<%@ Language=JavaScript %> CCNA 4 TCS - Případová studie návrhu datové sítě

 

 

TCS

Případová studie

 

Dcom

CCNA Semester 4

 

Privátní datová síť firmy

D-NET Labs.

 

 

Disclaimer:

Tato stránka může posloužit pouze pro inspiraci při tvorbě vlastní případové studie. Není dovoleno kopírování textu

nebo schémat. Pokud přesto chcete použít cokoliv z této stránky napište e-mail

Lokace a firmy jsou smyšlené, jakákoliv shoda se skutečností je čistě náhodná.

 

This page can serve only for inspiration in order to compose your own threaded case study. You are not allowed to copy

anything from this page. If you even though want to use anything from this page send me e-mail

Locations and companies are fictitious.

 

 

Rozbor situace:

            Nově vzniklá společnost D-NET Labs. přichází na trh jako jeden z distributorů Cisco technologií v České republice. Sídlo společnosti je v hlavní budově v Praze 3. Jedná se o nově postavenou budovu se třemi podlažími. Zde bude na umístěna administrativa, ekonomické oddělení a technická podpora. V hlavní budově bude pracovat 90 zaměstnanců. V další, dvoupatrové budově, která sídlí na okraji Kladna bude umístěn sklad a testovací laboratoř. V této budově bude pracovat 25 zaměstnanců. Společnost dále vlastní dvoupatrový rodinný dům na Praze 4, kde bude umístěn SW vývoj. Zde bude pracovat 5 zaměstnanců.

            Společnost požaduje propojení všech pracovišť privátní datovou sítí s rychlým (odpovídajícím počtu uživatelů) permanetním spojením a dedikovanými okruhy. Dále požaduje levnou záložní cestu v případě výpadku hlavních tras a v neposlední řadě připojení do sítě Internet v hlavní budově. Společnost nepředpokládá v nejbližších letech výrazný růst. Finanční prostředky vyhrazené na stavbu privátní datové sítě nejsou nijak výrazně omezeny.

 

Návrh datové sítě:

            Při návrhu sítě byly brány v potaz současné požadavky firmy na datovou síť s určitou rezervou do budoucna. Vzhledem k tomu, že se všechny pracoviště firmy nachází v jednom UTO a tudíž náklady na hovorné se nepředpokládají vysoké, firma se rozhodla, že prozatím nebude nasazovat IP telefonii a místo toho pořídí ISDN pobočkové ústředny. Vzhledem k tomu, že navrhované aktivní prvky umožňují provoz IP telefonie (QoS) tak pokud by v budoucnu vyvstala potřeba nasadit IP telefonii byla by to otázka pouze rekonfigurace aktivních prvků,dokoupení IP karet do pobočkových ústředen a popř. navýšení rychlosti přenosových tras.

 

Kabeláže a fyzické umístění:

            Při návrhu kabeláže jsem vycházel ze současných norem, standardů a trendů. Na všech pracovištích bude strukturovaná kabeláž pro datovou síť i telefonní přípojky. Použita bude UTP kabeláž kategorie 5e dle normy EIA/TIA 568-B.

V hlavní budově bude umístěn POP a MDF v místnosti blízko hlavní vchodu v přízemí. Zde bude účastnický rozvaděč od Českých Telekomunikací a dále 2 racky. V jednom (HQ1) bude umístěn HQ Switch, HQ Router, ISP Router a patch panely kategorie 5e. V druhém racku HQ2 pak budou umístěny servery. Jelikož se místnost nachází v přízemí budou na okna namontovány mříže, dále bude místnost vybavena protipožárními dveřmi, klimatizací a kouřovými čidly. Podružný rozvaděč IDF bude umístěn ve druhém patře ve skladu. V tomto rozvaděči bude umístěn rack HQ3 s uživatelským HQ_U_Switch a patch panely. V této místnosti bude také instalována klimatizace a kouřová čidla. Datové zásuvky v kancelářích ve druhém patře jsou napojeny do patch panelů v racku HQ3, zásuvky v prvním patře a v přízemí jsou napojeny do patch panelů v racku HQ1.

