Hálózat

Az alábbiakban lépésről lépésre összefoglalom, hogyan is oldhatod meg a próba vizsga feladatait – mind a konfiguráció, mind pedig a hozzátartozó magyarázatok szempontjából. Mindegyik lépésnél példákat is adok (Cisco IOS parancsok formájában), de fontos, hogy a modellállományodban (Vizsga_Alap_P3.pkt) lévő eszközök részleges konfigurációit figyelembe vedd, és azokat a feladatokban leírt módosításokat végezd el.

1. VLAN-ok létrehozása és trunk korlátozása a Sw2 kapcsolón

Feladat:

• Készítsd el Sw2-n a két VLAN-t a következő adatok szerint: • VLAN 10 – Terminal, hozzárendelve a FastEthernet0/1 porthoz. • VLAN 20 – Iroda, hozzárendelve a FastEthernet0/10-11 portokhoz.

• Állítsd be a Sw1 és Sw2 közötti trunkot úgy, hogy csak ezeknek a VLAN-oknak a forgalma jusson át.

Példa konfiguráció Sw2-n:

cisco

enable configure terminal 

! 

! 

VLAN-ok létrehozása

 vlan 10

 name Terminal

exit

 ! 

vlan 20

 name Iroda

 exit

 !

 ! Port hozzárendelés

 interface FastEthernet0/1 

 switchport mode access

 switchport access vlan 10

 exit

 ! 

interface range FastEthernet0/10 - 11

 switchport mode access

 switchport access vlan 20

 exit 

! 

! Trunk beállítása (példa: ha a trunk port például FastEthernet0/24)

 interface FastEthernet0/24

 switchport mode trunk

 switchport trunk allowed vlan 10,20

 exit

Magyarázat: A VLAN-ok segítségével külön szegmensekbe sorolod a forgalmat, így elérve a hálózat optimalizálását és biztonságát. A trunkon csak a szükséges VLAN-ok forgalmát engeded át, így csökkentve a felesleges információáramlást a kapcsolók között.

2. VLSM alhálózatok kialakítása a 172.31.0.0/16 tartományban

Feladat: A hálózat a 172.31.0.0/16 tartományt használja. Két alhálózatot kell tervezned az igények alapján (hostszámok megadva a cím táblázatban):

• VLAN 10 (Terminal): 20 hostot kell biztosítani.

• VLAN 20 (Iroda): 40 hostot kell biztosítani.

Javasolt megoldás – VLSM:

• A 20 hostot igénylő alhálózatnak a legkisebb megfelelő maszkja: /27 • /27 esetén: 2^(32–27) = 32 cím, ebből 30 kiosztható.

• A 40 hostot igénylő alhálózatnak a legkisebb megfelelő maszkja: /26 • /26 esetén: 2^(32–26) = 64 cím, ebből 62 kiosztható.

Egy lehetséges kiosztás:

VLAN ID VLAN neve Alhálózat Maszk Használható címek
20 Iroda 172.31.0.0/26 255.255.255.192 (/26) 172.31.0.1 – 172.31.0.62
10 Terminal 172.31.0.64/27 255.255.255.224 (/27) 172.31.0.65 – 172.31.0.94

Magyarázat: A VLSM technikával pontosan olyan címterületet osztasz ki, amely elégséges a host száma számára, ezzel hatékonyan kihasználva a 172.31.0.0/16 tartományban rejlő lehetőségeket.

3. Router-on-a-stick megoldás a VLAN-ok közötti forgalomirányításhoz

Feladat: Az inter-VLAN routingot a router-on-a-stick technikával kell megoldanod az R-Szende routeren. Ehhez használd az alinterface-ket, ahol:

• Az alinterface azonosítója megegyezik a VLAN ID-val,

• Az IP cím pedig az adott alhálózat első kiosztható cím legyen.

Példa konfiguráció R-Szende routeren: (Feltételezve, hogy az interfész például FastEthernet0/0)

cisco

enable

 configure terminal 

! 

!VLAN 20 – Iroda (172.31.0.0/26, első kiosztható: 172.31.0.1)

 interface FastEthernet0/0.20

 encapsulation dot1Q 20

 ip address 172.31.0.1 255.255.255.192

 exit 

!

 ! VLAN 10 – Terminal (172.31.0.64/27, első kiosztható: 172.31.0.65)

 interface FastEthernet0/0.10

 encapsulation dot1Q 10

 ip address 172.31.0.65 255.255.255.224

 exit

Magyarázat: Az alinterface-k lehetővé teszik, hogy egyetlen fizikai interfész több logikai hálózathoz tartozó forgalmat is kezeljen. Így a router képes a különböző VLAN-ok közötti forgalmat irányítani.

