МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

МЕРЕЖЕВІ СЛУЖБИ ТЕХНОЛОГІЇ ТСР/ІР.

МОДЕЛЮВАННЯ INTRANET-МЕРЕЖІ З ВИКОРИСТАННЯМ СЛУЖБИ
ТРАНСЛЯЦІЇ IP-АДРЕС

МЕТОДИЧНІ ВКАЗІВКИ
до лабораторної роботи № 8
з навчальної дисципліни “Комп’ютерні мережі”
для студентів спеціальності 125 «Кібербезпека»

Затверджено
на засіданні кафедри
"Захист інформації"
 Протокол № 2 від “ 17 ” 09, 2020р.

Львів 2020

2
 Мережеві служби технології ТСР/ІР. Моделювання intranet-мережі з
використанням служби трансляції IP-адрес: Методичні вказівки до
лабораторної роботи № 8 з навчальної дисципліни “Комп’ютерні мережі” для
студентів спеціальності 125 «Кібербезпека» / Укл. А.З. Піскозуб, Б.М. Березюк,
І.Я.Тишик  Львiв: Національний університет "Львівська політехніка", 2020. -
16 с.

Укладачі: А.З. Піскозуб, к. т. н., доцент,

Б.М. Березюк, к. т. н., доцент,
І.Я. Тишик, к.т.н., доцент.

Відповідальний за випуск В.Б. Дудикевич, д.т.н, професор.

Рецензент: В.В. Хома, д.т.н., професор.

3
 Мета роботи – ознайомитися з мережевими службами технології ТСР/ІР,
набути практичних навичок щодо налаштування відповідного мережевого
обладнання на організацію міжмережевої взаємодії як між вузлами intranet
мережі, так і між вузлами мереж intranet та INTERNET з використанням
механізму трансляції адрес.

1. ТЕОРЕТИЧНІ ВІДОМОСТІ

1.1. Мережеві служби

Розрізняють основні і допоміжні мережеві служби та служби
адміністрування і керування мережею технології ТСР/ІР. Основні мережеві
служби забезпечують виконання задач користувача та надають йому набір
послуг сервісного характеру. Допоміжні мережеві служби використовуються,
як правило, основними службами та підвищують ефективність їх
функціонування. Основні і допоміжні мережеві служби реалізуються
мережевими додатками - розподіленими програмами, які функціонують на
комп’ютерах мережі і складаються з клієнтської і серверної частин. Мережеві
додатки, виконуючи певний запит користувача, використовують протоколи
відповідних рівнів стеку комунікаційних протоколів і забезпечують обмін
повідомленнями між процесами, які виконуються на кінцевих вузлах
(комп’ютерах) мережі. Служби, пов’язані безпосередньо з передаванням
комп’ютерних даних (файлова, друку, керування розподіленими процесами,
контролю достовірності копій даних та ін), реалізуються, здебільшого,
мережевою операційною системою.
Служби адміністрування і керування мережею призначені для організації
роботи мережі в цілому (створення бази даних користувачів, встановлення їх
пріоритетів, паролів, надання допуску, моніторинг мережевого трафіку тощо)
та керування віддаленими вузлами КМ. Реалізовуються вони як мережевими
додатками так і утилітами та відповідними системними командами мережевої
операційної системи.
До найбільш важливих мережевих додатків основних служб, які
відповідають за обмін інформацією між комп’ютерами мережі, можна віднести:
1. Текстові додатки (початок 1980-их років);
2. Додатки електронної пошти (кінець 1980-их років);
3. Web-додатки (початок 1990-их років);
4. Мультимедіа-додатки (середина 1990-их років):
Текстові додатки, додатки електронної пошти і web-додатки є
нечутливими (еластичними) до затримки повідомлень в часі та чутливими
(жорсткими) до втрати даних і використовують, здебільшого, ТСР-з'єднання.

