نواصل تحليل مهام وحدة الشبكة الخاصة ببطولة WorldSkills في كفاءة إدارة الشبكة والنظام.

سيتم النظر في المهام التالية في المقالة:

1. على كافة الأجهزة ، قم بإنشاء واجهات افتراضية ، وواجهات فرعية ، وواجهات استرجاع. قم بتعيين عناوين IP وفقًا للطوبولوجيا.
   • تمكين آلية SLAAC لإصدار عناوين IPv6 في شبكة MNG على واجهة جهاز التوجيه RTR1 ؛
   • على الواجهات الافتراضية في VLAN 100 (MNG) على المحولات SW1 و SW2 و SW3 ، قم بتمكين وضع التكوين التلقائي لـ IPv6 ؛
   • على جميع الأجهزة (باستثناء PC1 و WEB) ، قم بتعيين عناوين الارتباط المحلية يدويًا ؛
   • على جميع المحولات ، قم بتعطيل جميع المنافذ غير المستخدمة في المهمة ونقلها إلى VLAN 99 ؛
   • في المفتاح SW1 ، قم بتمكين الإغلاق لمدة دقيقة واحدة إذا تم إدخال كلمة المرور بشكل غير صحيح مرتين خلال 1 ثانية ؛
2. يجب أن تكون جميع الأجهزة متاحة للإدارة عبر الإصدار 2 من بروتوكول SSH.

يتم تقديم طوبولوجيا الشبكة في الطبقة المادية في الرسم البياني التالي:

يظهر مخطط الشبكة في طبقة ارتباط البيانات في الرسم التخطيطي التالي:

يظهر مخطط الشبكة في طبقة الشبكة في الرسم التخطيطي التالي:

الإعداد المسبق

قبل تنفيذ المهام المذكورة أعلاه ، يجدر إعداد التبديل الأساسي للمفاتيح SW1-SW3 ، حيث سيكون من الأنسب التحقق من إعداداتها في المستقبل. سيتم وصف إعداد التبديل بالتفصيل في المقالة التالية ، ولكن في الوقت الحالي سيتم تحديد الإعدادات فقط.

بادئ ذي بدء ، تحتاج إلى إنشاء vlans بالأرقام 99 و 100 و 300 على جميع المفاتيح:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

الخطوة التالية هي نقل واجهة g0 / 1 على SW1 إلى رقم vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

يجب تبديل الواجهات f0 / 1-2 ، f0 / 5-6 ، التي تتجه نحو المفاتيح الأخرى ، إلى وضع trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

على المفتاح SW2 في وضع صندوق الأمتعة ، ستكون هناك واجهات f0 / 1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

على المفتاح SW3 في وضع صندوق الأمتعة ، ستكون هناك واجهات f0 / 3-6 ، g0 / 1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

في هذه المرحلة ، سيتم تكوين المفاتيح للسماح بتبادل الحزم ذات العلامات ، والتي ستكون مطلوبة لإكمال المهام.

1. على كافة الأجهزة ، قم بإنشاء واجهات افتراضية ، وواجهات فرعية ، وواجهات استرجاع. قم بتعيين عناوين IP وفقًا للطوبولوجيا.

سيتم تكوين جهاز التوجيه BR1 أولاً. وفقًا لطوبولوجيا L3 ، من الضروري هنا تكوين واجهة استرجاع ، تُعرف أيضًا باسم الاسترجاع ، المرقمة 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

للتحقق من حالة الواجهة التي تم إنشاؤها ، يمكنك استخدام الأمر show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

هنا يمكنك أن ترى أن الاسترجاع نشط ، حالته UP. إذا نظرت أدناه ، يمكنك رؤية عنواني IPv6 ، على الرغم من استخدام أمر واحد فقط لتعيين عنوان IPv6. الحقيقة انه FE80::2D0:97FF:FE94:5022 هو عنوان الارتباط المحلي الذي يتم تعيينه عند تمكين ipv6 على الواجهة باستخدام الأمر ipv6 enable.