V budově na Kladně bude rozvaděč a POP umístěn v přízemí vedle vrátnice. Zde bude rack s routrem Branch_1, switchem Branch1, patch panely a servery. Vybavení místnosti bude obdobné jako v MDF v hlavní budově.

V detašovaném pracovišti na Praze 4 bude rozvaděč a POP umístěn v místnosti v přízemí. Zde bude rack s routrem Branch_2, switchem Branch2, patch panelem a serverem. Místnost bude vybavená klimatizací a kouřovými čidly.

Aby byla zajištěna rezerva měla by být ve všech budovách v každé kanceláři navíc alespoň dvě datové a dvě telefonní zásuvky. Pro připojení přepínačů vybavených GE porty budou použita optická multimodová vlákna 62,5/125 um.

 

Aktivní prvky:

            Při návrhu aktivních prvků jsem vybíral z dnes běžně používaných modelů od firmy Cisco. Dále je důležité vybrat vhodnou verzi systému IOS. Byly vybrány modulární směrovače 2621XM a centrální směrovač 3745. Pro vytvoření LAN segmentů byl vybrán přepínač Catalyst 4000 se 72 FE porty, dva přepínače Catalyst 2950 se 48 porty a dva Catalyst 2955 se 12 porty. Konkrétní konfigurace všech aktivních prvků jsou uvedeny níže.

 

 HQ Router:

Cisco 3745, IOS verze 12.3 (T) + IP feature set (Firewall)

Moduly:

4-Port Serial Network Module (NM-4T)

1-port Gigabit Ethernet Network Module (NM-1GE)

4-Port ISDN-BRI Network Module (NM-4B-S/T)

 

HQ_Switch:

Catalyst 4000 Chassis (3-Slot),Single AC Power Supply(Spare) (WS-C4003)

Catalyst 4000 Supervisor IV, 2 GE, Console(RJ-45)(Spare) (WS-X4515)

Catalyst 4000 48-Port GE Module, 10/100/1000 Base-T (RJ45) (WS-X4448-GB-RJ45)

Catalyst 4000 24-port 10/100/1000 Module (RJ45) (Spare) (WS-X4424-GB-RJ45)

Cisco IOS BASIC L3 SW C4000 SUP 3/4(RIP,St.Routes,IPX,AT) (S4KL3-12113EW)

Catalyst 1000BASE-SX "Short Wavelength" GBIC, Multimode only (WS-G5484) 2x

 

HQ_U_Switch:

Catalyst 2950 48 10/100 with 2 GBIC slots, Enhanced Imag (WS-C2950G-48-EI)

Catalyst 1000BASE-SX "Short Wavelength" GBIC, Multimode only (WS-G5484)

 

ISP Router:

Cisco 2621XM, IOS verze 12.3 (T) + IP feature set (Firewall/NAT)

Moduly:

4-Port Ethernet Network Module (NM-4E)

1-Port Serial Card (WIC-1T)

 

DMZ_Switch:

Catalyst 2955,12 x 10/100 w/2 x fix 10/100/1000BASE-T upl (WS-C2955T-12)

 

Branch1 Router:

Cisco 2621XM, IOS verze 12.3 (T)

Moduly:

1-Port Serial Card (WIC-1T)

1-Port ISDN Card (WIC-1B-S/T)

1-port Gigabit Ethernet Network Module (NM-1GE)

 

Branch1 Switch:

Catalyst 2950 48 10/100 with 2 GBIC slots, Enhanced Imag (WS-C2950G-48-EI)

Catalyst 1000BASE-SX "Short Wavelength" GBIC, Multimode only (WS-G5484)

 

Branch2 Router:

Cisco 2621XM, IOS verze 12.3 (T)

Moduly:

1-Port Serial Card (WIC-1T)

1-Port ISDN Card (WIC-1B-S/T)

 

Branch2 Switch:

Catalyst 2955,12 x 10/100 w/2 x fix 10/100/1000BASE-T upl (WS-C2955T-12)

 

Propojení aktivních prvků:

 Propojení směrovačů:

