Praktika ülesanded.

NB!! Всязи с возможной нехваткой приборов, они назначаются и используются по очереди назначаемой преподавателем.
Приборы и задачи назначаются, настраиваются и защищаются персонально каждым учеником.

1. лаба

Первая лабораторная посвящается начальному изучению работы с приборами.
Для подключения к приборам используем специальные серийные и патч кабеля, программы telnet, putty, ssh, browser, winbox

Обьекты исследования:

1. Mikrotik router with wifi
2. Cisco switch
3. HewlettPackard switch
4. Cisco router
5. Unify AP
5. Posible extra devices for advanced pupil

Необходимо произвести и задокументировать шаги для повторной настройки прибора. Составив рапорт для каждого прибора отдельно в файле, следующие действия:

1. Найти инструкцию по начальной настройке, использованию и программированию прибора.
   
2. Исходя из инструкции вернуть прибору заводские настройки(reset device to factory default settings).
3. Исходя из инструкции подключиться к прибору либо через последовательный серийный порт либо через сетевой провод подключённый в указанный в инструкции порт.
4. При необходимости произвести замену/обновление программного обеспечения прибора.
5. При необходимости добавить необходимые добавочные модули.
   
6. Произвести начальную настройку прибора по инструкции на сайте производителя прибора. 
   
7. Присвоить прибору назначенные преподавателем IP адрес(а).
8. Настроить пароли для различных способов доступа к прибору.
9. Исследовать различные доступные для данного прибора способы подключения: консоль, aux, telnet, ssh, web, 
   
10. Составить рапорт о возможностях безопасного подключения к данному прибору по сети.
11. Заполнить рапорт и отослать преподавателю на почту, соблюдая правила на странице:http://veeremaa.tpt.edu.ee/2012/formalrules.html
12. Форма будет предоставлена во время практики.

2 лаба

Проброс интернета через беспроводное соединение и раздача его с клиентского микротика

1. Установить Factory Default settings(сбросить настройки) и пароль администратору.
2. Отсоединить Eth5 от внутреннего свитча
   открыть Interfaces->ether5-slave-local
   поменять Master port на "none"
   переименовать интерфейс в "ether5"
3. Назначить IP адрес для ether5 192.168.0.1/24
4. Создать pool адресов для раздачи на ether5
   IP->Pool "Add New"
   Name=console
   Addresses=192.168.0.10-192.168.0.20
5. Создать DHCP сервер для ether5
   IP->DHCP Server->Networks
   Address=192.168.0.0/24
   Mask=24
   Gateway=DNSserver=192.168.0.1
   Domain=Yourname.mkt
   IP->DHCP Server->DHCP Add New
   Name=console-srv
   Interface=ether5
   Address-pool=console
6. IP-DNS
   Allow Remote request= поставить галочку
   
7. Добавить правило в firewall
   IP->Firewall->NAT->General
   Chain=srcnat
   OutInterface=ether1-gateway
   IP->Firewall->NAT->Action
   Action=Masquerade
   
8. Перекинуть соединение компьютера на порт ether5,
   получить IP от микротика и проверить доступ
   к интерфейсу микротика и интернету(если он был)
   в Windows cli
   > ipconfig /release
   > ipconfig /renew
   в Linux cli
   > dhclient
   или прописать ручками в компе
   IP=192.168.0.10
   Mask=255.255.255.0
   Gateway=192.168.0.1
   DNS=192.168.0.1
9. С компа пропинговать:
   адрес вашего Gateway, адрес следующего Gateway, 193.40.160.1, 212.7.0.1, www.ee
   
10. Создать Read-Only пользователя с паролём для проверки доступа к устройству через WIFI AP
11. Перейти Wireless wlan1 в режим
    Mode=station-bridge
    Frequency=auto
    нажать Scan и выбрать ближаюшую точку AP (315B)
    и подсоединиться к нему
12. Добавить DHCP клиента для безпроводного интерфейса wlan1
    IP->DHCP Client->+
    Interface=wlan1
    Дождаться получения адреса от wifi точки доступа AP (315B)
    Проверить получение IP по DHCP от AP проверить доступ к чужому интерфейсу микротика и интернету через безпроводный соединение.
    
