Cílem hnutí WorldSkills je poskytnout účastníkům především praktické dovednosti, které jsou na moderním trhu práce žádané. Kompetence „Správa sítě a systému“ se skládá ze tří modulů: Síť, Windows, Linux. Úkoly se mistrovství od mistrovství mění, podmínky soutěže se mění, ale struktura úkolů z větší části zůstává neměnná.
Network Island bude první díky své jednoduchosti ve srovnání s ostrovy Linux a Windows.
Článek se bude zabývat následujícími úkoly:
- Nastavte názvy VŠECH zařízení podle topologie
- Přiřaďte název domény wsrvuz19.ru VŠEM zařízením
- Vytvořte uživatele wsrvuz19 na VŠECH zařízeních s heslem cisco
- Heslo uživatele musí být uloženo v konfiguraci jako výsledek hashovací funkce.
- Uživatel musí mít maximální úroveň oprávnění.
- Pro VŠECHNA zařízení implementujte model AAA.
- Autentizace na vzdálené konzole musí být provedena pomocí lokální databáze (kromě zařízení RTR1 a RTR2)
- Po úspěšné autentizaci by měl uživatel při přihlášení ze vzdálené konzole okamžitě vstoupit do režimu s maximální úrovní oprávnění.
- Nakonfigurujte potřebu ověřování na místní konzoli.
- Úspěšná autentizace na lokální konzoli by měla uživatele uvést do režimu s minimálními oprávněními.
- Na BR1 by po úspěšné autentizaci na lokální konzoli měl být uživatel v režimu s maximální úrovní oprávnění
- Na VŠECH zařízeních nastavte heslo wsr pro vstup do privilegovaného režimu.
- Heslo by mělo být uloženo v konfiguraci NOT jako výsledek hashovací funkce.
- Nakonfigurujte režim, ve kterém jsou všechna hesla v konfiguraci uložena v zašifrované podobě.
Topologie sítě na fyzické vrstvě je znázorněna na následujícím diagramu:
1. Nastavte názvy VŠECH zařízení podle topologie
Pro nastavení názvu zařízení (hostname) je potřeba zadat příkaz z režimu globální konfigurace hostname SW1, kde místo SW1 Musíte napsat název vybavení uvedeného v úkolech.
Můžete dokonce zkontrolovat nastavení vizuálně - místo předvolby Vypínač byl SW1:
Switch(config)# hostname SW1
SW1(config)#
Hlavním úkolem po provedení jakéhokoli nastavení je uložit konfiguraci.
To lze provést z režimu globální konfigurace pomocí příkazu do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Nebo z privilegovaného režimu pomocí příkazu write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Přiřaďte název domény wsrvuz19.ru VŠEM zařízením
Výchozí název domény wsrvuz19.ru můžete nastavit z režimu globální konfigurace pomocí příkazu ip domain-name wsrvuz19.ru.
Kontrola se provádí příkazem do show hosts Summary z režimu globální konfigurace:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Vytvořte uživatele wsrvuz19 na VŠECH zařízeních s heslem cisco
Je nutné vytvořit uživatele tak, aby měl maximální úroveň oprávnění, a heslo je uloženo jako hashovací funkce. Všechny tyto podmínky tým bere v úvahu username wsrvuz19 privilege 15 secret cisco.
Zde:
username wsrvuz19 - uživatelské jméno;
privilege 15 — úroveň oprávnění (0 — minimální úroveň, 15 — maximální úroveň);
secret cisco — uložení hesla jako hashovací funkce MD5.
zobrazit příkaz running-config umožňuje zkontrolovat nastavení aktuální konfigurace, kde najdete řádek s přidaným uživatelem a ujistíte se, že heslo je uloženo v zašifrované podobě:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Implementujte model AAA pro VŠECHNA zařízení
Model AAA je systém autentizace, autorizace a záznamu událostí. Chcete-li dokončit tento úkol, prvním krokem je povolit model AAA a určit, že autentizace bude prováděna pomocí místní databáze:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
A. Autentizace na vzdálené konzole musí být provedena pomocí lokální databáze (kromě zařízení RTR1 a RTR2)
Úlohy definují dva typy konzol: místní a vzdálené. Vzdálená konzole umožňuje realizovat vzdálená připojení například přes protokoly SSH nebo Telnet.
Chcete-li dokončit tento úkol, musíte zadat následující příkazy:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
tým line vty 0 4 přechod je proveden na nastavení virtuálních terminálových linek z 0 na 4.
Tým login authentication default povolí výchozí režim autentizace na virtuální konzoli a výchozí režim byl nastaven v předchozí úloze pomocí příkazu aaa authentication login default local.
Ukončení režimu nastavení vzdálené konzoly se provádí pomocí příkazu exit.
Spolehlivým testem by bylo testovací připojení přes Telnet z jednoho zařízení do druhého. Stojí za zvážení, že k tomu je třeba na vybraném zařízení nakonfigurovat základní přepínání a IP adresování.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Po úspěšné autentizaci by měl uživatel při přihlášení ze vzdálené konzole okamžitě vstoupit do režimu s maximální úrovní oprávnění
Chcete-li tento problém vyřešit, musíte se vrátit k nastavení virtuálních terminálových linek a pomocí příkazu nastavit úroveň oprávnění privilege level 15, kde 15 je opět maximální úroveň a 0 je minimální úroveň oprávnění:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Testem bude řešení z předchozího pododstavce - vzdálené připojení přes Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Po ověření uživatel okamžitě přejde do privilegovaného režimu a obchází neprivilegovaný režim, což znamená, že úloha byla dokončena správně.
CD. Nakonfigurujte potřebu na lokální konzoli a po úspěšné autentizaci by měl uživatel vstoupit do režimu s minimální úrovní oprávnění
Struktura příkazů v těchto úlohách se shoduje s dříve řešenými úlohami 4.a a 4.b. tým line vty 0 4 nahrazuje console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Jak již bylo zmíněno, minimální úroveň oprávnění je určena číslem 0. Kontrolu lze provést následovně:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Po ověření uživatel přejde do neprivilegovaného režimu, jak je uvedeno v úlohách.
E. Na BR1 by po úspěšné autentizaci na lokální konzoli měl být uživatel v režimu s maximální úrovní oprávnění
Nastavení místní konzole na BR1 bude vypadat takto:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Kontrola se provádí stejným způsobem jako v předchozím odstavci:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Po ověření dojde k přechodu do privilegovaného režimu.
5. Na VŠECH zařízeních nastavte heslo wsr pro vstup do privilegovaného režimu
Úkoly říkají, že heslo pro privilegovaný režim by mělo být standardně uloženo jako prostý text, ale režim šifrování pro všechna hesla neumožní zobrazit heslo v prostém textu. Chcete-li nastavit heslo pro vstup do privilegovaného režimu, použijte příkaz enable password wsr. Pomocí klíčového slova password, určuje typ, ve kterém bude heslo uloženo. Pokud musí být heslo při vytváření uživatele zašifrováno, pak klíčové slovo bylo slovo secreta používá se pro otevřené úložiště password.
Nastavení můžete zkontrolovat zobrazením aktuální konfigurace:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Je vidět, že heslo uživatele je uloženo v zašifrované podobě a heslo pro vstup do privilegovaného režimu je uloženo jako prostý text, jak je uvedeno v úlohách.
Chcete-li zajistit, aby všechna hesla byla uložena zašifrovaná, použijte příkaz service password-encryption. Zobrazení aktuální konfigurace bude nyní vypadat takto:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Heslo již nelze zobrazit jako prostý text.
Zdroj: www.habr.com