أسم المشروع
الشبكة اﻷفتراضية الخاصة والنقل عبر VPN
شكل 1-1
فكرة المشروع:
مجال المشروع:
المنتج النهائي للمشروع:
خطوات تنفيذ المشروع:
اﻷسبوع اﻷول:
اﻷسبوع الثاني:
تصميم المشروع وتحديد المتطلبات التقنية ودراسة الجدوى للمشروع .
شكل 2-1
وهذه الطبقات الثلاث هي :-
طبقة الوصول The access layer
طبقة التوزيع The distribution layer
وهذه الطبقة من التقسيم الهرمي تتجمع فيها نقاط الشبكة من طبقة ACCESS اي انها تتدفق جميع البيانات من طبقة access الى Distribution ويستخدم في هذه الطبقة سويش خاص يعمل على layer2 وlayer 3 يطلق عليه switch multi layer او core switch. ومن المحولات والموجهات اللتي تعمل على طبقة التوزيع :-
الطبقة الرئيسية The core layer
تقسيم العناوين:
172.16.0.0/18 وتم تخصيصه للموقع اﻷول site 1
172.16.64.0/18وتم تخصيصه للموقع الثاني site 2
172.16.128.0/18وتم تخصيصه للموقع الثالث site 3
172.16.192.0/18 غير مستخدم – مخصص للأستخدام المستقبلي.
واﻵن بعد تقسيم الشبكة على المواقع بشكل هرمي سنقوم بتقسيم كل عنوان شبكة على المستخدمين .
1- تقسيم الشبكة 172.16.0.0/18 على المستخدمين في الموقع اﻷول site 1
سيتم تقسيم العنوان الى قسمين وهما:-
172.16.0.0/19 وسيقسم على المستخدمين.
172.16.32.0/19 وسيبقى للأستخدام المستقبلي لهذا الموقع.
لتقسيم العنوان 172.16.0.0/19 على المستخدمين ننظر أولا ﻷكبر عدد من المستخدمين وهو 250 طالبا لذلك نكتفي بتخصيص اﻷوكتت الأخير للعناوين. ولهذا سنحصل على 32 شبكة كما يلي:
172.16.0.0/24 سيتم أستخدامها للطلاب
172.16.1.0/24 سيتم تقسيمها على أعضاء هيئة التدريس واﻹداريين والزوار.
172.16.2.0/24 للأستخدام المستقبلي .
172.16.3.0/24 إلى 172.16.31.0/24 للأستخدام المستقبلي .
تقسيم 172.16.1.0.24 إلى اربع أقسام يحتوي كل قسم على 62 عنوان .
172.16.1.0/26 وتستخدم ﻹعضاء هيئة التدريس
172.16.1.64/26 وتستخدم ﻹداريين.
172.16.1.128/26 وتستخدم للزوار.
172.16.1.192/26 للإحتياج المستقبلي
2- تقسيم الشبكة 172.16.64.0/18 على المستخدمين في الموقع الثاني site 2
سيتم تقسيم العنوان الى قسمين وهما:-
172.16.64.0/19 وسيقسم على المستخدمين.
172.16.96.0/19 وسيبقى للأستخدام المستقبلي لهذا الموقع.
لتقسيم العنوان172.16.64.0/19 على المستخدمين ننظر أولا ﻷكبر عدد من المستخدمين وهو 750 طالبا لذلك نكتفي بتخصيص أخر بتين من اﻷوكتت الثالث مع اﻷوكتت الأخير للعناوين. ولهذا سنحصل على 8 شبكات كما يلي:
172.16.64.0/22 سيتم أستخدامها للطلاب
172.16.68.0/22 سيتم تقسيمها على أعضاء هيئة التدريس واﻹداريين والزوار.
172.16.72.0/22 للأستخدام المستقبلي .
باﻹضافة الى الشبكات التالية للأستخدام المستقبلي:
172.16.76.0/22 , 172.16.80.0/22 , 172.16.84.0/22 , 172.16.88.0/22 ,172.16.92.0/22
تقسيم172.16.68.0/22 إلى اربع أقسام يحتوي كل قسم على 254 عنوان .
172.16.68.0/24 وتستخدم ﻹعضاء هيئة التدريس
172.16.69.0/24 وتستخدم ﻹداريين.
172.16.70.0/24 وتستخدم للزوار.
172.16.71.0/24 وتقسم الى اربع شبكات :
172.16.71.0/26 وتقسم إلى 16 شبكة نستخدم اربعة منها .
172.16.71.64/26 للإحتياج المستقبلي
172.16.71.128/26 للإحتياج المستقبلي
172.16.71.192/26 للإحتياج المستقبلي
وتقسم الى اربع شبكات ﻷستخدامها بين أجهزة المبنى:
172.16.71.0/26 وتقسم إلى 16 شبكة نستخدم اربعة منها وهي:-
172.16.71.0/30 للتوصيل بين الراوتر R-Site2 و ASA-Site2
172.16.71.4/30 للتوصيل بين الكور سويتش CSW-Site2 و ASA-Site2
172.16.71.8/30 للتوصيل بين الكور سويتش CSW-Site2 و WEB-Server
172.16.71.12/30 للتوصيل بين الكexactllyور سويتش CSW-Site1 والكور سويتش CSW-Site2
172.16.71.16/30 للتوصيل بين الكور سويتشCSW-Site2 وسيرفر DNS
3- تقسيم الشبكة172.16.128.0/18 على المستخدمين في الموقع الثالث site 2
سيتم تقسيم العنوان الى قسمين وهما:-
172.16.128.0/19 وسيقسم على المستخدمين.
172.16.160.0/19 وسيبقى للأستخدام المستقبلي لهذا الموقع.
لتقسيم العنوان172.16.128.0/19 على المستخدمين ننظر أولا ﻷكبر عدد من المستخدمين وهو 450 طالبا لذلك نكتفي بتخصيص أخر بت من اﻷوكتت الثالث مع اﻷوكتت الأخير للعناوين. ولهذا سنحصل على 16 شبكات كما يلي:
172.16.128.0/23 سيتم أستخدامها للطلاب
172.16.130.0/23 سيتم تقسيمها على أعضاء هيئة التدريس واﻹداريين والزوار.
172.16.132.0/23 للأستخدام المستقبلي .
باﻹضافة الى 13 شبكة أخرى متبقية للأستخدام المستقبلي
تقسيم172.16.130.0/23 إلى اربع أقسام يحتوي كل قسم على 126 عنوان .
172.16.130.0/25 وتستخدم ﻹعضاء هيئة التدريس
172.16.130.128/25 وتستخدم ﻹداريين.
172.16.131.0/25 وتستخدم للزوار.
172.16.131.128/25 وتقسم الى اربع شبكات ﻷستخدامها بين أجهزة المبنى:
172.16.131.128/27 إلى ثمان شبكات أقسام يحتوي كل قسم على 2 عنوان .
172.16.131.160/27 تقسم إلى 4 شبكات
172.16.131.192/27 للإحتياج المستقبلي
172.16.131.224/27 للإحتياج المستقبلي
تقسيم 172.16.131.128/27 إلى ثمان شبكات أقسام يحتوي كل قسم على 2 عنوان .
172.16.131.128/30 للتوصيل بين الراوتر R-Site3 و ASA-Site3
172.16.131.132/30 للتوصيل بين الكور سويتش CSW-Site3 و ASA-Site3
172.16.131.136/30 تستخدم لـDNS server
172.16.131.140/30 للإحتياج المستقبلي
تقسيم 172.16.131.160/27 إلى 4 شبكات :
172.16.131.160/29تحتوي اربع عناوين وتستخدم بين الكورسويتش CSW1-Site3 و CSW2-Site3
172.16.131.168/29 تقسم الى شبكتين:-
172.16.131.168/30 للتوصيل بين الراوتر R-Site3 و ASA2-Site3
172.16.131.172/30 للتوصيل بين الكور سويتش CSW2-Site3 و ASA2-Site3
172.16.131.176/29 للإحتياج المستقبلي
172.16.131.184/29 للإحتياج المستقبلي
وفي مايلي التصميم مع توضيع العناوين والأعداد للمستخدمين
شكل 2-2
نلاحظ من خلال التصميم أننا نحتاج الى عدد 4 راوترات بحيث اثنين سيتم تطبيق تقنية الـNAT عليهما بينم سيتم تطبيق IPsec VPN على الراوترين اﻷخرين. و ثلاث موزعات رئيسية بواقع موزع لكل فرع وكذلك نحتاج الى عدد 2 جدار ناري أساسي و 2 جدار ناري احتياطي .وجهاز سيرفر ومايقارب 1000 جهاز كمبيوتر موزع على الثلاث فروع.
اﻷسبوع الثالث:
بناء الشبكة على برنامج محاكة للشبكات والتوصيل الصحيح بين جميع اجهزة الشبكة.
وتكون اعدادات موقع العميل R-Site2 و R-site3 كما في ملحق (أ)-3.
R-Site3#ping 78.79.115.174 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 78.79.115.174, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms R-Site3#
اﻷسبوع الرابع :
اعدادات الشبكة المحلية لكلية الأداب وكلية العلوم وربطهما محليا باستخدام بروتوكول EIGRP .
Employees : 172.16.69.0/24
students : 172.16.64.0/22
guests : 172.16.70.0/24
Employees :172.16.1.64/26
students :172.16.0.0/24
guests :172.16.1.128/26
إعدادات خدمة DHCP للمستخدمين جميعا على CSW-Site2 كما يلي:-
ip dhcp pool Teachers
network 172.16.68.0 255.255.255.0
default-router 172.16.68.1
dns-server 172.16.71.18
ip dhcp pool Employees
network 172.16.69.0 255.255.255.0
default-router 172.16.69.1
dns-server 172.16.71.18
ip dhcp pool Students
network 172.16.64.0 255.255.252.0
default-router 172.16.64.1
dns-server 172.16.71.18
ip dhcp pool Guests
network 172.16.70.0 255.255.255.0
default-router 172.16.70.1
dns-server 172.16.71.18
وسيتم انشاء هذه الشبكات اﻷربع للموقع Site1 على الكور سويتش كما في الملحق الحق (ب)-2 . ومن ثم سيكون إعدادات خدمة DHCP للمستخدمين جميعا على CSW-Site3 كما يلي:-
ip dhcp pool Teachers network 172.16.130.1 255.255.255.128 default-router 172.16.130.1 dns-server 172.16.131.138 ip dhcp pool Employees
network 172.16.130.128 255.255.255.128
default-router 172.16.130.129 dns-server 172.16.131.138 ip dhcp pool Students network 172.16.128.0 255.255.254.0 default-router 172.16.128.1 dns-server 172.16.131.138 ip dhcp pool Guests network 172.16.131.0 255.255.255.128 default-router 172.16.131.1 dns-server 172.16.131.138
Enhanced Interior Gateway Routing Protocol (EIGRP)
هذا البروتوكول كان ملكية سيسكو حتى منتصف مارس 2013م وفي منتصف مارس 2013م أصبح هذا البروتوكول مفتوح المصدر open standard فهو يعمل على جميع الشركات.
