DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS ... · Izveidot tīkla iekārtu konfigurācijas vispārīgu modeli, izmantojot Cisco Packet Tracer tīklu modelēšanas rīku

ALBERTA KOLEDŽA

Informācijas tehnoloģiju programma

ANDRIS LOSKUTOVS

Kursa darbs studiju kursā „Datortīkli”

DATORTĪKLA IZVEIDE UN

KONFIGURĒŠANA MAZOS UN VIDĒJOS

UZŅĒMUMOS, IZMANTOJOT CISCO

IEKĀRTAS

Specializācija: Datortīklu administrēšana

Kursa darba vadītājs: .... Dr. sc. comp., docents Valdis Vītoliņš __________ (paraksts, datums)

Students: ____________________ (paraksts, datums)

Rīga-2014

2

SATURS

IEVADS .......................................................................................................................................... 3

1. UZŅĒMUMA TĪKLA PLĀNOŠANA .................................................................................. 4

1.1. Uzņēmuma esošās infrastruktūras vērtēšana ............................................................................ 4

1.2. Loģiskā topoloģija........................................................................................................................ 5

1.2.1. Slēgumu veidi ........................................................................................................ 5

1.2.2. Iekārtu savstarpējās saslēgšanas risinājumi ........................................................... 8

1.2.3. Drošības risinājumi .............................................................................................. 14

1.3. Fiziskā topoloģija .......................................................................................................................19

1.3.1. Informācijas nesēji ............................................................................................... 19

1.3.2. Iekārtas................................................................................................................. 22

2. TĪKLA MODELIS IZMANTOJOT CISCO IEKĀRTAS ............................................... 23

2.1. Uzņēmuma analīze, loģiskā un fiziskā topoloģija .................................................................23

2.2. Iekārtu konfigurācija ..................................................................................................................26

SECINĀJUMI .............................................................................................................................. 33

PRIEKŠLIKUMI ......................................................................................................................... 34

BIBLIOGRĀFISKAIS SARAKSTS .......................................................................................... 35

GRAFISKĀ DAĻA ...................................................................................................................... 37

PIELIKUMI ................................................................................................................................. 44

1.pielikums. Tīkla modeļa maršrutētāju konfigurācija .................................................................. 45

2.pielikums. Tīkla modeļa komutatoru konfigurācija ................................................................... 50

3

IEVADS

CISCO korporācija uz šo brīdi ir viena no lielākajām organizācijām, kas ražo tīkla

iekārtas. Šīs korporācijas produkti tiek uzskatīti par drošiem un arī ASV Aizsardzības

departaments tos ir definējis kā savās struktūrās izmantojamus risinājumus [11]. CISCO

izstrādātie risinājumi kļūst ar vien pieejamāki un no 2013. gada CISCO ir pasludinājis savu

maršrutēšanas protokolu EIGRP par atvērta tipa protokolu, kas nozīmē tā drīzu pieejamību citu

ražotāju izstrādājumos. Ne mazsvarīgi ir, ka arī lielu daļu no kopējā Latvijas uzņēmumu

daudzuma veido mazie un vidējie uzņēmumi un šādu uzņēmumu daudzums 2012. gadā

pārsniedza 85 000 [12].

Līdz ar to ir lietderīgi savlaicīgi iepazīties ar CISCO definētajiem risinājumiem un arī šo

protokolu un iespēju izmantot tos mazo un vidējo uzņēmumu tīklos.

Kursa darba galvenie uzdevumi ir:

1. Iepazīties ar dažādiem datu pārraides līdzekļiem un izvērtēt to izmantošanas

lietderību mazos un vidējos uzņēmumos, pamatojoties uz ekonomisko un informācijas drošības

aspektu.

2. Iepazīties ar CISCO mazajiem un vidējiem uzņēmumiem piedāvātajās tīklu iekārtās

pieejamajiem tīklu un apakštīklu izveides un savstarpējās sasaistīšanas un drošības risinājumiem.

3. Izveidot tīkla iekārtu konfigurācijas vispārīgu modeli, izmantojot Cisco Packet

Tracer tīklu modelēšanas rīku.

Kursa darbu veido divas izvērstas nodaļas, kur pirmajā ir izvērtēti jautājumu teorētiskie

aspekti un otrajā ir piedāvāts tehnisks risinājums. Šāda darba struktūra nodrošina maksimāli

efektīvu problēmu izvērtēšanu gan no teorētiskā, gan no praktiskā viedokļa. Darbā ir izmantotas

sekojošas vispārzinātniskās pētījumu metodes: loģiski konstruktīvā, grafiskā un analīze.

Šī darba ierobežojumi ir saistīti ar izstrādes laiku un ierobežoto darba apjomu, kā

rezultātā atsevišķi jautājumi, kas ir neatņemama tīkla plānošanas daļa, tiek apskatīti tikai

vispārīgi. Ierobežojums ir saistīts arī ar darba tēmā noteikto uzņēmuma termina vispārīgumu un

ar to saistītajiem uzņēmuma struktūras analīzes ierobežojumiem.

Pētījuma periods ir no 2013. gada 21. decembra līdz 2014. gada 8. februārim un to

nosaka Alberta koledžas „Informācijas tehnoloģijas” programmas kursa darbu izstrādes grafiks.

Darbs ir veidots, analizējot Eiropas Komisijas regulas, ārvalstu zinātnieku darbus un

publikācijas periodikā un tīmeklī pieejamos materiālus.

4

1. UZŅĒMUMA TĪKLA PLĀNOŠANA

1.1. Uzņēmuma esošās infrastruktūras vērtēšana

Jebkura projekta izstrādē ir jāievēro noteikta metodika. Projekta izstrāde ir pakāpenisks

process, kur katra nākamā fāze ir saistīta ar iepriekšējo. Projektā, kura mērķis ir jauna datortīkla

izveide vai jau esošā modernizācija, pirmā fāze ir saistīta ar informācijas analīzi. Nav iespējams

realizēt sekmīgu uzņēmuma mērķiem atbilstošu projektu bez iepriekšējās sagatavošanās darbiem.

Gan uzņēmuma informāciju tehnoloģiju (turpmāk – IT) daļai, gan ārpakalpojumu sniedzējam ir

jāzina uzņēmuma izvirzītās prasības, kuras nepieciešamas tā funkciju izpildei. Šajās prasībās

ietilpst gan uzņēmuma biznesa vajadzības, gan struktūra, gan ģeogrāfiskais izvietojums, gan

izmantojamie servisi un ja tā ir modernizācija arī esošā tīkla spēju analīze. Pamatojoties uz šīm

prasībām otrajā fāzē jau ir iespējams izstrādāt loģisko modeli, kur jau tiek aprakstīta jaunā tīkla

loģiskā topoloģija, tajā skaitā izmantojamie adrešu lauki un maršrutēšanas protokoli. Projekta

trešajā fāzē tiek noteiktas jau konkrētas iekārtas un mediji, kas tiks izmantoti, lai nodrošinātu

loģiskajā topoloģijā minēto prasību izpildi un ceturtajā izveidots tīkla modelis, kur tiek testēts

plānotais risinājums un sagatavota jauno tīklu aprakstošā dokumentācija [8, 6. lpp].

Līdz ar to, lai izveidotu vispārīgu datortīkla modeli, kas būtu piemērots izmantošanai

mazos un vidējos uzņēmumos, ir jādefinē, kas ir šie uzņēmumi un kāda ir to specifika.

Ekonomikā viena no izmantotajām metodēm kā tiek iedalīti uzņēmumi ir to dalījums pēc

personāla daudzuma un uzņēmuma finanšu apgrozījuma. Arī atbilstoši Eiropas komisijas 2004.

gada 25. februāra regulas Nr. 364/2004 2. pantam par sīkiem tiek definēti uzņēmumi ar

darbinieku skaitu līdz 10, par maziem — līdz 50 un par vidējiem — līdz 250, ar apgrozījumu

atbilstoši līdz 2, 10 un 43 miljoniem eiro gadā [1]. Plānojot datortīklu konkrētā uzņēmumā gan

nevar pamatoties tikai uz darbinieku skaitu, bet tas ir jāveido ņemot vērā uzņēmuma

darbiniekiem nepieciešamo serveru un darbstaciju skaitu un to fizisko izvietojumu. Ir jāsaprot,

kādi servisi un jaudas uzņēmumam atbilstoši tā specifikai būs nepieciešami un ir jāizvēlas

atbilstošs tīkla risinājums, lai nodrošinātu informācijas aizsardzību atbilstoši tās svarīgumam.

Plānošanas laikā ir jāņem arī vērā ekonomiskais aspekts un plānoto risinājumu lietderība

salīdzinājumā ar nepieciešamo — finansējumu.

Ir ikdienišķa situācija, kad mazajam uzņēmumam ar, piemēram, 10 darbiniekiem un no

aizsargāšanas viedokļa ar salīdzinoši zema līmeņa informāciju, nav nepieciešami specifiski

servisi, kā savs e-pasta serveris, failu serveris un datortīkls. Šādos uzņēmumos datortīkls bieži ir

5

veidots ar mazbudžeta klases maršrutētāju, kas reizē pilda arī komutatora funkcijas un vairākām

darbstacijām, kas ar to saslēgtas zvaigznes slēgumā. Tomēr šāda tīkla analīzes lietderība

maznozīmīguma dēļ nav lietderīga, ja vien nav plānots attīstīt uzņēmu vai mainās tā drošības

politiku. Kā analīzes modelis jau var būt izmantojams uzņēmums ar klasiski hierarhisku struktūru

(1. att). Šādos uzņēmumos katrai uzņēmuma apakšstruktūrai tiek uzskatīts, ka ir nodalīti darba

pienākumi. Līdz ar to ir prognozējama arī tīkla resursu pieejamība atbilstoši nodaļām.

1.att. Vispārīga uzņēmuma shēma

Kā jau iepriekš minēts, viens no sagatavošanas darbiem uzņēmumam nepieciešamo

servisu izvērtēšana, lai noteiktu nepieciešamās tīkla jaudas. Šo vērtēšanu var pamatot uz

informāciju, kas veikta aptaujājot darbiniekus. Ne mazāk svarīga ir risinājuma ekonomiskā

pamatotība un tajā skaitā ir jāapzina cik svarīgi ir dati, kas tiks pārraidīti tīklā. Ir jāsamēro tīkla

veidošanas izmaksas, kas saistītas ar informācijas aizsardzību, darba nepārtrauci un sistēmas

pieejamību ar uzņēmuma informācijas svarīgumu.

1.2. Loģiskā topoloģija

1.2.1. Slēgumu veidi

Topoloģijas izveides laikā ir jāizstrādā tīkla arhitektūra, adresācija un jāizvēlas

izmantojamie maršrutēšanas protokoli.

Visplašāk izplatītie arhitektūras tipi ir zvaigznes un hierarhiskais slēgums un šo slēgumu

apvienojumi. Zvaigznes slēgumam ir raksturīgi, ka katra iekārta tiek pieslēgta pie centrālā

komutatora (2. att). Šo metodi ir visvienkāršāk ieviest, jo neprasa ne lielus kapitālieguldījumus,

ne specifiskas zināšanas. Tomēr kā trūkumu ir jāmin, ka centrālā mezgla bojājuma gadījumā

nepieejama kļūst visa sistēma. Slēgums ir plaši izplatīts mājsaimniecības kā arī ļoti mazos

6

uzņēmumos, kad ienākošo signālu apstrādā mazbudžeta maršrutētājs/komutators un pie tā ir

pieslēgtas visas mājsaimniecības iekārtas.

Komutators

Darbstacija

Darbstacija

Darbstacija

Darbstacija

Darbstacija

2.att. Zvaigznes slēgums

CISCO ieteiktais slēguma tips uzņēmumiem ir hibrīdais pakāpeniska tipa slēgums (3. att)

[8, 121. lpp.]. Šāds slēguma tips ļauj ērti dalīt tīklu līmeņos un katram līmenim noteikt

specifiskas funkcijas. Risinājumam ir raksturīgi, ka augšējā līmenī — pamata slānī, kas veido

kopējo tīkla daļu ar citu tiek izmantoti jaudīgi maršrutētāji, kas nodrošina kopējo savas

apakšstruktūras pieejamību kopējā tīklā, vidējā jeb izplatīšanas slānī tiek koncentrēti dažādi

ierobežojumi un politikas un zemākais jeb piekļuves slānis nodrošina gala lietotāju piekļuvi

kopējiem tīkla servisiem.

