Cisco Packet Tracer создание сети с DHCP, VLAN и ACL

@Axe67 · Регистрация: 04.12.2014

Author24 — интернет-сервис помощи студентам

Необходимо спроектировать небольшую сеть с 3 подсетями и DNS-сервером.
Изначально имеется сеть 10.13.13.0/24. Я разделил её на подсети и создал VLAN'ы.
VLAN 100 c DNS-сервером, VLAN 200 и VLAN 300 - две аудитории с компьютерами.
Собственно вопросы
1)Я сконфигурировал VLAN'ы но пинг не доходит до роутера, соединенного со свитчем, не знаю в чем проблема.
2)Так же интересно где лучше сконфигурировать DHCP на свитче или роутере, и каким образом назначить пулы под каждый влан. Пока что задал статичные адреса компьютерам.
3) Как задать ACL чтобы можно было подключаться из VLAN 100 с сервером к другим VLAN.

Начальная конфигурация на скрине.

Cisco Packet Tracer создание сети с DHCP, VLAN и ACL

3.rar

@insect_87 · 02.12.2015, 20:37

2) я бы сервер отдельный поставил и использовал ip helper-address
3) чтобы накатать acl, надо четко задачу поставить - кому куда можно, кому нельзя
если acl нет - по умолчанию всем все разрешено
*) межвиланную маршрутизацию я бы сделал на 3560
1) на gi0/1 на свитче инкапсуляцию не указал и транк не выставил
Switch(config)#int gi0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
PS у dns-сервера нет адреса

@Axe67 · 02.12.2015, 20:59 **[ТС]**

Спасибо, серверу не назначил адрес так как остановился на компьютерах, уже исправил. Поставил транк, но после чего стали пинговаться все устройства во всех вланах. Так и должно быть?
Перечитал задание, DHCP-сервером должен быть роутер, доступ к управлению свитчем и портом должен осуществляться по протоколу SSH и только из VLAN100 (для чего как я понял и нужен ACL), компьютеры должны иметь доступ к сервисам сервера.

@insect_87 · 02.12.2015, 21:23

Сообщение от Axe67

Так и должно быть?

да, чтобы кто-то кого-то не видел при твоей схеме, надо access-list'ы повесить

Сообщение от Axe67

компьютеры должны иметь доступ к сервисам сервера.

они и сейчас имеют, а компы из разных vlan должны видеть друг друга?

Сообщение от Axe67

доступ к управлению свитчем

Сообщение от Axe67

и только из VLAN100

а адрес managment свитча в каком vlan будет?
вообще надо полностью четко решить кому куда можно, кому нет

Сообщение от Axe67

DHCP-сервером должен быть роутер

да ради бога
http://habrahabr.ru/post/87920/
два пула делай, серверам статику обычно дают
ну или три пула, адреса серверов в dhcp excluded-address, остальные в сотом влане будут получать адреса по dhcp
lнастраивай сначала dhcp, чтобы выдавал адрес, шлюз и dns в подсети и четко скажи куда кому разрешено, какой влан будет для управления оборудованием (int vlan Х), после этого можно прикинуть по acl
по acl вот почитать что можно http://habrahabr.ru/post/147996/ первая часть статьи

@Axe67 · 02.12.2015, 22:31 **[ТС]**

настроил 2 пула на подсети dhcp таким образом
Router(config)#ip dhcp pool CLASS1
Router(dhcp-config)#network 10.13.13.32 255.255.255.240
Router(dhcp-config)#default-router 10.13.13.50
Router(dhcp-config)#dns-server 10.13.13.19
Router(dhcp-config)#ex
Router(config)#ip dhcp pool CLASS2
Router(dhcp-config)#network 10.13.13.48 255.255.255.240
Router(dhcp-config)#default-router 10.13.13.50
Router(dhcp-config)#dns-server 10.13.13.19
Все работает.
Ну и про ACL. По заданию:
"Доступ к управлению свитчем и роутером должен осуществляться только по протоколу SSH и только из сети с сервером (там по сути должен подключаться терминал). В любом классе должен быть доступ к сервисам сервера. Трафик между классами должен быть запрещен."
С ACL плохо знаком, максимум запрещал адреса смежных сетей или хостов в протоколе OSPF.

