Cuntinuemu à analizà i travaglii di u modulu di Rete di u campionatu WorldSkills in a cumpetenza "Amministrazione di Rete è Sistema".
I seguenti compiti seranu cunsiderati in l'articulu:
- Nant'à TUTTI i dispositi, crea interfacce virtuali, subinterfaces è interfacce loopback. Assignà l'indirizzi IP secondu a topologia.
- Habilita u mecanismu SLAAC per emette indirizzi IPv6 in a reta MNG nantu à l'interfaccia di u router RTR1;
- Nant'à l'interfacce virtuali in VLAN 100 (MNG) nantu à i switch SW1, SW2, SW3, attivate u modu di autoconfigurazione IPv6;
- Nant'à TUTTI i dispositi (eccettu PC1 è WEB) assignanu manualmente l'indirizzi link-local;
- In TUTTI i switches, disattiveghjanu TUTTI i porti chì ùn sò micca usati in u compitu è trasfiriu à VLAN 99;
- In l'interruttore SW1, attivate una serratura per 1 minutu se a password hè inserita incorrectamente duie volte in 30 seconde;
- Tutti i dispositi devenu esse gestibili via SSH versione 2.
A topologia di a rete à u livellu fisicu hè presentata in u schema seguente:
A topologia di a rete à u livellu di u ligame di dati hè presentata in u schema seguente:
A topologia di a rete à u livellu di a rete hè presentata in u schema seguente:
Préréglage
Prima di eseguisce i travaglii di sopra, vale a pena stabilisce a cunversione di basa nantu à i switch SW1-SW3, postu chì serà più convenientu per verificà e so paràmetri in u futuru. A cunfigurazione di u cambiamentu serà descritta in detail in l'articulu prossimu, ma per avà solu i paràmetri seranu definiti.
U primu passu hè di creà vlans cù numeri 99, 100 è 300 in tutti i switches:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
U prossimu passu hè di trasfiriri l'interfaccia g0/1 à SW1 à vlan number 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
L'interfacce f0/1-2, f0/5-6, chì facenu altri switch, deve esse cambiatu à u modu di troncu:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
À l'interruttore SW2 in u modu di troncu, ci saranu interfacce f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Nantu à l'interruttore SW3 in u modu di troncu, ci saranu interfacce f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
In questa fase, i paràmetri di u cambiamentu permetteranu u scambiu di pacchetti tagged, chì hè necessariu per cumpiendu i travaglii.
1. Crea interfacce virtuale, subinterfaces, è interfacce loopback in TUTTI i dispositi. Assignà l'indirizzi IP secondu a topologia.
Router BR1 serà cunfiguratu prima. Sicondu a topologia L3, quì avete bisognu di cunfigurà una interfaccia di loop-type, cunnisciutu ancu loopback, numeru 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Per verificà u statutu di l'interfaccia creata, pudete aduprà u cumandamentu show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Quì pudete vede chì u loopback hè attivu, u so statu UP. Sè vo circate quì sottu, pudete vede dui indirizzi IPv6, ancu s'ellu hè statu usatu solu un cumandamentu per stabilisce l'indirizzu IPv6. U fattu hè chì FE80::2D0:97FF:FE94:5022 hè un indirizzu link-local chì hè assignatu quandu ipv6 hè attivatu nantu à una interfaccia cù u cumandimu ipv6 enable.
È per vede l'indirizzu IPv4, utilizate un cumandamentu simili:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Per BR1, duvete cunfigurà immediatamente l'interfaccia g0/0 quì basta à stabilisce l'indirizzu IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Pudete cuntrollà i paràmetri cù u listessu cumandamentu show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Dopu, u router ISP serà cunfiguratu. Quì, sicondu u compitu, u numeru di loopback 0 serà cunfiguratu, ma in più di questu, hè preferibile cunfigurà l'interfaccia g0/0, chì deve avè l'indirizzu 30.30.30.1, perchè in i travaglii successivi nunda ùn sarà dettu. stallà sti interfacce. Prima, u numeru di loopback 0 hè cunfiguratu:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
squadra show ipv6 interface brief Pudete verificà chì i paràmetri di l'interfaccia sò curretti. Allora l'interfaccia g0/0 hè cunfigurata:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dopu, u router RTR1 serà cunfiguratu. Quì avete ancu bisognu di creà un numeru di loopback 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ancu in RTR1 avete bisognu di creà 2 subinterfaces virtuale per vlans cù numeri 100 è 300. Questu pò esse fattu cusì.