Uzņēmuma iekšējais tīkls

Ra1

Ra11

Ra111 Ra112 Ra121 Ra122

Piekļuves slānis

Pamata slānis

Izplatīšanas slānis

Ra12

3.att. Hierarhiskais slēgums

Salīdzinoši nelielos uzņēmumos bieži vien gan šāds dalījums ir ekonomiski nepamatots

un līdz ar to viens un tas pats maršrutētājs pilda gan pamatslāņa, gan izplatīšanas slāņa

maršrutētāja funkcijas, kā tas ir redzams piemērā 4. attēlā.

7

Interneta pakalpojumu sniedzējs (ISP)

KomutatorsSw1

Piekļuvesmaršrutētājs Ra11

Piekļuvesmaršrutētājs Ra12

Ārējās robežas maršrutētājs

Ra1

Darbstacija

Darbstacija

Darbstacija

Darbstacija

DarbstacijaServeris

KomutatorsSw2

Serveris

4.att. Hierarhisks maršrutētāju slēgums vidējos uzņēmumos

Kā jau iepriekš minēju uzņēmumos bieži veidojas situācijas, kad datortīklos nepieciešams

veikt specifiskas plūsmas dalīšanu, piemēram, ja uzņēmums uztur dažādus serverus un to skaitā ir

arī tīmekļa vai e-pasta serveri, kas ir daļēji publiskie serveri. Šādos gadījumos ir nepieciešams

strikti ierobežot plūsmas pa slāņiem, nosakot, ka visiem pieejamie resursi ir tīmekļa un e-pasta

serveri, kamēr failu un aplikāciju serveriem var piekļūt tikai darbinieki, kas atrodas pašā

uzņēmumā. Lai nodrošinātu šo kontrolēto piekļuvi kādai uzņēmuma datortīkla daļai, ir izdevīgi

dalīt tīklu vairākās daļās (5. att): buferzonas jeb demilitarizētās zonas (turpmāk — DMZ) un

iekšējā tīkla risinājuma.


WEBserveris

DMZKomutatorsSwdmz01

E-pastaserveris


Ugunsmūris (3+ portu)

5.att. Demilitarizētā zona izmantojot vienu ugunsmūra iekārtu

8

1.2.2. Iekārtu savstarpējās saslēgšanas risinājumi

Veidojot tīklus ir jāparedz kā tajā plānotās iekārtas spēs sazināties savā starpā. Galvenās

tīkla iekārtas, kas veic šo funkciju ir maršrutētāji un to iespējas ir atkarīgas no maršrutētāja

programmnodrošinājumā iestrādātajiem standartiem. Maršrutētāji izmanto specifiskas

maršrutēšanas tabulas, lai noteiktu labāko ceļu līdz konkrētam adresātam. Maršrutēšanas ceļu

izvēle var būt manuāla, ko nodrošina ar statiskiem ceļiem, kas tiek katrs manuāli ievadīts

maršrutētājos vai dinamiska, ko savukārt veic maršrutēšanas protokoli, kas pie atbilstošas

konfigurācijas izmaiņas automātiski atjauno maršrutēšanas tabulas. CISCO maršrutētājos

maršrutēšanas tabulu var aplūkot ar komandas „show ip rou te” palīdzību. Veidojot

maršrutēšanas tabulu ir jāņem vērā, ka ceļš no viena adresāta līdz otram var būt konfigurēts

izmantojot dažādus protokolus, kā rezultātā var veidoties konfliktsituācijas. Lai no tā izvairītos ir

ieviests administratīvās distances termins un katram protokolam ir piešķirta noteikta vērtība. Ja

starp diviem adresātiem ir iespējami vairāki ceļi, tad par vēlamo tiek izvēlēts ar mazāko

administratīvo distanci. Tabulā Nr. 1.1. [8, 229. lpp] ir attēlotas populārāko protokolu

administratīvo distanču vērtības.

Tabula Nr.1.1.

CISCO maršrutēšanas protokolu/ceļu administratīvās distances

Maršrutēšanas ceļi, protokoli Standarta apzīmējums

maršrutēšanas tabulā Administratīvā distance

1 2 3

Ar maršrutētāju tieši saistītie ceļi C 0

Statiskie ieraksti S 1

EIGRP D 90

IGRP I 100

OSPF O 110

IS-IS I 115

RIP (1. un 2.versija) R 120

Neatpazīts protokols - 255

Maršrutēšanas tabulās ir loģiski, ka par primāriem tiek uzskatīti ar maršrutētāju tieši saistītie

ceļi, piemēram, 6. attēlā attēlotajā modelī interfeisam FastEthernet0/0 tieši saistītais ceļš ir uz

adrešu lauku 192.168.0.0 /24. Kā nākamā prioritāte tiek uzskatīti tie, kas tiek konfigurēti manuāli

— statiskie ceļi. Šīs standarta administratīvās distanču vērtības nepieciešamības gadījumā ir

maināmas.

9

192.168.1.0 /24Fa0/0 Fa0/1 Fa0/1 Fa0/0

192.168.0.0/24Fa0/0 Fa0/1

Ra01 Ra03

192.168.0.1/24

10.0.0.1/24

10.0.0.10/24

10.1.1.1/24

10.1.1.10/24

192.168.1.1/24

Ra02

6.att. Iekšējā tīkla modelis

Iepriekš tika minēts, ka maršrutēšanas ceļus var veidot ar statisko ierakstu palīdzību. Šādu

ceļu izveide no vienas puses ir vienkārša, jo pieraksts nav sarežģīts, no otras puses, konfigurācija

var būt ļoti gara, jo katrā maršrutētājā ir jānorāda kā nokļūt līdz katram apakštīklam. Tabulā

Nr. 1.2. ir redzams piemērs kā tiek veidoti statiskie ceļa ieraksti, par pamatu ņemot 6. attēla tīkla

konfigurāciju. Šie ieraksti vienmēr tiek veidoti, esot konfigurācijas režīmā.

Tīkla piemērā ar tikai četriem apakštīkliem katrs maršrutētājs satur divus statiskos

ierakstus. Palielinoties apakštīklu skaitam automātiski palielinās arī manuāli veicamo ierakstu

skaits. Līdz ar to lielos tīklos, tā pat kā veidojot sākuma konfigurāciju, tīkla pārstatīšana var prasīt

lielu laika apjomu un līdz ar to var būt ilgs tīkla nefunkcionēšanas laiks. Sarežģītas konfigurācijas

gadījumā ir iespējama arī cilvēciskā faktora kļūda.

Tabula Nr.1.2.

Statisko ierakstu konfigurācijas piemērs

Maršrutētājs Komanda Apraksts

1 2 3

Ra01 ip route 10.1.1.0 255.255.255.0 10.0.0.10 Ceļš caur Ra02 uz 10.1.1.0/24

ip route 192.168.1.0 255.255.255.0 10.0.0.10 Ceļš caur Ra02 uz 192.168.1.0/24





Dinamisko labākā ceļa izvēli un šīs informācijas apmaiņu ar citiem maršrutētājiem

nodrošina maršrutēšanas protokoli. Viens no protokolu iedalījumiem ir dalījums iekšējos un

ārējos. Par iekšējiem tiek uzskatīti RIPv1, RIPv2, IGRP, EIGRP, OSPF, IS-IS, savukārt par ārējo

BGP. Protokoli RIPv1 un IGRP ir novecojuši un praktiski vairs netiek izmantoti. To galvenais

trūkums, kā tas redzams tabulā Nr. 1.3. [8, 230. lpp], kur ir savstarpēji salīdzināti dažādi

maršrutēšanas protokoli, ir nespēja nodrošināt bezklases starpdomēnu maršrutēšanas atbalstu.

10

Uzņēmumu datortīklos lielākoties tiek izmantoti RIPv2 (angļu: Routing Information

Protocol version 2), OSPF (angļu: Open Shortest Path First) vai EIGRP (angļu: Enhanced

Interior Gateway Routing Protocol) maršrutēšanas protokoli.

Tabula Nr.1.3.

Maršrutēšanas protokolu parametri

Pro

tok

ols

Iek

šējs

vai

ārē

js

Bez

kla

ses

adre

sāci

jas

atb

alst

s

Iesp

ējam

ā t

īkla

izm

ērs

Sal

āgo

šan

ās l

aik

s

Resursu noslodze

Au

ten

tifi

kāc

ija

Ap

kal

po

šan

a

Pro

ceso

rs

Atm

iņa

Josl

a

1 2 3 4 5 6 7 8 9 10

RIPv1 Iekšējs Nē 15 hopi Vidējs Zema Zema Augsta Nav Viegla

RIPv2 Iekšējs Jā 15 hopi Vidējs Zema Zema Augsta Ir Viegla

IGRP Iekšējs Nē 255 hopi Ātrs Zema Zema Augsta Nav Viegla

EIGRP Iekšējs Jā Ļoti liels Ļoti

ātrs Zema Vidēja Zema Ir Viegla

OSPF Iekšējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta

IS-IS Iekšējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta

BGP Ārējs Jā Ļoti liels Ātrs Augsta Augsta Zema Ir Vidēji grūta

RIPv2 ir apkalpošanā vienkāršs distances vektora tipa protokols, kas izvēlas labāko ceļu

pēc mazākā maršrutēšanas iekārtu apjoma, kas atrodas ceļā līdz adresātam. Lielākoties tas ir

paredzēts maziem tīkliem, jo maksimālais „hopu” jeb lēcienu līdz nākamajam maršrutētājam

attālums starp adresātiem ir piecpadsmit. Visi ieraksti, kas satur lielāku „hopu” skaitu tiek

uzskatīti par nereāliem. Tā, piemēram, ja maršrutētājs saņem salāgošanās sarakstu, kurā ir

ieraksts par sešpadsmit „hopiem” līdz adresātam, tad šis ieraksts tiek dzēsts no maršrutēšanas

tabulas.

RIPv2 salāgošanas laikā ik pa 30 sekundēm tīklā izsūta visu maršrutēšanas tabulu. RIPv2

īpatnība ir, ka salāgošanas pakete var saturēt ne vairāk kā 25 ierakstus [8, 218. lpp]. Līdz ar to

lielāku tīklu gadījumā, kad nepieciešams pārraidīt vairāk ierakstu, tiks izsūtītas papildus paketes,

kas savukārt rada papildus slodzi tīklam. RIPv2 ir iespējama vienkārša autentifikācija ar paroles

vārdu, kas ir vai nu nešifrēts vai MD5 formātā [10].

Protokols uztur bezklases starpdomēnu maršrutēšanu, kas tiek aktivizēta atslēdzot adrešu

automātisko summēšanu. Tabulā Nr.1.4. ir redzams vienkāršs piemērs 6. attēla tīkla

konfigurācijai kā ar RIPv2 protokola palīdzību tiek veidoti maršrutēšanas ieraksti.

11

Tabula Nr.1.4.

RIPv2 ierakstu konfigurācijas piemērs


1 2 3

Ra01

Router RIP Tiek aktivizēts RIP konfigurēšanas režīms

No auto -summary Tiek ieslēgta bezklašu adresācija

Network 192.168.0.0

Network 10.0.0.0

RIP protokolam tiek piesaistīti izmantojamie RA01

tieši saistītie tīkli

Ra02



Network 10.0.0.0

Network 10.1.1.0



Ra03



Network 192.168.1.0

Network 10.1.1.0



OSPF ir IETF organizācijas (angļu: Internet Engineering Task Force) izstrādāts iekšējais

maršrutēšanas protokols. Tas jau sākotnēji bija atvērtā tipa protokols un līdz ar to ir iestrādāts

praktiski visu ražotāju vidēja līmeņa maršrutētājos. Kā norādīts tabulā Nr. 1.3. tam ir īss

salāgošanās laiks un tai ir samērā maza noslodze uz tīklu, jo OSPF izsūta tikai izmaiņas nevis

visu maršrutēšanas tabulu kā tas ir RIP gadījumā. OSPF gan regulāri ik pa 10 sekundēm izsūta

„Hello” paketes, lai informētu tieši saistīto tīklu maršrutētājus par stāvokli un ik pa 30 minūtēm

vai kad ir izmaiņas, izsūta LSA jeb posma stāvokļa paketes. OSPF atbalsta bezklases

starpdomēnu maršrutizāciju. Atšķirībā no RIP, kas ir distances tipa protokols, OSPF ir posma

stāvokļa (angļu: Link state) protokols Labākā ceļa noteikšanai OSPF izmanto Dijkstra jeb SPF

(angļu: Shortest Path First) algoritmu. Algoritma ideja ir bāzēta uz cenu, kas tiek veidota dalot

108

ar izmantotās saskarnes joslas platumu un šo cenu summu no vienas iekārtas līdz otrai [4,

4 - 9. lpp].