4
 Мультимедіа-додатки, які забезпечують передавання аудіо та
відеоінформації в режимі реального часу, є чутливими до затримки
повідомлень, толерантними до втрати даних і використовують, здебільшого,
UDP-з'єднання. Сумісно з браузерами і web-серверами мультимедіа-додатки
використовують протоколи реального часу, які враховують особливості
передавання цього виду інформації.
Текстові додатки, які забезпечують обмін текстовою та графічною
інформацією між віддаленими комп’ютерами, використовують, в основному,
протокол гіпертекстової інформації HTTP, а також протоколи FTP і TFTP.
Додатки електронної пошти, які забезпечують обмін текстовою та
графічною інформацією між абонентськими поштовими скриньками та
комп’ютерами мережі використовують протокол передавання поштової
інформації SMTP і протоколи доставки електронної пошти POP3 та ІМАР.
Web-додатки забезпечують пошук замовленої інформації у всесвітній
павутині (World Wide Web, WWW, web) і пересилання її замовнику. Доступ до
інформації, розміщеної на web-сайтах здійснюється з допомогою браузерів
(програм-клієнтів) і web-серверів (програм-серверів), які використовують,
здебільшого, протокол гіпертексту НТТР прикладного рівня стеку ТСР/ІР. До
числа найбільш популярних браузерів відносяться Netscape Navigator,
Mikrosoft Internet Explorer і Opera, web-серверів - Apache та Mikrosoft Internet
Information Server.
Допоміжні служби використовуються названими вище основними
службами. Серед таких служб особливе місце займають такі служби як
відображення імен, дозволу адрес, динамічного присвоєння хостам ІР-адрес,
трансляції мережевих адрес та збору інформації про структуру мережі.
Відповідність між доменними іменами і ІР-адресами може встановлюватися як
засобами локального комп’ютера, так і засобами централізованої служби, яка
функціонує на прикладному рівні, використовує протокол типу "клієнт-сервер"
і є характерною для об’єднаних мереж. При цьому виділені DNS-сервери
підтримують розподілену базу відображень, а DNS-клієнти звертаються до
серверів з запитами на відображеннями доменного імені в ІР-адресу. Служба
DNS об’єднаної мережі побудована по ієрархічному принципу. При цьому
кожний сервер DNS зберігає таблиці відображення імен свого домена і
посилання на DNS-сервери своїх піддоменів.
Служба дозволу адрес на основі протоколу ARP, встановлює відповідності
між ІР-адресами і МАС-адресами вузлів мережі на основі аналізу arp-таблиць.
ARP-таблиці містять дані про відповідність ІР-адрес вузлів мережі їх
локальним адресам з позначенням типу запису - динамічний чи статичний
запис. Статичні записи виконуються адміністратором мережі шляхом
використання утиліти arp. Динамічні записи будуються ARP-службою шляхом

5
посилання в мережу широкомовних запитів. Динамічні записи на відміну від
статичних мають обмежений термін життя (декілька хвилин).
Протокол RARP (Reverse Address Resolution Protocol) здійснює зворотнє
перетворення адрес: встановлює відповідність між МАС-адресами і ІР-
адресами вузлів мережі.
Служба динамічного присвоєння хостам ІР-адрес на базі протоколу DHCP
забезпечує виділення DHCP-сервером за запитом комп’ютера вільної ІР-адреси
під час старту операційної системи. Для пошуку DHCP-сервера хост посилає в
мережу широкомовні запити. Разом з ІР-адресою і маскою сервер повідомляє
хосту адресу найближчого маршрутизатора-шлюзу у зовнішню мережу, адресу
DNS-сервера, а також інші, передбачені налаштуванням параметри.
Служба трансляції мережевих адрес використовує протоколи Static NAT,
Dynamic NAT і NAT with overload.
Служби збору інформації про структуру мережі і побудови таблиць
маршрутизації використовують, здебільшого, протоколи внутрішньої
маршрутизації RIP і OSPF та протокол зовнішньої маршрутизації BGP.

1.2. Служба трансляції адрес NAT, NApT (PAT)

NAT (Network Address Translation  перетворення мережевих адрес)  це

механізм в мережах TCP/IP, що дозволяє перетворювати IP-адреси транзитних
пакетів. Механізм NAT описаний в RFC 1631, RFC 3022.
Перетворення ІР-адрес методом NAT може проводитися майже будь-яким
маршрутизуючим пристроєм  Інтернет-маршрутизатором, сервером доступу,
фаєрволом. Найбільш популярним є Source NAT (SNAT), суть механізму якого
полягає в заміні ІР-адреси джерела (source) при проходженні пакету в одну
сторону і заміні його ІР-адреси призначення (destination) у зворотному
напрямку. Поряд з адресами джерела/призначення можуть також замінюватися
номери портів джерела і призначення.
Крім SNAT, тобто надання користувачам локальної мережі з внутрішніми
адресами доступу до мережі Інтернет, часто застосовується також Destination
NAT, коли звернення ззовні транслюються фаєрволом на сервер в локальній
мережі, що має внутрішню адресу і тому недоступний зі зовнішньої мережі
безпосередньо.
Нижче показано приклад дії механізму NAT на основі схеми мережі (рис.1)

