Презентация на тему: МДК.01.01 Организация, принципы построения и функционирования компьютерных

Реклама. Продолжение ниже
МДК.01.01 Организация, принципы построения и функционирования компьютерных сетей 3 -курс
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
МДК.01.01 Организация, принципы построения и функционирования компьютерных
Список литературы :
Список ссылок:
МДК.01.01 Организация, принципы построения и функционирования компьютерных
1/55
Средняя оценка: 4.8/5 (всего оценок: 46)
Код скопирован в буфер обмена
Скачать (11783 Кб)
Реклама. Продолжение ниже
1

Первый слайд презентации: МДК.01.01 Организация, принципы построения и функционирования компьютерных сетей 3 -курс

Занятие 17 Практические занятия

Изображение слайда
1/1
2

Слайд 2

Тема: VPN с оединение на Cisco ASA. Рассмотрим построение Site-to-Site VPN на Cisco ASA. К сожалению межсетевой экран в программе Cisco очень сильно урезан в функционале. Поэтому у нас не получится построить полноценную сеть, как это было с маршрутизаторами в предыдущей работе. Дело в том, что в этой версии программы невозможно организовать одновременную работу NAT и VPN. В донном случае обойд ё мся без технологии NAT и будем строить только Site-to-Site VPN.

Изображение слайда
Изображение для работы со слайдом
1/2
3

Слайд 3

Построим схему, показанную на рисунке. Подробно рассмотрим настройки Cisco ASA.

Изображение слайда
Изображение для работы со слайдом
1/2
4

Слайд 4

Зайдём в настройки ASA0 : « en », пароль пустой, поэтому просто нажимаем <Enter>, далее посмотрим заводские настройки: « show run », для продолжения просмотра нажимаем < Пробел >. Видим, что Ethernet0/0 уже настроен во vlan 2.

Изображение слайда
Изображение для работы со слайдом
1/2
5

Слайд 5

Для продолжения просмотра нажимаем < Пробел >. Видим, что interface Vlan2 является внешним интерфейсом ( outside ), ip -адрес ему не назначен. А interface Vlan 1 является внутренним интерфейсом ( inside ) с уже назначенным шлюзом. Его ip -адрес: 192.168.1.1 255.255.255.0

Изображение слайда
Изображение для работы со слайдом
1/2
6

Слайд 6

Для продолжения просмотра нажимаем < Пробел >. Видим, что на внутреннем интерфейсе уже настроен DHCP, при этом указан диапазон ip -адресов: 192.168.1.5 - 192.168.1.35

Изображение слайда
Изображение для работы со слайдом
1/2
7

Слайд 7

Зададим ip -адрес на внешнем интерфейсе ( vlan 2 ): « conf t », « int vlan 2 », « ip address 210.210.1.2 255.255.255.252 », « no shutdown », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
Реклама. Продолжение ниже
8

Слайд 8

Зададим маршрут по умолчанию на внешний интерфейс через ip -адрес интернет-провайдера ( 210.210.1.1 ): « conf t », « route outside 0.0.0.0 0.0.0.0 210.210.1.1 ».

Изображение слайда
Изображение для работы со слайдом
1/2
9

Слайд 9

Далее нужно настроить инспектирование трафика. Сначала определяем тип трафика, который хотим инспектировать: « class-map inspection_default », указываем весь трафик: « match default-inspection-traffic », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
10

Слайд 10

Далее создаём политику (действие над трафиком): « policy-map global_policy ». Это действие применяется к созданному нами классу: « class inspection_default », нас интересует инспектирование трафика icmp : « inspect icmp », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
11

Слайд 11

Далее определяем, в каком направлении будем использовать политику инспектирования трафика. В нашем случае во всех направлениях : « service-policy global_policy global », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
12

Слайд 12

Так как DHCP на Cisco ASA уже настроен, зайдём в настройки компьютера, выбираем DHCP, видим, что нам выдали первый ip -адрес из всего диапазона ip -адресов ( 192.168.1.5 ).

Изображение слайда
Изображение для работы со слайдом
1/2
13

Слайд 13

Зайдём в настройки ASA1 : « en », пароль пустой, поэтому просто нажимаем <Enter>, далее посмотрим заводские настройки: « show run », для продолжения просмотра нажимаем < Пробел >. Видим, что настройка такие же, как у ASA 0. А самое главное, что назначены такие же ip -адреса. Но ip -адреса должны отличаться, поэтому их надо заменить.

