Begleitmaterial zum Unterricht M129 «Routing»

Subnetze verbinden

1. Theorie zu Routing

Erarbeiten sie die Theorie zu Routing. Im Fokus sollen dabei folgende Begriffe/Themen stehen:

  • Zweck des Routings
  • Was bedeutet «TTL»
  • Statisches Routing
  • Dynamisches Routing
  • Routingtabelle
  • Defaultroute

und erstellen sie eine Zusammenfassung in der Grössenordnung von 1..2 Seiten. Etwa so, wie wenn sie einen Spickzettel für eine Prüfung zusammenstellen würden. Sie finden z.B. auf dieser Webseite entsprechende Fachbeiträge.

2. Aufgaben zu Routing

2.1 Routingtabelle erstellen

Erstellen Sie die Routing-Tabelle für den Router 1:

Ihre Routing-Tabelle sollte diese fünf Kolonnen enthalten:

2.2 Statisches Routing mit der LernSW «Filius»

Für diese Aufgabe benötigen sie etwa 90 Minuten.
Sie erstellen ein virtuelles Firmennetzwerk der Firma Muster GmbH. Dazu benutzen sie die Filius-Lern-SW. Sie sollten Filius bereits in M117 kennengelernt haben. Falls nicht, finden sie es unter dem folgenden Link: http://www.lernsoftware-filius.de

Ausgangssituation:
Die Firma Muster GmbH betreibt zwei Standorte: Einen in Zürich und einen in Bern. Die beiden Standorte sind über WAN (Standleitung/Seriell) verbunden. Als Basis für die IP-Adressierung verwenden sie die folgende Netzwerkadresse: 192.168.1.0/24

Es gilt:

  • Der Standort Zürich (ZH) umfasst 50 Arbeitsplätze
  • Der Standort Bern (BE) umfasst 40 Arbeitsplätze
  • Die beiden Standorte sind über eine Standleitung (eigenes Netz zwischen den Standorten) verbunden

(Bemerkung: Sie müssen in Filius nicht alle 40 bzw. 50 Host’s einzeichnen. Zwei Repräsentanten pro Subnetz inklusive entsprechender Bemerkung im logischen Layout genügen)

Aufgaben:

  • Erstellen sie das Subnetting
  • Bauen sie dieses Netzwerk in Filius nach
  • Die WAN-Verbindung soll durch zwei verbundene Router angedeutet werden
  • Erstellen sie die Routingtabellen für das statische Routing zwischen den Teilnetzen
  • Überprüfen bzw. Testen sie das Netzwerk mit den ihnen bekannten Werkzeugen
  • Zusatzaufgabe: Realisieren sie vom Standort Zürich aus den Internetzugang

Fassen sie das logische Layout (Filius-Bild), alle erforderlichen Routingtabellen und die Beschreibung der Testprozedur (Testfälle, Werkzeuge, Resultat) in einer Dokumentation zsammen und erstellen sie daraus ein PDF-File.

2.3 Statisches Routing mit «echter» Hardware

Dieser Auftrag soll in Zweiergruppen bearbeitet werden.
Bisher haben sie die Routingaufträge mit virtueller Hardware ausgeführt. Nun dürfen sie sich an «echter» Hardware beweisen.

Sie haben aus einem Fundus einen Router erhalten. Leider ohne die entsprechende Dokumentation. Sie wissen also weder die aktuelle Konfiguration dieses Geräts, noch das Systempasswort. Zum guten Glück haben sie aber Internetzugriff und können die benötigten Schriftstücke vom Internet herunterladen. Da sie jetzt ja der neue Besitzer dieses Netzwerkgeräts sind, dürfen sie dieses auch unbeschwert in den Werkszustand zurückversetzen.

Auftrag:

Erstellen sie eine LAN-to-LAN Verbindung.

  • Die Netzwerkadresse vom ersten Netz lautet 172.16.10.0/24
  • Die Netzwerkadresse vom zweiten Netz entspricht der offiziellen Schulzimmer-Netzwerkadresse (Falls nicht vorhanden: 10.71.10.0)
  • Konfigurieren sie den Router und je ein Notebook im 172-er bzw. im Schulnetz
  • Prüfen sie die Netzwerkverbindung mit ihren beiden Notebooks. Dazu muss sich der eine Notebook im ersten Netz, der andere im Schulzimmernetz befinden

Wenn die Verbindung der beiden Netzwerke anstandslos funktioniert, versuchen sie mit dem Notebook aus dem 172.16.10.0/24-er Netz via Schulnetzwerk das Internet zu erreichen. Dokumentieren sie die Installation und die Funktionskontrollen.

