Ons gaan voort om die take van die Netwerkmodule van die WorldSkills Championship in die Netwerk- en Stelseladministrasie-bevoegdheid te ontleed.
Die volgende take sal in die artikel oorweeg word:
- Op ALLE toestelle, skep virtuele koppelvlakke, subkoppelvlakke en teruglus-koppelvlakke. Ken IP-adresse toe volgens die topologie.
- Aktiveer die SLAAC-meganisme vir die uitreiking van IPv6-adresse in die MNG-netwerk op die RTR1-roeteerderkoppelvlak;
- Op virtuele koppelvlakke in VLAN 100 (MNG) op skakelaars SW1, SW2, SW3, aktiveer IPv6 outo-konfigurasiemodus;
- Op ALLE toestelle (behalwe PC1 en WEB) ken skakel-plaaslike adresse handmatig toe;
- Op ALLE skakelaars, deaktiveer ALLE poorte wat nie in die werk gebruik word nie en dra oor na VLAN 99;
- Op skakelaar SW1, aktiveer uitsluiting vir 1 minuut as die wagwoord twee keer binne 30 sekondes verkeerd ingevoer word;
- Alle toestelle moet beskikbaar wees vir bestuur via SSH-protokol weergawe 2.
Die netwerktopologie by die fisiese laag word in die volgende diagram voorgestel:
Die netwerktopologie by die dataskakellaag word in die volgende diagram getoon:
Die netwerktopologie by die netwerklaag word in die volgende diagram getoon:
voorafinstelling
Voordat u die bogenoemde take uitvoer, is dit die moeite werd om basiese skakelaars SW1-SW3 op te stel, aangesien dit geriefliker sal wees om hul instellings in die toekoms na te gaan. Die skakelopstelling sal in die volgende artikel in detail beskryf word, maar vir eers sal slegs die instellings gedefinieer word.
Eerstens moet u vlans met nommers 99, 100 en 300 op alle skakelaars skep:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Die volgende stap is om die g0 / 1-koppelvlak op SW1 na vlan nommer 300 oor te dra:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Interfaces f0 / 1-2, f0 / 5-6, wat na ander skakelaars kyk, moet oorgeskakel word na stammodus:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Op die skakelaar SW2 in stammodus sal daar koppelvlakke f0 / 1-4 wees:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Op die skakelaar SW3 in stammodus sal daar koppelvlakke f0 / 3-6, g0 / 1 wees:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Op hierdie stadium sal die skakelaars gekonfigureer word om die uitruil van gemerkte pakkies toe te laat, wat nodig sal wees om die take te voltooi.
1. Op ALLE toestelle, skep virtuele koppelvlakke, subkoppelvlakke en teruglus-koppelvlakke. Ken IP-adresse toe volgens die topologie.
Roeter BR1 sal eerste gekonfigureer word. Volgens die L3-topologie is dit hier nodig om 'n teruglus-koppelvlak, ook bekend as terugloop, genommer 101 op te stel:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ loopback
BR1(config)#interface loopback 101
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv4-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅
BR1(config-if)#ipv6 enable
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv6-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ipv6 address 2001:B:A::1/64
// ΠΡΡ
ΠΎΠ΄ ΠΈΠ· ΡΠ΅ΠΆΠΈΠΌΠ° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#exit
BR1(config)#
Om die status van die geskepte koppelvlak na te gaan, kan u die opdrag gebruik show ipv6 interface brief
:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
BR1#
Hier kan jy sien dat die terugloop aktief is, sy toestand UP. As jy hieronder kyk, kan jy twee IPv6-adresse sien, alhoewel slegs een opdrag gebruik is om die IPv6-adres in te stel. Die feit is dat FE80::2D0:97FF:FE94:5022
is die skakel-plaaslike adres wat toegeken word wanneer ipv6 op die koppelvlak geaktiveer is met die opdrag ipv6 enable
.
