ESERCIZIO N. 7.1 DMZ

Documenti analoghi
Corso di Reti Avanzate - Esercitazioni di Laboratorio LEZIONE 5 NAT ESERCIZIO N. 5.1 NAT/PAT DINAMICO

ESERCIZIO N. 6.1 ACL BASE

Corso di Reti Avanzate Esercitazioni di Laboratorio LEZIONE 4 ROUTING ESERCIZIO N ROUTING STATICO

LEZIONE 2 SWITCHING AVANZATO

LEZIONE 4 ROUTING BASE e NAT

LEZIONE 6 DHCP & NAT

ESERCIZIO N. 1.2 VLAN BASE

LEZIONE 3 INTRA-VLAN ROUTING

Prova 2-8 Luglio 2016

Con per la prima rete e per la seconda rete. La configurazione della rete sarà la seguente:

Autore: Bandiera Roberto 2016

Comandi per configurare un dispositivo Cisco

Reti di Comunicazione e Internet

Antonio Cianfrani. Configurazione di un Router CISCO A.A. 2015/2016

il Laboratorio Cisco ed il Router Cisco 2600

02/10/2015 SISTEMI E RETI. Router Cisco. Parte 2 - IOS. A cura dell Ing. Claudio Traini. router. sottoreti. terminali

Routing IP A.A. 2006/2007. Walter Cerroni. Routing gerarchico in Internet

ACCESS CONTROL LIST. ACCESS CONTROL LIST standard

MC-link. Connessione e configurazione del router PRESTIGE 642R per l accesso ad MC-link in ADSL a cura del supporto tecnico di MC-link

Reti di Comunicazione e Internet

Esempio di rete elementare con router

Seconda Prova in itinere Esempio

Programmazione di Rete

Reti di Comunicazione e Internet

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

Autore: Bandiera Roberto 2016

Antonio Cianfrani. Standard Access Control List (ACL)

Introduzione al NATTING

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

Laboratorio di Reti di Comunicazione ed Internet Mod.2

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

Se per esempio inserisco show version ecco il risultato. Con il comando enable entro in privilege mode.

Reti di Comunicazione e Internet

Appello Esempio d esame. Es1 (6 pt) Es2 (6 pt) Es3 (6 pt) Ques (9 pt) Lab (6pt)

SORGENTE] INDIRIZZO DESTINAZIONE INDIRIZZO DESTINAZIONE WILD CARD

NAT: Network Address Translation

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN di a con gli opportuni ip:

4b. Esercizi sul livello di Rete Inoltro in IP

Questa configurazione non offre alcuna protezione. Si usa un hub che serve per "condividere" la connessione a internet su tutte le sue porte.

Configurazione di una rete

Atlantis Land Technical Resources Product: A02-RA3/ A02-RA3+ / A02-WRA4-54G /A02-RA440 Subject: True DMZ Language: Italiano

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

Tabelle ARP nel router da A. Veneziani Rete elementare con router 1

RETI DI CALCOLATORI II

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway


Esame completo - 27 Settembre 2016

Prima prova parziale traccia della soluzione

Capitolo 2 Configurazione di base di un sistema operativo di rete

YABC - ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Packet Tracer: simulatore di RETE. (Router.pkt)

Appello 18 Luglio Importante: usare lo spazio dopo ogni esercizio per le risposte. Esercizio 1 Esercizio 2 Esercizio 3 Domande Laboratorio

ITIS Fauser Novara Sistemi e reti prof. R. Fuligni

Infrastrutture e Protocolli per Internet Laboratorio 4

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

LEZIONE 1 SWITCHING ESERCIZIO N. 1.1 SWITCH BASE

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

Laboratorio di Reti di Comunicazione ed Internet Mod.2

INFOCOM Dept. Antonio Cianfrani

RIPv1 nei router Cisco

Guida rapida alla configurazione della rete per centrali lares

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

LAYER 3 E MULTILAYER SWITCH

Antonio Cianfrani. Introduzione A.A. 2015/2016

Creazione di un flusso audio base tra dispositivi Barix

II prova in itinere - Rete Internet (ing. Giovanni Neglia)

Antonio Cianfrani. Dynamic Host Configuration Protocol (DHCP)

Sicurezza applicata in rete

Configurare router Cisco 827 per Alice con PPPoA

CONFIGURAZIONE BASE DEI ROUTER

Internet Protocol Versione 4: instradamento e routing. Aspetti di forwarding e routing del protocollo IPv4

PIANO DI LAVORO. Programmazione Didattica per Competenze. Indirizzo Informatica e Telecomunicazioni. Articolazione Informatica

