Continuem analitzant les tasques del mòdul Xarxa del campionat WorldSkills en la competència “Administració de xarxes i sistemes”.

A l'article es tindran en compte les tasques següents:

1. A TOTS els dispositius, creeu interfícies virtuals, subinterfícies i interfícies de loopback. Assigna adreces IP segons la topologia.
   • Habiliteu el mecanisme SLAAC per emetre adreces IPv6 a la xarxa MNG a la interfície de l'encaminador RTR1;
   • A les interfícies virtuals de la VLAN 100 (MNG) als commutadors SW1, SW2, SW3, activeu el mode de configuració automàtica IPv6;
   • A TOTS els dispositius (excepte PC1 i WEB) assigneu manualment adreces d'enllaç local;
   • A TOTS els commutadors, desactiveu TOTS els ports que no s'utilitzen a la tasca i transferiu-los a la VLAN 99;
   • A l'interruptor SW1, activeu un bloqueig durant 1 minut en cas d'introduir la contrasenya incorrectament dues vegades en 30 segons;
2. Tots els dispositius s'han de poder gestionar mitjançant SSH versió 2.

La topologia de la xarxa a la capa física es presenta al diagrama següent:

La topologia de xarxa a nivell d'enllaç de dades es presenta al diagrama següent:

La topologia de xarxa a nivell de xarxa es presenta al diagrama següent:

preconfiguració

Abans de realitzar les tasques anteriors, val la pena configurar l'encesa bàsica als interruptors SW1-SW3, ja que serà més convenient comprovar-ne la configuració en el futur. La configuració de la commutació es descriurà detalladament al següent article, però de moment només es definirà la configuració.

El primer pas és crear vlans amb els números 99, 100 i 300 a tots els interruptors:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

El següent pas és transferir la interfície g0/1 a SW1 al número vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Les interfícies f0/1-2, f0/5-6, que s'enfronten a altres interruptors, s'han de canviar al mode troncal:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

A l'interruptor SW2 en mode troncal hi haurà interfícies f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

A l'interruptor SW3 en mode troncal hi haurà interfícies f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

En aquesta etapa, la configuració del commutador permetrà l'intercanvi de paquets etiquetats, que és necessari per completar les tasques.

1. Creeu interfícies virtuals, subinterfícies i interfícies de loopback a TOTS els dispositius. Assigna adreces IP segons la topologia.

Primer es configurarà l'encaminador BR1. Segons la topologia L3, aquí heu de configurar una interfície de tipus bucle, també coneguda com a loopback, número 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Per comprovar l'estat de la interfície creada, podeu utilitzar l'ordre show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Aquí podeu veure que el loopback està actiu, el seu estat UP. Si mireu a continuació, podeu veure dues adreces IPv6, tot i que només es va utilitzar una ordre per configurar l'adreça IPv6. El fet és que FE80::2D0:97FF:FE94:5022 és una adreça local d'enllaç que s'assigna quan ipv6 està habilitat en una interfície amb l'ordre ipv6 enable.

I per veure l'adreça IPv4, utilitzeu una ordre similar:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Per a BR1, haureu de configurar immediatament la interfície g0/0; aquí només heu de configurar l'adreça IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Podeu comprovar la configuració amb la mateixa comanda show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

A continuació, es configurarà l'encaminador ISP. Aquí, segons la tasca, es configurarà el loopback número 0, però a més d'això, és preferible configurar la interfície g0/0, que hauria de tenir l'adreça 30.30.30.1, per la raó que en tasques posteriors no es dirà res. configurar aquestes interfícies. Primer, es configura el número de bucle 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

equip show ipv6 interface brief Podeu verificar que la configuració de la interfície sigui correcta. Aleshores es configura la interfície g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

A continuació, es configurarà l'encaminador RTR1. Aquí també heu de crear un número de bucle 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

També a RTR1 cal crear 2 subinterfícies virtuals per a vlans amb els números 100 i 300. Això es pot fer de la següent manera.

Primer, heu d'habilitar la interfície física g0/1 amb l'ordre no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

A continuació, es creen i es configuren subinterfícies amb els números 100 i 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

El número de subinterfície pot diferir del número de vlan en què funcionarà, però per comoditat és millor utilitzar el número de subinterfície que coincideixi amb el número de vlan. Si configureu el tipus d'encapsulació quan configureu una subinterfície, haureu d'especificar un número que coincideixi amb el número de vlan. Així que després de l'ordre encapsulation dot1Q 300 la subinterfície només passarà per paquets vlan amb el número 300.

El pas final d'aquesta tasca serà l'encaminador RTR2. La connexió entre SW1 i RTR2 ha d'estar en mode d'accés, la interfície del commutador passarà cap a RTR2 només els paquets destinats al número vlan 300, això s'indica a la tasca sobre la topologia L2. Per tant, només es configurarà la interfície física al router RTR2 sense crear subinterfícies:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Aleshores es configura la interfície g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Això completa la configuració de les interfícies d'encaminador per a la tasca actual. Les interfícies restants es configuraran a mesura que completeu les tasques següents.

a. Habiliteu el mecanisme SLAAC per emetre adreces IPv6 a la xarxa MNG a la interfície de l'encaminador RTR1
El mecanisme SLAAC està habilitat per defecte. L'únic que heu de fer és habilitar l'encaminament IPv6. Podeu fer-ho amb l'ordre següent:

RTR1(config-subif)#ipv6 unicast-routing

Sense aquesta comanda, l'equip actua com a host. En altres paraules, gràcies a l'ordre anterior, és possible utilitzar funcions addicionals d'ipv6, com ara l'emissió d'adreces ipv6, la configuració de l'encaminament, etc.

b. A les interfícies virtuals de la VLAN 100 (MNG) als commutadors SW1, SW2, SW3, activeu el mode de configuració automàtica IPv6
Des de la topologia L3 és evident que els commutadors estan connectats a la VLAN 100. Això vol dir que cal crear interfícies virtuals als commutadors, i només després assignar-los per rebre adreces IPv6 per defecte. La configuració inicial es va fer precisament perquè els commutadors poguessin rebre adreces predeterminades de RTR1. Podeu completar aquesta tasca utilitzant la llista d'ordres següent, adequada per als tres interruptors:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Podeu comprovar-ho tot amb la mateixa comanda show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

A més de l'adreça local d'enllaç, va aparèixer una adreça ipv6 rebuda de RTR1. Aquesta tasca s'ha completat correctament i s'han d'escriure les mateixes ordres als interruptors restants.

Amb. A TOTS els dispositius (excepte PC1 i WEB) assigneu manualment adreces locals d'enllaç
Les adreces IPv6 de trenta dígits no són divertides per als administradors, de manera que és possible canviar manualment l'enllaç local, reduint la seva longitud a un valor mínim. Les tasques no diuen res sobre quines adreces triar, de manera que aquí es proporciona una elecció lliure.

Per exemple, a l'interruptor SW1, heu d'establir l'adreça local d'enllaç fe80::10. Això es pot fer amb la següent comanda des del mode de configuració de la interfície seleccionada:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Ara l'adreçament sembla molt més atractiu:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

A més de l'adreça local d'enllaç, també ha canviat l'adreça IPv6 rebuda, ja que l'adreça s'emet en funció de l'adreça local d'enllaç.

A l'interruptor SW1 calia establir només una adreça local d'enllaç en una interfície. Amb l'encaminador RTR1, heu de fer més paràmetres: heu de configurar l'enllaç local a dues subinterfícies, al loopback i, a les configuracions posteriors, també apareixerà la interfície del túnel 100.

