Продължаваме да анализираме задачите от мрежовия модул на WorldSkills Championship в компетентността Мрежова и системна администрация.
В статията ще бъдат разгледани следните задачи:
- На ВСИЧКИ устройства създайте виртуални интерфейси, подинтерфейси и интерфейси за обратна връзка. Задайте IP адреси според топологията.
- Активирайте механизма SLAAC за издаване на IPv6 адреси в мрежата MNG на интерфейса на рутера RTR1;
- На виртуални интерфейси във VLAN 100 (MNG) на превключватели SW1, SW2, SW3, активирайте режима за автоматично конфигуриране на IPv6;
- На ВСИЧКИ устройства (с изключение на PC1 и WEB) ръчно задайте локални адреси за връзка;
- На ВСИЧКИ комутатори, деактивирайте ВСИЧКИ портове, които не се използват в заданието, и прехвърлете към VLAN 99;
- На превключвател SW1 активирайте блокирането за 1 минута, ако паролата е въведена неправилно два пъти в рамките на 30 секунди;
- Всички устройства трябва да са достъпни за управление чрез SSH протокол версия 2.
Мрежовата топология на физическия слой е представена на следната диаграма:
Мрежовата топология на слоя за връзка за данни е показана на следната диаграма:
Мрежовата топология на мрежовия слой е показана на следната диаграма:
предварителна настройка
Преди да изпълните горните задачи, струва си да настроите основно превключване на превключватели SW1-SW3, тъй като ще бъде по-удобно да проверите техните настройки в бъдеще. Настройката за превключване ще бъде описана подробно в следващата статия, но засега ще бъдат дефинирани само настройките.
Първо, трябва да създадете vlan с номера 99, 100 и 300 на всички комутатори:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Следващата стъпка е да прехвърлите интерфейса g0 / 1 на SW1 към vlan номер 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Интерфейсите f0 / 1-2, f0 / 5-6, които гледат към други превключватели, трябва да бъдат превключени в режим на магистрала:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
На превключвателя SW2 в режим на багажника ще има интерфейси f0 / 1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
На превключвателя SW3 в trunk режим ще има интерфейси f0 / 3-6, g0 / 1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
На този етап комутаторите ще бъдат конфигурирани да позволяват обмен на маркирани пакети, които ще са необходими за изпълнение на задачите.
1. На ВСИЧКИ устройства създайте виртуални интерфейси, подинтерфейси и интерфейси за обратна връзка. Задайте IP адреси според топологията.
Първо ще бъде конфигуриран рутер BR1. Според топологията L3, тук е необходимо да конфигурирате обратен интерфейс, известен още като обратна връзка, номериран 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
За да проверите състоянието на създадения интерфейс, можете да използвате командата show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Тук можете да видите, че loopback е активен, неговото състояние UP. Ако погледнете по-долу, можете да видите два IPv6 адреса, въпреки че е използвана само една команда за задаване на IPv6 адреса. Факт е, че FE80::2D0:97FF:FE94:5022 е локалният адрес на връзката, който се присвоява, когато ipv6 е активиран на интерфейса с командата ipv6 enable.
И за да видите IPv4 адреса, се използва подобна команда:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
За BR1 трябва незабавно да конфигурирате интерфейса g0 / 0, тук просто трябва да зададете IPv6 адреса:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Можете да проверите настройките със същата команда show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
След това ISP рутерът ще бъде конфигуриран. Тук, според задачата, ще бъде конфигуриран loopback номер 0, но в допълнение е за предпочитане да конфигурирате интерфейса g0 / 0, който трябва да има адрес 30.30.30.1, поради причината, че нищо няма да се каже за конфигурирането на тези интерфейси в следващите задачи. Първо се конфигурира loopback с номер 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
Екип show ipv6 interface brief можете да проверите дали интерфейсът е конфигуриран правилно. След това се конфигурира интерфейс g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
След това рутерът RTR1 ще бъде конфигуриран. Тук също трябва да създадете loopback на номер 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Също така на RTR1 трябва да създадете 2 виртуални подинтерфейса за vlan с номера 100 и 300. Това може да стане по следния начин.
Първо, активирайте физическия интерфейс g0/1 с командата no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
След това се създават и конфигурират подинтерфейси с номера 100 и 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Номерът на подинтерфейса може да се различава от номера на vlan, в който ще работи, но за удобство е по-добре да използвате номера на подинтерфейс, който съответства на номера на vlan. Ако зададете типа на капсулиране, когато конфигурирате подинтерфейса, трябва да посочите номер, който съответства на vlan номера. Така че след командата encapsulation dot1Q 300 подинтерфейсът ще пропуска само vlan пакети с номер 300.
Последната задача в тази задача ще бъде рутерът RTR2. Връзката между SW1 и RTR2 трябва да е в режим на достъп, интерфейсът на комутатора ще пропуска само пакети, предназначени за vlan с номер 2 към RTR300, това е посочено в задачата на топологията L2. Следователно само физическият интерфейс ще бъде конфигуриран на рутера RTR2 без създаване на подинтерфейси:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
След това се конфигурира интерфейс g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Това завършва конфигурацията на интерфейсите на рутера за текущата задача. Останалите интерфейси ще бъдат конфигурирани след изпълнението на следните задачи.