Prima, avete bisognu di attivà l'interfaccia fisica g0/1 cù u cumandamentu senza spegnimentu:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Allora subinterfaces cù numeri 100 è 300 sò creati è cunfigurati:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
U numeru di subinterface pò differisce da u numeru di vlan in u quale hà da travaglià, ma per comodità hè megliu aduprà u numeru di subinterface chì currisponde à u numeru di vlan. Se stabilisce u tipu d'incapsulazione quandu crea una subinterfaccia, duvete specificà un numeru chì currisponde à u numeru vlan. Allora dopu à u cumandamentu encapsulation dot1Q 300 a subinterfaccia passerà solu per i pacchetti vlan cù u numeru 300.
L'ultimu passu in questu compitu serà u router RTR2. A cunnessione trà SW1 è RTR2 deve esse in modu d'accessu, l'interfaccia di u switch passerà versu RTR2 solu i pacchetti destinati à u numeru vlan 300, questu hè dichjaratu in u compitu nantu à a topologia L2. Dunque, solu l'interfaccia fisica serà cunfigurata nantu à u router RTR2 senza creà subinterfaces:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Allora l'interfaccia g0/0 hè cunfigurata:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Questu cumpleta a cunfigurazione di l'interfaccia di u router per u compitu attuale. L'interfacce rimanenti seranu cunfigurate cum'è cumplete e seguenti attività.
a. Habilita u mecanismu SLAAC per emette indirizzi IPv6 in a reta MNG in l'interfaccia di router RTR1
U mecanismu SLAAC hè attivatu per difettu. L'unicu ciò chì duvete fà hè attivà u routing IPv6. Pudete fà questu cù u cumandimu seguente:
RTR1(config-subif)#ipv6 unicast-routing
Senza questu cumandamentu, l'equipaggiu agisce cum'è un host. In altri palori, grazia à u cumandamentu di sopra, diventa pussibule di utilizà funzioni ipv6 supplementari, cumprese l'emissione di indirizzi ipv6, a creazione di routing, etc.
b. In interfacce virtuali in VLAN 100 (MNG) nantu à i switch SW1, SW2, SW3, attivate u modu di cunfigurazione automatica IPv6
Da a topologia L3 hè chjaru chì i switches sò cunnessi à VLAN 100. Questu significa chì hè necessariu di creà interfacce virtuale nantu à i switches, è solu dopu assignà per riceve l'indirizzi IPv6 per automaticamente. A cunfigurazione iniziale hè stata fatta precisamente per chì i switches puderanu riceve indirizzi predeterminati da RTR1. Pudete compie stu compitu usendu a seguente lista di cumandamenti, adattati per tutti i trè switches:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Pudete verificà tuttu cù u listessu cumandamentu show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
In più di l'indirizzu link-local, un indirizzu ipv6 ricevutu da RTR1 apparsu. Stu compitu hè statu cumpletu cù successu, è i stessi cumandamenti deve esse scritti nantu à i switches restante.
Cù. Nant'à TUTTI i dispositi (eccettu PC1 è WEB) assignanu manualmente l'indirizzi link-local
L'indirizzi IPv6 di trenta cifre ùn sò micca divertenti per l'amministratori, cusì hè pussibule di cambià manualmente u link-local, riducendu a so durata à un valore minimu. L'assignazioni ùn dicenu nunda di quale indirizzi à sceglie, cusì una scelta libera hè furnita quì.
Per esempiu, nantu à l'interruttore SW1, avete bisognu di stabilisce l'indirizzu lucale di ligame fe80::10. Questu pò esse fattu cù u cumandimu seguitu da u modu di cunfigurazione di l'interfaccia scelta:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Avà l'indirizzu pare assai più attraente:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
In più di l'indirizzu lucale di ligame, l'indirizzu IPv6 ricivutu hè ancu cambiatu, postu chì l'indirizzu hè emessu basatu annantu à l'indirizzu lucale di ligame.
In u switch SW1 era necessariu di stabilisce solu un indirizzu ligame-locale nantu à una interfaccia. Cù u router RTR1, avete bisognu di fà più paràmetri - avete bisognu di stabilisce link-local in dui subinterfaces, nantu à u loopback, è in i paràmetri successivi l'interfaccia di u tunnel 100 appariscerà ancu.