            Propojení směrovačů bylo navrženo tak, aby odpovídalo požadavkům firmy. Propojení jednotlivých lokalit je zajištěno pomocí pronajatých okruhů od Českých Telekomunikací (Leased Line). Připojení je realizování propojením sériového rozhraní směrovačů smart-serial kabelem (X.21 rozhraní) s CSU/DSU, které budou dodány od Českých Telekomunikací. DCE rozhraní bude na CSU/DSU. Záložní spojení je realizováno pomocí vytáčených ISDN spojů (BRI) a je nakonfigurováno tak, že v případě výpadku LL se vytočí ISDN spojení. Na sériových linkách i na ISDN spojích je použit protokol PPP. Na ISDN spojích je navíc použita autentikace pomocí protokolu CHAP z důvodu zajištění ochrany před neoprávněným připojením jiného směrovače. Vzhledem k tomu, že sériová spojení jsou realizována pomocí vyhrazených okruhů zde není autentikace potřeba. Směrovače ISP a HQ, které jsou ve stejném racku jsou propojeny pomocí  FastEthernet rozhraní. Připojení směrovače ISP do Internetu není prozatím vyřešeno nicméně na tomto směrovači je vyhrazeno jedno sériové rozhraní pro tento účel.

 

Přehled spojení:

 

HQ Router – Branch1 Router:

Hlavní spojení: Serial – Serial, Leased Line 512 Kbit/s

Záložní spojení: BRI – BRI , ISDN 128 Kbit/s

 

HQ Router – Branch2 Router:

Hlavní spojení: Serial – Serial, Leased Line 128 Kbit/s

Záložní spojení: BRI – BRI , ISDN 128 Kbit/s

 

HQ Router – ISP Router:

FastEthernet 100 Mbit/s

  

Připojení přepínačů:

            V hlavní budově bude propojen HQ_Router GE portem s HQ Switchem, který je vybaven Supervisor Engine se dvěma GE porty. Na druhý GE port HQ_Switche je připojen HQ_U_Switch. Takto je zajištěno, že oba přepínače jsou na jednom segmentu směrovače HQ_Router. DMZ_Switch bude propojen s ISP směrovačem pomocí FastEthernet portu. V budově skladu bude přepínač Branch1_Switch připojen ke směrovači Branch1 pomocí GE. Přepínač Branch2 umístěný na detašovaném pracovišti bude propojen se směrovačem Branch2 stejným způsobem jako DMZ_Switch. Všechny servery a stanice budou připojeny k přepínačům pomocí FastEthernetových portů. Na přepínači Catalyst 4000 budou zapojeny na modul 2 se 48 FE porty uživatelské stanice a modul 3 s 24 FE porty bude vyhrazen pro servery.

Je potřeba zajistit, aby lokální provoz v jedné lokalitě nezatěžoval zbytečně páteřní linky mezi směrovači. To zajistíme pomocí virtuálních sítí (VLANs). Každá lokalita bude mít jednu vlastní VLAN (DMZ_Switch bude mít vlastní VLAN). Jednotlivé VLANy budou definovány podle subnetů. V praxi to tedy bude znamenat to, že na pobočkách a v DMZ segmentu bude celý switch jedna VLAN a směrovače budou zajišťovat routing mezi jednotlivými VLAN. Na segmentu HQ budou oba switche v jedné VLAN a GE spojka mezi nimi bude nastavena do trunk módu.

 

 Přehled jednotlivých VLAN:
 

100 – HQ segment, subnet 192.168.1.0/25

200 – Branch1 segment, subnet 192.168.1.128/26

300 – Branch2 segment, subnet 192.168.1.192/28

400 – DMZ Segment, subnet 192.168.1.232/29

Adresace:

            Pro adresaci jsem zvolil blok privátních adres třídy C 192.168.1.x. Tento blok je rozdělen pomocí VLSM na 9 subnetů z nichž 4 určené pro LAN sítě a 5 je učeno pro adresaci dvoubodového spojení směrovačů. Následuje podrobné rozdělení subsítí.

