Professional Documents
Culture Documents
1
59 בנית רשת מטרו WANרחבה
EIGRP פרוטוקול ניתוב 63
67 (כדי לצאת לרשת העולמית) הגדרת NAT
73 מקומית (חסימת גישה ) הגדרת רשימת גישה access-list
78 סיכום
78 בביבליוגרפיה
78 תודות
2
מבוא
שמי מוטי לרנר נשוי לזהבה ויש לנו 5ילדים .אנו גרים באריאל .
אני מלמד בישיבת בני עקיבא גבעת שמואל פיזיקה ותקשוב.
בהכשרתי למדתי הנדסאים באלק' .ויש לי תואר ראשון ושני בתקשוב אם התמחות בפיתוח תוכניות
לימודים המתבססים על מערכות מתוקשבות ברשת.
במהלך ה 30 -שנה האחרונות אני משלב עבודה של תמיכה מעשית במחשבים ותקשורת בבתי
ספר .יחד עם הוראה.
לפני כשנה התבקשתי להקים בישיבת בני עקיבא גבעת שמואל מגמת תקשוב עם התמחות
בתקשורת וזו השנה השנייה שאני מלמד מקצוע זה.
במסגרת השתלמות מנחי פרויקטים נתבקשתי להקים פרויקט העונה לדרישות המגמה ברמה של 5
יח' לימוד.
הפרויקט שהחלטתי הינו על חברה בשם " " All Medicineהחברה היא וירטואלית והיא עוסקת
במתן שרותי רפואה רגילים ומתקדמים לכל אזרח.
לחברה מספר רב של סניפים ברחבי הארץ .לצורך הפרויקט אני התמקדתי בשלושה סניפים .
הראשון הסניף המרכזי – הכולל כ 80יחידות מחשב הכולל שרותי ניהול ארציים שרתי תמיכה,
ושירותים רפואיים
הסניף השני והשלישי הינם סניפים בגודל בינוני עד 50יחדות מחשב הכוללים שרותי ניהול
מקומיים ושירותים רפואיים במגוון רחב של תחומים.
בכל אחד מהסניפים קיימים מס מחלקות .פרוט מלא נמצא תחת מבנה החברה בהמשך עבודה זו
את עבודת הפרויקט אני עושה בשילוב תוכנת הסימולציה פאקט טרייסר של
חברת סיסקו.
אודות החברה
לחברה יש כ 500עובדים המתחלקים לתחומי מנהלה ,שיווק ,אנשי רפואה ,טכנאי מכשור רפואי ,
פארמה ,ופארה רפואיים.
3
תרשים ארגוני
4
תיאור המחלקות ותפקידם
מנהלה ראשי
תיאור המחלקה שם המחלקה
מחלקת מנהלה ראשי ,תפקידה לנהל את המערך של המרפאות .במחלקה זו נמצא מנהלה ראשי
המנכל ראשי אגפים וצוות מזכירות החולשות על תפקוד שותף של מערך המרפאות
בארץ.
מחלקת שיווק בראשה עומד סמנכ"ל שיווק תפקידה לנהל את מערך השיווק של שיווק
החברה
מחלקת רכש בראשה עומד סמנכ"ל רכש תפקידה להיות אחראית על כל הרכש רכש
לחברה .רכש כללי ,רכש רפואי ורכש ציוד
מחלקת תמיכה ותקשוב .בראשה עומד סמנכ"ל תקשוב .תפקידה לנהל את כל מחשוב IT
מערך התקשוב של החברה .מתן מענה ותמיכה 24/7לצורכי התקשוב בסניפים.
באחריות מחלקה זו נמצאים שרתי החברה הראשיים והיא אחראית לתפקודם
התקין
מחלקת הספקה אחראית על מערך הספקת הציוד ושינועו בכל הארץ לסניפים ובין הספקה
הסניפים .לרשות המחלקה עומד גם צאי רכבים לביצוע משימות החברה
תפקיד המחלקה ניהול מערך כוח האדם בהתאם לצורכי חברה כוח אדם
מרפאות
תיאור המחלקה שם המחלקה
מחלקת מנהלה סניפית .בראשה עומד/ת מנהל מרפאה .תפקידה לנהל את מנהלה
המרפאה מבחינה תקציבית ומנהלתית להיות בקשר עם המרכז .המחלקה כוללת
את שרות הנהלתי לחולים באמצעות מזכירות רפואיות
חדר מיון קידמי תפקידו לתת מענה רפואי לנזקקים הנדרשים לטיפול רפואי דחוף. חדר מיון קדמי
המחלקה כוללת רשתות קוויות ואלחוטיות המאפשרות שימוש ביח' מחשב נידות
ללא צורך בחיבור קווי
מחלקת ילדים כוללת חדרי רופאים ואחיות לצורך אבחון וטיפול בילדים וחדר ילדים
טיפולים המחלקה כוללת רשתות קוויות ואלחוטיות המאפשרות שימוש ביח' מחשב
ניידות
מחלקת משפחה כוללת חדרי רופאים ואחיות לצורך אבחון וטיפול במבוגרים וחדר רפואת משפחה
טיפולים בנוסף ליחידת משנה לטיפול בבעיות נפש הכוללת פסיכולוג ועוס"ת קליניים
.המחלקה כוללת רשתות קוויות ואלחוטיות המאפשרות שימוש ביח' מחשב ניידות
מחלקה כללית כוללת חדרי רופאים לצורך מתן מענה רפואי במקצועות מיוחדים . מרפאת מומחים
