ProHoster > блог > адміністраванне > Рашэнне заданняў WorldSkills модуля Network у кампетэнцыі "СіСА". Частка 2 - Базавая настройка

Рашэнне заданняў WorldSkills модуля Network у кампетэнцыі "СіСА". Частка 2 - Базавая настройка

Працягваем разбор заданняў модуля Network чэмпіянату WorldSkills у кампетэнцыі "Сеткавае і сістэмнае адміністраванне".

У артыкуле будуць разгледжаны наступныя заданні:

  1. На ЎСІХ прыладах стварыце віртуальныя інтэрфейсы, падытэрфейсы і інтэрфейсы тыпу пятля. Прызначце IP-адрасы ў адпаведнасці з тапалогіяй.
    • Уключыце механізм SLAAC для выдачы IPv6-адрасоў у сетцы MNG на інтэрфейсе маршрутызатара RTR1;
    • На віртуальных інтэрфейсах у ВЛВС 100 (MNG) на камутатарах SW1, SW2, SW3 уключыце рэжым аўтаканфігурацыі IPv6;
    • На ЎСІХ прыладах (акрамя PC1 і WEB) уручную прызначце link-local адрасы;
    • На ЎСІХ камутатарах адключыце ЎСЕ нявыкарыстаныя ў заданні парты і перавядзіце ў VLAN 99;
    • На камутатары SW1 уключыце блакіроўку на 1 хвіліну ў выпадку двухразовага няправільнага ўводу пароля на працягу 30 секунд;
  2. Усе прылады павінны быць даступныя для ўпраўлення па пратаколе SSH версіі 2.


Тапалогія сеткі фізічна прадстаўлена на наступнай схеме:

Рашэнне заданняў WorldSkills модуля Network у кампетэнцыі "СіСА". Частка 2 - Базавая настройка

Тапалогія сеткі на канальным узроўні прадстаўлена на наступнай схеме:

Рашэнне заданняў WorldSkills модуля Network у кампетэнцыі "СіСА". Частка 2 - Базавая настройка

Тапалогія сеткі на сеткавым узроўні прадстаўлена на наступнай схеме:

Рашэнне заданняў WorldSkills модуля Network у кампетэнцыі "СіСА". Частка 2 - Базавая настройка

Папярэдняя настройка

Перад выкананнем вышэйпаказаных заданняў варта наладзіць базавую камутацыю на камутатарах SW1-SW3, бо будзе зручней правяраць у далейшым іх налады. Настройка камутацыі будзе падрабязна апісана ў наступным артыкуле, а пакуль будуць вызначаны толькі налады.

Перш за ўсё неабходна стварыць vlan'ы з нумарамі 99, 100 і 300 на ўсіх камутатарах:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Наступным крокам будзе пераклад інтэрфейсу g0/1 на SW1 у vlan з нумарам 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Інтэрфейсы f0/1-2, f0/5-6, якія глядзяць у бок іншых камутатараў, варта перавесці ў рэжым trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

На камутатары SW2 у рэжыме trunk будуць інтэрфейсы f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

На камутатары SW3 у рэжыме trunk будуць інтэрфейсы f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

На дадзеным этапе налады камутатараў будуць дазваляць абменьвацца тэгаванымі пакетамі, што запатрабуецца для выканання заданняў.

1. На ЎСІХ прыладах стварыце віртуальныя інтэрфейсы, падытэрфейсы і інтэрфейсы тыпу пятля. Прызначце IP-адрасы ў адпаведнасці з тапалогіяй.

Першым будзе наладжвацца маршрутызатар BR1. Згодна з тапалогіі L3 тут неабходна наладзіць інтэрфейс тыпу пятля, ён жа loopback, пад нумарам 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Каб праверыць стан створанага інтэрфейсу можна выкарыстоўваць каманду show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Тут бачна, што loopback актыўны, яго стан UP. Калі паглядзець ніжэй, то можна ўбачыць два IPv6-адрасы, хоць была скарыстана толькі адна каманда для ўсталёўкі IPv6-адрасы. Справа ў тым што FE80::2D0:97FF:FE94:5022 - Гэта link-local адрас, які прысвойваецца пры ўключэнні ipv6 на інтэрфейсе камандай ipv6 enable.

А для прагляду IPv4-адрасы выкарыстоўваецца падобная каманда:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Для BR1 адразу ж варта наладзіць інтэрфейс g0/0, тут неабходна проста задаць IPv6-адрас:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Правяраць наладкі можна той жа камандай show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Далей будзе наладжаны маршрутызатар ISP. Тут па заданні будзе наладжаны loopback c нумарам 0, але акрамя гэтага пераважней наладзіць інтэрфейс g0/0, на якім павінен быць адрас 30.30.30.1, па тым чынніку, што ў наступных заданнях нічога не будзе сказанае аб наладзе гэтых інтэрфейсаў. Спачатку наладжваецца loopback з нумарам 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Камандай show ipv6 interface brief можна пераканацца ў правільнасці настойкі інтэрфейсу. Затым наладжваецца інтэрфейс g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Далей будзе наладжаны маршрутызатар RTR1. Тут гэтак жа трэба стварыць loopback пад нумарам 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Таксама на RTR1 неабходна стварыць 2 віртуальных падытэрфейсу для vlan'аў з нумарамі 100 і 300. Зрабіць гэта можна наступным чынам.