Изображение слайда
Изображение для работы со слайдом
1/2
14

Слайд 14

Для этого удалим pool ip -адресов DHCP и исправим ip -адрес на внутреннем интерфейсе ( vlan 1) : « conf t », « no dhcpd address 192.168.1.5-192.168.1.35 inside », « interface Vlan1 », « ip address 192.168. 2.1 255.255.255.0 », « no shutdown ». Добавим новый pool : « dhcpd address 192.168.2.5-192.168.2.35 inside ».

Изображение слайда
Изображение для работы со слайдом
1/2
Реклама. Продолжение ниже
15

Слайд 15

Зададим ip -адрес на внешнем интерфейсе ( vlan 2 ): « int vlan 2 », « ip address 210.210. 2.2 255.255.255.252 », « no shutdown ».

Изображение слайда
Изображение для работы со слайдом
1/2
16

Слайд 16

Зададим маршрут по умолчанию на внешний интерфейс через ip -адрес интернет-провайдера (210.210. 2.1): « conf t », « route outside 0.0.0.0 0.0.0.0 210.210. 2.1 ».

Изображение слайда
Изображение для работы со слайдом
1/2
17

Слайд 17

Далее нужно настроить инспектирование трафика. Сначала определяем тип трафика, который хотим инспектировать: « class-map inspection_default », указываем весь трафик: « match default-inspection-traffic », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
18

Слайд 18

Далее создаём политику (действие над трафиком): « policy-map global_policy ». Это действие применяется к созданному нами классу: « class inspection_default », нас интересует инспектирование трафика icmp : « inspect icmp », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
19

Слайд 19

Далее определяем, в каком направлении будем использовать политику инспектирования трафика. В нашем случае во всех направлениях : « service-policy global_policy global », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
20

Слайд 20

Так как DHCP на Cisco ASA уже настроен, зайдём в настройки компьютера, выбираем DHCP, видим, что нам выдали первый ip -адрес из нового диапазона ip -адресов, который мы создали (192.168. 2.5).

Изображение слайда
Изображение для работы со слайдом
1/2
21

Слайд 21

Настроим ip -адреса на маршрутизаторе интернет-провайдера ( Router0 ) : « n », « en », « conf t », « int fa0/0 », « ip address 210.210.1.1 255.255.255.252 », « no shutdown », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
22

Слайд 22

Далее: « int fa0/1 », « ip address 210.210.2.1 255.255.255.252 », « no shutdown », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
23

Слайд 23

Проверим связь между межсетевыми экранами: « ping 210.210.2.2 ». Связь есть!!! Далее нужно бы настроить NAT, но так как он не работает совместно с VPN, то приступим к настройке VPN. На реальном оборудовании такого ограничения быть не должно. Возможно, его не будет в следующей версии программы. Делается это также как в предыдущей работе, кроме некоторых команд.

Изображение слайда
Изображение для работы со слайдом
1/2
24

Слайд 24

Начнём с маршрутизатора центрального офиса Router0. Для начала нам необходимо настроить первую фазу. На внешнем интерфейсе включим протокол ike : « crypto ikev1 enable outside ». Далее создаётся политика : « crypto ikev1 policy 1 » где мы указываем алгоритм шифрования 3 des (это параметры для построения мини туннеля ISAKMP -туннеля, через который будут передаваться параметры основного Ipsec -туннеля ): « encryption 3des », алгоритм хеширования md5 : « hash md5 », тип аутентификации Pre-Shared Key : « authentication pre-share » и алгоритм Диффи — Хеллмана : « group 2 », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
25

Слайд 25

Настроим ключ аутентификации и адреса пира, то есть внешнего ip - адреса межсетевого экрана ASA1, с которым будем строить VPN : « tunnel-group 210.210.2.2 type ipsec-l2l ». Зададим атрибуты ipsec : « tunnel-group 210.210.2.2 ipsec -attributes », « ikev1 pre-shared-key cisco », « exit ». Мы настроили параметры, необходимые для первой фазы. Переходим ко второй фазе.

Изображение слайда
Изображение для работы со слайдом
1/2
26

Слайд 26

Указываем параметры для построения ipsec - туннеля с именем TS, далее указываем алгоритм шифрования и хэширования : « crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac ».

Изображение слайда
Изображение для работы со слайдом
1/2
27

Слайд 27

Далее мы должны создать Access List с именем FOR-VPN, то есть определить, какой трафик мы будем направлять в VPN -туннель: « access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 ».