4. Sw2 felügyeleti felület (management interface) beállítása

Feladat:

• A Sw2 kapcsoló felügyeleti interfészét a VLAN 10-hez kell rendelni,

• Az adott alhálózat harmadik IP címét kell hozzárendelni (azaz, ha a kiosztható címek sorrendje 172.31.0.65, .66, .67, akkor 172.31.0.67),

• Állítsd be az alapértelmezett átjárót, hogy az eszköz távolról is elérhető legyen.

Példa konfiguráció Sw2-n:

ciscoenable

 configure terminal 

!

interface vlan 10

 ip address 172.31.0.67 255.255.255.224

 exit

 ! 

ip default-gateway 172.31.0.65

Magyarázat: A menedzsment interfész lehetővé teszi a kapcsoló elérését a hálózaton keresztül. A default gateway beállítása pedig biztosítja, hogy a távoli hálózatokból érkező forgalom eljusson az eszközhöz.

5. Port-biztonság konfigurálása Sw2 összes FastEthernet portján

Feladat: Engedélyezd a port-biztonságot úgy, hogy egy porton maximum 2 eszköz csatlakozhat, és amikor egy eszköz csatlakozik, automatikusan rögzítse annak MAC címét.

Példa konfiguráció:

ciscoenable

 configure terminal 

!

 interface range FastEthernet0/1 - 24

switchport port-security

 switchport port-security maximum 2

 switchport port-security mac-address sticky 

exit

Magyarázat: A port-biztonsági beállítások védik a hálózatot az illetéktelen hozzáférésekkel, mivel csak egy meghatározott számú eszköz (ebben az esetben maximum két) csatlakozhat az adott porthoz.

6. Távoli hozzáférés (SSH) beállítása Sw2-n

Feladat:

• Biztosítsd, hogy távoli elérés esetén a helyi felhasználó hitelesítését használja a kapcsoló,

• Csak az SSH protokollon keresztül lehessen bejelentkezni.

Példa konfiguráció:

cisco

enable

 configure terminal

 ! 

username admin secret jelszo123

 ip domain-name lokal.halozat

 crypto key generate rsa modulus 1024 

!

line vty 0 15

 transport input ssh

 login local

 exit

Magyarázat: Az SSH használata biztonságos távoli hozzáférést biztosít, míg a helyi hitelesítés garantálja, hogy csak az arra jogosult felhasználók tudnak belépni.

7. ACL létrehozása Sw2-n a távoli bejelentkezések korlátozására

Feladat: Csak az Admin VLAN-ból származó eszközökről lehessen távoli bejelentkezni. Ehhez egy megfelelő ACL-t kell létrehozni, majd azt alkalmazni a vty sorokon.

Példa konfiguráció (feltételezve, hogy az Admin VLAN alhálózata pl. 172.31.1.0/24):

cisco

enable configure terminal 

!

access-list 10 permit 172.31.1.0 0.0.0.255 

!

line vty 0 15

 access-class 10 in 

exit

Magyarázat: Az ACL csak az Admin VLANból érkező IP-címeket engedi be a vty sorokon, így csak az arra jogosult eszközök férnek hozzá a kapcsolóhoz.

8. ACL konfigurálása a Port túlterheléses NAT-hoz az R-Szende routeren

Feladat: Készíts egy 1-es azonosítójú ACL-t, amely engedélyezi a PAT (port túlterheléses NAT) használatát a következő VLAN-ok számára: Terminal, Iroda, Admin és Szerver. (Példaként az alhálózatokat így vehetjük: – Terminal (VLAN 10): 172.31.0.64/27 (wildcard: 0.0.0.31) – Iroda (VLAN 20): 172.31.0.0/26 (wildcard: 0.0.0.63) – Admin: 172.31.1.0/24 (wildcard: 0.0.0.255) – Szerver: 172.31.2.0/24 (wildcard: 0.0.0.255) )

Példa konfiguráció:

cisco

enable configure terminal

 !

 access-list 1 permit 172.31.0.64 0.0.0.31 

access-list 1 permit 172.31.0.0 0.0.0.63 

access-list 1 permit 172.31.1.0 0.0.0.255 

access-list 1 permit 172.31.2.0 0.0.0.255

Magyarázat: Ez az ACL biztosítja, hogy a PAT eljárás alatt csak az itt definiált alhálózatokból induló forgalom legyen átalakítva a NAT számára.

