Mr. Heyns
Groep 5 Cisco Andy Janssens
INHOUD 1.
2.
3.
Netwerk ............................................................................................................................................ 1 1.1.
Netwerkplan ............................................................................................................................. 1
1.2.
IP Plan ....................................................................................................................................... 3
1.2.1.
VLSM ................................................................................................................................. 3
1.2.2.
Packet tracer ..................................................................................................................... 4
1.2.3.
VLAN’s .............................................................................................................................. 4
bespreking services ........................................................................................................................... 6 2.1.
DHCP......................................................................................................................................... 6
2.2.
DHCP Relay Agent ..................................................................................................................... 6
2.3.
Static nat................................................................................................................................... 7
2.4.
OSPF ......................................................................................................................................... 7
2.5.
SSH op router R3_VLAN ............................................................................................................ 8
2.6.
Router-on-a-Stick...................................................................................................................... 9
2.7.
ACL (Access Control Lists) ....................................................................................................... 10
2.8.
Port security ........................................................................................................................... 10
Running configs ............................................................................................................................... 11 3.1.
R1_Primary ............................................................................................................................. 11
3.2.
R2_Alternate .......................................................................................................................... 15
3.3.
F1_Primary ............................................................................................................................. 18
3.4.
F2_Alternate ........................................................................................................................... 23
3.5.
R3_VLAN ................................................................................................................................. 28
3.6.
S1_DMZ .................................................................................................................................. 32
3.7.
S2_Servers .............................................................................................................................. 34
3.8.
S3_Clients ............................................................................................................................... 37
3.9.
S4_VLAN_Clients .................................................................................................................... 40
3.10.
S5_VLAN_Servers ................................................................................................................... 45
1. NETWERK 1.1. NETWERKPLAN
1
Voor ons netwerkplan van onze Cisco opdracht hebben we besloten om zo redundant mogelijk te werken. Dankzij redundancy is het mogelijk om continu een netwerkverbinding te behouden, zelfs als er ergens een connectie moest wegvallen. Tegenwoordig is het internet onmisbaar geworden voor iedereen, zelfs binnen de bedrijfswereld is dit niet weg te denken. Tevens is dit de enige connectie waar we zelf weinig aan kunnen doen, aangezien dit wordt onderhouden door de ISP. Om er dus voor te zorgen dat binnen het bedrijf nog steeds internet beschikbaar is indien één ISP tijdelijk down moest zijn, is het mogelijk om gebruik te maken van een tweede ISP. Zo kun je dus bv. Telenet voor de primaire connectie instellen en Belgacom als secundaire connectie indien Telenet down moest gaan. Dit is het principe dat wij willen benadrukken met de cloud, deze staat voor twee verschillende ISP’s. Als je twee verschillende ISP’s gebruik, is het noodzakelijk om ook twee routers te gebruiken. Hiervoor gebruiken wij R1_Primary als primaire connectie en router en R2_Alternate als secundaire connectie en router. Naast het verzorgen van de internetconnectie, vervullen deze servers ook de rol van DHCP servers. R1 zorgt ervoor dat alle cliënt computers een IP adres verkrijgen, rekening houdende met de verschillende VLAN’s waarin de cliënts zich bevinden. Dit wordt gedaan door gebruik te maken van DHCP Relay Agents, waarbij op iedere subinterface een helper-address wordt geplaatst die verwijst naar de DHCP server. In het geval dat R1 moest down gaan, hebben we ook van R2 een DHCP server gemaakt die dan de taak van de primaire DHCP server automatisch overneemt. Dit wordt ook gedaan met de DHCP Relay Agents door op iedere subinterface twee helper-addresses te plaatsen: één naar R1 en één naar R2. Om het bedrijfsnetwerk te beveiligen, is het aangeraden om achter de twee edge routers een firewall/proxy te plaatsen. In realiteit maken wij gebruik van de Endian Firewall, maar in Packet Tracer vervangen we deze Linux proxy door een Cisco router: F1_Primary en F2_Alternate. Deze routers scheiden onze DMZ van het interne LAN netwerk. Daarnaast gebruiken we deze routers om aan het ‘Router-on-a-Stick’ principe te werken, waarbij we dus verschillende subinterfaces gaan aanmaken om deze te verdelen. Op F1 worden de subinterfaces voor de cliënts aangemaakt, terwijl op F2 de subinterfaces voor de servers worden aangemaakt. Ook zorgen deze routers er via static NAT voor dat de servers in de DMZ via het internet bereikbaar zijn. Naast deze vier routers, hebben er nog een vijfde geïmplementeerd: R3_VLAN. Dit is een simpel routertje die enkel het ‘Router-on-a-Stick’ principe toepast. De reden hiervoor is dat deze de taak van F1 en/of F2 overneemt, indien één van deze routers het moest begeven. Om aan het ‘Router-on-a-Stick’ principe te kunnen doen, moeten we uiteraard ook gebruik maken van switches. Zowel bij de cliënt computers als bij de servers, maken we gebruik van 2 switches: S3_Clients, S4_VLAN_Clients, S2_Servers en S5_VLAN_Servers. Hierbij zijn S2 en S3 beide een VTP server, die vervolgens hun VLAN informatie doorsturen naar respectievelijk S5 en S4. Deze laatst genoemde switches vervullen namelijk de rol van VTP cliënts. Vervolgens wordt er op deze VTP cliënts ingesteld welke poorten bij welke VLAN horen.