RTT costante pari a 0.5 secondi; primo RTO= 2*RTT;

Esempio quesiti d esame per il laboratorio del corso. Reti di Comunicazione ed Internet Mod 2, Prof. G. A. Maier

Manuale di Configurazione Parametri di Rete

Network Address Translation

Esempio di rete aziendale

Reti (introduzione) Internet in breve: insieme di reti locali (LAN) interconnesse da router. 2 tipi di LAN

Packet Tracer: simulare utility PING

Politecnico di Milano Advanced Network Technologies Laboratory. Esercizi Inoltro

Router(config)# access-list access-list number {permit deny} {test-conditions}

MC-link Lan+ Connessione e configurazione del router PRESTIGE 100

Cisco Internetwork Operating System. Introduzione

Reti di Comunicazione e Internet - MOD2

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Atlantis Land Technical Resources Product: A02-RA3/ A02-RA3+ / A02-WRA4-54G /A02-RA440 Subject: MultiNAT e One-to-One NAT Language: Italiano

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Proteggere la rete I FIREWALL (seconda parte)

Reti di Comunicazione e Internet

Manuale di installazione router modem ADSL generico

Appello 20 Luglio Tempo a disposizione per lo svolgimento: 2 ore Avvertenza: Si usi lo spazio dopo ogni quesito per lo svolgimento.

Progettazione di reti locali con switch di livello 3

Domande frequenti: KWB Comfort Online

Introduzione. Il routing permette la comunicazione tra due nodi differenti anche se non sono collegati direttamente

Master in Information Technology

Laboratorio di Reti di Comunicazione ed Internet - Mod 2

Introduzione alla rete Internet

SUPPORTO TECNICO ROUTER ADSL OFFICE CONNECTION CREATO DA FABIO SCARDONI

Configurazione delle interfacce di rete

Transcript:

ESERCIZIO N. 7.1 DMZ Obiettivo Si vuole collegare ad Internet una LAN, disegnata a sinistra, composta da: un router R2 (Cisco User-Defined con tre interfacce Ethernet e nessuna porta seriale) avente funzionalità di firewall packet filtering una Intranet (rappresentata dal PC di indirizzo 193.205.1.10 (collegato al router R2 mediante uno switch Cisco 2950), sul quale è disponibile il server web della intranet una DMZ, nella quale è situato un Web server che risponde all'indirizzo IP 193.205.101.10. Tale web server è collegato al router R2 mediante uno switch Cisco 2950 Per eseguire il collegamento ad Internet si è acquistato il router R1 (Cisco 2620) e lo si è connesso alla rete del provider con indirizzo IP 193.205.210.254 1

NOTE: Per semplicità di configurazione, si rappresenta la rete Internet esterna con il solo router R1 di tipo Cisco 2620, fornito dal provider, che vede collegato, tramite switch Cisco 2950, un Web Server avente indirizzo IP 193.205.210.1 Sempre per semplicità ed evitare l'introduzione di regole di natting,vengono usati, per gli indirizzi del router R2, indirizzi pubblici al posto di indirizzi privati; in una situazione reale l'uso di indirizzi pubblici per host non visibili su Internet è sconsigliato, consentendo le tecniche di natting il risparmio di indirizzi IP pubblici e maggior sicurezza. Il firewall, rappresentato dal router R2 con tre schede di rete, va configurato con delle semplici regole di packet filtering. Non si applicano protezioni (consigliate) del tipo stateful inspection o proxy, per esigenze di semplicità dell esercizio. Fare attenzione ai cavi: Netsimk controlla anche che il tipo di cavo di collegamento sia quello corretto. Usare sempre un cavo incrociato per collegare due router ed un cavo seriale per collegare ad un dispositivo di rete il PC da usare per la configurazione. Il bottone CHECK CONFIGURATION di Netsimk evidenzia gli eventuali errori. SCOPO DELL'ESERCIZIO Si devono porre in essere delle ACL extended (*) sul router R2, che funge da firewall three-legged di tipo packet filtering, in modo che non sia, in alcun modo, possibile collegarsi, dall'esterno, al server web della rete Intranet. Il server web in Intranet deve essere raggiungibile dal solo host della DMZ L'host in Intranet deve potersi collegare a qualsiasi host esterno (quindi deve essere consentito il traffico di risposta (**)). Tutti i pacchetti ICMP devono essere disabilitati ad eccezione del ping (*) Con il termine ACL extended si intendono le regole, aventi numerazione compresa fra 100 e 199, che consentono di autorizzare o bloccare i pacchetti in base ai valori di indirizzo IP sorgente, maschera, porta sorgente, indirizzo IP destinatario, maschera, porta destinatario (**) Non si può applicare l opzione established che autorizza i pacchetti di ritorno (pacchetti con flag ACK/RST on) in quanto il simulatore non implementa questa 2