9. DHCP szolgáltatás konfigurálása az Iroda VLAN részére az R-Szende routeren

Feladat:

• Készíts DHCP pool-t az Iroda VLAN részére (172.31.0.0/26),

• Kizárd a kiszolgált címterületről az alhálózat első 5 címét (például, ha az első kiosztható cím 172.31.0.1, akkor 172.31.0.1–172.31.0.5 kerüljenek kizárásra),

• Állítsd a DNS szerverként a 8.8.8.8 címet.

Példa konfiguráció:

cisco

enable configure terminal

 ! 

ip dhcp excluded-address 172.31.0.1 172.31.0.5

 ip dhcp pool Iroda 

 network 172.31.0.0 255.255.255.192 

 default-router 172.31.0.1

 dns-server 8.8.8.8 

exit

Magyarázat: Az első pár IP címet gyakran fenntartják például a router interfészének vagy egyéb kritikus eszközöknek. A DHCP pool a dinamikus IP kiosztást segíti elő az Iroda VLAN eszközei számára.

10. HSRP konfiguráció a Törpe-LAN hálózatban (R-Hapci és R-Vidor)

Feladat:

• Minden VLAN-hoz (például: • VLAN 10 (Terminal): Alhálózat 172.31.0.64/27, ahol a kiosztható címek sorban: 172.31.0.65, .66, .67, stb. → A virtuális átjáró legyen a harmadik cím: 172.31.0.67 • VLAN 20 (Iroda): Alhálózat 172.31.0.0/26, és itt a harmadik kiosztható IP például 172.31.0.3 )

• Állítsd be úgy, hogy az R-Hapci a magasabb prioritással aktív szerepben legyen, és a preempt funkció engedélyezve legyen – így ha kiesik az aktív eszköz, majd visszatér, automatikusan visszahozza az aktív szerepet.

Példa konfiguráció R-Hapci-n:

cisco

enable configure terminal

 ! 

! VLAN 10 (példa: interfész FastEthernet0/0.10)

 interface FastEthernet0/0.10 

 standby 10 ip 172.31.0.67 

 standby 10 priority 120 

standby 10 preempt

 exit 

! 

! VLAN 20 (példa: interfész FastEthernet0/0.20)

 interface FastEthernet0/0.20

 standby 20 ip 172.31.0.3

 standby 20 priority 120

 standby 20 preempt

 exit

Példa konfiguráció R-Vidor-n:

cisco

enable configure terminal 

! 

interface FastEthernet0/0.10

 standby 10 ip 172.31.0.67

 standby 10 priority 100

 standby 10 preempt

 exit

 !

 interface FastEthernet0/0.20

 standby 20 ip 172.31.0.3 

 standby 20 priority 100

 standby 20 preempt

 exit

Magyarázat: Az HSRP (Hot Standby Router Protocol) biztosítja a gateway redundanciát. Az aktív router (magasabb prioritás) kezel minden forgalmat, míg a másodlagos várakozik – de ha kiesik az aktív, az átvállalja a feladatot. A preempt beállítás pedig lehetővé teszi, hogy a kiesett aktív eszköz hibaelhárulás után visszavezetve legyen az aktív szerepbe.

11. OSPFv2 konfigurálása R-Vidor-on

Feladat:

• Konfiguráld az R-Vidor routeren az OSPFv2 protokollt a folyamat azonosítóval: 200, a terület (area) azonosító: 0,

• Hirdesd az összes kapcsolt hálózatot, de ne küldj hirdetéseket az Admin és Szerver VLAN felé.

Példa konfiguráció:

cisco

enable configure terminal

 !

 router ospf 200

network 172.31.0.0 0.0.255.255 area 0 

!

 ! Ha vannak interfészek, amelyeken nem szeretnéd küldeni az Admin/Szerver hálózatokra vonatkozó hirdetéseket, ! akkor azokat passive-interface vagy route filter segítségével kizárhatod. 

exit

Magyarázat: Az OSPF lehetővé teszi a dinamikus útvonal-megosztást. A passzív interfészek vagy megfelelő route filterek alkalmazásával elrejtheted a nem kívánt alhálózatokat a többi router elől.

12. Statikus alapértelmezett útvonal beállítása R-Tudor-on

Feladat: Állítsd be az R-Tudor routeren, hogy minden olyan forgalom, amelyhez nincs ismert útvonal, az ISP felé (next-hop: 91.0.0.1) kerüljön továbbításra.

