Продолжаем разбор заданий модуля Network чемпионата WorldSkills в компетенции «Сетевое и системное администрирование».

В статье будут рассмотрены следующие задания:

1. На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с топологией.
   • Включите механизм SLAAC для выдачи IPv6-адресов в сети MNG на интерфейсе маршрутизатора RTR1;
   • На виртуальных интерфейсах в ВЛВС 100 (MNG) на коммутаторах SW1, SW2, SW3 включите режим автоконфигурации IPv6;
   • На ВСЕХ устройствах (кроме PC1 и WEB) вручную назначьте link-local адреса;
   • На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые в задании порты и переведите в VLAN 99;
   • На коммутаторе SW1 включите блокировку на 1 минуту в случае двукратного неправильного ввода пароля в течение 30 секунд;
2. Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Топология сети на физическом уровне представлена на следующей схеме:

Топология сети на канальном уровне представлена на следующей схеме:

Топология сети на сетевом уровне представлена на следующей схеме:

Предварительная настройка

Перед выполнением вышеуказанных заданий стоит настроить базовую коммутацию на коммутаторах SW1-SW3, так как будет удобнее проверять в дальнейшем их настройки. Настройка коммутации будет подбробно описана в следующей статье, а пока будут определены лишь настройки.

Первым делом необходимо создать vlan’ы с номерами 99, 100 и 300 на всех коммутаторах:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Следующим шагом будет перевод интерфейса g0/1 на SW1 в vlan с номером 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Интерфейсы f0/1-2, f0/5-6, которые смотрят в сторону других коммутаторов, следует перевести в режим trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

На комммутаторе SW2 в режиме trunk будут интерфейсы f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

На комммутаторе SW3 в режиме trunk будут интерфейсы f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

На данном этапе настройки коммутаторов будут позволять обмениваться тегированными пакетами, что потребуется для выполнения заданий.

1. На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с топологией.

Первым будет настраиваться маршрутизатор BR1. Согласно топологии L3 здесь необходимо настроить интерфейс типа петля, он же loopback, под номером 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Чтобы проверить состояние созданного интерфейса можно использовать команду show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Здесь видно, что loopback активен, его состояние UP. Если посмотреть ниже, то можно увидеть два IPv6-адреса, хотя была использована только одна команда для установки IPv6-адреса. Дело в том, что FE80::2D0:97FF:FE94:5022 — это link-local адрес, который присваивается при включении ipv6 на интерфейсе командой ipv6 enable.

А для просмотра IPv4-адреса используется похожая команда:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Для BR1 сразу же стоит настроить интерфейс g0/0, здесь необходимо просто задать IPv6-адрес:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Проверять настройки можно той же командой show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Далее будет настроен маршрутизатор ISP. Здесь по заданию будет настроен loopback c номером 0, но кроме этого предпочтительнее настроить интерфейс g0/0, на котором должен быть адрес 30.30.30.1, по той причине, что в последующих заданиях ничего не будет сказано о настройке этих интерфейсов. Сначала настраивается loopback с номером 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Командой show ipv6 interface brief можно убедиться в правильности настойки интерфейса. Затем настраивается интерфейс g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Далее будет настроен маршрутизатор RTR1. Здесь так же нужно создать loopback под номером 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Также на RTR1 необходимо создать 2 виртуальных подынтерфейса для vlan’ов с номерами 100 и 300. Сделать это можно следующим образом.

Для начала следует включить физический интерфейс g0/1 командой no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

Затем создаются и настраиваются подынтерфейсы с номерами 100 и 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Номер подынтерфейса может отличаться от номера vlan’a, в котором он будет работать, но для удобства лучше использовать номер подынтерфейса, совпадающий с номером vlan’a. В случае установки типа инкапсуляции при настройке подынтерфейса, следует указывать номер, совпадающий с номером vlan’a. Так после команды encapsulation dot1Q 300 подынтерфейс будет пропускать только пакеты vlan’a с номером 300.

Заключительным в этом задании будет маршрутизатор RTR2. Соединение между SW1 и RTR2 должно быть в режиме access, интерфейс коммутатора будет пропускать в сторону RTR2 только пакеты, предназначенные для vlan’a с номером 300, об этом сказано в задании на топологии L2. Следовательно на маршрутизаторе RTR2 будет настраиваться только физический интерфейс без создания подынтерфейсов:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Затем настраивается интерфейс g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

На этом настройка интерфейсов маршрутизаторов по текущему заданию закончена. Настройка остальных интерфейсов будет осуществлена уже по мере выполнения следующих заданий.

a. Включите механизм SLAAC для выдачи IPv6-адресов в сети MNG на интерфейсе маршрутизатора RTR1
Механизм SLAAC включен по умолчанию. Единственное, что нужно сделать — это включить IPv6 маршрутизацию. Сделать это можно следующей командой:

RTR1(config-subif)#ipv6 unicast-routing

Без этой команды оборудование выполняет роль хоста. Другими словами, благодаря вышеупомянутой команде, появляется возможность использовать дополнительные функции ipv6, в том числе выдавать ipv6-адреса, настраивать маршрутизацию и прочее.

b. На виртуальных интерфейсах в ВЛВС 100 (MNG) на коммутаторах SW1, SW2, SW3 включите режим автоконфигурации IPv6
Из топологии L3 видно, что коммутаторы подключены к сети VLAN 100. Это значит, что на коммутаторах необходимо создать виртуальные интерфесы, а уже затем назначить там получение ipv6-адресов по умолчанию. Первоначальная настройка была сделана именно для того, чтобы коммутаторы смогли получить от RTR1 адреса по умолчанию. Выполнить это задание можно следующим перечнем команд, подходящих для всех трех коммутаторов:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Проверить можно все той же командой show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Кроме link-local адреса появился ipv6-адрес, полученный от RTR1. Данное задание успешно выполнено, а на остальных коммутаторах необходимо написать те же самые команды.

с. На ВСЕХ устройствах (кроме PC1 и WEB) вручную назначьте link-local адреса
Тридцатизначные ipv6-адреса не доставляют удовольствия администраторам, поэтому есть возможность изменить вручную link-local, сократив его длину до минимального значения. В заданиях ничего не сказано о том, какие именно выбирать адреса, поэтому здесь предоставляется свободный выбор.

Например, на коммутаторе SW1 необходимо задать link-local адрес fe80::10. Сделать это можно следующей командой из режима конфигурирования выбранного интерфейса:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Теперь адресация выглядить намного привлекательнее:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Кроме link-local адреса поменялся и полученный IPv6-адрес, так как адрес выдается на основе link-local адреса.

На коммутаторе SW1 необходимо было задать только на одном интерфейсе link-local адрес. С маршрутизатором RTR1, нужно произвести больше настроек — необходимо задать link-local на двух подынтерфейсах, на loopback’е, а в последующих настройках ещё появится интефейс tunnel 100.

Чтобы избежать лишнего написания команд, можно задать один и тот же link-local адрес на всех интерфейсах сразу. Сделать это можно с помощью ключевого слова range с последующим перечислением всех интерфейсов:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

При проверке интерфейсов можно будет увидеть, что на всех выбранных интерфейсах были изменены link-local адреса:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Все остальные устройства настраиваются аналогичным способом

d. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые в задании порты и переведите в VLAN 99
Основная идея заключается в том же способе выбора нескольких интерфейсов для конфигурирования с помощью команды range, а уже затем следует писать команды перевода в нужный vlan и последующего выключения интерфейсов. Например, у коммутатора SW1, согласно топологии L1, будут выключены порты f0/3-4, f0/7-8, f0/11-24 и g0/2. Для этого примера настройка будет следующая:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Проверяя настройки уже известной командой, стоит обратить внимание, что у всех неиспользуемых портов должен быть статус administratively down, оповещающий о том, что порт выключен:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Чтобы посмотреть, в каком vlan’е находится порт можно использовать другую команду:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

Здесь должны быть все неиспользуемые интерфейсы. Стоит отметить, что перевести интерфейсы в vlan не удастся, если такой vlan не создан. Именно для этого в первоначальной настройке создавались все необходимые для работы vlan’ы.

e. На коммутаторе SW1 включите блокировку на 1 минуту в случае двукратного неправильного ввода пароля в течение 30 секунд
Сделать это можно следующей командой:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Также можно проверить эти настройки следующим образом:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Где доходчиво объяснено, что после двух неудачных попыток в течение 30 или менее секунд, возможность входа будет заблокирована на 60 секунд.

2. Все устройства должны быть доступны для управления по протоколу SSH версии 2

Чтобы устройства были доступны по SSH версии 2, необходимо предварительно настроить оборудование, поэтому в целях информативности сначала будет настраиваться оборудование с заводскими настройками.

Изменить версию прокола можно следующим образом:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Система просит создать RSA ключи для работоспособности SSH версии 2. Следуя совету умной системы, создать ключи RSA можно следующей командой:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Система не позволяет выполнить команду по причине того, что не изменен hostname. После изменения hostname нужно написать команду генерации ключей ещё раз:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Теперь система не позволяет создать ключи RSA, по причине отсутсвия доменного имени. И уже после установки доменного имени появится возможность создать ключи RSA. Длина ключей RSA должна быть не менее 768 бит для работоспособности SSH версии 2:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

В итоге получается, что для работоспособности SSHv2 необходимо:

1. Изменить hostname;
2. Изменить доменное имя;
3. Сгенерировать ключи RSA.

В прошлой статье была приведена настройка изменения hostname и доменного имени на всех устройстах, поэтому, продолжая настройку текущих устройств, необходимо только сгенерировать ключи RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH версии 2 активен, но устройста ещё не настроены полностью. Заключительным этапом будет настройка виртуальных консолей:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

В прошлой статье была настроена модель ААА, где на виртуальных консолях была задана аутентификация с использованием локальной базы данных, и пользователь после аутентификации должен был попадать сразу в привилегированный режим. Самая простая проверка работоспособности SSH — попытка подключиться на свое же оборудование. На RTR1 есть loopback c ip-адресом 1.1.1.1, можно попробовать подключиться по этому адресу:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

После ключа -l вводится логин существующего пользователя, а затем пароль. После аутентификации происходит переход сразу в привилегированный режим, а это значит, что SSH настроен корректно.

Источник: habr.com