2
Op onze routers hebben we ook een dynamisch routingprotocol geïnstalleerd, nl. OSPF. De reden waarom we dit protocol hebben gebruikt, is vooral om het feit dat deze niet altijd zijn hele routing tabel doorstuurt via updates maar enkel de veranderingen die binnen het netwerk gebeuren. Zijn volledige routing tabel stuurt het protocol om de 30 minuten door. Om alles updates veilig door te sturen, hebben we gebruik gemaakt van OSPF authenticatie met MD5. Daarnaast hebben we onze routers en switches ook beveiligd met het gebruik van wachtwoorden. Zo hebben we een wachtwoord geplaatst op de terminal sessions (vty line 0 4), optional terminal sessions (vty line 5 15) en op de console lijn (line con 0). Daarnaast hebben we ook enable secret gedaan en hebben we service password-encryption aangezet, zodat onze wachtwoorden nog beter geëncrypteerd worden. Ook hebben we op R3_VLAN SSH ingesteld, op de andere routers was dit helaas niet mogelijk omdat deze dit niet ondersteunen. Andere veiligheidsmethoden die we hebben geïntegreerd zijn o.a. ACL’s en MAC/Port security.
1.2. IP PLAN 1.2.1. VLSM De onderstaande tabel toont ons hoe we alles subnetten met het VLSM principe.
Apparaten
Netwerkadres
IP begin
IP eind
Broadcast IP
Subnetmask
Virtual server Servers Green Zone Servers DMZ Servers OffDomain Clients kabel Clients wireless Overige apparaten WDS
172.25.0.0
172.25.0.1
172.25.0.2
172.25.0.3
Aantal hosts 255.255.255.252 2
172.25.1.0
172.25.1.1
172.25.1.30
172.25.1.31
255.255.255.224 30
172.25.1.32
172.25.1.33
172.25.1.62
172.25.1.63
255.255.255.224 30
172.25.1.224
172.25.1.225
172.25.1.254
172.25.1.255
255.255.255.224 30
172.25.100.0
172.25.100.1
172.25.100.126 172.25.100.127 255.255.255.128 126
172.25.100.128 172.25.100.129 172.25.100.254 172.25.100.255 255.255.255.128 126 172.25.200.0
172.25.200.1
172.25.200.254 172.25.200.255 255.255.255.0
254
192.168.1.0
192.168.1.1
192.168.1.254
254
192.168.1.255
255.255.255.0
3
1.2.2. PACKET TRACER In de onderstaande tabel vindt u ons IP plan terug dat wij binnen Packet Tracer hebben gebruikt. De reden hiervoor is dat we snel en makkelijk konden werken door gebruik te maken van logische adressering. Apparaat R1_Primary
R2_Alternate
F1_Primary
F2_Alternate
R3_VLAN
Mailserver Webserver PDC ADC NAP Syslog Nagios WDS
Poort Fa0/0 Fa1/0 Se2/0 Lo 0 Fa0/0 Fa1/0 Lo 0 Fa0/0 Fa1/0 Fa6/0.10 Fa6/0.20 Fa6/0.30 Fa6/0.40 Fa7/0 Lo 0 Fa0/0 Fa1/0 Fa6/0.50 Fa6/0.60 Fa7/0 Lo 0 Fa0/0.10 Fa0/0.20 Fa0/0.30 Fa0/0.40 Fa0/1.50 Fa0/1.60 Lo 0 / / / / / / / /
IP-Adres 172.25.0.1 17.25.110.1 10.114.11.39 10.0.2.1 172.25.100.1 172.25.110.2 10.0.1.1 172.25.0.2 172.25.1.33 172.25.1.1 172.25.2.1 172.25.3.1 172.25.4.1 172.25.30.1 10.0.5.1 172.25.100.2 172.25.1.41 172.25.5.1 172.25.6.1 172.25.30.2 10.0.4.1 172.25.1.2 172.25.2.2 172.25.3.2 172.25.4.2 172.25.5.2 172.25.6.2 10.0.3.1 172.25.1.34 172.25.1.35 172.25.5.3 172.25.5.4 172.25.5.5 172.25.6.3 172.25.6.4 172.25.6.5
