Lösungen für die WorldSkills-Aufgaben im Modul Netzwerk in der Kompetenz „CISA“. Teil 1 – Grundkonfiguration

Die Initiative WorldSkills zielt darauf ab, den Teilnehmern hauptsächlich praktische Fähigkeiten zu vermitteln, die auf dem modernen Arbeitsmarkt gefragt sind. Die Kompetenz „Netzwerk- und Systemadministration“ besteht aus drei Modulen: Netzwerk, Windows, Linux. Die Aufgaben variieren von Wettbewerb zu Wettbewerb, die Bedingungen ändern sich, jedoch bleibt die Struktur der Aufgaben größtenteils unverändert.

Die Insel Netzwerk wird aufgrund ihrer Einfachheit die erste sein im Vergleich zu den Inseln Linux und Windows.

In diesem Artikel werden die folgenden Aufgaben behandelt:

  1. Benennen Sie ALLE Geräte gemäß der Topologie.
  2. Weisen Sie ALLEN Geräten den Domainnamen wsrvuz19.ru zu.
  3. Erstellen Sie auf ALLEN Geräten den Benutzer wsrvuz19 mit dem Passwort cisco.
    • Das Passwort des Benutzers muss in der Konfiguration als Ergebnis der Hash-Funktion gespeichert werden.
    • Der Benutzer muss über die höchsten Privilegien verfügen.
  4. Implementieren Sie das AAA-Modell für ALLE Geräte.
    • Die Authentifizierung an der Remote-Konsole sollte unter Verwendung der lokalen Datenbank erfolgen (außer bei den Geräten RTR1 und RTR2).
    • Nach erfolgreicher Authentifizierung beim Zugriff über die entfernte Konsole sollte der Benutzer direkt in den Modus mit höchsten Privilegien gelangen.
    • Stellen Sie die Notwendigkeit der Authentifizierung an der lokalen Konsole ein.
    • Bei erfolgreicher Authentifizierung an der lokalen Konsole sollte der Benutzer in den Modus mit minimalen Privilegien gelangen.
    • Auf BR1 sollte der Benutzer nach erfolgreicher Authentifizierung an der lokalen Konsole in den Modus mit den höchsten Privilegien gelangen.
  5. Setzen Sie auf ALLEN Geräten ein Passwort für den Zugriff auf den privilegierten Modus.
    • Das Passwort sollte in der Konfiguration NICHT als Ergebnis einer Hash-Funktion gespeichert werden.
    • Konfigurieren Sie einen Modus, in dem alle Passwörter in der Konfiguration verschlüsselt gespeichert werden.


Die Netzwerktopologie auf physikalischer Ebene ist in folgendem Diagramm dargestellt:

Lösungen für die WorldSkills-Aufgaben im Modul Netzwerk in der Kompetenz „CISA“. Teil 1 – Grundkonfiguration

1. Benennen Sie ALLE Geräte gemäß der Topologie.

Um den Gerätenamen (Hostname) festzulegen, geben Sie im globalen Konfigurationsmodus den Befehl ein hostname SW1, wobei Sie anstelle von SW1 den Gerätenamen eintragen müssen, der in den Aufgaben angegeben ist.

Die Konfiguration kann sogar visuell überprüft werden – anstelle von Voreingestellt Switch wurde SW1:

Switch(config)# hostname SW1
SW1(config)#

Die Hauptaufgabe nach der Durchführung von Änderungen besteht darin, die Konfiguration zu speichern.

Dies kann aus dem globalen Konfigurationsmodus mit dem Befehl erfolgen do write:

SW1(config)# do write
Konfiguration erstellen...
Komprimierte Konfiguration von 2142 Bytes auf 1161 Bytes[OK]

Oder aus dem privilegierten Modus mit dem Befehl write:

SW1# write
Konfiguration erstellen...
Komprimierte Konfiguration von 2142 Bytes auf 1161 Bytes[OK]

2. Weisen Sie ALLEN Geräten den Domainnamen wsrvuz19.ru zu.

Der Domainname wsrvuz19.ru kann standardmäßig aus dem globalen Konfigurationsmodus mit dem Befehl festgelegt werden ip domain-name wsrvuz19.ru.

Die Überprüfung erfolgt mit dem Befehl do show hosts summary aus dem globalen Konfigurationsmodus:

SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Namensauflösungssicht: Global
Standarddomain ist wsrvuz19.ru
...

3. Erstellen Sie auf ALLEN Geräten den Benutzer wsrvuz19 mit dem Passwort cisco.

Es ist notwendig, einen solchen Benutzer zu erstellen, der über die höchsten Privilegien verfügt, und das Passwort sollte als Hash gespeichert werden. All diese Bedingungen werden mit dem Befehl berücksichtigt username wsrvuz19 privilege 15 secret cisco.

Hier:

username wsrvuz19 — Benutzername;
privilege 15 — Privilegienlevel (0 — minimal, 15 — maximal);
secret cisco — Speicherung des Passworts als MD5-Hashfunktion.

Der Befehl show running-config ermöglicht es, die Einstellungen der aktuellen Konfiguration zu überprüfen, wo Sie die Zeile mit dem hinzugefügten Benutzer finden und sicherstellen können, dass das Passwort verschlüsselt gespeichert wird:

SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...

