Zadání souborné práce pro předmět cisco Autor: andrej pala (m4)

Popisky v prezentaci Snadné Středně těžké Těžké Konfigurace, kterou je nutné odladit a otestovat Jakoukoliv konfiguraci, kterou provedete, ověřte, jestli vám funguje Nejčastější příkazy: Ping, Traceroute (pro PC příkaz Tracert), Show Samozřejmě nezapomínejte své konfigurace průběžně ukládat

Příprava Spusťte program Packet Tracer Na pracovní plochu si nachystejte tyto zařízení: 3x – CISCO router 1941 3x – CISCO switch 2960 9x – PC 1x – Server 2x – Multiuser Rozmístěte tyto zařízení po pracovní ploše zhruba stejně jako na obrázku vedle

(Pro odkrytí klikněte na tento obdélník) příprava ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) Před zapojováním je nutné upravit interface routerů, neboť budeme pracovat se sériovou linkou a ta ve výchozím zařízení není, tudíž je nutné ji přidat Otevřete náhled na 1 z routerů 1941 Zařízení vypněte vypínačem nahoře Do pravého prázdného šuplíčku přetáhnete interface z názvem HWIC-2T Levý šuplíček zadělejte kritkou (WIC-cover) Zařízení nezapomeňte opět zapnout U serveru S0 vyměňte stejným způsobem interface PT- HOST-NM-1CFE za PT-HOST-NM-1CGE

Zapojení Ze zařízení Interface Kabel Do zařízení PC0 Fa0 UTP ST SW0 Fa0/5 PC1 Fa0/10 PC2 Fa0/15 PC3 SW1 PC4 PC5 PC6 SW2 PC7 PC8 S0 G0 UTP CO R2 G0/0 Fa0/21 Fa0/22 G0/1 R1 R0 Se0/0/0 S (DCE) – S (DTE) Se0/0/1 Peer 0 (NEW) Peer 1 Zapojení Zapojte dle této tabulky Poznámka: UTP ST = klasický nekřížený ethernet kabel UTP CO = křížený ethernet kabel S (DCE) = Sériový kabel (řídící) S (DTE) = Sériový kabel (řízený)

(Pro odkrytí klikněte na tento obdélník) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník)

Konfigurace (základní nastavení) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) Router(config)#hostname R0 R0(config)#banner motd "Unathorized access is NOT legal!" R0(config)#service password-encryption R0(config)#enable password cisco R0(config)#username admin password cisco R0(config)#line console 0 R0(config-line)#exec-timeout 5 R0(config-line)#login local R0(config-line)#exit Jako první krok, začněte základní konfiguraci na všech CISCO zařízeních, přesněji: V příkazovém řádku (CLI) přejmenujte všechna CISCO zařízení podle toho, jak se jmenují na pracovní ploše Vložte banner na přihlašovací obrazovku s textem „Unathorized access is NOT legal!“ Spusťte šifrování veškerých „holých“ hesel Nastavte heslo „cisco“ pro vstup do privilegovaného režimu Vytvořte nového uživatele „admin“, který se bude přihlašovat heslem „cisco“ Nastavte pro konzoli přihlašování přes uživatele a nastavte automatické odhlášení na 5 minut

Konfigurace (připojení přes SSH) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) R0(config)#ip domain-name local-domain R0(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 R0(config)#line vty 0 4 R0(config-line)#exec-timeout 1 R0(config-line)#transport input ssh R0(config-line)#transport output ssh R0(config-line)#login local R0(config-line)#exit R0(config)#login block-for 600 attempts 5 within 60 Připojení přes SSH nakonfigurujte opět na všech zařízeních Aby to bylo možné je nutné navíc provést tyto kroky: Přejmenovat zařízení (splněno) Nastavit heslo do privilegovaného režimu (splněno) Vytvořit nového uživatele (splněno) Nastavit doménu zařízení na „local-domain“ Zapnout generování náhodného klíče Změnit nastavení přenosu dat pro vzdálený přístup z nechráněného Telnetu na chráněné SSH Pro vyšší zabezpečení nastavte na routerech blokování přihlášení v případě většího počtu špatných pokusů (zablokovat na 600 sekund při 5 špatných pokusech v rámci 1 minuty) (Pozn. switche 2960 tuto funkci nepodporují) Na všech zařízeních nastavte automatické odhlášení z SSH po 1 minutě https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15- 0_2_EX/security/configuration_guide/b_sec_152ex_2960-x_cg/b_sec_152ex_2960- x_cg_chapter_01001.html

