Vi fortsætter med at analysere opgaverne i netværksmodulet i WorldSkills-mesterskabet i kompetencen "Netværk og systemadministration".
Artiklen vil dække følgende opgaver:
- På ALLE enheder skal du oprette virtuelle grænseflader, undergrænseflader og loopback-grænseflader. Tildel IP-adresser i henhold til topologien.
- Aktiver SLAAC-mekanismen til at udstede IPv6-adresser i MNG-netværket på RTR1-routergrænsefladen;
- På virtuelle grænseflader i VLAN 100 (MNG) på switche SW1, SW2, SW3, aktiver IPv6 auto-konfigurationstilstand;
- På ALLE enheder (undtagen PC1 og WEB) tildel manuelt link-lokale adresser;
- På ALLE switches skal du deaktivere ALLE porte, der ikke bruges i opgaven, og overføre til VLAN 99;
- På switch SW1 skal du aktivere en låsning i 1 minut, hvis adgangskoden indtastes forkert to gange inden for 30 sekunder;
- Alle enheder skal kunne administreres via SSH version 2.
Netværkstopologien på det fysiske lag er præsenteret i følgende diagram:
Netværkstopologien på datalinkniveau er præsenteret i følgende diagram:
Netværkstopologien på netværksniveau er præsenteret i følgende diagram:
forudindstilling
Før du udfører ovenstående opgaver, er det værd at konfigurere grundlæggende tændingskontakter SW1-SW3, da det vil være mere praktisk at kontrollere deres indstillinger i fremtiden. Skifteopsætningen vil blive beskrevet detaljeret i den næste artikel, men indtil videre vil kun indstillingerne blive defineret.
Det første trin er at oprette vlans med numrene 99, 100 og 300 på alle switches:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Det næste trin er at overføre interface g0/1 til SW1 til vlan nummer 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Grænseflader f0/1-2, f0/5-6, som vender mod andre kontakter, skal skiftes til trunk-tilstand:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
På switch SW2 i trunk mode vil der være grænseflader f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
På switch SW3 i trunk mode vil der være grænseflader f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
På dette stadium vil switch-indstillingerne tillade udveksling af mærkede pakker, som er påkrævet for at fuldføre opgaver.
1. Opret virtuelle grænseflader, undergrænseflader og loopback-grænseflader på ALLE enheder. Tildel IP-adresser i henhold til topologien.
Router BR1 konfigureres først. Ifølge L3-topologien skal du her konfigurere en loop-type grænseflade, også kendt som loopback, nummer 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
For at kontrollere status for den oprettede grænseflade kan du bruge kommandoen show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Her kan du se, at loopback er aktiv, dens tilstand UP. Hvis du ser nedenfor, kan du se to IPv6-adresser, selvom kun én kommando blev brugt til at indstille IPv6-adressen. Faktum er, at FE80::2D0:97FF:FE94:5022 er en link-lokal adresse, der tildeles, når ipv6 er aktiveret på en grænseflade med kommandoen ipv6 enable.
Og for at se IPv4-adressen skal du bruge en lignende kommando:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
For BR1 skal du straks konfigurere g0/0-grænsefladen; her skal du blot indstille IPv6-adressen:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Du kan kontrollere indstillingerne med den samme kommando show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Dernæst vil ISP-routeren blive konfigureret. Her vil der ifølge opgaven blive konfigureret loopback nummer 0, men udover dette er det at foretrække at konfigurere g0/0 interfacet, som skal have adressen 30.30.30.1, af den grund at der i efterfølgende opgaver ikke vil blive sagt noget om opsætning af disse grænseflader. Først konfigureres loopback nummer 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
Hold show ipv6 interface brief Du kan kontrollere, at grænsefladeindstillingerne er korrekte. Derefter er interface g0/0 konfigureret:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dernæst vil RTR1-routeren blive konfigureret. Her skal du også oprette et loopback nummer 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Også på RTR1 skal du oprette 2 virtuelle undergrænseflader til vlans med numrene 100 og 300. Dette kan gøres som følger.