Per evitar l'escriptura innecessària d'ordres, podeu establir la mateixa adreça local d'enllaç a totes les interfícies alhora. Podeu fer-ho amb una paraula clau range seguit d'una llista de totes les interfícies:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Quan comproveu les interfícies, veureu que les adreces locals d'enllaç s'han canviat a totes les interfícies seleccionades:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Tots els altres dispositius estan configurats de la mateixa manera

d. A TOTS els commutadors, desactiveu TOTS els ports que no s'utilitzen al treball i transferiu-los a la VLAN 99
La idea bàsica és la mateixa manera de seleccionar múltiples interfícies per configurar amb l'ordre range, i només llavors hauríeu d'escriure ordres per transferir-les a la vlan desitjada i després desactivar les interfícies. Per exemple, el commutador SW1, segons la topologia L1, tindrà els ports f0/3-4, f0/7-8, f0/11-24 i g0/2 desactivats. Per a aquest exemple, la configuració seria la següent:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Quan comproveu la configuració amb una ordre ja coneguda, val la pena assenyalar que tots els ports no utilitzats han de tenir un estat administrativament baixa, indicant que el port està desactivat:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Per veure a quina vlan es troba el port, podeu utilitzar una altra ordre:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

Totes les interfícies no utilitzades haurien d'estar aquí. Val la pena assenyalar que no serà possible transferir interfícies a vlan si no s'ha creat aquest vlan. És amb aquest propòsit que en la configuració inicial es van crear totes les vlan necessàries per al funcionament.

e. A l'interruptor SW1, activeu un bloqueig durant 1 minut si la contrasenya s'introdueix incorrectament dues vegades en 30 segons
Podeu fer-ho amb l'ordre següent:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

També podeu comprovar aquests paràmetres de la següent manera:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Quan s'explica clarament que després de dos intents infructuosos en 30 segons o menys, la possibilitat d'iniciar sessió es bloquejarà durant 60 segons.

2. Tots els dispositius s'han de poder gestionar mitjançant SSH versió 2

Perquè els dispositius siguin accessibles mitjançant SSH versió 2, primer cal configurar l'equip, per tant, a efectes informatius, primer configurarem l'equip amb la configuració de fàbrica.

Podeu canviar la versió de punxada de la següent manera:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

El sistema us demana que creeu claus RSA perquè funcioni SSH versió 2. Seguint els consells del sistema intel·ligent, podeu crear claus RSA amb l'ordre següent:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

El sistema no permet executar l'ordre perquè no s'ha canviat el nom d'amfitrió. Després de canviar el nom d'amfitrió, cal que torneu a escriure l'ordre de generació de claus:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Ara el sistema no permet crear claus RSA a causa de la manca d'un nom de domini. I després d'instal·lar el nom de domini, serà possible crear claus RSA. Les claus RSA han de tenir almenys 768 bits perquè funcioni la versió 2 de SSH:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Com a resultat, resulta que perquè SSHv2 funcioni és necessari:

1. Canvia el nom d'amfitrió;
2. Canviar el nom del domini;
3. Generar claus RSA.

L'article anterior mostrava com canviar el nom d'amfitrió i el nom de domini a tots els dispositius, de manera que mentre continueu configurant els dispositius actuals, només heu de generar claus RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

La versió 2 de SSH està activa, però els dispositius encara no estan completament configurats. El pas final serà configurar les consoles virtuals:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

A l'article anterior es configurava el model AAA, on l'autenticació es configurava a les consoles virtuals mitjançant una base de dades local i l'usuari, després de l'autenticació, havia d'entrar immediatament en mode privilegiat. La prova més senzilla de la funcionalitat SSH és intentar connectar-se al vostre propi equip. RTR1 té un loopback amb l'adreça IP 1.1.1.1, podeu provar de connectar-vos a aquesta adreça:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Després de la clau -l Introduïu l'inici de sessió de l'usuari existent i, a continuació, la contrasenya. Després de l'autenticació, l'usuari passa immediatament al mode privilegiat, el que significa que SSH està configurat correctament.

Font: www.habr.com