possibilità. Per autorizzare il ritorno dei pacchetti si deve far ricorso quindi alle porte efemerali. R1: SOLUZIONE Colleghiamo un pc a R1 con un cavo console e apriamo Hyperterm R1#enable R1#conf t Impostiamo il nome del Router Router(config)#hostname R1 Configuriamo l interfaccia Fastethernet 0/0 R1(config)#interface f0/0 R1(config-if)#ip address 193.205.200.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit Configuriamo l interfaccia Fastethernet 0/1 R1(config)#interface f0/1 R1(config-if)#ip address 193.205.210.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit Controlliamo di aver configurato correttamente R1>sh ip interface brief Any interface listed with OK? value "NO" does not have a valid configuration Interface IP-Address OK? Method Status Protocol FastEthernet0/0 193.205.200.254 YES manual up down FastEthernet0/1 193.205.210.254 YES manual up up Serial0/0 unassigned YES unset administratively down down Serial0/1 unassigned YES unset administratively down down Serial0/2 unassigned YES unset administratively down down 3

R2: Colleghiamo un pc a R2 con un cavo console e apriamo Hyperterm Router>enable Router#configure terminal Impostiamo il nome del Router Router(config)#hostname R2 Configuriamo l interfaccia Fastethernet 0/0 R2(config)#int f0/0 R2(config-if)#ip address 193.205.200.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)# Configuriamo l interfaccia Fastethernet 0/1 R2(config)#int f0/1 R2(config-if)#ip address 193.205.101.254 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit R2(config)# Configuriamo l interfaccia Fastethernet 0/2 R2(config)#int f0/2 R2(config-if)#ip address 193.205.1.254 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)# Verifichiamo la tabella di routing (si vedono le interfacce direttamente connesse) R2#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C 193.205.1.0/24 is directly connected to FastEthernet0/2 C 193.205.101.0/24 is directly connected to FastEthernet0/1 4

C 193.205.200.0/24 is directly connected to FastEthernet0/0 Inseriamo le rotte statiche necessarie per l'accesso alla rete Internet di esempio R2(config)#ip route 193.205.210.0 255.255.255.0 193.205.200.254 R2(config)#exit R2#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C 193.205.1.0/24 is directly connected to FastEthernet0/2 C 193.205.101.0/24 is directly connected to FastEthernet0/1 C 193.205.200.0/24 is directly connected to FastEthernet0/0 S 193.205.210.0/24 [1/0] via 193.205.200.254 00.00.30 F0/0 Ovviamente sarebbe corretto,in una situazione reale, inserire il next hop con un comando del tipo ip route 0.0.0.0 0.0.0.0 193.205.200.254. In questo esercizio la rete Internet è simulata dall unico server web appartenente alla sottorete 193.205.210.0 e quindi ci si può limitare a definire la route per questa rete specifica. R1: Torniamo ora ad R1 e verifichiamo la tabella di instradamento R1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C 193.205.200.0/24 is directly connected to FastEthernet0/0 C 193.205.210.0/24 is directly connected to FastEthernet0/1 5

Inseriamo gli instradamenti per le sottoreti collegate al router R2 R1(config)#ip route 193.205.101.0 255.255.255.0 193.205.200.1 R1(config)#ip route 193.205.1.0 255.255.255.0 193.205.200.1 R1(config)#exit Controlliamo nuovamente le tabelle di instradamento R1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S 193.205.1.0/24 [1/0] via 193.205.200.1 00.02.27 F0/0 S 193.205.101.0/24 [1/0] via 193.205.200.1 00.02.28 F0/0 C 193.205.200.0/24 is directly connected to FastEthernet0/0 C 193.205.210.0/24 is directly connected to FastEthernet0/1 Si noti che le rotte definite manualmente vengono evidenziate con il codice S(static). Configuriamo ora gli indirizzi ip dei server della Intranet, della DMZ e del server http in Intranet: Server http in Internet Indirizzo IP da assegnare al server telnet in Intranet: 193.205.1.10 255.255.255.0 Gateway: 193.205.1.254 Da questo host proviamo a pingare tutte le interfacce di rete dei router. Noteremo che il ping avviene senza problemi, in quanto le tabelle di routing sono correttamente configurate. Inoltre a questo punto non sono state ancora attivate delle ACL. Infine attiviamo su questo host l'http server (basta attivare il relativo flag nella finestra richiamabile dall icona Server Applications). Server http in DMZ Indirizzo IP del server web in DMZ : 193.205.101.10 255.255.255.0 Gateway: 193.205.1.254 Anche su questo host, configurato l'indirizzo IP, attiviamo l'http server. 6