ولعرض عنوان IPv4 ، يتم استخدام أمر مشابه:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

بالنسبة إلى BR1 ، يجب عليك تكوين واجهة g0 / 0 على الفور ، وهنا تحتاج فقط إلى تعيين عنوان IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

يمكنك التحقق من الإعدادات بنفس الأمر show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

بعد ذلك ، سيتم تكوين موجه ISP. هنا ، وفقًا للمهمة ، سيتم تكوين رقم الاسترجاع 0 ، ولكن بالإضافة إلى ذلك ، من الأفضل تكوين واجهة g0 / 0 ، والتي يجب أن يكون لها العنوان 30.30.30.1 ، نظرًا لعدم قول شيء عن تكوين هذه الواجهات في المهام اللاحقة. أولاً ، تم تكوين الاسترجاع بالرقم 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

فريق show ipv6 interface brief يمكنك التحقق من تكوين الواجهة بشكل صحيح. ثم يتم تكوين الواجهة g0 / 0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

بعد ذلك ، سيتم تكوين جهاز التوجيه RTR1. هنا تحتاج أيضًا إلى إنشاء استرجاع على الرقم 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

أيضًا ، في RTR1 ، تحتاج إلى إنشاء واجهتين فرعيتين افتراضيتين لشبكات vlans بأرقام 2 و 100. يمكنك القيام بذلك على النحو التالي.

أولاً ، قم بتمكين الواجهة المادية g0 / 1 باستخدام الأمر no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

ثم يتم إنشاء وتهيئة واجهات فرعية بأرقام 100 و 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

قد يختلف رقم الواجهة الفرعية عن رقم شبكة محلية ظاهرية التي ستعمل فيه ، ولكن للراحة ، من الأفضل استخدام رقم الواجهة الفرعية الذي يتطابق مع رقم شبكة محلية ظاهرية. إذا قمت بتعيين نوع التغليف عند تكوين الواجهة الفرعية ، فيجب عليك تحديد رقم يطابق رقم شبكة محلية ظاهرية. حتى بعد الأمر encapsulation dot1Q 300 ستسمح الواجهة الفرعية فقط بعبور حزم vlan التي تحمل الرقم 300.

ستكون المهمة الأخيرة في هذه المهمة هي جهاز التوجيه RTR2. يجب أن يكون الاتصال بين SW1 و RTR2 في وضع الوصول ، وستقوم واجهة المحول بتمرير الحزم المخصصة لشبكة محلية ظاهرية مع الرقم 2 باتجاه RTR300 ، وهذا مذكور في المهمة في هيكل L2. لذلك ، سيتم تكوين الواجهة المادية فقط على جهاز التوجيه RTR2 دون إنشاء واجهات فرعية:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

ثم يتم تكوين الواجهة g0 / 0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

هذا يكمل تكوين واجهات جهاز التوجيه للمهمة الحالية. سيتم تكوين باقي الواجهات عند اكتمال المهام التالية.

أ. قم بتمكين آلية SLAAC لإصدار عناوين IPv6 في شبكة MNG على واجهة جهاز التوجيه RTR1
يتم تمكين آلية SLAAC افتراضيًا. الشيء الوحيد الذي يجب فعله هو تمكين توجيه IPv6. يمكنك القيام بذلك باستخدام الأمر التالي:

RTR1(config-subif)#ipv6 unicast-routing

بدون هذا الأمر ، تعمل المعدات كمضيف. بمعنى آخر ، بفضل الأمر أعلاه ، يصبح من الممكن استخدام وظائف ipv6 الإضافية ، بما في ذلك إصدار عناوين IPv6 ، وتكوين التوجيه ، وما إلى ذلك.