במחלקה זו הרופאים הינם רופאי חוץ ומגיעים פעם בשבוע למרפאה .כמו כן
במחלקה זו קיימות חדרי אחיות לצורך בדיקות שותפות .המחלקה כוללת רשתות
קוויות ואלחוטיות המאפשרות שימוש ביח' מחשב נידות
מחלקת רפואת שיניים כוללת חדר מזכירה רפואית חדר רופא טיפול בשיניים .חדר שיניים
שיננית .לצורך אבחון וטיפול המחלקה כוללת רשתות קוויות ואלחוטיות המאפשרות
שימוש ביח' מחשב ניידות
5
חלוקת ציוד לפי מחלקות
6
רשימת ציוד לפי מיקום וסניפים
7
רשימת ציוד מחשבים
מיקום מחשבים
וציוד קצה
חדרה
עמודה3 עמודה2 עמודה1
מיקום ארון שם לקוח ציוד מס
חדרה מנהלה קומה 1 מזכירות מנהלה PC1
חדרה מנהלה קומה 1 מזכירות מנהלה PC2
חדרה מנהלה קומה 1 מזכירות מנהלה PC3
חדרה מנהלה קומה 1 מנכל PC4
חדרה מנהלה קומה 1 סמנכ"ל PC5
חדרה מנהלה קומה 1 מזכירות מנהלה PC6
חדרה מנהלה קומה 1 מזכירות מנהלה PC7
חדרה מנהלה קומה 1 מזכירות מנהלה PC8
חדרה מנהלה קומה 1 כוח אדם PC9
חדרה מנהלה קומה 1 כוח אדם PC10
חדרה מנהלה קומה 1 כוח אדם PC11
חדרה מנהלה קומה 1 סמנכ"ל כוח אדם PC12
חדרה מנהלה קומה 1 מנכל printer 1
חדרה מנהלה קומה 1 מנהלה printer 2
חדרה מנהלה קומה 1 שיווק printer 3
חדרה מנהלה קומה 1 קומתי AP
עמודה3 עמודה2 עמודה1
חדרה רכש קומה 2 רכש pc 13
חדרה רכש קומה 2 רכש pc 14
חדרה רכש קומה 2 רכש pc 15
חדרה רכש קומה 2 רכש pc 16
חדרה רכש קומה 2 אספקה pc 17
חדרה רכש קומה 2 אספקה pc 18
חדרה רכש קומה 2 אספקה pc 19
חדרה רכש קומה 2 אספקה pc 20
חדרה רכש קומה 2 שיווק pc 21
חדרה רכש קומה 2 שיווק pc 22
חדרה רכש קומה 2 שיווק pc 23
חדרה רכש קומה 2 שיווק pc 24
חדרה רכש קומה 2 רכש printer 1
חדרה רכש קומה 2 אספקה printer 2
חדרה רכש קומה 2 שיווק printer 3
חדרה מחשוב קומה 2 מחשוב PC 25
חדרה מחשוב קומה 2 מחשוב PC 26
חדרה מחשוב קומה 2 מחשוב PC 27
חדרה מחשוב קומה 2 מחשוב PC 28
חדרה מחשוב קומה 2 מחשוב PC 29
חדרה מחשוב קומה 2 מחשוב PC 30
חדרה מחשוב קומה 2 מחשוב printer 1
חדרה מחשוב קומה 2 שרתים WEB SER
חדרה מחשוב קומה 2 שרתים MAILSER
חדרה מחשוב קומה 2 שרתים DNS SER
חדרה מחשוב קומה 2 שרתים DHCP SER
חדרה מחשוב קומה 2 קומתי AP
מיקום מחשבים
8
וציוד קצה
טבריה
עמודה3 עמודה2 עמודה1
מיקום ארון שם לקוח ציוד מס
sw1-admטבריה קומה א מזכירות מנהלה PC1
sw1-admטבריה קומה א מזכירות מנהלה PC2
טבריה קומה א sw1-adm מזכירות מנהלה PC3
טבריה קומה א sw1-adm מזכירות מנהלה PC4
טבריה קומה א sw1-adm מיון PC5
טבריה קומה א sw1-adm מיון PC6
טבריה קומה א sw1-adm מיון PC7
טבריה קומה א sw1-adm מיון PC8
טבריה קומה א sw1-adm מיון PC9
טבריה קומה א sw1-adm מיון PC10
טבריה קומה א sw1-adm מיון PC11
טבריה קומה א sw1-adm מיון PC12
טבריה קומה א sw1-adm מזכירות מנהלה printer 1
טבריה קומה א sw1-adm מיון printer 2
טבריה קומה א sw1-adm מיון printer 3
טבריה קומה א sw1-adm 2 AP
עמודה3 עמודה2 עמודה1
טבריה קומה ב sw2-ort שיניים pc 13
טבריה קומה ב sw2-ort שיניים pc 14
sw2-ortטבריה קומה ב שיניים pc 15
טבריה קומה ב sw2-ort שיניים pc 16
טבריה קומה ב sw2-ort משפחה pc 17
טבריה קומה ב sw2-ort משפחה pc 18
טבריה קומה ב sw2-ort משפחה pc 19
טבריה קומה ב sw2-ort משפחה pc 20
טבריה קומה ב sw2-ort שיניים printer5
טבריה קומה ב sw2-ort משפחה printer6
טבריה קומה ב sw2-ort משפחה printer7
טבריה קומה ב sw2-ort משפחה printer 8
טבריה קומה ב sw2-ort משפחה printer9
טבריה קומה ב sw3-sp קומתי AP
טבריה קומה ב sw3-sp ילדים pc21
טבריה קומה ב sw3-sp ילדים pc22
טבריה קומה ב sw3-sp ילדים pc23
sw3-spטבריה קומה ב ילדים pc24
טבריה קומה ב sw3-sp מומחים pc25
טבריה קומה ב sw3-sp מומחים pc26