Galvenās priekšrocības salīdzinājumā ar RIP protokolu ir, ka OSPF var izmantot daudz

lielākos tīklos un ir nepieciešams īsāks salāgošanās laiks. Lielos tīklos ar vairākiem paralēliem

savienojumiem uz kādu adresi, OSPF var nodrošināt arī plūsmas dalīšanu pa šiem kanāliem.

Tomēr jāņem vērā, ka OSPF dala plūsmu tikai kanāliem ar vienādu cenu.

Tabulā Nr. 1.5 ir redzams vienkāršs piemērs 6. attēla tīkla konfigurācijai kā ar OSPF

protokola palīdzību tiek veidoti maršrutēšanas ieraksti. Veidojot OSPF ierakstus, ir jāņem vērā,

ka komandas tiek rakstītas maršrutētājā, atrodoties konfigurācijas režīmā.

12

Tabula Nr.1.5.

OSPF ierakstu konfigurācijas piemērs


1 2 3

Ra01

Router ospf 1 Tiek aktivizēts OSPF konfigurēšanas

režīms

Network 192.168.0.0 0.0.0.255 area 0 OSPF protokolam tiek piesaistīti

izmantojamie RA01 tieši saistītie tīkli Network 10.0.0.0 0.0.0.255 area 0

Ra02


režīms



Ra03


režīms



OSPF pierakstā tiek izmantoti divi dažādi identifikācijas numuri: viens identificē OSPF

procesu un šis numurs attiecībā pret citu maršrutētāju konfigurācijām ir maznozīmīgs un otrs

apzīmē autonomo apgabalu. Arī piemērā ir norādīts, ka viena tīkla konfigurācijai ir izmantoti

dažādi procesa numuri, bet autonomais apgabals ir identisks, jo tas apzīmē to apgabalu, kurā

dotajai OSPF konfigurācijai ir savstarpēji jādarbojas. Konfigurējot OSPF ir jāņem arī vērā, ka

tiek izmantotas aizstājējzīmes jeb apvērstās maskas, kuras iegūst atņemot adrešu lauka masku no

255.255.255.255.

EIGRP ir CISCO izstrādāts iekšējais maršrutēšanas protokols. Tas ir modernizēts IGRP

protokols, kas ir papildināts ar bezklases starpdomēnu maršrutizācijas atbalstu. EIGRP ir

savietojams ar savu priekšgājēju — IGRP protokolu. Šis protokols tiek uzskatīts par vienkāršāku

nekā OSPF protokols un to izmantojot ir nepieciešami salīdzinoši mazāki maršrutētāja resursi, kā

tas ir redzams no tabulas Nr. 1.3. Tā kā CISCO ir protokola izstrādātājs, tam piederēja tiesības

izmantot OSPF protokolu tikai savos maršrutētājos. Tomēr no 2013. gada tas ir uzskatāms par

atvērta tipa standartu un ir pieejams visiem ražotājiem.

EIGRP tiek uzskatīts par hibrīdu distances-vektora tipa protokolu un tas īsākā maršruta

noteikšanai izmanto DUAL (angļu: Diffusing update algorithm) mehānismu, kurā kopējā ceļa

noteikšanai tiek izmantotas trīs veidu tabulas: kaimiņu iekārtu tabula satur ierakstus (adresi) par

katru maršrutētāju, kas ir fiziski pieslēgts konkrētajam maršrutētājam, topoloģijas tabula – satur

ierakstus par visiem autonomās sistēmas maršrutiem [4, 5 - 6. lpp].

Pieslēdzot maršrutētāju tīklam un to ieslēdzot, tas ar „Hello” pakešu palīdzību informē

citus tam tieši pieslēgtos maršrutētājus par savu esamību. Turpmāk ar regulārām (standarts – ik

13

pa 5 sekundēm) šīm paketēm maršrutētāji informē vien otru par savu funkcionalitāti. Kad

kaimiņu iekārtas ir atklātas, maršrutētājs, izmantojot EIGRP, veido loģisku saikni ar šīm

iekārtām. Šīs loģiskās saiknes turpmāk nosaka, no kurienes maršrutētājs saņems EIGRP

maršrutēšanas ierakstu atjauninājumus, no kuriem maršrutētājs tad arī veidos topoloģijas tabulu.

Maršrutētājs saņem no kaimiņa iekārtām visus tam zināmos ceļus kopā ar to vērtībām un, ņemot

vērā ceļa vērtību līdz kaimiņu maršrutētājam, izrēķina jauno ceļu vērtības līdz visiem adresātiem

par ko ir informējusi šī kaimiņu iekārta [9, 267. lpp]. Ja kāda no iespējamajām ceļu vērtībām līdz

adresātam ir mazāka par iepriekš zināmo, tad jaunais ceļš kļūst par galveno un tiek iekļauta

maršrutēšanas tabulā.

Topoloģijas tabulā atrodamos ceļus maršrutētājs neizmanto līdz tam brīdim kamēr tie nav

ievietoti maršrutēšanas tabulā, savukārt maršrutēšanas tabula satur ierakstus par labāko iespējamo

maršrutu, kas tiek iegūti no topoloģiju tabulas.

EIGRP darbības laikā maršrutētājs nepārsūta regulārus ierakstu atjauninājumus, līdz ar to

ietekme uz joslu ir zema. Tikai salāgošanās vai izmaiņu gadījumā tiek pārsūtīta topoloģijas tabula

vai izmaiņas arhitektūrā un nevis precīza maršrutēšanas tabula.

Konfigurācijas pieraksta piemērs bez autentifikācijas, kas veidots atbilstoši 6. attēlā

parādītajai shēmai, ir norādīts tabulā Nr. 1.6. Tāpat kā citiem dinamiskajiem protokoliem, tas tiek

uzstādīts un labots no konfigurēšanas režīma. EIGRP kā jau iepriekš norādīts ir iekšējais

maršrutēšanas protokols, jo, lai tas darbotos, ir starp maršrutētājiem jāsakrīt tā saucamajiem

autonomās sistēmas numuriem. Šos numurus pēc brīvas izvēles nosaka tīkla konfigurācijas autors

un vienīgais ierobežojums ir, ka tiem jābūt diapazonā no 1 - 65535.

Tabula Nr. 1.6.

EIGRP konfigurācijas piemērs


1 2 3

Ra01

router e igrp 5 Tiek uzstādīts kopējais autonomās sistēmas numurs

(5)

no auto -summary Tiek atslēgta adrešu summēšana un tādējādi

nodrošināta bezklašu adresācija

ne twork 192.168.0.0 0.0.0.255 EIGRP tiek aktivizēti adrešu lauki (interfeisi), kurus

vēlamies izmantot ne twork 10.0.0.0 0.0.0.255

Ra02


(5)

no auto -summary Tiek atslēgta adrešu summēšana


vēlamies izmantot

ne twork 10.1.1.0 0.0.0.255

14

1 2 3

Ra03


(5)

no auto -summary Tiek atslēgta adrešu summēšana


vēlamies izmantot ne twork 192.168.1.0 0.0.0.255

EIGRP iespējama MD5 autentifikācija un to veido tieši uz konkrētā interfeisa, uz kura

lietotājs vēlas, lai tiktu pārbaudīti saņemtie EIGRP atjauninājumi. Izmantojot autentifikāciju ir

iespējams veidot atslēgu grupas ar vairākām atslēgām un savstarpējās salāgošanās laikā

maršrutētājs sāk apstrādāt saņemto informāciju, ja vismaz viena no atslēgām sakrīt.

EIGRP uztur arī plūsmas dalīšanu un atšķirībā no OSPF, kas ļauj to izmantot tikai

vienādas cenas kanālos, EIGRP var izmantot arī nevienādas cenas kanālus [4, 5 - 25. lpp].

EIGRP protokols, lai arī ir viegli konfigurējams, tomēr ir vairāk paredzēts liela izmēra

tīkliem, bet tas neliedz veiksmīgi to izmantot arī nelielos risinājumos.

Kā atsevišķs iekārtu savstarpējās saslēgšanas risinājums ir jāmin virtuālie lokālie tīkli

(VLAN). VLAN ļauj veidot loģiski atdalītus apakštīklus un tādējādi nodalīt lietotājus atbilstoši to

nepieciešamībai piekļūt kādai informācijas daļai. Ar VLAN palīdzību var katram komutatora

interfeisam (portam) piešķirt savu VLAN un līdz ar to arī atbilstošu piekļuvi resursiem. Vairāk

izmanto slēgumos, kas veidoti uz komutatoru bāzes. Izmantojot VLAN, maršrutētāji ar

komutatoriem, tā pat kā komutatori savā starpā tiek saslēgti izmantojot stumbrošanu (angļu:

trunking). Ērtākai VLAN pārvaldībai CISCO ir ieviesis VTP servera/klienta risinājumu.

1.2.3. Drošības risinājumi

DMZ ir neitrālā zona, agrāk saukta par brīvās tirdzniecības zonu, kas nodrošina publiski

pieejamās informācijas atdalīšanu no privātās. DMZ zonā bieži ir izvietoti tādi publiski pieejamie

resursi kā tīmekļa serveris, e-pasta serveris, domēna nosaukuma sistēmas (turpmāk — DNS)

serveris, FTP serveris.

DMZ var veidot, par robežiekārtām izmantojot vienu vai vairākas specifiskas ugunsmūra

iekārtas, vai arī atbilstoši konfigurējot maršrutētājus. Līdz ar to uzņēmumos ir pieejami vairāki

iespējamie risinājumi. Izvēle izmantot DMZ risinājumu ar vienu vai diviem maršrutētājiem, vai

ugunsmūra iekārtām ir atkarīga nevis no uzņēmuma lieluma, bet gan no uzņēmuma iekšējās

informācijas svarīguma un no uzņēmuma puses pieļaujamā riska līmeņa. CISCO gan vienkāršo šo

ideju uzskatot, ka neatkarīgi no informācijas svarīguma, lielajos uzņēmumos ir jāizmanto

speciālas ugunsmūra iekārtas [8, 162. lpp].

15

Gadījumos, ja tiek izmantota viena ugunsmūra iekārta, kā tas ir attēlots 5. attēlā, ir

jārēķinās, ka tā tiks pakļauta lielai slodzei, jo ugunsmūris vienlaicīgi apstrādās visu datu plūsmu

uz DMZ.

Šāds risinājums ir arī pakļauts lielākam riskam, ka nepareizas ugunsmūra konfigurācijas

vai kādas konkrētā modeļa ievainojamības gadījumā var piekļūt privātiem resursiem. Tāpēc tiek

pielietots risinājums, kurā tiek izmantoti divi dažādi ugunsmūri, kas darbojas kā tīkla ārējās un

iekšējās robežas iekārtas. Šāds risinājums (7. att), lai arī ir uzskatāms par drošāku (lai piekļūtu

informācijai, ir jāpārvar divi dažādi aizsardzības līmeņi un tajā mazāk tiek noslogotas ugunsmūra

iekārtas, jo katrs lielākoties apstrādā tikai datus attiecīgi no iekšējās vai ārējās vides), ir dārgāks

un apkalpošanā prasa papildu resursus. Šo risinājumu apkalpojošam tīklu speciālistam, ir arī jābūt

papildus apmācītam darbam ar katru no šīm iekārtām, kas savukārt arī sadārdzina sistēmas

ieviešanas izmaksas.


Publiski pieejamie serveri


Ugunsmūris1 Ugunsmūris2

DMZKomutatorsSwdmz01

7.att. Demilitarizētā zona izmantojot divas ugunsmūra iekārtu

Pēc savas būtības ugunsmūra iekārtas ir specializēti maršrutētāji un līdz ar to daudz

vienkāršāks risinājums ir veidot DMZ no maršrutētājiem (8. att). Arhitektūra, ir līdzīga kā

gadījumā ar DMZ risinājumu, izmantojot ugunsmūra iekārtas un vienīgā atšķirība ir, ka

specifisko ugunsmūra iekārtu vietā tiek izmantoti maršrutētāji. Šāds risinājums ir lēts un arī

vienkāršs apkalpošanā, jo neprasa papildus iemaņas no kvalificēta personāla, kas jau apkalpo

tīkla maršrutētājus. Kā negatīvais gan ir jāmin nosacīti zemāks drošības līmenis kā specializēto

iekārtu gadījumā.

16


Iekšējais tīkls

Ārējās robežas maršrutētājs

DMZ komutators

E-pasta Serveris

WEB Serveris

8.att. Demilitarizētā zona izmantojot maršrutētājus

Tā kā gan DMZ, gan iekšējā tīkla vides ir uzņēmuma iekšējā infrastruktūra, tad tās tiek

veidotas ar privātajām IP adresēm (1.7. tabula). Līdz ar to, papildu piekļuves sarakstiem ir

jāizmanto adrešu (turpmāk - NAT) un portu (turpmāk - PAT) translēšana.

Tabula Nr.1.7.

Privāto adrešu lauki

Adrešu klase Adrešu lauks

1 2

A klases adreses 10.0.0.0 – 10.255.255.255

B klases adreses 172.16.0.0 – 172.31.255.255

C klases adreses 192.168.0.0 – 192.168.255.255

Adrešu un portu translēšana ļauj uz laiku uzņēmuma iekšējā tīkla adresēm piešķirt vienu

adresei vai veselu adrešu grupu, kuras ārējais tīkls turpmāk uzskata par pieprasītāja avota adresi.

Adrešu translēšana iedalās statiskajā — vienai iekšējai adresei tiek piešķirta viena konkrēta ārējā,

dinamiskā — iekšējā tīkla adresei uz laiku tiek piešķirta tai brīdī brīvā adrese no brīvajām ārējām

un portu translēšanā — eksistē tikai viena ārējā adrese, kura tiek piešķirta iekšējām ar katru reizi

savu porta numuru [6, 615. lpp]. Tabulā Nr. 1.8. ir apskatāms PAT konfigurācijas piemērs, kurā

6. attēlā redzamā slēguma maršrutētāja Ra03 adrešu lauks 192.168.1.0 /24 (saskarne Fa0/1) tiek

pārveidots uz Fa0/0 saskarnes adresi 10.1.1.10 /24.

17

Tabula Nr.1.8.

PAT konfigurācija


1 2 3

Ra03

access -l i st 10 permi t 192.168.1.0 0.0.0.255 Piekļuves sarakstā tiek definēta adrešu

grupa, kurai tiks piemērots PAT

ip nat in source l i st 10 int fa0/0 overload

Tiek norādīts interfeiss, kuram tiek

piemērots iepriekš norādītais saraksts un

aktivizēts PAT (Overload)

in t fa0/0

ip nat out Katram interfeisam tiek norādīts,

pārveidošanas virziens in t fa0/1

ip nat in

Svarīgs priekšnoteikums tīkla drošības nodrošināšanai ir komunikācijas iekārtu

aizsardzība pret neautorizētu piekļuvi. Maršrutētājos un komutatoros ir jānodrošina

autentifikācija uzstādot drošas paroles gan, lai piekļūtu maršrutētāja konfigurācijai, gan, lai

varētu veikt tās labošanu un nodrošinātu vai atslēgtu specifiskus pakalpojumus. Viena no

vienkāršākajām metodēm, lai uzstādītu drošības konfigurācijas minimumu maršrutētājos ir

izmantot komandu „auto secure ”.

Kā jau iepriekš minēts demilitarizētās zonas mērķis ir nodrošināt plūsmas kontroli un

neļaut datu plūsmai, kas nāk no ārienes, piekļūt uzņēmuma iekšējā tīkla resursiem. To panāk

maršrutētājos loģiski atdalot tīklus un iestatot piekļuves sarakstus (angļu: Access list – ACL).

Piekļuves saraksti tiek veidoti maršrutētājos ieejošajai un izejošajai datu plūsmai uz katru

no saskarnēm. Veidojot piekļuves sarakstus, ir svarīgi izprast, kāda ir darbību izpildes secība

maršrutētājā, laikā, kad tas apstrādā informāciju. Neprecīzi plānots ieraksts maršrutētājā var būt

par iemeslu sistēmas nepilnvērtīgai darbībai.

CISCO piekļuves sarakstu virziena izvēles un aktivizēšanas sintakses piemērs ir redzams

9. attēlā. Izmantojot ieejošās plūsmas piekļuves sarakstu (angļu: inbound), maršrutētājs, saņemot

paketi, to sākotnēji pārbauda pēc saraksta un tikai tad izvēlas pieprasīto maršrutu un pārsūta to

tālāk. Savukārt, ja tiek izmantots izejošās (angļu: outbound) plūsmas piekļuves saraksts,

maršrutētājs sākumā apstrādā paketi, norāda tai ceļu un tikai tad salīdzina ar sarakstu un vai nu to

pārsūta vai nomet [5, 6 - 9. lpp].

18

9.att. CISCO piekļuves sarakstu aktivizēšanas sintakse

CISCO maršrutētāju operētājsistēma nodrošina piekļuves sarakstos divus iespējamos

stāvokļus: atļauts (angļu: permit) un aizliegts (angļu: deny). Ar piekļuves sarakstiem informācijas

plūsmu interfeisos var ierobežot atbilstoši atsevišķām adresēm, adrešu laukiem, protokoliem (IP,

ICMP, TCP, UDP), portu numuriem, kā arī izmantot tādas papildus iespējas kā atļaut tikai jau

iepriekš nodibinātu datu plūsmu vai ierobežot atļauto darba laiku. Izšķir divu veida piekļuves

saraksta ierakstus: standarta un paplašināto. Standarta ierakstu numerācija ir no 1 - 99 un

1300 - 1999 un ieraksti nodrošina tikai informācijas ierobežošanu atbilstoši avota IP adresei.

Paplašinātais ieraksts savukārt nodrošina papildus parametru izmantošanu, piemēram, avota un

mērķa IP adreses, protokoli, porti. Paplašinātā ieraksta numerācija ir 100 - 199 un 2000 – 2699

[7, 256. lpp].

Vienkāršots CISCO iekārtās izmantotais piekļuves saraksta paplašinātā ieraksta pieraksts

ir norādīts 10. attēlā un tajā tiek izveidots ieraksts, kurš ļauj no adrešu lauka 10.1.1.0

255.255.255.0 pārsūtīt e-pastus uz adrešu lauku 172.16.10 255.255.255.0.

10.att. CISCO piekļuves sarakstu parametru iestatīšanas sintakse

Viena no pieraksta īpatnībām ir, ka, rakstot avota vai mērķa adrešu grupu, tiek norādīta

aizstājējzīme jeb apvērstā maska. Ierobežojot tīklu, ir jāņem vērā arī, ka lietotājiem var būt

19

nepieciešamība atļaut vai aizliegt izmantot noteiktus servisus. Līdz ar to atbilstoši tabulai Nr.1.9

tabulai, kur ir apskatāmi daži svarīgākie portu numuri un to apraksts, ir redzams, ka atļautais

serviss ir TCP 25. porta jeb SMTP (angļu: Simple Message Transport Protocol) pakete.

Tabula Nr.1.9.

Svarīgāko portu saraksts

Porta numurs Protokols Serviss Piezīmes

1 2 3 4

20 un 21 TCP FTP Novecojis datu apmaiņas protokols, jo netiek nodrošināta

informācijas šifrēšana.

22 TCP SSH Secure shell, šifrēts kanāls, aizvieto Telnetu un FTP.

23 TCP Telnet Nešifrēts līdz ar to novecojis.

25 TCP SMTP Plaši izmantots e-pasta transporta protokols.

53 TCP/UDP DNS Nodrošina Domēna nosaukuma sistēmas darbību.

80 TCP HTTP Standarta tīmekļa serviss.

110 TCP POP3 Ienākošo e-pastu saņemšanu no servera.

443 TCP HTTPS Šifrēts tīmekļa serviss.

8080 TCP HTTP Alternatīvs tīmekļa ports.

Veidojot piekļuves sarakstus CISCO iekārtās, ir situācijas, kad tiek regulēta plūsma starp

divām noteiktām iekārtām un tad piekļuves sarakstā jau konkrēti var norādīt abu adresātu IP

adreses. Šajā gadījumā adrese tiek rakstīta bez apvērstās maskas, pirms tās rakstot vārdu „host”.

Savukārt, ja tiek ierobežota visa plūsmas daļa atbilstoši, piemēram, kādam portam, tad katras

adreses vietā tiek izmantots vārds „any”. CISCO iekārtās visus piekļuves ierakstus var tāpat kā

citus konfigurācijas ierakstus — atkārtojot ierakstu un pirms tā ievietojot vārdu „no”.

Izmantojot piekļuves sarakstus to raksturīgā pazīme ir, ka atļautas ir tikai tās darbības, kas

ir iekļautas sarakstā un maršrutētājs izmanto sarakstā pirmo pēc kārtas, kas atbilst nosacījumiem.

Visas pārējās tiek uzskatītas par aizliegtām.

Piešķirot maršrutētāja interfeisiem izejošo vai ieejošo piekļuves sarakstu, vēlams izmantot

noteikumu, ka standarta saraksts tiek novietots maksimāli tuvu mērķa adresei, bet paplašinātais

saraksts - iespējami tuvu avotam.

1.3. Fiziskā topoloģija

1.3.1. Informācijas nesēji

Veidojot tīklus, ne mazāk svarīgs apstāklis kā maršrutēšanas protokolu izvēle ir tīkla

caurlaides spējas nepieciešamība katrā konkrētajā tīkla daļā un atbilstošas datu pārraides vides

izvēle šajā posmā.

20

Par datu pārraides vidi jeb informācijas nesējiem var tikt izmantoti gan dažādu veidu

kabeļi, gan radioviļņi. Mūsdienās populārākie datu pārraides nesēji mazo un vidējo uzņēmumu

iekšējos datortīklos ir vītā pāra kabelis un optiskais kabelis, savukārt no radioviļņiem var minēt,

WLAN, ko biežāk sista ar WiFi standartu.

Vītā pāra kabelis: ir veidots no viena vai vairāku savstarpēji vītu pārsvarā vara vadu pāriem. Kā

jau uz metāla vadītāja bāzes veidots kabelis tas ir pakļauts elektromagnētisko traucējumu riskam.

Kabelī traucējumi var rasties no citām dzīslām vai no ārējās vides, piemēram, dažādām

elektroiekārtām. Lai samazinātu šo ietekmi, izmanto vadu pāru savīšanas tehnoloģiju un katru

vadu pāris kabelī savij ar dažādu soli. Populārākie šāda tipa kabeļi ir CAT3 un CAT4, kurus

pārsvarā izmanto telefonijā, un CAT5, CAT6 un CAT7 Ethernet kabeļi, kā arī to modifikācijas,

kurus izmanto datortīklos.

Liela daļa no lokālajiem datortīkliem ir veidota no CAT 5 UTP jeb neekranētā

CAT5 kabeļa, kas paredzēts 10BASE-T, 100BASE-TX un 1000BASE-TX Ethernet (IEEE 802.3

standarts un tā modifikācijas) tipa tīkliem. Kabeļa savienojumu ar iekārtām nodrošina 8C8P jeb

RJ-45 spraudnis (11.attēls), kurā tiek izmantots EIA/TIA-568 A vai B standartam atbilstošs

dzīslu izkārtojums, kā tas redzams tabulā Nr. 1.10 [2]. Veidojot datortīklus, ir jāņem vērā, ka

šādu kabeļa maksimālais nepārtrauktais garums nevar pārsniegt 100 metrus.

11.att. RJ-45 spraudnis un kontaktu izkārtojums

CAT5 kabelis ir ļoti pieticīgs lietošanā, to var salocīt šaurā leņķī nemazinot tā darbaspējas

un kabelis ir arī ļoti lēts. 2014.gada sākumā kabeļa metra cena ir sākot no 0.10 EURO metrā par

CAT5 UTP un 0.11 EURO metrā par CAT5e kabeli. Mazas ir arī tīkla veidošanas izmaksas, jo

savienojumu izveidošana (spraudņu uzlikšana) ir ātra un šī darba veikšanai ir nepieciešamas tikai

21

īpašas knaibles. Protams eksistē arī specifiski trūkumi un, kā jau iepriekš minēts, viens no

galvenajiem ir iespēja tikt pakļautam ārējam elektromagnētiskajam starojumam.

Tabula Nr.1.10.

RJ-45 spraudņa vadu izkārtojums

Kontakts

(PIN) EIA/TIA 568A EIA/TIA 568B

100Base-TX

100Mbps Cat5

1000Base-T 1Gbps

Cat5

1 2 3 4 5

1 balts/zaļš balts/oranžs TX+ BI DA+

2 zaļš oranžs TX- BI DA-

3 balts/oranžs balts/zaļš RX+ BI DB+

4 zils zils - BI DC+

5 balts/zils balts/zils - BI DC-

6 oranžs zaļš RX- BI DB-

7 balts/brūns balts/brūns - BI DD+

8 brūns brūns - BI DD-

TX - raida datus, RX - uztver datus, BI - abpusēji.

Optiskais šķiedru kabelis sastāv no trim daļām — serdes, iekšējā apvalka un ārējā apvalka.

Kabeļa serde var būt veidota gan no stikla, gan plastmasas. Serdes un iekšējā apvalka materiāliem

ir dažādas gaismas laušanas spējas, kā rezultātā vada iekšienē notiek pilnīga iekšēja atstarošanās.

Datu pārraidi veic lāzers vai diode, kas pārveido elektriskos signālus gaismas impulsos un nosūta

tos adresātam, kur savukārt uztvērējs impulsus pārveido atpakaļ elektriskos signālos. Lāzera tipa

raidītājus, pateicoties to koncentrētajam gaismas staram, var izmantot vienmodas (angļu: single-

mode) kabeļos, atšķirībā no diodes tipa raidītājiem, kurus var izmantot tikai daudzmodu (angļu:

multi-mode) kabeļos [3].

Daudzmodu (serde >50 mkm) kabelim ir salīdzinoši liela diametra serde, un tajā

ievietojas vairāki raidītā signāla viļņa garumi. Daudzmodu kabeļos var izmantot lētākus, ne tik

precīzus savienojumus, bet šādā vadā ir liela signāla dekoherence (fāzu izkliede), tāpēc ir mazs

maksimālais kabeļa garums, ar kuru vēl var izšķirt noraidīto signālu. Vienmodas kabeļu serde ir

8-10 mkm un tajā ievietojas tikai viens raidītā viļņa garums, tāpēc tajā praktiski nepastāv signāla

dekoherence un maksimālo vada garumu nosaka signāla rimšana.

Izmantojamais kabeļa attālums ir atkarīgs no kabeļa tipa un nepieciešama datu pārraides

ātruma. Tā, piemēram, vienam un tam pašam daudzmodu kabelim pie nepieciešamās plūsmas

100Mb maksimālais kabeļa garums ir 2 kilometri, kamēr pie 10 Gb tikai 82 metri [13].

Populārākie savienojumu veidi ir SC, ST un LC spraudņi.

Mazos un vidējos uzņēmumos šis risinājums var būt nepiemērots, jo lai arī optiskajam

kabelim ir daudz priekšrocību pret metāla serdes kabeli plūsmas caurlaidības ziņā un arī vadītājs

22

nav pakļauts elektromagnētiskajai iedarbībai, tas ir dārgs un nepieciešamas specifiskas iemaņas

un aprīkojums, lai veiktu tīkla montāžu.

Radio vai bezvadu risinājumi lokālajos tīklos (WLAN) lielākoties ir balstīti uz IEEE

802.11 standartu. WLAN lietošana ir ērta un nav nepieciešami resursi, kas saistīti ar kabeļu

infrastruktūras izbūvi, tomēr WLAN tehnoloģijas nespēj sniegt tikpat augstu fiziskās aizsardzības

nodrošinājumu kā vadu sakaros. Līdz ar to uzņēmumam, ja tas plāno izmantot šīs tehnoloģijas, ir

jāsamēro riski, kas saistīti ar datu konfidencialitāti (neautorizēta piekļuve datiem) un pieejamību

ar iespējamajiem ieguvumiem.

1.3.2. Iekārtas

Galvenās tīkla iekārtas mūsdienu lokālajos tīklos ir maršrutētāji un komutatori.

Maršrutētāji nodrošina galveno OSI (angļu: Open Systems Interconnection) tīkla modeļa 3.slāņa

(tīkla) funkciju – spēju tīklā pārsūtīt paketes izvēloties labāko iespējamo pārsūtīšanas ceļu.

Komutatori – atšķirībā no maršrutētājiem tiek uzskatīti par OSI tīkla modeļa otrā līmeņa iekārtu,

jo tie pārsūta kadrus, salīdzinot to mērķa adresi ar komutatorā esošo fizisko (Media Access

Control – MAC) adrešu tabulu, nevis paketes. Kā izņēmumu gan var minēt 3.līmeņa komutatorus,

kas pēc funkcionalitātes ir tuvi maršrutētājiem.

CISCO savas ražotās iekārtas iedala pamatojoties uz uzņēmuma lielumu un funkcijām,

piemēram, apakšstruktūras līmeņa iekārtas, servisa pakalpojuma sniedzēja līmeņa iekārtas vai

mazā biznesa risinājumi. Te gan ir jāpiebilst, ka šie dalījumi savstarpēji pārklājas un arī, ka

CISCO mazā biznesa risinājumam ir cits vērtējums kā Latvijā pieņemtajam, proti šajā kategorijā

CISCO iekļauj gan mazbudžeta „RV” sērijas maršrutētājus, gan pietiekoši jaudīgos „CISCO

2900” sērijas maršrutētājus. Latvijas mērogiem gan 800, gan 1800, gan 2900 sērijas maršrutētājus

var sākt uzskatīt par atbilstošus vidējiem uzņēmumiem. Lai arī CISCO iekārtas tiek uzskatītas par

drošām, to galvenais trūkums ir cena. Jau tikai bāzes konfigurācijā tā pārsniedz 1000 EURO par

vienu „CISCO 2901” maršrutētāju. Tabulā 1.11. ir uzskaitīti atbalstītie „CISCO 2901” standarti.

Tabula Nr.1.11.

CISCO 2901 atbalstītie standarti un protokoli

Parametrs Apraksts

Atbalstītie standarti IEEE 802.3, IEEE 802.1Q, IEEE 802.3af, IEEE 802.3ah,

IEEE 802.1ah, IEEE 802.1ag, ANSI T1.101, ITU-T

G.823, ITU-T G.824

Atbalstītie protokoli OSPF, IS-IS, BGP, EIGRP, DVMRP, PIM-SM, Statiskā

IP maršrutēšana, IGMPv3, GRE, PIM-SSM, Statiskā

IPv4 un IPv6 maršrutēšana, MPLS, BFD, IPv4-to-IPv6

Multicast

23

2. TĪKLA MODELIS IZMANTOJOT CISCO IEKĀRTAS

2.1. Uzņēmuma analīze, loģiskā un fiziskā topoloģija

Datortīkla modelis ir veidojams standartizētam vidējā un mazā uzņēmuma modelim un šī

darba pirmajā nodaļā jau ir veikts vispārīga uzņēmuma prasību apskats.

Tā kā piemērā datortīkla modelis ir vispārīgs un nav pieejama esoša infrastruktūra, nav

zināma uzņēmuma darba specifika un precīzs kopējais darbinieku skaits un to daudzums katrā no

nodaļām, tad ir praktiski neiespējami prognozēt iekārtu un kabeļu infrastruktūras optimālo jaudu.

Tāpēc arī tabulā Nr. 2.1 kā piemērs, tiek uzskaitīti tikai daži minimālie parametri, kurus var

apzināt, izvērtējot uzņēmumu.

Tabula Nr.2.1.

Uzņēmuma minimālās prasības datortīklam

Serviss Jā Nē

1 2 3

Piekļuve globālajam tīmeklim X

E-pasts (piekļuve no uzņēmuma vides) X

E-pasts (piekļuve no ārpuses) X

Failu serveris (piekļuve no uzņēmuma vides) X

Failu serveris (piekļuve no ārpuses) X

Citi iekšējie serveri (piekļuve no uzņēmuma vides) X

Citi iekšējie serveri (piekļuve no ārpuses) X

Pieejamība

Augsts - -

Vidējs X

Zems - -

Iekšējās informācijas aizsardzības līmenis

Augsts - -

Vidējs X

Zems - -

Strukturēta organizācija X

Atbilstoši tabulā apkopotajām prasībām var novērtēt, ka tīklam ir vēlama iepriekš

aprakstīta strukturēta topoloģija un ir nepieciešams tīkls ar kādu no DMZ risinājumiem (12. att).

Šādam vidējam vispārīgā uzņēmuma modelim ir pietiekoši izmantot risinājumu ar vienu

ugunsmūri vai ārējās robežas maršrutētāju. Tā kā nav zināma cik augsta nepieciešamība

uzņēmumam piekļūt saviem datiem, tad izmantots risinājums bez kanālu dublēšanas. Lietotāju

bloks ir standartizēts un modelī tiek izmantots viens maršrutētājs, bet lietotāju (darbstaciju)

daudzums tiek regulēts, izmantojot tam pieslēgtos komutatorus.

24


DMZ

Iekšējā (privāto datu) tīkla

daļaWEB

Serveris1Serveris2

Serveris3

Projektu daļas

stacija

E-pasta serveris

WEB Serveris

Ārējās robežas

maršrutētājs

RR01

DMZ komutators

SWD1Piekļuves maršrutētājs

RA02

Piekļuves maršrutētājs

RA01Fa0/0 Fa0/1

Fa1/0

Fa0/0

Fa0/0 Fa0/1

Fa0/1

Galvenais komutators

CLSW

Serveru komutators

SW01

Piekļuves komutators

ASW1

Piekļuves komutators

ASW2

IT daļas stacija

Atbalsta daļas

stacija

Atbalsta daļas

stacija

Komutators

SwCe01

Lietotāju daļa

12.att. Tīkla modeļa vispārīga slēguma shēma

Zinot vispārējo slēguma shēmu tiek noteikts piekļuves modelis (Tabula Nr. 2.2.), kas tiek

ņemts par pamatu turpmāko piekļuves sarakstu izveidē.

Tabula Nr.2.2.

Tīkla piekļuves modelis

Internets DMZ

serveri

Uzņēmuma lietotājs Uzņēmuma

iekšējie

serveri Projektu

daļa IT daļa

Atbalsta

daļa

Internets X

DMZ serveri X X

Uzņēmuma

lietotāji:

Projektu daļa X X X X X X

IT daļa X X X X X X

Atbalsta daļa X X X X X

Uzņēmuma iekšējie serveri X X X

Uzņēmuma iekšējais tīkls un DMZ zona tiek veidoti no brīvi izvēlētiem privāto adrešu

laukiem. Izvēloties adreses un veidojot vispārīgai shēmai atbilstošu adresācijas plānu (2.3. tabula)

gan katrā pozīcijā ir jāparedz adrešu rezerve, lai gala iekārtu palielināšanas gadījumā nav

jāpārkonfigurē viss tīkls.

25

Tabula Nr.2.3.

Tīkla modeļa adrešu lauks

Nr.

p.k. Iekārta

Interfeiss, tīkla

daļa Adrese, maska Vārtejas adrese Tīkla adrese

1 2 3 4 5

Maršrutētāji

1. RR01

fa1/0, (ISP) 46.109.187.190, 255.255.248.0 46.109.184.1 46.109.184.0 /21

fa0/1, (DMZ) 10.10.10.1, 255.255.255.240 - 10.10.10.0 /28

fa0/0,

(iekšējais) 10.1.1.1, 255.255.255.248 - 10.1.1.0 /29

2. RA01 fa0/0 10.1.1.5, 255.255.255.248 - 10.1.1.0 /29

fa0/1 192.168.1.1, 255.255.255.240 - 192.168.1.0 /28

3. RA02

fa0/0 10.1.1.3, 255.255.255.248 - 10.1.1.0 /29

fa0/1.1 192.168.10.2, 255.255.255.192 - 192.168.10.0 /26

fa0/1.2 192.168.10.66, 255.255.255.224 - 192.168.10.64 /27

fa0/1.3 192.168.10.98, 255.255.255.224 - 192.168.10.96 /27

Serveri

4. Tīmekļa - (DMZ) 10.10.10.2, 255.255.255.240 10.10.10.1 10.10.10.0 /28

5. E-pasta - (DMZ) 10.10.10.3, 255.255.255.240 10.10.10.1 10.10.10.0 /28

6. Serveris1

(tīmekļa) - (iekš.) 192.168.1.2, 255.255.255.240 192.168.1.1 192.168.1.0 /28

7. Serveris2 - (iekš.) 192.168.1.3, 255.255.255.240 192.168.1.1 192.168.1.0 /28

8. Serveris3 - (iekš.) 192.168.1.4, 255.255.255.240 192.168.1.1 192.168.1.0 /28

Darbstacijas

9.

Projektu

daļa - (iekš.)

192.168.10.1, 192.168.10.3-

192.168.10.62, 255.255.255.192 192.168.10.2 192.168.10.0 /26

IT daļa - (iekš.) 192.168.10.65, 192.168.10.67-

192.168.10.94, 255.255.255.224 192.168.10.66 192.168.10.64 /27

Atbalsta

daļa - (iekš.)

192.168.10.95, 192.168.10.97-

192.168.10.126, 255.255.255.224 192.168.10.98 192.168.10.96 /27

Tā kā EIGRP no 2013.gada ir kļuvis par atvērto standartu un, kā iepriekš apskatīts, tas

skaitās vienkāršs, bet ātrs dinamiskais protokols, tad iekšējā maršrutēšana tiek veikta ar tā

palīdzību. Uzņēmuma piemēram ir tikai viena ārējā IP adrese un līdz ar to iekšējās adreses ārējā

maršrutētājā ir jātranslē ar NAT/PAT un jāveic portu translēšana.

Visos maršrutētājos izmantots viens un tas pats EIGRP autonomās sistēmas numurs (5).

Minimālā maršrutētāja drošības konfigurācija tiek uzstādīta izmantojot CISCO piedāvāto

interaktīvo režīmu („auto - secure”). Pēc komandas izpildes tiek noņemti automātiski uzstādītie

piekļuves saraksti, kas konfigurēšanas beigās tiks aizvietoti ar šim tīklam izveidotajiem.

Komutatoros minimālie uzstādījumu laikā ar paroli tiek nodrošināta attālināta piekļuve un

piekļuve priviliģētajam režīmam.

Tā kā datortīkla modelis ir virtuāls un tiek veidots izmantojot CISCO Packet Tracer

programmu un tajā modelētajām iekārtām, tad modelī izmantotās iekārtas var nebūt labākās

nostādīto mērķu sasniegšanai. Komunikācijas iekārtu saraksts ir norādīts 2.4. tabulā.

26

Tabula Nr.2.4.

Tīkla modeļa adrešu lauks

Iekartas nosaukums tīklā Modelis Papildus interfeisi

1 2 3

Maršrutētājs RR01 CISCO 2811 NM-2FEWE

Maršrutētājs RA01 CISCO 2811 -

Maršrutētājs RA02 CISCO 2811 -

Komutatori: CLSW, ASW1, ASW2 Cisco Catalyst 2950 24 -

Komutatori:DSW01, SwCe01 CISCO vispārējs modelis

Maršrutētājs „CISCO 2811” vairs netiek ražots, bet tas ir nosacīti salīdzināms ar savas

sērijas nākamās paaudzes un pašreiz ražoto „CISCO 2900” sērijas maršrutētāju. Visas

konfigurācijā izmantotās iekārtām ir Ethernet interfeisi un savienojumiem virtuāli tiek izmantots

UTP tipa kabelis ar RJ-45 savienojumiem, kas saslēgti atbilstoši EIA/TIA 568A vai EIA/TIA

568B kabeļu standartam.

2.2. Iekārtu konfigurācija

Pirmajā solī (Tabula Nr. 2.5.) katrā maršrutētājā interfeisiem atbilstoši adrešu plānam tiek

uzstādītas IP adreses un, ar „au to secure” komandu aktivizēto interaktīvo vidi, uzstādīti

minimālie drošības parametri. „Auto secure ” komandas laikā tiek uzstādītas paroles, tās tiek

šifrētas, izveidots lietotājs, slēgtas atvērtās piekļuves un aktivizēti minimālā ugunsmūra

risinājuma piekļuves saraksti un saglabāta konfigurācija maršrutētāja atmiņā. CISCO Packet

Tracer veidotajā modelī gan maršrutētājiem gan komutatoriem vieglākai apkalpošanai ir

uzstādīta drošības standartiem neatbilstoša viena simbola parole - „a” gan autentifikācijai gan

piekļuvei priviliģētam režīmam. Lietotājvārds arī tiek izmantots - „a”.

Lai izvairītos no konfigurāciju konfliktiem, pēc komandas izpildes tiek noņemti

automātiski uzstādītie piekļuves saraksti.

Tabula Nr.2.5.

Maršrutētāju interfeisu konfigurēšana

Konfigurācija

Maršrutētājs RR01 Maršrutētājs RA01 Maršrutētājs RA02

1 2 3

config terminal

host RR01

inter face fa0/0

ip add 10.1.1.1

255.255.255.248

config terminal

host RA01

inter face fa0/0

ip add 10.1.1.3 255.255.255.248

no shut

in ter face fa0/1

config terminal

host RA02

inter face fa0/0

ip add 10.1.1.5 255.255.255.248

no shut

inter face fa0/1.1

27

1 2 3

no shut

inter face fa0/1

ip add 10.10.10.1

255.255.255.248

inter face fa1/0

ip add 46.109.187.190

255.255.248.0

shut

exit

exit

auto secure

no access - l i st 100 permi t

udp any any eq bootpc

no ip access -l is t extended

autosec_firewall_acl

ip add 192.168.1.1

255.255.255.240

shut

exit

exit

auto secure

no access - l i st 100 permi t

udp any any eq bootpc



encapsulat ion dot1q 11

ip address 192.168.1.2 255.255.255.192

inter face fa0/1.2


ip address 192.168.1.66 255.255.255.224

inter face fa0/1.3


ip address 192.168.1.98 255.255.255.224

shut

exit

exit

auto secure

no access - l i st 100 permi t udp any

any eq bootpc



Konfigurējot adreses maršrutētājā RA02 savlaicīgi, lai nodrošinātu lietotāju dalīšanu

atbilstoši nepieciešamībai piekļūt informācijai, tiek veidotas arī apakšsaskarnes virtuālo lokālo

tīklu izveidei un tie tiek konfigurēti kā stumbru (angļu: trunk) līnijas.

Nākamais solis ir EIGRP maršrutēšanas protokola uzstādīšana visos maršrutētājos (tabula

Nr.2.6.). Konfigurācijā tiek izmantots brīvi izvēlēts, bet visiem maršrutētajiem kopīgs EIGRP

autonomā apgabala numurs – 5. Maršrutētājā RR01, kam ir savienojums ar internetu, tiek

uzstādīts arī statiskais ceļš, kas ar komandu „Redis t r i bu te s t a t i c ” tiek iekļauts EIGRP

tabulās. Autentificēšanās EIGRP līmenī šajā piemērā netiek uzstādīta.

Tabula Nr.2.6.

EIGRP uzstādīšana

Konfigurācija

Maršrutētājs RR01 Maršrutētājs RA01 Maršrutētājs RA02

1 2 3

config terminal

ip route 0.0.0.0 0.0.0.0 fa0/1

router e igrp 5

no auto -summary

ne twork 10.10.10.0 0.0.0.15

ne twork 10.1.1.0 0.0.0.7

redistr ibute s ta t ic

exit

config terminal

router e igrp 5

no auto -summary

ne twork 192.168.1.0 0.0.0.15

ne twork 10.1.1.0 0.0.0.7

exit

config terminal

router e igrp 5

no auto -summary

ne twork 192.168.10.0 0.0.0.255

ne twork 10.1.1.0 0.0.0.7

exit

28

Pēc maršrutēšanas protokola konfigurēšanas tiek uzstādīta adrešu translēšana (Tabula

Nr.2.7.).

Tabula Nr.2.7.

NAT(PAT) uzstādīšana

Maršrutētāja RR01 konfigurācija

1

config terminal

access -l i st 10 permi t 10.1.1.0 0.0.0.7

ip nat inside source l is t 10 inte r face fa1/0 overload

int fa0/0

ip nat inside

ip fa0/1

ip nat inside

int fa1/0

ip nat outside

exit

ip nat inside source s ta t ic tcp 10.10.10.2 80 46.109.187.190 80



Šajā piemērā tiek uzstādīts PAT (NAT Overload) RR01 maršrutētājam, kas, atbilstoši

piekļuves sarakstam Nr. 10, nodrošinās tīkla iekšējo adrešu translēšanu uz vienu rīcībā esošo

ārējo. Izņēmums ir DMZ adrešu lauks, kurš satur iekārtas, kuru servisiem ir jāpiekļūst gan no

iekšējā tīkla, gan no ārējā. Šajā gadījumā ir jāizmanto statiskā portu translēšana. Piemērā ir

noteikts, ka pieprasījums uz adresi 46.109.187.190 ar portu 80 vai 443 tiek novirzīts uz tīmekļa serveri

(adrese 10.10.10.2) un pieprasījums uz 46.109.187.190 ar portu 25 tiek novirzīts uz e-pasta serveri (adrese

10.10.10.3).

Pēc NAT uzstādīšanas ar komandu „debug ip na t ” var ieslēgt pārveidošanas

paziņojumus un pārliecināties par konfigurācijas darbību.

Pēc tam, kad savstarpēji ir saslēgti maršrutētāji, tīkla konfigurācijā ir jāievieš drošības

pasākumi – piekļuves saraksti, kas savstarpēji atdalītu apakštīklus atbilstoši uzņēmuma

vajadzībām un nodrošinātu datu plūsmu tikai atļautos virzienos. Maršrutētāja RR01, kas ir tīkla

ārējās robežas maršrutētājs, pamatuzdevums ir nodrošināt tīkla aizsardzību no ārējās piekļuves.

Līdz ar to konfigurācijā (tabula Nr. 2.8.) ar paplašinātā tipa piekļuves sarakstu Nr. 151 tiek

ierobežota piekļuve iekšējam tīklam atļaujot abpusējā virzienā saskarnē FastEthernet 1/0, kas ir

savienots ar internetu, tikai standarta protokolus un portus, kas tiek izmantoti tīmekļa

pakalpojumu (HTTP un HTTPS), e-pastu (SMTP) un domēnu nosaukuma sistēmai.

29

Tabula Nr.2.8.

Piekļuves sarakstu uzstādīšana maršrutētājā RR01

Maršrutētāja RR01 konfigurācija

1

config terminal

access -l i st 151 permi t tcp any any eq 80



access -l i st 151 permi t udp any any eq 53

access -l i st 151 permi t tcp any eq 80 any



access -l i st 151 permi t udp any eq 53 any

access -l i st 151 deny udp any any

access -l i st 151 deny tcp any any

access -l i st 171 permi t tcp any 192.168.10.0 0.0.0.255 establ ished

inter face fastethernet1/0

ip access -group 151 in


ip access -group 171 out

exit

Papildus tam saskarnē FastEthernet0/0, kas vērsta iekšējā tīkla virzienā, lai nodrošinātu

plūsmu tikai no lietotāju apakštīkla un neatļautu to virzienā uz lietotāju apakštīklu, ja vien nav

iepriekš plūsma pieprasīta no lietotāja, ir uzstādīts piekļuves saraksts Nr. 171.

