ZiMSK.z04.(Translacj..
Transkrypt
ZiMSK.z04.(Translacj..
ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Imię Nazwisko ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h 1. 2. 3. 4. Zbudować sieć laboratoryjną Czynności wstępne Włączyć i skonfigurować translację adresów Czynności końcowe -1- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 inside security-level 100 172.18.0.0 / 16 10.0.0.0 / 8 -2- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą „Crtl+C, Crtl+V”). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci inside adres interfejsu inside ASA: ……………… o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ……………… o z hosta wewnątrz sieci outside adres interfejsu Routera: ……………… o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ……………… Zainstalować w strefie dmz i outside po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? ……………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? ………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… -3- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 3. Włączyć i skonfigurować translację adresów Zadanie Skonfigurować translację adresów na ASA zgodnie z tabelą: Urządzenie Parametry translacji adresów Z sieci Do sieci Rodzaj inside outside PAT inside dmz NAT dmz outside PAT Materiał pomocniczy Włączenie (wymuszenie) translacji adresów: ASA(config)# nat-control -4- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Polecenie nat umożliwia określenie sieci a w niej adresu lub puli adresów, które będą podlegać translacji (czyli co): ASA(config)# nat (nazwa_interfejsu_źródłowego) NAT_ID adres_sieci maska_sieci 1 Polecenie global określa na jaką pulę adresów będzie wykonana translacja (czyli na co). Wykonanie translacji na grupę adresów (NAT): ASA(config)# global (nazwa_interfejsu_docelowego) NAT_ID zakres_adresów_IP netmask maska_sieci_2 Wykonanie translacji na jeden adres (PAT): ASA(config)# global (nazwa_interfejsu_docelowego) NAT_ID adres_IP netmask maska_sieci_2 Wyjaśnienie pojęć: Polecenie nat: o nazwa interfejsu źródłowego – nazwa interfejsu obsługującego sieć, w której określony adres lub pula adresów będzie podlegać translacji. o NAT ID – identyfikator NAT, służy do powiązania ze sobą poleceń nat i global (czyli z czego na co będzie wykonywana translacja). o adres sieci – adres sieci, która będzie podlegać translacji (jeśli ma to być cała sieć można podać adres IP z samymi bitami zero czyli 0.0.0.0). o maska sieci 1 – maska sieci, która będzie podlegać translacji (jeśli ma to być cała sieć można podać maskę sieci z samymi bitami zero czyli 0.0.0.0). Polecenie global: o nazwa interfejsu docelowego – nazwa interfejsu obsługującego sieć, na której określony adres lub pulę adresów będzie wykonana translacja. o NAT ID – identyfikator NAT, służy do powiązania ze sobą poleceń nat i global (czyli z czego na co będzie wykonywana translacja). o zakres adresów IP – pula adresów, na którą będzie mogła być wykonana translacja (należy podać adres początkowy a po myślniku adres końcowy puli). o adres IP – adres IP, na który będzie mogła być wykonana translacja. o maska sieci 2 – maska sieci, na którą będzie mogła być wykonana translacja. Weryfikacja działania translacji : ASA# show nat -5- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Konfiguracja translacji: [edit security nat source] user@srx# show rule-set X { from zone nazwa1; to zone nazwa2; rule Y { match { source-address adres/maska; } then { source-nat interface } } } Weryfikacja działania translacji : user@srx> show security flow session user@srx> show security nat source summary -6- ZADANIE.04 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Sprawozdanie Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? ……………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? ………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………… Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………… Jeśli nie – wyjaśnić dlaczego? …………………………………………………………………………………… 4. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. -7-