טבריה קומה ב sw3-sp מומחים pc27
טבריה קומה ב sw3-sp מומחים pc28
טבריה קומה ב sw3-sp מומחים pc29
טבריה קומה ב sw3-sp מומחים pc30
טבריה קומה ב sw3-sp מומחים pc31
טבריה קומה ב sw3-sp מומחים pc32
טבריה קומה ב sw3-sp ילדים printer 10
טבריה קומה ב sw3-sp ילדים printer 11
טבריה קומה ב sw3-sp ילדים printer 12
9
טבריה קומה ב sw3-sp ילדים printer 13
טבריה קומה ב sw3-sp מומחים printer 14
טבריה קומה ב sw3-sp מומחים printer 15
טבריה קומה ב sw3-sp מומחים printer 16
טבריה קומה ב sw3-sp מומחים printer 17
טבריה קומה ב sw3-sp מומחים printer 18
טבריה קומה ב sw3-sp מומחים printer 19
טבריה קומה ב sw3-sp מומחים printer 20
טבריה קומה ב sw3-sp מומחים printer 21
מיקום
מחשבים
וציוד קצה
ירוחם
עמודה3 עמודה2 עמודה1
מיקום ארון שם לקוח ציוד מס
ירוחם קומה א sw1-adm מזכירות מנהלה PC1
ירוחם קומה א sw1-adm מזכירות מנהלה PC2
ירוחם קומה א sw1-adm מזכירות מנהלה PC3
ירוחם קומה א sw1-adm מזכירות מנהלה PC4
ירוחם קומה א sw1-adm מיון PC5
ירוחם קומה א sw1-adm מיון PC6
ירוחם קומה א sw1-adm מיון PC7
ירוחם קומה א sw1-adm מיון PC8
ירוחם קומה א sw1-adm מיון PC9
ירוחם קומה א sw1-adm מיון PC10
ירוחם קומה א sw1-adm מיון PC11
ירוחם קומה א sw1-adm מיון PC12
ירוחם קומה א sw1-adm מזכירות מנהלה printer 1
ירוחם קומה א sw1-adm מיון printer 2
ירוחם קומה א sw1-adm מיון printer 3
ירוחם קומה א sw1-adm 3 AP
עמודה3 עמודה2 עמודה1
ירוחם קומה ב sw2-ort שיניים pc 13
ירוחם קומה ב sw2-ort שיניים pc 14
ירוחם קומה ב sw2-ort שיניים pc 15
ירוחם קומה ב sw2-ort שיניים pc 16
ירוחם קומה ב sw2-ort משפחה pc 17
ירוחם קומה ב sw2-ort משפחה pc 18
ירוחם קומה ב sw2-ort משפחה pc 19
ירוחם קומה ב sw2-ort משפחה pc 20
ירוחם קומה ב sw2-ort שיניים printer5
ירוחם קומה ב sw2-ort משפחה printer6
ירוחם קומה ב sw2-ort משפחה printer7
ירוחם קומה ב sw2-ort משפחה printer 8
10
ירוחם קומה ב sw2-ort משפחה printer9
ירוחם קומה ב sw3-sp קומתי AP
ירוחם קומה ב sw3-sp ילדים pc21
ירוחם קומה ב sw3-sp ילדים pc22
ירוחם קומה ב sw3-sp ילדים pc23
ירוחם קומה ב sw3-sp ילדים pc24
ירוחם קומה ב sw3-sp מומחים pc25
ירוחם קומה ב sw3-sp מומחים pc26
ירוחם קומה ב sw3-sp מומחים pc27
ירוחם קומה ב sw3-sp מומחים pc28
ירוחם קומה ב sw3-sp מומחים pc29
ירוחם קומה ב sw3-sp מומחים pc30
ירוחם קומה ב sw3-sp מומחים pc31
ירוחם קומה ב sw3-sp מומחים pc32
ירוחם קומה ב sw3-sp ילדים printer 10
ירוחם קומה ב sw3-sp ילדים printer 11
ירוחם קומה ב sw3-sp ילדים printer 12
ירוחם קומה ב sw3-sp ילדים printer 13
ירוחם קומה ב sw3-sp מומחים printer 14
ירוחם קומה ב sw3-sp מומחים printer 15
ירוחם קומה ב sw3-sp מומחים printer 16
ירוחם קומה ב sw3-sp מומחים printer 17
ירוחם קומה ב sw3-sp מומחים printer 18
ירוחם קומה ב sw3-sp מומחים printer 19
ירוחם קומה ב sw3-sp מומחים printer 20
ירוחם קומה ב sw3-sp מומחים printer 21
11
רשתות עצמאיות המחוברות עצמאי בכל מרפאה הניתן
בניהם ברשת מטרו ומאפשרות לניהול מקומי במקביל לחיבור
עבודה בתקשורת עצמאית ישיר למרכז החברה
פנים סניפי עם חיבור בין
הסניפים ולמרכז .
הרשת תהיה בנויה בחיבור קווי הרשת תהיה בנויה בחיבור קווי הרשת תהיה בעלת רוחב פס
אופטי בחיבור דו קווי המאפשר אופטי ברוחב פס גדול אם המאפשר גישה מהירה בין
הסניפים ובין מרכז החברה וכל יתירות לעבודה שוטפת ורצופה אפשרות הרחבה ללא צורך
בסלילה מחדש ברוחב פס גדול אם אפשרות סניף וסניף
הרחבה ללא צורך בסלילה
מחדש ולמניעת נפילת הרשת
עקב תקלה בקו אחד.