Konfigurace (sw0 – VTP server) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) SW0(config)#vtp version 2 SW0(config)#vtp domain local-domain SW0(config)#vtp password cisco SW0(config)#vtp mode server Na switchi SW0 nastavte VTP server (Virtual Trunk Protokol) Důvodem je, že si chceme ušetřit trochu času a stačí nám nastavit virtuální sítě (VLAN) pouze na serveru, klienti si pak nastavení pomocí tohoto protokolu sami stáhnou Pro přesnost: Nastavte, že chcete 2. verzi VTP protokolu Doménu pro VTP protokol nastavte jako „local-domain“ Heslo pro zabezpečení nastavte „cisco“ Přepněte zařízení do módu „server“ http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_exploration/3e_04_vtp.ppt

Konfigurace (sw1 a sw2 – VTP klienti) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) SW1(config)#vtp version 2 SW1(config)#vtp domain local-domain SW1(config)#vtp password cisco SW1(config)#vtp mode client Podobné nastavení proveďte na switchích SW1 a SW2. Jediný rozdíl v konfiguraci je, že switche nespustíte v režimu server, ale v režimu klient http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_exploration/3e_04_vtp.ppt

Konfigurace (sw0 – vlan) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) SW0(config)#vlan 10 SW0(config-vlan)#name "Ports fa0/1-5" SW0(config-vlan)#exit SW0(config)#vlan 20 SW0(config-vlan)#name "Ports fa0/6-10" SW0(config)#vlan 30 SW0(config-vlan)#name "Ports fa0/11-15" SW0(config)#vlan 99 SW0(config-vlan)#name "Administrative" SW0(config)#interface vlan 10 SW0(config-if)#exit SW0(config)#interface vlan 20 SW0(config)#interface vlan 30 SW0(config)#interface vlan 99 Na switchi SW0 vytvořte VLANy 10, 20, 30 a 99 Ke každé VLANě přidejte popisek: VLAN 10 - Ports fa0/1-5 VLAN 20 - Ports fa0/6-10 VLAN 30 - Ports fa0/11-15 VLAN 99 – Administrative Jednotlivé VLANy aktivujte tím, že otevřete jejich interface http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_rout_switch/2rs_03_vlans.pptx

Konfigurace (sw1 a sw2 – vlan) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) SW1(config)#interface vlan 10 SW1(config-if)#exit SW1(config)#interface vlan 20 SW1(config)#interface vlan 30 SW1(config)#interface vlan 99 Tím, že jste nastavili VTP server na SW0 a VTP klienty na SW1 a SW2, nemusíte se teď trápit vytvářením nových VLAN a jejich popisováním. Stačí je pouze aktivovat http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_exploration/3e_04_vtp.ppt