ب. على الواجهات الافتراضية في VLAN 100 (MNG) على المحولات SW1 و SW2 و SW3 ، قم بتمكين وضع التكوين التلقائي لـ IPv6
يمكن أن نرى من طوبولوجيا L3 أن المحولات متصلة بـ VLAN 100. وهذا يعني أنك بحاجة إلى إنشاء واجهات افتراضية على المحولات ، وعندها فقط تقوم بتعيين عناوين IPv6 الافتراضية هناك. تم إجراء التكوين الأولي بدقة حتى تتمكن المحولات من تلقي العناوين الافتراضية من RTR1. يمكنك إكمال هذه المهمة من خلال قائمة الأوامر التالية المناسبة لجميع المفاتيح الثلاثة:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

يمكنك التحقق من ذلك بنفس الأمر show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

بالإضافة إلى عنوان الارتباط المحلي ، ظهر عنوان IPv6 تم استلامه من RTR1. تم إكمال هذه المهمة بنجاح ، ويجب كتابة نفس الأوامر على المفاتيح المتبقية.

مع. على جميع الأجهزة (باستثناء PC1 و WEB) ، قم بتعيين عناوين الارتباط المحلية يدويًا
لا تسر عناوين IPv6 المكونة من ثلاثين رقمًا للمسؤولين ، لذلك من الممكن تغيير الارتباط المحلي يدويًا ، وتقليل طوله إلى الحد الأدنى للقيمة. لا تذكر المهام أي شيء عن العناوين التي يجب اختيارها ، لذلك يوجد خيار حر هنا.

على سبيل المثال ، في المحول SW1 ، تحتاج إلى تعيين عنوان الارتباط المحلي fe80 :: 10. يمكن القيام بذلك باستخدام الأمر التالي من وضع التكوين للواجهة المحددة:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

تبدو المعالجة الآن أكثر جاذبية:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

بالإضافة إلى عنوان الارتباط المحلي ، تم تغيير عنوان IPv6 المستلم أيضًا ، حيث يتم إصدار العنوان بناءً على عنوان الارتباط المحلي.

في مفتاح SW1 ، كان من الضروري تعيين العنوان على واجهة ارتباط محلية واحدة فقط. باستخدام جهاز التوجيه RTR1 ، تحتاج إلى إجراء المزيد من الإعدادات - تحتاج إلى تعيين الارتباط المحلي على واجهتين فرعيتين ، على الاسترجاع ، وفي الإعدادات اللاحقة ستظهر واجهة النفق 100 أيضًا.

لتجنب الكتابة غير الضرورية للأوامر ، يمكنك تعيين نفس عنوان الارتباط المحلي على جميع الواجهات مرة واحدة. يمكنك القيام بذلك باستخدام الكلمة الأساسية range متبوعًا بقائمة بجميع الواجهات:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

عند التحقق من الواجهات ، سترى أنه تم تغيير عناوين الارتباط المحلية على جميع الواجهات المحددة:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

يتم تكوين جميع الأجهزة الأخرى بنفس الطريقة.

د. في جميع المحولات ، قم بتعطيل جميع المنافذ غير المستخدمة في المهمة وانتقل إلى VLAN 99
الفكرة الرئيسية هي نفس الطريقة لتحديد واجهات متعددة للتكوين باستخدام الأمر range، ثم يجب عليك كتابة أوامر للتحويل إلى شبكة محلية ظاهرية المطلوبة ثم إغلاق الواجهات. على سبيل المثال ، عند التبديل SW1 ، وفقًا لطبولوجيا L1 ، سيتم تعطيل المنافذ f0 / 3-4 و f0 / 7-8 و f0 / 11-24 و g0 / 2. في هذا المثال ، سيكون الإعداد:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

عند التحقق من الإعدادات بأمر معروف بالفعل ، يجب الانتباه إلى أن جميع المنافذ غير المستخدمة يجب أن يكون لها الحالة سقط إداريا، مشيرا إلى أن المنفذ معطل:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

لمعرفة شبكة محلية ظاهرية يوجد بها المنفذ ، يمكنك استخدام أمر آخر:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

يجب أن تكون جميع الواجهات غير المستخدمة هنا. تجدر الإشارة إلى أنه لن يكون من الممكن نقل الواجهات إلى شبكة محلية ظاهرية إذا لم يتم إنشاء شبكة محلية ظاهرية. لهذا الغرض ، في الإعداد الأولي ، تم إنشاء جميع الشبكات المحلية اللازمة للعمل.