في اﻷساس يصنف كـ advanced distance vector routing protocol وهو عبارة عن تطوير وتحسين لبروتوكول سابق تابع لسيسكو اسمه IGRP.
EIGRP حقايق عن
supports classless routing and VLSM
يدعم التقسيم الغير متساوي ويدعم حميع انواع الشبكات
supports route summarization
يدعم تلخيص الشبكات
supports incremental updates
يدعم
supports load balacing
يدعم اﻹرسال مع اكثر من مسار في نفس الوقت
Sends Hello multicast to 224.0.0.10, protocol is 88
Administrative distance of EIGRP is 90
hello interval 5 s (LAN interface)
hello interval 60 s (WAN interface)
EIGRP uses Reliable Transport Protocol (RTP) for sending messages.
مقارنة بين بروتوكولات التوجيه الداخلية
1- تفعيل eigrp على CSW-Site2 واﻹعلان عن الشبكات التي يحتويها الكور سويتش موضح في ملحق (ب)-4 .
CSW-Site1#sh ip route
C 172.16.0.0/24 is directly connected, Vlan31
C 172.16.1.0/26 is directly connected, Vlan11
C 172.16.1.64/26 is directly connected, Vlan21
C 172.16.1.128/26 is directly connected, Vlan41
D 172.16.64.0/22 [90/25625856] via 172.16.71.13, 00:02:15
igabitEthernet1/1/1
D 172.16.68.0/24 [90/25625856] via 172.16.71.13, 00:02:1
igabitEthernet1/1/1
D 172.16.69.0/24 [90/25625856] via 172.16.71.13, 00:02:15
igabitEthernet1/1/1
D 172.16.70.0/24 [90/25625856] via 172.16.71.13, 00:02:15
igabitEthernet1/1/1
C 172.16.71.12/30 is directly connected, GigabitEthernet1/1/1
CSW-Site1#
VLAN Trunking Protocol VTP
يعتبر بروتوكول VTP من Layer 2 protocol بروتوكول الطبقة الثانية . وطريقة عمله أنه يرسل بث من نوع multicast على العنوان الفيزيائي :-
VTP multicast address: 01-00-0C-CC-CCCC
على جميع السويتشاتVLANيقوم هذا البروتوكول بصيانة الـ فهو يقوم بالحذف واﻹضافة والتعديل والتسمية تلقائيا على جميع السويتشات فمثلا عند اضافة VLAN رقم 20 على السويتش اللذي يكون سيرفر لهذه المهمة فإن هذه الـVLANs تنتقل إلى جميع السويتشات التي في مجال هذا السيرفر وعند تسمية الـVLANs او تغير فيها على السويتش السيرفر فإن ذلك التغير ينتقل إلى السويتشات التي في نفس المجال . وللتوضيح لاحظ الشكل 4-3 .
شكل 4-3
net1 ولتوضيح الشكل 4-3 أكثر سنجعل السويتش اﻷول سيرفر للمجال
SW1(config)#vtp mode server
SW1(config)#vtp version 2
SW1(config)#vtp domain net1
SW1(config)#vtp password 123
سنقوم باستعراض اﻹعدادات للبروتوكول باستخدام اﻷمر
show vtp status
سنقوم بإنشاء ثلاث VLANs على السويتش الأول بعد ما اصبح سيرفر
SW1(config)# vlan 10
SW1(config-vlan)#name Student
SW1(config)#exit
SW1(config)# vlan 20
SW1(config-vlan)#name Teacher
SW1(config)#exit
SW1(config)# vlan 30
SW1(config-vlan)#name visitor
سنقوم بعرض اعدادات الـVLANs
السويتش الثاني والثالث فقط نجعلهما عملاء للسويتش الأول وستنتقل إليهم اعدادات الـVLANs بشكل تلقائي
SW2(config)#vtp mode client
SW2(config)#vtp version 2
SW2(config)#vtp domain net1
SW2(config)#vtp password 123
SW3(config)#vtp mode client
SW3(config)#vtp version 2
SW3(config)#vtp domain net1
SW3(config)#vtp password 123
وسنفوم بعرض الـVLANs لنجد انها انتقلت مع التسمية تلقائيا
وايضا سنعرض معلومات البروتوكول لنرى أن مجموع القلان أصبح 8
VTP versions إصدارات البروتوكول
يوجد ثلاث اصدارات للبروتوكول
version 1: يدعم الـVLANs من 1 حتى 1005فقط
Version 2: يدعم الـVLANs من 1 حتى 1005فقط
version 3: يدعم جميع الـVLANs حتى الـVLANs الممتدة والتي تكون أكبر من 1005
————————————–
standard vlan 1 to 1005
extended vlan 1006 to 4096
————————————–
2^12=4096
? SW1(config)#vtp version
<1-2> Set the adminstrative domain VTP version number
واﻹصدارات الحديثة من نظام الراوترات والسويتشات مثل IOS 15 يدعم الى النسخة الثالثة من البروتوكول :-
? SW(config)#vtp version
<1-3> Set the administrative domain VTP version number
VTP frame
يتم حملها فقط على trunk frame مثل :-
Inter-Switch Link (ISL)
IEEE 802.1Q (dot1q)
لذا هي في الطبقة الثانية وترسل multicast على العنوان
01-00-0C-CC-CC-CC
شكل 4-4
logical link control (LLC)
Subnetwork Access Protocol (SNAP) (AAAA) and a type of 2003 (in the SNAP header).
- VTP protocol version: 1, 2, or 3
- VTP message types:
- Summary advertisements
وترسل كل خمس دقائق من السيرفر وتحمل اسم المجال ورقم المراجعة
= VTP domain name + configuration revision number - Subset advertisement
عند التعديل على الـVLANs يتم ارسال اعلان
Summary advertisementsملحق (ب)-16:-
ثم يتبعه فريم تحمل معلومات الـVLANsوهي
Subset advertisement - Advertisement requests
وهذه رسالة طلب تريل في الحالات التالية
+ configuration revision استقبال فريم تحمل رقم مراجعة اكبر
+ VTP domain name has changed تغير اسم المجال
+ switch has been reset عند اعادة ضبط رقم المراجعة - VTP join messages
يتم ارسالها عن اﻹنضمام للمجال
- Summary advertisements
- Management domain length
- Management domain name
VTP Domain
كل مجموعة سويتشات ينتمون لنفس المجال يتأثرون بإضافة أو حذف أو تعديل على الـVLANs بينما لايتأثر السويتشات التي في مجال أخر
ويسمى ايضا بـ
VLAN management domain = VTP domain
كل سويتش يكون على مجال واحد فقط بمعنى لايمكن ﻷي سويتش ان ان ينتمي إلى مجالين
a switch has only one VTP domain
في الوضع اﻷفتراضي يكون السويتش ﻷينتمي إلى مجال ويكون على وضع السيرفر ويأخذ أسم المجال عندما تصله رسالة من نوع
advertisement
أو تقوم أنت بإعطائة أسم مجال
VTP كيف يعمل بروتوكول
يتم ارسال اعلان كل خمس دقايق عن طريق الـVLAN رقم 1 وهي الـVLAN اﻷفتراضية وهذا اﻹعلان هوملحق (ب)-16:-
VTP advertisements
اذا كان المجال والرقم السري متوافق مع هذه الرسالة يتم تحديث معلومات الـVLANs اذا كان
Configuration Revision
للرسالة أكبر من الموجود على السويتش
له القيمة الأكبر في vtp server فلذلك دائما احرص على ان يكون
Configuration Revision
مع اي إضافة اوتعديل او حذف للـVLANs على السيرفر يتم زيادة
Configuration Revision
VTP mode انماط البروتوكول
يوجد ثلاثة أنماط فقط لهذا البروتوكول وهي :-
- VTP server
يمكنك التعديل او الحذف واﻹضافة والتسمية للـVLANs
Configuration Revision يزداد في كل عملية - VTP client
لايمكنك التعديل او الحذف واﻹضافة والتسمية للـVLANs
Configuration Revision يزداد في كل عملية
يتم تحديث الـVLANs من السيرفر - VTP transparent
يمكنك التعديل او الحذف واﻹضافة والتسمية للـVLANs
Configuration Revision لايزداد في كل عملية
يمرر الـVLANs لكن لايحدث الـVLANs من السيرفر
والجدول التالي يلخص عمل كل نمط
|
Server Mode |
Client Mode |
Transparent Mode |
|
يرسل ويحول |
يرسل ويحول |
يحول فقط |
|
يتم مزامنة معلومات الـVLANs مع السويتشات الأخرى |
يتم مزامنة معلومات الـVLANs مع السويتشات الأخرى |
لابتم مزامنة معلومات الـVLANs مع السويتشات الأخرى |
| VLAN configurations are saved in NVRAM. | VLAN configurations are not saved in NVRAM. | VLAN configurations are saved in NVRAM. |
|
يستطيع السويتش انشاء VLANs |
لايستطيع السويتش انشاء VLANs |
يستطيع السويتش انشاء VLANs |
|
يستطيع السويتش تعديل VLANs |
لايستطيع السويتش تعديل VLANs |
يستطيع السويتش تعديل VLANs |
|
يستطيع السويتش حذف VLANs |
لايستطيع السويتش حذف VLANs |
يستطيع السويتش حذف VLANs |
وسيتم تطبيق إعدادات VTP لنقل الـVLAN بين السويتشات بشكل تلقائي. أولا سنقوم بعمل مجال خاص للموقع Site2 على الكور سويتش ليكون سيرفر كما في ملحق (ب)-6 . ويكون المجال Site2 لجميع السويتشات للموقع Site2 مع وضعها عميل كما يلي في ملحق (ب)-7 . و سيتم توصيل الـDNS server على المنفذ g1/0/3 :-CSW- كما في ملحق (ب)-8. وستكون اعداد العنوان لـDNS server هي :-
بروتوكول الـDHCP
ماهو بروتوكول DHCP ومتى يستخدم وكيف يستخدم؟
لكي نفهم بروتوكول DHCP جيدا دعنا نرى هذا الجهاز كيف يمكننا تزويدة بالعناوين المناسبة:-
لاحظ أنه هناك خيارين لتزويد هذا الجهاز بالعناوين:-
- ادحال يدوي وهذه الطريقة تحتاج منك ادخال كل عنوان جهاز بنفسك وهذا صعب وشاق اذا كان عدد اﻷجهزة كبير واﻷهم انه عرضة للخطأ في ادخال العناوين وحصول مشاكل في الشبكة
- ادخال تلقائي automatically وهذا يتطلب وجود سيرفر يزودك بالعناوين المناسبة وهذا الخيار هو DHCP.
طريقة عمل خدمة DHCP
- عند اختيار obtain an ip automatically يقوم الجهاز بارسال رسالة عامة Broadcast على كل الشبكة وعلى العنوان 2555.255.255.255 للبحث عن سيرفر DHCP وهذه الرسالة تسمى DHCP-Discover
- يقوم أقرب سيرفر DHCP بالرد على هذه الرسالة برسالةة عامة أيضا تحتوي على العناوين المطلوبة للجهاز وهذه الرسالة تسمى DHCP-Offer
- يقوم الجهاز بالرد على السيرفر برسالة موجهة للسيرفر فقط يعني تكون unicast وهذه الرسالة تسمى DHCP-Request.
- يقوم السيرفر بالرد على هذه الرسالة بالقبول وتسمى DHCP-ACK.
ماهي الخطوات التي سنقوم بها لجعل بروتوكول يعمل بشكل صحيح ويقوم بتزويد اﻷجهزة الطرفية بالعناوين المناسبة؟
1- إنشاء VLAN لكل شبكة من الشبكات الخمس على الكورسويتش .
2- إعطاء كل منفذ VLAN عنوان الشبكة المخصص له.
3- إنشاء خدمة DHCP لكل VLAN تحتوي على كامل المتغيرات مثل الشبكة وسيرفر DNS وعنوان منفذ الـVLAN.
4-التوصيل بين الكور سويتش والسويتشات الفرعيية يكون TRUNK
5- لابد أن تكون نفس أرقام الـVLAN على السويتشات الفرعيية سوى باﻹنشاء اليدوي أو نقلها بواسطة بروتوكول VTP
6- تخصيص المنافذ المؤدية للأجهزة على الـVLAN المناسبة ليقوم باخذ عنوان من نفس الـVLAN المخصصة له.
ASA-Site3#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/2/9 ms
ASA-Site3#
Network address translation (NAT)
هل يسمح لي بالاتصال بالانترنت باستخدام العناوين الخاصة؟
غير مسموح لك الأتصال بالعناوين الخاصة عبر الانترنت على الرغم من ان عناوين اجهزة الكمبيوتر سواء في البيت او العمل او الجامعة فهي عناوين خاصةprivate IP addresses.
ماهي العناوين الخاصة Private IP Addresses ؟
- 192.168.0.0 – 192.168.255.255 (65,536 IP addresses)
- 172.16.0.0 – 172.31.255.255 (1,048,576 IP addresses)
- 10.0.0.0 – 10.255.255.255 (16,777,216 IP addresses)
في الجدول التالي سيتم توضيح كل مايتع لق بالعناوين الخاصة من ناحية prefix – mask – wild card وذلك ﻷهميتها وسنستخدمها في قوائم الوصول أيضا.
| Class | Prefix | Mask | Wild Card |
|---|---|---|---|
| A | /8 | 255.0.0.0 | 0.255.255.255 |
| B | /12 | 255.240.0.0 | 0.15.255.255 |
| C | /16 | 255.255.0.0 | 0.0.255.255 |
Public IP اﻷتصال باﻷنترنت فقط يكون عن طريق عنوان عام
وهذا العنوان اما عنوان المودم في البيت أو عنوان الراوتر في المؤسسات
ماهي العناوين العامة Public IP Addresses
جميع العناوين من الفيئات الثلاث التي ليست خاصة فهي عناوين عامة وهذه الفيئات هي:-
Class A
Class B
Class C
افرض ان فيه 10 اجهزة كمبيوتر في المنزل فهي تاخذ عناوين خاصة من الشبكة اللاسلكية مثلا لكن جميع هذه العناوين لاتتجاوز هذه الشبكة حيث يتم تحويلها داخل المودم الى عنوان عام واحد فقط لاستخدام الانترنت.ولتفرقة اﻷجهزة عن بعضعا يعطى كل عنوان اثناء التحويل رقم اضافي يسمى رقم المنفذ. ففي العمل او الجامعة او الشركة جميع اجهزة الموظفين تاخذ عناوين خاصة لكن جميع هذه الأجهزة تتصل بالانترنت بفضل هذه التقنية. وعملية التحويل التي تمت هي NAT/PAT. وهي عبارة عن اختصار للمصطلح التالي:-
Network Address Translation (NAT) and Port Address Translation (PAT)
وتم تعريفها في المرجع التالي
RFC 2766
port address = 16 bits
ويكتب مع العنوان العام هكذا
9.10.2.1:1021
كم عدد المنافذ التي يمكن أستخدامها مع العناوين العامة في اﻹنترنت
2^16=64000
NAT terms
ملحق (ب)-16:-ملحق (ب)-16:-
المصطلحات في الشكل على اساس اﻷتصال من الراوتر اﻷول الى الثاني
العناوين الخاصة في الشبكة المحلية تسمى
Inside local address
عناوين محلية داخلية
العنوان العام الذي تم التحويل اليه يسمى
Inside global address
عنوان عام محلي – وهو نفس العنوان العام الذي تم تخصيصه لك من مزود الخدمة ويتم دفع رسوم لهذا اﻷشتراك
العنوان الخاص في الشبكة المحلية البعيدة
Outside local address
عناوين محلية داخلية للشبكة في الطرف اﻷخر أي بننا وينها النترنت
العنوان العام لمضيف او جهاز خارجي على الانترنت
Outside global address
عنوان عام في شبكة على اﻷنترنت
من فوائد أستخدامك تقنية
NAT
أولا
العناوين الداخلية لاتخرج الى اﻷنترنت بل يتم تحويلها الى عنوان عام ولذلك لايمكن ﻷحد أن يصل الى الشبكة الداخلية الخاصة بك لعدم معرفته بالعناوين وﻷن هذه العناوين خاصة لايتم توجيهها في الأنترنت
وهكذا فيها حماية امنية للشبكة الداخلية
ثانيا
عندما تريد الوصول الى المحيط الخارجي اللي هو اﻷنترنت فكل ماعليك هو تحويل العناوبن الداخلية لاى عنوان عام من دون اعادة عنونة الشبكة الداخلية
أنواع تقنية
NAT
1- Static NAT (Network Address Translation)
تحويل عنوان خاص الى عنوان عام
single inside address =======> single outside address
2- Dynamic NAT (Network Address Translation)
تحويل عناوين خاصة الى عناوين عامة
multiple inside addresses =======> multiple outside addresses
3- PAT (Port Address Translation)
يتم تحويل عدد لامحدد من العناوين الخاصة الى عنوان عام واحد
multiple inside addresses =======> single outside address
R-Site3#sh ip nat translations
Pro Inside global Inside local Outside local Outside
lobal
icmp 78.79.115.178:41 172.16.131.134:41 8.8.8.8:41 8.8.8.8:41
icmp 78.79.115.178:42 172.16.131.134:42 8.8.8.8:42 8.8.8.8:42
cmp 78.79.115.178:43 172.16.131.134:43 8.8.8.8:43 8.8.8.8:43
icmp 78.79.115.178:44 172.16.131.134:44 8.8.8.8:44 8.8.8.8:44
icmp 78.79.115.178:45 172.16.131.134:45 8.8.8.8:45 8.8.8.8:45
icmp 78.79.115.178:46 172.16.131.134:46 8.8.8.8:46 8.8.8.8:46
icmp 78.79.115.178:47 172.16.131.134:47 8.8.8.8:47 8.8.8.8:47
R-Site3#
اﻷسبوع الخامس :
الإعدادت والخطوات الرئيسية لتشغيل ASA Cisco.
وفي هذا القسم سنقوم بتوضيح الخطوات الرئيسية لتشغيل الجدار الناري الخاص بسيسكو ASA, وهي تعتبر أهم الخطوات لتشغيل الجدار ومن خلال عدة خطوات بسيطة ومسهلة:-
الخطوة الأولى:وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16.
تحديد منافذ الـ Inside & Outside وهي من أهم الاوامر التى يجب القيام بها من أجل تحديد الـ Level-Security التى يجب التعامل معها. فعندما نحدد منفذ ما بأنه Outside فهو يحصل مباشرة على Level-0 أي لايوجد أمان ابدا. بينما الـ Inside يحصل على Level-100
الخطوة الثانية: إعداد الـ Default-Route.
ويكون التوجيه اﻷفتراضي لجميع الشبكات الغير معروفه بحيث بتم توجيه المسار خرجبا الى اﻹنترنت ومثال عليه id:-
ASA(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2 1
الخطوة الثالثة:
تفعيل الـ NAT, لو في حال كان الجدار الناري متصل وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16.مع الأنترنت مباشرة نقوم بتفعيل الـ NAT وهذا ينطبق على مشروعنا . وفي حالة لو كان هناك ADSL Router فنحن لسنا بحاجة إلى NAT. ومثال على مجموعة اﻷوامر التس سنستخدمها هي:-
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
ASA-Site2(config)#access-group acl-outside in interface outSide ASA-Site2(config)#access-list acl-outside extended permit ip any any
CSW-Site2(config)#ip route 0.0.0.0 0.0.0.0 172.16.71.6
CSW-Site2#ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: !!!!!وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16. Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/2 ms CSW-Site2#traceroute 8.8.8.8 Type escape sequence to abort. Tracing the route to 8.8.8.8 1 172.16.71.6 1 msec 1 msec 0 msec 2 172.16.71.1 0 msec 0 msec 0 msec 3 78.79.115.173 3 msec 1 msec 1 msec 4 8.8.8.8 3 msec 0 msec 10 msec CSW-Site2#
CSW-Site1#ping 8.8.8.8وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16.وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16.وفيما يتعلق بالإعدادات اللازمة لذلك نرجو الرجوع إلى ملحق (ب)-16.
