Выполним настройку протокола EIGRP на примере маршрутизатора центрального филиала. В настройке необходимо указывать сети, к которым маршрутизатор непосредственно подключен. Но в данной настройке протокола EIGRP не будем указывать наши внешние сети, чтобы посторонние устройства не смогли считать информацию о наших внутренних сетях, что очень важно для безопасности.
RC2 (config)#routereigrp 1 // значение 1 для внутренних сетей
RC2 (config-router)#network 10.22.6.224 0.0.0.3
RC2 (config-router)# network 10.22.1.128 0.0.0.31
RC2 (config-router)#network 10.22.0.0 0.0.0.127
RC2 (config-router)#network 10.22.0.128 0.0.0.127
RC2 (config-router)# network 10.22.1.0 0.0.0.63
RC2 (config-router)#no auto-summary //отключение авто-суммирования
Остальные маршрутизаторы корпоративной сети настроим аналогично.
После того как протокол EIGRP настроен, проверим работоспособность сети. Для этого отправим ICMP запрос из 1го отдела на хост 2го отдела.
Router#ping 10.22.0.2
Sending 5, 100-byte ICMP Echos to 10.22.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
После подключения всех VLAN к маршрутизатору и настройки динамической маршрутизации, все отделы имеют доступ между собой. Для разграничения доступа по отделам необходимо настроить access list на маршрутизаторе.
Задача: в центральном филиале, необходимо разрешить сетевое взаимодействие между 1 и 3 отделами, 2 и 3 отделами, и запретить трафик между 1 и 2 отделами.
Настроим access list для первого отдела в центральном филиале:
Разрешаем взаимодействие 3 и 1 отделов:
access-list 161 permit ip 10.22.0.128 0.0.0.127 10.22.1.128 0.0.0.31
Запрещаем взаимодействие 2 и 1 отделов:
access-list 161 deny ip 10.22.0.0 0.0.0.127 10.22.1.128 0.0.0.31
Разрешаем взаимодействие 3 и 2 отделов:
access-list 162 permit ip 10.22.0.128 0.0.0.127 10.22.0.0 0.0.0.127
Запрещаем взаимодействие 1 и 2 отделов:
access-list 162 deny ip 10.22.1.128 0.0.0.31 10.22.0.0 0.0.0.127
Разрешаем взаимодействие 1 и 3 отделов:
access-list 163 permit ip 10.22.1.128 0.0.0.31 10.22.0.128 0.0.0.127
Разрешаем взаимодействие 2 и 3 отделов:
access-list 163 permit ip 10.22.0.0 0.0.0.127 10.22.0.128 0.0.0.127
Запрещаем прохождение IP протокола из всех остальных подсетей в подсеть 3 отдела:
access-list 163 deny ip any 10.22.0.128 0.0.0.127
Теперь осталось привязать созданные группы ACL к интерфейсам:
!
interface FastEthernet0/1.1
encapsulation dot1Q 81
ip address 10.22.1.129 255.255.255.224
ip access-group 161 out
!
interface FastEthernet0/1.2
encapsulation dot1Q 82
ip address 10.22.0.1 255.255.255.128
ip access-group 162 out
!
interface FastEthernet0/1.3
encapsulation dot1Q 83
ip address 10.22.0.129 255.255.255.128
ip access-group 163 out
!
Разграничение трафика с помощью ACL в остальных филиалах производится аналогично.
В следующем разделе мы рассмотрим применение ACL на приграничных маршрутизаторах, а так же разграничим доступ отделов к серверам находящимся в демилитаризованной зоне.
Так как данные предприятия будут передаваться в открытой сети интернет, они могут быть перехвачены и видоизменены, прочитаны злоумышленником. Чтобы этого не произошло нам необходимо создать VPN (Virtual Private network) туннель. В данном случае создадим туннель вида точка-точка. Туннель будем создавать на основе протокола GRE .Протокол GRE (Generic Routing Encapsulation) — протокол туннелирования сетевых пакетов. Он обеспечивает механизм инкапсуляции произвольных пакетов в произвольный транспортный протокол.
В настройках туннельного интерфейса необходимо указать туннельный IP адрес, источник туннеля и адрес назначения (физический IP адрес) (рис 3.1).
Рисунок 3.1 – Схема построения туннеля
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.