13. Пропинговать gateway точки доступа AP (315B)
    
14. Изменить созданное в пункте 5 правило snat в firewall заменив выходной интерфейс на wlan
    IP->Firewall->NAT->General
    Chain=srcnat
    OutInterface=wlan1
    IP->Firewall->NAT->Action
    Action=Masquerade
15. Отсоединить интернет провод от ether1.
    
16. НЕОБЯЗАТЕЛЬНО
    Для перманентной настройки доступа к AP Перейти в Wireless
    и настроить следующие параметры требуемым нстройкам AP
    Band, Frequency, SSID и параметры аутентификации
    Пример для изучения но не выполнения http://wiki.mikrotik.com/wiki/Manual:Wireless_AP_Client

3 лаба

Настройка Микротик рутера.

Настройка роутера Mikrotik для различных задач в SOHO

Всязи с возможной нехваткой приборов работаем парами. Вначале решают проблему первого ученика и сдают учителю. Потом решают и сдают работу второго.

Установить пароль стандартного администратора "teretere" и проверить что он работает, далее его не менять и не использовать до крайней нужды!!!.
Добавить администратора со своим именем и паролём. Все дальнейшие действия делать под своим пользователем.
После каждого важного и проверенного изменения сохранять конфигурацию в файл на микротике и перетаскивать этот бэкап в каталог на десктоп.

Задача

Настроить 3 DHCP для 3 сетей: WIFI, LAN1, LAN2 изходя из данных прилагаемой таблицы с персональными данными задачи.

Метод

Для исключения возможных проблем для конфигурации микротика подключаемся к нему в начале по MAC адресу через интерфейс eth5 используя программу winbox v2.x.y

Сети

1. WIFI на интерфейс wlan, для беспроводных устройств
2. LAN1 на интерфейсa eth5, для администрирования
3. LAN2 на бридж из остальных интерфейсов eth2, eth3, eth4

В таблице даны сетевые адреса и префиксы. Для каждой подсети, используя IP Calculator IP, выбрать допустимый адрес для gatway и диапазон адресов для пула DHCP сервера, который будут получать клиенты данной подсети.

DHCP сервер

Смотри пример настройки DHCP
В качестве доменного имени в DHCP серверах использовать следующие названия: wifi.твоёимя.tpt, lan1.твоёимя.tpt, lan2.твоёимя.tpt

3 Ethernet порта микротика подсоединяются к бриджу LAN2.

Проверка

Несколько компьютеров/смартфонов подсоединяют к разным LAN/WLAN-ам и проверяют доступ в интернет и доступ к друг другу между устройствами в разных подсетях.

Firewall

Организация выхода в интернет

Для организации доступа из любой подсети микротика в инет требуется прописать правила SNAT.
Для этого требуется указать на какой интерфейс должны уходить пакеты для доступа в инет.

Смотри на странице настройку NAT

Проброс портов(port forwarding)

Перед использованием, фиксируют IP адреса в DHCP сервере микротика для компьютеров к которым планирую подключиться.
Для создания доступа к компьютерам по RDP протоколу во внутренних сетях микротика, находящиеся за NAT-ом создают порт форвардинг с помощью правил DNAT. Требуется указать на какой интерфейс и по какому протоколу с внешнего мира приходят запросы, и на какой IP адрес и какой порт их пробрасывать во внутреннюю сеть.

Смотри пример проброса портов

Добавление правил

Пользователи сети не должны иметь возможность обращаться в другие сети Микротика,
но могут пользоваться интернетом с выходом на 80 и 443 порт, остальное требуется заблокировать.
Для этого надо добавить правила в firewall микротика.

LAN2 по возможности должен NAT-иться на отдельный IP адреса который надо зафиксировать из свободных IP.

Настройка WIFI

• Режим работы "AP bridge"
• Полоса пропускания 2GHz-B/G
• Ширина канала 10 Мгц
• Частота несущей в мегагерцах, найти нужную для указанного в таблице канала
• SSID: латинницей фамилия ученика выполняющего работу
• авторизация WPA2 c паролём на указанном в таблице канале
• Профиль безопасности по умолчанию
• Беспроводный протоко 802.11

Клиент подключается со смарт фона и настраивает на нём доступ к своей школьной или какой либо другой почте.

Продвинутые настраивают Hotspot с авторизацией по радиусу встроенному в микротик и переадресацией на рекламную страницу.
Потребуется добавить пользователей для доступа через wifi.
http://www.lanmart.ru/blogs/mikrotik-hotspot/

4. лаба

Создать виртуальную сеть между микротиком и двумя коммутаторами.
Create vlan through Mikrotik and 2 switches
Create in router dhcp server and bind it to VLAN and ether4 port that must work together in bridge mode.

Grp VLAN Computer
1. 56 (1-3)
2. 1115 (4-6)
3. 2048 (7-8)
4. 3333 (19,20,9)
5. 236 (10-12)
6. 1981 (13-15)
7. 2222 (16-18)
8. 1199 (21-23)

IP addresses
Computers Devices Network/Prefix
1. 10.10.10.XX 10.10.10.1XX 10.10.10.0/25
2. 192.168.168.XX 192.168.168.1XX 192.168.168.0/23
3. 172.31.31.XX 172.31.31.1XX 172.31.31.0/22
4. 10.20.30.XX 10.20.30.1XX 10.20.30.0/23
5. 192.168.192.XX 192.168.192.1XX 192.168.192.0/25
6. 172.30.172.XX 172.30.172.1XX 172.30.172.0/22
7. 10.100.10.XX 10.100.10.1XX 10.100.10.0/23
8. 192.168.16.XX 192.168.16.1XX 192.168.16.0/25
___________________________________________
Mikrotik
1. Delete "wlan1" from bridge "bridge-local"

Menu Interfaces->Ethernet
2. Rename "ether5-local" to "ether5" and "ether4-local" to "ether4"
3. Unconnect "ether5" and "ether4" from "ether2-master-local" switch

Menu Interfaces-VLAN
4. Add VLAN with some name(like VADIM)and you VLAN number(like 4000) and connect it to Ether5

Menu Bridge->Bridge
5. Create bridge with some name (like vlanbridge)

Menu Bridge->Port
6. Add to vlanbridge interface VADIM and ether4

Menu IP->Addresses
8. Add to created bridge address/prefix(like 10.1.1.1/25) and network address(like 10.1.1.0) and select you interface (like vlanbridge)

Menu IP->Pool
7. Add new pool with some name(like pool-vadim) and address range yyy.yyy.yyy.20-30 (like 10.1.1.10-10.1.1.20)

Menu IP->DHCP Server->DHCP
9. Add server with some name (like vadim-server) select interface (like vlanbridge) and address pool (like pool-vadim)

Menu IP->DHCP Server->Networks
10. Add dhcp client options: network (like 10.1.1.0/25), gateway (like 10.1.1.1),
Netmask (like 25), DNS server 8.8.8.8, Domain some name(like vadim.tpt)
11. Connect PC to port 4 and check dhcp options you'v got
12. Connect trunk from switches to port ether5
_________________________________________
--Cisco
spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 236 priority 24576

vlan internal allocation policy ascending
interface Port-channel1
switchport trunk allowed vlan 4000
switchport mode trunk

--Set access ports and enable VLAN for them
interface FastEthernet0/1
switchport access vlan 4000
switchport mode access

interface FastEthernet0/2
switchport access vlan 4000
switchport mode access

--Set vlan to trunk port
interface FastEthernet0/23
switchport trunk allowed vlan 4000
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
spanning-tree portfast trunk

interface FastEthernet0/24
switchport trunk allowed vlan 4000
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
spanning-tree portfast trunk

_________________________________________
HP

config
hostname "VADIM-HP"
cdp run
interface 24
no lacp
exit
trunk 24 Trk1 LACP
ip default-gateway 0.0.0.0
vlan 4000
name "vadim"
untagged 1-4
tagged Trk1
exit
no aaa port-access authenticator active
spanning-tree Trk1 priority 4
password manager
exit
___________________________________________

NB!! Dont forget to turn off windows firewall !!!