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
CSW-Site1#
CSW-Site1#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPFCSW-Site2(config)#int g1/0/3
CSW-Site2(config-if)#description connected to DNS server
CSW-Site2(config-if)#switchport mo access
CSW-Site2(config-if)#switchport access vlan 100
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)# NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
rea
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 9 subnets, 4 masks
C 172.16.0.0/24 is directly connected, Vlan31
C 172.16.1.0/26 is directly connected, Vlan11
C 172.16.1.64/26 is directly connected, Vlan21
C 172.16.1.128/26 is directly connected, Vlan41
D 172.16.64.0/22 [90/25625856] via 172.16.71.13, 04:00:14,
igabitEthernet1/1/1
D 172.16.68.0/24 [90/25625856] via 172.16.71.13, 04:00:14,
igabitEthernet1/1/1
D 172.16.69.0/24 [90/25625856] via 172.16.71.13, 04:00:14,
igabitEthernet1/1/1
D 172.16.70.0/24 [90/25625856] via 172.16.71.13, 04:00:14,
igabitEthernet1/1/1
C 172.16.71.12/30 is directly connected, GigabitEthernet1/1/1
CSW-Site1#
CSW-Site2(config-router)#redistribute static metric 100000 1000 255 1 1500
إنشاء اربع شبكات على CSW-Site3
CSW-Site3(config)#vtp domain Site3 CSW-Site3(config)#vtp mode server CSW-Site3(config)#vtp version 2 CSW-Site3(config)#vtp password 333
SW1-Site3(config)#vtp domain Site3 SW1-Site3(config)#vtp mode client SW1-Site3(config)#vtp version 2 SW1-Site3(config)#vtp password 333
CSW-Site3(config)#vtp mode server
CSW-Site3(config)#vtp version 2
CSW-Site3(config)#vtp password 333ويكون المجال Site3 لجميع السويتشات للموقع Site3 مع وضعها عميل كما يلي :-يل أجهزة مختلفة على SW1-Site3
SW1-Site3(config)#int f0/1
SW1-Site3(config-if)#desc connected to Teacher-PC
SW1-Site3(config-if)#switchport access vlan 31
SW1-Site3(config-if)#int f0/2
SW1-Site3(config-if)#desc connected to Employee-PC
SW1-Site3(config-if)#switchport access vlan 32
SW1-Site3(config-if)#int f0/3
SW1-Site3(config-if)#desc connected to Student-PC
SW1-Site3(config-if)#switchport access vlan 33
SW1-Site3(config-if)#int f0/4
SW1-Site3(config-if)#desc connected to Guest-PC
SW1-Site3(config-if)#switchport access vlan 34
SW1-Site3(config-if)#
إضاقة إعدادات VTP لنقل الـVLAN بين السويتشات بشكل تلقائي.أولا سنقوم بعمل مجال خاص للموقع Site3 على الكور سويتش ليكون شيرفر :-CSW-Site3(config)#vtp domain Site3
CSW-Site3(config)#vtp mode server
CSW-Site3(config)#vtp version 2
CSW-Site3(config)#vtp password 333ويكون المجال Site3 لجميع السويتشات للموقع Site3 مع وضعها عميل كما يلي :-سويتش رئيسي الى Site3 ليكون redundancy :-
CSW-Site3(config)#int port-channel 1
CCSW-Site3(config-if)#switchport mode access
CSW-Site3(config-if)#switchport mode trunk
CSW-Site3(config-if)#exit
CSW-Site3(config)#
CSW-Site3(config)#int range g1/0/23-24
CCSW-Site3(config-if-range)#switchport mode access
CSW-Site3(config-if-range)#switchport mode trunk
CSW-Site3(config-if-range)#no sh
CSW-Site3(config-if-range)#channel-group 1 mode active
Switch>en
Switch#conf t
Switch(config)#hostname CSW2-Site3
CSW2-Site3(config)#int port-channel 1
CSW2-Site3(config-if)#switchport mode access
CSW2-Site3(config-if)#switchport mode trunk
CSW2-Site3(config-if)#int range g1/0/23-24
CSW2-Site3(config-if-range)#no sh
CSW2-Site3(config-if-range)#switchport mode access
CSW2-Site3(config-if-range)#switchport mode trunk
CSW2-Site3(config-if-range)#channel-group 1 mode active
CSW2-Site3# sh etherchannel port-channel
Channel-group listing:
----------------------
Group: 1
----------
Port-channels in the group:
---------------------------
Port-channel: Po1 (Primary Aggregator)
------------
Age of the Port-channel = 00d:00h:10m:28s
Logical slot/port = 2/1 Number of ports = 2
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel
Protocol = LACP
Port Security = Disabled
Ports in the Port-channel:
Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Gig1/0/23Active 0
0 00 Gig1/0/24Active 0
Time since last port bundled: 00d:00h:09m:20s Gig1/0/24
CSW2-Site3#
CSW2-Site3#
CSW2-Site3#
CSW2-Site3(config)#vtp mode server
CSW2-Site3(config)#vtp domain Site3
CSW2-Site3(config)#vtp version 2
CSW2-Site3(config)#vtp password 333
CSW2-Site3(config)#end
CSW2-Site3#
CSW2-Site3#sh vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- --------------------------
----
1 default active Gig1/0/1, Gig1/0/2,
ig1/0/3, Gig1/0/4
Gig1/0/5, Gig1/0/6,
ig1/0/7, Gig1/0/8
Gig1/0/9, Gig1/0/10,
ig1/0/11, Gig1/0/12
Gig1/0/13, Gig1/0/14,
ig1/0/15, Gig1/0/16
Gig1/0/17, Gig1/0/18,
ig1/0/19, Gig1/0/20
Gig1/0/21, Gig1/0/22,
ig1/1/1, Gig1/1/2
Gig1/1/3, Gig1/1/4
31 Teachers active
32 Employees active
33 Students active
34 Guests active
100 VLAN0100 active
300 Management active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
CSW2-Site3#
CSW-Site3#
CSW2-Site3>
CSW2-Site3>en
CSW2-Site3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CSW2-Site3(config)#ip dhcp pool Teachers
CSW2-Site3(dhcp-config)# network 172.16.130.0 255.255.255.128
CSW2-Site3(dhcp-config)# default-router 172.16.130.1
CSW2-Site3(dhcp-config)# dns-server 172.16.131.138
CSW2-Site3(dhcp-config)#ip dhcp pool Employees
CSW2-Site3(dhcp-config)# network 172.16.130.128 255.255.255.128
CSW2-Site3(dhcp-config)# default-router 172.16.130.129
CSW2-Site3(dhcp-config)# dns-server 172.16.131.138
CSW2-Site3(dhcp-config)#ip dhcp pool Students
CSW2-Site3(dhcp-config)# network 172.16.128.0 255.255.254.0
CSW2-Site3(dhcp-config)# default-router 172.16.128.1
CSW2-Site3(dhcp-config)# dns-server 172.16.131.138
CSW2-Site3(dhcp-config)#ip dhcp pool Guests
CSW2-Site3(dhcp-config)# network 172.16.131.0 255.255.255.128
CSW2-Site3(dhcp-config)# default-router 172.16.131.1
CSW2-Site3(dhcp-config)# dns-server 172.16.131.138
CSW2-Site3(dhcp-config)#exit
CSW2-Site3(config)#
int vlan 31
CSW-Site3(config-if)#standby 1 ip 172.16.131.161
CSW-Site3(config-if)#standby 1 priority 200
CSW-Site3(config-if)#standby 1 preempt
CSW-Site3(config-if)#exit
CSW-Site3(config)#
اﻷسبوع السادس:
VPN
1- توفِّر اتصالات آمنة مع تخصيص حقوق الوصول وفقًا للمستخدمين الفرديين، كالموظفين أو المتعاقدين أو الشركاء
2- تعزِّز الإنتاجية من خلال توسيع الشبكة والتطبيقات الخاصة بالمؤسسة
تخفِّض تكاليف الاتصالات وتزيد المرونة
هناك نوعان من شبكات VPN المشفرة و هما:
1- شبكة الاتصال الخاصة الافتراضية المرتكزة على أمن بروتوكول الإنترنت المشفَّر (IPsec VPN) من موقع لموقع: تمثل البديل لشبكات الاتصال الواسعة (WAN) المرتكزة على ترحيل الإطارات أو الخطوط المؤجرة، وهي تسمح للشركات بمد موارد الشبكة إلى المكاتب الفرعية والمكاتب المنزلية ومواقع شركاء العمل.
شكل 6-1
2- شبكة الاتصال الخاصة الافتراضية للوصول عن بُعد: تقوم بتوصيل أي تطبيق بيانات أو صوت أو فيديو إلى سطح المكتب البعيد، بما يضاهي سطح المكتب في المقر الرئيسي. ويمكن نشر شبكة VPN للوصول عن بُعد باستخدام تقنية SSL VPN أو IPsec أو كلتيهما حسب متطلبات النشر.
أنواع VPN بشكل عام :-
1- IPSec – Internet Protocol Security
هذا النوع يقوم بإنشاء نفق من موقع بعيد إلى موقع مركزي وهو مصمم للبيانات المبنية على بروتوكول الانترنت. من عيوب ال IPSec هو أنه يتطلب تثبيتات مكلفة والتي تستغرق وقتاً طويلاً.
