使用Cisco Packet Tracer 8.x模擬真實網路
資訊安全的第一步:良好的網路架構
幾年前,各行各業開始注重資訊安全,甚至成立獨立的組織專門負責,不意外的,大多都是調用現有的網管工程師來滿足對資訊安全技術的需求,其實,網路就像人體的血管,四通八達,但只要有一個節點出了問題,輕則系統故障,重則整個環境崩潰,所以良好的網路架構實在是重中之重,不僅能保證系統的穩定,也能降低資訊安全的風險!
為什麼使用Cisco Packet Tracer
顧名思義,這就是CIsco開發出來專門給需要模擬網路架構的軟體,讓我們不用真的買設備也能將整個網路架構模擬出來,優缺點如下:
優點:
- 介面簡單易用,容易上手
- 與實際設備的擬真程度高
缺點:
- 只支援Cisco的設備,且型號較舊(真的很舊…)
- 不是所有指令都支援
- 大部分的設定都要靠指令,GUI支援不足
不論如何,Cisco設備的指令都差不多,若要比較好的去管理網路設備,學習指令也是應該的,所以本文也會以指令為主!
本篇目標
使用Cisco Packet Tracer設計一個網路拓樸,並達成以下四個目標:
- 以L3交換器作為核心交換器
在具規模的網路架構中,都會使用L3交換器作為核心網路,重要的路由都會由L3交換器來控制。 - 以L2交換器來擴充L3交換器
L3交換器通常比L2交換器貴上許多,使用L2交換器來擴充L3交換器,是比較經濟的做法,但缺點是當網路故障,多一個節點叫查。 - 以L2交換器作為邊緣交換器
通常終端的設備較多,不論是PC、電話或伺服器,所以使用較便宜且Port數多的L2交換器作為邊緣交換器。 - 切分3個VLAN與相對應的3個網段
不同的設備屬性,使用獨立的網段,例如辦公室的PC與機房的Server就應該在不同的網段,才能良好的區隔並使用防火牆做存取管制。
最終,我們要建立一個完整的網路拓樸,如下圖:
開始操作
步驟1:放置所需要的網路設備與終端設備如上圖,清單如下表:
| # | 設備型號 | 數量 | 設備名稱 |
| 1 | 3560-24PS | 1 | Switch_L3_0 |
| 2 | 2960-24TT | 3 | Switch_L2_0、Switch_L2_1、Switch_L2_2 |
| 3 | PC-PT | 2 | PC1、PC1 |
| 4 | Laptop-PT | 1 | Laptop0 |
| 5 | Server-PT | 1 | Server0 |
步驟2:規劃網段與設定VLAN。
在此,我們分別切出三個網段,每個網段對應一個VLAN,也對應一個特別的用途,如下:
| PC網段 | 筆電網段 | 伺服器網段 | |
| 網段 | 10.10.1.0 | 10.10.2.0 | 10.2.1.0 |
| 遮罩(MASK) | 255.255.255.0 | 255.255.255.0 | 255.255.255.0 |
| VLAN ID | 101 | 102 | 201 |
| VLAN NAME | PC | LAPTOP | SERVER |
| VLAN Interface IP | 10.10.1.254 | 10.10.2.254 | 10.2.1.254 |
步驟3:點開3560這台名為Switch_L3_0的L3交換器設定畫面,點選CLI命令介面:(接下來全部的指令也都是參考這種方式唷!)
參考以下指令建立上一步驟所規劃的三個VLAN。
Switch>en
Switch#vlan database
Switch(vlan)#vlan 101 name PC
Switch(vlan)#vlan 102 name LAPTOP
Switch(vlan)#vlan 103 name SERVER
Switch(config-if)#exit
Switch(config)#exit
Switch#新增VLAN後,來看一下是否有新增成功:
Switch#show vlan
...
101 PC active
102 LAPTOP active
201 SERVER active
...