מערך הסניפים הרפואיים יבנו הרשת תאפשר להוסיף סניפים מערך הסניפים הרפואיים יבנו
על פי מודל קבוע ממוספר על על פי מודל קבוע ממוספר על או לשנות מתאר פנימי ללא
בסיס חדר יעוד מבנה וקומה בסיס חדר יעוד מבנה וקומה צורך בהשקעה מיותרת
המאפשר שינוי מיקום ציוד ללא המאפשר שינוי מיקום ציוד ללא
השקעה כספית נוספת השקעה כספית נוספת
בכל ארון יהיה מספיק מקום בכל ארון יהיה מספיק מקום
להוספת ציוד עד לתחום של להוספת ציוד עד לתחום של
10%מעל הקיים. 25%מעל הקיים.
מערך חלוקת הוילנם יהיה מערך חלוקת הוילנם יהיה
גמיש וזמין לשינויים גמיש וזמין לשינויים
תתאפשר חיבור אלחוטי של
ציוד במידה ולא מתאפשר
חיבור קווי מעל היכולת
המקומית
הרשת תהיה מחולקת לולנים הרשת תהיה מחולקת לולנים הרשת תהיה מחולקת כך
על פי מפתח מחלקות בסניף על פי מפתח מחלקות בסניף שלגורמים שאינם רלוונטי לא
הראשי ומפתח נושאים הראשי ומפתח נושאים תהיה גישה למידע
במרפאות במרפאות
הרשת בכל סניף תהיה חסומה הרשת בכל סניף תהיה בנויה
12
על רשימות גישה בהתאם ליציאת מידע כמו כן הרשת
לדרישה תכלול רשימות גישה בהתאם
הרשת תהיה מוגנת ומוצפנת לדרישה
לגישה מקרוב או מרחוק הרשת תהיה תהיה מוגנת
באמצעות סיסמאות מוצפנות ומוצפנת לגישה מקרוב או
מרחוק באמצעות סיסמאות
מוצפנות
המידע הרפואי ישמר בשרת המידע הרפואי ישמר בשרת המידע הרפואי יהיה זמין בין
webייעודי שימוקם במבנה webייעודי בענן לשרת זה כל הסניפים למקרה של נדידת
במנהלה .לשרת זה יהיה יהיה גישה מכל מחשבים לקוחות
גישה מכל מחשבים ותחנות ותחנות העבודה המחוברים
העבודה המחוברים לרשת לרשת הרפואית בלבד
הרפואית בלבד
הרשת תהיה מוגנת בסיסמאות הרשת תהיה מוגנת מזליגת
ומוצפנת ברמה גבוהה מידע בעיקר רפואי מוחץ
לתחומי החברה
הרשת תהיה מחולקת לולנים
ומערך הניהול מונע ניתוב
מחוץ לסניף המקומי
13
מוגנים בסיסמה ומוצפנים מוגנים בסיסמה ומוצפנים
טופולוגיה פיזית
14
סניף חדרה מרכז
חדרה קומה ב
15
חדרה קומה א
18
סניף ירוחם מרפאה קומה א
19
צילום ארונות התקשורת
חדרה
טבריה
20
ירוחם
טופולוגיה לוגית
חיבור ראשי רשת WAN
21
סניף חדרה מנהלה
22
סניף טבריה מרפאה
23
משמעות קיצור שם
סניף חדרה מנהלה ראשי Had Hadera
מרפאה טבריה tib Tiberias
מרפאה ירוחם yer yeruchm
ראוטר rtr Router - 1941
סוויץ' שכבה 2 DSW multilayer switch 3650-24ps
סוויץ' שכבה 3 SW switch cisco 2960 24sp
אקסס פוינט מנוהל AP Ubiquiti Networks UAP-AC-SHD-5
מנהלה admin Administrator
מחלקת שיווק mar Marketing
מחלקת רכש pro procurement
הספקה del Delivery Department
כוח אדם dep Personnel Department
מחלקת מחשוב תמיכה it IT
מנהלה מרפאה adm admin
חדר מיון קדמי er ER
מרפאת ילדים chil Children
מרפאת משפחה fam Family
מרפאה מומחים וחדרי בדיקות sp Specialist clinic
מרפאת שיניים den Dentist
שרת המידע הרפואי WEB WEB
שרת הדואר הפנימי mail email
שרת איתור כתובות dns dns
שרת חלוקת כתובות dhcp dhcp
24
ילדים 30 10.2.30.0 255.255.255.0 10.2.30.254 4 0
משפחה 40 10.2.40.0 255.255.255.0 10.2.40.254 4 0
שיניים 50 10.2.50.0 255.255.255.0 10.2.50.254 4 1 0
מומחים 60 10.2.60.0 255.255.255.0 10.2.60.254 6 0
טבלת סיסמאות
25
טבלת מיילים
ⱽ ⱽ ⱽ ⱽ ⱽ × כוח אדם
ⱽ × ⱽ ⱽ × × רכש
ⱽ × ⱽ ⱽ × × שיווק
ⱽ ⱽ ⱽ ⱽ ⱽ ⱽ מחשוב
ⱽ × × ⱽ × × הספקה
הסבר על כל התהליכים
מתן שם פקודת hostname
מתן שם הינה פקידה בסיסית וראשונית .תפקידה לתת שם לרכיב בהתאם לתכנון העבודה .מתן השם מאפשר
לבצע שיוך ובקרה על הרכיבים ולמנוע טעויות בתהליך זה .הוא מאפשר להתאים את מפת הטופולוגיה לנתוני אמת .