2- L2TP – Layer 2 Tunneling Protocol
Layer 2 Protocol Tunneling Protocol هو بروتوكول قناة يوفر ملجأ لشبكة كاملة. لا يوفر L2TP التشفير والتوثيق لسرية البيانات ، لكنه يعمل مع بروتوكولات VPN الأخرى مثل IPSec ، ويقوم IPSec بإخراج البيانات المشفرة والمصادقة ، ثم L2TP تطور قناة آمنة ومأمونة بين شبكتين.
يعمل L2TP مع تبادل حزم البيانات بين نظيرين ، إذا طلب أحد أطراف اﻷتصال إنشاء قناة ، يبدأ L2TP في إنشاء جلسة فيتم انشاء قناة عندما يتم تمكين إطارات البيانات للمرور على قناة آمنة. بمجرد أن يتم ترسيخ القناة ، يُسمح بمرور حركة ثنائية الاتجاه على الإنترنت بسلاسة دون أي مخاوف.
3- PPTP – Point-To-Point Tunneling Protocol
هو النوع الأكثر شيوعاً من الـ VPNحيث أنه يتيح للمستخدمين عن بعد الوصول إلى شبكة ال VPN من خلال الاتصال بالإنترنت وذلك بإستخدام كلمة مرور للدخول. هذا النوع لا يستلزم وجود أجهزة إضافية وأن الخدمات الإضافية تعتبر غير مكلفة. PPTP هو اختصار ل“بروتوكول الاتصال النفقي من نقطة إلى نقطة”. لكن من عيوب هذا النوع هو أنه لا يقوم بتشفير البيانات، وأنه يعتمد على “بروتوكول نقطة إلى نقطة” من أجل تطبيق التدابير الأمنية.
4- SSL – Secure Socket Layer
يمكن الوصول إلى هذا النوع عن طريق ال https في متصفح الانترنت. يقوم هذا النوع بإنشاء جلسة عمل آمنة بين المتصفح وخادم التطبيق الذي يحاول المستخدم الوصول اليه. وميزة هذا النوع هو أنه لا يحتاج الى أي برنامج مثبت حيث أنه يستخدم المتصفح كتطبيق.
5- OpenVPN
OpenVPN هو بروتوكول VPN متقدم يسمح بالتخصيص لشبكة افتراضية. لذلك هو تطبيق مفتوح المصدر لإنشاء اتصالات آمنة من موقع إلى آخر أو عن بعد. يحدد OpenVPN بعض تقنيات التشفير السابقة من خلال استخدام مفتاح منتظم لتحليل البيانات.
6- SHH – Secure Shell
يوفر القناة الآمنة امتداد الوصول عن بُعد لجهاز العميل إلى الخادم بشكل آمن. يعمل هذا البروتوكول أيضًا على إنشاء نفق والسماح للبيانات بالعبور من القناة بعد التشفير. ينفذ جهاز العميل إجراءات عن بُعد لتسجيل الدخول عن بُعد من جهاز الكمبيوتر المحلي الخاص به ؛ قناة آمنة تربط شبكة المنطقة المحلية.
اﻷسبوع السابع :
منطقة منزوعة السلاح DMZ
الدواعي اﻷمنية لوجود DMZ
في شبكة الكمبيوتر، أكثر الشبكات عرضة للهجوم هي تلك التي تقدم خدمات للمستخدمين خارج الشبكة المحلية، مثل البريد الإلكتروني، على شبكة الإنترنت وخوادم نظام تحديد العناوين الشبكية و بروتوكولات الانترنت (DNS). نظرا لاحتمال زيادة إحتمال تعرض هذين المضيفين للخطر، يتم تفعيل DMZ في شبكة فرعية محددة من أجل حماية بقية الشبكات , المخترق إذا نجح في مهاجمة شبكة لن يستطيع الوصول إلى اخرى . هذا يسمح للمضيفين في المنطقة المجردة من السلاح DMZ على تقديم الخدمات إلى كل من الشبكة الداخلية والخارجية، في حين أن جدار الحماية يتحكم في حركة المرور بين الملقمات DMZ وعملاء شبكة الاتصال الداخلية.
توفر خاصية DMZ الأمن من الهجمات الخارجية، ولكن ليس لديها أي تأثير على الهجمات الداخلية مثل البريد و الويب او تحلل الحزم أو بالتحايل مثل انتحال البريد الإلكتروني.
شكل 7-2
سيرفر الويب الخاص بالجامعة يقع في Site2 وفي المنطقة المعزولة DMZ كما في الشكل 7-2 بحيث يمكن الوصول له من داخل الشبكة ومن خارجها وهنا مثال على الوصول له من داخل الشبكة:-
شكل 7-3
وبطبيغة عمل الجدار الناري ASA فإنه يمنع الوصول للشبكة الداخلية بحيث أن اجهزة DMZ غير مسموح لها بالوصول الى الشبكات الداخلية LANs . ومثال على ذلك فإن سيرفر الويب لايصل الى الشبكة الداخلية وفيما يلي محاولة وصول فاشلة:-
شكل 7-4
إعدادات الجدار الناري تطلب فهم عميق لكثير من البوتوكولات والمفاهيم في الشبكة مثل التوجيه والتحويل وقوائم الوصول وغيرها. وكذلك التعامل مع class-map و policy-map و service-policy وقد تم ارفاق هذه اﻹعدادات للجدار الناري الذي يخدم منطقة الـ DMZ , نرجو الرجوع إلى ملحق (ج)-1.
اﻷسبوع الثامن :
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،
ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .
IPSec Protocols
إن IPsec هو طريقة لتشفير البيانات المنقولة وليس بروتوكول . لكن للIPSec بروتوكولان رئيسيان هما :
اولا: AH : Authentication Header
يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :
1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .
2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .
3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.
4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.
هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .
شكل 8-1
يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،
يوفر الESP المزايا التاليه:
1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).
2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .
3.Anti-Replay : موضحه في الAH .
4.Anti-Spoofing Protection : موضحه في ال AH.
ثالثا : IKE : Internet Key Exchange
الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .
هكذا نكون قد انهينا مكونات الIPSec , لننتقل الى موضوع IPSec modes اي طرق او انواع الIPSec التي يستخدمها في الشبكه .
ينقسم الIPSec الى نظامين او نوعين وهما :
1. نظام النقل Transport Mode
2. نظام النفق Tunnel Mode .
اولا : Transport Mode
يستخدم هذا النظام عادة داخل الشبكه المحليه LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسه المتبعه في الIPSec بين اي جهازين في الشبكه اي يوفر Endpoint-to-Endpoint Encryption فمثلا اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركه التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فاذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسله من لحظت خروجها من جهاز المستخدم الى لحظه وصولها الى السيرفر.
يتم تطبيق هذا النظام Transport Mode في الحالات التاليه :
اولا: المحادثه تتم بين الاجهزه في داخل او نفس الشبكه الداخليه الخاصه Private LAN .
ثانيا: المحادثه تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه عن حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ،، ونستفيد من ذلك هو اننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وايضا انه يقوم باخفاء عناوين الاجهزه عن شبكة الانترنت للحمايه من الاختراق الخارجي) .
ثانيا: Tunnel Mode
يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعاده بين راوترين 2 Routers ، اذا يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافيا اي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير امنه كالانترنت ، فمثلا اذا اراد فرعين لشركه ان يقوم بتشفير جميع البيانات التي يتم ارسالها فيما بينهم على بروتوكول FTP : File Transfere Protocol فيتم اعداد الIPSec على اساس الTunneling Mode .
كنت قد قلت في الدرس السابق اني ساضيف مخططا لحزمة بيانات الESP ،، وهذه صوره مخطط لكل من الPackets في الAH , ESP في كلتا النظامين Tunnel and Transport Modes .
شكل 8-2
اﻷسبوع التاسع :
تم الوصول للإنترنت وهو السيرفر ذات العنوان 8.8.8.8 من الجهاز Tech-Site3 وفيما يلي نجاح الوصول:-
شكل 9-1
تم الوصول لسيرفر موقع الجامعة وهو السيرفر ذات العنوان 200.200.200.200 من الجهاز Tech-Site3 وفيما يلي نجاح الوصول:-
شكل 9-2
أجهزة فرع الجامعة في Site3 تصل الى الشبكة الخاصة في فرع الجامعة Site1 و Site2 وفيما يلي نتائج اختبار الوصول من جهاز Tech-Site3 في الفرع Site3 الى الجهاز Tech-Site2 في الفرع Site2 وكذلك الجهاز Tech-Site1 في الفرع site1 :-
شكل 9-3
الأجهزة في الشبكات الداخلية تصل إلى اﻷنترنت وكذلك موقع الجامع في المنطقة المعزولة كما سبق ايضاحه وتجرته اعلاه. ولكن المنطقة المعزولة غير مسموح لها بالوصول الى الشبكات الداخلية وفيما يلي اثبات لذلك:-
شكل 9-4
اﻷسبوع العاشر
إضافة مايلي إن أمكن أو وضعها تطوير مستقبلي للمشروع:-
الخاتمة
إذن ما هي الشبكة الافتراضية الخاصة؟ كما تم تطبيق ذلك في هذا المشروع ، يمكن أن تتخذ VPN عدة أنماط. فيمكن أن تكون VPN بين نظامين نهائيين كما هي في هذا المشروع ،أو يمكن أن يكون بين شبكتين أو أكثر. يمكن إنشاء VPN باستخدام القنوات channels أو التشفير في أي طبقة من البروتوكول بشكل أساسي أو على الطبقات أو كليهما ، كما يمكن إنشاؤها بدلاً من ذلك باستخدام MPLS أو أحد أساليب “جهاز التوجيه الظاهري” “virtual router. ويمكن أن تتكون شبكة VPN من شبكات متصلة لشبكة مزود الخدمة عن طريق الخطوط المؤجرة أو ترحيل الإطارات أو أجهزة الصراف الآلي أو شبكة VPN يمكن أن تتكون من مشتركي الطلب الهاتفي المتصلين بـخدمات مركزية أو مشتركين آخرين في الطلب الهاتفي.
والاستنتاج من تطبيقنا في هذا المشروع هو أنه بينما يمكن أن تتخذ VPN العديد من الأشكال ، إلا أن هناك بعض المشاكل الأساسية الشائعة التي تم تصميم VPN لحلها ، وهي مثل الخدمات اﻷفتراضية virtualization of services وعزل الوصول إلى مجتمع مغلق من الخدمات والمصالح ، وفي نفس الوقت استغلال للخدمة اﻷساسية المقدمة من مزود الخدمة واستخدام البنية اﻷساسية للانترنت في بنا شبكة VPN.