@insect_87 · 02.12.2015, 23:14

Сообщение от Axe67

Трафик между классами должен быть запрещен.

вот один подскажу
Router(config)#access-list 101 deny ip 10.13.13.32 0.0.0.15 10.13.13.48 0.0.0.15
Router(config)#access-list 101 permit ip any any
Router(config)#access-list 102 deny ip 10.13.13.48 0.0.0.15 10.13.13.32 0.0.0.15
Router(config)#access-list 102 permit ip any any
Router(config-subif)#int fa0/1.2
Router(config-subif)#ip access-group 101 in
Router(config-subif)#int fa0/1.3
Router(config-subif)#ip access-group 102 in
теперь друг друга не видят, сервера видят
насчет управления пробуй сам, потом посмотрим на компоновку

Сообщение от Axe67

С ACL плохо знаком

по ссылке читал?
что не получится подскажу

Добавлено через 4 минуты
во-первых реши в каком влане у тебя будут адреса для менеджмента
потом реши, правило для какого протокола написать? (может на какой конкретный порт?)
и в конце концов как разрешить управление только из сети с сервером, куда повесить правило?

@Axe67 · 03.12.2015, 14:28 **[ТС]**

Все разграничил, писал правила для udp на 53 порт (dns), но что-то не получилось. Работу приняли так) В понедельник в армию, с вашей помощью сдал экзамены досрочно, огромное спасибо

Тему можно считать закрытой.

@insect_87 · 03.12.2015, 19:51

давай! удачи отслужить

Cisco Packet Tracer создание сети с DHCP, VLAN и ACL

Решение

Решение

Решение

@Axe67 0 / 0 / 0 Регистрация: 04.12.2014 Сообщений: 12
		1
	Cisco Packet Tracer создание сети с DHCP, VLAN и ACL 02.12.2015, 20:04. Показов 7863. Ответов 7 Метки нет (Все метки) Необходимо спроектировать небольшую сеть с 3 подсетями и DNS-сервером. Изначально имеется сеть 10.13.13.0/24. Я разделил её на подсети и создал VLAN'ы. VLAN 100 c DNS-сервером, VLAN 200 и VLAN 300 - две аудитории с компьютерами. Собственно вопросы 1)Я сконфигурировал VLAN'ы но пинг не доходит до роутера, соединенного со свитчем, не знаю в чем проблема. 2)Так же интересно где лучше сконфигурировать DHCP на свитче или роутере, и каким образом назначить пулы под каждый влан. Пока что задал статичные адреса компьютерам. 3) Как задать ACL чтобы можно было подключаться из VLAN 100 с сервером к другим VLAN. Начальная конфигурация на скрине. 3.rar 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	02.12.2015, 20:37	2
	Сообщение было отмечено Axe67 как решение Решение 2) я бы сервер отдельный поставил и использовал ip helper-address 3) чтобы накатать acl, надо четко задачу поставить - кому куда можно, кому нельзя если acl нет - по умолчанию всем все разрешено *) межвиланную маршрутизацию я бы сделал на 3560 1) на gi0/1 на свитче инкапсуляцию не указал и транк не выставил Switch(config)#int gi0/1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk PS у dns-сервера нет адреса 1

