazos un
vidējos uzņēmumos par optimālo finanšu un drošības ziņā ir uzskatāms vītā pāra kabelis.
4. Iepazīstoties ar CISCO korporācijas maršrutētājos izmantotajām tehnoloģijām un
mēģinot tās virtuāli simulēt CISCO Packet Tracer programmā, tika plānots izstrādāt darba gaitā
izvēlēto slēguma risinājumu un to testēt. Lai arī izmantotā konfigurācija nav sarežģīta, tās laikā
tika pielaistas sīkas neprecizitātes, kas būtiski aizkavēja moduļa ieviešanu. Kā iemesli ir minami
automātisko konfigurāciju izmantošana un reālas prakses trūkums gan konfigurēšanā, gan
bojājumu atklāšanā un novēršanā. Īpaša uzmanība jāpievērš piekļuves sarakstiem un to
izmantošanas īpatnībām.
5. EIGRP protokola konfigurēšana ir ļoti vienkārša lietošanā un potenciāli kļūstot par
atvērto protokolu var izkonkurēt pašlaik plaši izmantoto OSPF protokolu.
6. EIGRP protokola ieviešanas lietderība ir atkārtoti jāizvērtē tikai pēc tā, kad tas tiks
ieviests trešo pušu maršrutētāju programmnodrošinājumā. Kamēr tas ir tikai CISCO iekārtās,
pāreja uz šīm iekārtām ir finansiāli neizdevīga. Savukārt uzņēmumos, kas jau izmanto EIGRP un
CISCO iekārtas, citu ražotāju šo protokolu atbalstošas iekārtas var būt finansiāli izdevīgs
risinājums modernizācijas vai bojājumu gadījumā.
34
PRIEKŠLIKUMI
1. Izvērtējot modeļa ieviešanas gaitu, nākas secināt, ka galvenā problēma var būt
saistīta ar nepilnīgu tehniskā personāla apmācību un līdz ar to uzņēmumos ir nepieciešams lielāks
uzsvars administratoru apmācībai tīklu plānošanā un dažādos tīklu risinājumiem.
2. Tā kā CISCO ir viens no lielākajiem komunikāciju iekārtu ražotājiem, kas nākotnē,
iespējams, vēl vairāk nostiprinās savas pozīcijas, uzņēmumiem ir lietderīgi daļu administratoru
apmācību procesa paredzēt arī CISCO atbalstītajiem risinājumiem.
3. Lai uzlabotu savu tīkla administratoru darbu ar specifiskām iekārtām un nostiprinātu
viņu teorētiskās zināšanas, apmācību procesā ir nepieciešams iekļaut darbu ar reālām iekārtām,
kā arī dažādiem mediju veidiem.
4. Administratoriem ir nepieciešams izvērtēt esošo maršrutētāju iestatījumus un tīklu
drošība nodrošināšanai plaši izmantot piekļuves sarakstus un to sniegtās iespējas.
5. Pēc EIGRP parādīšanās citu ražotāju iekārtās, uzņēmumiem, kas izmanto EIGRP ir
jāveic to savstarpējās savietojamības ar CISCO iekārtām un risinājumiem pārbaude, kā arī iekārtu
izmaksu salīdzinājums.
35
BIBLIOGRĀFISKAIS SARAKSTS
1. Eiropas Komisijas regula Nr. 264/2004 [Elektroniskais resurss] - Tiešsaites raksts. –
Nosaukums no tīmekļa lapas. - Resurss apskatīts: 10.01.2014. - Pieejas veids: tīmeklis: http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:08:03:32004R0364:LV:PDF
2. Ethernet 10/100/1000 Mbit wiring diagram and cable pinout [Elektroniskais
resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:
11.01.2014. - Pieejas veids: tīmeklis: http://pinouts.ru/NetworkCables/ethernet_10_100_1000
_pinout.shtml
3. Fiber Optic Transceivers [Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa
lapas. - Resurss apskatīts: 28.01.2014. - Pieejas veids: tīmeklis:
http://www.thefoa.org/tech/ref/appln/transceiver.html
4. Interconnecting Cisco Networking Devices Part 2 Volume 1. - UK, Cisco Systems, 2010. –
334 p.
5. Interconnecting Cisco Networking Devices Part 2 Volume 2. UK, Cisco Systems, 2010. –
227 p.
6. Odom.W. CCENT/CCNA ICND1 640-822 Official Cert Guide - Indianapolis, Cisco Press,
2011. – 736 p.
7. Odom.W. CCENT/CCNA ICND2 640-816 Official Cert Guide - Indianapolis, Cisco Press,
2011. – 738 p.
