Show page

Differences

This shows you the differences between two versions of the page.

--- pr:laboratoare:05 [2016/11/07 17:27]
iulia.florea [Cerințe]
+++ pr:laboratoare:05 [2025/10/21 16:12] (current)
eduard.dumistracel
@@ Line 1: / Line 1: @@
-===== Laboratorul 05. ACL-uri =====
+===== Laboratorul 05. OSPF Multi-Area=====
+==== Cuprins ====
-==== Motivație ====
+  * [[#topologie|Topologie]]
+  * [[#Exerciții|Exerciții]]
-Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță.
+  * [[#resurse-laborator|Resurse laborator]]
-==== Topologie ====
-{{ :pr:laboratoare:topologie_acl.png |}}
-==== Cerințe ====
-=== Setup ===
-<note important> Descărcați configurațiile inițiale de {{:pr:laboratoare:05_initial_configs.zip|aici}}. </note>
-=== Exerciții ===
-Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.
-Atenție: Ruterul Blastoise nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.
-.  [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind un număr minim de rute statice.
-<solution -hidden>
-<code>
-Lucario(config)#ip route 0.0.0.0 0.0.0.0 66.218.168.6
-Machop(config)#ip route 0.0.0.0 0.0.0.0 191.105.157.1
-Machop(config)#ip route 192.168.254.0 255.255.255.0 172.29.167.2
-Muk(config)#ip route 0.0.0.0 0.0.0.0  172.29.167.1
-Machop#ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 20/60/148 ms
-Lucario(config)# ip access-list extended ONLY_TELEWORKER_TO_LOOPBACK
-Lucario(config-ext-nacl)# permit ip 192.168.254.0 0.0.0.255 host 155.17.23.1
-Lucario(config-ext-nacl)# permit ip host 172.29.167.2 host 155.17.23.1
-Lucario(config-ext-nacl)# deny ip any host 155.17.23.1
-Lucario(config-ext-nacl)# permit ip any any
-Lucario(config)# int fa2/0
-Lucario(config-if)# ip access-group ONLY_TELEWORKER_TO_LOOPBACK in
-Muk(config)#do ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 20/78/140 ms
-Muk(config)#do ping 155.17.23.1 source Lo0
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-Packet sent with a source address of 192.168.254.1
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 28/79/136 ms
-Machop#ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-U.U.U
-Success rate is 0 percent (0/5)
-</code>
-</solution>
-. [15p] Pe ruterul Lucario există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona Teleworker. Filtraţi restul traficului către această interfață.
-Pentru acest task, permiteți, pe lângă traficul originat din zona Teleworker și traficul originat de pe ruterul Muk
- * Atentie, Restul traficului către ruterul Lucario trebuie să funcționeze în continuare!
-<solution -hidden>
-<code>
-Muk(config)#do telnet 208.69.127.83 80
-Trying 208.69.127.83, 80 ... Open
-^C
-HTTP/1.1 400 Bad Request
-Date: Fri, 01 Mar 2002 00:22:05 GMT
-Server: cisco-IOS
-Accept-Ranges: none
-Bad Request
-[Connection to 208.69.127.83 closed by foreign host]
-Muk(config)#do telnet 77.73.36.99 80
-Trying 77.73.36.99, 80 ... Open
-[...]
-[Connection to 77.73.36.99 closed by foreign host]
-Muk(config)#do telnet 74.125.39.1 80
-Trying 74.125.39.1, 80 ... Open
-[...]
-[Connection to 74.125.39.1 closed by foreign host]
-Machop(config)#ip access-list extended NO_HTTP_TELEWORKER
-Machop(config-ext-nacl)# deny tcp any host 208.69.127.83 eq www
-Machop(config-ext-nacl)# deny tcp any host 77.73.36.99 eq www
-Machop(config-ext-nacl)# deny tcp any 74.125.39.0 0.0.0.255 eq www
-Machop(config-ext-nacl)# permit ip any any
-Machop(config)#int fa0/0
-Machop(config-if)#ip access-group NO_HTTP_TELEWORKER in
-Muk(config)#do telnet 208.69.127.83 80
-Trying 208.69.127.83, 80 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 77.73.36.99 80
-Trying 77.73.36.99, 80 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 74.125.39.1 80
-Trying 74.125.39.1, 80 ...
-% Destination unreachable; gateway or host down
-</code>
-</solution>
-. [20p] Lucrătorii din zona Teleworker nu au dreptul de a accesa o serie de site-uri web:
- 208.69.127.83
- 77.73.36.99
- 74.125.39.0/24
-Filtraţi accesul HTTP la aceste IP-uri.
-Observație: Acest task POATE fi testat. Încercați 
-. [20p] Permiteți accesul Telnet generat din zona Teleworker către Machop, doar pe interfața Loopback 0 a acestuia.
-  * Asigurați-vă mai întâi că Machop acceptă conexiuni de tip Telnet.