Для пачатку варта ўлучыць фізічны інтэрфейс g0/1 камандай no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Затым ствараюцца і наладжваюцца падытэрфейсы з нумарамі 100 і 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Нумар падытэрфейсу можа адрознівацца ад нумара vlan'a, у якім ён будзе працаваць, але для выгоды лепш выкарыстоўваць нумар падытэрфейсу, які супадае з нумарам vlan'a. У выпадку ўсталёўкі тыпу інкапсуляцыі пры наладзе подынтерфейса, варта паказваць нумар, які супадае з нумарам vlan'a. Так пасля каманды encapsulation dot1Q 300 падытэрфейс будзе прапускаць толькі пакеты vlan'a з нумарам 300.

Заключным у гэтым заданні будзе маршрутызатар RTR2. Злучэнне паміж SW1 і RTR2 павінна быць у рэжыме access, інтэрфейс камутатара будзе прапускаць у бок RTR2 толькі пакеты, прызначаныя для vlan'a з нумарам 300, аб гэтым сказанае ў заданні на тапалогіі L2. Такім чынам на маршрутызатары RTR2 будзе наладжвацца толькі фізічны інтэрфейс без стварэння падытэрфейсаў:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Затым наладжваецца інтэрфейс g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

На гэтым настройка інтэрфейсаў маршрутызатараў па бягучым заданні скончана. Настройка астатніх інтэрфейсаў будзе ажыццёўлена ўжо па меры выканання наступных заданняў.

a. Уключыце механізм SLAAC для выдачы IPv6-адрасоў у сетцы MNG на інтэрфейсе маршрутызатара RTR1
Механізм SLAAC уключаны па змаўчанні. Адзінае, што трэба зрабіць - гэта ўключыць IPv6 маршрутызацыю. Зрабіць гэта можна наступнай камандай:

RTR1(config-subif)#ipv6 unicast-routing

Без гэтай каманды абсталяванне выконвае ролю хаста. Іншымі словамі, дзякуючы вышэйзгаданай камандзе, з'яўляецца магчымасць выкарыстоўваць дадатковыя функцыі ipv6, у тым ліку выдаваць ipv6-адрасы, наладжваць маршрутызацыю і іншае.

b. На віртуальных інтэрфейсах у ВЛВС 100 (MNG) на камутатарах SW1, SW2, SW3 уключыце рэжым аўтаканфігурацыі IPv6
З тапалогіі L3 відаць, што камутатары падлучаныя да сеткі VLAN 100. Гэта значыць, што на камутатарах неабходна стварыць віртуальныя інтэрфесы, а ўжо затым прызначыць там атрыманне ipv6-адрасоў па змаўчанні. Першапачатковая настройка была зроблена менавіта для таго, каб камутатары змаглі атрымаць ад RTR1 адрасы па змаўчанні. Выканаць гэта заданне можна наступным пералікам каманд, прыдатных для ўсіх трох камутатараў:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Праверыць можна ўсё той жа камандай show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Акрамя link-local адраса з'явіўся ipv6-адрас, атрыманы ад RTR1. Дадзенае заданне паспяхова выканана, а на астатніх камутатарах неабходна напісаць тыя ж самыя каманды.

с. На ЎСІХ прыладах (акрамя PC1 і WEB) уручную прызначце link-local адрасы
Трыццацізначныя ipv6-адрасы не дастаўляюць задавальненні адміністратарам, таму ёсць магчымасць змяніць уручную link-local, скараціўшы яго даўжыню да мінімальнага значэння. У заданнях нічога не сказана аб тым, якія менавіта выбіраць адрасы, таму тут даецца вольны выбар.

Напрыклад, на камутатары SW1 неабходна задаць link-local адрас fe80::10. Зрабіць гэта можна наступнай камандай з рэжыму канфігуравання абранага інтэрфейсу:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Цяпер адрасаванне выглядаць нашмат прывабней:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Акрамя link-local адраса памяняўся і атрыманы IPv6-адрас, бо адрас выдаецца на аснове link-local адраса.

На камутатары SW1 неабходна было задаць толькі на адным інтэрфейсе link-local адрас. З маршрутызатарам RTR1, трэба вырабіць больш налад – неабходна задаць link-local на двух падытэрфейсах, на loopback'е, а ў наступных наладах яшчэ з'явіцца інтерфейс tunnel 100.