ه. في المفتاح SW1 ، قم بتمكين قفل لمدة دقيقة واحدة إذا تم إدخال كلمة المرور بشكل غير صحيح مرتين خلال 1 ثانية
يمكنك القيام بذلك باستخدام الأمر التالي:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

يمكنك أيضًا التحقق من هذه الإعدادات على النحو التالي:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

حيث تم التوضيح بوضوح أنه بعد محاولتين فاشلتين خلال 30 ثانية أو أقل ، سيتم حظر القدرة على الدخول لمدة 60 ثانية.

2. يجب أن تكون جميع الأجهزة متاحة للإدارة عبر الإصدار 2 من بروتوكول SSH

لكي يمكن الوصول إلى الأجهزة عبر الإصدار 2 من SSH ، يجب عليك أولاً تكوين المعدات ، لذلك من أجل الحصول على المعلومات ، سيتم تكوين المعدات مع إعدادات المصنع أولاً.

يمكنك تغيير نسخة البزل على النحو التالي:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

يطلب النظام إنشاء مفاتيح RSA لوظيفة SSH الإصدار 2. باتباع نصيحة النظام الذكي ، يمكنك إنشاء مفاتيح RSA باستخدام الأمر التالي:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

لا يسمح النظام بتنفيذ الأمر لأن اسم المضيف لم يتغير. بعد تغيير اسم المضيف ، تحتاج إلى كتابة أمر إنشاء المفتاح مرة أخرى:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

الآن النظام لا يسمح لك بإنشاء مفاتيح RSA ، بسبب عدم وجود اسم المجال. وبعد تعيين اسم المجال ، سيكون من الممكن إنشاء مفاتيح RSA. يجب أن يكون طول مفاتيح RSA 768 بت على الأقل حتى يعمل الإصدار 2 من SSH:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

نتيجة لذلك ، اتضح أنه لكي يعمل SSHv2 ، من الضروري:

1. تغيير اسم المضيف ؛
2. تغيير اسم المجال ؛
3. إنشاء مفاتيح RSA.

في المقالة الأخيرة ، تم تقديم تكوين تغيير اسم المضيف واسم المجال على جميع الأجهزة ، لذلك ، للاستمرار في تكوين الأجهزة الحالية ، ما عليك سوى إنشاء مفاتيح RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

الإصدار 2 من SSH نشط ، لكن لم يتم تكوين الأجهزة بالكامل بعد. الخطوة الأخيرة هي إعداد وحدات تحكم افتراضية:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

في المقالة الأخيرة ، تم إعداد نموذج AAA ، حيث تم تعيين المصادقة على وحدات التحكم الافتراضية باستخدام قاعدة بيانات محلية ، وكان على المستخدم بعد المصادقة الدخول على الفور إلى الوضع المميز. أسهل طريقة للتحقق مما إذا كان SSH يعمل هو محاولة الاتصال بأجهزتك الخاصة. يوجد استرجاع على RTR1 بعنوان IP 1.1.1.1 ، يمكنك محاولة الاتصال بهذا العنوان:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

بعد المفتاح -l يتم إدخال تسجيل دخول مستخدم موجود ، ثم كلمة المرور. بعد المصادقة ، تقوم على الفور بالتبديل إلى وضع الامتياز ، مما يعني أن SSH تم تكوينه بشكل صحيح.

المصدر: www.habr.com