Forgalomirányítón Megvalósított Biztonsági Funkciók (ACL)
Hardveres Tűzfaleszköz (ASA)
Topológia
Internet
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Internet> ena
Internet# conf t
Internet(config)# interface f0/0
Internet(config-if)# ip address 10.10.10.6 255.255.255.252
Internet(config-if)# no shutdown
Internet(config-if)# exit
Internet(config)# interface f0/1
Internet(config-if)# ip address 10.10.10.10 255.255.255.252
Internet(config-if)# no shutdown
Internet(config-if)# exit
Internet(config)# interface s0/1/1
Internet(config-if)# ip address 10.10.10.2 255.255.255.252
Internet(config-if)# no shutdown
Internet(config-if)# exit
Internet(config)# router ospf 1
Internet(config-router)# router-id 5.5.5.5
Internet(config-router)# network 10.10.10.0 0.0.0.3 area 1
Internet(config-router)# network 10.10.10.4 0.0.0.3 area 1
Internet(config-router)# network 10.10.10.8 0.0.0.3 area 1
Internet(config-router)# exit
Internet# do clear ip ospf process
Telephelyek
Webshop telephely
Webshop topológia
Webshop
A Webshop router DHCP szerverként működik három hálózatban (10, 20, 30-as VLAN-ok), ahol a hosztok automatikusan IP-címet kapnak. GRE tunnelen keresztül kapcsolódik a Raktárhoz, a forgalomirányítást pedig OSPF protokoll segítségével végzi. A NAT segítségével biztosítja, hogy a belső hálózatok (192.168.10.0, 20.0 és 30.0) elérjék a külső hálózatokat, míg az ACL meghatározza, mely privát IP-tartományokat fordíthat le a router publikus IP-re.
Webshop
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Router> ena
Router# conf t
Router(config)# hostname Webshop
Webshop(config)# int f0/1
Webshop(config-if)# ip address 10.10.10.9 255.255.255.252
Webshop(config-if)# no shutdown
Webshop(config-if)# exit
Webshop(config)# int f0/0.10
Webshop(config-subif)# encapsulation dot1Q 10
Webshop(config-subif)# ip address 192.168.10.1 255.255.255.224
Webshop(config-subif)# exit
Webshop(config)# int f0/0.20
Webshop(config-subif)# encapsulation dot1Q 20
Webshop(config-subif)# ip address 192.168.20.1 255.255.255.224
Webshop(config-subif)# exit
Webshop(config)# int f0/0.30
Webshop(config-subif)# encapsulation dot1Q 30
Webshop(config-subif)# ip address 192.168.30.1 255.255.255.224
Webshop(config-subif)# exit
Webshop(config)# int f0/0
Webshop(config-if)# no shutdown
Webshop(config-if)# exit
Webshop(config)# int tunnel1
Webshop(config-if)# ip address 50.50.50.2 255.255.255.0
Webshop(config-if)# tunnel source f0/1
Webshop(config-if)# tunnel destination 10.10.10.1
Webshop(config-if)# exit
Webshop(config)# router ospf 1
Webshop(config-router)# network 10.10.10.8 0.0.0.3 area 1
Webshop(config-router)# network 192.168.10.0 0.0.0.31 area 1
Webshop(config-router)# network 192.168.20.0 0.0.0.31 area 1
Webshop(config-router)# network 192.168.30.0 0.0.0.31 area 1
Webshop(config-router)# network 50.50.50.0 0.0.0.255 area 1
Webshop(config-router)# router-id 1.1.1.1
Webshop(config-router)# exit
Webshop(config)# do clear ip ospf process
Reset ALL OSPF processes? [yes/no]: yes
Webshop(config)# ip dhcp pool pool10
Webshop(dhcp-config)# network 192.168.10.0 255.255.255.224
Webshop(dhcp-config)# default-router 192.168.10.1
Webshop(dhcp-config)# dns-server 192.168.40.2
Webshop(dhcp-config)# exit
Webshop(config)# ip dhcp pool pool20
Webshop(dhcp-config)# network 192.168.20.0 255.255.255.224
Webshop(dhcp-config)# default-router 192.168.20.1
Webshop(dhcp-config)# dns-server 192.168.40.2
Webshop(dhcp-config)# exit
Webshop(config)# ip dhcp pool pool30
Webshop(dhcp-config)# network 192.168.30.0 255.255.255.224
Webshop(dhcp-config)# default-router 192.168.30.1
Webshop(dhcp-config)# dns-server 192.168.40.2
Webshop(dhcp-config)# exit
Webshop(config)# ip routing
Webshop(config)# access-list 1 permit 192.168.10.0 0.0.0.31
Webshop(config)# access-list 1 permit 192.168.20.0 0.0.0.31
Webshop(config)# access-list 1 permit 192.168.30.0 0.0.0.31
Webshop(config)# interface f0/0
Webshop(config-if)# ip nat inside
Webshop(config-if)# exit
Webshop(config)# interface f0/1
Webshop(config-if)# ip nat outside
Webshop(config-if)# exit
Webshop(config)# ip nat inside source list 1 interface f0/1 overload
Admin Szoba
Az AdminSW Rapid-PVST STP-t használ, LACP segítségével Etherchannel-t valósítottunk meg. A 3 Vlan forgalmát, valamint az alapértelmezett Vlan-t engedi hát a Trunk vonalon.