а. Активирайте механизма SLAAC за издаване на IPv6 адреси в MNG мрежата на интерфейса на рутера RTR1
Механизмът SLAAC е активиран по подразбиране. Единственото нещо, което трябва да направите, е да активирате IPv6 маршрутизиране. Можете да направите това със следната команда:
RTR1(config-subif)#ipv6 unicast-routing
Без тази команда оборудването действа като хост. С други думи, благодарение на горната команда става възможно използването на допълнителни ipv6 функции, включително издаване на ipv6 адреси, конфигуриране на маршрутизиране и т.н.
b. На виртуални интерфейси във VLAN 100 (MNG) на превключватели SW1, SW2, SW3, активирайте режима за автоматично конфигуриране на IPv6
От топологията L3 може да се види, че комутаторите са свързани към VLAN 100. Това означава, че трябва да създадете виртуални интерфейси на комутаторите и едва след това да зададете ipv6 адреси по подразбиране там. Първоначалната конфигурация беше направена точно така, че комутаторите да могат да получават адреси по подразбиране от RTR1. Можете да изпълните тази задача със следния списък с команди, които са подходящи и за трите превключвателя:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Можете да го проверите със същата команда show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
В допълнение към локалния адрес на връзката се появи ipv6 адрес, получен от RTR1. Тази задача е изпълнена успешно и същите команди трябва да бъдат написани на останалите превключватели.
с. На ВСИЧКИ устройства (с изключение на PC1 и WEB) ръчно задайте локални адреси за връзка
Тридесетцифрените ipv6 адреси не са удоволствие за администраторите, така че е възможно ръчно да промените локалната връзка, като намалите дължината й до минималната стойност. В задачите не пише нищо за това кои адреси да изберете, така че тук има свободен избор.
Например на превключвател SW1 трябва да зададете локалния адрес на връзката fe80::10. Това може да стане със следната команда от конфигурационния режим на избрания интерфейс:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Сега адресирането изглежда много по-привлекателно:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
В допълнение към локалния адрес на връзката, полученият IPv6 адрес също се е променил, тъй като адресът се издава въз основа на локалния адрес на връзката.
На превключвателя SW1 беше необходимо да се зададе адрес само на един локален интерфейс за връзка. С маршрутизатора RTR1 трябва да направите повече настройки - трябва да зададете връзката локално на два подинтерфейса, на обратната връзка и в следващите настройки ще се появи и интерфейсът tunnel 100.
За да избегнете ненужно писане на команди, можете да зададете един и същ локален адрес на връзката на всички интерфейси наведнъж. Можете да направите това с ключовата дума range последвано от списък на всички интерфейси:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Когато проверявате интерфейсите, ще видите, че локалните адреси на връзката са променени на всички избрани интерфейси:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Всички други устройства са конфигурирани по същия начин.
д. На ВСИЧКИ комутатори деактивирайте ВСИЧКИ портове, които не се използват в заданието, и преминете към VLAN 99
Основната идея е по същия начин да изберете множество интерфейси за конфигуриране с помощта на командата range, след което трябва да напишете команди за прехвърляне към желания vlan и след това да изключите интерфейсите. Например, при превключвател SW1, според топологията L1, портовете f0 / 3-4, f0 / 7-8, f0 / 11-24 и g0 / 2 ще бъдат деактивирани. За този пример настройката ще бъде:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Когато проверявате настройките с вече известна команда, трябва да обърнете внимание, че всички неизползвани портове трябва да имат статус административно надолу, което показва, че портът не работи:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
За да видите в кой vlan е портът, можете да използвате друга команда:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Всички неизползвани интерфейси трябва да са тук. Струва си да се отбележи, че няма да е възможно да се прехвърлят интерфейси към vlan, ако такава vlan не е създадена. За целта при първоначалната настройка са създадени всички необходими за работа vlan.
д. На превключвател SW1 активирайте 1-минутно заключване, ако паролата е въведена неправилно два пъти в рамките на 30 секунди
Можете да направите това със следната команда:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Можете също да проверите тези настройки, както следва:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Където е ясно обяснено, че след два неуспешни опита в рамките на 30 секунди или по-малко, възможността за влизане ще бъде блокирана за 60 секунди.
2. Всички устройства трябва да са достъпни за управление чрез SSH протокол версия 2
За да могат устройствата да бъдат достъпни чрез SSH версия 2, първо трябва да конфигурирате оборудването, така че за информация първо ще бъде конфигурирано оборудването с фабрични настройки.
Можете да промените версията на пробиване, както следва:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Системата изисква създаване на RSA ключове за функционалност на SSH версия 2. Следвайки съветите на интелигентната система, можете да създадете RSA ключове със следната команда:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Системата не позволява командата да бъде изпълнена, защото името на хоста не е променено. След като промените името на хоста, трябва да напишете отново командата за генериране на ключ:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Сега системата не ви позволява да създавате RSA ключове, поради липсата на име на домейн. И след като зададете името на домейна, ще бъде възможно да създадете RSA ключове. RSA ключовете трябва да са дълги поне 768 бита, за да работи SSH версия 2:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
В резултат на това се оказва, че за да работи SSHv2, е необходимо:
- Промяна на името на хоста;
- Промяна на име на домейн;
- Генериране на RSA ключове.
В последната статия беше дадена конфигурацията за промяна на името на хоста и името на домейна на всички устройства, следователно, продължавайки да конфигурирате текущите устройства, трябва само да генерирате RSA ключове:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH версия 2 е активен, но устройствата все още не са напълно конфигурирани. Последната стъпка е да настроите виртуални конзоли:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
В последната статия беше настроен моделът AAA, при който удостоверяването беше зададено на виртуални конзоли с помощта на локална база данни и потребителят след удостоверяване трябваше незабавно да влезе в привилегирован режим. Най-лесният начин да проверите дали SSH работи е да се опитате да се свържете с вашия собствен хардуер. Има loopback на RTR1 с ip-адрес 1.1.1.1, можете да опитате да се свържете с този адрес:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
След ключ -l въвежда се данните за вход на съществуващ потребител и след това паролата. След удостоверяване веднага преминавате към привилегирован режим, което означава, че SSH е конфигуриран правилно.
Източник: www.habr.com