Da questo host proviamo a pingare tutte le interfacce di rete dei router ed il server in Intranet. Noteremo che il ping avviene senza problemi. Proviamo anche ad aprire Internet Explorer (disattivando il proxy se presente usando il bottone PROXY nell'interfaccia del browser) e verifichiamo che sia possibile dalla DMZ connettersi al server web in Intranet (193.205.1.10) Verifichiamo anche il contrario ossia che da 193.205.1.10 sia raggiungibile il server http in DMZ (ricordarsi di disattivare in IE il proxy se impostato) Server http in Intranet Indirizzo IP del server web in Internet : 193.205.210.1 255.255.255.0 Gateway: 193.205.210.254 Dopo aver configurato l'indirizzo IP attiviamo l'http server. Da questo host proviamo a pingare tutte le interfacce di rete dei router ed i server in Intranet e DMZ. Anche da questo host il ping avviene senza problemi. Proviamo anche ad aprire Internet Explorer (disattivando l'eventuale proxy se presente) e verifichiamo che sia possibile connettersi al server web in Intranet (193.205.1.10) e DMZ (193.205.101.10). Controlliamo infine che l'http server sia accessibile da DMZ ed Intranet. Verificata la corretta configurazione della rete andiamo ora ad impostare le ACL che soddisfino i requisiti di sicurezza richiesti dall'esercizio. Andiamo quindi a configurare il nostro firewall (R2), in modo da consentire l'accesso al solo server web della DMZ isolando completamente la rete Internet. Inoltre disabilitiamo completamente il protocollo ICMP ad eccezione delle risposte (echo-reply) al comando ping inviato da Intranet e DMZ. L'interfaccia che considereremo è quella che invia/riceve il traffico a/da Internet ossia l'interfaccia f0/0 che ha indirizzo IP 193.205.200.1. Le regole che verranno definite saranno applicate (con comando access-group.. in) al traffico in ingresso su questa interfaccia. Quando si definiscono delle ACL è sempre importante non far confusione sul senso del traffico. Per traffico di tipo in si intende quello che entra nel router; analogamente il traffico di tipo out è quello che lascia il router. 7

Per il traffico in uscita dal router sull interfaccia f0/0, non vengono definite, in questo esercizio, delle regole di filtering e quindi tutto il traffico in uscita verso Internet sarà permesso. Andiamo quindi su R2 R2#configure terminal Impostiamo l ACL per i pacchetti tcp in entrata sull interfaccia f0/0 (inbound) permettiamo tutto il traffico http, qualsiasi sia l'host di provenienza, diretto al server web in DMZ avente indirizzo 193.205.101.10 R2(config)#access-list 110 permit tcp any 193.205.101.10 0.0.0.0 eq 80 consentiamo inoltre solo il traffico icmp di risposta al ping inviato R2(config)#access-list 110 permit icmp any any echo-reply Nota: le regole sopra descritte, essendo di tipo extended, devono essere numerate con un valore compreso fra 100 e 199 A questo punto i requisiti sembrerebbero soddisfatti; si potrebbero applicare quindi le ACL all'interfaccia f0/0. Notiamo però che, essendo bloccato tutto il traffico TCP in ingresso sull'interfaccia f0/0, ad eccezione di quello diretto alla porta 80 del web server in DMZ, l'host in Intranet non riceverebbe risposta qualora si collegasse al server web in Internet. Infatti quando un client della Intranet si collega al server web in Internet riceve i pacchetti di risposta su porte efemerali (porta >= 1024) e questo tipo di traffico viene bloccato con le regole finora impostate. Lo stesso accade per la DMZ. Occorre quindi fare in modo che i pacchetti diretti alle porte efemerali del server web in Intranet, in risposta a pacchetti inviati precedentemente, possano passare attraverso il firewall. L'attuale versione di Netsimk non prevede l'utilizzo del parametro established (es. access-list 110 tcp any <Intranet network address> established) che consentirebbe il 8