Først skal du aktivere den fysiske grænseflade g0/1 med kommandoen no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Derefter oprettes og konfigureres undergrænseflader med numrene 100 og 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Undergrænsefladenummeret kan afvige fra det vlan-nummer, det vil fungere i, men for nemheds skyld er det bedre at bruge det undergrænsefladenummer, der matcher vlan-nummeret. Hvis du indstiller indkapslingstypen, når du opsætter en undergrænseflade, skal du angive et nummer, der matcher vlan-nummeret. Så efter kommandoen encapsulation dot1Q 300 undergrænsefladen vil kun passere gennem vlan-pakker med nummer 300.
Det sidste trin i denne opgave vil være RTR2-routeren. Forbindelsen mellem SW1 og RTR2 skal være i access mode, switch interfacet vil passere mod RTR2 kun pakker beregnet til vlan nummer 300, dette står i opgaven på L2 topologien. Derfor vil kun den fysiske grænseflade blive konfigureret på RTR2-routeren uden at oprette undergrænseflader:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Derefter er interface g0/0 konfigureret:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dette fuldender konfigurationen af routergrænseflader til den aktuelle opgave. De resterende grænseflader vil blive konfigureret, når du udfører følgende opgaver.
en. Aktiver SLAAC-mekanismen til at udstede IPv6-adresser i MNG-netværket på RTR1-routergrænsefladen
SLAAC-mekanismen er aktiveret som standard. Det eneste du skal gøre er at aktivere IPv6-routing. Du kan gøre dette med følgende kommando:
RTR1(config-subif)#ipv6 unicast-routing
Uden denne kommando fungerer udstyret som vært. Med andre ord, takket være ovenstående kommando, bliver det muligt at bruge yderligere ipv6-funktioner, herunder udstedelse af ipv6-adresser, opsætning af routing osv.
b. På virtuelle grænseflader i VLAN 100 (MNG) på switche SW1, SW2, SW3, aktiver IPv6 auto-konfigurationstilstand
Fra L3-topologien er det tydeligt, at switchene er forbundet til VLAN 100. Det betyder, at det er nødvendigt at oprette virtuelle interfaces på switchene, og først derefter tildele dem til at modtage IPv6-adresser som standard. Den indledende konfiguration blev udført præcist, så switchene kunne modtage standardadresser fra RTR1. Du kan fuldføre denne opgave ved at bruge følgende liste over kommandoer, der passer til alle tre kontakter:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Du kan kontrollere alt med den samme kommando show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Ud over den link-lokale adresse dukkede en ipv6-adresse modtaget fra RTR1 op. Denne opgave er blevet gennemført, og de samme kommandoer skal skrives på de resterende switches.
Med. På ALLE enheder (undtagen PC1 og WEB) tildel manuelt link-lokale adresser
Tredivecifrede IPv6-adresser er ikke sjovt for administratorer, så det er muligt manuelt at ændre link-lokale, hvilket reducerer længden til en minimumsværdi. Opgaverne siger intet om, hvilke adresser der skal vælges, så her gives frit valg.
For eksempel, på switch SW1 skal du indstille den link-lokale adresse fe80::10. Dette kan gøres med følgende kommando fra konfigurationstilstanden for den valgte grænseflade:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nu ser adressering meget mere attraktiv ud:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Ud over den link-lokale adresse er den modtagne IPv6-adresse også ændret, da adressen er udstedt baseret på den link-lokale adresse.
På switch SW1 var det nødvendigt kun at indstille én link-lokal adresse på én grænseflade. Med RTR1-routeren skal du lave flere indstillinger - du skal indstille link-local på to undergrænseflader, på loopback, og i efterfølgende indstillinger vil tunnel 100-grænsefladen også dukke op.