4. Implementieren Sie das AAA-Modell für ALLE Geräte

Das AAA-Modell ist ein System für Authentifizierung, Autorisierung und Ereigniszählung. Um diese Aufgabe auszuführen, müssen Sie zunächst das AAA-Modell aktivieren und angeben, dass die Authentifizierung über die lokale Datenbank erfolgt:

SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local

a. Die Authentifizierung an der Remote-Konsole muss über die lokale Datenbank erfolgen (außer für die Geräte RTR1 und RTR2)
In den Aufgaben werden zwei Arten von Konsolen definiert: lokal und remote. Die Remote-Konsole ermöglicht die Durchführung von Remote-Verbindungen, zum Beispiel über die Protokolle SSH oder Telnet.

Um diese Aufgabe auszuführen, müssen folgende Befehle eingegeben werden:

SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#

Mit dem Befehl line vty 0 4 es erfolgt der Übergang zur Konfiguration der virtuellen Terminalleitungen von 0 bis 4.

Der Befehl login authentication default Aktiviert den Standard-Authentifizierungsmodus auf der virtuellen Konsole, der in der vorherigen Aufgabe durch den Befehl festgelegt wurde. aaa authentication login default local.

Der Ausstieg aus dem Konfigurationsmodus der Remote-Konsole erfolgt mit dem Befehl. exit.

Eine zuverlässige Überprüfung ist eine Testverbindung über das Telnet-Protokoll von einem Gerät zu einem anderen. Dabei ist zu beachten, dass eine grundlegende Switching- und IP-Adressierung auf der gewählten Hardware eingerichtet sein muss.

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>

b. Nach erfolgreicher Authentifizierung beim Zugang über die Remote-Konsole sollte der Benutzer sofort in den Modus mit den höchsten Rechten gelangen.
Um dieses Ziel zu erreichen, muss erneut zur Konfiguration der virtuellen Terminallinien zurückgekehrt und der Privilegienlevel mit dem Befehl festgelegt werden. privilege level 15, wobei 15 erneut der höchste Level ist und 0 der niedrigste Privilegienlevel:

SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#

Die Überprüfung erfolgt durch die Lösung aus dem vorherigen Unterpunkt – die Remote-Verbindung über Telnet:

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#

Nach der Authentifizierung gelangt der Benutzer sofort in den privilegierten Modus, ohne den nicht privilegierten zu durchlaufen, was bedeutet, dass die Aufgabe korrekt ausgeführt wurde.

c-d. Konfigurieren Sie den Zugriff auf die lokale Konsole so, dass der Benutzer nach erfolgreicher Authentifizierung in den Modus mit minimalen Privilegien gelangen sollte.
Die Struktur der Befehle in diesen Aufgaben entspricht den zuvor gelösten Aufgaben 4.a und 4.b. Der Befehl line vty 0 4 wird ersetzt durch console 0:

SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#

Wie bereits erwähnt, wird das minimale Privilegienlevel durch die Zahl 0 definiert. Die Überprüfung kann wie folgt durchgeführt werden:

SW1# exit
User Access Verification
Benutzername: wsrvuz19
Passwort:
SW1>

Nach der Authentifizierung gelangt der Benutzer in den nicht privilegierten Modus, wie in den Aufgaben beschrieben.

e. Auf BR1 sollte der Benutzer nach erfolgreicher Authentifizierung an der lokalen Konsole in den Modus mit maximalen Privilegien gelangen.
Die Konfiguration der lokalen Konsole auf BR1 wird wie folgt aussehen:

BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#

Die Überprüfung erfolgt auf die gleiche Weise wie im vorherigen Punkt:

BR1# exit
Benutzerauthentifizierung
Benutzername: wsrvuz19
Passwort:
BR1#

Nach der Authentifizierung erfolgt der Übergang in den privilegierten Modus.

5. Setzen Sie auf ALLEN Geräten das Passwort wsr für den Zugang zum privilegierten Modus.

In den Aufgaben steht, dass das Passwort für den privilegierten Modus standardmäßig im Klartext gespeichert werden muss, während der Verschlüsselungsmodus aller Passwörter nicht erlaubt, das Passwort im Klartext zu sehen. Zum Festlegen des Passworts für den Zugang zum privilegierten Modus muss der Befehl verwendet werden enable password wsr. Mit dem Schlüsselwort password, wird die Art und Weise festgelegt, in der das Passwort gespeichert wird. Wenn beim Erstellen des Benutzers das Passwort verschlüsselt werden soll, wurde das Schlüsselwort secret, und für die Speicherung im Klartext wird password.

Die Einstellungen können durch die Ansicht der aktuellen Konfiguration überprüft werden:

SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
Benutzername wsrvuz19 privileg 15 geheim 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Es ist ersichtlich, dass das Benutzerpasswort verschlüsselt gespeichert wird, während das Passwort für den Zugang zum privilegierten Modus im Klartext gespeichert wird, wie in den Aufgaben beschrieben.
Um sicherzustellen, dass alle Passwörter verschlüsselt gespeichert werden, sollte der Befehl genutzt werden service password-encryption. Die aktuelle Konfiguration sieht jetzt folgendermaßen aus:

SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Das Passwort ist nicht mehr im Klartext einsehbar.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster