ProHoster > Блог > Pagdumala > Pagsulbad sa mga buluhaton sa WorldSkills sa module sa Network sa katakus sa SiSA. Bahin 2 - Basic Setup

Pagsulbad sa mga buluhaton sa WorldSkills sa module sa Network sa katakus sa SiSA. Bahin 2 - Basic Setup

Kami nagpadayon sa pag-analisar sa mga buluhaton sa Network module sa WorldSkills championship sa "Network and System Administration" nga katakus.

Ang artikulo maglakip sa mosunod nga mga buluhaton:

  1. Sa TANANG device, paghimo og mga virtual interface, subinterface, ug loopback interface. I-assign ang mga IP address sumala sa topology.
    • I-enable ang SLAAC nga mekanismo sa pag-isyu sa IPv6 address sa MNG network sa RTR1 router interface;
    • Sa mga virtual nga interface sa VLAN 100 (MNG) sa mga switch SW1, SW2, SW3, mahimo ang IPv6 auto-configuration mode;
    • Sa TANANG mga himan (gawas sa PC1 ug WEB) mano-mano nga paghatag ug link-lokal nga mga adres;
    • Sa ALL switch, disable ALL ports nga wala gigamit sa buluhaton ug ibalhin sa VLAN 99;
    • Sa switch SW1, i-enable ang lock sulod sa 1 ka minuto kung sayop ang pagsulod sa password kaduha sulod sa 30 segundos;
  2. Ang tanan nga mga aparato kinahanglan nga madumala pinaagi sa SSH nga bersyon 2.


Ang network topology sa pisikal nga layer gipresentar sa mosunod nga diagram:

Pagsulbad sa mga buluhaton sa WorldSkills sa module sa Network sa katakus sa SiSA. Bahin 2 - Basic Setup

Ang network topology sa lebel sa data link gipresentar sa mosunod nga diagram:

Pagsulbad sa mga buluhaton sa WorldSkills sa module sa Network sa katakus sa SiSA. Bahin 2 - Basic Setup

Ang network topology sa lebel sa network gipresentar sa mosunod nga diagram:

Pagsulbad sa mga buluhaton sa WorldSkills sa module sa Network sa katakus sa SiSA. Bahin 2 - Basic Setup

presetting

Sa wala pa ipahigayon ang mga buluhaton sa ibabaw, angay nga i-set up ang basic switching sa switch SW1-SW3, tungod kay mas sayon ​​​​ang pagsusi sa ilang mga setting sa umaabot. Ang switching setup ihubit sa detalye sa sunod nga artikulo, apan sa pagkakaron ang mga setting ra ang ipasabot.

Ang una nga lakang mao ang paghimo og mga vlan nga adunay mga numero 99, 100 ug 300 sa tanan nga mga switch:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Ang sunod nga lakang mao ang pagbalhin sa interface g0/1 ngadto sa SW1 ngadto sa vlan number 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Ang mga interface f0/1-2, f0/5-6, nga nag-atubang sa ubang mga switch, kinahanglang ibalhin sa trunk mode:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Sa switch SW2 sa trunk mode adunay mga interface f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Sa switch SW3 sa trunk mode adunay mga interface f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Niini nga yugto, ang mga setting sa switch magtugot sa pagbayloay sa mga tag nga pakete, nga gikinahanglan aron makompleto ang mga buluhaton.

1. Paghimo og mga virtual nga interface, subinterface, ug loopback nga mga interface sa TANANG device. I-assign ang mga IP address sumala sa topology.

Ang router BR1 una nga ma-configure. Sumala sa L3 topology, dinhi kinahanglan nimo nga i-configure ang usa ka loop-type nga interface, nailhan usab nga loopback, numero 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Aron masusi ang kahimtang sa gibuhat nga interface, mahimo nimong gamiton ang mando show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Dinhi imong makita nga ang loopback aktibo, ang kahimtang niini UP. Kung tan-awon nimo sa ubos, imong makita ang duha ka IPv6 nga adres, bisan usa ra ka command ang gigamit aron itakda ang IPv6 address. Ang kamatuoran mao kana FE80::2D0:97FF:FE94:5022 usa ka link-lokal nga adres nga gi-assign kung ang ipv6 gipagana sa usa ka interface nga adunay mando ipv6 enable.

