Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

SMC - Czy dobrze zaadresowałem sieć WAN?

18 Gru 2012 16:31 2328 19
  • Poziom 11  
    Mam zaadresować w klasie A sieć rozległą łączącą centralę firmy z jej 5 oddziałami

    X-nr. kondygnacji /przełącznika/ routera
    Y-nr. hosta

    Centrala:
    adres podsieci: 1.0.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    I odział
    adres podsieci:1.1.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    II oddział
    adres podsieci:1.2.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    III oddział
    adres podsieci:1.3.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    IV oddział
    adres podsieci:1.4.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    V oddział
    adres podsieci:1.5.X.Y
    maska: 255.0.0.0
    broadcast: 1.255.255.255

    1. Czy dobrze to wszystko zaadresowałem?
    2. Czy potrzebny jest NAT gdy mamy już zaadresowaną sieć ?SMC - Czy dobrze zaadresowałem sieć WAN?
  • Pomocny post
    Poziom 31  
    ad.2. NAT-a używamy przy łączeniu się z siecią Internet dla oszczedności adresów publicznych oraz na styku niezależnych sieci prywatnych w przypadku pokrywania się adresacji. Stosowanie NAT-a w jednej sieci prywatnej to proszenie się o poważne problemy komunikacyjne i ogromne problemy z konfiguracją.

    ad.1. Zadresowałeś źle! Sieci sieci poszczególnych odziałów się nakładają. W związku z tym nie zrobisz normalnego routingu i będzie potrzebny NAT (patrz ad.2). Zakładając, że używasz sieci 1.0.0.0/8 (swoją drogą jest to adres publiczny i jeśli planujesz połączenie z siecią Internet, to będziesz miał problem... używa się sieci prywatnej, dla klasy A jest to: 10.0.0.0/8), to np.:

    Centrala:
    adres podsieci: 1.0.0.0
    maska: 255.255.0.0
    broadcast: 1.0.255.255

    Oddział 1:
    adres podsieci: 1.1.0.0
    maska: 255.255.0.0
    broadcast: 1.1.255.255

    Oddział 2:
    adres posieci: 1.2.0.0
    maska: 255.255.0.0
    broadcast: 1.2.255.255

    itd.

    Oczywiście podsieci w ramach oddzialu można sobie dalej dzielić.

    Dodatkowo zapomniałeś o łączach WAN. Łącza punkt-punkt również wymagają zaadresowania. Najczęściej stosuje się podsieci z maską 30 bitową (maska 255.255.255.252).

    Pozdr!
  • Poziom 11  
    1. Więc najlepiej zrezygnować całkowicie z NAT i dobrze zaadresować sieć wan?. Czy dobrze to zrozumiałem?

    2.
    Cytat:
    Zadresowałeś źle! Sieci sieci poszczególnych odziałów się nakładają. W związku z tym nie zrobisz normalnego routingu

    W jaki sposób się nakładają? nie rozumiem

    3.
    Cytat:
    używa się sieci prywatnej, dla klasy A jest to: 10.0.0.0/8

    Więc sieć prywatna zaczyna się od 10 w górę? a wszystkie poniżej 10 to sieci publiczne?

    4.
    Cytat:
    Dodatkowo zapomniałeś o łączach WAN. Łącza punkt-punkt również wymagają zaadresowania

    Jak to się robi? Jak by to wyglądało w moim przypadku?

    5.
    Cytat:
    Oczywiście podsieci w ramach oddziału można sobie dalej dzielić.

    Więc np. w centrali mogłoby to wyglądać w ten sposób?:
    1.0.0.0 i 1.6.0.0 i 1.7.0.0

    6. Czy mógłbyś polecić mi jakąś dobrą książkę lub kurs, żebym mógł to wszystko zrozumieć?
  • Pomocny post
    Poziom 31  
    ad.1. Tak. W sieci prywatnej zastosowanie NAT-a powoduje problemy z "widocznością" komputerów. Musiałbyś stosować NAT statyczny, ale nie zapanowałbyś nad konfiguracją.

    ad.2. Adres składa się z dwóch elementów: adresu IP i maski podsieci. Rola adresu IP jest chyba jasna i jest unikalna liczba określająca/adresująca jednoznacznie dany host w sieci. Maska natomiast wyznacza granicę pomiędzy siecią lokalną, czyli taką, gdzie komunikacja przebiega bezpośrednio (bez potrzeby routingu) a światem zewnętrznym (komunikacją kierowaną na tzw. bramę domyślną i dalej realizowaną przez routery).