Maršrutētāja RA01 piekļuves sarakstu konfigurācija (Tabula Nr. 2.9.) papildus ierobežo

piekļuvi uzņēmuma iekšējiem serveriem. Atšķirībā no RR01 maršrutētāja, RA01 efekts tiek

panākts izmantojot tikai standarta tipa piekļuves sarakstus Nr. 11, 16 un 17.

Tabula Nr.2.9.

Piekļuves sarakstu uzstādīšana maršrutētājā RA01

Maršrutētāja RA01 konfigurācija

1

config terminal



access -l i st 11 deny any

access -l i st 16 deny 10.1.1.0 0.0.0.7

access -l i st 16 permi t any

access -l i st 17 deny 10.1.1.0 0.0.0.7

access -l i st 17 deny 10.10.10.0 0.0.0.15

access -l i st 17 permi t any





ip access -group 16 out

exit

30

Piekļuves saraksts Nr. 11 ir piesaistīts maršrutētāja ārējam – uz kopējo tīkla daļu

vērstajam interfeisam FastEthernet0/0 un atļauj plūsmu no adrešu lauka 192.168.10.0 /24, kur ir

izvietotas lietotāju darbstacijas un 10.10.10.1 /29, kur notiek EIGRP informācijas apmaiņa. Lai

maršrutētāji savstarpēji salāgotos piekļuves sarakstā ienākošai plūsmai ir jāatļauj šis ar lietotājiem

nesaistītais adrešu lauks. Savukārt piekļuves saraksti Nr. 16 un Nr. 17 ir piesaistīti uz serveru

grupu vērstajai saskarnei un Nr. 16 aizliedz piekļuvi DMZ adrešu laukam un iekšējam

maršrutēšanas adrešu laukam, kamēr Nr.17 ierobežo piekļuvi no DMZ un iekšējās maršrutēšanas

adrešu lauka.

Šādi izmantojot iekšējās un ārējās saskarnes tiek panākts, ka piekļuve serveru adrešu

laukam un līdz ar to šai tīkla daļai ir atļauta tikai no lietotāju adrešu lauka.

Maršrutētājā RA02 jeb lietotāju piekļuves maršrutētājā, izmantojot piekļuves sarakstus,

var ērti variēt ar atļautajiem servisiem dažādām lietotāju grupām. Tā apakšsaskarnē

FastEthernet0/1.3 ar vienkāršu standarta tipa sarakstu (Tabula Nr. 2.10.) ir aizliegta no lietotāju

apakštīkla, kas piesaistīts 192.168.10.96 /27, piekļuve DMZ izvietotajām iekārtām.

Tabula Nr.2.10.

Piekļuves sarakstu uzstādīšana maršrutētājā RA02

Maršrutētāja RA02 konfigurācija

1

access -l i st 155 deny tcp 192.168.10.96 0.0.0.31 10.10.10.0 0.0.0.15

access -l i st 155 permi t tcp any any

inter face fastethernet0/1.3

ip access-group 155 in

Pēc piekļuves sarakstu izveides un piesaistes maršrutētājos, tīkla modelī izmantotajiem

komutatoriem ir jāveic atbilstošo parametru iestatīšana. Visos komutatoros tiek atslēgti

neizmantotie porti un aizliegta neautorizēta piekļuve uzstādot paroli.

Tabulā Nr. 2.11. ir norādīta „CISCO Catalyst 2950 24” komutatorā izmantotā

konfigurācija. Komutatoru DSW01 un SwCe01 konfigurācija ir līdzīga un atšķiras tikai saskarņu

nosaukumi un to skaits komutatorā. Pilna visu modelī izmantoto komutatoru un maršrutētāju

konfigurācija ir atrodama 1. un 2. pielikumā.

31

Tabula Nr.2.11.

Komutatoru piekļuves konfigurācija

Konfigurācija CISCO Catalyst 2950 24 komutatoros

1

config terminal

no ip domain-lookup

banner motd ! Neautorizeta piekluve aizliegta !

enable secre t a

service password -encryp tion

l ine con 0

password a

login

logging synchronous

l ine vty 0 15

password a

login

logging synchronous

exit

in t range f0/1-24 (skaits atkarīgs no interfeisu skaita komutatorā, šajā piemērā ir 24)

shut

Tā kā lietotāju apakštīklā esošie komutatori nodrošinās virtuālo lokālo tīklu darbību, tad

starp komutatoriem tiek izveidoti stumbri VLAN informācijas apmaiņai un konfigurēts VTP

serveris centrālajā sadalošajā komutatorā. VTP serveris atjaunos VLAN informāciju tajos

komutatoros, kas konfigurēti kā atbilstošie VTP klienti (Tabula Nr. 2.12.).

Tabula Nr.2.12.

Komutatoru VTP konfigurācija un VLAN izveide

Konfigurācija

Komutators CLSW Komutators ASW1 Komutators ASW2

1 2 3

config terminal

vtp domain userix

vtp mode ser ver

vtp password a

int range f0/1-3

swi tchport mode t runk

no shut

exit

ip default -gateway 192.168.10.2

vlan 11

name Pr_dala

vlan 22

name It_dala

vlan 33

name Atb_dala

config terminal

vtp domain userix

vtp mode cl ient

vtp password a

int range f0 /1 -3


no shut

config terminal

vtp domain userix

vtp mode cl ient

vtp password a

int range f0/1-3


no shut

32

Pēc VTP servera un klientu izveides un saslēgšanas un VLAN izveides komutatorā CLSW

komutatoros ASW1 un ASW 2 ir jānorāda, kuras saskarnes izmantos attiecīgās nodaļas personāls

un līdz ar to, kurš VLAN ir jāpiesaista (Tabula Nr.2.13.).

Tabula Nr.2.13.

VLAN izveide

Konfigurācija

Komutators ASW1 Komutators ASW2

config terminal

int range f0/5-15

swi tchport mode access

swi tchport access vlan 11

int f0/16-20



int f0/22-23



config terminal

int f0/5



Piemērā tiek komutatora ASW1 5.-15. interfeisam tiek piesaistīti Projektu daļas

darbstacijas (VLAN 11), 15.-20. interfeisam IT daļas darbstacijas (VLAN 22) un 22.-23.

interfeisam Atbalsta daļas darbstacijas (VLAN 33).

Līdz ar to datortīkla modeļa plānošanu un konfigurēšanu var uzskatīt par pabeigtu un

visās iekārtās ar komandu „copy run s t a r t ” ir jāsaglabā esošā konfigurācija. Tīklā atliek tikai

nokonfigurēt darbstacijas un serverus un piešķirt tiem atbilstošas IP adreses.

Esošais datortīkla modelis ir pilnībā funkcionējošs un nodrošina plānošanas laikā noteikto

prasību izpildi. Nepieciešamības gadījumā tā moduļu tipa uzbūve ļauj salīdzinoši vienkārši tīklu

paplašināt.

33

SECINĀJUMI

1. Tīkla plānošana ir saistīta ne tikai ar tehnisko risinājumu izstrādi, bet arī uzņēmuma

un tā lietotāju prasību analīzi. Tikai vispusīga uzņēmuma vērtēšana gan no uzņēmuma struktūras,

gan datu svarīguma, gan lietotāju prasībām var sniegt nepieciešamo informāciju sekmīgai

projekta realizācijai.

2. Iespējamo tīkla arhitektūru dažādība paver iespējas izmantot katram uzņēmumam

maksimāli efektīvu, gan izmaksu, gan jaudas ziņā, risinājumu un ar CISCO komunikācijas

iekārtām ir iespējami praktiski visi tīklu risinājumiem, neatkarīgi no izmantotās mediju vides vai

protokola standarta. Tomēr to plašu izmantošanu ierobežo iekārtu izmaksas.

3. Šobrīd datortīklu izveidei ir pieejama plaša mediju izvēle. Tomēr joprojām mazos un

vidējos uzņēmumos par optimālo finanšu un drošības ziņā ir uzskatāms vītā pāra kabelis.

4. Iepazīstoties ar CISCO korporācijas maršrutētājos izmantotajām tehnoloģijām un

mēģinot tās virtuāli simulēt CISCO Packet Tracer programmā, tika plānots izstrādāt darba gaitā

izvēlēto slēguma risinājumu un to testēt. Lai arī izmantotā konfigurācija nav sarežģīta, tās laikā

tika pielaistas sīkas neprecizitātes, kas būtiski aizkavēja moduļa ieviešanu. Kā iemesli ir minami

automātisko konfigurāciju izmantošana un reālas prakses trūkums gan konfigurēšanā, gan

bojājumu atklāšanā un novēršanā. Īpaša uzmanība jāpievērš piekļuves sarakstiem un to

izmantošanas īpatnībām.

5. EIGRP protokola konfigurēšana ir ļoti vienkārša lietošanā un potenciāli kļūstot par

atvērto protokolu var izkonkurēt pašlaik plaši izmantoto OSPF protokolu.

6. EIGRP protokola ieviešanas lietderība ir atkārtoti jāizvērtē tikai pēc tā, kad tas tiks

ieviests trešo pušu maršrutētāju programmnodrošinājumā. Kamēr tas ir tikai CISCO iekārtās,

pāreja uz šīm iekārtām ir finansiāli neizdevīga. Savukārt uzņēmumos, kas jau izmanto EIGRP un

CISCO iekārtas, citu ražotāju šo protokolu atbalstošas iekārtas var būt finansiāli izdevīgs

risinājums modernizācijas vai bojājumu gadījumā.

34

PRIEKŠLIKUMI

1. Izvērtējot modeļa ieviešanas gaitu, nākas secināt, ka galvenā problēma var būt

saistīta ar nepilnīgu tehniskā personāla apmācību un līdz ar to uzņēmumos ir nepieciešams lielāks

uzsvars administratoru apmācībai tīklu plānošanā un dažādos tīklu risinājumiem.

2. Tā kā CISCO ir viens no lielākajiem komunikāciju iekārtu ražotājiem, kas nākotnē,

iespējams, vēl vairāk nostiprinās savas pozīcijas, uzņēmumiem ir lietderīgi daļu administratoru

apmācību procesa paredzēt arī CISCO atbalstītajiem risinājumiem.

3. Lai uzlabotu savu tīkla administratoru darbu ar specifiskām iekārtām un nostiprinātu

viņu teorētiskās zināšanas, apmācību procesā ir nepieciešams iekļaut darbu ar reālām iekārtām,

kā arī dažādiem mediju veidiem.

4. Administratoriem ir nepieciešams izvērtēt esošo maršrutētāju iestatījumus un tīklu

drošība nodrošināšanai plaši izmantot piekļuves sarakstus un to sniegtās iespējas.

5. Pēc EIGRP parādīšanās citu ražotāju iekārtās, uzņēmumiem, kas izmanto EIGRP ir

jāveic to savstarpējās savietojamības ar CISCO iekārtām un risinājumiem pārbaude, kā arī iekārtu

izmaksu salīdzinājums.

35

BIBLIOGRĀFISKAIS SARAKSTS

1. Eiropas Komisijas regula Nr. 264/2004 [Elektroniskais resurss] - Tiešsaites raksts. –

Nosaukums no tīmekļa lapas. - Resurss apskatīts: 10.01.2014. - Pieejas veids: tīmeklis: http://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:08:03:32004R0364:LV:PDF

2. Ethernet 10/100/1000 Mbit wiring diagram and cable pinout [Elektroniskais

resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:

11.01.2014. - Pieejas veids: tīmeklis: http://pinouts.ru/NetworkCables/ethernet_10_100_1000

_pinout.shtml

3. Fiber Optic Transceivers [Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa

lapas. - Resurss apskatīts: 28.01.2014. - Pieejas veids: tīmeklis:

http://www.thefoa.org/tech/ref/appln/transceiver.html

4. Interconnecting Cisco Networking Devices Part 2 Volume 1. - UK, Cisco Systems, 2010. –

334 p.