פקודות עבודה
>Switch
Switch>enable
Switch# configure terminal
Switch(config)#hostname SW1-TLV
Sw1-tlv(config)#exit
27
בדיקה
בדיקה
28
הגדרת TRUNK
פקודת trunkהיא פקודה השייכת למערך הפקודות העוסקות בהעברת המידע דרך הסווצים .באמצעות חיבור
VLANלפורטים .קיימות מספר אפשרויות להעברת המידע דרך הסוויצים .ברירת המחדל היא שיוך VLANפורט
אחד והיא נקראת מצב accessאולם קיים מצב בא יש צורך לשייך יותר מפורט אחד ל vlanאחד .מצב זה המאפשר
חיבור יתר נקרא . trank
ציוד סיסקו תומך בפרוטוקול IEEE 802.1Q :להעברת עורקים באתרנט מהיר ובג'יגה-ביט אתרנט .פרוטוקול זה מכונה
גם בקיצור .DOT1Q
באמצעות Trunkאנו מעבירים מספר רשתות דרך קו פיזי אחד .אם היינו מחברים בין רכיבי רשת באמצעות Access
היינו צריכים לחבר קו פיזי אחד עבור כל תת-רשת ,וכאשר רוצים להוסיף עוד תת-רשת יש צורך בעוד קו פיזי .ברירת
המחדל היא שה Trunk -מעביר את כל הוילאנים אך ניתן לאפשר גם וילאנים מסוימים.
פקודת עבודה
>Switch
Switch>enable
Switch# configure terminal
Switch(config)#interface g0/1
witch(config-if)#switchport mode trunk
Sw1-tlv(config)#exit
בדיקה
29
>Switch
Switch>enable
Switch# show interfaces trunk
הגדרת VTP
VTP – Vlan Trucking Protocol למעשה פרוטוקול שבא לעזור בהגדרת וכנפוג של הסוויצים בכך שהגדרה מסוימת ב
סוויץ' אחד תבוצע גם על השני .כאשר אני מעוניין שהגדרה שאני מגדיר לסוויץ' ראשי תועבר אוטומטית לכל הסוויצים
שנמצאים בטופולוגיה מתחתיו אני מגדיר בכל אחד הסוויצים את פרוטוקול .VTPהמתג שבחרנו ישמש כ vtp server
(הגדרה זו היא ברירת המחדל עבור מתגים ולכן לא תופיע כאן) כול שאר המתגים יוגדרו כ VTP CLIENTS על מנת
שלא יהיה ניתן ליצור עליהם.VLANS
30
Switch# configure terminal
Switch(config)#vtp mode server
בדיקה
>Switch
Switch>enable
Switch# show vtp status
בדיקה
>Switch
Switch>enable
Switch# show vtp status
כאשר אנו משתמשים ב רשת וירטואלית אשר חוסמת מעבר בין קבוצות מחשבים שונות אנו מאפשרים את הפעולות
הבאות ברשת.
החסימה מאפשרת את חלוקת הרשת המקומית למספר רשתות שונות ונפרדות ( )Segmentsאשר יכולות
החסימה מאפשרת לקטוע הודעות שידור לכל( )Brodcastכאשר הרשת מורכבת בנויה ממתגים ורכזות ובכך
יצירת רשת תקשורת וירטואלית תורמת להגדלת מהירות תנועת המידע ברשת
הגדרות VLAN
32
>Switch
Switch>enable
Switch# configure terminal
Switch(config)#vlan 10
Switch(config-vlan)#name Er
Switch(config-vlan)#exit
בדיקה
>Switch
Switch>enable
Switch# show vlan
33
PORT TO VLAN שיוך
זאת נעשה על. נבצע שיוך של ציוד הקצה לאותם וילאנים המחוברים. לכל מחלקהVLAN אחרי שביצענו הגדרה של
.ידי שיוך מספר הפורט בסוויץ' לוולאן הספציפי המחובר אליו
כפיRANGE ציוד הקצה כל אחד בנפרד או לקבוצה שלמה(רצוי) באמצעות הפקודה/ ניתן לבצע שיוך המחשבים
שמופיעה בדוגמא
>Switch
Switch>enable
Switch# configure terminal
Switch(config)#interface range fastEthernet 0/1-3 (1)
Switch(config)#interface range fastEthernet 0/1 ,fa0/4 , fa0/6 (2)
Switch(config)#interface fastEthernet 0/8 (3)
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Switch(config-vlan)#exit
34
בדיקה לשיוך פורטים לולנים
>Switch
Switch>enable
Switch# show vlan
35
וילנים כולל שער ברירת מחדלIP הגדרת כתובות
>Switch
Switch>enable
Switch# configure terminal
Switch(config)#interface fastEthernet vlan 10
Switch(config-if)#ip address 10.2.30.253 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#ip default-gateway 10.2.30.254
Switch(config-vlan)#exit
בדיקה
>Switch
Switch>enable
Switch# show ip interface brief
36
הגדרת dot1qבנתב ((Router
ניתוב בין וילאנים בראוטר באמצעות "נתב על מקל" יצירת תתי ממשקים
DOT1Qהינו פרוטוקול וטכנולוגיה אשר מאפשרת העברת ערוצים לוגים רבים ל/מנתב על תשתית של קו פיזי בודד.