    Wracając... dla wszystkich oddziałów zastosowałeś maskę 8 bitową (255.0.0.0), co w połączeniu z założonym adresem sieci 1.0.0.0 daje zakres od 1.0.0.0 do 1.255.255.255 i cały ten zakres jest traktowany jako jeden LAN. Adresy są oczywiście unikalne (zapewnia to 2 oktet), ale podsieci jako całość nachodzą na siebie. Poszczególne hosty w jednym oddziale nie wiedzą, że muszą ruch do innego oddziału skierować na adres routera.

    ad.3. W momencie jak były tworzone podstawy IPv4 nikt nie myślał, że nastąpi tak gwałtowny rozwój sieci i dramatyczne zapotrzebowanie na adresy IP. Ponieważ adresy w sieci Internet muszą być unikalne, przydzielaniem ich i pilnowaniem zajmują się specjalnie powołane instytucje. Związana jest z tym konieczność "poinformowania" wszystkich w sieci, jak trafić do danego adresu... czyli muszą istnieć pewne mechanizmy rozgłaszania tych informacji.
    W pewnym momencie zauważono, że jest to dobro skończone i szybko się wyczerpujące. Wtedy ktoś wpadł na pomysł, żeby wydzielić pewne zakresy jako tzw. adresy prywatne i wyłączyć je z użytku w sieci publicznej (nie rozgłaszać ich). Dzięki temu stosując zamiany adresów i manipulując numerami portów (NAT/PAT), możliwe jest przydzielanie znacznie mniejszych zakresów adresów publicznych. Jedną z wad (ze względu na bezpieczeństwo - zaleta) takiego rozwiązania jest ograniczona "widoczność" komputerów za NAT-em z sieci publicznej.
    Zakresy adresów prywatnych reguluje dokument RFC1918 i są to:
    - 10.0.0.0/8 (zakres: 10.0.0.0-10.255.255.255)
    - 172.16.0.0/12 (zakres: 172.16.0.0-172.31.255.255)
    - 192.168.0.0/16 (zakres: 192.168.0.0-192.168.255.255)

    ad.4. Bierzesz jakąś podsieć z Twojego zakresu, np.: 1.100.0.0 i ją dzielisz stosując maskę 30 bitową, np.:

    Łącze 1:
    podsieć: 10.100.0.0
    maska: 255.255.255.252
    zakres adresów: 10.100.0.1-2

    Łącze 2:
    podsieć: 10.100.0.4
    maska: 255.255.255.252
    zakres adresów: 10.100.0.5-6

    ad.5. Materiały Cisco Akademii oraz materiały do egzaminów CCNA ICND1 (np.: książka Wendell Odom "CCENT/CCNA ICND1 640-822 Official Cert Guide"
  • Poziom 11  
    1. Czy adresacja łączy może wyglądać w ten sposób?
    Łącze Centrala-Oddział I:
    podsieć: 10.100.0.0
    maska: 255.255.255.252
    zakres adresów: 10.100.0.1-2

    Łącze Centrala-Odział II:
    podsieć: 10.100.0.1
    maska: 255.255.255.252
    zakres adresów: 10.100.0.3-4

    Łącze Centrala-Odział III:
    podsieć: 10.100.0.2
    maska: 255.255.255.252
    zakres adresów: 10.100.0.5-6

    2.
    Cytat:
    zakres adresów: 10.100.0.5-6
    <-czy chodzi tu o adresy routerów?

    3. W projekcie mam jeszcze uruchomić routing w sieci WAN. Podobno trzeba stworzyć jakąś tablice routingu - ręcznie bądź za pomocą protokół routingu, ale nie wiem jak to się robi
  • Pomocny post
    Poziom 31  
    ad.1 i 2. Nie, przy masce 30 bitowej adresy podsieci zmieniają się o 4 (2^2), czyli poprawnie powinno być:

    Łącze Centrala-Oddział I:
    podsieć: 10.100.0.0
    maska: 255.255.255.252
    zakres adresów: 10.100.0.1-2
    bradcast: 10.100.0.3

    Łącze Centrala-Odział II:
    podsieć: 10.100.0.4
    maska: 255.255.255.252
    zakres adresów: 10.100.0.5-6
    broadcast: 10.100.0.7

    Łącze Centrala-Odział III:
    podsieć: 10.100.0.8
    maska: 255.255.255.252
    zakres adresów: 10.100.0.9-10
    broadcast: 10.100.0.11

    Sprawdź sobie w jakimś subnet-calculator'ze, np.: http://www.subnet-calculator.com/subnet.php?net_class=A

    W Twoim przypadku są łącza punkt-punkt i potrzebujesz podsieci o 2 użytecznych adresach... interfejs routera po jednej stronie i interfejs routera po drugiej stronie. Tak, można powiedzieć, że są to adresy dla routerów, ale jeszcze bardziej dla, że adresy interfejsów na routerach.

    ad.3. Szukaj pod hasłem "routing statyczny". Podpowiedź: w przypadku oddziałów, przy takiej topologi połączeń, wystarczy tzw. default routing. W przypadku centrali musisz już niestety wskazać co i gdzie ma iść.
    Możesz również pobawić się routingiem dynamicznym, dla Ciebie najprostszy będzie RIPv2.