Konfigurace (routery - adresování) Zařízení Interface IP adresa R0 G0/0 200.0.0.XX /30 G0/1 200.0.0.YY /30 S0/0/0 192.168.255.1 /30 S0/0/1 192.168.255.5 /30 R1 G0/0.1 (VLAN 10) 192.168.1.1 /24 G0/0.2 (VLAN 20) 192.168.2.1 /24 G0/0.3 (VLAN 30) 192.168.3.1 /24 G0/0.4 (VLAN 99) 192.168.4.1 /24 192.168.255.2 /30 192.168.255.9 /30 R2 192.168.0.1 /24 192.168.255.6 /30 192.168.255.10 /30 Žádná internetová síť se bez tohoto kroku prostě neobejde, stejně tak i my V případě routerů aktivujte interfacy, které jste použili v části zapojování Na sériových DCE interfacích routerů nastavte clock rate na 72000 Dále nastavte IP adresy dle tabulky vedle (u routeru R0 na interfacích G0/0 a G0/1 IP adresy pro zatím nenastavujte, vysvětleno bude později) Interface G0/0 na routeru R1 rozdělte na subinterfacy, přiřaďte je k jednotlivým VLANám a k nim přiřaďte tyto popisky: G0/0.1 – „VLAN 10“ G0/0.2 – „VLAN 20“ G0/0.3 – „VLAN 30“ G0/0.4 – „VLAN 99“ http://www.bernkopf.cz/skola/predmety/cisco/materialy/prezentace/0_prez_rou t_switch/2rs_06_inter_vlan_layer_3_switch.pptx

(Pro odkrytí klikněte na tento obdélník) R0(config)#interface Serial 0/0/0 R0(config-if)#no shutdown R0(config-if)#clock rate 72000 R0(config-if)#ip address 192.168.255.1 255.255.255.252 R0(config-if)#exit R0(config)#interface Serial 0/0/1 R0(config-if)#ip address 192.168.255.5 255.255.255.252 R0(config)#interface gigabitEthernet 0/0 R0(config)#interface gigabitEthernet 0/1 ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) R1(config)#interface gigabitEthernet 0/0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface gigabitEthernet 0/0.1 R1(config-subif)#encapsulation dot1Q 10 R1(config-subif)#description "VLAN 10" R1(config-subif)#ip address 192.168.1.1 255.255.255.0 R1(config-subif)#exit R1(config)#interface gigabitEthernet 0/0.2 R1(config-subif)#encapsulation dot1Q 20 R1(config-subif)#description "VLAN 20" R1(config-subif)#ip address 192.168.2.1 255.255.255.0 R1(config)#interface gigabitEthernet 0/0.3 R1(config-subif)#encapsulation dot1Q 30 R1(config-subif)#description "VLAN 30" R1(config-subif)#ip address 192.168.3.1 255.255.255.0 R1(config)#interface gigabitEthernet 0/0.4 R1(config-subif)#encapsulation dot1Q 99 R1(config-subif)#description "VLAN 99" R1(config-subif)#ip address 192.168.4.1 255.255.255.0 R1(config-subif)#no shutdown R1(config)#interface Serial 0/0/0 R1(config-if)#ip address 192.168.255.2 255.255.255.252 R1(config)#interface Serial 0/0/1 R1(config-if)#ip address 192.168.255.9 255.255.255.252 R2(config)#interface gigabitEthernet 0/0 R2(config-if)#no shutdown R2(config-if)#ip address 192.168.0.1 255.255.255.0 R2(config-if)#exit R2(config)#interface Serial 0/0/0 R2(config-if)#ip address 192.168.255.6 255.255.255.252 R2(config)#interface Serial 0/0/1 R2(config-if)#clock rate 72000 R2(config-if)#ip address 192.168.255.10 255.255.255.252

Konfigurace (switche - adresování) Zařízení Interface IP adresa SW0 VLAN 99 192.168.4.2 /24 SW1 192.168.4.3 /24 SW2 192.168.4.4 /24 Aby nastavení SSH na switchích nepřišlo na zmar, musí i switche mít nějakou IP adresu. Z tohoto důvodu jsme vytvořili VLAN 99, která slouží pouze pro administraci Zároveň byla tato VLANa vytvořena proto, aby tím, že je určena pouze pro administraci, k ní nebyly přiřazeny žádné fyzické porty Nastavte adresy na switchích pro VLANy 99 ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) SW0(config)#interface vlan 99 SW0(config-if)#ip address 192.168.4.2 255.255.255.0 SW0(config-if)#exit SW1(config)#interface vlan 99 SW1(config-if)#ip address 192.168.4.3 255.255.255.0 SW1(config-if)#exit SW2(config)#interface vlan 99 SW2(config-if)#ip address 192.168.4.4 255.255.255.0 SW2(config-if)#exit