6
Рис. 1. Об’єднання декількох комп’ютерів в локальну мережу з доступом в Інтернет

Пристрій NAT (з «внутрішньою» ІР: 192.168.0.1 та «зовнішньою» ІР:

120.3.2.5) отримує пакет і робить запис у таблиці відстеження з’єднань, яка
управляє перетворенням адрес (рис.2).

Рис. 2. Запис у таблиці з’єднань пристрою NAT

Потім підміняє адресу джерела пакету власною зовнішньою
загальнодоступною IP-адресою і надсилає пакет за місцем призначення в
Інтернет (рис.3).

Рис. 3. Перетворення адрес при використанні функції NAT

Вузол призначення отримує пакет і передає відповідь назад пристрою

NAT (рис.4).

7
 Рис. 4. Прийняття запрошення сервером і відправка відповіді

Пристрій NAT, в свою чергу, отримавши цей пакет, відшукує відправника

вихідного пакету в таблиці відстеження з’єднань, замінює IP-адресу
призначення на відповідну приватну IP-адресу і передає пакет на вихідний
комп’ютер (рис. 5).

Рис. 5. Перетворення адрес при використанні функції NAT

Оскільки пристрій NAT надсилає пакети від імені всіх внутрішніх
комп’ютерів, він замінює відповідні вихідні мережеві порти і зберігає дану
інформацію в таблиці відстеження мережевих з’єднань.
Існує 3 базових концепції трансляції адрес:
• статична (NAT, Static Network Address Translation),
• динамічна (DAT, Dynamic Address Translation),
• маскарадна (NAPT, NAT Overload, PAT).
Статичний NAT відображає локальні IP-адреси на конкретні публічні
адреси на підставі один до одного. Застосовується, коли локальний хост
повинен бути доступний ззовні з використанням фіксованих адрес.
Динамічний NAT відображає набір приватних адрес на якусь множину
публічних IP-адрес. Якщо число локальних хостів не перевищує число наявних
публічних адрес, кожній локальній адресі буде гарантовано відповідність
публічної адреси. В іншому випадку, число хостів, які можуть одночасно
отримати доступ в зовнішні мережі, буде обмежено кількістю публічних адрес.

8
 Маскарадний NAT (NAPT, NAT Overload, PAT, маскарадінг)  форма
динамічного NAT, який відображає кілька приватних адрес в єдину публічну
IP-адресу, використовуючи різні порти. Відомий також як PAT (Port Address
Translation).
NAT виконує три важливі функції.
1. Дозволяє заощадити IP-адреси, транслюючи декілька внутрішніх IP-адрес
в одну зовнішню публічну IP-адресу (або в декілька, але меншої
кількості, ніж внутрішніх). За таким принципом побудована більшість
мереж в світі: на невеликий район домашньої мережі місцевого
провайдера або на офіс виділяється 1 публічна (зовнішня) IP-адреса, за
якою працюють і отримують доступ інтерфейси з приватними
(внутрішніми) IP-адресами.
2. Дозволяє запобігти або обмежити доступ ззовні до внутрішніх хостів,
залишаючи можливість звернення з внутрішньої мережі в зовнішню. При
ініціації з’єднання зсередини мережі створюється трансляція. Відповідні
пакети, що надходять зовні, відповідають створеній трансляції і тому
пропускаються. Якщо для пакетів, що надходять із зовнішньої мережі,
відповідної трансляції не існує, вони відкидаються.
Однак слід згадати і про недоліки даної технології:
1. Не всі протоколи можуть "подолати" NAT. Деякі не в змозі працювати,
якщо на шляху між взаємодіючими хостами є трансляція адрес. Деякі
міжмережеві екрани, які здійснюють трансляцію IP-адрес, можуть
виправити цей недолік, відповідним чином замінюючи IP-адресу не
тільки в заголовках IP, але і на більш високих рівнях (наприклад, в
командах протоколу FTP).
2. Атака DoS з боку вузла, що здійснює NAT  якщо NAT використовується
для підключення багатьох користувачів до одного і того ж сервісу, це
може викликати ілюзію DoS-атаки на сервіс (безліч успішних і
неуспішних спроб). Наприклад, надмірна кількість користувачів ICQ за
NAT призводить до проблеми з підключенням до сервера деяких
користувачів через перевищення допустимої частоти підключень.

