Начинаем настройку.
Укажем IP-адреса WAN1 из исходных данных.
Нажмите знак "+" рядом с папкой Interfaces и выберите Ethernet, wan1 и уберите галочку с поля Enable DHCP Client. ОК.
Рис.5.2 Настройка DHCP Client wan1.
Нажмите знак "+" рядом с папкой Objects и выберите Interfaces Addresses, wan1_ip, введите IP на WAN1: 192.168.20.60.
Выберите Interfaces Addresses, wan1net, введите 192.168.20.0/24 ;
В папке Objects выберите Address Book, затем нажмите Add, из меню выберете IP address.
Добавьте объект:
FTP-Server: 192.168.1.254 ОК.
Рис.5.3 Вид Interfaces Addresses после настройки.
Создаем разрешающие правила для доступа к серверу. Первое правило перенаправляет установленное соединение по указанным портам, а второе правило разрешает доступ к серверу во внутренней сети.
Нажмите знак "+" рядом с папкой Rules, выберите папку IP Rules.
Нажмите кнопку Add, выберите IP Rule.
Поля заполняем так:
В General
Name: ftp-server
Action: SAT
Service: ftp-outbound
В Address Filter
Source:
Interface: lan
Network: lannet
Destination:
Interface: wan1
Network: wan1_ip
Рис.5.4 Настройка FTP-Server.
Перейдите во вкладку SAT.
Выделите Destination IP:
New IP Address: FTP-Server. Нажмите ОК.
Рис.5.5 Настройка вкладку SAT.
Нажмите кнопку Add, укажите IP Rule.
Создаем второе правило.
Поля заполняем так:
В General
Name: allow_server
Action: Allow
Service: ftp-inbound
В Address Filter
Source:
Interface: any
Network: all-nets
Destination:
Interface: core
Network: wan1_ip
Нажмите ОК
Рис.5.6 Настройка allow_server.
Рис.5.7 Вид IP Rule после настройки.
Теперь примените настройки. Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения.
Рис.5.8 Сохранение настройки.
Настройка компьютера №2.
Соединяем сетевыми кабелями компьютер и межсетевой экран (WAN1-порт )
Открываем: Пуск→Настройка→Сетевые подключения→Подключение по локальной сети → нажать правой кнопкой мыши → Свойства → Выбираем Протокол Интернета TCP/IP → Свойства
Использовать следующий IP-адрес: 192.168.20.ххх (уникальный номер, кроме 60) и маску подсети 255.255.255.0, основной шлюз 192.168.20.60
Настройка компьютера №1
Далее настройте сервер.
Соединяем сетевыми кабелями компьютер и межсетевой экран (LAN-порт )
Открываем: Пуск→Настройка→Сетевые подключения→Подключение по локальной сети → нажать правой кнопкой мыши → Свойства → Выбираем Протокол Интернета TCP/IP → Свойства
Задайте
ip-адрес 192.168.1.254;
Маска подсети 255.255.255.0.
Соединение компьютеров №1 и №2
Зайдите на компьютере №1 в программу FTP server.
Создайте сервере пользователь user и пароль 123 в настройках программы.
Дайте пользователю user разрешение доступа на любую папку в компьютере №1
С компьютера №2 зайдите в программу File Zilla и в строке хост укажите ip адрес 192.168.1.254, имя user и пароль 123 и нажмите на кнопку Быстрое соединение. Скрин к примеру как должно выглядеть:
Рис.5.8 Screenshot от компьютера №2.
Для того чтобы пропинговать WAN1-интерфейс на DFL-800, создайте правило:
В папке Rules → IP Rules, нажмите кнопку Add, укажите IP Rule.
Заполните поля следующим образом:
В General
Name: ping_fw_wan1
Action: Allow
Service: ping-inbound
В Address Filter
Source: Interface: wan1 Network: all-nets
Destination: Interface: core Network: wan1_ip
Нажмите ОК.
Рис.5.9 Настройка ping firewall wan1
Примените настройки. Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения.
Рис.5.10 Сохранение настройки.
Как можно пропинговать в верхнем меню заходим в Tools:
Далее нажимаем на Ping
Рис.5.11 ping ip address
Контрольные вопросы
Что такое WAN?