transito del traffico di risposta (ossia ai pacchetti con flag ACK/RST on). Decidiamo quindi di lasciar passare, fra i pacchetti destinati alla Intranet, solo quelli destinati alle porte efemerali, assumendo, per questo solo fatto, che si tratti di pacchetti di risposta a richieste provenienti dalla Intranet. Lo stesso andrebbe fatto per la DMZ ma, ai fini dell'esercizio, effettuiamo le modifiche solo per la Intranet. Ovviamente l'apertura delle porte efemerali costituirebbe un problema di sicurezza nel caso fosse presente un trojan sul web server della Intranet in ascolto su una di queste porte. Questa è una delle ragioni che hanno portato nel tempo all introduzione di regole stateful inspection, che però esulano dal contesto di questo esercizio. Definiamo quindi la regola che consente il passaggio del traffico di risposta sull'interfaccia f0/0 ed inseriamo le regole per bloccare tutto il traffico rimanente. permettiamo tutto il traffico di ritorno diretto al server web Intranet; per ora non abilitiamo il traffico in risposta alla DMZ R2(config)#access-list 110 permit tcp any 193.205.1.10 0.0.0.0 gt 1024 Per controllare che tutto sia a posto eseguiamo il comando show access -list. R2#sh access-lists access-list 110 permit tcp any host 193.205.101.10 eq www access-list 110 permit icmp any any echo-reply access-list 110 permit tcp any host 193.205.1.10 gt 1024 R2 E' importante ricordare che il router applica, per ogni pacchetto, le regole, nello stesso ordine con il quale sono state scritte e che se nessuna delle regole è soddisfatta il pacchetto viene scartato. Applichiamo infine l ACL all interfaccia Fastethernet 0/0 per il traffico inbound R2(config)#interface F0/0 applichiamo le regole identificate dalla chiave 110 al traffico inbound (in), ossia ai pacchetti che arrivano da altre reti su questa interfaccia ed entrano 9

nel router; se invece si trattasse di applicare delle regole ai pacchetti uscenti la parola da usare sarebbe out (outbound) R2(config-if)#ip access-group 110 in R2(config-if)#exit Verifichiamo quindi che: da Internet sia raggiungibile il server web in DMZ ma non quello Intranet da Intranet siano raggiungibili i server web Internet e DMZ non sia possibile il ping dall'esterno né della DMZ né di Intranet Potremo anche notare che da DMZ non si riesce a raggiungere Internet. Questo dipende dal fatto che non è stata configurata la regola per lasciare passare i pacchetti di risposta all'host in DMZ. Lasciamo agli studenti il compito di implementare tale regola. 10

ESERCIZIO N. 7.2 Esercizio Riepilogo Obiettivo: si vuole costruire la rete rappresentata nello schema, attraverso 4 router Cisco 2620 fra loro collegati attraverso ethernet link e link seriali basati su leased line (linea dedicata di tipo T1/E1) con velocità 64K. a) Configurare gli apparati dando gli hostname e impostando le rotte dinamiche tramite il protocollo RIP assicurandosi la raggiungibilità di ogni apparato tramite il ping. b) Provare a disattivare uno qualsiasi dei link fra i router dell'anello (settando down una delle due porte del link oppure eliminando il cavo) e verificare cosa succede alle tabelle di routing. c) Controllare che ogni PC pinghi correttamente i rimanenti, a riprova che il RIP ha sistemato correttamente le tabelle di routing, 11

SOLUZIONE: Si configurano gli ip e i default gateway dei PC come visto nelle lezioni precedenti. CONFIGURIAMO LO SWITCH SW1: Switch>enable Switch#configure terminal Switch(config)#hostname SW1 SW1(config)#interface vlan 1 SW1(config-if)#ip address 192.168.1.2 255.255.255.0 SW1(config-if)#exit SW1(config)#ip default-gateway 192.168.1.1 SW1(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW1(config)#exit CONFIGURIAMO LO SWITCH SW2: Switch>enable Switch#configure terminal Switch(config)#hostname SW2 SW2(config)#interface vlan 1 SW2(config-if)#ip address 192.168.3.2 255.255.255.0 SW2(config-if)#exit SW2(config)#ip default-gateway 192.168.3.1 SW2(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW2(config)#exit CONFIGURIAMO LO SWITCH SW3: Switch>enable Switch#configure terminal Switch(config)#hostname SW3 SW3(config)#interface vlan 1 SW3(config-if)#ip address 192.168.2.2 255.255.255.0 SW3(config-if)#exit SW3(config)#ip default-gateway 192.168.2.1 SW3(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW3(config)#exit 12

CONFIGURIAMO LO SWITCH SW4: Switch>enable Switch#configure terminal Switch(config)#hostname SW4 SW4(config)#interface vlan 1 SW4(config-if)#ip address 192.168.4.2 255.255.255.0 SW4(config-if)#exit SW4(config)#ip default-gateway 192.168.4.1 SW4(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW4(config)#exit CONFIGURIAMO IL ROUTER R1: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R1 Configuriamo l interfaccia FastEthernet 0/0 R1(config)#interface F0/0 R1(config-if)#ip address 172.16.0.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit Configuriamo l interfaccia FastEthernet 0/1 R1(config)#interface F0/1 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R1(config-if)#exit Configuriamo l interfaccia Serial 0/0 R1(config)#interface S0/0 R1(config-if)#ip address 172.16.0.5 255.255.255.252 R1(config-if)#no shutdown R1(config-if)# %LDXX - Interface Serial0/0, changed state to down R1(config-if)#exit 13