1.3. Демілітаризована зона (DMZ)

DMZ (Demilitarized Zone  демілітаризована зона)  технологія

забезпечення безпеки внутрішньої мережі при наданні доступу зовнішнім
користувачам до певних ресурсів внутрішньої мережі (таким як поштові,
WWW-, FTP-сервери та ін.). При застосуванні даної технології сервери, що
відповідають на запити із зовнішньої мережі, знаходяться в особливому
9
сегменті мережі (який і називається DMZ), а доступ до основних ресурсів
мережі обмежений за допомогою брандмауера (firewall).
Поділ сегментів і контроль трафіку між ними, як правило, реалізуються
спеціалізованими пристроями  міжмережевими екранами (МЕ). Основними
завданнями такого пристрою є:
• контроль доступу зі зовнішньої мережі в DMZ;
• контроль доступу з внутрішньої мережі в DMZ;
• дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
• заборона доступу напряму зі зовнішньої мережі у внутрішню.
У деяких випадках для організації DMZ достатньо програмних засобів
маршрутизатора або навіть проксі-сервера.
Серверам в DMZ, при необхідності, можна обмежити можливість
з’єднуватися з вузлами «внутрішньої» мережі. Доступ в DMZ зі «зовнішньої»
мережі також може обмежуватися, щоб зробити DMZ більш безпечною для
розміщення у ній певних сервісів. На серверах в DMZ повинні виконуватися
лише необхідні програми, непотрібні відключаються або взагалі видаляються.
Залежно від вимог до безпеки, DMZ може організовуватися одним, двома
або трьома міжмережевими екранами.
Схема конфігурації з одним фаєрволом подана на рис. 6. Для створення
мережі з DMZ може бути використаний один МЕ, що має мінімум три
мережевих інтерфейса: один  для з’єднання з провайдером (WAN), другий  з
внутрішньою мережею (LAN), третій  з DMZ. Подібна схема дешевша в
реалізації, однак висуває підвищені вимоги до обладнання та адміністрування:
фаєрвол повинен опрацьовувати весь трафік, що йде як в DMZ, так і у
внутрішню мережу. При цьому він стає єдиною точкою відмови, а в разі його
злому (або помилки в налаштуваннях) внутрішня мережа виявиться вразливою
безпосередньо ззовні.

Рис. 6. Використання технології DMZ з одним фаєрволом

У конфігурації з двома МЕ, DMZ підключається до двох маршрутизаторів,

один з яких обмежує з’єднання зі зовнішньої мережі в DMZ, а другий 
контролює з’єднання з DMZ у внутрішню мережу (рис.7). Подібна схема
дозволяє мінімізувати наслідки злому будь-якого з МЕ або серверів, що
10
взаємодіють зі зовнішньою мережею  до тих пір, поки не буде зламаний
внутрішній МЕ, зловмисник не матиме довільного доступу до внутрішньої
мережі, а злом внутрішнього брандмауера не можливий без злому зовнішнього
брандмауера.
Вищий рівень захисту можна забезпечити використовуючи два МЕ двох
різних виробників і (бажано) різної архітектури  це знизить ймовірність того,
що обидва пристрої будуть мати однакову вразливість. Наприклад, випадкова
помилка в налаштуваннях з меншою ймовірністю з’явиться в конфігурації
інтерфейсів двох різних виробників; «діра» в безпеці, знайдена в системі одного
виробника, з меншою ймовірністю опиниться в системі іншого. Недоліком цієї
архітектури є вища її вартість.

Рис. 7. Використання технології DMZ з двома фаєрволами

Існує рідкісна конфігурація з трьома МЕ. У цій конфігурації перший з них

приймає на себе запити зі зовнішньої мережі, другий контролює мережеві
підключення DMZ, а третій  контролює з’єднання внутрішньої мережі. У
подібній конфігурації зазвичай DMZ і внутрішня мережа «приховані» за NAT.