Для чего используется DHCP Client.
Имеет ли коммутатор консольный порт?
Как происходит установление соединения PPTP?
Метод шифрования, применяемый в PPTP
Как происходит взаимодействие протоколов IPSec?
Что обеспечивает целостность и аутентификацию источника данных в передаваемых пакетах?
Лабораторная работа № 6.
Создание VPN-туннеля на основе протокола L2TP (DFL-800 – клиент Microsoft Vista/XP)
Цель работы: создать виртуальную частную сеть (VPN) на основе протокола L2TP over IPSec с целью подключения удаленного пользователя к внутренней локальной сети с использованием межсетевого экрана DFL-800.
Оборудование:
Межсетевой экран (DFL-800) – 1 шт.
Компьютер с ОС Microsoft Vista/XP – 2 шт.
Данные:
DFL-800
Внутренняя сеть (lannet) : 192.168.1.0/24
IP на LAN (1-7): 192.168.1.1
Внешняя сеть (wan1net): 192.168.100.0/24
IP на WAN1 (wan1_ip): 192.168.100.1
Схема 6
Рис.6.1 Схема подключения оборудования при создании VPN
Настройка L2TP over IPSec на DFL-800
Подаем питание на межсетевой экран.
Соединяем сетевым кабелем компьютера №1 и межсетевой экран (LAN-порт).
Заходим: Пуск→Настройка→Сетевые подключения→Подключение по локальной сети → нажать правой кнопкой мыши → Центр управления сетями и общим доступом → Просмотр состояния →Свойства →Выбираем Протокол Интернета TCP/IPv4 → Свойства
Использовать следующий IP-адрес:
192.168.1.ххх (уникальный номер, кроме 1)
маску подсети 255.255.255.0
Подключаемся к межсетевому экрану.
Загружаем Web-браузер (Internet Explorer, Mozzila Firefox и др.).
Набрать в адресной строке http://192.168.1.1 (или https://192.168.1.1) (IP-адрес межсетевого экрана по умолчанию).
Появится приглашение на ввод имени и пароля. ( «admin», «admin»).
Начинаем настройку.
Укажем IP-адреса WAN1 и LAN из исходных данных.
Нажмите знак "+" рядом с папкой Interfaces и выберите Ethernet, wan1 и уберите галочку с поля Enable DHCP Client. ОК.
Рис.6.2 Настройка DHCP Client wan1.
Нажмите знак "+" рядом с папкой Objects
Выберите Interfaces Addresses, wan1_ip, введите IP на WAN1: 192.168.100.1.
Выберите Interfaces Addresses, wan1net, введите 192.168.100.0/24.
Аналогично указать значения внутренней сети (LAN) (192.168.1.1 и 192.168.1.0/24).
Нажмите ОК.
Рис.6.3 Вид Interfaces Addresses после настройки.
Создадим пул IP адресов и IP адрес для L2TP-сервера. При организации туннеля один из адресов данного пула будет назначен удаленному клиенту.
В папке Objects выберите Address Book, затем нажмите Add, из меню выберете IP address.
Добавьте объекты:
l2tp-ip-pool: 10.0.0.10-10.0.0.50
l2tp-server: 10.0.0.1 ОК.
Рис.6.3 Вид Addresses Book после настройки.
Теперь добавим Pre-Shared Key.
В папке Objects выберите Authentication Objects,
Затем нажмите Add, из меню выберите Pre-Shared Key.
Заполняем поля так:
Name: ipsec-pre
Shared Secret: Указываем ключ, например 1234567890
Confirm Secret: Повторяем ключ.
После заполнения всех полей нажимаем ОК.
Рис.6.4 Настойка Pre-Shared Key.
Добавляем IPSec для пользователей в роуминге.
В папке Interfaces выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel.
Поля заполняем так:
В General:
Name: IPsec-for-roaming;
Local Network: wan1_ip (т.к. удаленные пользователи знают IP-адрес точки подключения. Так же это значение может быть указанно как all-nets, оставив автоматический выбор политики за DFL);
Remote Network: all-nets (т.к. в большинстве случаев удаленный IP-адрес пользователей не известен, поэтому позволяем DFL автоматически выбирать политику);
Remote Endpoint: (None);
Encapsulation Mode: Transport.