פרוטוקול ה dot1q -הוא פרוטוקול המאפשר לבצע - Trunking טרנקינג ,כלומר מאפשר העברת וילאנים רבים
על אותו שקע .)port( פרוטוקול זה מבצע למעשה תיוג )tagging( של המסגרות )Frames( בתוך הפריימים
הפרוטוקול מכניס תג המזהה את הוילאן שאליו שייכת המסגרת .לצורך כך יש ליצור על אותו portיציאה תתי
ממשקים ( )sub-ifלפי הוולנים אותם נרצה להעביר על אותו port
>RTR-tib
RTR-tib>enable
RTR-tib# configure terminal
RTR-tib(config)# interface GigabitEthernet1/0.20
RTR-tib(config-subif)#encapsulation dot1q 20
RTR-tib(config-subif)#ip address 10.2.20.252 255.255.255.0
RTR-tib(config-subif)#exit
37
בדיקת קליטה של dot1qבנתב
>RTR-tib
RTR-tib>enable
RTR-tib# show ip interface brief
38
כאשר התקן מקבל כתובת מתחילה ספירה לאחור ,הספירה מתייחסת לזמן ההחכרה( )Lease Timeשל כל כתובת
המחולקת על ידי שרת ה.DHCP -
זמן ההחכרה של כתובות IPמוגדרות בד”כ בשניות ,כאשר זמן ההחכרה נגמר ,התקן הקצה יפעיל את תהליך
ההגדרה שוב ורוב הסיכויים שיקבל את אותה הכתובת שוב.
שרת ה DHCP -מתחזק טבלה בה הוא שומר את פרטי ההתקנים אשר קיבלו כתובת ,הטבלה מכילה את כתובת ה-
IPומשייך אותה לכתובת ה MAC -של ההתקן.
ישנם התקנים כמו שרתים או מדפסות אשר צריכים להיות מזוהים תמיד ע”י אותה כתובת ,ובמידה ותשתנה ייתכן
מצב שבו שירותים נדרשים לא יפעלו.
ניתן להגדיר כתובת דינמית שמורה( )DHCP Reservationבתוך שרת ה DHCP -כדי לשמור לאותו התקן את הכתובת
הרצויה ,זאת ע”י שיוך כתובת הרשת לכתובת ה MAC -של ההתקן.
לאחר ביצוע שמירת כתובת דינמית ,כתובת ההתקן לא תשתנה עד שיוגדר אחרת.
תהליך העבודה
>RTR-tib
RTR-tib>enable
RTR-tib# configure terminal
RTR-tib(config)# ip dhcp pool ER ][pool name
RTR-tib(dhcp-config)# network 10.2.20.0 255.255.255.0
RTR-tib(dhcp-config)# default-router 10.2.20.254
RTR-tib(dhcp-config)# dns-server 10.1.70.1
RTR-tib(dhcp-config)# exit
39
בדיקה קבלת כתובות שרת DHCPבראוטר
>RTR-tib
RTR-tib>enable
RTR-tib# configure terminal
RTR-tib(config)# interface gi1/0
RTR-tib(config-if)# ip helper-address 10.1.70.2
RTR-tib(config-if)# exit
40
41
הגדרות בשרת DHCP
42
הגדרת שרת web
שלב א מתן כתובת סטטית ושער ברירת מחדל
43
שלב ג בניית האתר
בדיקה
44
שלב א הגדרת כתובת קבוע ולא דינמית
45
בדיקה
46
הגדרת שרת mail
שלב א הגדרה כתובת קבועה
47
הגדרת רשת מטרו Metro Ethernetראשונית
48
אבטחת ממשקים הגדרת port-securityבסוויצים רמה 2
ידוע מתגים הם שער כניסה הרשת ,ובעת תקיפת הרשת מבפנים ,המתג יהיה הקורבן הראשון .בעת פריצה לרשת
התוקף ישתמש בכל פורט פנוי לשם כניסה אל הרשת ולחדור למחשב או שרת .אבטחת ממשקים מתבצעת על
הסוויץ' ותפקידה למנוע מגורם זר להתחבר לסוויץ' לממשקים .החסימה מתבצעת ע"י שיוך כתובת הMAC -
(הכתובת הפיזית של הרכיב) לממשק (לפורט) בסוויץ' אליו הוא מחובר.
התנאים הנ”ל קובעים את פרמטרי האבטחה של הממשקים שלנו ,ועל מנת לאכוף אותם יש לאפשר למתג להגן על
עצמו כאשר מנסים להפר את התנאים .כדי להגן על הפורט מגישה לא מורשית ניתן להגדיר מספר מצבי הגנה:
(protectהגנה) – לא מאפשר העברת מידע דרך פורט זה ואינו מעלה את ערך מספור הפרת התנאי.
(restrictהגבלה) – לא מאפשר העברת מידע דרך פורט זה ומעלה את ערך מספור הפרת התנאי.
פקודות עבודה
>Switch
Switch>enable
Switch# show ip interface brief
Switch# configure terminal
Switch(config)# interface fastethernet0/1 ) (1
) Switch(config)# interface range fastethernet0/1-24 ( 2
) Switch(config)# interface range fa0/1 ,fa0/3 ,fa0/6 ( 3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
)Switch(config-if)# switchport port-security maximum 1 (1
)Switch(config-if)# switchport port-security mac-address A35C.FFC1.5901 (1
)Switch(config-if)# switchport port-security mac-address sticky (2
49
Switch(config-if)# switchport nonegotiate
Switch(config-if)# exit
שלב א בדיקה איזה פורטים קיימים בסוויץ'
50
שלב ג הגדרת כל הפורטים למצב access
שלב ה הוספת שכבת הגנה נוספת למניעת תהליך של משא ומתן לקבלת כתובת חדשה
51
שלב ו בדיקה באמצעות פקודת show
Switch>enable
Switch# show port-security
סדר הפעולות
.1הגדרת שם המארח של ההתקן ,מומלץ להגדיר על מנת להקל על זיהוי ההתקן ברשת מרובת התקנים.