وأخيرا يمكن القول بأنه لايوجد آلية واحدة لـ VPN ستحل محل جميع الأجهزة الأخرى في الأشهر والسنوات القادمة ، ولكن بدلاً من ذلك سنستمر في رؤية ماذا ستقدم لنا التكنلوجيا من تنوع في الخيارات هذا المجال وفي دعم VPN.
ملحق أ
R-ISP#sh run
hostname R-ISP
no ip domain-lookup
interface GigabitEthernet0/0
ip address 8.8.8.9 255.0.0.0
interface GigabitEthernet0/0/0
ip address 78.79.115.173 255.255.255.252
!
interface GigabitEthernet0/1/0
ip address 78.79.115.177 255.255.255.252
!
ip route 198.51.100.101 255.255.255.255 GigabitEthernet0/0/0
ip route 78.79.115.180 255.255.255.252 GigabitEthernet0/1/0
ip route 78.79.115.184 255.255.255.252 GigabitEthernet0/0/0
R-ISP#
ISP-Site2-1#sh run
hostname ISP-Site2-1
interface GigabitEthernet0/0/0
ip address 78.79.115.174 255.255.255.252
ip nat outside
!
interface GigabitEthernet0/1/0
ip address 78.79.115.185 255.255.255.252
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0
ip route 172.16.0.0 255.255.192.0 78.79.115.186
ip route 172.16.64.0 255.255.192.0 78.79.115.186
!
access-list 1 permit 172.16.0.0 0.0.63.255
access-list 1 permit 172.16.64.0 0.0.63.255
!
end
ISP-Site2-1#
ISP-Site3#sh run
hostname ISP-Site3
!
interface GigabitEthernet0/0/0
ip address 78.79.115.178 255.255.255.252
ip nat outside
!
interface GigabitEthernet0/1/0
ip address 78.79.115.181 255.255.255.252
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0
ip route 172.16.128.0 255.255.192.0 78.79.115.182
!
!
access-list 1 permit 172.16.128.0 0.0.63.255
!
end
ISP-Site3#
ملحق (أ)-3:-
R-Site2#sh run
hostname R-Site2
license boot module c2900 technology-package securityk9
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.182
!
crypto ipsec transform-set Site2-Site3 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.182
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site2-Site3
match address 100
!
interface GigabitEthernet0/0
ip address 172.16.71.1 255.255.255.252
!
interface GigabitEthernet0/1
ip address 172.16.71.21 255.255.255.252
!
interface GigabitEthernet0/0/0
ip address 78.79.115.186 255.255.255.252
crypto map IPSEC-MAP
!
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0
ip route 172.16.64.0 255.255.252.0 172.16.71.2
ip route 172.16.64.0 255.255.252.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.2
ip route 172.16.69.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.22 2
ip route 172.16.69.0 255.255.255.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.22 2
ip route 172.16.71.12 255.255.255.252 172.16.71.2
ip route 172.16.71.12 255.255.255.252 172.16.71.22 2
ip route 172.16.71.4 255.255.255.252 172.16.71.2
ip route 172.16.71.4 255.255.255.252 172.16.71.22 2
ip route 172.16.64.0 255.255.192.0 172.16.71.2
ip route 172.16.64.0 255.255.192.0 172.16.71.22 2
ip route 172.16.0.0 255.255.252.0 172.16.71.2
ip route 172.16.0.0 255.255.252.0 172.16.71.22 2
ip route 198.51.100.101 255.255.255.255 172.16.71.2
ip route 198.51.100.101 255.255.255.255 172.16.71.22 2
!R-Site2#sh run
hostname R-Site2
license boot module c2900 technology-package securityk9
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.182
!
crypto ipsec transform-set Site2-Site3 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.182
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site2-Site3
match address 100
!
interface GigabitEthernet0/0
ip address 172.16.71.1 255.255.255.252
!
interface GigabitEthernet0/1
ip address 172.16.71.21 255.255.255.252
!
interface GigabitEthernet0/0/0
ip address 78.79.115.186 255.255.255.252
crypto map IPSEC-MAP
!
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0
ip route 172.16.64.0 255.255.252.0 172.16.71.2
ip route 172.16.64.0 255.255.252.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.2
ip route 172.16.69.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.22 2
ip route 172.16.69.0 255.255.255.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.22 2
ip route 172.16.71.12 255.255.255.252 172.16.71.2
ip route 172.16.71.12 255.255.255.252 172.16.71.22 2
ip route 172.16.71.4 255.255.255.252 172.16.71.2
ip route 172.16.71.4 255.255.255.252 172.16.71.22 2
ip route 172.16.64.0 255.255.192.0 172.16.71.2
ip route 172.16.64.0 255.255.192.0 172.16.71.22 2
ip route 172.16.0.0 255.255.252.0 172.16.71.2
ip route 172.16.0.0 255.255.252.0 172.16.71.22 2
ip route 198.51.100.101 255.255.255.255 172.16.71.2
ip route 198.51.100.101 255.255.255.255 172.16.71.22 2
!
!
access-list 100 permit ip 172.16.0.0 0.0.127.255 172.16.128.0 0.0.63.255
!
end
R-Site2#
R-Site3#sh run
hostname R-Site3
license boot module c2900 technology-package securityk9
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.186
!
crypto ipsec transform-set Site3-Site2 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.186
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site3-Site2
match address 100
!
no ip domain-lookup
!
interface GigabitEthernet0/0
ip address 172.16.131.130 255.255.255.252
!
interface GigabitEthernet0/1
ip address 172.16.131.170 255.255.255.252
!
interface GigabitEthernet0/0/0
ip address 78.79.115.182 255.255.255.252
crypto map IPSEC-MAP
!
ip route 172.16.131.132 255.255.255.252 172.16.131.129
ip route 172.16.131.172 255.255.255.252 172.16.131.169
ip route 172.16.131.136 255.255.255.252 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.169 2
ip route 172.16.130.128 255.255.255.128 172.16.131.129
ip route 172.16.130.128 255.255.255.128 172.16.131.169 2
ip route 172.16.128.0 255.255.254.0 172.16.131.129
ip route 172.16.128.0 255.255.254.0 172.16.131.169 2
ip route 172.16.131.0 255.255.255.128 172.16.131.129
ip route 172.16.131.0 255.255.255.128 172.16.131.169 2
ip route 0.0.0.0 0.0.0.0 78.79.115.181
!
i
access-list 100 permit ip 172.16.128.0 0.0.63.255 172.16.0.0 0.0.127.255
!
R-Site3#
!
access-list 100 permit ip 172.16.0.0 0.0.127.255 172.16.128.0 0.0.63.255
!
end
R-Site2#
R-Site3#sh run
hostname R-Site3
license boot module c2900 technology-package securityk9
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.186
!
crypto ipsec transform-set Site3-Site2 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.186
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site3-Site2
match address 100
!
no ip domain-lookup
!
interface GigabitEthernet0/0
ip address 172.16.131.130 255.255.255.252
!
interface GigabitEthernet0/1
ip address 172.16.131.170 255.255.255.252
!
interface GigabitEthernet0/0/0
ip address 78.79.115.182 255.255.255.252
crypto map IPSEC-MAP
!
ip route 172.16.131.132 255.255.255.252 172.16.131.129
ip route 172.16.131.172 255.255.255.252 172.16.131.169
ip route 172.16.131.136 255.255.255.252 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.169 2
ip route 172.16.130.128 255.255.255.128 172.16.131.129
ip route 172.16.130.128 255.255.255.128 172.16.131.169 2
ip route 172.16.128.0 255.255.254.0 172.16.131.129
ip route 172.16.128.0 255.255.254.0 172.16.131.169 2
ip route 172.16.131.0 255.255.255.128 172.16.131.129
ip route 172.16.131.0 255.255.255.128 172.16.131.169 2
ip route 0.0.0.0 0.0.0.0 78.79.115.181
!
i
access-list 100 permit ip 172.16.128.0 0.0.63.255 172.16.0.0 0.0.127.255
!