В Algorithms:
IKE Algorithms: Transport;
IKE Life Time: 28800;
IPsec Algorithms: Transport;
IPsec Life Time: 3600.
Рис.6.5 Настойка IPsec-for-roaming
Наверху выберите вкладку Authentication.
Укажите в поле Pre-shared Key: ipsec-pre.
Во вкладке XAuth: IKE XAuth: Off
Во вкладке Routing:
Рис.6.6 Настойка на IPsec-for-roaming вкладку Routing
Во вкладке IKE Settings:
Рис.6.7 Настойка на IPsec-for-roamingвкладку IKE Settings
Во вкладке Keep-alive: Disable
Во вкладке Advanced:
Рис.6.8 Настойка на IPsec-for-roaming вкладку Advanced
После заполнения всех полей нажимаем ОК.
Добавим L2TP сервер интерфейс.
В папке Interfaces выберите PPTP/L2TP Servers, затем нажмите Add, выберите PPTP/L2TP Servers.
Поля заполняем так:
В General
Name: l2tp-if
Inner IP Address: l2tp-server
Tunnel Protocol: L2TP
Outer Interface Filter: IPsec-for-roaming
Server IP: wan1_ip
Рис.6.9 Настойка PPTP/L2TP Servers
Во вкладке PPP Parameters:
Рис.6.10 Настойка PPTP/L2TP Servers вкладку PPP Parameters
Во вкладке Add Route:
Рис.6.11 Настойка PPTP/L2TP Servers вкладку
Добавим локальную базу пользователей:
В папке User Authentication выберите Local User Database, затем нажмите Add,
Создайте Local User Database:
Во вкладке Users создайте пользователя (например, test):
Name: test
Password: test
Confirm Password: test
Рис.6.12 Листинг создание в вкладке Users пользователя с User Authentication
Добавим правило аутентификации:
В папке User Authentication выберите User Authentication rule, затем нажмите Add,
Создайте User Authentication rule:
Name: l2tp-auth
Authentication agent: PPP
Authentication Source: Local
Interface: l2tp-if
Originator IP: all-nets
Terminator IP: wan1_ip
Рис.6.13 Настойка User Authentication rule.
Во вкладке Authentication Options:
Рис.6.14 Настойка Authentication Options.
PPP Agent Option выбрать Use MS-CHAP v2 (для Microsoft Vista, если же клиент Microsoft XP, нужно выбирать Use MS-CHAP)
Рис.6.15 Настойка Agent Option.
Во вкладке Restriction указать Allow multiple logins per username
Рис.6.16 Настойка Restriction.
Создаем разрешающие правила для доступа удаленным клиентам в lan и наоборот.
Нажмите знак "+" рядом с папкой Rules, выберите папку IP Rules.
Нажмите кнопку Add, выберите IP Rule.
Правило первое
Поля заполняем так:
Name: allow-l2tp-lan1
Action: Allow
Service: all_services
Source:
Interface: l2tp-if
Network: all-nets
Destination:
Interface: lan
Network: lannet
Нажмите ОК.
Рис.6.17 Настойка allow-l2tp-lan1
в IP Rules.
Нажмите кнопку Add, выберите IP Rule.
Правило второе
Name: allow-l2tp-wan1
Action: Allow
Service: all_services
Source:
Interface: lan
Network: lannet
Destination:
Interface: l2tp-if
Network: all-nets
Нажмите ОК.
Рис.6.18 Настойка allow-l2tp-wan1
в IP Rules.Нажмите кнопку Add, выберите IP Rule.
Правило третье
Name: wan_to_lan
Action: Allow
Service: all_services
Source:
Interface: wan1
Network: all-nets
Destination:
Interface: lan
Network: lannet
Нажмите ОК.
Рис.6.19 Настойка wan_to_lan
в IP Rules.
Нажмите кнопку Add, выберите IP Rule.
Правило четвертое
Name: wan_to_lan
Action: Allow
Service: all_services
Source:
Interface: lan
Network: lanlnet
Destination:
Interface: wan1
Network: wannet
Нажмите ОК.
Рис.6.19 Настойка wan_to_lan в IP Rules.
