Nastavljamo sa analizom zadataka Mrežnog modula Svjetskog prvenstva u vještinama u kompetenciji Network and System Administration.
U članku će se razmatrati sljedeći zadaci:
- Na SVIM uređajima kreirajte virtuelna sučelja, podsučelja i sučelja povratne petlje. Dodijelite IP adrese prema topologiji.
- Omogućite SLAAC mehanizam za izdavanje IPv6 adresa u MNG mreži na interfejsu rutera RTR1;
- Na virtuelnim interfejsima u VLAN 100 (MNG) na prekidačima SW1, SW2, SW3, omogućiti IPv6 režim auto-konfiguracije;
- Na SVIM uređajima (osim PC1 i WEB) ručno dodijelite lokalne adrese veza;
- Na ALL prekidačima, onemogućite SVE portove koji se ne koriste u zadatku i prebacite na VLAN 99;
- Na prekidaču SW1, omogućite zaključavanje na 1 minut ako se lozinka unese pogrešno dva puta u roku od 30 sekundi;
- Svi uređaji moraju biti dostupni za upravljanje putem SSH protokola verzije 2.
Topologija mreže na fizičkom sloju predstavljena je na sljedećem dijagramu:
Topologija mreže na sloju veze podataka prikazana je na sljedećem dijagramu:
Topologija mreže na mrežnom sloju prikazana je na sljedećem dijagramu:
unapred podešavanje
Prije obavljanja gore navedenih zadataka, vrijedno je postaviti osnovno uključivanje prekidača SW1-SW3, jer će u budućnosti biti praktičnije provjeriti njihova podešavanja. Podešavanje prebacivanja će biti detaljno opisano u sljedećem članku, ali za sada će biti definirane samo postavke.
Prije svega, trebate kreirati vlans sa brojevima 99, 100 i 300 na svim prekidačima:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Sljedeći korak je prijenos g0 / 1 sučelja na SW1 na vlan broj 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Interfejsi f0 / 1-2, f0 / 5-6, koji gledaju na druge prekidače, trebali bi se prebaciti u trunk mod:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Na prekidaču SW2 u trunk modu bit će sučelja f0 / 1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Na prekidaču SW3 u trunk modu bit će sučelja f0 / 3-6, g0 / 1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
U ovoj fazi, prekidači će biti konfigurisani da omoguće razmjenu označenih paketa, koji će biti potrebni za završetak zadataka.
1. Kreirajte virtuelna sučelja, podsučelja i sučelja povratne petlje na SVIM uređajima. Dodijelite IP adrese prema topologiji.
Ruter BR1 će biti prvi konfigurisan. Prema topologiji L3, ovdje je potrebno konfigurirati loopback interfejs, aka loopback, označen brojem 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Da biste provjerili status kreiranog interfejsa, možete koristiti naredbu show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Ovdje možete vidjeti da je loopback aktivan, njegovo stanje UP. Ako pogledate ispod, možete vidjeti dvije IPv6 adrese, iako je samo jedna komanda korištena za postavljanje IPv6 adrese. Činjenica je da FE80::2D0:97FF:FE94:5022 je lokalna adresa veze koja se dodeljuje kada je ipv6 omogućen na interfejsu sa komandom ipv6 enable.
A za pregled IPv4 adrese koristi se slična komanda:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Za BR1, trebali biste odmah konfigurirati g0 / 0 sučelje, ovdje samo trebate postaviti IPv6 adresu:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Postavke možete provjeriti istom komandom show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Zatim će se ISP ruter konfigurirati. Ovdje će, u skladu sa zadatkom, biti konfiguriran loopback broj 0, ali pored toga, poželjno je konfigurirati sučelje g0 / 0, koje bi trebalo imati adresu 30.30.30.1, iz razloga što se ništa neće reći o konfiguraciji ovih sučelja u narednim zadacima. Prvo, konfigurira se povratna petlja s brojem 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tim show ipv6 interface brief možete provjeriti da li je interfejs ispravno konfigurisan. Zatim se konfiguriše interfejs g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Zatim će se konfigurirati RTR1 ruter. Ovdje također trebate kreirati loopback broj 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Takođe, na RTR1 morate kreirati 2 virtuelna podinterfejsa za vlans sa brojevima 100 i 300. To možete učiniti na sledeći način.