Изображение слайда
Изображение для работы со слайдом
1/2
28

Слайд 28

Создаём крипто-карту с именем TO-SITE2 под номером 1 : « crypto map TO-SITE2 1 match address FOR-VPN », указываем пир, то есть внешний ip - адрес межсетевого экрана ASA1 : « crypto map TO-SITE2 1 set peer 210.210.2.2 », и указываем lifetime туннеля в секундах: « crypto map TO-SITE2 1 set security-association lifetime seconds 86400 ». Привязываем transform-set TS : « crypto map TO-SITE2 1 set ikev1 transform-set TS ».

Изображение слайда
Изображение для работы со слайдом
1/2
29

Слайд 29

Привяжем эту крипто-карту к внешнему интерфейсу: « crypto map TO-SITE2 interface outside », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
30

Слайд 30

Начнём с маршрутизатора центрального офиса Router0. Для начала нам необходимо настроить первую фазу. На внешнем интерфейсе включим протокол ike : « crypto ikev1 enable outside ». Далее создаётся политика : « crypto ikev1 policy 1 » где мы указываем алгоритм шифрования 3 des (это параметры для построения мини туннеля ISAKMP -туннеля, через который будут передаваться параметры основного Ipsec -туннеля ): « encryption 3des », алгоритм хеширования md5 : « hash md5 », тип аутентификации Pre-Shared Key : « authentication pre-share » и алгоритм Диффи — Хеллмана : « group 2 », « exit ».

Изображение слайда
Изображение для работы со слайдом
1/2
31

Слайд 31

Настроим ключ аутентификации и адреса пира, то есть внешнего ip - адреса межсетевого экрана ASA0, с которым будем строить VPN : « tunnel-group 210.210. 1.2 type ipsec-l2l ». Зададим атрибуты ipsec : « tunnel-group 210.210. 1.2 ipsec -attributes », « ikev1 pre-shared-key cisco », « exit ». Мы настроили параметры, необходимые для первой фазы. Переходим ко второй фазе.

Изображение слайда
Изображение для работы со слайдом
1/2
32

Слайд 32

Указываем параметры для построения ipsec - туннеля с именем TS, далее указываем алгоритм шифрования и хэширования : « crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac ».

Изображение слайда
Изображение для работы со слайдом
1/2
33

Слайд 33

Далее мы должны создать Access List с именем FOR-VPN, то есть определить, какой трафик мы будем направлять в VPN -туннель: « access-list FOR-VPN extended permit icmp 192.168. 2.0 255.255.255.0 192.168. 1.0 255.255.255.0 ».

Изображение слайда
Изображение для работы со слайдом
1/2
34

Слайд 34

Создаём крипто-карту с именем TO-SITE2 под номером 1 : « crypto map TO-SITE 1 1 match address FOR-VPN », указываем пир, то есть внешний ip - адрес межсетевого экрана ASA1 : « crypto map TO-SITE 1 1 set peer 210.210. 1.2 », и указываем lifetime туннеля в секундах: « crypto map TO-SITE 1 1 set security-association lifetime seconds 86400 ». Привязываем transform-set TS : « crypto map TO-SITE 1 1 set ikev1 transform-set TS ».

Изображение слайда
Изображение для работы со слайдом
1/2
35

Слайд 35

Привяжем эту крипто-карту к внешнему интерфейсу: « crypto map TO-SITE 1 interface outside », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
36

Слайд 36

Проверим связь между компьютерами из центрального офиса и филиала: « ping 192.168.2.5 ». Связи нет 

Изображение слайда
Изображение для работы со слайдом
1/2
37

Слайд 37

Зайдём на ASA0. Посмотрим, строится ли туннель: « show crypto isakmp sa ». Видим, что технологический туннель построен.

Изображение слайда
Изображение для работы со слайдом
1/2
38

Слайд 38

Проверим ipsec : « show crypto ipsec sa ». Если команда сработает (у меня не получается), в появившейся таблице должны увидеть, что туннель построен, при этом ASA 0 пакеты шифрует, но приходящие пакеты не расшифровывает.

Изображение слайда
Изображение для работы со слайдом
1/2
39

Слайд 39

Зайдём на ASA 1. Посмотрим, строится ли туннель: « show crypto isakmp sa ». Видим, что технологический туннель построен.

Изображение слайда
Изображение для работы со слайдом
1/2
40

Слайд 40

Проверим ipsec : « show crypto ipsec sa ». Здесь, если сработает команда, увидим обратную картину, туннель построен, при этом ASA 1 пакеты расшифровывает, но зашифрованные пакеты не отправляет. Это может быть связано с тем, что ASA видит приходящий трафик, но не знает, можно его пропускать или нет. Исправить ситуацию можно, используя Access-list.

