Najprostsza konfiguracja router on the stick.

PrzezAdministrator

Dziś wykonamy malutką sieć dla firmy w której pracuje do 24 osób.

Mamy tutaj dwa komputery podłączone do switcha wielowarstwowego/switcha warstwy trzeciej. Switch podłączony jest do routera, którego zadaniem jest routowanie ruchu między vlanami, a także pełni rolę serwera DHCP.

################Konfiguracja switcha

!
hostname Switch
!
spanning-tree mode pvst

vlan 10
name Users
exit
vlan 20
name Servers
exit
!
interface GigabitEthernet1/0/1
ip dhcp snooping limit rate 5
switchport access vlan 10
switchport mode access
switchport port-security mac-address sticky

exit
!
interface GigabitEthernet1/0/2
ip dhcp snooping limit rate 5
switchport access vlan 20
switchport mode access
switchport port-security mac-address sticky

exit

!
interface GigabitEthernet1/0/3
switchport trunk allowed vlan 10,20
switchport mode trunk

exit

!

################Konfiguracja routera

hostname Router
!
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.20.1
!
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1

exit

ip dhcp pool VLAN20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1

exit

!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto

exit

!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0

exit

!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0

exit

!

Fajne na początek jest w tej konfiguracji włączenie serwera DHCP z oddzielną pulą adresów ip dla każdego vlana.
Każdy z komputerów podłączony jest do oddzielnego Vlana. Oznacza to dla przykładu, że użytkownik jednego z komputerów jest z księgowości, a drugi jest z HR.
Są dwa fajne proste zabezpieczenia.
Sticky mac adres – Do portu można podpiąć tylko kartę sieciową z konkretnym mac adresem. Oczywiście da się zrobić spoofing bez najmniejszego problemu, ale jest to jedna z warstw zabezpieczeń.
DHCP snooping – Zapobiega atakom DOS na serwer DHCP, który działa w ten sposób, że zabezpieczamy się przed wysyceniem puli adresów ip.
Jest to najprostsza architektura od której wyjdziemy przy budowaniu sieci. Rozszerzymy ją potem o warstwę dystrybucyjną czyli dodamy drugi switch między routerem a switchem, który mamy teraz aby zwiększyć skalowalność dwukrotnie. Dodatkowo zrobimy redundancję na bramie domyślnej (HSRP), vlan zarządzania, oddzielny serwer DHCP, DNS, NAT i RSTP.

Podobne wpisy

Rozbudowa sieci o switch dystrybucyjny warstwy trzeciej.

PrzezAdministrator

W tym spisie chciałbym zaprezentować rozszerzenie sieci z jednego z wcześniejszych artykułów. W dużej organizacji administrator sieci będzie zmuszony rozszerzyć infrastrukturę wraz z ilością użytkowników. Prawidłowym i dobrze znanym sposobem rozszerzenia sieci będzie dodanie switcha dystrybucyjnego warstwy trzeciej (lub L3 jak kto woli) między switch akcesowy (ten do którego podpięte są stacje końcowe/dla ułatwienia jest…

Najprostsza konfiguracja site 2 site GRE IPSEC VPN.

PrzezAdministrator

Konfiguracja R1hostname R1!no ip domain lookup!crypto isakmp policy 10encr aes 256authentication pre-sharegroup 14lifetime 10000crypto isakmp key cisco address 10.2.3.2!crypto ipsec transform-set TS esp-aes esp-sha-hmac mode transport!crypto map CMAP 10 ipsec-isakmp set peer 10.2.3.2set transform-set TS match address ACL1!interface Loopback1ip address 1.1.1.1 255.255.0.0!interface Tunnel0ip address 10.1.3.1 255.255.255.0tunnel source FastEthernet0/0tunnel destination 10.2.3.2!interface FastEthernet0/0ip address 10.1.2.1 255.255.255.0duplex halfcrypto…

Notatki dot troubleshootingu warstwy drugiej modelu osi.

PrzezAdministrator

Mac adresy rozpropagowują się w warstwie drugiej, czyli komunikacji tylko między switchami a nie między np switchem a routerem lub hubem poprzez wysłanie broadcastu na mac adress ffff.ffff.ffff.ffff Czasem błędy w komunikacji warstwy drugiej mogą wynikać z błędnej enkapsulacji. Są dwa rodzaje enkapsulacji dot1Q i ISL i trzeba się upewnić, że taka sama enkapsulacja jest…

Troubleshooting etherchanneli w warstwie trzeciej modelu OSI

PrzezAdministrator

Troubleshooting EtherChannel wymaga systematycznego podejścia, aby zidentyfikować i rozwiązać typowe problemy. Krok 1: Sprawdzenie Stanu Fizycznego Interfejsów Pierwszym krokiem jest upewnienie się, że wszystkie fizyczne interfejsy, które są częścią EtherChannel, są podłączone i aktywne. Sprawdzenie Stanu Portów: show interface status Sprawdzenie Błędów na Interfejsach: show interface [interface-id] | include errors Krok 2: Weryfikacja Konfiguracji EtherChannel…