Prvo, omogućite g0/1 fizički interfejs sa naredbom no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Zatim se kreiraju i konfigurišu podinterfejsi sa brojevima 100 i 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Broj podsučelja može se razlikovati od broja vlan-a u kojem će raditi, ali radi praktičnosti bolje je koristiti broj podsučelja koji odgovara broju vlan-a. Ako postavite tip enkapsulacije prilikom postavljanja podsučelja, trebali biste navesti broj koji odgovara vlan broju. Dakle, nakon komande encapsulation dot1Q 300 podinterfejs će propuštati samo vlan pakete sa brojem 300.
Poslednji korak u ovom zadatku će biti RTR2 ruter. Veza između SW1 i RTR2 mora biti u pristupnom režimu, sučelje prekidača će ka RTR2 proći samo paketi namenjeni za vlan broj 300, navedeno je u zadatku o L2 topologiji. Stoga će samo fizičko sučelje biti konfigurirano na RTR2 ruteru bez kreiranja podsučelja:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Zatim se konfiguriše interfejs g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ovim se završava konfiguracija sučelja rutera za trenutni zadatak. Preostala sučelja će biti konfigurirana dok budete izvršavali sljedeće zadatke.
a. Omogućite SLAAC mehanizam za izdavanje IPv6 adresa u MNG mreži na RTR1 sučelju rutera
SLAAC mehanizam je podrazumevano omogućen. Jedino što treba učiniti je omogućiti IPv6 rutiranje. To možete učiniti sa sljedećom komandom:
RTR1(config-subif)#ipv6 unicast-routing
Bez ove komande, oprema se ponaša kao domaćin. Drugim riječima, zahvaljujući gornjoj naredbi, postaje moguće koristiti dodatne ipv6 funkcije, uključujući izdavanje ipv6 adresa, konfiguriranje rutiranja i tako dalje.
b. Na virtuelnim interfejsima u VLAN 100 (MNG) na prekidačima SW1, SW2, SW3, omogućite IPv6 auto-konfiguracioni režim
Iz L3 topologije jasno je da su svičevi povezani na VLAN 100. To znači da je potrebno kreirati virtuelna sučelja na switchevima, pa im tek onda dodijeliti primanje IPv6 adresa po defaultu. Inicijalna konfiguracija je urađena precizno kako bi svičevi mogli primati zadane adrese od RTR1. Ovaj zadatak možete izvršiti pomoću sljedeće liste naredbi, pogodnih za sva tri prekidača:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Možete ga provjeriti istom komandom show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Pored adrese lokalne veze, pojavila se i ipv6 adresa primljena od RTR1. Ovaj zadatak je uspješno obavljen, a iste komande moraju biti zapisane na preostalim prekidačima.
With. Na SVIM uređajima (osim PC1 i WEB) ručno dodijelite lokalne adrese veza
Tridesetocifreni ipv6 adresa nije zadovoljstvo za administratore, pa je moguće ručno promijeniti link-local, smanjujući njegovu dužinu na minimalnu vrijednost. Zadaci ne govore ništa o tome koje adrese odabrati, tako da ovdje postoji slobodan izbor.
Na primjer, na prekidaču SW1, potrebno je podesiti lokalnu adresu veze fe80::10. To se može učiniti sljedećom naredbom iz konfiguracijskog moda odabranog interfejsa:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Sada obraćanje izgleda mnogo privlačnije:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Osim link-local adrese, promijenjena je i primljena IPv6 adresa, budući da se adresa izdaje na osnovu link-local adrese.
Na SW1 prekidaču je bilo potrebno podesiti adresu samo na jednom link-local interfejsu. Kod RTR1 rutera potrebno je napraviti više postavki - potrebno je postaviti link-local na dva podsučelja, na loopback, a u narednim postavkama će se pojaviti i sučelje tunela 100.