 

Subnet

Network ID

Default GW

Broadcast

Network Mask

no. of hosts

HQ Segment

192.168.1.0

192.168.1.1

192.168.1.127

255.255.255.128

126

Branch1 Segment

192.168.1.128

192.168.1.129

192.168.1.191

255.255.255.192

62

Branch2 Segment

192.168.1.192

192.168.1.193

192.168.1.207

255.255.255.240

14

Serial HQ_BR1

192.168.1.208

N/A

192.168.1.211

255.255.255.252

2

BRI HQ_BR1

192.168.1.212

N/A

192.168.1.215

255.255.255.252

2

Serial HQ_BR2

192.168.1.216

N/A

192.168.1.219

255.255.255.252

2

BRI HQ_BR2

192.168.1.220

N/A

192.168.1.223

255.255.255.252

2

HQ_ISP

192.168.1.224

N/A

192.168.1.227

255.255.255.252

2

DMZ Segment

192.168.1.232

192.168.1.233

192.168.1.239

255.255.255.248

6

 

Adresace serverů je následující:

 

HQ Segment:

Domain Controler/DNS – 192.168.1.2 (dc.d-net.labs.network)

Exchange Server/SMTP – 192.168.1.3 (exch.d-net.labs.network)

File Server – 192.168.1.4 (filehq.d-net.labs.network)

SQL Server – 192.168.1.5 (sqlhq.d-net.labs.network)

Intranet WWW – 192.168.1.6 (intra.d-net.labs.network)

 

Branch 1 Segment:

File Server – 192.168.1.130 (filebr1.d-net.labs.network)

SQL Server – 192.168.1.131 (sqlbr1.d-net.labs.network)

 

Branch 2 Segment:

File Server – 192.168.1.194 (filebr2.d-net.labs.network)

 

DMZ Segment:

DNS (Bind) – 192.168.1.234 (dns.d-net.labs.network)

SMTP (Sendmail) – 192.168.1.235 (mx.d-net.labs.network)

Internet WWW – 192.168.1.236 (web.d-net.labs.network)

 

Konfigurace:

            Vzhledem k tomu, že bylo použito VLSM je nutné použít odpovídající routovací protokol. V našem případě se jedná o RIP v2. Dále je potřeba nakonfigurovat ISDN spoje jako záložní spoj k sériovým linkám. Každý LAN segment (kromě DMZ) má na směrovači nakonfigurovaný DHCP server, který přiděluje adresy vždy z příslušného subnetu. Podrobný návrh konfigurace je uveden níže.

 

HQ Router:

!

hostname HQ

!

enable secret ccna

username Branch_1 password ccna

username Branch_2 password ccna

!

ip source-route

ip name-server 192.168.1.2

!

isdn switch-type basic-net3

!

ip subnet-zero

ip domain-lookup

ip routing

!

interface Dialer 1

 description connected to Branch_1

 ip address 192.168.1.213 255.255.255.252

 ip access-group 104 in

 no ip split-horizon

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 120

 dialer hold-queue 10

 dialer load-threshold 60

 dialer map ip 192.168.1.214 name Branch_1 speed 64 broadcast

 dialer-group 1

 ppp authentication chap

 ppp multilink

 no cdp enable

!

interface Dialer 2

 description connected to Branch_2

 ip address 192.168.1.221 255.255.255.252

 ip access-group 101 in

 no ip split-horizon

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 120

 dialer hold-queue 10

 dialer load-threshold 60

 dialer map ip 192.168.1.222 name Branch_2 speed 64 broadcast

 dialer-group 1

 ppp authentication chap

 ppp multilink

 no cdp enable

!

interface GigabitEthernet 0/0

 no shutdown

 description connected to HQ_Switch

 ip address 192.168.1.1 255.255.255.128

 ip access-group 100 in

 keepalive 10

!

interface FastEthernet 0/0

 no shutdown

 description connected to ISP_[NAT]

 ip address 192.168.1.225 255.255.255.252

 ip access-group 103 in

 encapsulation ppp

!

interface Serial 1/0

 no shutdown

 description connected to Branch_1

 ip address 192.168.1.209 255.255.255.252

 ip access-group 105 in

 encapsulation ppp

 backup delay 1 1

 backup interface Dialer 1

 backup load 0 0

!