Switch#exit
Switch>步驟4:設定VLAN的介面IP,同時也是這些網段的Gateway。
Switch>en
Switch#config t
Switch(config)#interface vlan 101
Switch(config-if)#ip address 10.10.1.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#
Switch(config)#interface vlan 102
Switch(config-if)#ip address 10.10.2.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#
Switch(config)#interface vlan 201
Switch(config-if)#ip address 10.2.1.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>步驟5:將名為Switch_L2_0的L2交換器與Switch_L3_0串接,Switch_L3_0的GigabitEthernet0/1連接到Switch_L2_0的FastEthernet0/1,串接如下圖:
設定兩個對接的孔皆為Trunk模式,並將上面所設定的VLAN都納入Trunk的範圍。
對Switch_L3_0輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 101
Switch(config-if)#switchport trunk allowed vlan add 102
Switch(config-if)#switchport trunk allowed vlan add 201
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>對Switch_L2_0輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 101
Switch(config-if)#switchport trunk allowed vlan add 102
Switch(config-if)#switchport trunk allowed vlan add 201
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>步驟6:將Switch_L2_0連到Switch_L2_1與Switch_L2_2,對接孔為Switch_L2_0的GigabitEthernet0/1、GigabitEthernet0/2分別連到Switch_L2_1與Switch_L2_2的GigabitEthernet0/1,如下圖:
Switch_L2_1是要服務PC與筆電的,所以我們要從Switch_L2_0把VLAN 101與VLAN 102都Trunk下來,作法很簡單,就是在對接的網孔上都設定Trunk模式,並且加入這兩個VLAN,指令如下:
對Switch_L2_0輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 101
Switch(config-if)#switchport trunk allowed vlan add 102
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>對Switch_L2_1輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 101
Switch(config-if)#switchport trunk allowed vlan add 102
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>Switch_L2_2是要服務伺服器的,所以我們要從Switch_L2_0把VLAN 201Trunk下來,指令如下:
對Switch_L2_0輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface GigabitEthernet0/2
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 201
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>對Switch_L2_2輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 201
Switch(config-if)#exit
Switch(config)#exit
Switch#exit
Switch>以上,我們已經完成基本的網路架構了,網段規劃好了、VLAN切好了、也都設定在正確的網路設備上,接著,我們要設定終端設備。
步驟7:將兩台PC0與PC1、Laptop0分別接在Switch_L2_1的FastEthernet0/1、FastEthernet0/2、FastEthernet0/11,如下圖:
三個終端設備的網路設定如下表:
| PC0 | PC1 | LAPTOP0 | |
| IP | 10.10.1.1 | 10.10.1.2 | 10.10.2.1 |
| 遮罩(MASK) | 255.255.255.0 | 255.255.255.0 | 255.255.255.0 |
| Gateway | 10.10.1.254 | 10.10.1.254 | 10.10.2.254 |
此時,網路也設定了,網路線也接上了,但網路不會通!不論是跨網段互PING或是PING Gateway都沒有回應,因為必須要讓連終端設備的網孔改為Access模式,並且將對應的VLAN設定進去。
對Switch_L2_1輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interface range FastEthernet0/1 , fastEthernet0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 101
Switch(config-if)#exit
Switch(config)#interface FastEthernet0/11
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 201
Switch#exit
Switch>步驟8:將Server0接在Switch_L2_2上的FastEthernet0/1網孔上,Server0的網路設定如下:
| Server0 | |
| IP | 10.2.1.1 |
| 遮罩(MASK) | 255.255.255.0 |
| Gateway | 10.2.1.254 |
Switch_L2_2上的FastEthernet0/1網孔也同樣要設定為Access模式並加入對應的VLAN。
對Switch_L2_2輸入以下指令:
Switch>en
Switch#config t
Switch(config)#interfac FastEthernet0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 201
Switch(config-if)#exit
Switch#exit
Switch>至此,所有終端設備都應該要能正常PING到自己的Gateway了,不過,跨網段仍然不通,強調幾件事情:
- 跨網段不通,是網路架構上最基本的設計,就像沒有人允許,不能到別人家一樣
- 在企業中,跨網段的網路通訊,通常會由防火牆來管理
- 不同的網段若在不同的區域網路,應該要寫路由,讓網路封包知道目標在哪個方向
不過,本篇只是要驗證一個基礎的網路架構,為了此一驗證,我們接著把所有網路都打通,就像一間沒有門的大樓,可以四通八達!
實際上,請千萬不要這樣做!
步驟9:將L3核心網路交換器打通路由,讓網路四通八達,無所阻擋!
再次強調,這是為了驗證我們的網路架構,實際上千萬不要這樣做!
Switch>en
Switch#config t
Switch#ip routing
Switch#exit
Switch>使用ip routing指令啟動路由功能,L3交換器會自己偵測路由,讓跨網段的網路可以存取。
再次強調,這是為了驗證我們的網路架構,實際上千萬不要這樣做,請買一台防火牆!
後記
此篇是在短時間記錄下來的,使用到很多網路的專用術語,但卻沒有特別解釋,日後將再分享這些專用術語的技術文章。若是網路新鮮人,除了熟悉Cisco Packet Tracer這套模擬工具外,也可以先自行Google諸如VALN、Trunk、Access…等,會更容易了解本篇的內容。
相關文章
~ END ~