Konfigurace (VÝCHOZÍ BRÁNA) Zařízení Brána SW0 192.168.4.1 (R1) SW1 SW2 R0 Port G0/0 R1 Port S0/0/0 (R0) R2 Pro switche je nutné ji nastavit, aby switch věděl, kam má framy poslat, pokud je pro něj určena nějaká komunikace, protože VLANy, ačkoliv jsou všechny na 1 zařízení, nejsou mezi sebou spojené a navíc switch je zařízení pracující na vrstvě L2, nikoliv na L3… tzn. že je schopen pracovat s MAC adresami, nikoliv však s adresami IP Příklad: Switch SW0 obdrží frame z VLAN 10 na adresu 192.168.4.2 (adresa tohoto switche na VLAN 99). Tím, že nepracuje na vrstvě L3 vlastně neví, že je to pro něj, takže to přepošle trunk portem na R1. Router R1 už na adresy IP vidí, takže ví, že to musí přesměrovat z VLAN 10 na VLAN 99, až pak switch SW0 zjistí, že je daná informace pro něj a pomocí výchozí brány pošle odpověď na R1 atd. V případě routerů je výchozí brána pouze jakási pojistka, kdyby náhodou selhaly směrovací protokoly Nastavte výchozí brány na všech CISCO zařízeních dle tabulky: SW0(config)#ip default-gateway 192.168.4.1 SW1(config)#ip default-gateway 192.168.4.1 SW2(config)#ip default-gateway 192.168.4.1 R0(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/0 R1(config)#ip route 0.0.0.0 0.0.0.0 Serial 0/0/0 R2(config)#ip route 0.0.0.0 0.0.0.0 Serial 0/0/0 ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník)

Konfigurace (switche – přiřazování portů) Aby uživatelé v síti měli možnost připojit se k internetu, je nutné je přiřadit k VLANám, protože VLAN 1 se přes router R0 nedostane Ať je to jednodušší, bude konfigurace na všech switchích stejná (tzn. že se stane, že některé trunk porty budou nadbytečné) Po konfiguraci postupujte takto: Na všech switchích vypněte veškeré porty Na přístupových portech nastavte port-security na sticky MAC adresu (při připojení nějakého zařízení k portu si switch dané zařízení zapamatuje a jiné zde už nepustí) Nastavte, aby port-security při cizí MAC adrese port vypnul Přiřaďte porty k VLANám dle tabulky a popište je podle VLANy Použité porty opět zapněte http://www.bernkopf.cz/skola/predmety/cisco/materialy/prezentace/ 0_prez_rout_switch/2rs_03_vlans.pptx Porty Režim VLANa G0/1 a G0/2 trunk --- Fa0/21 až Fa0/24 Fa0/1 až Fa0/5 access VLAN 10 Fa0/6 až Fa0/10 VLAN 20 Fa0/11 až Fa0/15 VLAN 30 Fa0/16 až Fa0/20

(Pro odkrytí klikněte na tento obdélník) SW0(config)#interface range fastEthernet 0/1-24 SW0(config-if-range)#shutdown SW0(config-if-range)#exit SW0(config)#interface range gigabitEthernet 0/1-2 SW0(config)#interface range fastEthernet 0/1-20 SW0(config-if-range)#switchport mode access SW0(config-if-range)#switchport port-security violation shutdown SW0(config-if-range)#switchport port-security mac-address sticky SW0(config-if-range)#switchport port-security SW0(config)#interface range fastEthernet 0/21-24 SW0(config-if-range)#switchport mode trunk SW0(config)#interface range fastEthernet 0/1-5 SW0(config-if-range)#switchport access vlan 10 SW0(config-if-range)#description "VLAN 10" … ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) … SW0(config)#interface range fastEthernet 0/6-10 SW0(config-if-range)#switchport access vlan 20 SW0(config-if-range)#description "VLAN 20" SW0(config-if-range)#exit SW0(config)#interface range fastEthernet 0/11-15 SW0(config-if-range)#switchport access vlan 30 SW0(config-if-range)#description "VLAN 30" SW0(config)#interface fastEthernet 0/5 SW0(config-if)#no shutdown SW0(config-if)#exit SW0(config)#interface fastEthernet 0/10 SW0(config)#interface fastEthernet 0/15 SW0(config)#interface range fastEthernet 0/21-22 SW0(config-if-range)#no shutdown SW0(config)#interface gigabitEthernet 0/1 Pouze SW0!

