ProHoster > Blog > İdarə > "SiSA" kompetensiyasında şəbəkə modulunun WorldSkills tapşırıqlarının həlli. Hissə 2 - Əsas Quraşdırma

"SiSA" kompetensiyasında şəbəkə modulunun WorldSkills tapşırıqlarının həlli. Hissə 2 - Əsas Quraşdırma

Biz “Şəbəkə və Sistem İdarəçiliyi” səriştəsi üzrə WorldSkills çempionatının Şəbəkə modulunun tapşırıqlarını təhlil etməyə davam edirik.

Məqalədə aşağıdakı vəzifələr nəzərdən keçiriləcək:

  1. BÜTÜN cihazlarda virtual interfeyslər, alt interfeyslər və geri dönmə interfeysləri yaradın. Topologiyaya uyğun olaraq IP ünvanlarını təyin edin.
    • RTR6 marşrutlaşdırıcı interfeysində MNG şəbəkəsində IPv1 ünvanlarını vermək üçün SLAAC mexanizmini işə salın;
    • SW100, SW1, SW2 açarlarında VLAN 3-də (MNG) virtual interfeyslərdə, IPv6 avtomatik konfiqurasiya rejimini aktivləşdirin;
    • BÜTÜN cihazlarda (PC1 və WEB istisna olmaqla) keçid-yerli ünvanları əl ilə təyin edin;
    • BÜTÜN açarlarda, tapşırıqda istifadə olunmayan BÜTÜN portları söndürün və VLAN 99-a köçürün;
    • SW1 açarında parol 1 saniyə ərzində iki dəfə səhv daxil edilərsə, 30 dəqiqəlik kilidi aktivləşdirin;
  2. Bütün cihazlar SSH versiyası 2 vasitəsilə idarə oluna bilər.


Fiziki səviyyədə şəbəkə topologiyası aşağıdakı diaqramda təqdim olunur:

"SiSA" kompetensiyasında şəbəkə modulunun WorldSkills tapşırıqlarının həlli. Hissə 2 - Əsas Quraşdırma

Məlumat bağlantısı səviyyəsində şəbəkə topologiyası aşağıdakı diaqramda təqdim olunur:

"SiSA" kompetensiyasında şəbəkə modulunun WorldSkills tapşırıqlarının həlli. Hissə 2 - Əsas Quraşdırma

Şəbəkə səviyyəsində şəbəkə topologiyası aşağıdakı diaqramda təqdim olunur:

"SiSA" kompetensiyasında şəbəkə modulunun WorldSkills tapşırıqlarının həlli. Hissə 2 - Əsas Quraşdırma

əvvəlcədən təyin edilməsi

Yuxarıdakı tapşırıqları yerinə yetirməzdən əvvəl SW1-SW3 açarlarının əsas keçidini qurmağa dəyər, çünki gələcəkdə onların parametrlərini yoxlamaq daha rahat olacaq. Kommutasiya quraşdırması növbəti məqalədə ətraflı təsvir ediləcək, lakin hələlik yalnız parametrlər müəyyən ediləcək.

İlk addım bütün açarlarda 99, 100 və 300 nömrələri olan vlanlar yaratmaqdır:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Növbəti addım g0/1 interfeysini SW1-dən vlan nömrəsinə 300-ə köçürməkdir:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Digər açarlarla üzbəüz olan f0/1-2, f0/5-6 interfeysləri magistral rejimə keçirilməlidir:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Magistral rejimdə SW2 açarında f0/1-4 interfeysləri olacaq:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Magistral rejimdə SW3 açarında f0/3-6, g0/1 interfeysləri olacaq:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Bu mərhələdə keçid parametrləri tapşırıqların yerinə yetirilməsi üçün tələb olunan etiketlənmiş paketlərin mübadiləsinə imkan verəcək.

1. BÜTÜN cihazlarda virtual interfeyslər, alt-interfeyslər və geri dönmə interfeysləri yaradın. Topologiyaya uyğun olaraq IP ünvanlarını təyin edin.