Guardo se è DCE o DTE R1(config)#exit R1#show controllers S0/0 <Blah blah blah for a few lines> buffer size 1524 HD unit -1, V.35 DCE cable, no clock <Blah blah blah for LOTS more lines... E DCE quindi devo impostare il Clock su questa interfaccia R1#configure terminal R1(config)#interface S0/0 R1(config-if)#clock rate 64000 R1(config-if)#exit Abilito il RIP versione 2 (in quanto la versione 1 non supporta reti con netmask differenti) R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network 192.168.1.0 R1(config-router)#network 172.16.0.0 R1(config-router)#network 172.16.0.4 R1(config-router)#exit CONFIGURIAMO IL ROUTER R2: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R2 Configuriamo l interfaccia FastEthernet 0/0 R2(config)#interface F0/0 R2(config-if)#ip address 172.16.0.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)# %LDXX - Line protocol on Interface FastEthernet0/0, changed state to up R2(config-if)#exit Configuriamo l interfaccia FastEthernet 0/1 R2(config)#interface F0/1 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R2(config-if)# exit 14

Configuriamo l interfaccia Serial 0/0 R2(config)#interface S0/0 R2(config-if)#ip address 172.16.0.13 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit Guardo se è DCE o DTE R2#show controllers S0/0 <Blah blah blah for a few lines> buffer size 1524 HD unit -1, V.35 DTE cable (no clock detected) <Blah blah blah for LOTS more lines... E DTE quindi devo impostare il Clock sull interfaccia alla parte opposta del cavo. Abilito il RIP R2#configure terminal R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network 192.168.2.0 R2(config-router)#network 172.16.0.0 R2(config-router)#network 172.16.0.12 R2(config-router)#exit CONFIGURIAMO IL ROUTER R3: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R3 Configuriamo l interfaccia FastEthernet 0/0 R3(config)#interface F0/0 R3(config-if)#ip address 172.16.0.10 255.255.255.252 R3(config-if)#no shutdown R3(config-if)#exit 15

Configuriamo l interfaccia FastEthernet 0/1 R3(config)#interface F0/1 R3(config-if)#ip address 192.168.3.1 255.255.255.0 R3(config-if)#no shutdown %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R3(config-if)#exit Configuriamo l interfaccia Serial 0/0 R3(config)#interface S0/0 R3(config-if)#ip address 172.16.0.14 255.255.255.252 R3(config-if)#clock rate 64000 R3(config-if)#no shutdown R3(config-if)# %LDXX - Line protocol on Interface Serial0/0, changed state to up R3(config-if)#exit Abilito il RIP sulle tre reti connesse al nostro router R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network 192.168.3.0 R3(config-router)#network 172.16.0.8 R3(config-router)#network 172.16.0.12 R3(config-router)#exit CONFIGURIAMO IL ROUTER R4: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R4 Configuriamo l interfaccia FastEthernet 0/0 R4(config)#interface F0/0 R4(config-if)#ip address 172.16.0.9 255.255.255.252 R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface FastEthernet0/0, changed state to up R4(config-if)#exit 16

Configuriamo l interfaccia FastEthernet 0/1 R4(config)#interface F0/1 R4(config-if)#ip address 192.168.4.1 255.255.255.0 R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R4(config-if)#exit Configuriamo l interfaccia Serial 0/0 R4(config)#interface S0/0 R4(config-if)#ip address 172.16.0.6 255.255.255.252 R4(config-if)#clock rate 64000 R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface Serial0/0, changed state to up R4(config-if)#exit R4(config)#exit Guardiamo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network 172.16.0.0 is subnetted, 2 subnets C 172.16.0.4/30 is directly connected to Serial0/0 C 172.16.0.8/30 is directly connected to FastEthernet0/0 C 192.168.4.0/24 is directly connected to FastEthernet0/1 Abilito il RIP sulle tre reti connesse al nostro router R4#configure terminal R4(config)#router rip R4(config-router)#version 2 R4(config-router)#network 172.16.0.4 R4(config-router)#network 172.16.0.8 R4(config-router)#network 192.168.4.0 R4(config-router)#interface F0/1 R4(config-if)#ip address 192.168.4.1 255.255.255.0 R4(config-if)#exit R4(config)#exit 17