@Axe67 0 / 0 / 0 Регистрация: 04.12.2014 Сообщений: 12
	02.12.2015, 20:59 [ТС]	3
	Спасибо, серверу не назначил адрес так как остановился на компьютерах, уже исправил. Поставил транк, но после чего стали пинговаться все устройства во всех вланах. Так и должно быть? Перечитал задание, DHCP-сервером должен быть роутер, доступ к управлению свитчем и портом должен осуществляться по протоколу SSH и только из VLAN100 (для чего как я понял и нужен ACL), компьютеры должны иметь доступ к сервисам сервера. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	02.12.2015, 21:23	4
	Сообщение было отмечено Axe67 как решение Решение Сообщение от Axe67 Так и должно быть? да, чтобы кто-то кого-то не видел при твоей схеме, надо access-list'ы повесить Сообщение от Axe67 компьютеры должны иметь доступ к сервисам сервера. они и сейчас имеют, а компы из разных vlan должны видеть друг друга? Сообщение от Axe67 доступ к управлению свитчем Сообщение от Axe67 и только из VLAN100 а адрес managment свитча в каком vlan будет? вообще надо полностью четко решить кому куда можно, кому нет Сообщение от Axe67 DHCP-сервером должен быть роутер да ради бога http://habrahabr.ru/post/87920/ два пула делай, серверам статику обычно дают ну или три пула, адреса серверов в dhcp excluded-address, остальные в сотом влане будут получать адреса по dhcp lнастраивай сначала dhcp, чтобы выдавал адрес, шлюз и dns в подсети и четко скажи куда кому разрешено, какой влан будет для управления оборудованием (int vlan Х), после этого можно прикинуть по acl по acl вот почитать что можно http://habrahabr.ru/post/147996/ первая часть статьи 1

@Axe67 0 / 0 / 0 Регистрация: 04.12.2014 Сообщений: 12
	02.12.2015, 22:31 [ТС]	5
	настроил 2 пула на подсети dhcp таким образом Router(config)#ip dhcp pool CLASS1 Router(dhcp-config)#network 10.13.13.32 255.255.255.240 Router(dhcp-config)#default-router 10.13.13.50 Router(dhcp-config)#dns-server 10.13.13.19 Router(dhcp-config)#ex Router(config)#ip dhcp pool CLASS2 Router(dhcp-config)#network 10.13.13.48 255.255.255.240 Router(dhcp-config)#default-router 10.13.13.50 Router(dhcp-config)#dns-server 10.13.13.19 Все работает. Ну и про ACL. По заданию: "Доступ к управлению свитчем и роутером должен осуществляться только по протоколу SSH и только из сети с сервером (там по сути должен подключаться терминал). В любом классе должен быть доступ к сервисам сервера. Трафик между классами должен быть запрещен." С ACL плохо знаком, максимум запрещал адреса смежных сетей или хостов в протоколе OSPF. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	02.12.2015, 23:14	6
	Сообщение было отмечено Axe67 как решение Решение Сообщение от Axe67 Трафик между классами должен быть запрещен. вот один подскажу Router(config)#access-list 101 deny ip 10.13.13.32 0.0.0.15 10.13.13.48 0.0.0.15 Router(config)#access-list 101 permit ip any any Router(config)#access-list 102 deny ip 10.13.13.48 0.0.0.15 10.13.13.32 0.0.0.15 Router(config)#access-list 102 permit ip any any Router(config-subif)#int fa0/1.2 Router(config-subif)#ip access-group 101 in Router(config-subif)#int fa0/1.3 Router(config-subif)#ip access-group 102 in теперь друг друга не видят, сервера видят насчет управления пробуй сам, потом посмотрим на компоновку Сообщение от Axe67 С ACL плохо знаком по ссылке читал? что не получится подскажу Добавлено через 4 минуты во-первых реши в каком влане у тебя будут адреса для менеджмента потом реши, правило для какого протокола написать? (может на какой конкретный порт?) и в конце концов как разрешить управление только из сети с сервером, куда повесить правило? 1

@Axe67 0 / 0 / 0 Регистрация: 04.12.2014 Сообщений: 12
	03.12.2015, 14:28 [ТС]	7
	Все разграничил, писал правила для udp на 53 порт (dns), но что-то не получилось. Работу приняли так) В понедельник в армию, с вашей помощью сдал экзамены досрочно, огромное спасибо Тему можно считать закрытой. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	03.12.2015, 19:51	8
	давай! удачи отслужить 0