Subnetmasker 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.255 255.255.255.252 255.255.255.252 255.255.255.255 255.255.255.252 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.224 255.255.255.252 255.255.255.255 255.255.255.252 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.252 255.255.255.255 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.224 255.255.255.248 255.255.255.248 255.255.255.255 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248 255.255.255.248
Notatie /30 /30 /24 / /30 /30 / /30 /29 /29 /29 /29 /27 /30 / /30 /29 /29 /29 /30 / /29 /29 /29 /27 /29 /29 / /29 /29 /29 /29 /29 /29 /29 /29
Wildcard 0.0.0.3 0.0.0.3 0.0.0.255 / 0.0.0.3 0.0.0.3 / 0.0.0.3 0.0.0.7 0.0.0.7 0.0.0.7 0.0.0.7 0.0.0.31 0.0.0.3 / 0.0.0.3 0.0.0.7 0.0.0.7 0.0.0.7 0.0.0.3 / 0.0.0.7 0.0.0.7 0.0.0.7 0.0.0.31 0.0.0.7 0.0.0.7 / / / / / / / / /
Gateway / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / /
VLAN / / / / / / / / / (3)541 (3)542 (3)543 (3)544 / / / / (3)545 (3)546 / / (3)541 (3)542 (3)543 (3)544 (3)545 (3)546 / / / / / / / / /
1.2.3. VLAN’S In onderstaande tabel vind u de VLAN’s terug die we hebben aangemaakt. Voor de netwerkopdracht hadden we een VLAN range gekregen van 3540 t.e.m. 3549. Helaas is dit niet doenbaar in Packet
4
Tracer, omdat het programma enkel VLAN’s aankan tot 1005. Om toch gebruik te maken van de VLAN’s, hebben we in Packet Tracer enkel de ‘3’ niet meegegeven. Groep Netwerkbeheerders Programmeurs Directie Personeel G_Servers DL_Servers
VLAN (3)541 (3)542 (3)543 (3)544 (3)545 (3)546
Aantal leden 3 3 2 10 3 3
Poort Fa0/2 – fa0/5 Fa0/6 – fa0/9 Fa0/10 – fa0/12 Fa0/13 – fa0/23 Fa0/2 – fa0/5 Fa0/6 – fa0/9
5
2. BESPREKING SERVICES 2.1. DHCP Dankzij DHCP is het mogelijk om automatisch IP adressen uit te delen aan onze cliënt computers. Dit hebben wij ingesteld op zowel de R1_Primary als R2_Alternate router. De reden hiervoor is dat R2 IP adressen gaat uitdelen indien R1 moest down gaan. DHCP is op een Cisco router makkelijk in te stellen. De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Maak een DHCP address pool; R1(config)# ip dhcp pool VlanNetwerkbeheerders 2. Bepaal het netwerk/subnet; R1(dhcp-config)# network 172.25.1.0 255.255.255.248 3. Bepaal de default-router; R1(dhcp-config)# default-router 172.25.1.1 4. Filter de IP adressen die je niet wil gebruiken binnen deze pool. R1(config)# ip dhcp excluded-address 172.25.1.1 2.2. DHCP RELAY AGENT DHCP Relay Agents versturen DHCP-berichten tussen DHCP clients en DHCP servers in verschillende IP netwerken. Omdat DHCP een protocol op basis van broadcasts is, worden de pakketten standaard niet via routers verstuurd. Een DHCP Relay Agent ontvangt DHCP broadcasts in het subnet en stuurt deze door naar het opgegeven IP adres in een ander subnet. Dit wordt gedaan door op de subinterfaces van F1_Primary een helper-address toe te voegen die verwijst naar de DHCP server. Ook dit is heel makkelijk in te stellen op een router. De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Open de interface; int fa6/0.10 2. Verwijs naar de gewenste DHCP server. ip helper-address 172.25.0.1 Indien meerdere DHCP servers heeft binnen een netwerk, kan men via dezelfde stap meerdere helper-addresses toevoegen.