(Pro odkrytí klikněte na tento obdélník) Konfigurace (r1 – dhcp) VLANa Brána Síť VLAN 10 192.168.1.1 192.168.1.0 /24 VLAN 20 192.168.2.1 192.168.2.0 /24 VLAN 30 192.168.3.1 192.168.3.0 /24 Aby to měli uživatelé snadnější a nemuseli sami konfigurovat IP adresy na jednotlivých PC, vymysleli chytří lidé protokol DHCP, který zařizuje automatické přidělení IP adresy serverem Z hlediska bezpečnosti sítě je tato funkce spíše dírou, ale tuto díru jsme zalepili hned 2 způsoby… na switchích jsme vypnuli nepoužívané porty a nastavili jsme port- security, který by měl zabránit jakémukoliv útoku při fyzickém připojení cizího PC Na routeru R1 nastavte následující: Vytvořte 3 „dražby“ s těmito názvy: vlan10, vlan20 a vlan30 Na každou z nich nastavte rozsah sítě a výchozí bránu dle tabulky Nastavte adresu DNS serveru na 192.168.0.2 Z přidělovaného rozsahu odeberte adresy 192.168.xx.1 až 192.168.xx.9 (tyto adresy na „dražbě“ přiděleny nebudou a zůstávají volné pro statické přidělení; XX záleží na VLANě… viz tabulka) http://www.bernkopf.cz/skola/predmety/cisco/materialy/prezentace/0_prez_rou t_switch/2rs_07_dhcp.pptx R1(config)#ip dhcp pool vlan10 R1(dhcp-config)#default-router 192.168.1.1 R1(dhcp-config)#dns-server 192.168.0.2 R1(dhcp-config)#network 192.168.1.0 255.255.255.0 R1(dhcp-config)#exit R1(config)#ip dhcp pool vlan20 R1(dhcp-config)#default-router 192.168.2.1 R1(dhcp-config)#network 192.168.2.0 255.255.255.0 R1(config)#ip dhcp pool vlan30 R1(dhcp-config)#default-router 192.168.3.1 R1(dhcp-config)#network 192.168.3.0 255.255.255.0 R1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.9 R1(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.9 R1(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.9 ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník)

Konfigurace (r1– access listy) Opět si trochu pohrajeme se zabezpečením a řekněme, že chceme, aby VLAN 10, 20 a 30 měli přístup k internetu a k VLAN 99, ale neměly přístup mezi sebou a dále chceme, aby VLAN 99 měla přístup k ostatním VLANám, ale ne k internetu Jsou 2 možnosti, jak to nastavit: Použijeme extended access list a nastavíme přístupy prímo u zdroje (ta složitější varianta) Anebo použijeme standard access list a nastavíme přístupy u cíle (mnohem jednodušší, proto bych zvolil tuto variantu) Nastavte 4 standard access listy (každý pro 1 VLANu) tak, aby byly splněny podmínky podle obrázku. Příkaz níže může pomoct Příkaz: Rx(config)#access-list [ID listu (1-99)] [deny=zakázat/permit=povolit] [any=cokoliv/host [IP adresa 1 zdrojového zařízení]/[adresa zdrojové sítě] [invertovaná maska sítě]] Aplikujte access listy na jednotlivé interfacy (dle VLANů) Příkaz: Rx(config-if)#ip access-group [ID listu] [in=filtrovat příchozí do portu/out=filtrovat odchozí z portu] http://www.bernkopf.cz/skola/predmety/cisco/materialy/prezentace/0_prez_ex ploration/4e_05_acl.ppt http://www.bernkopf.cz/skola/index.htm VLAN 10 VLAN 99 Internet VLAN 20 VLAN 30