    PS. Poszukaj sobie symulatorów sieci, np.: GNS3 albo może ktoś udostępni Cisco Packet Tracer. Ładniej będzie to wyglądało na zaliczeniu...
  • Poziom 11  
    Wcześniej zaadresowałem sieć LAN w centrali. Czy taka konfiguracja nie przeszkadzałaby w łączności z oddziałami I-V oraz internetem?:

    Urządzenia wpięte do gniazdek logicznych znajdujących się na parterze otrzymają adresy IP w zakresie 1.0.1.1 - 1.0.1.101.
    Urządzenia wpięte do gniazdek logicznych znajdujących się na piętrze pierwszym otrzymają adresy IP w zakresie 1.0.2.1 - 1.0.2.101.
    Urządzenia wpięte do gniazdek logicznych znajdujących się na piętrze drugim otrzymają adresy IP w zakresie 1.0.3.1 - 1.0.3.101.
    Urządzenia wpięte do gniazdek logicznych znajdujących się na piętrze trzecim otrzymają adresy IP w zakresie 1.0.4.1 - 1.0.4.101.
    Urządzenia wpięte do gniazdek logicznych znajdujących się na piętrze czwartym otrzymają adresy IP w zakresie 1.0.5.1 - 1.0.5.101.

    Maska podsieci dla wyżej wymienionych adresów wygląda tak:
    255.255.0.0

    Adresy sieciowe IP 1.0.6.X otrzymają przełączniki i router
  • Poziom 31  
    Użyłeś adresów publicznych (1.0.x.y), które są gdzieś używane w sieci Internet. Nie będzie to przeszkadzało w łączności do oddziałów, ale zakłóci łączność do tego zakresu w Internecie.

    Przy takiej masce (255.255.0.0), cała ta sieć, to jedna sieć lokalna (i jedna tzw. domena rozgłoszeniowa/broadcastowa). Nie da się filtrować ruchu pomiędzy zakresami dla poszczególnych pięter oraz zbyt duża domena broadcastowa prowadzi do spadku wydajności sieci. Komputer zabrany np.: z 4 pietra będzie działał na parterze bez dodatkowych czynności, typu: zmiana adresu. Dowolny pracownik będzie mógł się podszyć pod dowolny adres w sieci oraz zakłócić lub podsłuchać dowolną transmisję - pod względem bezpieczeństwa (security) jest to sytuacja nie do przyjęcia. Konieczne jest dalsze subnetowanie i zastosowanie VLAN-ów (wirtualne sieci lokalne).

    Nie stosuje się obecnie sztywnego przydzielania podsieci do miejsca w budynku lub przełącznika, tylko stosuje się VLAN-y. Umożliwiają one stworzenie podziału pod względem organizacyjnym i zrywają przywiązywanie się do "miejsca siedzenia" danego pracownika lub miejsca postawienia danego urządzenia.
  • Poziom 11  
    Więc jak to powinno wyglądać?. Teraz to już dla mnie się zrobił kosmos :(
  • Poziom 11  
    Jak powinienem w mojej sytuacji zaadresować sieć lan?
  • Poziom 31  
    Nikt nie powiedział, że ma być za łatwo...

    Po pierwsze załatw sobie dostęp do jakiegoś symulatora, np.: Packet Tracer-a. Łatwiej poprawić, lepiej widać, można sprawdzić czy działa i nie trzeba pisać wypracowania opisowego.