-  * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-<solution -hidden>
-<code>
-Machop(config)# line vty 0 4
-Machop(config-line)# password aceofspades
-Machop(config-line)# login
-Machop(config-line)# transport input telnet
-Machop(config)# ip access-list ext NO_HTTP_TELEWORKER
-Machop(config-ext-nacl)#33 permit tcp any host 20.20.20.20 eq telnet
-Machop(config-ext-nacl)#34 deny tcp any host 172.29.167.1 eq telnet
-Machop(config-ext-nacl)#35 deny tcp any host 191.105.157.2 eq telnet
-Muk(config)#do telnet 20.20.20.20 /source Lo0
-Trying 20.20.20.20 ... Open
-User Access Verification
-Password:
-Machop>exit
-[Connection to 20.20.20.20 closed by foreign host]
-Muk(config)#do telnet 172.29.167.1 /source Lo0
-Trying 172.29.167.1 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 191.105.157.2 /source Lo0
-Trying 191.105.157.2 ...
-% Destination unreachable; gateway or host down
-</code>
-</solution>
-.  [10p] Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă.
-  * Observație: Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul Caterpie, însă NU trebuie să lucrați pe acesta. După rezolvarea acestora, puteți închide acest ruter.
-<solution -hidden>
-</code>
-Lucario(config)# ip access-list ext NO_TCP_C
-Lucario(config-ext-nacl)# 10 permit tcp any any established
-Lucario(config-ext-nacl)# 20 deny tcp any any
-Lucario(config)# int e1/0
-Lucario(config-if)# ip access-group NO_TCP_C out
-GunsNRoses# telnet 20.20.20.20
-Trying 20.20.20.20 ... Open
-User Access Verification
-Password:
-Machop>
-Machop(config-ext-nacl)#do telnet 192.168.231.2
-Trying 192.168.231.2 ...
-% Destination unreachable; gateway or host down
-Lucario(config)#do sh access-l
-Extended IP access list NO_TCP_C
-permit tcp any any established
-deny tcp any any (1 match)
-</code>
-</solution>
-.  [20p] Permiteţi traficul ICMP de la Clădirea C către zona Teleworker doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului ICMP de la Lucario către zona Teleworker trebuie să fie permis, de asemenea.
-  * Hint: Aplicaţi o listă de acces reflexivă pe ruterul Machop.
-<solution -hidden>
-<code>
-Machop(config)#do sh ip access ICMP_TO_JH
-Extended IP access list ICMP_TO_JH
-permit icmp 172.29.167.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP1 (11 matches)
-permit icmp 192.168.254.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP2
-permit ip any any (15 matches)
-Machop(config)#do sh ip access ICMP_FROM_JH
-Extended IP access list ICMP_FROM_JH
-evaluate ICMP1
-evaluate ICMP2
-permit icmp host 66.218.168.5 172.29.167.0 0.0.0.255 (10 matches)
-permit icmp host 155.17.23.1 172.29.167.0 0.0.0.255
-permit icmp host 172.2.0.1 172.29.167.0 0.0.0.255
-permit icmp host 10.10.10.17 172.29.167.0 0.0.0.255
-permit icmp host 10.10.10.33 172.29.167.0 0.0.0.255
-permit icmp host 66.218.168.5 192.168.254.0 0.0.0.255 (5 matches)
-permit icmp host 155.17.23.1 192.168.254.0 0.0.0.255
-permit icmp host 172.2.0.1 192.168.254.0 0.0.0.255
-permit icmp host 10.10.10.17 192.168.254.0 0.0.0.255
-permit icmp host 10.10.10.33 192.168.254.0 0.0.0.255
-Machop(config)#int fa1/0
-Machop(config-if)#ip access-group ICMP_TO_JH out
-Machop(config-if)#ip access-group ICMP_FROM_JH in
-</code>
-Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-</solution>
-==== Bonus ====
-. [10p] Vrem ca zona Teleworker să poată accesa restul rețelei doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker la restul rețelei în afara intervalului specificat.
-  * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-  * Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite.
-  * Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda:
-<solution -hidden>
-<code>
-Router# clock set 01:00:00 Dec 1 2013
-Machop(config)#time-range TELEWORKER_TIME
-Machop(config-time-range)#periodic weekdays 09:00 to 18:00
-Machop(config)#ip access-list extended TELEWORKER_ACCESS
-Machop(config-ext-nacl)#permit ip any any time-range TELEWORKER_TIME
-Machop(config-ext-nacl)#int fa0/0
-Machop(config-if)#ip access-group TELEWORKER_ACCESS out
-</code>
-Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite.
-</solution>
+==== Topologie====