.2הגדרת סיסמה המשמשת לאבטחת המעבר בין מצב Userלמצב ,privilegedמוצפנת בטכנולוגית.
.3הגדרת שם מתחם
52
ויצירת מפתחות הצפנה2 בגרסהSSH הפעלת מנגנון.4
360-2048 בחירת כמות הסיביות המשמשות להצפנה בין, שאילתה המופיעה לאחר הזנת הפקודה הקודמת.5
יציאה.10
>RTR-tib
RTR-tib>enable
RTR-tib(config-line)# exit
53
שלב א הגדרת שם ,דומיין ,שם כניסה וסיסמת כניסה .
54
שלב ג הפעלת SSHוהגדרת VTY
55
בדיקה
באמצעות כניסה במחשב ל CMDוכתיבת הפקודה הבאה לשער ברירת המחדל של הראוטר /סוויץ'
איליו נרצה להגיע .
C:\ssh -l admin 10.3.10.254
56
הגדרות גישה מרחוק לסוויץ' SSH
שלב א -יש לוודא כי קיים בסוויץ' וילאן עם כתובת קבועה ( אם לא קיים יש להגדיר שלב ראשון)
57
שלב ג הגדרת שם ,דומיין ,שם כניסה וסיסמת כניסה
שלב ד הגדרות הצפנה באמצעות אלגוריתם ( RSAמינימום )1024
58
בדיקה
59
60
בנית רשת מטרו WANרחבה
שלב א הרחבת רשת WANמטרו והדמיה על ידי הוספת שוויצים ומתן שמות יש לוודא כי בכל
הסוויצים יש חיבורי אופטי בעל אותה מהירות מעבר ( אותו כרטיס רשת )
הדמיה לחיבור לרשת האינטרנט החיצונית באמצעות בנית אתר אינטרנט ברשת WAN
שלב א הוספת הראוטר והגדרות חיבור אופטי ומתן כתובת לרשת ,
שלב ב הגדרת החיבור קבוע למעלה
61
62
בדיקת קישוריות לרשת
63
הגדרת כתובות בשרת ה web
64
בדיקת קישוריות
65
במקום אזורים הפרוטוקול עובד במערכות אוטונומיות מקומיות וכאשר שניים או יותר נתבים מפעילים את הפרוטוקול
ומוגדרים לעבוד באותו מספר מערכת הם מסוגלים ליצור שכנות ולהחליף מידע בינם ,ע”י שליחת הודעות
(Helloשלום) לכתובת מולטיקאסט .224.0.0.10
טבלאות
ברגע שנתבים באותה מערכת יוצרים שכנות וסיימו להחליף בינם את המידע ,נוצרת מפת טופולוגיה כאשר כל נתב
מכיר את כל המסלולים הטובים ביותר לכל רשת ,או במילים אחרות ,התכנסות מלאה.
חוץ מטבלת הניתוב אשר שייכת לנתב עצמו ומחזיקה את המסלולים העיקריים בשימוש EIGRP ,מתחזק עוד שתי
טבלאות :טבלת שכנים ( – )Neighbor Tableטבלה זו מכילה רישום אודות כל נתב המחובר באופן ישיר לאותו נתב
המחזיק בטבלה ,נתבים המחוברים דרך נתב אחר אינם מופיעים בטבלה מאחר והם לא נחשבים לשכנים.
– Holdכמות השניות להמתנה כדי לבטל שכנות לנתב שלא השיב להודעות .Hello
טבלת טופולוגיה( – )Topology Tableטבלה זו מחזיקה רישום של כל מסלול הנוצר ע”י הפרוטוקול בלבדEIGRP ,
מגדיר את המסלול הראשי והמשני כך:
( Successorראשי) – המסלול בעל “המרחק – (”Feasible Distanceחישוב מטריק הכי טוב) הקטן ביותר ממקור ליעד.
( feasible successorמשני) – המסלול השני בעל “המרחק – (”Feasible Distanceחישוב מטריק הכי טוב) הקטן
ביותר ממקור ליעד(ניתן להגדיר עד 4מסלולים משניים לכל יעד).
66
– Passiveמסלול בו חישובי המטריק הסתיימו.
בדוגמה נוכל לראות שני שורות ניתוב לשתי רשתות שונות ,נוכל לשים לב למילה Successorsעם הספרה 1לפני,
מה שמציין שישנו נתיב אחד המציג את “המרחק” הנמוך ביותר אל היעד.
במידה ויתקיים נתיב עם מרחק זהה ,יהיו שני ,Successorsובמידה ויתקיים מסלול עם מרחק גדול יותר(פחות טוב)
נקבל Successorאחד ומתחתיו את ה(Feasible Successor -מסלול משני).
(הערה כל ראוטרים הנמצאים בטופולוגיה חייב להיות בהם מותקן ניתוב דינמי או סטטי)
EIGRPעושה שימוש בהודעות שונות על מנת לקיים מספר מטרות ,כעת נמנה ונסביר אותן:
– Queryהודעה המאפשרת תשאול שכנים לגבי רשת מסוימת שיש לגביה צורך במידע נוסף
הגדרת הפרוטוקול
RTR-HAD>enable
RTR-HAD#conf terminal
RTR-HAD(config-router)#exit
#RTR-HAD(config)
בדיקה
68
(כדי לצאת לרשת העולמית) הגדרת NAT
ACLהוא קיצור של Access Control List והוא למעשה הגדרה למי מותר לעבור בראוטר ולמי אסור .הוא מחליט מה
עובר ומה לא? הוא מחליט על בסיס ה Packetשמגיע אליו ,הוא פותח את ה Packetומנתח את תוכנו.