interface Serial 1/1

 no shutdown

 description connected to Branch_2

 ip address 192.168.1.217 255.255.255.252

 ip access-group 102 in

 encapsulation ppp

 backup delay 1 1

 backup interface Dialer 2

 backup load 0 0

!

interface BRI 2/0

 no shutdown

 description connected to Branch_1

 no ip address

 dialer rotary-group 1

!

interface BRI 2/1

 no shutdown

 description connected to Branch_2

 no ip address

 dialer rotary-group 2

!

no dialer-list 1

dialer-list 1 protocol ip permit

!

router rip

 version 2

 network 192.168.1.0

 no auto-summary

!

ip classless

ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

!

line console 0

 exec-timeout 0 0

 password ccna

 login

!

line vty 0 4

 password ccna

 login

!

ip dhcp pool HQ

network 192.168.1.0 255.255.255.128

default-router 192.168.1.1

dns-server 192.168.1.2

netbios-name-server 192.168.1.2

ip dhcp excluded-address 192.168.1.1 192.168.1.10

!

end

 

Branch 1 Router:

!

hostname Branch_1

!

enable secret ccna

username HQ password ccna

!

ip name-server 192.168.1.2

!

isdn switch-type basic-net3

!

ip subnet-zero

ip domain-lookup

ip routing

!

interface Dialer 1

 description connected to HQ

 ip address 192.168.1.214 255.255.255.252

 no ip split-horizon

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 120

 dialer hold-queue 10

 dialer load-threshold 60

 dialer map ip 192.168.1.213 name HQ speed 64 broadcast 100

 dialer-group 1

 ppp authentication chap

 ppp multilink

 no cdp enable

!

interface GigabitEthernet 0/0

 no shutdown

 description connected to Branch_1_Switch

 ip address 192.168.1.129 255.255.255.192

 keepalive 10

!

interface Serial 0/0

 no shutdown

 description connected to HQ

 ip address 192.168.1.210 255.255.255.252

 encapsulation ppp

 backup delay 10 10

 backup interface Dialer 1

 backup load 0 0

!

interface BRI 0/0

 no shutdown

 description connected to HQ

 no ip address

 dialer rotary-group 1

!

! Dialer Control List 1

!

no dialer-list 1

dialer-list 1 protocol ip permit

!

router rip

 version 2

 network 192.168.1.0

 no auto-summary

!

ip classless

ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

banner motd #Router Branch_1#

!

line console 0

 exec-timeout 0 0

 password ccna

 login

!

line vty 0 4

 password ccna

 login

!

ip dhcp pool Branch1

network 192.168.1.128 255.255.255.192

default-router 192.168.1.129

dns-server 192.168.1.2

netbios-name-server 192.168.1.2

ip dhcp excluded-address 192.168.1.129 192.168.1.132

!

end

 

Branch 2 Router:

!

hostname Branch_2

!

enable secret ccna

username HQ password ccna

!

ip name-server 192.168.1.2

!

isdn switch-type basic-net3

!

ip subnet-zero

ip domain-lookup

ip routing

!

interface Dialer 1

 description connected to HQ

 ip address 192.168.1.222 255.255.255.252

 no ip split-horizon

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 120

 dialer hold-queue 10

 dialer load-threshold 60

 dialer map ip 192.168.1.221 name HQ speed 64 broadcast 100

 dialer-group 1

 ppp authentication chap

 ppp multilink

 no cdp enable

!

interface FastEthernet 0/0

 no shutdown

 description connected to Branch_2_Switch

 ip address 192.168.1.193 255.255.255.240

 keepalive 10

!

interface Serial 0/0

 no shutdown

 description connected to HQ

 ip address 192.168.1.218 255.255.255.252

 encapsulation ppp

 backup delay 10 10

 backup interface Dialer 1

 backup load 0 0

!

interface BRI 0/0

 no shutdown

 description connected to HQ

 no ip address

 dialer rotary-group 1

!

no dialer-list 1

dialer-list 1 protocol ip permit

!

router rip

 version 2

 network 192.168.1.0

 no auto-summary

!

ip classless

ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

banner motd #Router Branch_2#

!

line console 0

 exec-timeout 0 0

 password ccna

 login

!

line vty 0 4

 password ccna

 login

!

ip dhcp pool Branch2

network 192.168.1.192 255.255.255.240

default-router 192.168.1.193

dns-server 192.168.1.2

netbios-name-server 192.168.1.2

ip dhcp excluded-address 192.168.1.193 192.168.1.195

!

end

 

ISP Router:

Konfigurace ISP směrovače je pouze částečná a nezahrnuje konfiguraci NAT.