Далее переходим во вкладку Routing:
Далее Main routing table
Нажмите кнопку Add – выбираем Switch route
Switched Interfaces: IPsec-for-roaming;
Network: all-nets.
Нажмите ОК.
Рис.6.19 Настойка IPsec-for-roaming в Switch Route.
Нажмите кнопку Add – выбираем Switch route
Switched Interfaces: l2tp-tp;
Network: all-nets.
Нажмите ОК.
Рис.6.19 Настойка l2tp-tp в Switch Route.
Теперь примените настройки.
Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения.
Рис.5.10 Сохранение настройки.
Настройка соединения L2TP для клиентов Microsoft ХP
Убедитесь, что служба IPsec в Windows XP работает: Администрирование → Службы.
Соединяем сетевыми кабелями компьютер и межсетевой экран (WAN1-порт).
Пуск→Настройка→Панель управления→Центр управления сетями и общим доступом → Просмотр состояния → Свойства → Выбираем Протокол Интернета TCP/IPv4 → Свойства
Использовать следующий IP-адрес: 192.168.100.15, маску подсети 255.255.255.0 и основной шлюз: 192.168.100.1.
Пуск → Сетевые подключения → Мастер новых подключений → Подключить к сети на рабочем месте (VPN) → Подключение к виртуальной частной сети → укажите имя создаваемого подключения (например, l2tp_over_IPSec) → Не набирать номер для подключения → укажите 192.168.100.1 → Пользователь и Пароль (test и test).
Далее, в папке Подключения → Свойства:
Во вкладке Общие: 192.168.100.1
Во вкладке Безопасность выберите Дополнительно -> Параметры:
Шифрование данных: необязательное (подключиться даже без шифрования)
Разрешить следующие протоколы: Протокол проверки пароля Microsoft (MS-CHAP).
И во вкладке безопасность выбрать параметры IPSec и ввести ключ 1234567890.
Во вкладке Сеть выберите Тип VPN: L2TP IPSec VPN.
Нажмите ОК.
Контрольные вопросы
Как создается виртуальные частные сети (VPN) с помощью DFL-800
Какие протоколы использует система IPSec?
Как происходит взаимодействие протоколов IPSec?
Что такое L2TP протокол?
Принцип работы технологии PPPoE.
Как с помощью протокола IKE между двумя точками устанавливается защищенный канал?
Лабораторная работа № 7.
Аудит безопасности протокола Spanning Tree ( STP)
Цель работы: Изучение уязвимостей алгоритма Spanning Tree и Rapid Spanning Tree на базе операционной системы Linux.
Оборудование:
Коммутатор DES-3810-28 1 шт.
Коммутатор DES-3200-10 1 шт.
Рабочая станция 3 шт.
Кабель Ethernet 3 шт.
Краткие сведения
Основное назначение протокола Spanning Tree – построение топологии ЛВС без избыточного дублирования соединений или «закольцовывания», недопустимых в силу логики работы алгоритма прозрачного моста (Transparent Bridge), являющимся основным для всех коммутаторов Ethernet. STP позволяет организовать отказоустойчивую архитектуру Ethernet-сети, и определен стандартами IEEE 802.1d/s/w.
Используя STP, вы можете построить сеть, в которой существует несколько параллельных путей, и гарантировать при этом, что:
резервные пути прохождения трафика при нормальном функционировании основного пути заблокированы;
один из резервных путей активизируется при нарушении основного пути.
Важно заметить, что Spanning Tree Protocol определен для различных сред передачи данных (MAC, Media Access Control). Далее в тексте рассматриваются примеры сетей в основном на базе Ethernet, как наиболее распространенной. BPDU – это именно пакеты, а не фреймы. BPDU пакеты инкапсулируются в используемый данной топологией тип фрейма с мультикастным MAC адресом в поле назначения, что обуславливает передачу этих пакетов через неинтеллектуальное оборудование, не знающее о существовании Spanning Tree. Работа STP подразумевает выполнение следующих условий:
Возможность передачи информации между мостами, что осуществляется путем передачи каждым STP-совместимым устройством специальных блоков данных – Bridge Protocol Data Units (BPDU). Эти блоки данных передаются в пакетах с определенным групповым адресом назначения (multicast address).