רשימת הגישה היא כמו מאבטח בכניסה ,המאבטח מחזיק רשימה ,ברשימה כתובים שמות האנשים שמותר להם
להיכנס ,או שמות אנשים שאסור להם להיכנס (או שילוב).
ה ACL -מאפשר רשימות גישה למגוון פעילויות שונות .ניתן להשתמש בזה לצורכי אבטחה לשלוט על תעבורת המידע
פנימה או החוצה .אם נדייק יותר נאמר :ש ACL -נועד לנתר אירועים שונים .באמצעות ה ACLנוכל להחליט על כל
מיני דברים שונים ברמת הרשת שלנו – .האם מותר לתעבורה כזאת להיכנס ל ,VPN -או להגיע ל NAT -וכו'.
69
קיימים שני סוגי Access Control List
ACLסטנדרטי – Standard רשימה פשוטה – הנתב מסתכל רק על המקור (כתובת IPשל מאין הגיעה
החבילה).
כאשר ניגשים לעבוד ב ACL -חייבים לחשוב ולכתוב על דף מה בדיוק אני רוצה להשיג לפני שמתחילים את ההגדרות.
קורה הרבה שמגדירים ACLעל נתב מסוים וישנה טעות המונעת ממני להעביר נתונים דרך הנתב.
כאשר אנו כותבים רשימה אז יש להקפיד שתמיד ההתייחסויות הספציפיות יהיו למעלה והכלליות יהיו למטה ,כדי לא
נצטרך לבדוק פרטי שמותר בתוך כללי שאסור
לאחר שיצרנו את רשימת הגישה עלינו להגדירה על ממשק מסוים בראוטר – .באיזה ממשק נגדיר אותה? אם מדובר
על רשימת גישה סטנדרטית נגדיר אותה בממשק היוצא מהרשת (כדי לחסום או לאפשר בדיוק את מה שאנו רוצים
ולא יותר).
ACLמורחב –Extended
ברשימת ACLמסוג זה מסתכלים לא רק על המקור (כתובת IPשל מאין הגיעה החבילה) אלא גם:
סוג התעבורה
אם מדובר על רשימת גישה מורחבת אגדיר אותה בממשק שהכי קרוב למארח שברצוני לחסום.
wildcard maskהיא רצף של מספרים המייעל את ניתוב המנות בתוך רשתות המשנה של רשת קניינית .זה מכונה
גם מסכה הפוכה .אנו משתמשים ב wildcard maskכחלק מפרוטוקול Hניתוב . OSPF, EIGRPוכן בבקרת רשימת
גישה . ACLשיטה זו דומה למסכת רשת ( )subnet maskאך בדיוק הפוכה .כלומר בכל מקום שבא יופיע המספר
wildcard maskיופיע . 0 255במסכת הרשת
70
subnet mask - 255.255.0.0 0.0.255.255 - wildcard mask
וכן להפך.
ישנה דרך נוספת להבנת ווילדקרד בכך שהוא מסמל לי כמה כתובות יש לי לכלול בכמות הכתובות בואו נראה אני
רוצה לחסום את הכתובת
כלומר אני חוסם את 192.168.0.0עד .192.168.0.15זאת אומרת שה 0-מבטא שאין שינוי – אין קפיצה – אין
הכללה של כתובות ,ואילו ה 15 -מציין שאני תופס את הכתובות מ 0-ועד .15
שלב א להגדיר למי מותר לקבל שרותי (NATרק כל מי שצריך לצאת לרשת)
א .נגדיר access listמורחב המאפשר חסימה הן של כתובות מקור והן של כתובות יעד
ב .נגדיר אילו כתובות לא צריכות לקבל NATבאמצעות כתיבת הפקודה DENYומתן תחום
ג .אחרי שהגדרנו מה לא יוצא נגדיר מהו תחום הכתובות היוצא באמצעות הפקודה PERMIT
71
בדיקה
ד .יש לוודא כי לפורט יציאה מהראוטר ולפורט כניסה מהראוטר יש כתובות IPקבועות והפורטים מוגדרים
קבוע למעלה .במידה ואין כתובות יש לתת כתובות לפני מעבר לשלב הבא בהגדרת ה . natבנוסף רצוי
להעלות את טבלת interfaceכך שנוכל לראות מי ומה מחובר .
ה .בשלב זה נגדיר איזה interfaceיהיו כתובות כניסה ל NATהתוך רשימת interfaceבראוטר
72
נבצע בדיקה באמצעות הפקודה show run
נבצע בדיקה
73
ו .בשלב זה נגדיר ל NATעל פי איזו רשימת כתובות עליו לפעול
בדיקה
74
שלב ב
שלב ג
שלב ד
שלב א
שלב ב
שלב ג
RTR-HAD>enable
76
RTR-HAD#conf t
RTR-HAD(config-ext-nacl)#end
#RTR-HAD
show access-lists נבצע בדיקה לראות האם הרשימה נקלטה באמצעות פקודת
שלב ד
שלב ה
הנחסםVLAN כדי לדעת על איזה פורט נמצא הshow ip interface brief נבצע בדיקה באמצעות הפקודה
77
שלב ו נשים את רשימת הגישה בראוטר המתאים
RTR-HAD(config)#interface gi0/0.30
RTR-HAD(config-subif)#exit
#RTR-HAD(config)
78
בדיקה
79
סיכום
ביבליוגרפיה
ויקיפדיה /https://he.wikipedia.org/wiki
תודות
80