6
2.3. STATIC NAT Om onze servers binnen de DMZ extern toegankelijk te maken, moeten we gebruik maken van static NAT. Dit zorgt er voor dat het static IP adres van de server vertaald wordt naar een statisch extern IP adres, zodat deze altijd hetzelfde adres heeft en dus makkelijk aan te spreken is via het internet. Hoe moet je static NAT integreren? De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Bepaal het extern IP adres op de edge router; interface Serial2/0 ip address 10.114.11.39 255.255.255.0 2. Zet deze poort op NAT outside; ip nat outside 3. Zet de DMZ routerpoort op NAT inside; interface FastEthernet1/0 ip nat inside 4. Maak de NAT rule aan op de edge router. ip nat inside source static 172.25.1.35 10.114.11.14 2.4. OSPF Op onze routers hebben we ook een dynamisch routingprotocol geïnstalleerd, nl. OSPF. De reden waarom we dit protocol hebben gebruikt, is vooral om het feit dat deze niet altijd zijn hele routing tabel doorstuurt via updates maar enkel de veranderingen die binnen het netwerk gebeuren. Zijn volledige routing tabel stuurt het protocol om de 30 minuten door. Daarnaast kan OSPF een volledige map van het netwerk genereren, waardoor het snel en makkelijk te zien is welke weg het snelste is om te kunnen communiceren binnen het netwerk. Daarnaast kijkt het protocol ook naar de bandbreedte van de bekabeling om zo de snelste weg te vinden. Dit is dus bij wijze van spreken een “slim” protocol. OSPF is op een Cisco router makkelijk in te stellen. De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Schakel OSPF in en geef het een proces-ID; router osp 1 2. Bepaal de netwerken waarmee de router rechtstreeks verbonden is door het netwerk ID en de wildcard mee te geven en bepaal het Area-ID. Network 172.25.1.0 0.0.0.7 area 0 Als we willen dat de OSPF updates beveiligd worden doorgestuurd, moeten we ook aan OSPF authenticatie doen. Ook dit is makkelijk te configureren.
