Требуемые условия завершения
Задание:
b) Сконфигурируйте адреса устройств на свое усмотрение.
- 1. Для офиса HQ выделена сеть 192.168.11.0/24
- 2. Для офиса DT выделена сеть 192.168.33.0/24
- 3. Для туннелей между офисами выделена сеть 10.10.10.0/24
- i. Туннель должен вмещать минимально возможное количество адресов
- 4. Данные сети необходимо разделить на подсети для каждого vlan.
- i. VLAN110 должна вмещать не более 64 адресов
- ii. VLAN220 должна вмещать не более 16 адресов
- iii. VLAN330 должна вмещать не более 8 адресов
Вариант реализации:
Разбиение сетей на подсети:
|
Название устройства |
NIC |
Сеть (подсеть) |
IP-адрес |
Шлюз |
|
R-DT
|
ISP <-> R-DT | 172.16.4.0/28 | 172.16.4.14/28 | 172.16.4.1 |
| R-DT <-> FW-DT | 192.168.33.88/30 | 192.168.33.89/30 | - | |
| Tunnel (GRE) | 10.10.10.0/30 | 10.10.10.1/30 | - | |
|
FW-DT
|
R-DT <-> FW-DT | 192.168.33.88/30 | 192.168.33.90/30 | 192.168.33.89 |
| SW-DT (VLAN110) | 192.168.33.0/26 | 192.168.33.1/26 | - | |
| SW-DT (VLAN220) | 192.168.33.64/28 | 192.168.33.65/28 | ||
| SW-DT (VLAN330) | 192.168.33.80/29 | 192.168.33.81/29 | ||
|
ADMIN-DT |
SW-DT (VLAN330) | 192.168.33.80/29 | 192.168.33.82/29 | 192.168.33.81 |
|
SRV1-DT |
SW-DT (VLAN220) | 192.168.33.64/28 | 192.168.33.66/28 | 192.168.33.65 |
|
SRV2-DT |
SW-DT (VLAN220) | 192.168.33.64/28 | 192.168.33.67/28 | 192.168.33.65 |
|
SRV3-DT
|
SW-DT (VLAN220) | 192.168.33.64/28 | 192.168.33.68/28 | 192.168.33.65 |
| WireGuard | 10.6.6.0/24 | 10.6.6.1/24 | - | |
|
CLI-DT |
SW-DT (VLAN110) | 192.168.33.0/26 | DHCP | |
|
R-HQ
|
ISP <-> R-HQ | 172.16.5.0/28 | 172.16.5.14/28 | 172.16.5.1 |
| R-HQ <-> SW1-HQ (VLAN110) | 192.168.11.0/26 | 192.168.11.1/26 | - | |
| R-HQ <-> SW1-HQ (VLAN220) | 192.168.11.64/28 | 192.168.11.65/28 | ||
| R-HQ <-> SW1-HQ (VLAN330) | 192.168.11.80/29 | 192.168.11.81/29 | ||
| Tunnel (GRE) | 10.10.10.0/30 | 10.10.10.2/30 | - | |
|
SW1-HQ |
ovs-internal (VLAN330) | 192.168.11.80/29 | 192.168.11.82/29 | 192.168.11.81 |
|
SW2-HQ |
ovs-internal (VLAN330) | 192.168.11.80/29 | 192.168.11.83/29 | 192.168.11.81 |
|
SW3-HQ |
ovs-internal (VLAN330) | 192.168.11.80/29 | 192.168.11.84/29 | 192.168.11.81 |
|
ADMIN-HQ |
SW3-HQ <-> ADMIN-HQ (VLAN330) | 192.168.11.80/29 | 192.168.11.85/29 | 192.168.11.81 |
|
SRV1-HQ |
SW2-HQ <-> SRV1-HQ (VLAN220) | 192.168.11.64/28 | 192.168.11.66/28 | 192.168.11.65 |
|
CLI-HQ |
SW2-HQ <-> CLI-HQ (VLAN110) | 192.168.11.0/26 | DHCP | |
|
CLI
|
ISP <-> CLI | 172.16.3.1/28 | 172.16.3.14/28 | 172.16.3.1 |
| WireGuard | 10.6.6.0/24 | 10.6.6.2/24 | - | |
R-HQ:
- Смотрим наименование портов в системе (из привилегированного режима):
r-hq#show port brief-
- Результат:
- порт te0 - смотрит в сторону ISP;
- порт te1 - смотрит в сторону локальной сети офиса HQ.
- Результат:
- Также разберёмся с основными понятиями касающимися EcoRouter:
- Порт (port) – это устройство в составе EcoRouter, которое работает на уровне коммутации (L2);
- Интерфейс (interface) – это логический интерфейс для адресации, работает на сетевом уровне (L3);
- Service instance (Сабинтерфейс, SI, Сервисный интерфейс) является логическим сабинтерфейсом, работающим между L2 и L3 уровнями:
- Данный вид интерфейса необходим для соединения физического порта с интерфейсами L3, интерфейсами bridge, портами;
- Используется для гибкого управления трафиком на основании наличия меток VLANов в фреймах, или их отсутствия;
- Сквозь сервисный интерфейс проходит весь трафик, приходящий на порт.
- Таким образом, для того чтобы назначить IPv4-адрес на EcoRouter - необходимо придерживаться следующего алгоритма в общем виде:
- Создать интерфейс с произвольным именем и назначить на него IPv4;
- В режиме конфигурирования порта - создать service-instance с произвольным именем:
- указать (инкапсулировать) что будет обрабатываться тегированный или не тегированный трафик;
- указать в какой интерфейс (ранее созданный) нужно отправить обработанные кадры.