!

hostname ISP_[NAT]

!

enable password ccna

!

ip name-server 192.168.1.2

!

ip subnet-zero

ip domain-lookup

ip routing

!

!

interface FastEthernet 0/0

 no shutdown

 description connected to HQ

 ip address 192.168.1.226 255.255.255.252

 keepalive 10

!

interface FastEthernet 0/1

 no shutdown

 description connected to DMZ_Switch

 ip address 192.168.1.233 255.255.255.248

 keepalive 10

!

router rip

 version 2

 network 192.168.1.0

 no auto-summary

!

!

ip classless

ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

!

line console 0

 exec-timeout 0 0

 password ccna

 login

!

line vty 0 4

 password ccna

 login

!

end

 

Datové toky a aplikace v rámci privátní sítě:

            Jak je patrné z přehledu serverů společnost bude používat Windows NT doménu s Exchange serverem. Uživatelé ze všech pracovišt budou přistupovat na Domain Controller dc.d-net.labs.network a zároveň na Exchange server exch.d-net.labs.network. Domain controller bude zároveň sloužit jako DNS server pro celou vnitřní síť. Dále má každá lokalita vlastní file server a lokalita HQ a Kladno má SQL server na které budou uživatelé přistupovat pomocí vlastní klientské aplikace. Replikace databází mezi SQL servery bude probíhat v nočních hodinách kdy nebude na páteřních linkách provoz. Uživatelé budou dále přistupovat na intranetovský www server intra.d-net.labs.network a na www server firmy v DMZ web.d-net.labs.network který bude mít externí doménový název www.d-netlabs.cz

V neposlední řadě budou uživatelé přistupovat na portu 80 na veřejné web servery.

Dále bude probíhat komunikace mezi serverem dc.d-net.labs.network a dns.d-net.labs.network na portu 53 (DNS dynamic update – server v DMZ bude komunikovat s DNS servery v Internetu), mezi exch.d-net.labs.network a mx.d-net.labs.network (SMTP komunikace do Internetu na portu 25, server mx bude mít externí mx DNS záznam).

 

Konfigurace Firewallu na HQ Router:

            Na HQ_Router budou nadefinovány access-lists. Jak je patrné ze schématu jedná se o sekundární firewall. Mezi HQ Segmentem a pobočkami nebude komunikace nijak omezována. Z poboček je na ISP router povolen pouze port 80 pro přístup do Internetu. Z ISP směrovače (DMZ Segment) je povolena komunikace pouze s HQ segmentem a to pouze na portech 25,53 a 80 obousměrně. Dále je z ISP směrovače úplně zakázána komunikace na pobočky. Následuje podrobný návrh konfigurace Firewallu.

 

!