2. МОДЕЛЮВАННЯ INTRANET-МЕРЕЖІ

На рис. 8 зображено структурну схему фрагменту корпоративної мережі

(наприклад, мережа головного підрозділу), розроблену в середовищі Packet
Tracer. Мережа складається з чотирьох підмереж (ІР: 192.168.10.0/26,
192.168.10.64/26, 192.168.10.128/26 та 192.168.10.192/26), з двох VLAN мереж
(ІР VLAN 10: 192.168.1.0/24 та ІР VLAN 20: 192.168.2.0/24).

11
 Рис. 8. Структура мережі головного підрозділу корпорації

Розбиття мережі 192.168.10.0/24 на чотири підмережі реалізується на

основі SWITCH L3 (комутатор 3-го рівня). Призначення ІР-адрес його
інтерфейсам здійснено з використанням командного рядка CLI операційної
системи IOS CISCO:
!
interface FastEthernet0/1 / вибір інтерфейсу /
no switchport / переведення його у режим 3-го рівня /
ip address 192.168.10.129 255.255.255.192 / назначення ІР-адреси /
duplex auto / автоматичний вибір повнодуплексного режиму /
!
interface FastEthernet0/2
no switchport
ip address 192.168.10.193 255.255.255.192
duplex auto
!
interface GigabitEthernet0/1
no switchport
ip address 192.168.10.65 255.255.255.192
duplex auto
!
interface GigabitEthernet0/2
12
no switchport
ip address 192.168.10.2 255.255.255.192
duplex auto
!

Таблиця маршрутизації для SWITCH L3 заповнюється у статичному

режимі:
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 192.168.10.0 255.255.255.192 192.168.10.0
ip route 192.168.10.64 255.255.255.192 192.168.10.64
ip route 192.168.10.128 255.255.255.192 192.168.10.128
ip route 192.168.10.192 255.255.255.192 192.168.10.192
!

Для роботи пристрою SWITCH L3 в режимі маршрутизації необхідно

задати команду: ip routing.
Мережі VLAN реалізуються на основі SWITCH L2 (комутатор 2-го рівня).
У VLAN 10 знаходиться сервер, який забезпечує Web-послуги як «зовнішнім»,
так і корпоративним користувачам. У VLAN 20 знаходяться 2 хости корпорації.
Відповідне налаштування комутатора має вигляд:
!
interface GigabitEthernet1/1
switchport trunk allowed vlan 1,10,20
switchport mode trunk
!
interface GigabitEthernet2/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet3/1
switchport access vlan 20
switchport mode access
!
interface FastEthernet4/1
switchport access vlan 20
switchport mode access
!

13
 Маршрутизація між вузлами різних VLAN та корпоративної мережі
здійснюється маршрутизатором CISCO 1941, внутрішній інтерфейс
GigabitEthernet0/1 якого розділений на три підінтерфейси: Gig0/1.1 (ІР:
192.168.1.1/24)  для передачі мережевого трафіку мережі VLAN 10, Gig0/1.2
(ІР: 192.168.2.1/24)  для мережі VLAN 20 і Gig0/1.3 (ІР: 192.168.10.1/26)  для
передачі мережевого трафіку корпорації. Для маршрутизації трафіку цих мереж
застосовується команда encapsulation dot1Q.
Для забезпечення корпоративних користувачів послугою INTERNET,
«зовнішньому» інтерфейсу маршрутизатора присвоюється виділена Інтернет-
провайдером «біла» ІР-адреса (199.24.40.1) і налаштовується механізм
трансляції адрес та портів (PAT). Для «зовнішнього» інтерфейсу вказується
команда ip nat outside, для «внутрішніх»  ip nat inside. Налаштування
інтерфейсів маршрутизатора має вигляд:
!
interface GigabitEthernet0/0
ip address 199.24.40.1 255.255.255.252
ip nat outside
duplex auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 20
ip address 192.168.2.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 1 native
ip address 192.168.10.1 255.255.255.192
ip nat inside

Створення списку для мереж, мережевий трафік яких «виходить» в

Інтернет через PAT здійснюється командами ip access-list та permit:
!
14
 ip access-list standard FOR-NAT / FOR-NAT  ім’я списку /
permit 192.168.1.0 0.0.0.3
permit 192.168.2.0 0.0.0.3
permit 192.168.10.0 0.0.0.255
!

