Pokračujeme v analýze úkolů modulu Síť mistrovství WorldSkills v kompetenci „Správa sítí a systémů“.
Článek se bude zabývat následujícími úkoly:
- Na VŠECH zařízeních vytvořte virtuální rozhraní, dílčí rozhraní a rozhraní zpětné smyčky. Přidělujte IP adresy podle topologie.
- Povolte mechanismus SLAAC pro vydávání adres IPv6 v síti MNG na rozhraní routeru RTR1;
- Na virtuálních rozhraních ve VLAN 100 (MNG) na přepínačích SW1, SW2, SW3 povolte režim automatické konfigurace IPv6;
- Na VŠECH zařízeních (kromě PC1 a WEB) ručně přiřaďte místní adresy;
- Na VŠECH přepínačích deaktivujte VŠECHNY porty, které se v úloze nepoužívají, a přeneste je do VLAN 99;
- Na spínači SW1 povolte zámek na 1 minutu, pokud je heslo dvakrát zadáno nesprávně během 30 sekund;
- Všechna zařízení musí být spravovatelná přes SSH verze 2.
Topologie sítě na fyzické vrstvě je znázorněna na následujícím diagramu:
Topologie sítě na úrovni datového spoje je znázorněna na následujícím diagramu:
Topologie sítě na úrovni sítě je znázorněna na následujícím diagramu:
Přednastavení
Před provedením výše uvedených úkolů se vyplatí nastavit základní zapínání spínačů SW1-SW3, protože v budoucnu bude pohodlnější jejich nastavení zkontrolovat. Nastavení přepínání bude podrobně popsáno v příštím článku, ale zatím bude definováno pouze nastavení.
Prvním krokem je vytvoření vlan s čísly 99, 100 a 300 na všech přepínačích:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Dalším krokem je přenos rozhraní g0/1 na SW1 do vlan číslo 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Rozhraní f0/1-2, f0/5-6, která jsou proti jiným přepínačům, by měla být přepnuta do režimu trunk:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Na přepínači SW2 v režimu kufru budou rozhraní f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Na přepínači SW3 v režimu kufru budou rozhraní f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
V této fázi nastavení přepínače umožní výměnu označených paketů, což je nutné pro dokončení úkolů.
1. Vytvořte virtuální rozhraní, dílčí rozhraní a rozhraní zpětné smyčky na VŠECH zařízeních. Přidělte IP adresy podle topologie.
Nejprve bude nakonfigurován směrovač BR1. Podle topologie L3 zde musíte nakonfigurovat rozhraní typu smyčky, známé také jako smyčka, číslo 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Chcete-li zkontrolovat stav vytvořeného rozhraní, můžete použít příkaz show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Zde vidíte, že zpětná smyčka je aktivní, její stav UP. Pokud se podíváte níže, můžete vidět dvě adresy IPv6, ačkoli k nastavení adresy IPv6 byl použit pouze jeden příkaz. Faktem je, že FE80::2D0:97FF:FE94:5022 je místní adresa, která je přiřazena, když je povoleno ipv6 na rozhraní s příkazem ipv6 enable.
A k zobrazení adresy IPv4 použijte podobný příkaz:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Pro BR1 byste měli okamžitě nakonfigurovat rozhraní g0/0, zde stačí nastavit IPv6 adresu:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Stejným příkazem můžete zkontrolovat nastavení show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Dále bude nakonfigurován ISP router. Zde se podle úlohy nakonfiguruje zpětná smyčka číslo 0, ale kromě toho je vhodnější nakonfigurovat rozhraní g0/0, které by mělo mít adresu 30.30.30.1, z toho důvodu, že v následujících úlohách nebude nic řečeno nastavení těchto rozhraní. Nejprve se nakonfiguruje zpětná smyčka číslo 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tým show ipv6 interface brief Můžete ověřit správnost nastavení rozhraní. Poté je nakonfigurováno rozhraní g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dále bude nakonfigurován router RTR1. Zde musíte také vytvořit zpětnou smyčku číslo 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Také na RTR1 musíte vytvořit 2 virtuální podrozhraní pro vlany s čísly 100 a 300. To lze provést následovně.