    "Mam zaadresować w klasie A sieć rozległą łączącą centralę firmy z jej 5 oddziałami "... tak jak napisałeś masz użyć adresów z klasy A. Klasa A zaczyna się od 1.0.0.0/8 i kończy na 126.0.0.0/8, więc teoretycznie możesz użyć dowolnej sieci z tego zakresu, ale masz mieć świadomość, że jeśli użyjesz czegoś innego niż zakres prywatny (czyli: 10.0.0.0/8), to będziesz miał problem tego z połączeniem do sieci publicznej.
    Bierzesz dowolną sieć klasy A, np.: 10.0.0.0/8 lub jeśli się upierasz to: 1.0.0.0/8 i dzielisz ją wg. zasad subnetowania na mniejsze podsieci, żeby wszystko zaadresować.
    Wtedy zaczyna się "gdybanie"... trzeba wziąć pod uwagę i strukturę organizacyjną, i zalecenia bezpieczeństwa, i rozmieszczenie geograficzne, czasem wręcz czynniki lokalowe, i na koniec plany rozwoju na przyszłość.
  • Poziom 11  
    więc sieć LAN powinienem podzielić na podsieci? bo rozumiem, że sieć WAN już dobrze zaadresowaliśmy?
  • Poziom 31  
    Tak, adresacja WANu może tak zostać.
  • Poziom 11  
    Czy tak może wyglądać uruchomienie routingu? Dodam jeszcze że to nie są routery cisco tylko smc. Czy to coś zmienia?
    centrala>
    centrala>enable
    centrala#conf term
    centrala(config)#router rip
    centrala(config-router)#network 10.100.0.0
    centrala(config-router)#network 10.100.0.1
    centrala(config-router)#network 10.100.0.2
    centrala(config-router)#network 10.100.0.3
    centrala(config-router)#network 10.100.0.4
    centrala(config-router)#exit

    Oddział I>
    Oddział I>enable
    Oddział I#conf term
    Oddział I(config)#router rip
    Oddział I(config-router)#network 10.100.0.0
    Oddział I(config-router)#exit

    Oddział II>
    Oddział II>enable
    Oddział II#conf term
    Oddział II(config)#router rip
    Oddział II(config-router)#network 10.100.0.1
    Oddział II(config-router)#exit

    itd.

    Dodano po 2 [godziny] 33 [minuty]:

    Te adresy po #network to muszą być adresy łączy? np. centrala - oddział?
  • Poziom 31  
    Włączyłeś RIP w wersji 1, który jest protokołem klasowym i żeby działało z posubnetowaną jedną siecią klasy A, musi być w wersji 2.

    Komendą network wskazujesz jaka sieć jest rozgłaszana i jednocześnie interfejsy mające adresy z tej sieci zaczną wysyłać i odbierać aktualizację tras. Dla RIP-a, wskazujesz całą klasę adresów i nie ma możliwości podania maski.

    Dodatkowo na początku dobrze jest dodać komendę "ip classless", czyli włączenie routingu bezklasowego. Domyślnie najcześciej jest włączony, ale może zdażyć, że będzie wyłączony.

    Podsumowując, fragment konfiguracji routingu dynamicznego z użyciem RIP-a będzie wyglądał następująco:

    Code:
    ip clastsless
    

    router rip
      version 2
      network 10.0.0.0
  • Poziom 11  
    A teraz jest dobrze? Te adresy IP po #network to adresy podsieci
    ip clastsless

    Centrala(config)#router rip
    Centrala(config-router)#version 2
    Centrala(config-router)#network 10.0.0.0
    Centrala(config-router)#network 10.1.0.0
    Centrala(config-router)#network 10.2.0.0
    Centrala(config-router)#network 10.3.0.0
    Centrala(config-router)#network 10.4.0.0
    Centrala(config-router)#exit
    Centrala(config)#exit

    Odział I(config)#router rip
    Odział I(config-router)#version 2
    Odział I(config-router)#network 10.1.0.0
    Odział I(config-router)#exit
    Odział I(config)#exit

    Odział II(config)#router rip
    Odział II(config-router)#version 2
    Odział II(config-router)#network 10.2.0.0
    Odział II(config-router)#exit
    Odział II(config)#exit

    itd.
  • Poziom 11  
    czy jednak to powinny być adresy łączy? np 10.100.0.4
  • Poziom 31  
    Będzie tylko:

    router rip
    version 2
    network 10.0.0.0

    Niezależnie jaką podsieć wydzieloną z sieci 10.x.x.x będziesz próbował dodać poleceniem network, to i tak będzie 10.0.0.0. Nie pamiętam czy będzie sygnalizowany jakiś błąd czy też po cichu zostanie "zaokrąglona" do granic klasy A. Taka jest implementacja RIP-a.
  • Poziom 11  
    I to tylko na jednym routerze wprowadzić taką procedurę?
    czy na wszystkich?
  • Poziom 31  
    Tak, na wszystkich. Topologia sieci jest bardzo prosta, nie będzie zbyt dużych tablic routingu oraz nie przekroczymy ograniczeń RIP-a, więc nie ma co komplikować sobie konfiguracji.