Изображение слайда
Изображение для работы со слайдом
1/2
41

Слайд 41

Создадим такой Access-list на ASA 0 с именем FROM-VPN и разрешим трафик из сети 192.168.2.0, получателем будет сеть 192.168.1.0 : « access-list FROM-VPN permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ». Привяжем это Access-list на исходящий интерфейс ASA 0. Для трафика из сети 192.168.2.0 входящим в ASA 0 будет интерфейс Et0/0, а исходящим – Et0/1 ( то е сть, к компьютерам ) : « access-group FROM-VPN out interface inside », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
42

Слайд 42

Аналогичные действия проведём на ASA 1. Создадим Access-list с именем FROM-VPN и разрешим трафик из сети 192.168. 1.0, получателем будет сеть 192.168. 2.0 : « access-list FROM-VPN permit icmp 192.168. 1.0 255.255.255.0 192.168. 2.0 255.255.255.0 ». Привяжем это Access-list на исходящий интерфейс ASA 1. Для трафика из сети 192.168. 1.0 входящим в ASA 0 будет интерфейс Et0/0, а исходящим – Et0/1 ( то е сть, к компьютерам ) : « access-group FROM-VPN out interface inside », « end », « wr mem ».

Изображение слайда
Изображение для работы со слайдом
1/2
43

Слайд 43

Проверим связь между компьютерами из Центрального офиса и филиала : « ping 192.168.2.5 ». Связь есть!!!

Изображение слайда
Изображение для работы со слайдом
1/2
44

Слайд 44

Проверим связь между компьютерами в обратном направлении: « ping 192.168. 1.5 ». Связь есть!!!

Изображение слайда
Изображение для работы со слайдом
1/2
45

Слайд 45

Зайдём на ASA 0. Ещё раз проверим ipsec : « show crypto ipsec sa ». Т уннель построен, при этом видим количество зашифрованных и расшифрованных пакетов.

Изображение слайда
Изображение для работы со слайдом
1/2
46

Слайд 46

Зайдём на ASA 1. Тоже проверим ipsec : « show crypto ipsec sa ». Т уннель построен, тоже видим количество зашифрованных и расшифрованных пакетов.

Изображение слайда
Изображение для работы со слайдом
1/2
47

Слайд 47

Добавим компьютер в Центральный офис, включим DHCP, получим ip - адрес.

Изображение слайда
Изображение для работы со слайдом
1/2
48

Слайд 48

Добавим компьютер в филиал, включим DHCP, получим ip - адрес.

Изображение слайда
Изображение для работы со слайдом
1/2
49

Слайд 49

Ещё раз проверим связь между компьютерами из Центрального офиса и филиала : « ping 192.168.2.5 ». Связь не сразу, но появляется.

Изображение слайда
Изображение для работы со слайдом
1/2
50

Слайд 50

Проверим связь между компьютером из Центрального офиса и добавленным компьютером филиала : « ping 192.168.2. 6 ». Связь есть!!!

Изображение слайда
Изображение для работы со слайдом
1/2
51

Слайд 51

В заключении п роверим связь между добавленными компьютерами из Центрального офиса и филиала : « ping 192.168.2. 6 ». Связь есть!!! Таким образом мы построили VPN- соединение, используя Cisco ASA !!!

Изображение слайда
Изображение для работы со слайдом
1/2
52

Слайд 52

Изображение слайда
Изображение для работы со слайдом
1/2
53

Слайд 53: Список литературы :

Компьютерные сети. Н.В. Максимов, И.И. Попов, 4-е издание, переработанное и дополненное, «Форум», Москва, 2010. Компьютерные сети. Принципы, технологии, протоколы, В. Олифер, Н. Олифер (5-е издание), «Питер», Москва, Санк -Петербург, 2016. Компьютерные сети. Э. Таненбаум, 4-е издание, «Питер», Москва, Санк -Петербург, 2003. Список литературы :

Изображение слайда
1/1
54

Слайд 54: Список ссылок:

http:// blog.netskills.ru/2014/03/firewall-vs-router.html https:// drive.google.com/file/d/0B-5kZl7ixcSKS0ZlUHZ5WnhWeVk/view Список ссылок:

Изображение слайда
1/1
55

Последний слайд презентации: МДК.01.01 Организация, принципы построения и функционирования компьютерных

Спасибо за внимание! Преподаватель: Солодухин Андрей Геннадьевич Электронная почта: asoloduhin@kait20.ru

Изображение слайда
1/1
Реклама. Продолжение ниже