(Pro odkrytí klikněte na tento obdélník) R1(config)#access-list 1 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 1 deny 192.168.3.0 0.0.0.255 R1(config)#access-list 1 permit any R1(config)#access-list 2 deny 192.168.1.0 0.0.0.255 R1(config)#access-list 2 deny 192.168.3.0 0.0.0.255 R1(config)#access-list 2 permit any R1(config)#access-list 3 deny 192.168.1.0 0.0.0.255 R1(config)#access-list 3 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 3 permit any R1(config)#access-list 4 permit 192.168.0.0 0.0.255.255 R1(config)#access-list 4 deny any R1(config)#interface g0/0.1 R1(config-if)#ip access-group 1 out R1(config-if)#exit R1(config)#interface g0/0.2 R1(config-if)#ip access-group 2 out R1(config)#interface g0/0.3 R1(config-if)#ip access-group 3 out R1(config)#interface g0/0.4 R1(config-if)#ip access-group 4 out ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) Proč takhle a ne jinak? Samozřejmě číslování access listů je věc každého, takže to každý může mít očíslované podle sebe, ale co je důležitější, jsou ty pravidla. Vezmu například list 1, který chci přiřadit VLAN 10. V něm uvádím, že když přijde frame ze sítě 192.168.2.0 /24, frame bude zahozen. Tím jsem definoval podmínku, že data se z VLAN 20 do VLAN 10 nedostanou. Následuje 2. obdobná podmínka. Ta zakazuje tok dat z VLAN 30. A 3. říká, že pokud není splněna ani jedna z předchozích podmínek, tak ty data projdou. Co se týče toho přiřazení, určitě jste si všimli, že na konci každého příkazu je buď slovo „in“ nebo slovo „out“. Jaké vybrat? Když se podívám o odstavec víše a pořádně si jej přečtu. Zjistím, že vždy říkám zakázat z cizí VLANy to té mé. A když je to ke mně, tak to odchází z toho jednoho portu od routeru přímo mým směrem. Takže zde bude „out“.

Konfigurace (routery – rip) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) R0(config)#router rip R0(config-router)#version 2 R0(config-router)#network 192.168.255.0 R0(config-router)#network 192.168.255.4 R0(config-router)#exit R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network 192.168.255.0 R1(config-router)#network 192.168.255.8 R1(config-router)#exit R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network 192.168.255.4 R2(config-router)#network 192.168.255.8 R2(config-router)#exit Na každém portu routeru R1 a R2 spusťte dynamický směrovací protokol RIP s verzí 2 Na routeru R0 spusťte stejný protokol, ale pouze na sériových portech, NE na gigabitových http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_exploration/2e_07_rip_v2.ppt

Konfigurace (PC a server - adresování) Na všech počítačích přepněte přiřazení IP adresy na DHCP. Během chvilky byste měli obdržet od routeru R1 přiřazenou IP adresu, masku sítě, výchozí bránu i DNS server U serveru nastavte statickou IP adresu 192.168.0.2 s maskou 255.255.255.0, výchozí brána je router R2 (192.168.0.1), DNS server je 0.0.0.0