5. Interconnecting Cisco Networking Devices Part 2 Volume 2. UK, Cisco Systems, 2010. –

227 p.

6. Odom.W. CCENT/CCNA ICND1 640-822 Official Cert Guide - Indianapolis, Cisco Press,

2011. – 736 p.

7. Odom.W. CCENT/CCNA ICND2 640-816 Official Cert Guide - Indianapolis, Cisco Press,

2011. – 738 p.

8. Oppenheimer.P. Top-Down Network Design - Indianapolis, Cisco Press, 2011. – 447 p.

9. Routing TCP/IP Volume 1 / Doyle. J., Carroll. J. - Indianapolis: Cisco Press, 2006. – 911 p.

10. Sample Configuration for Authentication in RIPv2 [Elektroniskais resurss] - Tiešsaites raksts.

– Nosaukums no tīmekļa lapas. - Resurss apskatīts 06.01.2014. - Pieejas veids: tīmeklis:

www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a0080093f1c.shtml

11. US Department of Defense (DoD) Unified Capabilities (UC) Approved Products List (APL)

[Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:

15.01.2014. – Pieejas veids: tīmeklis: https://www.cisco.com/web/strategy/ government/security

_certification/net_business_benefit_secvpn_dod.html

12. Uzņēmējdarbība [Elektroniskais resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa

lapas. - Resurss apskatīts: 23.01.2014. - Pieejas veids: tīmeklis: http://www.em.gov.lv/em/2n

d/?cat=23394

36

13. What are achievable distances single mode vs multimode fibre? Elektroniskais

resurss] - Tiešsaites raksts. – Nosaukums no tīmekļa lapas. - Resurss apskatīts:

25.12.2013. - http://www.universalnetworks.co.uk/faqs/fibre-optics-faqs/fibre-types-and-

distances-1306829646.htm

37

ALBERTA KOLEDŽA Studiju programmas __Informācijas tehnoloģijas_

(studiju programmas nosaukums)

DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS

UZŅĒMUMOS, IZMANTOJOT CISCO IEKĀRTAS (Kvalifikācijas darba temata nosaukums)

GRAFISKĀ DAĻA


Students: Andris Loskutovs __________________________________ (paraksts, datums)

Rīga – 2014

38

DATORTĪKLA IZVEIDE UN

KONFIGURĒŠANA MAZOS UN VIDĒJOS

UZŅĒMUMOS, IZMANTOJOT CISCO

IEKĀRTAS

Andris Loskutovs

Alberta KoledžaInformāciju tehnoloģiju programma

Kursa darbs

Darba aktualitāte un nozīmīgums

• CISCO ir viens no lielākajiem komunikāciju

iekārtu ražotājiem pasaulē

• CISCO produkti ir atzīti kā droši

izmantošanai valsts organizāciju tīklos

• CISCO izstrādātie risinājumi kļūst pieejami

izmantošanai arī citu ražotāju iekārtās

• Mazie un vidējie uzņēmumi veido lielāko

daļu no uzņēmumu apjoma

39

Izmantotās pētīšanas metodes

• Sekundāro datu savākšanas metode

• Vispārzinātniskās metodes:

◦ Loģiski konstruktīvā

◦ Grafiskā

◦ Analīze

Darba mērķa

un uzdevumu izklāsts

• Mērķis ir izzināt datortīkla izveides

principus, tehniskos līdzekļus un

risinājumus, izmantojot CISCO MUV

uzņēmumiem paredzētās tīkla iekārtas

• Uzdevumi

◦ iepazīties ar CISCO iekārtām un tajos

izmantotajiem tīklu izveides un

saistīšanas risinājumiem

◦ iepazīties ar datu pārraides līdzekļiem

◦ Izveidot tīkla iekārtu konfigurācijas

vispārīgu modeli

40

Teorētisko daļu raksturojums(1)

• Veiksmīgas tīklu plānošanas

priekšnosacījumi:

◦ Vispusīga vajadzību apzināšana

◦ Topoloģijas izvēle

◦ Iekārtu un mēdiju izvēle

◦ Atbilstoša maršrutēšanas protokola un

starpsavienojumu risinājumu izvēle

Teorētisko daļu raksturojums(2)

Maršrutēšanas protokoli

41

Praktiskās daļas raksturojums (1)

• Prasības:

◦ MVU tīkls (līdz 250 darbstacijām)

◦ CISCO iekārtas

◦ Ierobežota piekļuve informācijai

◦ Publiski pieejamo serveru iespējama

esamība tīklā


• Risinājumā izmantots:

◦ EIGRP – maršrutētāju starpsavienojumi

◦ VLAN – piekļuve lietotājiem

◦ Piekļuves saraksti (ACL)

◦ Adrešu un portu translēšana

42


MVU slēguma modelis

Secinājumi

• Plānošanas laikā jāpievērš pastiprināta

uzmanība vajadzību apzināšanai.

• MVU ekonomiski izdevīgākais mediju tips

ir veidots ar vītā pāra tehnoloģiju.

• CISCO risinājumi var būt finansiāli

neizdevīgi.

• Nepietiekošas praktiskās iemaņas var būtiski

ierobežot pat vienkāršu risinājumu

ieviešanu.

43

Priekšlikumi

• Plānojot risinājumus balstītus uz CISCO:

◦ Jāveic specializēta administratoru

pirmsapmācība

◦ Nepieciešams izvērtēt risinājuma

lietderību (ekonomiskā) un alternatīvas

• Pēc EIGRP parādīšanās citu ražotāju

iekārtās jāveic to salīdzinājums ar CISCO

iekārtām un risinājumiem

Paldies!

44

ALBERTA KOLEDŽA Studiju programmas __Informācijas tehnoloģijas_

(studiju programmas nosaukums)

DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS

UZŅĒMUMOS, IZMANTOJOT CISCO IEKĀRTAS (Kvalifikācijas darba temata nosaukums)

PIELIKUMI


Students: Andris Loskutovs __________________________________ (paraksts, datums)

Rīga – 2014

45

1.pielikums. Tīkla modeļa maršrutētāju konfigurācija

1.1. RR01 maršrutētājā konfigurācija

version 12.4

service timestamps log datetime msec

service timestamps debug datetime msec

service password-encryption

hostname RR01

enable secret 5 $1$mERr$Tg1seMrv6KpaRO3xYq1uo.

enable password 7 083B

aaa new-model

aaa authentication login local_auth local

username a password 7 0820

ip inspect audit-trail

ip inspect udp idle-time 1800

ip inspect dns-timeout 7

ip inspect tcp idle-time 14400

ip inspect name autosec_inspect http

ip inspect name autosec_inspect udp

ip inspect name autosec_inspect tcp

spanning-tree mode pvst

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.248

ip access-group 171 out

ip nat inside

duplex auto

speed auto


ip address 10.10.10.1 255.255.255.240

ip nat inside

duplex auto

speed auto


ip address 46.109.187.190 255.255.248.0


ip nat outside

ip inspect autosec_inspect out

duplex auto

speed auto


no ip address

duplex auto

speed auto

shutdown

interface Vlan1

46

no ip address

shutdown

router eigrp 5

redistribute static

network 10.1.1.0 0.0.0.7

network 10.10.10.0 0.0.0.15

no auto-summary

ip nat inside source list 10 interface FastEthernet1/0 overload

ip nat inside source static tcp 10.10.10.2 80 46.109.187.190 80



ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet1/0

access-list 10 permit 10.1.1.0 0.0.0.7

access-list 151 permit tcp any any eq www

access-list 151 permit tcp any any eq smtp

access-list 151 permit tcp any any eq 443

access-list 151 permit udp any any eq domain

access-list 151 permit tcp any eq www any

access-list 151 permit tcp any eq smtp any

access-list 151 permit tcp any eq 443 any

access-list 151 permit udp any eq domain any

access-list 151 deny udp any any

access-list 151 deny tcp any any

access-list 171 permit tcp any 192.168.10.0 0.0.0.255 established

no cdp run

banner motd sis ir uznemuma ipasums. neautorizeta pieluve ir

aizliegta.

logging trap debugging

line con 0

transport output telnet

exec-timeout 5 0

login authentication local_auth

line vty 0 4


transport input telnet

end

1.2. RA01 maršrutētājā konfigurācija

version 12.4




hostname RA01


47


aaa new-model





ip address 10.1.1.5 255.255.255.248


ip nat outside

duplex auto

speed auto


ip address 192.168.1.1 255.255.255.240


ip access-group 16 out

ip nat inside

duplex auto

speed auto

interface Vlan1

no ip address

shutdown

router eigrp 5

network 10.1.1.0 0.0.0.7

network 192.168.1.0 0.0.0.15

no auto-summary

ip classless



access-list 11 deny any

access-list 16 deny 10.1.1.0 0.0.0.7

access-list 16 permit any

access-list 17 deny 10.1.1.0 0.0.0.7

access-list 17 deny 10.10.10.0 0.0.0.15

access-list 17 permit any

no cdp run

banner motd neautorizeta piekluve ir aizliegta.


line con 0


exec-timeout 5 0


line vty 0 4



end

48

1.3. RA01 maršrutētājā konfigurācija

version 12.4




hostname RA02



aaa new-model





ip address 10.1.1.3 255.255.255.248

ip nat outside

duplex auto

speed auto


no ip address

ip nat inside

duplex auto

speed auto

interface FastEthernet0/1.1

encapsulation dot1Q 11

ip address 192.168.10.2 255.255.255.192



ip address 192.168.10.66 255.255.255.224



ip address 192.168.10.98 255.255.255.224


interface Vlan1

no ip address

shutdown

router eigrp 5

network 10.1.1.0 0.0.0.7

network 192.168.10.0

no auto-summary

ip classless

access-list 155 deny tcp 192.168.10.96 0.0.0.31 10.10.10.0 0.0.0.15

access-list 155 permit tcp any any

no cdp run

banner motd neautorizeta piekluve ir aizliegta.

49


line con 0


exec-timeout 5 0


line vty 0 4



end

50

2.pielikums. Tīkla modeļa komutatoru konfigurācija

2.1. DSW01 konfigurācija

version 12.1

no service timestamps log datetime msec

no service timestamps debug datetime msec


hostname DSW01


no ip domain-lookup






shutdown


shutdown


shutdown

interface Vlan1

no ip address

shutdown

banner motd Neautorizeta piekluve

aizliegta

line con 0

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

2.2. SwCe01 konfigurācija

version 12.1



51


hostname SwCe01


no ip domain-lookup






shutdown


shutdown


shutdown

interface Vlan1

no ip address

shutdown


aizliegta

line con 0

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

2.3. SWP01 konfigurācija

version 12.1




hostname SWP01


no ip domain-lookup






52


shutdown

...


shutdown

interface Vlan1

no ip address

shutdown


aizliegta

line con 0

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

2.4. CLSW konfigurācija

version 12.1




hostname CLSW


no ip domain-lookup



switchport mode trunk






shutdown

...


shutdown

interface Vlan1

no ip address

53

shutdown

ip default-gateway 192.168.10.2


aizliegta

line con 0

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

2.5. ASW01 konfigurācija

version 12.1




hostname ASW1


no ip domain-lookup





shutdown


shutdown


shutdown


switchport access vlan 11



shutdown



shutdown



shutdown

54



shutdown



shutdown



shutdown



shutdown



shutdown



shutdown



shutdown





shutdown



shutdown



shutdown



shutdown



shutdown





shutdown


shutdown

interface Vlan1

no ip address

shutdown

55


aizliegta

line con 0

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

2.6. ASW02 konfigurācija

version 12.1




hostname ASW02


no ip domain-lookup





shutdown

...


shutdown



switchport mode access


shutdown

...


shutdown

interface Vlan1

no ip address

shutdown


aizliegta

line con 0

56

password 7 0820

logging synchronous

login

line vty 0 4

password 7 0820

logging synchronous

login

line vty 5 15

password 7 0820

logging synchronous

login

end

Documents

DATORTĪKLA IZVEIDE UN KONFIGURĒŠANA MAZOS UN VIDĒJOS ... · Izveidot tīkla iekārtu konfigurācijas vispārīgu modeli, izmantojot Cisco Packet Tracer tīklu modelēšanas rīku