Ug aron makita ang IPv4 nga adres, gamita ang parehas nga mando:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Alang sa BR1, kinahanglan nimo nga i-configure dayon ang interface sa g0/0; dinhi kinahanglan nimo nga itakda ang adres sa IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Mahimo nimong susihon ang mga setting gamit ang parehas nga mando show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Sunod, ang ISP router ma-configure. Dinhi, sumala sa buluhaton, ang loopback nga numero 0 ma-configure, apan gawas niini, mas maayo nga i-configure ang g0/0 interface, nga kinahanglan adunay address 30.30.30.1, tungod kay sa sunod nga mga buluhaton walay isulti mahitungod sa pag-set up niini nga mga interface. Una, ang loopback nga numero 0 gi-configure:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

team show ipv6 interface brief Mahimo nimong pamatud-an nga husto ang mga setting sa interface. Unya ang interface g0/0 gi-configure:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Sunod, ang RTR1 router ma-configure. Dinhi kinahanglan nimo usab nga maghimo usa ka loopback nga numero 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Usab sa RTR1 kinahanglan nimo nga maghimo og 2 virtual subinterfaces alang sa mga vlan nga adunay mga numero nga 100 ug 300. Mahimo kini sama sa mosunod.

Una, kinahanglan nimo nga palihokon ang pisikal nga interface g0/1 nga wala’y pagsira nga mando:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Unya ang mga subinterface nga adunay mga numero 100 ug 300 gihimo ug gi-configure:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Ang numero sa subinterface mahimong lahi sa numero sa vlan diin kini molihok, apan alang sa kasayon ​​​​mas maayo nga gamiton ang numero sa subinterface nga katumbas sa numero sa vlan. Kung imong gitakda ang tipo sa encapsulation kung nagbutang usa ka subinterface, kinahanglan nimo nga itakda ang usa ka numero nga motakdo sa numero sa vlan. Mao nga pagkahuman sa mando encapsulation dot1Q 300 ang subinterface moagi lamang sa mga vlan packet nga adunay numero nga 300.

Ang katapusang lakang niini nga buluhaton mao ang RTR2 router. Ang koneksyon tali sa SW1 ug RTR2 kinahanglang anaa sa access mode, ang switch interface moagi ngadto sa RTR2 nga mga pakete lamang nga gitumong alang sa vlan number 300, kini gipahayag sa buluhaton sa L2 topology. Busa, ang pisikal nga interface ra ang ma-configure sa RTR2 router nga wala maghimo mga subinterface:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Unya ang interface g0/0 gi-configure:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Nakompleto niini ang pag-configure sa mga interface sa router alang sa karon nga buluhaton. Ang nahabilin nga mga interface ma-configure samtang imong makompleto ang mosunod nga mga buluhaton.

a. I-enable ang SLAAC nga mekanismo sa pag-isyu sa IPv6 address sa MNG network sa RTR1 router interface
Ang mekanismo sa SLAAC gipalihok pinaagi sa default. Ang kinahanglan nimong buhaton mao ang pag-enable sa IPv6 routing. Mahimo nimo kini pinaagi sa mosunod nga sugo:

RTR1(config-subif)#ipv6 unicast-routing

Kung wala kini nga mando, ang kagamitan molihok ingon usa ka host. Sa laing pagkasulti, salamat sa sugo sa ibabaw, nahimong posible ang paggamit sa dugang nga mga function sa ipv6, lakip ang pag-isyu sa mga adres sa ipv6, pag-set up sa routing, ug uban pa.