A ThingsSW Rapid-PVST STP-t használ, LACP segítségével Etherchannel-t valósítottunk meg. A 3 Vlan forgalmát, valamint az alapértelmezett Vlan-t engedi hát a Trunk vonalon.
Switch1
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch1> ena
Switch1# conf t
Switch1(config)# hostname ThingsSW
ThingsSW(config)# int vlan 1
ThingsSW(config-if)# no shutdown
ThingsSW(config-if)# exit
ThingsSW(config)# vlan 10
ThingsSW(config-vlan)# exit
ThingsSW(config)# vlan 20
ThingsSW(config-vlan)# exit
ThingsSW(config)# vlan 30
ThingsSW(config-vlan)# exit
ThingsSW(config)# int vlan 10
ThingsSW(config-if)# no shutdown
ThingsSW(config-if)# int vlan 20
ThingsSW(config-if)# no shutdown
ThingsSW(config-if)# int vlan 30
ThingsSW(config-if)# no shutdown
ThingsSW(config-if)# int range f0/3-4
ThingsSW(config-if-range)# channel-group 1 mode active
ThingsSW(config-if-range)# switchport mode trunk
ThingsSW(config-if-range)# switchport trunk allowed vlan 1,10,20,30
ThingsSW(config-if-range)# int range f0/1-2
ThingsSW(config-if-range)# switchport mode access
ThingsSW(config-if-range)# int f0/5-6
ThingsSW(config-if)# channel-group 2 mode passive
ThingsSW(config-if)# switchport mode trunk
ThingsSW(config-if)# int g0/1
ThingsSW(config-if)# switchport mode trunk
ThingsSW(config-if)# switchport trunk allowed vlan 1,10,20,30
ThingsSW(config-if)# exit
ThingsSW(config)# spanning-tree mode rapid-pvst
Ügyfélszolgálat
A SupportSW Rapid-PVST STP-t használ, LACP segítségével Etherchannel-t valósítottunk meg. A 3 Vlan forgalmát, valamint az alapértelmezett Vlan-t engedi hát a Trunk vonalon.
Switch0
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch0> ena
Switch0# conf t
Switch0(config)# hostname SupportSW
SupportSW(config)# spanning-tree mode rapid-pvst
SupportSW(config)# int vlan 1
SupportSW(config-if)# no shutdown
SupportSW(config-if)# exit
SupportSW(config)# vlan 10
SupportSW(config-vlan)# exit
SupportSW(config)# vlan 20
SupportSW(config-vlan)# exit
SupportSW(config)# vlan 30
SupportSW(config-vlan)# exit
SupportSW(config)# int vlan 10
SupportSW(config-if)# no shutdown
SupportSW(config-if)# int vlan 20
SupportSW(config-if)# no shutdown
SupportSW(config-if)# int vlan 30
SupportSW(config-if)# no shutdown
SupportSW(config-if)# int range f0/1-3
SupportSW(config-if-range)# switchport mode access
SupportSW(config-if-range)# switchport access vlan 30
SupportSW(config-if-range)# int range f0/5-6
SupportSW(config-if-range)# channel-group 2 mode active
SupportSW(config-if-range)# switchport mode trunk
SupportSW(config-if-range)# int range f0/7-8
SupportSW(config-if-range)# channel-group 1 mode passive
SupportSW(config-if-range)# switchport mode trunk
SupportSW(config-if-range)# int range f0/10-12
SupportSW(config-if-range)# switchport mode access
SupportSW(config-if-range)# switchport access vlan 30
SupportSW(config-if-range)# int g0/1
SupportSW(config-if)# switchport mode access
SupportSW(config-if)# switchport access vlan 30
Accesspointról beszúrtunk néhány képet, hogy miként csináltuk meg és hogyan működik
Irodaház-Workshop telephely
Irodaház-Workshop topológia
Irodaház-Workshop
Az EDGE router az Irodaház-Workshop hálózatának külső kapcsolódási pontja, amely összeköti a belső hálózatot az internettel vagy egy szolgáltatói hálózattal. A router három interfésszel rendelkezik, melyek közül az egyik a belső hálózat (10.10.10.4/30), a másik kettő pedig a két redundáns irányba (Router3 és Router6) vezet.