Для передачі «внутрішнього» мережевого трафіку в «зовнішню» мережу,

необхідно ввести команду:
!
ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload
!

Для доступу до Web-послуг корпоративного сервера зі «зовнішньої»

мережі необхідно ввести команду:
!
ip nat inside source static tcp 192.168.1.2 80 199.24.40.1 80
!

де 80 – номер порта служби WWW, яка використовує при взаємодії протокол

TCP, 192.168.1.2 – ІР-адреса корпоративного сервера, 199.24.40.1 – ІР-адреса
зовнішнього інтерфейсу корпоративного маршрутизатора. Таблицю трансляції
адрес можна переглянути командою show ip nat translations:

Pro Inside global Inside local Outside local Outside global

tcp 199.24.40.1:1024 192.168.10.130:1025 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1025 192.168.2.3:1025 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1026 192.168.2.3:1026 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1027 192.168.2.3:1027 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1028 192.168.10.130:1026 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1029 192.168.10.66:1025 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1030 192.168.10.3:1025 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1031 192.168.2.2:1025 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:1032 192.168.2.3:1028 201.134.154.2:80 201.134.154.2:80
tcp 199.24.40.1:80 192.168.1.2:80 --- ---
tcp 199.24.40.1:80 192.168.1.2:80 201.134.154.2:1028 201.134.154.2:1028

Для перевірки правильності налаштування механізму PAT, було проведено

наступні тести: спроба відкрити Web-сторінку Інтернет-сервера (ІР:
201.134.154.2) з хоста четвертої підмережі (ІР: 192.168.10.194) та спроба
відкрити Web-сторінку корпоративного сервера (ІР: 192.168.1.2) браузером
«зовнішнього» вузла.
Результати виконання поставлених завдань подано на рис.9 та рис.10.
15
 Рис. 9. Демонстрація доступу до ресурсу Web від хоста четвертої підмережі
(ІР: 192.168.10.194)

Рис.10. Демонстрація доступу до ресурсу Web від «зовнішнього» вузла

(ІР: 201.134.154.2)
З отриманих демонстрацій очевидно, що налаштування PAT як на доступ
«внутрішніх» користувачів до Інтернету, так і на доступ до Web-ресурсу
корпоративного сервера «зовнішніх» користувачів є коректним.

16
 proxy-server
NAT 202.101.20.12/30

172.30.0.0/30

172.20.0.0/18 10.0.0.0/11
192.168.16.1 192.168.19.1 10.128.0.0/11
172.20.128.0/18 172.20.64.0/18 10.32.0.0/11

192.168.16.0/22 192.168.19.0/25

LAN F1 LAN F2

Приклад організації виходу клієнтів у зовнішню мережу

3. ЗАВДАННЯ
1. Побудувати мережу в середовищі Packet Tracer згідно індивідуального
завдання (Додаток 1).
2. Розробити текстові описи налаштувань мережевого обладнання.
3. Використовуючи інтерфейс командного рядка ввести команди
налаштувань для мережевого обладнання та задати мережеві параметри вузлам
мережі.
4. Провести моделювання побудованої інтранет-мережі з виходом у
зовнішню мережу.

ЗМІСТ ЗВІТУ
1. В теоретичній частині коротко описати основні служби ККМ та
особливості служби трансляції адрес (до 2-х сторінок).
2. Повний текст індивідуального завдання.
3. Комп’ютерна модель ККМ, розробленої згідно вимог індивідуального
завдання.
4. Текстові описи налаштувань мережевого обладнання як для створеної
intranet-мережі, так і для вузлів мережі умовного Інтернет-провайдера.
5. Результати тестування зв’язку між вузлами intranet-мережі, які б
підтверджували її працездатність.
6. Результат доступу до Web-сторінки Інтернет-сервера.
7. Висновки, що містять аналіз отриманих результатів.