8. Oppenheimer.P. Top-Down Network Design - Indianapolis, Cisco Press, 2011. – 447 p.
9. Routing TCP/IP Volume 1 / Doyle. J., Carroll. J. - Indianapolis: Cisco Press, 2006. – 911 p.
10. Sample Configuration for Authentication in RIPv2 [Elektroniskais resurss] - Tiešsaites raksts.
– Nosaukums no tīmekļa lapas. - Resurss apskatīts 06.01.2014. - Pieejas veids: tīmeklis:
www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a0080093f1c.shtml
11. US Department of Defense (DoD) Unified Capabilities (UC) Approved Products List (APL)
[Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:
15.01.2014. – Pieejas veids: tīmeklis: https://www.cisco.com/web/strategy/ government/security
_certification/net_business_benefit_secvpn_dod.html
12. Uzņēmējdarbība [Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa
lapas. - Resurss apskatīts: 23.01.2014. - Pieejas veids: tīmeklis: http://www.em.gov.lv/em/2n
d/?cat=23394
36
13. What are achievable distances single mode vs multimode fibre? Elektroniskais
resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:
25.12.2013. - http://www.universalnetworks.co.uk/faqs/fibre-optics-faqs/fibre-types-and-
distances-1306829646.htm
37
ALBERTA KOLEDŽA Studiju programmas __Informācijas tehnoloģijas_
(studiju programmas nosaukums)
DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS
UZŅĒMUMOS, IZMANTOJOT CISCO IEKĀRTAS (Kvalifikācijas darba temata nosaukums)
GRAFISKĀ DAĻA
Specializācija: Datortīklu administrēšana
Students: Andris Loskutovs __________________________________ (paraksts, datums)
Rīga – 2014
38
DATORTĪKLA IZVEIDE UN
KONFIGURĒŠANA MAZOS UN VIDĒJOS
UZŅĒMUMOS, IZMANTOJOT CISCO
IEKĀRTAS
Andris Loskutovs
Alberta KoledžaInformāciju tehnoloģiju programma
Kursa darbs
Darba aktualitāte un nozīmīgums
• CISCO ir viens no lielākajiem komunikāciju
iekārtu ražotājiem pasaulē
• CISCO produkti ir atzīti kā droši
izmantošanai valsts organizāciju tīklos
• CISCO izstrādātie risinājumi kļūst pieejami
izmantošanai arī citu ražotāju iekārtās
• Mazie un vidējie uzņēmumi veido lielāko
daļu no uzņēmumu apjoma
39
Izmantotās pētīšanas metodes
• Sekundāro datu savākšanas metode
• Vispārzinātniskās metodes:
◦ Loģiski konstruktīvā
◦ Grafiskā
◦ Analīze
Darba mērķa
un uzdevumu izklāsts
• Mērķis ir izzināt datortīkla izveides
principus, tehniskos līdzekļus un
risinājumus, izmantojot CISCO MUV
uzņēmumiem paredzētās tīkla iekārtas
• Uzdevumi
◦ iepazīties ar CISCO iekārtām un tajos
izmantotajiem tīklu izveides un
saistīšanas risinājumiem
◦ iepazīties ar datu pārraides līdzekļiem
◦ Izveidot tīkla iekārtu konfigurācijas
vispārīgu modeli
40
Teorētisko daļu raksturojums(1)
• Veiksmīgas tīklu plānošanas
priekšnosacījumi:
◦ Vispusīga vajadzību apzināšana
◦ Topoloģijas izvēle
◦ Iekārtu un mēdiju izvēle
◦ Atbilstoša maršrutēšanas protokola un
starpsavienojumu risinājumu izvēle
Teorētisko daļu raksturojums(2)
Maršrutēšanas protokoli
41
Praktiskās daļas raksturojums (1)
• Prasības:
◦ MVU tīkls (līdz 250 darbstacijām)
◦ CISCO iekārtas
◦ Ierobežota piekļuve informācijai
◦ Publiski pieejamo serveru iespējama
esamība tīklā
Praktiskās daļas raksturojums (2)
• Risinājumā izmantots:
◦ EIGRP – maršrutētāju starpsavienojumi
◦ VLAN – piekļuve lietotājiem
◦ Piekļuves saraksti (ACL)
◦ Adrešu un portu translēšana
42
Praktiskās daļas raksturojums (3)
MVU slēguma modelis
Secinājumi
• Plānošanas laikā jāpievērš pastiprināta
uzmanība vajadzību apzināšanai.
• MVU ekonomiski izdevīgākais mediju tips
ir veidots ar vītā pāra tehnoloģiju.
• CISCO risinājumi var būt finansiāli
neizdevīgi.
• Nepietiekošas praktiskās iemaņas var būtiski
ierobežot pat vienkāršu risinājumu
ieviešanu.