Az OSPF 1-es folyamattal dinamikus útvonalválasztás történik, így a belső hálózat mindig a legjobb útvonalon éri el az internetet. A 10.10.10.4/30 hálózat az EDGE router és a belső LAN (vagy tűzfal) közötti kapcsolatot szolgálja. A redundanciát és az automatikus útvonalválasztást az OSPF segíti, amely a két soros interfészen keresztül (172.16.10.0/30 és 172.16.10.4/30) kommunikál a belső routerekkel.
Ezáltal az EDGE router kulcsfontosságú szerepet tölt be a hálózat külső elérésének biztosításában, és megfelelő útvonalak dinamikus biztosításával támogatja a hálózat megbízhatóságát.
EDGE
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
EDGE> ena
EDGE# conf t
EDGE(config)# hostname EDGE
EDGE(config)# interface f0/0
EDGE(config-if)# ip address 10.10.10.5 255.255.255.252
EDGE(config-if)# ip nat outside
EDGE(config-if)# no shutdown
EDGE(config-if)# exit
EDGE(config)# interface s0/1/0
EDGE(config-if)# ip address 172.16.10.5 255.255.255.252
EDGE(config-if)# ip nat inside
EDGE(config-if)# no shutdown
EDGE(config-if)# exit
EDGE(config)# interface s0/1/1
EDGE(config-if)# ip address 172.16.10.1 255.255.255.252
EDGE(config-if)# ip nat inside
EDGE(config-if)# no shutdown
EDGE(config-if)# exit
EDGE(config)# router ospf 1
EDGE(config-router)# network 10.10.10.4 0.0.0.3 area 1
EDGE(config-router)# network 172.16.10.0 0.0.0.3 area 1
EDGE(config-router)# network 172.16.10.4 0.0.0.3 area 1
EDGE(config-router)# exit
EDGE(config)# access-list 1 permit 172.16.10.0 0.0.0.3
EDGE(config)# access-list 1 permit 172.16.10.4 0.0.0.3
EDGE(config)# ip nat inside source list 1 interface f0/0 overload
Két Router HSRP-t megvalósítva működik, virtuális Router címe 192.168.50.3. A topológián Router3 Display nevű Routernek van nagy prioritása (255) a Router6-al szemben. A HSRP biztosítja, hogy meghibásodás esetén ne álljon le a hálózatunk, és elérjük az internetet.
Router3
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Router3> ena
Router3# conf t
Router3(config)# hostname Irodahaz
Irodahaz(config)# int f0/0
Irodahaz(config-if)# ip address 192.168.50.1 255.255.255.224
Irodahaz(config-if)# standby 1 ip 192.168.50.3
Irodahaz(config-if)# standby 1 priority 255
Irodahaz(config-if)# standby 1 preempt
Irodahaz(config-if)# no shutdown
Irodahaz(config-if)# int s0/1/1
Irodahaz(config-if)# ip address 172.16.10.2 255.255.255.252
Irodahaz(config-if)# no shutdown
Irodahaz(config-if)# exit
Irodahaz(config)# router ospf 1
Irodahaz(config-router)# network 172.16.10.0 0.0.0.3 area 1
Irodahaz(config-router)# network 192.168.50.0 0.0.0.31 area 1
LACP használatával Etherchannelt alkalmazunk a javítóműhely és az irodaház között, nagy sávszélesség és gyors kommunikáció érdekében.