7
1. Bepaal de key ID, het wachtwoord en encryptiemethode op de gewenste interface; interface FastEthernet1/0 ip ospf message-digest-key 10 md5 Care4IT 2. Zeg in OSPF welk encryptiemethode gebruikt is. router ospf 1 area 0 authentication message-digest 2.5. SSH OP ROUTER R3_VLAN Om onze R3_VLAN router te beveiligen zodat men veilig vanop afstand deze router kan configureren, hebben we gebruik gemaakt van SSH. Helaas konden we dit niet op de overige routers doen, omdat deze dit niet ondersteunden. 1. Configureer de hostname; hostname R3_VLAN 2. Configureer de domeinnaam; ip domain-name jessa.be 3. Genereer RSA keys; crypto key generate rsa 4. Configureer de SSH sessions timeouts; ip ssh timeout seconds 5. Configureer de SSH retries; ip ssh authentication-retries number of retries 6. Schakel telnet op de vty line uit; line vty 0 4 no transport input telnet 7. Schakel SSH in op de vty line; transport input ssh
8
2.6. ROUTER-ON-A-STICK We gebruiken de routers F1_Primary en F2_Alternate om aan het ‘Router-on-a-Stick’ principe te werken, waarbij we dus verschillende subinterfaces gaan aanmaken om deze te verdelen. Op F1 worden de subinterfaces voor de cliënts aangemaakt, terwijl op F2 de subinterfaces voor de servers worden aangemaakt. Daarnaast moeten we uiteraard ook gebruik maken van switches. Zowel bij de cliënt computers als bij de servers, maken we gebruik van 2 switches: S3_Clients, S4_VLAN_Clients, S2_Servers en S5_VLAN_Servers. Hierbij zijn S2 en S3 beide een VTP server, die vervolgens hun VLAN informatie doorsturen naar respectievelijk S5 en S4. Deze laatst genoemde switches vervullen namelijk de rol van VTP cliënts. Vervolgens wordt er op deze VTP cliënts ingesteld welke poorten bij welke VLAN horen. Hoe moet je static Router-on-Stick integreren? De stappen die men hiervoor moet ondernemen zijn als volgt: Op de switch S3_Clients 1. Zet de poorten die leiden naar routers en switches op de switch naar trunk; interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/2 switchport mode trunk 2. Maak de VLAN’s aan. vlan 10 name Netwerkbeheerders Op de router F1_Primary 1. Maak de subinterfaces aan. interface FastEthernet6/0.10 encapsulation dot1Q 541 ip address 172.25.1.1 255.255.255.248 Op de switch S4_VLAN_Clients 1. Zet de eerste interface op trunk; interface FastEthernet0/1 switchport mode trunk 2. Voeg de VLAN aan de range van gewenste poorten toe. interface range fa0/2 - fa0/5 switchport access vlan 541 switchport mode access
9
2.7. ACL (ACCESS CONTROL LISTS) Om ons netwerk te beveiligen hebben we gebruik gemaakt van ACL’s om verschillende rechten toe te kennen. Zo hebben we gebruik gemaakt van Extended Named ACL’s. Tijdens het aanmaken van een ACL moeten we er wel rekening mee houden dat er standaard onderaan ‘deny any any’ staat. Hoe moet je ACL’s integreren? De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Maak de ACL aan door te kiezen welk soort ACL je wil maken en een naam mee te geven; ip access-list extended RestrictiesDirectie 2. Geef in wat je wil toelaten of blokkeren; deny tcp 172.25.3.0 0.0.0.7 eq ftp any permit icmp any any echo-reply 3. Voeg de ACL toe aan een poort. interface FastEthernet6/0.30 ip access-group RestrictiesDirectie out 2.8. PORT SECURITY Dankzij Port Security kun je instellen welk(e) MAC adres(sen) allemaal mogen geconnecteerd zijn met een switchpoort. Zo kun je de hoeveel adressen op één poort instellen en wanneer er een onbekend MAC adres connecteert, wordt de poort automatisch op shutdown geplaatst. Ongebruikte poorten hoort men in shutdown te plaatsen. Hoe moet je Port Security integreren? De stappen die men hiervoor moet ondernemen zijn als volgt: 1. Ga MAC adres na van de geconnecteerde PC; ipconfig /all 2. Op switch S4_VLAN_Clients ga je naar de geconnecteerde interface en schakel je Port Security in; int fa0/2 switchport port-security 3. Bind het MAC adres aan deze poort; switchport port-security mac-address 0001.C965.6766 4. Bepaal hoeveelheid MAC adressen die mogen connecteren; switchport port-security maximum 1 5. Bepaal de violation wanneer er een verkeerd MAC adres connecteert. switchport port-security violation shutdown
10
3. RUNNING CONFIGS 3.1. R1_PRIMARY Current configuration : 1848 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname R1_Primary ! ! ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ip dhcp excluded-address 172.25.1.1 ip dhcp excluded-address 172.25.2.1 ip dhcp excluded-address 172.25.3.1 ip dhcp excluded-address 172.25.4.1 ip dhcp excluded-address 172.25.1.2 ip dhcp excluded-address 172.25.2.2 ip dhcp excluded-address 172.25.3.2 ip dhcp excluded-address 172.25.4.2 ! ip dhcp pool VlanNetwerkbeheerders
11
network 172.25.1.0 255.255.255.248 default-router 172.25.1.1 ip dhcp pool VlanProgrammeurs network 172.25.2.0 255.255.255.248 default-router 172.25.2.1 ip dhcp pool VlanDirectie network 172.25.3.0 255.255.255.248 default-router 172.25.3.1 ip dhcp pool VlanPersoneel network 172.25.4.0 255.255.255.248 default-router 172.25.4.1 ! ! ! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! interface Loopback0 ip address 10.0.2.1 255.255.255.255
12
! interface FastEthernet0/0 ip address 172.25.0.1 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface FastEthernet1/0 ip address 172.25.110.1 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface Serial2/0 ip address 10.114.11.39 255.255.255.0 ip nat outside ! interface Serial3/0 no ip address ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown
13
! router ospf 1 log-adjacency-changes area 0 authentication message-digest network 172.25.0.0 0.0.0.3 area 0 network 172.25.110.0 0.0.0.3 area 0 ! ip nat inside source static 172.25.1.35 10.114.11.14 ip classless ! ! ! ! ! ! ! line con 0 password 7 08024D5C0C4D2C23 login line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! !