R-Site3#
ملحق ب
ملحق (ب)-1:-
Switch>en
Switch#conf t
Switch(config)#hostname CSW-Site2
CSW-Site2(config)#ip routing
CSW-Site2(config)#vlan 10
CSW-Site2(config-vlan)#name Teachers
CSW-Site2(config-vlan)#vlan 20
CSW-Site2(config-vlan)#name Employees
CSW-Site2(config-vlan)#vlan 30
CSW-Site2(config-vlan)#name StudentsCSW-Site2(config-vlan)#vlan 40
CSW-Site2(config-vlan)#name GuestsCSW-Site2(config-vlan)#vlan 100
CSW-Site2(config-vlan)#name Management
CSW-Site2(config-vlan)#end
CSW-Site2#CSW-Site2#conf t
CSW-Site2(config)#int vlan 10
CSW-Site2(config-if)#ip add 172.16.68.1 255.255.255.0
1
CSW-Site2(config-if)#int vlan 20
CSW-Site2(config-if)#ip add 172.16.69.1 255.255.255.0CSW-Site2(config-if)#int vlan 30
CSW-Site2(config-if)#ip add 172.16.64.1 255.255.252.0CSW-Site2(config-if)#int vlan 40
CSW-Site2(config-if)#ip add 172.16.70.1 255.255.255.0
CSW-Site2(config-if)#int vlan 100
CSW-Site2(config-if)#ip add 172.16.70.17 255.255.255.252
ملحق (ب)-2:-
Switch>en Switch#conf t
Switch(config)#hostname CSW-Site2
CSW-Site1(config)#ip routing
CSW-Site1(config)#vlan 11
CSW-Site1(config-vlan)#name Teachers
CSW-Site1(config-vlan)#vlan 21
CSW-Site1(config-vlan)#name Employees
CSW-Site1(config-vlan)#vlan 31
CSW-Site1(config-vlan)#name Students
CSW-Site1(config-vlan)#vlan 41
CSW-Site1(config-vlan)#name Guests
CSW-Site1(config-vlan)#end
CSW-Site1# CSW-Site1#conf t
CSW-Site1(config)#int vlan 11
CSW-Site1(config-if)#ip add 172.16.1.1 255.255.255.192
CSW-Site1(config-if)#int vlan 21
CSW-Site1(config-if)#ip add 172.16.1.65 255.255.255.192
CSW-Site1(config-if)#int vlan 31
CSW-Site1(config-if)#ip add 172.16.0.1 255.255.252.0
CSW-Site1(config-if)#int vlan 41
CSW-Site1(config-if)#ip add 172.16.1.129 255.255.255.192
ملحق (ب)-3:-
CSW-Site2>en
CSW-Site2#conf t
CSW-Site2(config)#int g1/1/1
CSW-Site2(config-if)#no switchport
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#ip add 172.16.71.13 255.255.255.252
CSW-Site2(config-if)#end
CSW-Site2# CSW-Site1#conf t
CSW-Site2(config)#int g1/0/2
CSW-Site2(config)#sw mode access
CSW-Site2(config)#sw mode trunk
CSW-Site2>en
CSW-Site2#conf t
CSW-Site2(config)#int g1/1/1
CSW-Site2(config-if)#no switchport
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#ip add 172.16.71.13 255.255.255.252
CSW-Site2(config-if)#end
CSW-Site2#
CSW-Site1#conf t
CSW-Site2(config)#int g1/0/2
CSW-Site2(config)#sw mode access
CSW-Site2(config)#sw mode trunk
CSW-Site1#int g1/1/1
CSW-Site1(config-if)#no switchport
CSW-Site1(config-if)#no sh
CSW-Site1(config-if)#ip add 172.16.71.14 255.255.255.252
CSW-Site1(config-if)#end
CSW-Site1#conf t
CSW-Site1(config)#int g1/0/1
CSW-Site1(config)#sw mode access
CSW-Site1(config)#sw mode trunk
ملحق (ب)-4:-
CSW-Site2(config)#router eigrp 100
CSW-Site2(config-router)#network 172.16.64.0 0.0.3.255
CSW-Site2(config-router)#network 172.16.68.0 0.0.0.255
CSW-Site2(config-router)#network 172.16.69.0 0.0.0.255
CSW-Site2(config-router)#network 172.16.70.0 0.0.0.255
CSW-Site2(config-router)#network 172.16.71.12 0.0.0.3
CSW-Site2(config-router)#network 172.16.71.16 0.0.0.3
CSW-Site2(config-router)#no auto-summary
ملحق (ب)-5:-
CSW-Site1(config)#router eigrp 100 CSW-Site1
(config-router)#network 172.16.0.0 0.0.0.255
CSW-Site1(config-router)#network 172.16.1.0 0.0.0.63
CSW-Site1(config-router)#network 172.16.1.64 0.0.0.63
CSW-Site1(config-router)#network 172.16.1.128 0.0.0.63
CSW-Site1(config-router)#network 172.16.71.12 0.0.0.3
CSW-Site1(config-router)#network 172.16.71.16 0.0.0.3
CSW-Site1(config-router)#no auto-summary
ملحق (ب)-6:-
CSW-Site2(config)#vtp domain Site2
CSW-Site2(config)#vtp mode server
CSW-Site2(config)#vtp version 2
CSW-Site2(config)#vtp password 123
ملحق (ب)-7:-
SW1-Site2(config)#vtp domain Site2
SW1-Site2(config)#vtp mode client
SW1-Site2(config)#vtp version 2
SW1-Site2(config)#vtp password 123
ملحق (ب)-8:-
CSW-Site2(config)#int g1/0/3
CSW-Site2(config-if)#description connected to DNS server
CSW-Site2(config-if)#switchport mode access
CSW-Site2(config-if)#switchport access vlan 100
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#
ملحق (ب)-9:-
ip dhcp pool Teachers
network 172.16.68.0 255.255.255.0
default-router 172.16.68.1
dns-server 172.16.71.18 ip
dhcp pool Employees
network 172.16.69.0 255.255.255.0
default-router 172.16.69.1
dns-server 172.16.71.18
ip dhcp pool Students
network 172.16.64.0 255.255.252.0
default-router 172.16.64.1
dns-server 172.16.71.18
ip dhcp pool Guests
network 172.16.70.0 255.255.255.0
default-router 172.16.70.1
dns-server 172.16.71.18
ملحق (ب)-10:-
CSW-Site1(config)#vtp domain Site1
CSW-Site1(config)#vtp mode server
CSW-Site1(config)#vtp version 2
CSW-Site1(config)#vtp password 321
ملحق (ب)-11:-
SW1-Site1(config)#vtp domain Site1
SW1-Site1(config)#vtp mode client
SW1-Site1(config)#vtp version 2
SW1-Site1(config)#vtp password 321
ملحق (ب)-12:-
ip dhcp pool Teachers network 172.16.1.0 255.255.255.192
default-router 172.16.1.1
dns-server 172.16.71.18
ip dhcp pool Employees
network 172.16.1.64 255.255.255.192
default-router 172.16.1.65
dns-server 172.16.71.18
ip dhcp pool Students
network 172.16.0.0 255.255.255.0
default-router 172.16.0.1
dns-server 172.16.71.18
ip dhcp pool Guests
network 172.16.1.128 255.255.255.192
default-router 172.16.1.129
dns-server 172.16.71.18
ملحق (ب)-13:-
CSW-Site3>en
CSW-Site3#conf t
CSW-Site3(config)#int g1/0/1
CSW-Site3(config-if)#no switchport
CSW-Site3(config-if)#no sh
CSW-Site3(config-if)#description connceted to ASA-Site3
CSW-Site3(config-if)#ip add 172.16.131.134 255.255.255.252
CSW-Site3(config-if)#end
CSW-Site3# CSW-Site3#conf t
CSW-Site3(config)#int g1/0/2
CSW-Site3(config)#sw mode access
CSW-Site3config)#sw mode trunk
ملحق (ب)-14:-
ciscoasa#conf t
ciscoasa(config)#hostname ASA-Site3
ASA-Site3(config)#int vlan 1
ASA-Site3(config-if)#no ip address 192.168.1.1 255.255.25
ASA-Site3(config-if)#exit
ASA-Site3(config)#no dhcpd auto_config outside
ASA-Site3(config)#no dhcpd address 192.168.1.5-192.168.1.36 inside
Interface inside ip address or netmask not valid (0.0.0.0/255.255.255.255)
ASA-Site3(config)#no dhcpd enable inside
ASA-Site3(config)#
ASA-Site3#conf t
ASA-Site3(config)#int vlan 1
ASA-Site3(config-if)#ip add 172.16.131.133 255.255.255.252
ASA-Site3(config-if)#
ASA-Site3(config-if)#nameif inside
ASA-Site3(config-if)#security-level 100
ASA-Site3(config-if)#
ASA-Site3(config)#int e0/1
ASA-Site3(config-if)#switchport mode access
ASA-Site3(config-if)#switchport access vlan 1
ASA-Site3(config-if)#no sh
ASA-Site3(config)#int vlan 2
ASA-Site3(config-if)#no ip address dhcp
ASA-Site3(config-if)#ip add 172.16.131.129 255.255.255.252
ASA-Site3(config-if)#nameif outside
ASA-Site3(config-if)#security-level 0
ASA-Site3(config-if)#
ASA-Site3(config-if)#exit
ASA-Site3(config)#int e0/0
ASA-Site3(config-if)#switchport mode access
ASA-Site3(config-if)#switchport access vlan 2
ASA-Site3(config-if)#no sh
ASA-Site3(config)#access-list out-to-in extended permit ip any any
ASA-Site3(config)#access-group out-to-in out interface inside
ASA-ite3(config)#
ASA-Site3(config)#route outside 0.0.0.0 0.0.0.0 142.16.131.130
ASA-Site3(config)#route inside 172.16.128.0 255.255.192.0 172.16.131.134 1
ملحق (ب)-15:-
R-Site3(config)#ip nat inside source list 1 interface g0/0/0 overload
R-Site3(config)#access-list 1 permit 172.16.128.0 255.255.192.0
R-Site3(config)#access-list 1 permit 172.16.128.0 255.255.192.0
R-Site3(config)#int g0/0/0
R-Site3(config-if)#ip na
R-Site3(config-if)#ip nat o
R-Site3(config-if)#ip nat outside
R-Site3(config-if)#int g0/0
R-Site3(config-if)#ip nat inside
R-Site3(config-if)#
R-Site3(config)#ip route 172.16.128.0 255.255.192.0 172.16.131.129
ملحق (ب)-16:-
R-Site2(config)#int g0/0
R-Site2(config-if)#ip add 172.16.71.1.255.255.255.252
R-Site2(config-if)#no sh
ciscoasa>en
Password:
ciscoasa#conf t
ciscoasa(config)#ho
ciscoasa(config)#hostname ASA-Site2
ASA-Site2(config)#
ASA-Site2(config)#int vlan 2
ASA-Site2(config-if)#security-level 0
ASA-Site2(config-if)#nameif OutSide
ASA-Site2(config-if)#ip add 172.16.71.2 255.255.255.252
ASA-Site2(config-if)#end
ASA-Site2#
ASA-Site2(config)#int e0/0
ASA-Site2(config-if)#switchport mode access
ASA-Site2(config-if)#switchport access vlan 2
ASA-Site2(config-if)#
ASA-Site2(config)#int vlan 1
ASA-Site2(config-if)#security-le
vel 100
ASA-Site2(config-if)#nameif OutSide
ASA-Site2(config-if)#no ip address
ASA-Site2(config-if)#ip add 172.16.71.6 255.255.255.252
ASA-Site2(config-if)#end
ASA-Site2#
ASA-Site2(config)#int e0/1
ASA-Site2(config-if)#switchport mode access
ASA-Site2(config-if)#switchport access vlan 1
ASA-Site2(config-if)#
ASA-Site2(config)#route OutSide 0.0.0.0 0.0.0.0 172.16.71.1
R-ISP(config)#ip route 172.16.71.0 255.255.255.252 78.79.115.174 R-ISP(config)#ip route 172.16.131.128 255.255.255.252 78.79.115.178
R-ISP(config)#int g0/0
R-ISP(config-if)#no sh
R-ISP(config-if)#ip add 8.8.8.9 255.0.0.0
R-ISP(config-if)#
CSW-Site2(config)#int g1/0/1
CSW-Site2(config-if)#no switchport