Andiamo quindi a vedere di nuovo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network 172.16.0.0 is subnetted, 4 subnets R 172.16.0.0/30 [120/1] via 172.16.0.5 00.00.03 S0/0 C 172.16.0.4/30 is directly connected to Serial0/0 C 172.16.0.8/30 is directly connected to FastEthernet0/0 R 172.16.0.12/30 [120/1] via 172.16.0.10 00.00.01 F0/0 R 192.168.1.0/24 [120/1] via 172.16.0.5 00.00.03 S0/0 R 192.168.2.0/24 [120/2] via 172.16.0.5 00.00.03 S0/0 R 192.168.3.0/24 [120/1] via 172.16.0.10 00.00.01 F0/0 C 192.168.4.0/24 is directly connected to FastEthernet0/1 Come si può vedere è sono state aggiunte le nuove entry per le reti 192.168.1.0, 192.168.2.0, 192.168.3.0, 172.16.0.0 e 172.16.0.12 Testiamo ora se il PC1 riesce a raggiungere gli altri PC, gli SWITCH e i ROUTERS PC 2: C:>ping 192.168.1.11 Pinging 192.168.1.11 with 32 bytes of data: Reply from 192.168.1.11 on Eth, time<10ms TTL=128 Reply from 192.168.1.11 on Eth, time<10ms TTL=128 Reply from 192.168.1.11 on Eth, time<10ms TTL=128 Reply from 192.168.1.11 on Eth, time<10ms TTL=128 SW 1: C:>ping 192.168.1.2 Pinging 192.168.1.2 with 32 bytes of data: Reply from 192.168.1.2 on Eth, time<10ms TTL=128 Reply from 192.168.1.2 on Eth, time<10ms TTL=128 Reply from 192.168.1.2 on Eth, time<10ms TTL=128 Reply from 192.168.1.2 on Eth, time<10ms TTL=12 18

R1 F0/1: C:>ping 192.168.1.1 Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 R1 F0/0: C:>ping 172.16.0.1 Pinging 172.16.0.1 with 32 bytes of data: Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 R2 F0/0: C:>ping 172.16.0.1 Pinging 172.16.0.1 with 32 bytes of data: Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 Reply from 192.168.1.1 on Eth, time<10ms TTL=80 R2 F0/1: C:>ping 192.168.2.1 Pinging 192.168.2.1 with 32 bytes of data: Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 SW 3: C:>ping 192.168.2.2 Pinging 192.168.2.2 with 32 bytes of data: Reply from 192.168.2.2 on Eth, time<10ms TTL=126 Reply from 192.168.2.2 on Eth, time<10ms TTL=126 Reply from 192.168.2.2 on Eth, time<10ms TTL=126 Reply from 192.168.2.2 on Eth, time<10ms TTL=126 19

PC 5: C:>ping 192.168.2.10 Pinging 192.168.2.10 with 32 bytes of data: Reply from 192.168.2.10 on Eth, time<10ms TTL=126 Reply from 192.168.2.10 on Eth, time<10ms TTL=126 Reply from 192.168.2.10 on Eth, time<10ms TTL=126 Reply from 192.168.2.10 on Eth, time<10ms TTL=126 PC 6: C:>ping 192.168.2.11 Pinging 192.168.2.11 with 32 bytes of data: Reply from 192.168.2.11 on Eth, time<10ms TTL=126 Reply from 192.168.2.11 on Eth, time<10ms TTL=126 Reply from 192.168.2.11 on Eth, time<10ms TTL=126 Reply from 192.168.2.11 on Eth, time<10ms TTL=126 R2 S0/0: C:>ping 172.16.0.13 Pinging 172.16.0.13 with 32 bytes of data: Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 Reply from 172.16.0.2 on Eth, time<10ms TTL=79 R3 S0/0: C:>ping 172.16.0.14 Pinging 172.16.0.14 with 32 bytes of data: Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 R3 F0/1: C:>ping 192.168.3.1 Pinging 192.168.3.1 with 32 bytes of data: Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 20