14
! end 3.2. R2_ALTERNATE Current configuration : 1112 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname R2_Alternate ! ! ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ! ! ! ! ! ! ! ! no ip domain-lookup !
15
! ! ! ! ! interface Loopback0 ip address 10.0.1.1 255.255.255.255 ! interface FastEthernet0/0 ip address 172.25.100.1 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface FastEthernet1/0 ip address 172.25.110.2 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface Serial2/0 no ip address ! interface Serial3/0 no ip address shutdown !
16
interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! router ospf 1 log-adjacency-changes area 0 authentication message-digest network 172.25.100.0 0.0.0.3 area 0 network 172.25.110.0 0.0.0.3 area 0 ! ip classless ! ! ! ! ! ! ! line con 0 password 7 08024D5C0C4D2C23 login line vty 0 4 password 7 08024D5C0C4D2C23
17
login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! ! end 3.3. F1_PRIMARY Current configuration : 2569 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname F1_Primary ! ! ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ! ! ! !
18
! ! ! ! no ip domain-lookup ! ! ! ! ! ! interface Loopback0 ip address 10.0.5.1 255.255.255.255 ! interface FastEthernet0/0 ip address 172.25.0.2 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface FastEthernet1/0 ip address 172.25.1.33 255.255.255.248 ip nat inside duplex auto speed auto ! interface Serial2/0
19
no ip address shutdown ! interface Serial3/0 no ip address shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! interface FastEthernet6/0 no ip address duplex auto speed auto ! interface FastEthernet6/0.10 encapsulation dot1Q 541 ip address 172.25.1.1 255.255.255.248 ip helper-address 172.25.0.1 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet6/0.20
20
encapsulation dot1Q 542 ip address 172.25.2.1 255.255.255.248 ip helper-address 172.25.0.1 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet6/0.30 encapsulation dot1Q 543 ip address 172.25.3.1 255.255.255.248 ip helper-address 172.25.0.1 ip ospf message-digest-key 10 md5 Care4IT ip access-group RestrictiesDirectie out ! interface FastEthernet6/0.40 encapsulation dot1Q 544 ip address 172.25.4.1 255.255.255.224 ip helper-address 172.25.0.1 ip ospf message-digest-key 10 md5 Care4IT ip access-group RestrictiesPersoneel out ! interface FastEthernet7/0 ip address 172.25.30.1 255.255.255.252 duplex auto speed auto ! interface FastEthernet8/0 no ip address duplex auto
21
speed auto shutdown ! interface FastEthernet9/0 no ip address duplex auto speed auto shutdown ! router ospf 1 log-adjacency-changes area 0 authentication message-digest network 172.25.0.0 0.0.0.3 area 0 network 172.25.1.0 0.0.0.7 area 0 network 172.25.2.0 0.0.0.7 area 0 network 172.25.3.0 0.0.0.7 area 0 network 172.25.4.0 0.0.0.31 area 0 network 172.25.1.32 0.0.0.7 area 0 network 172.25.30.0 0.0.0.3 area 0 ! ip classless ! ! ip access-list extended RestrictiesDirectie deny tcp 172.25.3.0 0.0.0.7 eq ftp any permit icmp any any echo-reply ip access-list extended RestrictiesPersoneel
22
deny tcp 172.25.4.0 0.0.0.31 eq ftp any permit icmp any any echo-reply ! ! ! ! ! line con 0 password 7 08024D5C0C4D2C23 login line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! ! end 3.4. F2_ALTERNATE Current configuration : 1817 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption
23
! hostname F2_Alternate ! ! ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ! ! ! ! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! interface Loopback0 ip address 10.0.4.1 255.255.255.255 ! interface FastEthernet0/0
24