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#ip add 172.16.71.5 255.255.255.252
CSW-Site2(config-if)#end
CSW-Site2#
ملحق (ب)-17:-
ASA-Site2(config)#object network Site-1&2-net
ASA-Site2(config-network-object)#subnet 172.16.0.0 255.255.192.0
ASA-Site2(config-network-object)#subnet 172.16.64.0 255.255.192.0
ASA-Site2(config-network-object)#nat (InSide,OutSide) dynamic interface
ASA-Site2(config-network-object)#end
ASA-Site2#CSW-Site2(config)#int g1/0/3
CSW-Site2(config-if)#description connected to DNS server
CSW-Site2(config-if)#switchport mo access
CSW-Site2(config-if)#switchport access vlan 100
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#CSW-Site2(config)#int g1/0/3
CSW-Site2(config-if)#description connected to DNS server
CSW-Site2(config-if)#switchport mo access
CSW-Site2(config-if)#switchport access vlan 100
CSW-Site2(config-if)#no sh
CSW-Site2(config-if)#
ملحق (ب)-18:-
Switch>en
Switch#conf t
Switch(config)#hostname
CSW-Site3 CSW-Site3(config)#ip routing
CSW-Site3(config)#vlan 31
CSW-Site3(config-vlan)#name Teachers
CSW-Site3(config-vlan)#vlan 32
CSW-Site3(config-vlan)#name Employees
CSW-Site3(config-vlan)#vlan 33
CSW-Site3(config-vlan)#name Students
CSW-Site3(config-vlan)#vlan 44
CSW-Site3(config-vlan)#name Guests
CSW-Site3(config-vlan)#vlan 300
CSW-Site3(config-vlan)#name Management
CSW-Site3(config-vlan)#end
CSW-Site3# CSW-Site3#conf t
CSW-Site3(config)#int vlan 31
CSW-Site3(config-if)#ip add 172.16.30.1 255.255.255.128
CSW-Site3(config-if)#int vlan 32
CSW-Site3(config-if)#ip add 172.16.130.129 255.255.255.128
CSW-Site3(config-if)#int vlan 33
CSW-Site3(config-if)#ip add 172.16.128.1 255.255.254.0
CSW-Site3(config-if)#int vlan 34
CSW-Site3(config-if)#ip add 172.16.131.1 255.255.255.128
CSW-Site3(config-if)#int vlan 100
CSW-Site3(config-if)#ip add 172.16.131.137 255.255.255.252
CSW-Site3(config)#ip route 0.0.0.0 0.0.0.0 g1/0/1
CSW-Site3(config)#int g1/0/2 CSW-Site3(config-if)#description connected to DNS-server CSW-Site3(config-if)#switchport mode access
CSW-Site3(config-if)#switchport mode trunk
CSW-Site3(config-if)#no sh
CSW-Site3(config-if)#end
CSW-Site3#
ملحق (ج)-1:-
ASA2-Site3#sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ASA2-Site3
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 172.16.71.6 255.255.255.252
!
interface Vlan2
nameif outside
security-level 0
ip address 172.16.71.2 255.255.255.252
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address 172.16.71.9 255.255.255.252
!
interface Vlan100
no nameif
no security-level
ip address 200.200.200.200 255.255.255.255
!
object network DMZ-NAT
subnet 172.16.71.8 255.255.255.252
object network INSIDE-NAT
subnet 172.16.71.4 255.255.255.252
object network Web-Server
host 172.16.71.10
object network Web-inside
host 172.16.71.10
!
route outside 0.0.0.0 0.0.0.0 172.16.71.1 1
route inside 172.16.0.0 255.255.128.0 172.16.71.5 1
route inside 172.16.0.0 255.255.192.0 172.16.71.5 1
!
access-list OUTSITE_IN extended permit tcp any any eq www
access-list OUTSITE_IN extended permit ip any any
access-list OUTSITE_IN extended permit tcp any any
!
!
access-group OUTSITE_IN in interface outside
object network DMZ-NAT
nat (dmz,outside) dynamic interface
object network INSIDE-NAT
nat (inside,outside) dynamic interface
object network Web-Server
nat (dmz,outside) static 200.200.200.200
object network Web-inside
nat (dmz,inside) static 200.200.200.200
!
aaa authentication ssh console LOCAL
!
!
username admin password .QjEFm7XBYgUCcKh encrypted
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect http
inspect icmp
!
service-policy global_policy global
!
telnet 172.16.71.0 255.255.255.252 inside
telnet timeout 5
ssh 172.16.0.0 255.255.0.0 inside
ssh 172.16.68.4 255.255.255.255 outside
ssh timeout 10
!
ASA2-Site3#
ملحق (ج)-2:-
R-Site2#sh run
Building configuration...
Current configuration : 2458 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R-Site2
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524WMM8
license boot module c2900 technology-package securityk9
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.182
!
!
!
crypto ipsec transform-set Site2-Site3 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.182
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site2-Site3
match address 100
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 172.16.71.1 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 172.16.71.21 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
shutdown
!
interface GigabitEthernet0/0/0
ip address 78.79.115.186 255.255.255.252
crypto map IPSEC-MAP
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0
ip route 172.16.64.0 255.255.252.0 172.16.71.2
ip route 172.16.64.0 255.255.252.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.2
ip route 172.16.69.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.2
ip route 172.16.70.0 255.255.255.0 172.16.71.22 2
ip route 172.16.69.0 255.255.255.0 172.16.71.22 2
ip route 172.16.68.0 255.255.255.0 172.16.71.22 2
ip route 172.16.71.12 255.255.255.252 172.16.71.2
ip route 172.16.71.12 255.255.255.252 172.16.71.22 2
ip route 172.16.71.4 255.255.255.252 172.16.71.2
ip route 172.16.71.4 255.255.255.252 172.16.71.22 2
ip route 172.16.64.0 255.255.192.0 172.16.71.2
ip route 172.16.64.0 255.255.192.0 172.16.71.22 2
ip route 172.16.0.0 255.255.252.0 172.16.71.2
ip route 172.16.0.0 255.255.252.0 172.16.71.22 2
ip route 198.51.100.101 255.255.255.255 172.16.71.2
ip route 198.51.100.101 255.255.255.255 172.16.71.22 2
ip route 200.200.200.200 255.255.255.255 172.16.71.2
ip route 200.200.200.200 255.255.255.255 172.16.71.22 2
!
!
!
access-list 100 permit ip 172.16.0.0 0.0.127.255 172.16.128.0 0.0.63.255
!
R-Site2#
R-Site2#
line con 0
!
line aux 0
!
line vty 0 4
login
R-Site3#
R-Site3#sh run
Building configuration...
Current configuration : 2002 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R-Site3
!
license boot module c2900 technology-package securityk9
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key secretkey address 78.79.115.186
!
!
!
crypto ipsec transform-set Site3-Site2 esp-aes 256 esp-sha-hmac
!
crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 78.79.115.186
set pfs group5
set security-association lifetime seconds 86400
set transform-set Site3-Site2
match address 100
!
!
!
!
!
interface GigabitEthernet0/0
ip address 172.16.131.130 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 172.16.131.170 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
shutdown
!
interface GigabitEthernet0/0/0
ip address 78.79.115.182 255.255.255.252
crypto map IPSEC-MAP
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 172.16.131.132 255.255.255.252 172.16.131.129
ip route 172.16.131.172 255.255.255.252 172.16.131.169
ip route 172.16.131.136 255.255.255.252 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.129
ip route 172.16.130.0 255.255.255.128 172.16.131.169 2
ip route 172.16.130.128 255.255.255.128 172.16.131.129
ip route 172.16.130.128 255.255.255.128 172.16.131.169 2
ip route 172.16.128.0 255.255.254.0 172.16.131.129
ip route 172.16.128.0 255.255.254.0 172.16.131.169 2
ip route 172.16.131.0 255.255.255.128 172.16.131.129
ip route 172.16.131.0 255.255.255.128 172.16.131.169 2
ip route 0.0.0.0 0.0.0.0 78.79.115.181
!
ip flow-export version 9
!
!
access-list 100 permit ip 172.16.128.0 0.0.63.255 172.16.0.0 0.0.127.255
!
R-Site3#
المراجع التي تمت الأستفادة منها في هذا المشروع:-
1- Zhang, Z., Zhang, Y., Chu, X. and Li, B. (2004). An Overview of Virtual Private Network (VPN): IP VPN and Optical VPN. Photonic Network Communications, 7(3), pp.213-225.
2-Deal, R. (2006). The complete Cisco VPN configuration guide. Indianapolis, Ind.: Cisco Press.
3-Hooper, H. (2012). CCNP security VPN. Indianapolis, IN: Cisco Press.
4- Mbale, J. and Mufeti, K. (2011). Phase teaching model for subnetting IPv4. International Journal of Internet Technology and Secured Transactions, 3(1), p.1.
5- Rossi, L., Rossi, L. and Rossi, T. (1999). Cisco and IP addressing. New York: McGraw-Hill.
6-Zhang, Z., Zhang, Y., Chu, X. and Li, B. (2004). An Overview of Virtual Private Network (VPN): IP VPN and Optical VPN. Photonic Network Communications, 7(3), pp.213-225.
7- Bartlett, G. and Inamdar, A. (2017). IKEv2 IPsec virtual private networks. Indianapolis, Indiana: Cisco Press.
8- Anon, (2019). [image] Available at: https://www.youtube.com/watch?v=Db0VfCnULxM [Accessed 3 Apr. 2019].
9-Bartlett, G. and Inamdar, A. (2017). IKEv2 IPsec virtual private networks. Indianapolis, Indiana: Cisco Press.
10-Styron, W. (2017). The Confessions of Nat Turner. La Vergne: Dreamscape Media.
11-Support, T., Routing, I. and TechNotes, T. (2019). Enhanced Interior Gateway Routing Protocol. [online] Cisco. Available at: https://www.cisco.com/c/en/us/support/docs/ip/enhanced-interior-gateway-routing-protocol-eigrp/16406-eigrp-toc.html [Accessed 3 Apr. 2019].
.
.