En om die IPv4-adres te sien, word 'n soortgelyke opdrag gebruik:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Vir BR1 moet u die g0 / 0-koppelvlak dadelik konfigureer, hier moet u net die IPv6-adres instel:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ Π² ΡΠ΅ΠΆΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config)#interface gigabitEthernet 0/0
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
U kan die instellings met dieselfde opdrag nagaan show ipv6 interface brief
:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:C::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
Vervolgens sal die ISP-roeteerder gekonfigureer word. Hier, volgens die taak, sal teruglus nommer 0 gekonfigureer word, maar boonop is dit verkieslik om die g0 / 0 koppelvlak te konfigureer, wat die adres 30.30.30.1 moet hΓͺ, om die rede dat niks gesΓͺ sal word oor die konfigurasie van hierdie koppelvlakke in daaropvolgende take. Eerstens word teruglus met nommer 0 gekonfigureer:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
span show ipv6 interface brief
jy kan verifieer dat die koppelvlak korrek opgestel is. Dan word koppelvlak g0/0 gekonfigureer:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Vervolgens sal die RTR1-roeteerder gekonfigureer word. Hier moet jy ook 'n teruglus by nommer 100 skep:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ook op RTR1 moet jy 2 virtuele subkoppelvlakke skep vir vlans met nommers 100 en 300. Dit kan soos volg gedoen word.
Aktiveer eers die g0/1 fisiese koppelvlak met die geen afsluit-opdrag:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Dan word subkoppelvlakke met nommers 100 en 300 geskep en gekonfigureer:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 100 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.100
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 300 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.300
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Die subkoppelvlaknommer kan verskil van die vlan-nommer waarin dit sal werk, maar gerieflikheidshalwe is dit beter om die subkoppelvlaknommer te gebruik wat by die vlan-nommer pas. As jy die inkapselingstipe stel wanneer jy die subkoppelvlak konfigureer, moet jy 'n nommer spesifiseer wat ooreenstem met die vlan-nommer. So na die opdrag encapsulation dot1Q 300
die subkoppelvlak sal slegs vlan-pakkies met nommer 300 deurlaat.
Die finale taak in hierdie taak sal die RTR2-roeteerder wees. Die verbinding tussen SW1 en RTR2 moet in toegangsmodus wees, die skakelaarkoppelvlak sal slegs pakkies wat vir vlan met nommer 2 bestem is, na RTR300 deurgee, dit word in die taak op die L2-topologie vermeld. Daarom sal slegs die fisiese koppelvlak op die RTR2-roeteerder gekonfigureer word sonder om sub-koppelvlakke te skep:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Dan word koppelvlak g0/0 gekonfigureer:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dit voltooi die konfigurasie van router-koppelvlakke vir die huidige taak. Die res van die koppelvlakke sal gekonfigureer word soos die volgende take voltooi word.
a. Aktiveer die SLAAC-meganisme vir die uitreiking van IPv6-adresse in die MNG-netwerk op die RTR1-roeteerderkoppelvlak
Die SLAAC-meganisme is by verstek geaktiveer. Die enigste ding om te doen is om IPv6-roetering te aktiveer. Jy kan dit doen met die volgende opdrag:
RTR1(config-subif)#ipv6 unicast-routing
Sonder hierdie opdrag dien die toerusting as 'n gasheer. Met ander woorde, danksy die bogenoemde opdrag, word dit moontlik om bykomende ipv6-funksies te gebruik, insluitend die uitreiking van ipv6-adresse, die opstel van roetering, ensovoorts.