Példa konfiguráció:

cisco

enable configure terminal

 ! 

ip route 0.0.0.0 0.0.0.0 91.0.0.1

Magyarázat: Az alapértelmezett útvonal (default route) biztosítja, hogy a rendszer a nem lokális Útvonalakat az ISP felé továbbítsa, így elérhetővé téve az internetes vagy távoli hálózati forgalmat.

13. Statikus címfordítás (NAT) beállítása R-Tudor-on a Server részére

Feladat:

• Állíts be statikus NAT-ot, ahol a Server eszköz privát IP címét (például: 172.31.2.10) a publikus 91.0.0.15 címre fordítod.

Példa konfiguráció:

cisco

enable configure terminal

 ! 

ip nat inside source static 172.31.2.10 91.0.0.15

Magyarázat: A statikus NAT biztosítja, hogy a szerver belső IP-címe a publikus térben is elérhető legyen a hozzárendelt, fix IP címen keresztül.

14. PPP beágyazás és CHAP hitelesítés konfigurálása R-Tudor és az ISP között

Feladat:

• A WAN interfészen konfiguráld a PPP-t,

• Alkalmazd a CHAP hitelesítést, és használd a wancon314 jelszót.

Példa konfiguráció R-Tudor-on (példaként a Serial interfész használata):

cisco

enable configure terminal

 !

 interface Serial0/0/0 

 encapsulation ppp

ppp authentication chap callin

 ppp chap hostname R-Tudor

 ppp chap password wancon314 

exit

Magyarázat: A PPP encapsulation lehetővé teszi a point-to-point kapcsolatok típusos beállítását, míg a CHAP hitelesítés biztosítja a biztonságos azonosítást a WAN kapcsolaton.

15. Statikus útvonal beállítása R-Szundi-on a Tudor-LAN eléréséhez a Tunnel irányába

Feladat: Konfigurálj egy statikus útvonalat úgy, hogy a Tudor-LAN felé irányuló forgalom a tunnel interfészen keresztül menjen.

Példa konfiguráció: (A pontos hálózati címtartományt és tunnel interfész nevét az aktuális terveidnek megfelelően add meg)

cisco

enable configure terminal

 ! 

ip route <Tudor-LAN hálózat> <alhálózati maszk> Tunnel0

Magyarázat: Ez az útvonal biztosítja, hogy a Tudor-LAN felé érkező forgalom a tunnel-en keresztül kerüljön továbbításra, függetlenítve a normál alagút útvonalaktól.

16. Vezeték nélküli hálózat konfigurálása a Szundi-LAN-ban (SOHO eszközön)

Feladat:

• Konfiguráld a vezeték nélküli hálózatot a következő paraméterek szerint: • SSID: SzundiWLAN • Biztonsági mód: WPA2-PSK/AES • Kulcs: SzW20250403

• Csatlakoztasd a Tablet eszközt a beállított hálózathoz.

Magyarázat: A SOHO eszközön (általában egy vezeték nélküli hozzáférési pont vagy router) a fenti beállítások megadásával biztosítod a biztonságos Wi-Fi hálózati hozzáférést. A Tablet eszköz csatlakozása a tesztelés része, hogy ellenőrizd a hálózat működését.

Összegzés

A fenti lépések segítségével:

1. Szegmentálod a hálózatot VLAN-okkal, és korlátozod a trunk forgalmat a szükséges VLAN-ok között.

2. Optimalizált alhálózatokat hozol létre VLSM segítségével a 172.31.0.0/16 tartományban, megfelelve a host szükségleteknek.

3. A router-on-a-stick megoldással a router alinterface-eken keresztül biztosítod az inter-VLAN routingot.

4. A felügyeleti interfész konfigurációja és a port-biztonsági beállítások segítik az eszközök biztonságos elérését.

5. A távoli hozzáférést SSH-val, helyi hitelesítéssel és ACL-ekkel korlátozva véded.

6. Az ACL-ek, DHCP, HSRP, OSPF és a PPP/CHAP konfigurációk biztosítják a hálózat redundanciáját, biztonságát és folyamatos működését.

7. Végezetül a statikus útvonalak és címfordítások segítik az internetes valamint a belső forgalom optimális elosztását, míg a vezeték nélküli hálózat megfelelően biztosítja a mobil eszközök kapcsolódását.

Ezek a lépések egy teljes körű hálózati konfigurációs megoldást alkotnak, amely jól reprezentálja a tanultak gyakorlati alkalmazását. Mivel a labor környezeted (Packet Tracer vagy más szimulátor) részleges konfigurációt tartalmaz, csak a feladatban előírt módosításokat kell elvégezned.