Switch3
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch3> ena
Switch3# conf t
Switch3(config)# hostname OfficeSW1
OfficeSW1(config)# spanning-tree mode rapid-pvst
OfficeSW1(config)# int range f0/4-5
OfficeSW1(config-if-range)# switchport trunk encapsulation dot1q
OfficeSW1(config-if-range)# channel-group 1 mode active
OfficeSW1(config-if-range)# switchport mode trunk
Teszt-Javítóműhely
A Tesztmuhely nevű router a javítóműhely hálózatának elsődleges hálózati átjárója, amely egyben része a redundáns HSRP-kapcsolatnak az irodaházzal. Az interfészén beállított IP-cím 192.168.50.2/27, a HSRP pedig egy közös, virtuális IP-címet használ: 192.168.50.3, amelyhez automatikusan átvált a forgalom, ha a másik router kiesne.
A routeren beállított HSRP prioritás 110, így ez az eszköz tartalékként működik, és csak akkor veszi át az irányítást, ha az elsődleges router (Irodahaz) meghibásodik. A preempt opció biztosítja, hogy ha visszatér az elsődleges router, akkor újra át tudja venni a szerepet.
A router szintén része az OSPF 1 folyamathoz tartozó dinamikus útvonalválasztásnak, ahol a 172.16.10.4/30 és 192.168.50.0/27 hálózatokat hirdeti. Ez lehetővé teszi az automatikus útvonalfrissítést és redundanciát.
A kapcsolódó switch-ekkel LACP EtherChannel kapcsolaton keresztül kommunikál, így a javítóműhely és az irodaház közötti sávszélesség megnövekszik, és biztosított a gyors adatáramlás.
Router6
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Router6> ena
Router6# conf t
Router6(config)# hostname Tesztmuhely
Tesztmuhely(config)# int f0/0
Tesztmuhely(config-if)# ip address 192.168.50.2 255.255.255.224
Tesztmuhely(config-if)# standby 1 ip 192.168.50.3
Tesztmuhely(config-if)# standby 1 priority 110
Tesztmuhely(config-if)# standby preempt
Tesztmuhely(config-if)# no shutdown
Tesztmuhely(config-if)# int s0/1/0
Tesztmuhely(config-if)# ip address 172.16.10.6 255.255.255.252
Tesztmuhely(config-if)# exit
Tesztmuhely(config)# router ospf 1
Tesztmuhely(config-router)# network 172.16.10.4 0.0.0.3 area 1
Tesztmuhely(config-router)# network 192.168.50.0 0.0.0.31 area 1
LACP használatával Etherchannelt alkalmazunk a javítóműhely és az irodaház között, nagy sávszélesség és gyors kommunikáció érdekében.
Switch4
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch4> ena
Switch4# conf t
Switch4(config)# hostname OfficeSW2
OfficeSW2(config)# spanning-tree mode rapid-pvst
OfficeSW2(config)# int range f0/4-5
OfficeSW2(config-if-range)# switchport trunk encapsulation dot1q
OfficeSW2(config-if-range)# channel-group 1 mode passive
OfficeSW2(config-if-range)# switchport mode trunk
Programozott Hálózatkonfiguráció
Ez a programozott hálózatkonfiguráció az Irodaház és a Tesztjavítóműhely közötti két routerre (Irodahaz, Tesztmuhely) került, mivel ez a szakasz kulcsszerepet játszik a hálózat működésében.
A konfiguráció HSRP-t alkalmaz, ami automatikus átjáróváltást tesz lehetővé meghibásodás esetén, valamint OSPF-et, ami dinamikus útvonalválasztást biztosít.
Azért ide került, mert ezen a ponton biztosítani kell a folyamatos kapcsolatot az internet és a belső hálózat között, és itt a legfontosabb a redundancia, stabilitás és a gyors visszaállás hiba esetén.
Python
from netmiko import ConnectHandler
routers = [
{
"device_type": "cisco_ios",
"ip": "192.168.50.1",
"username": "iroda_r",
"password": "otosvizsga5",
"name": "Irodahaz";
},
{
"device_type": "cisco_ios",
"ip": "192.168.50.2",
"username": "tesztmuhely_r",
"password": "csillagos6os-lesz",
"name": "Tesztmuhely"
}
]
for router in routers:
print(f"\nConnecting to {router["name"]} at {router["ip"]}...")