For at undgå unødvendig skrivning af kommandoer kan du indstille den samme link-lokale adresse på alle grænseflader på én gang. Du kan gøre dette ved at bruge et nøgleord range efterfulgt af en liste over alle grænseflader:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Når du tjekker grænsefladerne, vil du se, at de link-lokale adresser er blevet ændret på alle valgte grænseflader:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Alle andre enheder er konfigureret på samme måde
d. På ALLE switches skal du deaktivere ALLE porte, der ikke bruges i jobbet, og overføre til VLAN 99
Den grundlæggende idé er den samme måde at vælge flere grænseflader til at konfigurere ved hjælp af kommandoen range, og først derefter skal du skrive kommandoer til at overføre til den ønskede vlan og derefter slukke for grænseflader. For eksempel vil switch SW1 ifølge L1-topologien have porte f0/3-4, f0/7-8, f0/11-24 og g0/2 deaktiveret. For dette eksempel ville indstillingen være som følger:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Når du kontrollerer indstillingerne med en allerede kendt kommando, er det værd at bemærke, at alle ubrugte porte skal have en status administrativt nede, hvilket indikerer, at porten er deaktiveret:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
For at se hvilken vlan porten er i, kan du bruge en anden kommando:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Alle ubrugte grænseflader bør være her. Det er værd at bemærke, at det ikke vil være muligt at overføre interfaces til vlan, hvis et sådant vlan ikke er blevet oprettet. Det er til dette formål, at alle de vlans, der er nødvendige for drift, blev oprettet i den indledende opsætning.
e. På switch SW1 skal du aktivere en låsning i 1 minut, hvis adgangskoden indtastes forkert to gange inden for 30 sekunder
Du kan gøre dette med følgende kommando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Du kan også kontrollere disse indstillinger som følger:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Hvor det tydeligt er forklaret, at efter to mislykkede forsøg inden for 30 sekunder eller mindre, vil muligheden for at logge på være blokeret i 60 sekunder.
2. Alle enheder skal kunne administreres via SSH version 2
For at enheder skal være tilgængelige via SSH version 2, er det nødvendigt først at konfigurere udstyret, så til informationsformål vil vi først konfigurere udstyret med fabriksindstillinger.
Du kan ændre punkteringsversionen på følgende måde:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Systemet beder dig om at oprette RSA-nøgler for at SSH version 2 kan fungere. Efter råd fra det smarte system kan du oprette RSA-nøgler med følgende kommando:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Systemet tillader ikke, at kommandoen udføres, fordi værtsnavnet ikke er blevet ændret. Efter at have ændret værtsnavnet, skal du skrive nøglegenereringskommandoen igen:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nu tillader systemet dig ikke at oprette RSA-nøgler på grund af manglen på et domænenavn. Og efter installation af domænenavnet, vil det være muligt at oprette RSA-nøgler. RSA-nøgler skal være mindst 768 bit lange for at SSH version 2 fungerer:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Som et resultat viser det sig, at for at SSHv2 skal fungere, er det nødvendigt:
- Skift værtsnavn;
- Skift domænenavn;
- Generer RSA-nøgler.
Den forrige artikel viste, hvordan du ændrer værtsnavnet og domænenavnet på alle enheder, så mens du fortsætter med at konfigurere de nuværende enheder, behøver du kun at generere RSA-nøgler:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH version 2 er aktiv, men enhederne er endnu ikke fuldt konfigureret. Det sidste trin vil være at konfigurere virtuelle konsoller:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
I den forrige artikel blev AAA-modellen konfigureret, hvor godkendelse blev indstillet på virtuelle konsoller ved hjælp af en lokal database, og brugeren, efter godkendelse, skulle straks gå i privilegeret tilstand. Den enkleste test af SSH-funktionalitet er at prøve at oprette forbindelse til dit eget udstyr. RTR1 har en loopback med IP-adresse 1.1.1.1, du kan prøve at oprette forbindelse til denne adresse:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Efter nøglen -l Indtast den eksisterende brugers login og derefter adgangskoden. Efter godkendelse skifter brugeren straks til privilegeret tilstand, hvilket betyder, at SSH er konfigureret korrekt.
Kilde: www.habr.com