no access-list 100

access-list 100 deny ip 192.168.1.220 0.0.0.3 any

access-list 100 deny ip 192.168.1.216 0.0.0.3 any

access-list 100 deny ip 192.168.1.192 0.0.0.15 any

access-list 100 deny ip 192.168.1.224 0.0.0.3 any

access-list 100 deny ip 192.168.1.232 0.0.0.7 any

access-list 100 deny ip 192.168.1.212 0.0.0.3 any

access-list 100 deny ip 192.168.1.208 0.0.0.3 any

access-list 100 deny ip 192.168.1.128 0.0.0.63 any

access-list 100 permit udp any eq rip any eq rip

access-list 100 permit tcp any 192.168.1.220 0.0.0.3 eq www

access-list 100 permit tcp any 192.168.1.216 0.0.0.3 eq www

access-list 100 permit tcp any 192.168.1.192 0.0.0.15 eq www

access-list 100 permit ip any 192.168.1.220 0.0.0.3

access-list 100 permit ip any 192.168.1.216 0.0.0.3

access-list 100 permit ip any 192.168.1.192 0.0.0.15

access-list 100 permit tcp any 192.168.1.212 0.0.0.3 eq www

access-list 100 permit tcp any 192.168.1.208 0.0.0.3 eq www

access-list 100 permit tcp any 192.168.1.128 0.0.0.63 eq www

access-list 100 permit ip any 192.168.1.212 0.0.0.3

access-list 100 permit ip any 192.168.1.208 0.0.0.3

access-list 100 permit ip any 192.168.1.128 0.0.0.63

access-list 100 permit tcp any 192.168.1.224 0.0.0.3 eq www

access-list 100 permit tcp any 192.168.1.232 0.0.0.7 eq www

access-list 100 permit tcp any 192.168.1.224 0.0.0.3 eq smtp

access-list 100 permit tcp any 192.168.1.232 0.0.0.7 eq smtp

access-list 100 permit udp any 192.168.1.224 0.0.0.3 eq domain

access-list 100 permit udp any 192.168.1.232 0.0.0.7 eq domain

access-list 100 deny ip any any

!

no access-list 101

access-list 101 deny ip 192.168.1.0 0.0.0.127 any

access-list 101 deny ip 192.168.1.224 0.0.0.3 any

access-list 101 deny ip 192.168.1.232 0.0.0.7 any

access-list 101 deny ip 192.168.1.212 0.0.0.3 any

access-list 101 deny ip 192.168.1.208 0.0.0.3 any

access-list 101 deny ip 192.168.1.128 0.0.0.63 any

access-list 101 permit udp any eq rip any eq rip

access-list 101 permit tcp any 192.168.1.0 0.0.0.127 eq www

access-list 101 permit ip any 192.168.1.0 0.0.0.127

access-list 101 permit tcp any 192.168.1.212 0.0.0.3 eq www

access-list 101 permit tcp any 192.168.1.208 0.0.0.3 eq www

access-list 101 permit tcp any 192.168.1.128 0.0.0.63 eq www

access-list 101 permit ip any 192.168.1.212 0.0.0.3

access-list 101 permit ip any 192.168.1.208 0.0.0.3

access-list 101 permit ip any 192.168.1.128 0.0.0.63

access-list 101 permit tcp any 192.168.1.224 0.0.0.3 eq www

access-list 101 permit tcp any 192.168.1.232 0.0.0.7 eq www

access-list 101 deny ip any any

!

no access-list 102

access-list 102 deny ip 192.168.1.0 0.0.0.127 any

access-list 102 deny ip 192.168.1.224 0.0.0.3 any

access-list 102 deny ip 192.168.1.232 0.0.0.7 any

access-list 102 deny ip 192.168.1.212 0.0.0.3 any

access-list 102 deny ip 192.168.1.208 0.0.0.3 any

access-list 102 deny ip 192.168.1.128 0.0.0.63 any

access-list 102 permit udp any eq rip any eq rip

access-list 102 permit tcp any 192.168.1.0 0.0.0.127 eq www

access-list 102 permit ip any 192.168.1.0 0.0.0.127

access-list 102 permit tcp any 192.168.1.212 0.0.0.3 eq www

access-list 102 permit tcp any 192.168.1.208 0.0.0.3 eq www

access-list 102 permit tcp any 192.168.1.128 0.0.0.63 eq www

access-list 102 permit ip any 192.168.1.212 0.0.0.3

access-list 102 permit ip any 192.168.1.208 0.0.0.3

access-list 102 permit ip any 192.168.1.128 0.0.0.63

access-list 102 permit tcp any 192.168.1.224 0.0.0.3 eq www

access-list 102 permit tcp any 192.168.1.232 0.0.0.7 eq www

access-list 102 deny ip any any

!