+{{ :pr:laboratoare:ospf_multiarea.png?800 |}}
+Avem topologia din figura de mai sus, împărțită pe 3 cadrane:
+  * Cadranul albastru deschis (Area 1)
+  * Cadranul albastru închis (Area 0 – Backbone)
+  * Cadranul verde (Area 2)
+A fost adăugată o nouă legătură între ISP-CoreSouth și ISP-DistWest, folosind adresele IPv6 2001:db8:cafe::470/125 și 2001:db8:cafe::477/125; această conexiune extinde topologia existentă și trebuie integrată în procesul OSPFv3, pentru a asigura redundanță și continuitate în rutare.
+ID-urile routerelor:
+  * ISP-CoreWest – 1.1.1.1
+  * ISP-CoreNorth – 2.2.2.2
+  * ISP-CoreSouth – 3.3.3.3
+  * ISP-CoreEast – 4.4.4.4
+  * ISP-DistWest – 5.5.5.5
+  * ISP-DistEast – 6.6.6.6
+  * ISP-AccessWest – 7.7.7.7
+  * ISP-AccessEast – 8.8.8.8
+Topologie: {{:pr:laboratoare:lab6_initial_ospf_multiarea.zip|}}
+==== Exerciții ====
+=== Task1 ===
+Configurați OSPFv3 astfel încât:
+  * Cadranul albastru deschis să facă parte din Area 1.
+  * Cadranul albastru închis să facă parte din Area 0 (Backbone).
+  * Cadranul verde să facă parte din Area 2.
+Această împărțire pe arii ajută la scalabilitatea și optimizarea rețelei, deoarece reduce dimensiunea bazei de date LSDB pe fiecare router, limitează propagarea LSA-urilor la nivel local și permite o gestionare mai eficientă a traficului și a resurselor printr-o structură ierarhică OSPF.
+<note tip>
+Verificați configurarea cu:
+  * show ipv6 ospf neighbor
+  * show ipv6 ospf
+  * ping de la un device la altul
+</note>
+=== Task2 ===
+Configurați routerele din Area 0 astfel încât:
+  * Routerul cu Router-ID 1.1.1.1 să devină DR.
+  * Routerul cu Router-ID 3.3.3.3 să devină BDR.
+  * Routerul cu Router-ID 2.2.2.2 să fie DROTHER.
+<note tip>
+Verificați configurarea cu:
+  * show ipv6 ospf neighbor
+</note>
+=== Task3 ===
+Activați autentificarea OSPFv3 pe interfețele fiecărei arii folosind cheia atribuită. Astfel se asigură integritatea și securitatea schimbului de informații, permițând accesul doar routerelor autorizate.
+  * AREA 0: 11223344556677889900AABBCCDDEEFF
+  * AREA 1: 9F8A6C0B2D3E4F50718293A4B5C6D7E8
+  * AREA 2: 55AA77CC99EE00112233445566778899
+<note tip>
+Sintaxa:
+ospfv3 <process-id> ipv6 ipsec spi <SPI> md5 0 <KEY>
+sau
+ospfv3 authentication ipsec spi <SPI> md5 0 <KEY>
+Verificați configurarea pe interfețe cu: show running-config interface <interface>
+</note>
+=== Task4 ===
+Configurați Area 1 ca arie de tip Totally Stub, prin activarea opțiunii stub no-summary pe ABR și stub pe celelalte routere din zonă, astfel încât în interiorul ariei să fie eliminate atât rutele externe (LSA tip 5), cât și rutele inter-arii (LSA tip 3 și 4), acestea fiind înlocuite cu o singură rută implicită (::/0) furnizată de ABR; această configurare ajută la simplificarea maximă a tabelei de rutare și la reducerea încărcării de procesare, fiind utilă în special pentru rețele periferice unde routerele nu trebuie să cunoască în detaliu structura rețelei globale, ci doar să trimită tot traficul necunoscut către backbone.
+<note tip>
+Verificați rezultatele cu:
+  * show ipv6 ospf neighbor
+  * show ipv6 ospf
+  * show ipv6 route ospf
+  * show ipv6 ospf database external
+</note>
+=== Task5 ===
+Configurați Area 2 ca arie de tip Stub, prin activarea opțiunii stub pe toate routerele care participă la această zonă, astfel încât rutele externe (LSA de tip 5) să nu mai fie propagate în interior, ci să fie înlocuite automat cu o rută implicită (::/0) furnizată de ABR; această setare ajută la optimizarea rețelei prin reducerea dimensiunii LSDB și a tabelei de rutare, scăderea încărcării de procesare pe routere și simplificarea rutării pentru dispozitivele aflate la marginea topologiei.
+<note tip>
+Verificați rezultatele cu:
+  * show ipv6 ospf neighbor
+  * show ipv6 ospf
+  * show ipv6 route ospf
+  * show ipv6 ospf database external
+</note>
+==== Cuprins ====
+  * [[#topologie|Topologie]]
+  * [[#Exerciții|Exerciții]]
+  * [[#resurse-laborator|Resurse laborator]]

pr/laboratoare/05.1478532452.txt.gz · Last modified: 2016/11/07 17:27 by iulia.florea

Show page Old revisions

Media Manager Back to top

Differences

Informații generale PR

Cursuri

Laboratoare

Resurse