SW 2: C:>ping 192.168.3.2 Pinging 192.168.3.2 with 32 bytes of data: Reply from 192.168.3.2 on Eth, time<10ms TTL=125 Reply from 192.168.3.2 on Eth, time<10ms TTL=125 Reply from 192.168.3.2 on Eth, time<10ms TTL=125 Reply from 192.168.3.2 on Eth, time<10ms TTL=125 PC 3: C:>ping 192.168.3.10 Pinging 192.168.3.10 with 32 bytes of data: Reply from 192.168.3.10 on Eth, time<10ms TTL=125 Reply from 192.168.3.10 on Eth, time<10ms TTL=125 Reply from 192.168.3.10 on Eth, time<10ms TTL=125 Reply from 192.168.3.10 on Eth, time<10ms TTL=125 PC 4: C:>ping 192.168.3.11 Pinging 192.168.3.11 with 32 bytes of data: Reply from 192.168.3.11 on Eth, time<10ms TTL=125 Reply from 192.168.3.11 on Eth, time<10ms TTL=125 Reply from 192.168.3.11 on Eth, time<10ms TTL=125 Reply from 192.168.3.11 on Eth, time<10ms TTL=125 R3 F0/0: C:>ping 172.16.0.10 Pinging 172.16.0.10 with 32 bytes of data: Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 Reply from 172.16.0.14 on Eth, time<10ms TTL=78 R4 F0/0: C:>ping 172.16.0.9 Pinging 172.16.0.9 with 32 bytes of data: Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 21

R4 F0/1: C:>ping 192.168.4.1 Pinging 192.168.4.1 with 32 bytes of data: Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 Reply from 172.16.0.6 on Eth, time<10ms TTL=79 SW 4: C:>ping 192.168.4.2 Pinging 192.168.4.2 with 32 bytes of data: Reply from 192.168.4.2 on Eth, time<10ms TTL=126 Reply from 192.168.4.2 on Eth, time<10ms TTL=126 Reply from 192.168.4.2 on Eth, time<10ms TTL=126 Reply from 192.168.4.2 on Eth, time<10ms TTL=126 PC 7: C:>ping 192.168.4.11 Pinging 192.168.4.11 with 32 bytes of data: Reply from 192.168.4.11 on Eth, time<10ms TTL=126 Reply from 192.168.4.11 on Eth, time<10ms TTL=126 Reply from 192.168.4.11 on Eth, time<10ms TTL=126 Reply from 192.168.4.11 on Eth, time<10ms TTL=126 PC 8: C:>ping 192.168.4.12 Pinging 192.168.4.12 with 32 bytes of data: Reply from 192.168.4.12 on Eth, time<10ms TTL=126 Reply from 192.168.4.12 on Eth, time<10ms TTL=126 Reply from 192.168.4.12 on Eth, time<10ms TTL=126 Reply from 192.168.4.12 on Eth, time<10ms TTL=126 22

SIMULAZIONE DI UNA CADUTA DI UN LINK Andiamo sul router R4 e guardiamo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network 172.16.0.0 is subnetted, 4 subnets R 172.16.0.0/30 [120/1] via 172.16.0.5 00.00.01 S0/0 C 172.16.0.4/30 is directly connected to Serial0/0 C 172.16.0.8/30 is directly connected to FastEthernet0/0 R 172.16.0.12/30 [120/1] via 172.16.0.10 00.00.04 F0/0 R 192.168.1.0/24 [120/1] via 172.16.0.5 00.00.01 S0/0 R 192.168.2.0/24 [120/2] via 172.16.0.5 00.00.01 S0/0 R 192.168.3.0/24 [120/1] via 172.16.0.10 00.00.04 F0/0 C 192.168.4.0/24 is directly connected to FastEthernet0/1 Poniamo l attenzione sulla rete 192.168.2.0 dalle tabelle di routing; vediamo che il RIP instradera i pacchetti via R1 (172.16.0.5). Simuliamo ora la caduta del link tra R4 e R1 e vediamo come agisce il RIP. R4#configure terminal R4(config)#interface S0/0 R4(config-if)#shutdown R4(config-if)# %LDXX - Interface Serial0/0, changed state to administratively down %LDXX - Line protocol on Interface Serial0/0, changed state to down Attendiamo 30 secondi e riguardiamo le tabelle di routing R3(config-router)#exit R3(config)#exit R3#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network 172.16.0.0 is subnetted, 3 subnets 23

R 172.16.0.0/30 [120/1] via 172.16.0.13 00.00.01 S0/0 C 172.16.0.8/30 is directly connected to FastEthernet0/0 C 172.16.0.12/30 is directly connected to Serial0/0 R 192.168.1.0/24 [120/2] via 172.16.0.13 00.00.01 S0/0 R 192.168.2.0/24 [120/1] via 172.16.0.13 00.00.01 S0/0 C 192.168.3.0/24 is directly connected to FastEthernet0/1 R 192.168.4.0/24 [120/1] via 172.16.0.9 00.00.00 F0/0 Vediamo che il RIP ha ricalcolato le nuove rotte per le reti 192.168.1.0, 192.168.2.0 24

25

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back