43
Priekšlikumi
• Plānojot risinājumus balstītus uz CISCO:
◦ Jāveic specializēta administratoru
pirmsapmācība
◦ Nepieciešams izvērtēt risinājuma
lietderību (ekonomiskā) un alternatīvas
• Pēc EIGRP parādīšanās citu ražotāju
iekārtās jāveic to salīdzinājums ar CISCO
iekārtām un risinājumiem
Paldies!
44
ALBERTA KOLEDŽA Studiju programmas __Informācijas tehnoloģijas_
(studiju programmas nosaukums)
DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS
UZŅĒMUMOS, IZMANTOJOT CISCO IEKĀRTAS (Kvalifikācijas darba temata nosaukums)
PIELIKUMI
Specializācija: Datortīklu administrēšana
Students: Andris Loskutovs __________________________________ (paraksts, datums)
Rīga – 2014
45
1.pielikums. Tīkla modeļa maršrutētāju konfigurācija
1.1. RR01 maršrutētājā konfigurācija
version 12.4
service timestamps log datetime msec
service timestamps debug datetime msec
service password-encryption
hostname RR01
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
enable password 7 083B
aaa new-model
aaa authentication login local_auth local
username a password 7 0820
ip inspect audit-trail
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name autosec_inspect http
ip inspect name autosec_inspect udp
ip inspect name autosec_inspect tcp
spanning-tree mode pvst
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.248
ip access-group 171 out
ip nat inside
duplex auto
speed auto
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.240
ip nat inside
duplex auto
speed auto
interface FastEthernet1/0
ip address 46.109.187.190 255.255.248.0
ip access-group 151 in
ip nat outside
ip inspect autosec_inspect out
duplex auto
speed auto
interface FastEthernet1/1
no ip address
duplex auto
speed auto
shutdown
interface Vlan1
46
no ip address
shutdown
router eigrp 5
redistribute static
network 10.1.1.0 0.0.0.7
network 10.10.10.0 0.0.0.15
no auto-summary
ip nat inside source list 10 interface FastEthernet1/0 overload
ip nat inside source static tcp 10.10.10.2 80 46.109.187.190 80
ip nat inside source static tcp 10.10.10.2 443 46.109.187.190 443
ip nat inside source static tcp 10.10.10.3 25 46.109.187.190 25
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet1/0
access-list 10 permit 10.1.1.0 0.0.0.7
access-list 151 permit tcp any any eq www
access-list 151 permit tcp any any eq smtp
access-list 151 permit tcp any any eq 443
access-list 151 permit udp any any eq domain
access-list 151 permit tcp any eq www any
access-list 151 permit tcp any eq smtp any
access-list 151 permit tcp any eq 443 any
access-list 151 permit udp any eq domain any
access-list 151 deny udp any any
access-list 151 deny tcp any any
access-list 171 permit tcp any 192.168.10.0 0.0.0.255 established
no cdp run
banner motd sis ir uznemuma ipasums. neautorizeta pieluve ir
aizliegta.
logging trap debugging
line con 0
transport output telnet
exec-timeout 5 0
login authentication local_auth
line vty 0 4
login authentication local_auth
transport input telnet
end
1.2. RA01 maršrutētājā konfigurācija
version 12.4
service timestamps log datetime msec
service timestamps debug datetime msec
service password-encryption
hostname RA01
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
47
enable password 7 083B
aaa new-model
aaa authentication login local_auth local
username a password 7 0820
spanning-tree mode pvst
interface FastEthernet0/0
ip address 10.1.1.5 255.255.255.248
ip access-group 11 in
ip nat outside
duplex auto
speed auto
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.240
ip access-group 17 in
ip access-group 16 out
ip nat inside
duplex auto
speed auto
interface Vlan1
no ip address
shutdown
router eigrp 5
network 10.1.1.0 0.0.0.7
network 192.168.1.0 0.0.0.15
no auto-summary
ip classless
access-list 11 permit 192.168.10.0 0.0.0.255
access-list 11 permit 10.1.1.0 0.0.0.7
access-list 11 deny any
access-list 16 deny 10.1.1.0 0.0.0.7
access-list 16 permit any
access-list 17 deny 10.1.1.0 0.0.0.7
access-list 17 deny 10.10.10.0 0.0.0.15
access-list 17 permit any
no cdp run
banner motd neautorizeta piekluve ir aizliegta.