ip address 172.25.100.2 255.255.255.252 ip ospf message-digest-key 10 md5 Care4IT duplex auto speed auto ! interface FastEthernet1/0 ip address 172.25.1.41 255.255.255.248 duplex auto speed auto ! interface Serial2/0 no ip address shutdown ! interface Serial3/0 no ip address shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! interface FastEthernet6/0
25
no ip address duplex auto speed auto ! interface FastEthernet6/0.50 encapsulation dot1Q 545 ip address 172.25.5.1 255.255.255.248 ! interface FastEthernet6/0.60 encapsulation dot1Q 546 ip address 172.25.6.1 255.255.255.248 ! interface FastEthernet7/0 ip address 172.25.30.2 255.255.255.252 ip access-group EnkelNetwerkers in duplex auto speed auto ! interface FastEthernet8/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet9/0 no ip address duplex auto
26
speed auto shutdown ! router ospf 1 log-adjacency-changes area 0 authentication message-digest network 172.25.100.0 0.0.0.3 area 0 network 172.25.5.0 0.0.0.7 area 0 network 172.25.6.0 0.0.0.7 area 0 network 172.25.1.40 0.0.0.7 area 0 network 172.25.30.0 0.0.0.3 area 0 ! ip classless ! ! ip access-list extended EnkelNetwerkers permit ip 172.25.1.0 0.0.0.7 any deny ip any any ! ! ! ! ! line con 0 password 7 08024D5C0C4D2C23 login line vty 0 4
27
password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! ! end 3.5. R3_VLAN Current configuration : 1799 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname R3_VLAN ! ! ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ! ! !
28
! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! interface Loopback0 ip address 10.0.3.1 255.255.255.255 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 541 ip address 172.25.1.2 255.255.255.248 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet0/0.20 encapsulation dot1Q 542
29
ip address 172.25.2.2 255.255.255.248 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet0/0.30 encapsulation dot1Q 543 ip address 172.25.3.2 255.255.255.248 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet0/0.40 encapsulation dot1Q 544 ip address 172.25.4.2 255.255.255.224 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.50 encapsulation dot1Q 545 ip address 172.25.5.2 255.255.255.248 ip ospf message-digest-key 10 md5 Care4IT ! interface FastEthernet0/1.60 encapsulation dot1Q 546 ip address 172.25.6.2 255.255.255.248 ip ospf message-digest-key 10 md5 Care4IT
30
! interface Vlan1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 172.25.1.0 0.0.0.7 area 0 network 172.25.2.0 0.0.0.7 area 0 network 172.25.3.0 0.0.0.7 area 0 network 172.25.4.0 0.0.0.31 area 0 network 172.25.5.0 0.0.0.7 area 0 network 172.25.6.0 0.0.0.7 area 0 ! router rip ! ip classless ip route 0.0.0.0 0.0.0.0 172.25.5.1 ! ! ! ! ! ! ! line con 0 password 7 08024D5C0C4D2C23
31
login line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! ! end 3.6. S1_DMZ Current configuration : 616 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname Switch ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! no ip domain-lookup ! ! interface FastEthernet0/1
32
! interface FastEthernet1/1 ! interface FastEthernet2/1 ! interface FastEthernet3/1 ! interface FastEthernet4/1 ! interface FastEthernet5/1 ! interface FastEthernet6/1 ! interface Vlan1 no ip address shutdown ! ! line con 0 password 7 08024D5C0C4D2C23 login ! line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23
33
login ! ! end 3.7. S2_SERVERS Current configuration : 1180 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname S2_Servers ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! no ip domain-lookup ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport mode trunk ! interface FastEthernet0/3 switchport mode trunk
34
! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 !