Per evitari di scrittura innecessaria di cumandamenti, pudete stabilisce u stessu indirizzu link-local in tutte l'interfaccia à una volta. Pudete fà questu utilizendu una keyword range seguita da una lista di tutte l'interfaccia:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Quandu si cuntrolla l'interfaccia, vi vede chì l'indirizzi ligami lucali sò stati cambiati in tutte l'interfacce selezziunate:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Tutti l'altri dispositi sò cunfigurati in modu simili
d. Nantu à TUTTI i switch, disattiveghjanu TUTTI i porti chì ùn sò micca usati in u travagliu è trasfiriu à VLAN 99
L'idea basica hè a stessa manera di selezziunà parechje interfacce per cunfigurà cù u cumandamentu range, è solu allora duvete scrive cumandamenti per trasfiriri à u vlan desideratu è dopu disattivà l'interfaccia. Per esempiu, cambia SW1, secondu a topologia L1, averà i porti f0/3-4, f0/7-8, f0/11-24 è g0/2 disattivati. Per questu esempiu, u paràmetru serà cusì:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Quandu verificate i paràmetri cù un cumandamentu digià cunnisciutu, vale a pena nutà chì tutti i porti inutilizati devenu avè un statutu. amministrativamente giù, chì indica chì u portu hè disattivatu:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Per vede in quale vlan hè u portu, pudete aduprà un altru cumandamentu:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Tutte l'interfacce inutilizate devenu esse quì. Hè da nutà chì ùn serà micca pussibule di trasfirià l'interfaccia à vlan se un tali vlan ùn hè micca statu creatu. Hè per questu scopu chì in a cunfigurazione iniziale tutti i vlan necessarii per l'operazione sò stati creati.
e. In l'interruttore SW1, attivate un serratura per 1 minutu se a password hè inserita incorrectamente duie volte in 30 seconde.
Pudete fà questu cù u cumandimu seguente:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Pudete ancu verificà sti paràmetri cum'è seguita:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Induve hè chjaramente spiegatu chì dopu à dui tentativi senza successu in 30 seconde o menu, a capacità di login serà bluccata per 60 seconde.
2. Tutti i dispusitivi deve esse manageable via SSH versione 2
Per esse accessibile per i dispositi via SSH a versione 2, hè necessariu di cunfigurà prima l'equipaggiu, cusì per scopi informativi, avemu prima cunfigurà l'equipaggiu cù paràmetri di fabbrica.
Pudete cambià a versione di puntura cusì:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
U sistema vi dumanda di creà chjavi RSA per a versione SSH 2 per travaglià In seguitu à i cunsiglii di u sistema intelligente, pudete creà chjavi RSA cù u cumandimu seguente.
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
U sistema ùn permette micca u cumandamentu per esse eseguitu perchè u nome di l'ospitu ùn hè micca cambiatu. Dopu avè cambiatu u nome d'ospitu, avete bisognu di scrive u cumandamentu di generazione di chjave di novu:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Avà u sistema ùn permette micca di creà chjavi RSA per a mancanza di un nome di duminiu. È dopu a stallazione di u nome di duminiu, serà pussibule di creà chjavi RSA. I chjavi RSA devenu esse almenu 768 bit per chì a versione SSH 2 funziona:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
In u risultatu, risulta chì per u travagliu SSHv2 hè necessariu:
- Cambia u nome d'ospitu;
- Cambia u nome di duminiu;
- Generate chjave RSA.
L'articulu precedente hà dimustratu cumu cambià u nome di l'ospitu è u nome di duminiu in tutti i dispositi, per quessa, mentre cuntinuendu à cunfigurà i dispositi attuali, avete solu bisognu di generà chjave RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
A versione SSH 2 hè attiva, ma i dispositi ùn sò micca cunfigurati cumplettamente. L'ultimu passu serà a creazione di cunsole virtuali:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
In l'articulu precedente, u mudellu AAA hè stata cunfigurata, induve l'autentificazione hè stata stabilita in cunsola virtuale utilizendu una basa di dati lucale, è l'utilizatore, dopu l'autentificazione, hà da passà subitu in modu privilegiatu. A prova più simplice di funziunalità SSH hè di pruvà à cunnette cù u vostru propiu equipamentu. RTR1 hà un loopback cù l'indirizzu IP 1.1.1.1, pudete pruvà à cunnette à questu indirizzu:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Dopu à a chjave -l Inserite u login di l'utilizatore esistente, è dopu a password. Dopu l'autentificazione, l'utilizatore cambia immediatamente à u modu privilegiatu, chì significa chì SSH hè cunfiguratu currettamente.
Source: www.habr.com