no access-list 103

access-list 103 deny ip 192.168.1.0 0.0.0.127 any

access-list 103 deny ip 192.168.1.220 0.0.0.3 any

access-list 103 deny ip 192.168.1.216 0.0.0.3 any

access-list 103 deny ip 192.168.1.192 0.0.0.15 any

access-list 103 deny ip 192.168.1.212 0.0.0.3 any

access-list 103 deny ip 192.168.1.208 0.0.0.3 any

access-list 103 deny ip 192.168.1.128 0.0.0.63 any

access-list 103 permit udp any eq rip any eq rip

access-list 103 permit tcp any 192.168.1.0 0.0.0.127 eq smtp

access-list 103 permit udp any 192.168.1.0 0.0.0.127 eq domain

access-list 103 permit tcp any 192.168.1.0 0.0.0.127 eq www

access-list 103 deny ip any any

!

no access-list 104

access-list 104 deny ip 192.168.1.0 0.0.0.127 any

access-list 104 deny ip 192.168.1.220 0.0.0.3 any

access-list 104 deny ip 192.168.1.216 0.0.0.3 any

access-list 104 deny ip 192.168.1.192 0.0.0.15 any

access-list 104 deny ip 192.168.1.224 0.0.0.3 any

access-list 104 deny ip 192.168.1.232 0.0.0.7 any

access-list 104 permit udp any eq rip any eq rip

access-list 104 permit tcp any 192.168.1.0 0.0.0.127 eq www

access-list 104 permit ip any 192.168.1.0 0.0.0.127

access-list 104 permit tcp any 192.168.1.220 0.0.0.3 eq www

access-list 104 permit tcp any 192.168.1.216 0.0.0.3 eq www

access-list 104 permit tcp any 192.168.1.192 0.0.0.15 eq www

access-list 104 permit ip any 192.168.1.220 0.0.0.3

access-list 104 permit ip any 192.168.1.216 0.0.0.3

access-list 104 permit ip any 192.168.1.192 0.0.0.15

access-list 104 permit tcp any 192.168.1.224 0.0.0.3 eq www

access-list 104 permit tcp any 192.168.1.232 0.0.0.7 eq www

access-list 104 deny ip any any

!

no access-list 105

access-list 105 deny ip 192.168.1.0 0.0.0.127 any

access-list 105 deny ip 192.168.1.220 0.0.0.3 any

access-list 105 deny ip 192.168.1.216 0.0.0.3 any

access-list 105 deny ip 192.168.1.192 0.0.0.15 any

access-list 105 deny ip 192.168.1.224 0.0.0.3 any

access-list 105 deny ip 192.168.1.232 0.0.0.7 any

access-list 105 permit udp any eq rip any eq rip

access-list 105 permit tcp any 192.168.1.0 0.0.0.127 eq www

access-list 105 permit ip any 192.168.1.0 0.0.0.127

access-list 105 permit tcp any 192.168.1.220 0.0.0.3 eq www

access-list 105 permit tcp any 192.168.1.216 0.0.0.3 eq www

access-list 105 permit tcp any 192.168.1.192 0.0.0.15 eq www

access-list 105 permit ip any 192.168.1.220 0.0.0.3

access-list 105 permit ip any 192.168.1.216 0.0.0.3

access-list 105 permit ip any 192.168.1.192 0.0.0.15

access-list 105 permit tcp any 192.168.1.224 0.0.0.3 eq www

access-list 105 permit tcp any 192.168.1.232 0.0.0.7 eq www

access-list 105 deny ip any any

!

Shrnutí:

            Privátní datová síť firmy byla navržena dle požadavků s určitou rezervou. Pro páteřní spoje byly použity pronajaté okruhy (Leased Line) a záložní spojení bylo vyřešeno pomocí ISDN linek. Byly použity aktivní prvky od firmy Cisco, které odpovídají dnešním požadavkům. Pro adresaci byl zvolen blok privátních adres třídy C, který byl pomocí VLSM rozdělen na 9 subnetů.  Byl zvolen routovací protokol RIP v2, který podporuje VLSM. Na centrálním směrovači byly nadefinovány access-lists definující povolenou komunikaci mezi jednotlivými směrovači. Následuje logické a fyzické schéma zapojení privátní datové sítě.

 

Logické Schéma:

 

 

 

Schéma zapojení:

 

 

(c) Dcom 2004

Main Menu