35
interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface Vlan1 no ip address shutdown ! ! line con 0 password 7 08024D5C0C4D2C23 login ! line vty 0 4 password 7 08024D5C0C4D2C23
36
login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! end 3.8. S3_CLIENTS Current configuration : 1180 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname S3_Clients ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! no ip domain-lookup ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport mode trunk
37
! interface FastEthernet0/3 switchport mode trunk ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15
38
! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface Vlan1 no ip address shutdown ! ! line con 0 password 7 08024D5C0C4D2C23 login
39
! line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! end 3.9. S4_VLAN_CLIENTS Current configuration : 2649 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname S4_VLAN_Clients ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! no ip domain-lookup ! ! interface FastEthernet0/1 switchport mode trunk
40
! interface FastEthernet0/2 switchport access vlan 541 switchport mode access mac-address 0001.c965.6766 switchport port-security switchport port-security mac-address 0001.C965.6766 ! interface FastEthernet0/3 switchport access vlan 541 switchport mode access ! interface FastEthernet0/4 switchport access vlan 541 switchport mode access ! interface FastEthernet0/5 switchport access vlan 541 switchport mode access ! interface FastEthernet0/6 switchport access vlan 542 switchport mode access ! interface FastEthernet0/7 switchport access vlan 542 switchport mode access
41
! interface FastEthernet0/8 switchport access vlan 542 switchport mode access ! interface FastEthernet0/9 switchport access vlan 542 switchport mode access ! interface FastEthernet0/10 switchport access vlan 543 switchport mode access ! interface FastEthernet0/11 switchport access vlan 543 switchport mode access ! interface FastEthernet0/12 switchport access vlan 543 switchport mode access ! interface FastEthernet0/13 switchport access vlan 544 switchport mode access ! interface FastEthernet0/14 switchport access vlan 544
42
switchport mode access ! interface FastEthernet0/15 switchport access vlan 544 switchport mode access ! interface FastEthernet0/16 switchport access vlan 544 switchport mode access ! interface FastEthernet0/17 switchport access vlan 544 switchport mode access ! interface FastEthernet0/18 switchport access vlan 544 switchport mode access ! interface FastEthernet0/19 switchport access vlan 544 switchport mode access ! interface FastEthernet0/20 switchport access vlan 544 switchport mode access ! interface FastEthernet0/21
43
switchport access vlan 544 switchport mode access ! interface FastEthernet0/22 switchport access vlan 544 switchport mode access ! interface FastEthernet0/23 switchport access vlan 544 switchport mode access ! interface FastEthernet0/24 ! interface Vlan1 no ip address shutdown ! ip default-gateway 172.25.1.2 ! ! line con 0 password 7 08024D5C0C4D2C23 login ! line vty 0 4 password 7 08024D5C0C4D2C23 login
44
line vty 5 15 password 7 08024D5C0C4D2C23 login ! mac-address-table static 0001.4314.dcd5 vlan 542 interface FastEthernet0/7 mac-address-table static 0003.e4b3.46a8 vlan 543 interface FastEthernet0/10 mac-address-table static 0040.0b87.3d8b vlan 544 interface FastEthernet0/13 ! end 3.10. S5_VLAN_SERVERS Current configuration : 1535 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname S5_VLAN_Servers ! enable secret 5 $1$mERr$gZK5JKW5CPYEQ1dl.JX.W. ! ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2
45
switchport access vlan 545 switchport mode access ! interface FastEthernet0/3 switchport access vlan 545 switchport mode access ! interface FastEthernet0/4 switchport access vlan 545 switchport mode access ! interface FastEthernet0/5 switchport access vlan 545 switchport mode access ! interface FastEthernet0/6 switchport access vlan 546 switchport mode access ! interface FastEthernet0/7 switchport access vlan 546 switchport mode access ! interface FastEthernet0/8 switchport access vlan 546 switchport mode access !
46
interface FastEthernet0/9 switchport access vlan 546 switchport mode access ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21
47
! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface Vlan1 no ip address shutdown ! ! line con 0 password 7 08024D5C0C4D2C23 login ! line vty 0 4 password 7 08024D5C0C4D2C23 login line vty 5 15 password 7 08024D5C0C4D2C23 login ! ! end
48