Konfigurace (R0 – adresování na g0/0-1) PC 01 PC 02 PC 04 PC 07 PC 08 G0/0 200.0.0.18 /30 G0/1 200.0.0.1 /30 Někde na předchozím snímku bylo adresování na routerech. Záměrně zde byly vynechány adresy na gigabitových portech na routeru R0. Nyní je přidělíme. To provedete takto: Zjistěte si číslo svého PC, na kterém pracujete Podle tohoto čísla si najděte kolegy s číslem PC o 1 vyšší (případně jiné nejbližší číslo, pokud se na PC o 1 vyšší nepracuje) a nejděte si kolegu s číslem PC o 1 menší (Zcela první PC si vezme, jako 2. kolegu, počítač, který je zcela poslední, tím se vytvoří pomyslný kruh) PC1 a PC2 si mezi sebou zaberou první dostupnou adresu v sítí (200.0.0.XX /30 – 200.0.0.YY /30; XX bude 1 a YY bude 2). Další skupinka (PC2 a PC3) si zaberou další podsíť, další si zaberou další rozsah, atd. (poslední rozsah bude mezi posledním PC a prvním PC) Vždy je spojený PC s nižším číslem na portu G0/1 s PC s vyšším číslem na portu G0/0 Až si IP adresy rozdělíte, nakonfigurujte je na interfacích routeru R0 Nezapomeňte jednotlivé interfacy zapnout, pokud jste tak ještě neučinili G0/1 200.0.0.17/30 G0/0 200.0.0.2 /30 G0/0 200.0.0.14 /30 G0/1 200.0.0.5 /30 G0/1 200.0.0.13/30 G0/0 200.0.0.6 /30 G0/0 200.0.0.10 /30 G0/1 200.0.0.9/30 Počkejte, až budou s konfiguraci hotoví i ostatní. Mezitím můžete zkoušet konfiguraci na posledním snímku.

Konfigurace (PROPOJOVÁNÍ PACKET TRACERŮ MEZI SEBOU) Jako zcela první krok musíme dovolit Packet Traceru průchod bránou firewall. K tomu budete potřebovat oprávnění správce. Otevřete „Ovládací panely“ a rozklikněte „Brána Windows Firewall“, dále klikněte na odkaz na bočním panelu „Povolit aplikaci nebo funkci průchod branou Windows Firewall“. Ve vypisu programů najděte program Packet Tracer. Pokud má povolen průchod do privátní sítě a je fajfka u levého zaklikávátka, není třeba nic měnit, pokud nemá, kliněte na tlačítko „Změnit nastavení“ a proveďte patřičné úpravy. Dokončete tlačítkem OK.

Konfigurace (PROPOJOVÁNÍ PACKET TRACERŮ MEZI SEBOU) V Packet Traceru v horní liště otevřete „Extensions“ → „Multiuser“ → „Listen …“ Zobrazí se okno, ve kterém zkontrolujte, jestli je nastavený port na 38000, jestli je nastavené heslo (pokud není nastavte „cisco“), jestli oba přepínače jsou na hodnotě „Prompt“ (= zeptat se) a jestli je spuštěno naslouchávání (pokud je, mělo by být zobrazeno tlačítko „Stop Listening“ V horním výpisu najděte svou lokální adresu (nebude to 0.0.0.0, ani 127.0.0.1). Tuto adresu poskytněte svým kolegům, se kterými jste řešili adresování na routeru R0 (např. PC 02 poskytne tuto informaci PC 01 a PC 03) Klikněte na mráček Peer 0, nastavte jej na „incoming“, mráček Peer 1 nastavte na „outgoing“ Do kolonek vypište následovné: „Peer address:“ je IP adresa PC vašeho kolegy s vyšším číslem, „Peer port number:“ je 38000, „Peer network name:“ je „Peer 0“, „Password:“ je „cisco“, Pokud si nebudete vědět rady, zkuste se podívat na video umístěné vedle Tímto by měli být všechny Packet Tracery spojené