- Создаём интерфейсы (подинтерфейсы/sub-interfaces) для назначения адресов локальных подсетей офиса HQ для дальнейшей маршрутизации между VLAN-ами:
- первым делом создаём интерфейсы для каждого VLAN-а:
r-hq#configure terminal
r-hq(config)#interface vl110
r-hq(config-if)#description "Clients"
r-hq(config-if)#ip address 192.168.11.1/26
r-hq(config-if)#exit
r-hq(config)#
r-hq(config)#interface vl220
r-hq(config-if)#description "Servers"
r-hq(config-if)#ip address 192.168.11.65/28
r-hq(config-if)#exit
r-hq(config)#
r-hq(config)#interface vl330
r-hq(config-if)#description "Administrators"
r-hq(config-if)#ip address 192.168.11.81/29
r-hq(config-if)#exit
r-hq(config)#
r-hq(config)#write-
- На базе физического интерфейса te1 - для каждого VLAN-а создаём service-instance с инкапсуляцией соответствующих тегов (VID) и подключением необходимых интерфейсов:
r-hq(config)#port te1
r-hq(config-port)#service-instance te1/vl110
r-hq(config-service-instance)#encapsulation dot1q 110 exact
r-hq(config-service-instance)#rewrite pop 1
r-hq(config-service-instance)#connect ip interface vl110
r-hq(config-service-instance)#exit
r-hq(config-port)#
r-hq(config-port)#service-instance te1/vl220
r-hq(config-service-instance)#encapsulation dot1q 220 exact
r-hq(config-service-instance)#rewrite pop 1
r-hq(config-service-instance)#connect ip interface vl220
r-hq(config-service-instance)#exit
r-hq(config-port)#
r-hq(config-port)#service-instance te1/vl330
r-hq(config-service-instance)#encapsulation dot1q 330 exact
r-hq(config-service-instance)#rewrite pop 1
r-hq(config-service-instance)#connect ip interface vl330
r-hq(config-service-instance)#exit
r-hq(config-port)#
r-hq(config-port)#write-
- Проверяем:
R-DT:
- Смотрим наименование портов в системе (из привилегированного режима):
r-dt#show port brief-
- Результат:
- порт te0 - смотрит в сторону ISP;
- порт te1 - смотрит в сторону локальной сети DT - непосредственно к FW-DT.
- Результат:
- На текущий момент выполняем создание интерфейса с именем int1 с последующим назначаем IPv4-адреса (из подсети, которая не задействована при разделение на необходимые подсети по требованиям задания) согласно таблице адресации в сторону FW-DT:
- также при необходимости даём понятное описание для интерфейса (description);
r-dt#configure terminal
r-dt(config)#interface int1
r-dt(config-if)#description "Connect_FW-DT"
r-dt(config-if)#ip address 192.168.33.89/30
r-dt(config-if)#exit
r-dt(config)#-
- переходим в режим конфигурирования порта te1 - создаём service-instance с именем te1/int1:
- также указываем что будет обрабатывать не тегированный трафик (untagged);
- и указываем в какой интерфейс нужно отправить обработанные кадры (int1);
- переходим в режим конфигурирования порта te1 - создаём service-instance с именем te1/int1:
r-dt(config)#port te1
r-dt(config-port)#service-instance te1/int1
r-dt(config-service-instance)#encapsulation untagged
r-dt(config-service-instance)#connect ip interface int1
r-dt(config-service-instance)#exit
r-dt(config-port)#write
r-dt(config-port)#-
- Проверяем:
SRV1-HQ:
- В качестве сетевой подсистемы будет использоваться Etcnet
- Для того, чтобы в качестве сетевой подсистемы корректно использовался etcnet, в основном конфигурационной файле для интерфейса /etc/net/ifaces/<INTERFACE_NAME>/options должны присутствовать два параметра соследующими значениями:
- DISABLED=no
- NM_CONTROLLED=no
- в данном случае сетевой интерфейс имеет имя ens19;
- также стоит обратить внимание, чтобы назначить статические сетевые параметры для данного интерфейса -параметр BOOTPROTO долже иметь значение static
- Далеее назначем IP-адрес на интерфейс согласно таблице адресации и IP-адрес шлюза по умолчанию:
- Назначаем IP-адрес из vlan220 (серверная подсеть) на интерфейс ens19 (в данном случае):
echo "192.168.11.66/28" > /etc/net/ifaces/ens19/ipv4address-
- Назначаем IP-адрес шлюза по умолчанию для vlan220 (серверная подсеть):
echo "default via 192.168.11.65" > /etc/net/ifaces/ens19/ipv4route-
- Для применения внесённых изменений - необходимо перезагрузить службу network:
systemctl restart network- Проверяем:
- Наличие IPv4-адреса и адреса шлюза по умолчанию:
На данный момент - доступность шлюза по умолчанию не проверить, т.к. не реализована коммутация.
SRV1-DT | SRV2-DT | SRV3-DT:
- Настраивается аналогично SRV1-HQ, таким образом, ожидаемый результат долже получиться следующий:
- SRV1-DT:
-
- SRV2-DT:
-
- SRV3-DT:
ADMIN-HQ:
- Пользуясь средствами графического интерфейса - назначаем IP-адрес на интерфейс согласно таблице адресации и IP-адрес шлюза по умолчанию
- переходим в Альтератор (Центр Управления Системой - ЦУС) - там же где назначали имя, задаём необходимые сетевые параметры:
-
- Результат:
- Проверяем:
ADMIN-DT:
- Настраивается аналогично ADMIN-HQ
- таким образом, ожидаемый результат должен получиться следующий:
Для FW-DT см. в разделе Настройка FW-DT (Ideco NGFW) назначение IP-адресов на локальные интерфейсы, но после Настройка FW-DT (Ideco NGFW) для доступа в веб-интерфейс
Последнее изменение: воскресенье, 22 декабря 2024, 15:39