Da biste izbjegli nepotrebno pisanje naredbi, možete postaviti istu lokalnu adresu veze na svim interfejsima odjednom. To možete učiniti pomoću ključne riječi range nakon čega slijedi lista svih interfejsa:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Prilikom provjere interfejsa, vidjet ćete da su promijenjene lokalne adrese veza na svim odabranim interfejsima:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Svi ostali uređaji su konfigurisani na isti način.
d. Na SVI prekidačima, onemogućite SVE portove koji se ne koriste u zadatku i prebacite na VLAN 99
Glavna ideja je isti način odabira više sučelja za konfiguraciju pomoću naredbe range, a zatim bi trebali napisati komande za prijenos na željeni vlan i zatim gašenje sučelja. Na primjer, na prekidaču SW1, prema topologiji L1, portovi f0 / 3-4, f0 / 7-8, f0 / 11-24 i g0 / 2 će biti onemogućeni. Za ovaj primjer, postavka bi bila:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Prilikom provjere postavki već poznatom komandom treba obratiti pažnju da svi neiskorišteni portovi moraju imati status administrativno dolje, što pokazuje da je port neispravan:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Da vidite u kom se vlan-u nalazi port, možete koristiti drugu naredbu:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Svi nekorišteni interfejsi bi trebali biti ovdje. Vrijedi napomenuti da neće biti moguće prenijeti interfejse na vlan ako takav vlan nije kreiran. U tu svrhu su u početnom podešavanju kreirani svi vlan-ovi potrebni za rad.
e. Na prekidaču SW1 omogućite zaključavanje od 1 minute ako se lozinka unese dva puta pogrešno u roku od 30 sekundi
To možete učiniti sa sljedećom komandom:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Ove postavke možete provjeriti i na sljedeći način:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Gdje je lucidno objašnjeno da će nakon dva neuspješna pokušaja u roku od 30 sekundi ili manje, mogućnost ulaska biti blokirana na 60 sekundi.
2. Svi uređaji moraju biti dostupni za upravljanje putem SSH protokola verzije 2
Da bi uređaji bili dostupni preko SSH verzije 2, prvo morate konfigurisati opremu, pa će se informacije radi prvo konfigurisati oprema sa fabričkim postavkama.
Verziju punkcije možete promijeniti na sljedeći način:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistem traži od vas da kreirate RSA ključeve za rad SSH verzije 2. Slijedeći savjete pametnog sistema, možete kreirati RSA ključeve sljedećom naredbom:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistem ne dozvoljava da se naredba izvrši jer ime hosta nije promijenjeno. Nakon promjene imena hosta, morate ponovo napisati naredbu za generiranje ključa:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Sada vam sistem ne dozvoljava da kreirate RSA ključeve, zbog nedostatka imena domena. A nakon postavljanja imena domene, biće moguće kreirati RSA ključeve. RSA ključevi moraju biti dugi najmanje 768 bita da bi SSH verzija 2 radila:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Kao rezultat toga, ispada da je za funkcioniranje SSHv2 potrebno:
- Promjena imena hosta;
- Promjena naziva domene;
- Generirajte RSA ključeve.
Prethodni članak je pokazao kako promijeniti ime hosta i ime domene na svim uređajima, tako da dok nastavljate konfigurirati trenutne uređaje, trebate samo generirati RSA ključeve:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH verzija 2 je aktivna, ali uređaji još nisu u potpunosti konfigurirani. Poslednji korak je postavljanje virtuelnih konzola:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
U prošlom članku postavljen je AAA model, gdje je autentifikacija postavljena na virtuelnim konzolama koristeći lokalnu bazu podataka, a korisnik je nakon autentifikacije morao odmah ući u privilegirani mod. Najlakši način da provjerite radi li SSH je da se pokušate povezati na vlastiti hardver. Postoji povratna petlja na RTR1 sa ip adresom 1.1.1.1, možete pokušati da se povežete na ovu adresu:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Nakon ključa -l upisuje se prijava postojećeg korisnika, a zatim i lozinka. Nakon autentifikacije, odmah prelazite u privilegirani način rada, što znači da je SSH ispravno konfigurisan.
izvor: www.habr.com