b. Sa mga virtual nga interface sa VLAN 100 (MNG) sa mga switch SW1, SW2, SW3, i-enable ang IPv6 auto-configuration mode
Gikan sa L3 topology klaro nga ang mga switch konektado sa VLAN 100. Kini nagpasabot nga gikinahanglan ang paghimo og mga virtual nga interface sa mga switch, ug dayon i-assign sila nga makadawat sa IPv6 nga mga adres pinaagi sa default. Ang inisyal nga pag-configure gihimo sa tukma aron ang mga switch makadawat og default nga mga adres gikan sa RTR1. Mahimo nimong makompleto kini nga buluhaton gamit ang mosunod nga listahan sa mga sugo, nga angay alang sa tanang tulo ka switch:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Mahimo nimong susihon ang tanan gamit ang parehas nga mando show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Dugang sa link-local nga adres, usa ka ipv6 nga adres nga nadawat gikan sa RTR1 nagpakita. Kini nga buluhaton malampuson nga nahuman, ug ang parehas nga mga mando kinahanglan nga isulat sa nahabilin nga mga switch.

Uban sa. Sa TANANG mga himan (gawas sa PC1 ug WEB) mano-mano nga i-assign ang link-lokal nga mga adres
Ang katloan ka digit nga IPv6 nga mga adres dili makalingaw alang sa mga tigdumala, busa posible nga mano-mano nga usbon ang link-lokal, nga makunhuran ang gitas-on niini ngadto sa minimum nga kantidad. Wala’y gisulti ang mga buluhaton bahin sa kung unsang mga adres ang pilion, busa gihatag ang usa ka libre nga pagpili dinhi.

Pananglitan, sa switch SW1 kinahanglan nimo nga itakda ang link-lokal nga adres fe80::10. Mahimo kini pinaagi sa mosunod nga sugo gikan sa configuration mode sa pinili nga interface:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Karon ang pag-address morag mas madanihon:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Dugang pa sa link-lokal nga adres, ang nadawat nga IPv6 nga adres nausab usab, tungod kay ang adres gi-isyu base sa link-lokal nga adres.

Sa switch SW1 gikinahanglan nga magbutang lamang og usa ka link-lokal nga adres sa usa ka interface. Uban sa RTR1 router, kinahanglan nimo nga maghimo daghang mga setting - kinahanglan nimo nga i-set ang link-local sa duha nga mga subinterface, sa loopback, ug sa sunod nga mga setting makita usab ang tunnel 100 interface.

Aron malikayan ang wala kinahanglana nga pagsulat sa mga sugo, mahimo nimong itakda ang parehas nga link-lokal nga adres sa tanan nga mga interface sa usa ka higayon. Mahimo nimo kini gamit ang usa ka keyword range gisundan sa paglista sa tanan nga mga interface:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Kung susihon ang mga interface, imong makita nga ang link-lokal nga mga adres giusab sa tanan nga pinili nga mga interface:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Ang tanan nga ubang mga aparato gi-configure sa parehas nga paagi

d. Sa ALL switch, disable ALL ports nga wala gigamit sa trabaho ug ibalhin sa VLAN 99
Ang sukaranan nga ideya mao ang parehas nga paagi sa pagpili sa daghang mga interface aron ma-configure gamit ang mando range, ug unya kinahanglan nimong isulat ang mga mando aron ibalhin sa gusto nga vlan ug dayon i-off ang mga interface. Pananglitan, switch SW1, sumala sa L1 topology, adunay mga pantalan f0/3-4, f0/7-8, f0/11-24 ug g0/2 disabled. Alang niini nga pananglitan ang setting mahimong ingon sa mosunod:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Kung gisusi ang mga setting gamit ang nahibal-an na nga mando, angay nga matikdan nga ang tanan nga wala magamit nga mga pantalan kinahanglan adunay usa ka kahimtang administratibo ubos, nga nagpaila nga ang pantalan gibabagan:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Aron makita kung asa nga vlan ang pantalan, mahimo nimong gamiton ang laing command:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Ang tanan nga wala magamit nga mga interface kinahanglan nga ania dinhi. Angay nga hinumdoman nga dili posible nga ibalhin ang mga interface sa vlan kung wala pa nahimo ang ingon nga vlan. Alang niini nga katuyoan nga sa inisyal nga pag-setup ang tanan nga mga vlan nga gikinahanglan alang sa operasyon gihimo.