Əvvəlcə marşrutlaşdırıcı BR1 konfiqurasiya ediləcək. L3 topologiyasına görə, burada 101 nömrəli loop tipli interfeysi konfiqurasiya etməlisiniz:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Yaradılmış interfeysin vəziyyətini yoxlamaq üçün əmrdən istifadə edə bilərsiniz show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Burada loopback aktiv olduğunu, onun vəziyyətini görə bilərsiniz UP. Aşağıya baxsanız, IPv6 ünvanını təyin etmək üçün yalnız bir əmrdən istifadə olunsa da, iki IPv6 ünvanını görə bilərsiniz. Fakt budur ki FE80::2D0:97FF:FE94:5022 komanda ilə interfeysdə ipv6 aktivləşdirildikdə təyin edilən link-yerli ünvandır ipv6 enable.

Və IPv4 ünvanına baxmaq üçün oxşar əmrdən istifadə edin:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1 üçün siz dərhal g0/0 interfeysini konfiqurasiya etməlisiniz; burada sadəcə IPv6 ünvanını təyin etməlisiniz:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Eyni əmrlə parametrləri yoxlaya bilərsiniz show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Sonra ISP marşrutlaşdırıcısı konfiqurasiya ediləcək. Burada tapşırığa uyğun olaraq geri dönmə nömrəsi 0 konfiqurasiya ediləcək, lakin bundan əlavə, 0 ünvanına malik olan g0/30.30.30.1 interfeysini konfiqurasiya etmək daha məqsədəuyğundur, çünki sonrakı tapşırıqlarda heç nə deyilməyəcəkdir. bu interfeyslərin qurulması. Birincisi, geri dönmə nömrəsi 0 konfiqurasiya edilir:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

komanda show ipv6 interface brief İnterfeys parametrlərinin düzgün olduğunu yoxlaya bilərsiniz. Sonra g0/0 interfeysi konfiqurasiya edilir:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Sonra, RTR1 marşrutlaşdırıcısı konfiqurasiya ediləcək. Burada həmçinin 100 nömrəli geri döngə yaratmalısınız:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Həmçinin RTR1-də 2 və 100 rəqəmləri olan vlanlar üçün 300 virtual alt interfeys yaratmalısınız. Bunu aşağıdakı kimi etmək olar.

Əvvəlcə g0/1 fiziki interfeysini söndürmə əmri ilə aktivləşdirməlisiniz:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Sonra 100 və 300 nömrəli alt interfeyslər yaradılır və konfiqurasiya edilir:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Alt interfeys nömrəsi işləyəcəyi vlan nömrəsindən fərqli ola bilər, lakin rahatlıq üçün vlan nömrəsinə uyğun gələn alt interfeys nömrəsindən istifadə etmək daha yaxşıdır. Əgər subinterfeys qurarkən inkapsulyasiya növünü təyin etsəniz, vlan nömrəsinə uyğun gələn nömrəni göstərməlisiniz. Beləliklə, əmrdən sonra encapsulation dot1Q 300 alt interfeys yalnız 300 nömrəli vlan paketlərindən keçəcək.

Bu tapşırığın son mərhələsi RTR2 marşrutlaşdırıcısı olacaq. SW1 və RTR2 arasındakı əlaqə giriş rejimində olmalıdır, keçid interfeysi yalnız 2 nömrəli vlan üçün nəzərdə tutulmuş paketlər RTR300-yə keçəcək, bu, L2 topologiyasındakı tapşırıqda bildirilir. Buna görə də, RTR2 marşrutlaşdırıcısında alt interfeyslər yaratmadan yalnız fiziki interfeys konfiqurasiya ediləcək:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Sonra g0/0 interfeysi konfiqurasiya edilir:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Bu, cari tapşırıq üçün marşrutlaşdırıcı interfeyslərinin konfiqurasiyasını tamamlayır. Qalan interfeyslər aşağıdakı tapşırıqları yerinə yetirdikdə konfiqurasiya ediləcək.

a. RTR6 marşrutlaşdırıcı interfeysində MNG şəbəkəsində IPv1 ünvanlarını vermək üçün SLAAC mexanizmini işə salın
SLAAC mexanizmi standart olaraq aktivdir. Etməli olduğunuz yeganə şey IPv6 marşrutlaşdırmasını aktivləşdirməkdir. Bunu aşağıdakı əmrlə edə bilərsiniz:

RTR1(config-subif)#ipv6 unicast-routing

Bu əmr olmadan avadanlıq host kimi çıxış edir. Başqa sözlə, yuxarıdakı əmr sayəsində əlavə ipv6 funksiyalarından istifadə etmək mümkün olur, o cümlədən ipv6 ünvanlarının verilməsi, marşrutun qurulması və s.

b. SW100, SW1, SW2 açarlarında VLAN 3 (MNG) virtual interfeyslərində, IPv6 avtomatik konfiqurasiya rejimini aktivləşdirin
L3 topologiyasından aydın olur ki, açarlar VLAN 100-ə qoşulub. Bu o deməkdir ki, açarlarda virtual interfeyslər yaratmaq və yalnız bundan sonra onları standart olaraq IPv6 ünvanlarını qəbul etmək üçün təyin etmək lazımdır. İlkin konfiqurasiya açarların RTR1-dən defolt ünvanları ala bilməsi üçün dəqiq şəkildə aparıldı. Bu tapşırığı hər üç keçid üçün uyğun olan aşağıdakı əmrlər siyahısından istifadə edərək tamamlaya bilərsiniz:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Eyni əmrlə hər şeyi yoxlaya bilərsiniz show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Bağlantı-yerli ünvana əlavə olaraq, RTR6-dən alınan bir ipv1 ünvanı göründü. Bu tapşırıq uğurla yerinə yetirildi və qalan açarlarda eyni əmrlər yazılmalıdır.

ilə. BÜTÜN cihazlarda (PC1 və WEB istisna olmaqla) keçid-yerli ünvanları əl ilə təyin edin
Otuz rəqəmli IPv6 ünvanları administratorlar üçün əyləncəli deyil, buna görə də uzunluğunu minimum dəyərə endirərək yerli linki əl ilə dəyişdirmək mümkündür. Tapşırıqlar hansı ünvanların seçiləcəyi barədə heç nə demir, ona görə də burada sərbəst seçim təmin edilir.

Məsələn, SW1 keçidində siz fe80::10 keçid-yerli ünvanını təyin etməlisiniz. Bu, seçilmiş interfeysin konfiqurasiya rejimindən aşağıdakı əmrlə edilə bilər:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

İndi ünvanlama daha cəlbedici görünür:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Link-yerli ünvana əlavə olaraq, alınan IPv6 ünvanı da dəyişdi, çünki ünvan link-yerli ünvan əsasında verilir.

SW1 keçidində bir interfeysdə yalnız bir keçid-yerli ünvan təyin etmək lazım idi. RTR1 marşrutlaşdırıcısı ilə daha çox parametrlər etməlisiniz - iki alt interfeysdə, geri döngədə link-lokal təyin etməlisiniz və sonrakı parametrlərdə tunel 100 interfeysi də görünəcəkdir.

Əmrlərin lazımsız yazılmasının qarşısını almaq üçün eyni anda bütün interfeyslərdə eyni link-yerli ünvanı təyin edə bilərsiniz. Bunu açar sözdən istifadə edərək edə bilərsiniz range sonra bütün interfeyslərin siyahısı:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

İnterfeysləri yoxlayarkən, bütün seçilmiş interfeyslərdə yerli link ünvanlarının dəyişdirildiyini görəcəksiniz:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Bütün digər cihazlar oxşar şəkildə konfiqurasiya edilmişdir

d. BÜTÜN açarlarda işdə istifadə olunmayan BÜTÜN portları söndürün və VLAN 99-a köçürün
Əsas fikir, əmrdən istifadə edərək konfiqurasiya etmək üçün birdən çox interfeys seçməklə eyni üsuldur range, və yalnız bundan sonra istədiyiniz vlan-a köçürmək üçün əmrlər yazmalı və sonra interfeysləri söndürməlisiniz. Məsələn, L1 topologiyasına uyğun olaraq SW1 keçidində f0/3-4, f0/7-8, f0/11-24 və g0/2 portları söndürüləcək. Bu nümunə üçün parametr aşağıdakı kimi olacaq:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Artıq məlum olan bir əmrlə parametrləri yoxlayarkən qeyd etmək lazımdır ki, bütün istifadə olunmamış portların statusu olmalıdır. inzibati cəhətdən aşağı, portun deaktiv olduğunu bildirir:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Portun hansı vlanda olduğunu görmək üçün başqa bir əmrdən istifadə edə bilərsiniz:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Bütün istifadə olunmamış interfeyslər burada olmalıdır. Qeyd etmək lazımdır ki, belə bir vlan yaradılmayıbsa, interfeysləri vlan-a köçürmək mümkün olmayacaq. Məhz bu məqsədlə ilkin quraşdırmada əməliyyat üçün lazım olan bütün vlanlar yaradılmışdır.

e. SW1 açarında parol 1 saniyə ərzində iki dəfə səhv daxil edilərsə, 30 dəqiqəlik kilidi aktivləşdirin
Bunu aşağıdakı əmrlə edə bilərsiniz:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Siz həmçinin bu parametrləri aşağıdakı kimi yoxlaya bilərsiniz:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

30 saniyə və ya daha az müddətdə iki uğursuz cəhddən sonra daxil olmaq imkanının 60 saniyəyə bloklanacağı aydın şəkildə izah edilərsə.

2. Bütün cihazlar SSH versiyası 2 vasitəsilə idarə oluna bilməlidir

Cihazların SSH versiyası 2 vasitəsilə əlçatan olması üçün əvvəlcə avadanlığı konfiqurasiya etmək lazımdır, ona görə də məlumat məqsədləri üçün ilk növbədə avadanlıqları zavod parametrləri ilə konfiqurasiya edəcəyik.

Siz ponksiyon versiyasını aşağıdakı kimi dəyişə bilərsiniz:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistem sizdən SSH versiyası 2-nin işləməsi üçün RSA açarları yaratmağı xahiş edir.Smart sistemin tövsiyələrinə əməl edərək, siz aşağıdakı əmrlə RSA açarları yarada bilərsiniz:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Host adı dəyişdirilmədiyi üçün sistem komandanın icrasına icazə vermir. Host adını dəyişdikdən sonra açar yaratma əmrini yenidən yazmalısınız:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

İndi sistem domen adının olmaması səbəbindən RSA açarları yaratmağa imkan vermir. Və domen adını quraşdırdıqdan sonra RSA açarlarını yaratmaq mümkün olacaq. SSH versiyası 768-nin işləməsi üçün RSA açarları ən azı 2 bit uzunluğunda olmalıdır:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Nəticədə, SSHv2-nin işləməsi üçün lazım olduğu ortaya çıxdı:

  1. Host adını dəyişdirin;
  2. domen adını dəyişdirin;
  3. RSA açarları yaradın.

Əvvəlki məqalə bütün cihazlarda host adının və domen adının necə dəyişdiriləcəyini göstərdi, buna görə də cari cihazları konfiqurasiya etməyə davam edərkən yalnız RSA açarlarını yaratmalısınız:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH versiyası 2 aktivdir, lakin cihazlar hələ tam konfiqurasiya edilməyib. Son addım virtual konsolların qurulması olacaq:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Əvvəlki məqalədə AAA modeli konfiqurasiya edilmişdi, burada yerli verilənlər bazasından istifadə edərək virtual konsollarda autentifikasiya qurulmuşdu və istifadəçi autentifikasiyadan sonra dərhal imtiyazlı rejimə keçməli idi. SSH funksionallığının ən sadə sınağı öz avadanlıqlarınıza qoşulmağa çalışmaqdır. RTR1-də 1.1.1.1 IP ünvanı ilə geri dönmə var, bu ünvana qoşulmağa cəhd edə bilərsiniz:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Açardan sonra -l Mövcud istifadəçinin girişini, sonra isə parolu daxil edin. Doğrulamadan sonra istifadəçi dərhal imtiyazlı rejimə keçir, bu da SSH-nin düzgün konfiqurasiya edildiyini bildirir.

Mənbə: www.habr.com

Добавить комментарий