17
 4. КОНТРОЛЬНІ ЗАПИТАННЯ

1. Чи може функціонувати intranet-мережа як автономна мережа і надавати

при цьому Web-послуги своїм користувачам? Обґрунтуйте свою відповідь.
2. Чи можуть вузли мережі Інтернет напряму взаємодіяти з вузлами мережі,
ІР-адреса якої 172.29.192.0/18? Поясніть відповідь.
3. З якою метою використовується механізм NAT в комп’ютерних мережах?
4. Які Ви знаєте базові концепції технології трансляції адрес?
5. Охарактеризуйте переваги та недоліки використання NAT.
6. Який тип NAT доцільно застосувати для забезпечення Інтернетом вузлів
мережі офісу, орендувавши для них єдину публічну IP-адресу?
7. Яке основне призначення та завдання міжмережевого екрану?
8. Яку функцію в корпоративній комп’ютерній мережі виконує DMZ?
9. Які існують способи організації DMZ залежно від вимог до безпеки
корпоративної мережі?
10.Який спосіб використання технології DMZ здатен забезпечити вищий рівень
захисту вузлів корпоративної мережі: з одним чи двома фаєрволами? Чому?
11. З якою метою рекомендовано використовувати в схемах організації DMZ
міжмережеві екрани різних виробників та різної архітектури?
12. Опишіть порядок програмної реалізації PAT на маршрутизаторі CISCO
як для передачі «внутрішнього» мережевого трафіка в «зовнішню» мережу, так
і для доступу до Web-послуг корпоративного сервера зі «зовнішньої» мережі.

18
 5. СПИСОК ЛІТЕРАТУРИ
1. [RFC 1631] K. Egevang, Cray Communications, P. Francis, NTT ,“ The IP
Network Address Translator (NAT)”, RFC-1631. Network Working Group, March
1994.
2. [RFC 3022] P. Srisuresh, Jasmine Networks, K. Egevang, Intel Corporation, “
Traditional IP Network Address Translator (Traditional NAT)”, RFC-3022. Network
Working Group, January 2001.
3. Комп’ютерні мережі: [навчальний посібник] / А. Г. Микитишин, М. М.
Митник, П. Д. Стухляк, В. В. Пасічник. — Львів: «Магнолія 2006», 2013.  256
с. ISBN 978-617-574-087-3
4. Буров Є. В. Комп'ютерні мережі: підручник / Євген Вікторович Буров. —
Львів: «Магнолія 2006», 2010. — 262 с. ISBN 966-8340-69-8
5. http://learn.ztu.edu.ua/pluginfile.php/690/mod_resource/content/3/KM_SI-LR-
06-2015.pdf
6. Cisco IOS Commands Master List, Release 12.2
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122mindx/
l22index.htm.