Каб пазбегнуць лішняга напісання каманд, можна задаць адзін і той жа link-local адрас на ўсіх інтэрфейсах адразу. Зрабіць гэта можна з дапамогай ключавога слова range з наступным пералікам усіх інтэрфейсаў:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Пры праверцы інтэрфейсаў можна будзе ўбачыць, што на ўсіх абраных інтэрфейсах былі змененыя link-local адраса:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Усе астатнія прылады наладжваюцца аналагічным спосабам

d. На ЎСІХ камутатарах адключыце ЎСЕ нявыкарыстаныя ў заданні парты і перакладзеце ў VLAN 99
Асноўная ідэя заключаецца ў тым жа спосабе выбару некалькіх інтэрфейсаў для канфігуравання з дапамогай каманды range, а ўжо затым трэба пісаць каманды перакладу ў патрэбны vlan і наступнага выключэння інтэрфейсаў. Напрыклад, у камутатара SW1, паводле тапалогіі L1, будуць выключаныя порты f0/3-4, f0/7-8, f0/11-24 і g0/2. Для гэтага прыкладу настройка будзе наступная:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Правяраючы налады ўжо вядомай камандай, варта звярнуць увагу, што ва ўсіх портаў, якія не выкарыстоўваюцца, павінен быць статус. administratively down, які апавяшчае аб тым, што порт выключаны:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Каб паглядзець, у якім vlan'е знаходзіцца порт можна выкарыстоўваць іншую каманду:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Тут павінны быць усе інтэрфейсы, якія не выкарыстоўваюцца. Варта адзначыць, што перавесці інтэрфейсы ў vlan не атрымаецца, калі такі vlan не створаны. Менавіта для гэтага ў першапачатковай наладзе ствараліся ўсе неабходныя для працы vlan'ы.

e. На камутатары SW1 уключыце блакіроўку на 1 хвіліну ў выпадку двухразовага няправільнага ўводу пароля на працягу 30 секунд
Зрабіць гэта можна наступнай камандай:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Таксама можна праверыць гэтыя налады наступным чынам:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Дзе даходліва растлумачана, што пасля двух няўдалых спроб на працягу 30 ці менш секунд, магчымасць уваходу будзе заблакаваная на 60 секунд.

2. Усе прылады павінны быць даступныя для кіравання па пратаколе SSH версіі 2

Каб прылады былі даступныя па SSH версіі 2, неабходна папярэдне наладзіць абсталяванне, таму ў мэтах інфарматыўнасці спачатку будзе наладжвацца абсталяванне з завадскімі наладамі.

Змяніць версію праколу можна наступным чынам:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Сістэма просіць стварыць RSA ключы для працаздольнасці SSH версіі 2. Прытрымліваючыся радзе разумнай сістэмы, стварыць ключы RSA можна наступнай камандай:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Сістэма не дазваляе выканаць каманду з прычыны таго, што не зменены hostname. Пасля змены hostname трэба напісаць каманду генерацыі ключоў яшчэ раз:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Зараз сістэма не дазваляе стварыць ключы RSA, з прычыны отсутсвія даменнага імя. І ўжо пасля ўстаноўкі даменнага імя з'явіцца магчымасць стварыць ключы RSA. Даўжыня ключоў RSA павінна быць не меней 768 біт для працаздольнасці SSH версіі 2:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

У выніку атрымліваецца, што для працаздольнасці SSHv2 неабходна:

  1. Змяніць hostname;
  2. Змяніць даменнае імя;
  3. Згенераваць ключы RSA.

У мінулым артыкуле была прыведзена налада змены hostname і даменнага імя на ўсіх прыладах, таму, працягваючы наладу бягучых прылад, неабходна толькі згенераваць ключы RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH версіі 2 актыўны, але прылады яшчэ не настроены цалкам. Заключным этапам будзе настройка віртуальных кансоляў:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

У мінулым артыкуле была настроена мадэль ААА, дзе на віртуальных кансолях была зададзена аўтэнтыфікацыя з выкарыстаннем лакальнай базы дадзеных, і карыстач пасля аўтэнтыфікацыі павінен быў трапляць адразу ў прывілеяваны рэжым. Самая простая праверка працаздольнасці SSH – спроба падлучыцца на сваё ж абсталяванне. На RTR1 ёсць loopback c ip-адрасам 1.1.1.1, можна паспрабаваць падключыцца па гэтым адрасе:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Пасля ключа -l уводзіцца лагін існуючага карыстальніка, а затым пароль. Пасля аўтэнтыфікацыі адбываецца пераход адразу ў прывілеяваны рэжым, а гэта значыць, што SSH наладжаны карэктна.

Крыніца: habr.com

Дадаць каментар