Nejprve musíte povolit fyzické rozhraní g0/1 pomocí příkazu no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Poté se vytvoří a nakonfigurují podrozhraní s čísly 100 a 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Číslo podrozhraní se může lišit od čísla vlan, ve kterém bude fungovat, ale pro pohodlí je lepší použít číslo podrozhraní, které odpovídá číslu vlan. Pokud při nastavování dílčího rozhraní nastavíte typ zapouzdření, měli byste zadat číslo, které odpovídá číslu vlan. Takže po příkazu encapsulation dot1Q 300 podrozhraní bude procházet pouze pakety vlan s číslem 300.
Posledním krokem v této úloze bude router RTR2. Spojení mezi SW1 a RTR2 musí být v přístupovém režimu, rozhraní switche bude směrem k RTR2 předávat pouze pakety určené pro vlan číslo 300, je to uvedeno v úloze na topologii L2. Proto bude na routeru RTR2 konfigurováno pouze fyzické rozhraní bez vytváření podrozhraní:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Poté je nakonfigurováno rozhraní g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Tím je konfigurace rozhraní routeru pro aktuální úlohu dokončena. Zbývající rozhraní budou nakonfigurována po dokončení následujících úkolů.
A. Povolte mechanismus SLAAC pro vydávání adres IPv6 v síti MNG na rozhraní směrovače RTR1
Mechanismus SLAAC je ve výchozím nastavení povolen. Jediné, co musíte udělat, je povolit směrování IPv6. Můžete to udělat pomocí následujícího příkazu:
RTR1(config-subif)#ipv6 unicast-routing
Bez tohoto příkazu zařízení funguje jako hostitel. Jinými slovy, díky výše uvedenému příkazu je možné používat další funkce ipv6, včetně vydávání adres ipv6, nastavení směrování atd.
b. Na virtuálních rozhraních ve VLAN 100 (MNG) na přepínačích SW1, SW2, SW3 povolte režim automatické konfigurace IPv6
Z topologie L3 je zřejmé, že switche jsou připojeny do VLAN 100. To znamená, že je potřeba na switchích vytvořit virtuální rozhraní, a teprve poté jim standardně přiřadit příjem IPv6 adres. Počáteční konfigurace byla provedena přesně tak, aby přepínače mohly přijímat výchozí adresy z RTR1. Tento úkol můžete dokončit pomocí následujícího seznamu příkazů vhodných pro všechny tři přepínače:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Vše můžete zkontrolovat stejným příkazem show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Kromě místní adresy se objevila adresa ipv6 přijatá z RTR1. Tento úkol byl úspěšně dokončen a stejné příkazy musí být zapsány na zbývajících přepínačích.
S. Na VŠECH zařízeních (kromě PC1 a WEB) ručně přiřaďte místní adresy
Třicetimístné IPv6 adresy nejsou pro administrátory žádná legrace, takže je možné ručně změnit link-local a zkrátit tak jeho délku na minimální hodnotu. Úkoly neříkají nic o tom, které adresy zvolit, takže zde je poskytován volný výběr.
Například na přepínači SW1 musíte nastavit místní adresu fe80::10. To lze provést pomocí následujícího příkazu z konfiguračního režimu vybraného rozhraní:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nyní oslovování vypadá mnohem atraktivněji:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Kromě místní adresy se změnila i přijímaná adresa IPv6, protože adresa je vydávána na základě místní adresy.
Na přepínači SW1 bylo nutné nastavit pouze jednu link-local adresu na jednom rozhraní. U routeru RTR1 je potřeba provést více nastavení - je potřeba nastavit link-local na dvou dílčích rozhraních, na loopback a v následných nastaveních se objeví i rozhraní tunnel 100.