net_connect = ConnectHandler(**router)
if router["name"] == "Irodahaz":
commands = [
"hostname Irodahaz",
"interface f0/0",
"ip address 192.168.50.1 255.255.255.224",
"standby 1 ip 192.168.50.3",
"standby 1 priority 255",
"standby 1 preempt",
"no shutdown",
"exit",
"interface s0/1/1",
"ip address 172.16.10.2 255.255.255.252",
"no shutdown",
"exit",
"router ospf 1",
"network 172.16.10.0 0.0.0.3 area 1",
"network 192.168.50.0 0.0.0.31 area 1"
]
elif router["name"] == "Tesztmuhely":
commands = [
"hostname Tesztmuhely",
"interface f0/0",
"ip address 192.168.50.2 255.255.255.224",
"standby 1 ip 192.168.50.3",
"standby 1 priority 110",
"standby 1 preempt",
"no shutdown",
"exit",
"interface s0/1/0",
"ip address 172.16.10.6 255.255.255.252",
"no shutdown",
"exit",
"router ospf 1",
"network 172.16.10.4 0.0.0.3 area 1",
"network 192.168.50.0 0.0.0.31 area 1"
]
output = net_connect.send_config_set(commands)
print(f"{router["name"]} configured successfully.\n")
net_connect.disconnect()
Raktár telephely
Raktár topológia
Raktár-Logisztikai Iroda
ASA tűzfal konfigurációs fájlja fejlesztés alatt áll
ASA
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
ASA>
ASA>
ASA>
GRE alagút működik a Webshop felé. A forgalomirányítás OSPF protokollon keresztül történik a belső hálózatban és a külvilág felé. Statikus NAT segítségével a 192.168.40.2 szerver a 10.10.10.1 címen kívülről is elérhető. ACL segítségével szabályozzuk, hogy csak a 192.168.10.11 IP-című eszköz használhatja a NAT-ot kifelé. PAT (Port Address Translation) révén több belső eszköz osztozik egyetlen külső IP-címen az internetes forgalom során.
Raktar
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Raktar> ena
Raktar# conf t
Raktar(config)# hostname Raktar
Raktar(config)# interface f0/1
Raktar(config-if)# ip address 192.168.40.1 255.255.255.224
Raktar(config-if)# ip nat inside
Raktar(config-if)# no shutdown
Raktar(config-if)# exit
Raktar(config)# interface s0/1/1
Raktar(config-if)# ip address 10.10.10.1 255.255.255.252
Raktar(config-if)# ip nat outside
Raktar(config-if)# no shutdown
Raktar(config-if)# exit
Raktar(config)# interface tunnel1
Raktar(config-if)# ip address 50.50.50.1 255.255.255.0
Raktar(config-if)# tunnel source s0/1/1
Raktar(config-if)# tunnel destination 10.10.10.9
Raktar(config-if)# exit
Raktar(config)# router ospf 1
Raktar(config-router)# network 192.168.40.0 0.0.0.31 area 1
Raktar(config-router)# network 10.10.10.0 0.0.0.3 area 1
Raktar(config-router)# network 50.50.50.0 0.0.0.255 area 1
Raktar(config-router)# passive-interface f0/1
Raktar(config-router)# exit
Raktar(config)# access-list 1 permit host 192.168.10.11
Raktar(config)# ip nat inside source static 192.168.40.2 10.10.10.1
Raktar(config)# ip nat inside source list 1 interface s0/1/1 overload
LACP használatával Etherchannelt alkalmazunk a Raktár és a Logisztikai Iroda között, nagy sávszélesség és gyors kommunikáció érdekében. A switch rapid-pvst stp protokollt használ.
Switch5
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch5> ena
Switch5# conf t
Switch5(config)# hostname LogisticsSW
LogisticsSW(config)# spanning-tree mode rapid-pvst
LogisticsSW(config)# int range f0/4-5
LogisticsSW(config-if-range)# switchport trunk encapsulation dot1q
LogisticsSW(config-if-range)# channel-group 1 mode on
LACP használatával Etherchannelt alkalmazunk a Raktár és a Logisztikai Iroda között, nagy sávszélesség és gyors kommunikáció érdekében. A switch rapid-pvst stp protokollt használ.
Switch6
−□×
Physical
Config
CLI
Attributes
IOS Command Line Interface
Switch6> ena
Switch6# conf t
Switch6(config)# hostname RaktarSW
RaktarSW(config)# spanning-tree mode rapid-pvst
RaktarSW(config)# int range f0/4-5
RaktarSW(config-if-range)# switchport trunk encapsulation dot1q
RaktarSW(config-if-range)# channel-group 1 mode on
RaktarSW(config-if-range)# switchport mode trunk