logging trap debugging
line con 0
transport output telnet
exec-timeout 5 0
login authentication local_auth
line vty 0 4
login authentication local_auth
transport input telnet
end
48
1.3. RA01 maršrutētājā konfigurācija
version 12.4
service timestamps log datetime msec
service timestamps debug datetime msec
service password-encryption
hostname RA02
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
enable password 7 083B
aaa new-model
aaa authentication login local_auth local
username a password 7 0820
spanning-tree mode pvst
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.248
ip nat outside
duplex auto
speed auto
interface FastEthernet0/1
no ip address
ip nat inside
duplex auto
speed auto
interface FastEthernet0/1.1
encapsulation dot1Q 11
ip address 192.168.10.2 255.255.255.192
interface FastEthernet0/1.2
encapsulation dot1Q 22
ip address 192.168.10.66 255.255.255.224
interface FastEthernet0/1.3
encapsulation dot1Q 33
ip address 192.168.10.98 255.255.255.224
ip access-group 155 in
interface Vlan1
no ip address
shutdown
router eigrp 5
network 10.1.1.0 0.0.0.7
network 192.168.10.0
no auto-summary
ip classless
access-list 155 deny tcp 192.168.10.96 0.0.0.31 10.10.10.0 0.0.0.15
access-list 155 permit tcp any any
no cdp run
banner motd neautorizeta piekluve ir aizliegta.
49
logging trap debugging
line con 0
transport output telnet
exec-timeout 5 0
login authentication local_auth
line vty 0 4
login authentication local_auth
transport input telnet
end
50
2.pielikums. Tīkla modeļa komutatoru konfigurācija
2.1. DSW01 konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
hostname DSW01
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
interface FastEthernet1/1
interface FastEthernet2/1
interface FastEthernet3/1
shutdown
interface FastEthernet4/1
shutdown
interface FastEthernet5/1
shutdown
interface Vlan1
no ip address
shutdown
banner motd Neautorizeta piekluve
aizliegta
line con 0
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end
2.2. SwCe01 konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
51
service password-encryption
hostname SwCe01
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
interface FastEthernet1/1
interface FastEthernet2/1
interface FastEthernet3/1
shutdown
interface FastEthernet4/1
shutdown
interface FastEthernet5/1
shutdown
interface Vlan1
no ip address
shutdown
banner motd Neautorizeta piekluve
aizliegta
line con 0
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end
2.3. SWP01 konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
hostname SWP01
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
52
interface FastEthernet0/5
shutdown
...
interface FastEthernet0/24
shutdown
interface Vlan1
no ip address
shutdown
banner motd Neautorizeta piekluve
aizliegta
line con 0
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end
2.4. CLSW konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
hostname CLSW
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport mode trunk
interface FastEthernet0/3
switchport mode trunk
interface FastEthernet0/4
shutdown
...
interface FastEthernet0/24
shutdown
interface Vlan1
no ip address
53
shutdown
ip default-gateway 192.168.10.2
banner motd Neautorizeta piekluve
aizliegta
line con 0
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end
2.5. ASW01 konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
hostname ASW1
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
shutdown
interface FastEthernet0/3
shutdown
interface FastEthernet0/4
shutdown
interface FastEthernet0/5
switchport access vlan 11
interface FastEthernet0/6
switchport access vlan 11
shutdown
interface FastEthernet0/7
switchport access vlan 11
shutdown
interface FastEthernet0/8
switchport access vlan 11
shutdown
54
interface FastEthernet0/9
switchport access vlan 11
shutdown
interface FastEthernet0/10
switchport access vlan 11
shutdown
interface FastEthernet0/11
switchport access vlan 11
shutdown
interface FastEthernet0/12
switchport access vlan 11
shutdown
interface FastEthernet0/13
switchport access vlan 11
shutdown
interface FastEthernet0/14
switchport access vlan 11
shutdown
interface FastEthernet0/15
switchport access vlan 11
shutdown
interface FastEthernet0/16
switchport access vlan 22
interface FastEthernet0/17
switchport access vlan 22
shutdown
interface FastEthernet0/18
switchport access vlan 22
shutdown
interface FastEthernet0/19
switchport access vlan 22
shutdown
interface FastEthernet0/20
switchport access vlan 22
shutdown
interface FastEthernet0/21
switchport access vlan 33
shutdown
interface FastEthernet0/22
switchport access vlan 33
interface FastEthernet0/23
switchport access vlan 33
shutdown
interface FastEthernet0/24
shutdown
interface Vlan1
no ip address
shutdown
55
banner motd Neautorizeta piekluve
aizliegta
line con 0
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end
2.6. ASW02 konfigurācija
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
hostname ASW02
enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.
no ip domain-lookup
spanning-tree mode pvst
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
shutdown
...
interface FastEthernet0/4
shutdown
interface FastEthernet0/5
switchport access vlan 33
switchport mode access
interface FastEthernet0/6
shutdown
...
interface FastEthernet0/24
shutdown
interface Vlan1
no ip address
shutdown
banner motd Neautorizeta piekluve
aizliegta
line con 0
56
password 7 0820
logging synchronous
login
line vty 0 4
password 7 0820
logging synchronous
login
line vty 5 15
password 7 0820
logging synchronous
login
end