Abyste se vyhnuli zbytečnému psaní příkazů, můžete nastavit stejnou místní adresu na všech rozhraních najednou. Můžete to udělat pomocí klíčového slova range následuje výpis všech rozhraní:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Při kontrole rozhraní uvidíte, že na všech vybraných rozhraních byly změněny místní adresy:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Všechna ostatní zařízení jsou konfigurována podobným způsobem
d. Na VŠECH přepínačích deaktivujte VŠECHNY porty, které se v úloze nepoužívají, a přeneste je do VLAN 99
Základní myšlenkou je stejný způsob výběru více rozhraní pro konfiguraci pomocí příkazu rangea teprve potom byste měli napsat příkazy pro přenos do požadované vlan a poté vypnout rozhraní. Například přepínač SW1 bude mít podle topologie L1 deaktivovány porty f0/3-4, f0/7-8, f0/11-24 a g0/2. V tomto příkladu bude nastavení následující:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Při kontrole nastavení již známým příkazem stojí za zmínku, že všechny nepoužívané porty musí mít stav administrativně dolů, což znamená, že port je zakázán:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Chcete-li zjistit, ve které vlan je port, můžete použít jiný příkaz:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Zde by měla být všechna nepoužívaná rozhraní. Stojí za zmínku, že nebude možné přenést rozhraní do vlan, pokud taková vlan nebyla vytvořena. Právě za tímto účelem byly v úvodním nastavení vytvořeny všechny vlany potřebné pro provoz.
E. Na spínači SW1 povolte zámek na 1 minutu, pokud je heslo dvakrát zadáno nesprávně během 30 sekund
Můžete to udělat pomocí následujícího příkazu:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Tato nastavení můžete také zkontrolovat následovně:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kde je jasně vysvětleno, že po dvou neúspěšných pokusech do 30 sekund nebo méně bude možnost přihlášení zablokována na 60 sekund.
2. Všechna zařízení musí být spravovatelná přes SSH verze 2
Aby byla zařízení přístupná přes SSH verze 2, je nutné zařízení nejprve nakonfigurovat, proto pro informační účely nejprve nakonfigurujeme zařízení s továrním nastavením.
Verzi punkce můžete změnit následovně:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Systém vás požádá o vytvoření RSA klíčů pro fungování SSH verze 2. Podle rady chytrého systému můžete RSA klíče vytvořit pomocí následujícího příkazu:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Systém neumožňuje provedení příkazu, protože název hostitele nebyl změněn. Po změně názvu hostitele musíte znovu napsat příkaz pro generování klíče:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nyní vám systém neumožňuje vytvářet klíče RSA kvůli chybějícímu názvu domény. A po instalaci názvu domény bude možné vytvořit klíče RSA. Klíče RSA musí mít délku alespoň 768 bitů, aby SSH verze 2 fungovala:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
V důsledku toho se ukazuje, že pro fungování SSHv2 je nutné:
- Změnit název hostitele;
- Změnit název domény;
- Vygenerujte klíče RSA.
Předchozí článek ukázal, jak změnit název hostitele a název domény na všech zařízeních, takže při pokračování v konfiguraci aktuálních zařízení stačí vygenerovat klíče RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH verze 2 je aktivní, ale zařízení ještě nejsou plně nakonfigurována. Posledním krokem bude nastavení virtuálních konzolí:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
V předchozím článku byl nakonfigurován model AAA, kdy se na virtuálních konzolích nastavila autentizace pomocí lokální databáze a uživatel po autentizaci musel okamžitě přejít do privilegovaného režimu. Nejjednodušší test funkčnosti SSH je pokusit se připojit k vlastnímu zařízení. RTR1 má zpětnou smyčku s IP adresou 1.1.1.1, můžete se zkusit připojit na tuto adresu:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Po klíči -l Zadejte přihlašovací jméno stávajícího uživatele a poté heslo. Po autentizaci se uživatel okamžitě přepne do privilegovaného režimu, což znamená, že SSH je nakonfigurováno správně.
Zdroj: www.habr.com