Was gilt es zu beachten?

Die IP-Adressen des Routers werden nie dynamisch via DHCP zugewiesen, sondern immer statisch am System konfiguriert. Dasselbe gilt übrigens auch für Server und Drucker, damit sie unabhängig von einem DHCP-Server immer unter derselben IP-Adresse erreichbar sind.

In der Schulklasse werden mehrere Gruppen dieselbe Aufgabe lösen. Damit es auf der Seite des TBZ-Schulzimmernetz zu keinen Adresskonflikten kommt, müssen die IP-Adressen der TBZ-seitigen Routerschnittstellen untereinander abgesprochen oder vom Lehrer vorgegeben werden. Die ersten 20 IP’s im TBZ-Schulzimmernetz sind frei verfügbar bzw. vom DHCP-Server ausgeschlossen.

Als Router-IP-Adresse wird üblicherweise immer die erste oder letzte Adresse des Subnetzes gewählt. Bsp: Netzadresse 192.168.0.0/24: Entweder Router-IP 192.168.0.1 oder 192.168.0.254.

Demo-Setup mit UBIQUITI EdgeRouter ER-X für eine Site-to-Site VPN-Verbindung mit IPsec

This is a School-demo-setup from JuergArnold for UBIQUITI EdgeRouter ER-X. For productive implementations, more effort is required e.g. Reasonable firewall-settings, DHCP and possibly NAT.

Requirements:

  • Firmware: EdgeRouter-X v1.9.1.1
  • VPN-Site-to-Site with IPsec for school demonstration. The configuration should be done exclusively via the EdgeMax-Webinterface.

Note:

  • LAN1 (Site1) must be a subnet other than LAN2 (Site2), otherwise it will not be routed

Terms:

  • VPN-Gateway LAN IP = LAN-side VPN-Gateway-IPAdress
  • VPN-Gateway "Local IP": WAN IP on "my" side (Official EdgeMAX naming)
  • VPN-Gateway "Peer IP": WAN IP on the "other" side (Official EdgeMAX naming)
  • "Local Subnet": LAN Networkadress on "my" side (Official EdgeMAX name)
  • "Remote Subnet": LAN Networkadress on the "other" side (Official EdgeMAX naming)
  • Static IP: Fixed IP-Adress (The "opposite" of dynamic- or IP-Adress-distribution with DHCP)

Installation-Steps:

  1. Reset the ER-X Device
  2. ER-X Basic-Setup
    WAN:eth0 LAN:eth1-eth4
    Static IP for EdgeMax-Webinterface
    No DHCP (In this case not required)
    It enforces you to enter Gateway and DNS, just do it
  3. ER-X reboot and Ethernetcabel connect to eth1
    (Take care of the adequate IP adress on your Admin-PC)
  4. ER-X-System: Delete Gateway and DNS entry
  5. ER-X VPN-Configuration (IPsec Site-to-Site):
    Peer IP (whitout Subnetmask, although an entry would NOT be denied)
    Local IP whitout Subnetmask
    Pre-shared secret: like a password, same on both VPN-Gateways
    Local subnet and Remote subnet: With Subnetmasks
  6. Prepare a PC in each LAN
    Static IP according to ER-X Local Subnet Settings
    Make sure, the Standardgateway (Router) of the PC is the IP-Adress of the VPN-Gateway (Local Subnet IP)
    Pay attention, the firewall will ignore ICMP-Commands like ping (Turn off the firewall temporarily)
  7. To establish a VPN connection, you have to ping a PC in the remote-LAN
    Only now, the VPN-Gateway will show "VPN-Status UP"
  8. Testing of the VPN-connection
    ping VPN-Gateway-Local-IP to VPN-Gateway-Peer-IP
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN1)
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN2)
    ping PC (LAN1) to PC (LAN2)
    ...and reverse directions

2.4 Netzwerkfehler suchen

Dies ist eine 35-minütige Einzelarbeit auf ihrem eigenen Notebook. Dazu muss die Filius-Lern-SW darauf installiert sein. Es dürfen keine weiteren Unterlagen verwendet werden. Die Aufgabenstellung und ein Lösungsblatt werden vom Dozenten in Papierform abgegeben. Hier können sie die Filius-Netzwerkdateien herunterladen.

3. Musterlösungen zu den Routing-Aufgaben

3.1 Routingtabelle erstellen

Erstellen Sie die Routing-Tabelle für den Router 1:

3.2 Statisches Routing mit der LernSW «Filius»

Für diese Aufgabe benötigen sie etwa 90 Minuten.
Sie erstellen ein virtuelles Firmennetzwerk der Firma Muster GmbH. Dazu benutzen sie die Filius-Lern-SW. Sie sollten Filius bereits in M117 kennengelernt haben. Falls nicht, finden sie es unter dem folgenden Link: http://www.lernsoftware-filius.de

Ausgangssituation:
Die Firma Muster GmbH betreibt zwei Standorte: Einen in Zürich und einen in Bern. Die beiden Standorte sind über WAN (Standleitung/Seriell) verbunden. Als Basis für die IP-Adressierung verwenden sie die folgende Netzwerkadresse: 192.168.1.0/24

Es gilt:

  • Der Standort Zürich (ZH) umfasst 50 Arbeitsplätze
  • Der Standort Bern (BE) umfasst 40 Arbeitsplätze
  • Die beiden Standorte sind über eine Standleitung (eigenes Netz zwischen den Standorten) verbunden

(Bemerkung: Sie müssen in Filius nicht alle 40 bzw. 50 Host’s einzeichnen. Zwei Repräsentanten pro Subnetz inklusive entsprechender Bemerkung im logischen Layout genügen)

Aufgaben:

  • Erstellen sie das Subnetting
  • Bauen sie dieses Netzwerk in Filius nach
  • Die WAN-Verbindung soll durch zwei verbundene Router angedeutet werden
  • Erstellen sie die Routingtabellen für das statische Routing zwischen den Teilnetzen
  • Überprüfen bzw. Testen sie das Netzwerk mit den ihnen bekannten Werkzeugen
  • Zusatzaufgabe: Realisieren sie vom Standort Zürich aus den Internetzugang

Musterlösung für das Subnetting:
Nachdem in Filius die (virtuellen) PC's erstellt worden sind, muss nun auf jedem dieser PC's die "Befehlszeile"-SW installiert werden. Dies entspricht dem Windows CMD. Von dort aus können ping-Kommandos etc. abgesetzt werden.

  • ZH: 64 IP's werden benötigt
  • BE: 64 IP IP's werden benötigt
  • WAN: 4 IP IP's werden benötigt

Situation am Standort ZH:

  • Netzwerkadresse NW = 192.168.1.0/26 oder 255.255.255.192
  • Broadcastadrese BC = 192.168.1.63
  • Routeradresse RTZH1 = 192.168.1.1

Situation am Standort BE:

  • Netzwerkadresse NW = 192.168.1.64/26 oder 255.255.255.192
  • Broadcastadrese BC = 192.168.1.127
  • Routeradresse RTBE1 = 192.168.1.65

Situation WAN-Verbindung:

  • Netzwerkadresse NW = 192.168.1.128/30 oder 255.255.255.252
  • Broadcastadrese BC = 192.168.1.131
  • Routeradresse RTZH2 = 192.168.1.129
  • Routeradresse RTBE2 = 192.168.1.130

Hinweis zur Überprüfung des Netzwerks: Zuerst den eigenen Router (beide Netzwerkschnittstellen) anpingen. Danach erst den Router des Nachbarnetzes. Achtung: Falls Firewall eingeschaltet, ICMP erlauben

Routing-Tabellen:

Für Internetzugriff muss auf beiden Routern eine Defaultroute eingerichtet werden. Der zusätzliche Eintrag in Bern zeigt auf den Zürcher Router, der zusätzliche Eintrag in Zürich auf den nächsten in's Internet weisende Router!

Das logische Layout:

Hier können sie die Filius-Musterlösung für das Netzwerk herunterladen.