(Pro odkrytí klikněte na tento obdélník) Konfigurace (r0 – OSPF) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) R0(config)#router ospf 1 R0(config-router)#network 200.0.0.XX 0.0.0.3 area 0 R0(config-router)#network 200.0.0.YY 0.0.0.3 area 0 R0(config-router)#area 0 authentication message-digest R0(config-router)#exit R0(config)#interface range gigabitEthernet 0/0-1 R0(config-if)#ip ospf message-digest 1 md5 OSPFSecured R0(config-if)#exit XX a YY logicky nahradíte adresami na svých interfacích, které jste tak pracně nastavovali Na portech G0/0 a G0/1 na routeru R0 spusťte směrovací protokol OSPF s ID procesu 1 Všechny porty jsou v oblasti 0 Nastavte výměnu dat zabezpečenou ZAŠIFROVANÝM heslem Heslo bude: „OSPFSecured“ http://www.bernkopf.cz/skola/predmety/cisco/materialy/kon figurace/configure_ospf.pdf http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_rout_switch/2rs_08_ospf_x0030x.pptx https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/ configuration/guide/config/route_ospf.html

(Pro odkrytí klikněte na tento obdélník) Konfigurace (r0 – NAT) ŘEŠENÍ (Pro odkrytí klikněte na tento obdélník) R0(config)#interface gigabitEthernet 0/0 R0(config-if)#ip nat outside R0(config-if)#exit R0(config)#interface gigabitEthernet 0/1 R0(config)#interface Serial 0/0/0 R0(config-if)#ip nat inside R0(config)#interface Serial 0/0/1 R0(config)#ip nat inside source static 192.168.0.2 200.0.0.XX R0(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R0(config)#access-list 1 permit 192.168.2.0 0.0.0.255 R0(config)#access-list 1 permit 192.168.3.0 0.0.0.255 R0(config)#access-list 1 deny any R0(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 overload Chci upozornit, že tuto konfiguraci jsem neměl možnost vyzkoušet, takže je možné, že zde vypsané řešení NENÍ funkční a je nutné najít chyby a opravit je Nastavte na routeru R0 Network Address Translation tak, aby kdokoliv, kdo se chce připojit na adresu 200.0.0.XX, byl automaticky přesměrován na adresu serveru S0 (192.168.0.2) Dále nastavte, aby kdokoliv, kdo se chce z vaší sítě připojit ven použil port G0/1 s možností PAT (Port Address Translation) http://www.bernkopf.cz/skola/predmety/cisco/materialy/kon figurace/configure_nat_pat.pdf http://www.bernkopf.cz/skola/predmety/cisco/materialy/pre zentace/0_prez_ccna/4_01_nat_pat_dhcp.ppt https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/ configuration/guide/config/nat_dynamic.html

Konfigurace (Server – nastavení služeb) V nastavení služeb serveru S0 zakažte veškeré služby přepínačem ON/OFF s výjimkou služeb DNS, SMTP a POP3 Ve službě DNS vytvořte záznam odkazující na server S0 Typ: A Record Jméno: číslo vašeho PC (slovy, bez diakritiky a mezer) „ .cz „ Např: dvacetjedna.cz Adresa: 192.168.0.2 Ve službě SMTP a POP3 nastavte doménu na tu, kterou jste teď přidali do služby DNS, dále vytvořte uživatele user1 a user2 (heslo odpovídá uživatelskému jménu) Zkuste se z libovolného PC (PC0 – PC8) připojit k Mail serveru a poslat email z jednoho uživatele na druhého v rámci jedné domény Následně zkuste přidat do služby DNS další záznamy s odkazy na ostatní spolužáky (musí fungovat OSPF a NAT + PAT) a taktéž na ně pošlete email

Konfigurace (SAMOSTATNÁ PRÁCE) Zkuste sami vymyslet, jak zapojit a hlavně nastavit zdvojenou linku mezi switchi SW1 a SW2 (tzv. bundlování linek) Nápověda: Je nutné zrušit veškeré nastavení pro porty Fa0/21 a Fa0/22 Je nutné tyto switche propojit Je nutné vytvořit skupinu port-channel Je nutné přidat porty do skupiny a zapnout je Je nutné nastavit celou skupinu tak, jak byl nastaven port Fa0/21 původně http://www.bernkopf.cz/skola/predmety/cisco/materialy/prezentace/ 0_prez_rout_switch/3rs_03_link_aggregation.pptx https://www.cisco.com/c/en/us/td/docs/ios/12_2sb/feature/guide/sb celacp.html