b. Op virtuele koppelvlakke in VLAN 100 (MNG) op skakelaars SW1, SW2, SW3, aktiveer IPv6 outo-konfigurasiemodus
Dit kan gesien word uit die L3 topologie dat die skakelaars aan VLAN 100 gekoppel is. Dit beteken dat jy virtuele koppelvlakke op die skakelaars moet skep, en dan eers verstek ipv6 adresse daar moet toewys. Die aanvanklike konfigurasie is presies gedoen sodat die skakelaars verstekadresse van RTR1 kon ontvang. Jy kan hierdie taak voltooi met die volgende lys opdragte wat geskik is vir al drie skakelaars:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// ΠΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π°Π΄ΡΠ΅ΡΠ° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
U kan dit met dieselfde opdrag nagaan show ipv6 interface brief
:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local Π°Π΄ΡΠ΅Ρ
2001:100::A8BB:CCFF:FE80:C000 // ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΉ IPv6-Π°Π΄ΡΠ΅Ρ
Benewens die skakel-plaaslike adres, het 'n ipv6-adres wat van RTR1 ontvang is, verskyn. Hierdie taak is suksesvol voltooi, en dieselfde opdragte moet op die oorblywende skakelaars geskryf word.
Met. Op ALLE toestelle (behalwe PC1 en WEB) ken skakel-plaaslike adresse met die hand toe
Dertigsyfer-ipv6-adresse is nie 'n plesier vir administrateurs nie, so dit is moontlik om die skakel-plaaslik met die hand te verander, wat die lengte daarvan tot die minimum waarde verminder. Die take sΓͺ niks oor watter adresse om te kies nie, so hier is 'n vrye keuse.
Byvoorbeeld, op skakelaar SW1, moet jy die skakel-plaaslike adres fe80::10 stel. Dit kan gedoen word met die volgende opdrag vanaf die konfigurasiemodus van die geselekteerde koppelvlak:
// ΠΡ
ΠΎΠ΄ Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ vlan 100
SW1(config)#interface vlan 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nou lyk aanspreek baie aantrekliker:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local Π°Π΄ΡΠ΅c
2001:100::10 //IPv6-Π°Π΄ΡΠ΅Ρ
Benewens die skakel-plaaslike adres, het die ontvangde IPv6-adres ook verander, aangesien die adres uitgereik word op grond van die skakel-plaaslike adres.
Op die SW1-skakelaar was dit nodig om die adres op slegs een skakel-plaaslike koppelvlak te stel. Met die RTR1-roeteerder moet jy meer instellings maak - jy moet die skakel-plaaslik op twee subkoppelvlakke stel, op die teruglus, en in die daaropvolgende instellings sal die tonnel 100-koppelvlak ook verskyn.
Om onnodige skryf van opdragte te vermy, kan jy dieselfde skakel-plaaslike adres op alle koppelvlakke gelyktydig stel. Jy kan dit doen met die sleutelwoord range
gevolg deur 'n lys van alle koppelvlakke:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ
ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Wanneer u die koppelvlakke nagaan, sal u sien dat skakel-plaaslike adresse op alle geselekteerde koppelvlakke verander is:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Alle ander toestelle is op dieselfde manier gekonfigureer.
d. Op ALLE skakelaars, deaktiveer ALLE poorte wat nie in die werk gebruik word nie en skuif na VLAN 99
Die hoofgedagte is dieselfde manier om verskeie koppelvlakke vir konfigurasie te kies met behulp van die opdrag range
, en dan moet jy opdragte skryf vir die oordrag na die verlangde vlan en dan die koppelvlakke afskakel. Byvoorbeeld, by skakelaar SW1, volgens die L1-topologie, sal poorte f0 / 3-4, f0 / 7-8, f0 / 11-24 en g0 / 2 gedeaktiveer word. Vir hierdie voorbeeld sal die opstelling wees:
// ΠΡΠ±ΠΎΡ Π²ΡΠ΅Ρ
Π½Π΅ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ
ΠΏΠΎΡΡΠΎΠ²
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΡΠ΅ΠΆΠΈΠΌΠ° access Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°Ρ
SW1(config-if-range)#switchport mode access
// ΠΠ΅ΡΠ΅Π²ΠΎΠ΄ Π² VLAN 99 ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#switchport access vlan 99
// ΠΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Wanneer u die instellings met 'n reeds bekende opdrag nagaan, moet u daarop let dat alle ongebruikte poorte die status moet hΓͺ administratief afgeneem, wat aandui dat die poort af is:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Om te sien in watter vlan die poort is, kan jy 'n ander opdrag gebruik:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Alle ongebruikte koppelvlakke moet hier wees. Dit is opmerklik dat dit nie moontlik sal wees om koppelvlakke na 'n vlan oor te dra as so 'n vlan nie geskep is nie. Vir hierdie doel, in die aanvanklike opstelling, is alle vlans wat nodig is vir werk geskep.