Один из мостов функционирует как "ведущее" устройство, называемое Designated Root Bridge.
Порядок выполнения работы:
Схема 7.1
Подаем питание на межсетевой экран.
Соединяем сетевым кабелем компьютер №1,2-3 (LAN-порт) с топологией, представленной на схеме 7.1.
В компьютере №1 заходим Пуск → Настройка → Сетевые подключения → Подключение по локальной сети → нажать правой кнопкой мыши → Свойства → Выбираем Протокол Интернета TCP/IP → Свойства. Использовать следующий IP-адрес: 10.90.90.ххх и маску подсети 255.0.0.0.
В компьютерах №2-3, где установлена ОС Linux заходим Console.
Чтобы узнать интерфейс сетевого адаптера набираем команду dmesg |grep eth
Далее, посмотрим параметры сети компьютеров с помощью команд ifconfig.
Теперь задаем IP адреса через команд ifconfig eth0 10.90.90.xxx netmask 255.0.0.0.
Проверяем назначение IP адреса интерфейсу eth0, для этого набираем команду ifconfig.
Пингуем компьютеров между собой с помощью Utility ping 10.90.90.ххх
В компьютере №2 запускаем Utility TCP dump, для этого в Console набираем команду TCP dump, и наблюдаем какие протоколы проходит между компьютерами и коммутаторами.
Настройка коммутаторов.
В компьютере №1 запускаем Командную строку, для этого заходим Пуск → Программы → Стандартные → Командная строка.
Командной строке набираем команду
telnet 10.90.90.90
login → Enter
password → Enter
Далее набираем команду show switch для того, чтобы посмотреть состояние коммутатора, и убеждаемся что протокол STP Disable.
Проверка работа сети.
Теперь соединяем коммутаторы между собой вторым Ethernet кабелем как показано на схеме 7.1.
Проверяем Utility ping в компьютерах, и убеждаемся что ping пропал.
После этого включаем протокол STP, для этого набираем в командной строке компьютере №1 enable stp.
Пингуем компьютеров между собой с помощью Utility ping 10.90.90.ххх.
Далее наблюдая за команды TCP dump убеждаемся что появилось протокол Spanning Tree или Rapid Spanning Tree.
После завершение работы взбрасываем настройку коммутатора, для этого в компьютере №1 повторяем пункт 7.3.1 и 7.3.2.
Далее в компьютере №1 набираем команду reset config.
Контрольные вопросы
Что такое протокол покрывающего дерева?
Какими особенностями обладает протокол RSTP?
Чем примечателен и для чего используется протокол MSTP?
В чём различия между RSTP и MSTP?
Какой командой запускает TCP dump?
Utility ping относится какому протаколу?
Маска сети 255.0.0.0 какому классу относится?
Для чего исползуется протокол STP?
Список литературы
Е.В. Смирнова, П.В. Козик. Технологии современных сетей Ethernet. Методы коммутации и управления потоками данных. – П.: БХВ-Петербург. 2012. – 272с.
Е.В. Смирнова, А.В. Пролетарский, И.В. Баскаков, Р.А. Федотов. Построение коммутируемых компьютерных сетей. – М.: БИНОМ – 2011. – 367с.
А. Старовойтов. Сеть на Linux. Проектирование. Прокладка. Эксплуатация. – П.: БХВ-Петербург. – 2006. 282с.
Ибе О. И14 Компьютерные сети и службы удаленного доступа: Пер. с англ. – М.: ДМК Пресс. – 336с.
Д.В. Иртегов. Введение в сетевые технологии. – П.: БХВ-Петербург. – 2004. – 560с.
Н.Г. Кузьменко. Компьютерные сети и сетевые технологии. – П.: Наука и техника. – 386с.
Содержание
1 Введение
|
3
|
2 Лабораторная работа №1
|
3
|
3 Лабораторная работа №2
|
13
|
4 Лабораторная работа №3
|
17
|
5 Лабораторная работа №4
|
20
|
6 Лабораторная работа №5
|
26
|
7 Лабораторная работа №6
|
33
|
8 Лабораторная работа №6
|
46
|
Список литературы
|
49
|
Достарыңызбен бөлісу: |