e. Sa switch SW1, i-enable ang lock sulod sa 1 ka minuto kung sayop ang pagsulod sa password kaduha sulod sa 30 segundos
Mahimo nimo kini pinaagi sa mosunod nga sugo:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Mahimo usab nimong susihon kini nga mga setting sama sa mosunod:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Diin klaro nga gipatin-aw nga human sa duha ka wala molampos nga pagsulay sulod sa 30 segundos o ubos pa, ang abilidad sa pag-log in ma-block sulod sa 60 segundos.

2. Ang tanang mga himan kinahanglang madumala pinaagi sa SSH version 2

Aron ang mga himan ma-access pinaagi sa SSH nga bersyon 2, gikinahanglan nga una nga i-configure ang mga ekipo, busa alang sa mga katuyoan sa impormasyon, una natong i-configure ang mga ekipo nga adunay mga setting sa pabrika.

Mahimo nimong usbon ang bersyon sa puncture ingon sa mosunod:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Ang sistema naghangyo kanimo sa paghimo sa RSA nga mga yawe alang sa SSH nga bersyon 2 aron magtrabaho. Pagsunod sa tambag sa maalamon nga sistema, makahimo ka og RSA nga mga yawe uban sa mosunod nga sugo:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Ang sistema dili motugot sa sugo nga ipatuman tungod kay ang hostname wala mausab. Human mabag-o ang hostname, kinahanglan nimong isulat pag-usab ang yawe nga henerasyon nga mando:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Karon ang sistema wala magtugot kanimo sa paghimo sa mga yawe sa RSA tungod sa kakulang sa usa ka ngalan sa domain. Ug pagkahuman sa pag-install sa ngalan sa domain, mahimo’g makahimo ang mga yawe sa RSA. Ang mga yawe sa RSA kinahanglan labing menos 768 ka bit ang gitas-on aron magamit ang SSH nga bersyon 2:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Ingon usa ka sangputanan, kini nahimo nga aron molihok ang SSHv2 kinahanglan:

  1. Usba ang hostname;
  2. Usba ang ngalan sa domain;
  3. Paghimo RSA yawe.

Gipakita sa miaging artikulo kung giunsa pagbag-o ang hostname ug ngalan sa domain sa tanan nga mga aparato, busa samtang nagpadayon sa pag-configure sa karon nga mga aparato, kinahanglan ra nimo nga makamugna ang mga yawe sa RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Ang SSH nga bersyon 2 aktibo, apan ang mga himan wala pa hingpit nga na-configure. Ang katapusang lakang mao ang pag-set up sa mga virtual console:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Sa miaging artikulo, ang modelo sa AAA gi-configure, diin ang pag-authenticate gibutang sa mga virtual console gamit ang usa ka lokal nga database, ug ang tiggamit, pagkahuman sa pag-authenticate, kinahanglan nga moadto dayon sa privileged mode. Ang pinakasimple nga pagsulay sa pagpaandar sa SSH mao ang pagsulay sa pagkonektar sa imong kaugalingon nga kagamitan. Ang RTR1 adunay loopback nga adunay IP address 1.1.1.1, mahimo nimong sulayan ang pagkonektar niini nga adres:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Human sa yawe -l Pagsulod sa login sa kasamtangan nga user, ug dayon ang password. Human sa authentication, ang user mobalhin dayon sa privileged mode, nga nagpasabot nga ang SSH na-configure sa husto.

Source: www.habr.com

Idugang sa usa ka comment