19
 Додаток 1.
Індивідуальні завдання до ЛР № 8.
Моделювання intranet-мережі з використанням служби трансляції IP-
адрес
Розробити власний варіант корпоративної комп’ютерної мережі (ККМ). Для цього:
1) навести схему ККМ із зазначенням IP-адрес усіх мереж, підмереж, їх масок та вузлів
головного підрозділу (ГП) та філій;
2) для філій Ф1 та Ф2 навести схему із зазначенням IP-адрес та їх масок для заданого числа
вузлів. Адреси вузлів кожної філії вибрати з діапазону 192.168.0.0  192.168.255.0;
3) мережі ГП розбити на підмережі згідно індивідуального завдання;
4) відобразити маршрути, внесені в таблиці маршрутизації усіх маршрутизаторів ККМ;
5) забезпечити вихід вузлів корпоративної мережі у мережу INTERNET на основі технології
PAT.
Для перевірки працездатності мережі застосувати діагностичні утиліти. У кожній мережі
(підмережі) має бути задіяні хоча б два Hosts.
Варіанти індивідуальних завдань:
1. 192.168.1.0/24 7. 192.168.10.0/24 13 192.168.1.0/24 19 192.168.20.0/24 25 10.0.0.0/8
8 підмереж; 4 підмережі. 8 підмереж. 2 підмережі. 4 підмережі.
172.16.0.0/16 172.21.0.0/16 10.0.0.0/8 10.0.0.0/8 172.27.0.0/16
2 підмережі; 2 підмережі. 4 підмережі. 8 підмереж. 4 підмережі
Ф1:1000 Ф1:1000 Ф1:500 Ф1:1000 Ф1:500
Ф2: 4000 Ф2: 8000 Ф2: 4000 Ф2: 500 Ф2: 4000
2. 192.168.5.0/24 8. 192.168.8.0/24 14 172.28.0.0/16 20 192.168.4.0/24 26 192.168.110.0/24
4 підмережі; 2 підмережі. 2 підмережі. 8 підмереж. 4 підмережі.
172.17.0.0/16 172.20.0.0/16 192.168.100.0/24 172.25.0.0/16 172.26.0.0/16
4 підмережі 4 підмережі. 4 підмережі. 2 підмережі. 8 підмереж.
Ф1:4000 Ф1:8000 Ф1:4000 Ф1:4000 Ф1:1000
Ф2: 2000 Ф2: 4000 Ф2: 8000 Ф2: 500 Ф2: 2000
3. 192.168.1.0/24 9. 192.168.20.0/24 15 10.0.0.0/8 21 10.0.0.0/8 27 192.168.10.0/24
8 підмереж; 2 підмережі. 4 підмережі. 8 підмереж. 4 підмережі.
10.0.0.0/8 10.0.0.0/8 172.27.0.0/16 172.16.0.0/16 10.0.0.0/16
2 підмережі; 8 підмереж. 4 підмережі. 2 підмережі. 4 підмережі.
Ф1:500 Ф1:2000 Ф1:1000 Ф1:2000 Ф1:500
Ф2: 4000 Ф2: 8000 Ф2: 8000 Ф2: 1000 Ф2: 2000
4. 172.18.0.0/16 10 192.168.4.0/24 16 192.168.110.0/24 22 192.168.5.0/24 28 192.168.18.0/24
2 підмережі. 8 підмереж. 4 підмережі. 8 підмереж. 4 підмережі.
192.168.1.0/24 172.25.0.0/16 172.26.0.0/16 172.17.0.0/16 172.20.0.0/16
4 підмережі. 2 підмережі. 8 підмереж. 2 підмережі. 4 підмережі.
Ф1:1000 Ф1:500 Ф1:1000 Ф1:1000 Ф1:500
Ф2: 500 Ф2: 4000 Ф2: 4000 Ф2: 8000 Ф2: 4000
5. 10.0.0.0/8 11 10.0.0.0/8 17 192.168.10.0/24 23 192.168.1.0/24 29 192.168.20.0/24
4 підмережі. 8 підмереж. 4 підмережі. 8 підмереж. 4 підмережі.
172.16.0.0/16 172.16.0.0/16 10.0.0.0/16 10.0.0.0/8 10.0.0.0/8
4 підмереж 2 підмережі. 4 підмережі. 4 підмережі. 2 підмережі.
Ф1:4000 Ф1:1000 Ф1:4000 Ф1:8000 Ф1:4000
Ф2: 500і Ф2: 2000 Ф2: 2000 Ф2: 4000 Ф2: 8000
6. 192.168.1.0/24 12 192.168.5.0/24 18 192.168.8.0/24 24 172.28.0.0/16 30 192.168.40.0/24
4 підмережі. 8 підмереж. 4 підмережі. 2 підмережі. 8 підмереж.
172.16.0.0/16 172.17.0.0/16 172.20.0.0/16 192.168.100.0/24 172.22.0.0/16
8 підмереж 2 підмережі. 4 підмережі. 4 підмережі. 4 підмережі.
Ф1:2000 Ф1:500 Ф1:500 Ф1:2000 Ф1:1000
Ф2:1000 Ф2: 2000 Ф2: 4000 Ф2: 8000 Ф2: 8000

20
 НАВЧАЛЬНЕ ВИДАННЯ

МЕРЕЖЕВІ СЛУЖБИ ТЕХНОЛОГІЇ ТСР/ІР.

МОДЕЛЮВАННЯ INTRANET-МЕРЕЖІ З ВИКОРИСТАННЯМ СЛУЖБИ
ТРАНСЛЯЦІЇ IP-АДРЕС

ІНСТРУКЦІЯ

до лабораторної роботи № 5
з курсу “Комп’ютерні мережі”
для студентів базового напряму 6.170102
“Системи технічного захисту інформації”

Укладачі: Піскозуб Андріян Збігнєвич,

Березюк Богдан Михайлович
Тишик Іван Ярославович

Редактор:

Комп’ютерне видання:

Підписано до друку
Формат 70 х 100 1/16. Папір офсетний.
Друк на різографі. Умовн. друк. арк. Обл.-вид. Арк.
Наклад. Прим. Зам.

Поліграфічний центр
Видавництва Національного університету "Львівська політехніка"
Вул. Ф.Колеси, 2, 79000, Львів

21