e. Op skakelaar SW1, aktiveer 'n 1-minuut-slot as die wagwoord twee keer binne 30 sekondes verkeerd ingevoer word
Jy kan dit doen met die volgende opdrag:
// ΠΠ»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠ° Π½Π° 60Ρ; ΠΠΎΠΏΡΡΠΊΠΈ: 2; Π ΡΠ΅ΡΠ΅Π½ΠΈΠ΅: 30Ρ
SW1#login block-for 60 attempts 2 within 30
U kan ook hierdie instellings soos volg nagaan:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Waar dit duidelik verduidelik word dat na twee onsuksesvolle pogings binne 30 sekondes of minder, die vermoΓ« om in te gaan vir 60 sekondes geblokkeer sal word.
2. Alle toestelle moet beskikbaar wees vir bestuur via SSH-protokol weergawe 2
Om toeganklik te maak vir toestelle via SSH weergawe 2, moet jy eers die toerusting konfigureer, dus ter wille van inligting sal die toerusting met fabrieksinstellings eers gekonfigureer word.
Jy kan die punksie weergawe soos volg verander:
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π²Π΅ΡΡΠΈΡ SSH Π²Π΅ΡΡΠΈΠΈ 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Die stelsel vra om RSA-sleutels te skep vir SSH weergawe 2-funksionaliteit. Na aanleiding van die advies van die slimstelsel, kan jy RSA-sleutels skep met die volgende opdrag:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ RSA ΠΊΠ»ΡΡΠ΅ΠΉ
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Die stelsel laat nie toe dat die opdrag uitgevoer word nie omdat die gasheernaam nie verander is nie. Nadat u die gasheernaam verander het, moet u die sleutelgenerering-opdrag weer skryf:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nou laat die stelsel jou nie toe om RSA-sleutels te skep nie, weens die gebrek aan 'n domeinnaam. En nadat die domeinnaam opgestel is, sal dit moontlik wees om RSA-sleutels te skep. RSA-sleutels moet ten minste 768 bisse lank wees vir SSH weergawe 2 om te werk:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
As gevolg hiervan blyk dit dat dit nodig is om SSHv2 te werk:
- Verander gasheernaam;
- Verander domeinnaam;
- Genereer RSA-sleutels.
In die laaste artikel is die konfigurasie van die verandering van die gasheernaam en domeinnaam op alle toestelle gegee, dus, as u voortgaan om die huidige toestelle op te stel, hoef u slegs RSA-sleutels te genereer:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH weergawe 2 is aktief, maar die toestelle is nog nie ten volle gekonfigureer nie. Die laaste stap is om virtuele konsoles op te stel:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
ΠΊΠΎΠ½ΡΠΎΠ»Π΅ΠΉ
R1(config)#line vty 0 4
// Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Ρ SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
In die laaste artikel is die AAA-model opgestel, waar verifikasie op virtuele konsoles ingestel is met behulp van 'n plaaslike databasis, en die gebruiker na verifikasie onmiddellik die bevoorregte modus moes betree. Die maklikste manier om te kyk of SSH werk, is om aan jou eie hardeware te probeer koppel. Daar is 'n teruglus op RTR1 met ip-adres 1.1.1.1, jy kan probeer om aan hierdie adres te koppel:
//ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΏΠΎ ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Na die sleutel -l
die aanmelding van 'n bestaande gebruiker word ingevoer, en dan die wagwoord. Na verifikasie skakel jy dadelik oor na bevoorregte modus, wat beteken dat SSH korrek opgestel is.
Bron: will.com