Ziel der WorldSkills-Bewegung ist es, den Teilnehmern vor allem praktische Fähigkeiten zu vermitteln, die auf dem modernen Arbeitsmarkt gefragt sind. Die Kompetenz Netzwerk- und Systemadministration besteht aus drei Modulen: Netzwerk, Windows, Linux. Die Aufgaben ändern sich von Meisterschaft zu Meisterschaft, die Bedingungen des Wettbewerbs ändern sich, aber die Struktur der Aufgaben bleibt größtenteils gleich.
Die Netzwerkinsel wird aufgrund ihrer Einfachheit im Vergleich zu den Linux- und Windows-Inseln die erste sein.
Folgende Aufgaben werden im Artikel behandelt:
- Benennen Sie ALLE Geräte entsprechend der Topologie
- Weisen Sie ALLEN Geräten den Domänennamen wsrvuz19.ru zu
- Erstellen Sie den Benutzer wsrvuz19 auf ALLEN Geräten mit dem Passwort Cisco
- Das Benutzerpasswort muss als Ergebnis einer Hash-Funktion in der Konfiguration gespeichert werden.
- Der Benutzer muss über die höchste Berechtigungsstufe verfügen.
- Implementieren Sie für ALLE Geräte das AAA-Modell.
- Die Authentifizierung auf der Remote-Konsole muss über die lokale Datenbank erfolgen (außer für RTR1- und RTR2-Geräte).
- Nach erfolgreicher Authentifizierung sollte der Benutzer beim Anmelden über eine Remote-Konsole sofort in den Modus mit der maximalen Berechtigungsstufe wechseln.
- Legen Sie die Notwendigkeit einer Authentifizierung auf der lokalen Konsole fest.
- Nach erfolgreicher Authentifizierung an der lokalen Konsole sollte der Benutzer in den Modus mit den geringsten Berechtigungen wechseln.
- Auf BR1 sollte der Benutzer nach erfolgreicher Authentifizierung an der lokalen Konsole in den Modus mit der maximalen Berechtigungsstufe wechseln
- Legen Sie auf ALLEN Geräten das wsr-Passwort fest, um in den privilegierten Modus zu gelangen.
- Das Passwort muss in der Konfiguration gespeichert werden, NICHT als Ergebnis einer Hash-Funktion.
- Stellen Sie den Modus ein, in dem alle Passwörter in der Konfiguration verschlüsselt gespeichert werden.
Die Netzwerktopologie auf der physikalischen Ebene wird im folgenden Diagramm dargestellt:
1. Benennen Sie ALLE Geräte entsprechend der Topologie
Um den Gerätenamen (Hostnamen) festzulegen, geben Sie den Befehl aus dem globalen Konfigurationsmodus ein hostname SW1, wo statt SW1 Sie müssen den Namen der in den Aufgaben angegebenen Ausrüstung angeben.
Sie können die Einstellung sogar visuell überprüfen – statt der Voreinstellung Schalter war SW1:
Switch(config)# hostname SW1
SW1(config)#
Die Hauptaufgabe nach dem Vornehmen von Einstellungen besteht darin, die Konfiguration zu speichern.
Dies kann im globalen Konfigurationsmodus mit dem Befehl erfolgen do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Oder aus dem privilegierten Modus mit dem Befehl write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Weisen Sie ALLEN Geräten den Domänennamen wsrvuz19.ru zu
Sie können den Domänennamen wsrvuz19.ru im globalen Konfigurationsmodus mit dem Befehl standardmäßig festlegen ip domain-name wsrvuz19.ru.
Die Prüfung erfolgt durch den Befehl do show hosts summary aus dem globalen Konfigurationsmodus:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Erstellen Sie den Benutzer wsrvuz19 auf ALLEN Geräten mit dem Passwort Cisco
Es ist notwendig, einen solchen Benutzer so zu erstellen, dass er über maximale Berechtigungen verfügt und das Passwort in Form einer Hash-Funktion gespeichert wird. Alle diese Bedingungen werden vom Team berücksichtigt username wsrvuz19 privilege 15 secret cisco.
Hier:
username wsrvuz19 - Benutzername;
privilege 15 - Berechtigungsstufe (0 – Mindeststufe, 15 – Höchststufe);
secret cisco - Speicherung des Passwortes in Form einer MD5-Hash-Funktion.
Befehl anzeigen running-config ermöglicht Ihnen die Überprüfung der aktuellen Konfigurationseinstellungen, wo Sie die Zeile mit dem hinzugefügten Benutzer finden und sicherstellen können, dass das Passwort verschlüsselt gespeichert ist:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Implementieren Sie für ALLE Geräte das AAA-Modell
Das AAA-Modell ist ein System zur Authentifizierung, Autorisierung und Abrechnung von Ereignissen. Um diese Aufgabe abzuschließen, besteht der erste Schritt darin, das AAA-Modell zu aktivieren und anzugeben, dass die Authentifizierung mithilfe einer lokalen Datenbank durchgeführt werden soll:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
A. Die Authentifizierung auf der Remote-Konsole muss über die lokale Datenbank erfolgen (außer für RTR1- und RTR2-Geräte).
Jobs definieren zwei Arten von Konsolen: lokal und remote. Mit der Remote-Konsole können Sie Remote-Verbindungen realisieren, beispielsweise über die Protokolle SSH oder Telnet.
Um diese Aufgabe abzuschließen, geben Sie die folgenden Befehle ein:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
Team line vty 0 4 Fahren Sie mit der Konfiguration der virtuellen Terminalleitungen von 0 bis 4 fort.
Team login authentication default aktiviert den Standardauthentifizierungsmodus auf der virtuellen Konsole und der Standardmodus wurde im letzten Job mit dem Befehl festgelegt aaa authentication login default local.
Das Verlassen des Remote-Konsolenkonfigurationsmodus erfolgt mit dem Befehl exit.
Eine zuverlässige Überprüfung ist eine Testverbindung über das Telnet-Protokoll von einem Gerät zum anderen. Es ist zu beachten, dass hierfür die grundlegende Umschaltung und IP-Adressierung auf den ausgewählten Geräten konfiguriert werden muss.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
B. Nach erfolgreicher Authentifizierung sollte der Benutzer beim Anmelden über eine Remote-Konsole sofort in den Modus mit der maximalen Berechtigungsstufe wechseln
Um dieses Problem zu lösen, müssen Sie zum Einrichten virtueller Terminalleitungen zurückkehren und die Berechtigungsstufe mit dem Befehl festlegen privilege level 15, wobei 15 wiederum die maximale Berechtigungsstufe und 0 die minimale Berechtigungsstufe ist:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Der Test wird die Lösung aus dem vorherigen Unterabsatz sein – Fernverbindung über Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Nach der Authentifizierung wechselt der Benutzer sofort in den privilegierten Modus und umgeht den unprivilegierten Modus, was bedeutet, dass die Aufgabe korrekt abgeschlossen wurde.
CD. Legen Sie die Anforderung auf der lokalen Konsole fest und nach erfolgreicher Authentifizierung sollte der Benutzer in den Modus mit den minimalen Berechtigungen wechseln
Die Befehlsstruktur in diesen Aufgaben ist die gleiche wie bei den zuvor gelösten Aufgaben 4.a und 4.b. Team line vty 0 4 ersetzt durch console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Wie bereits erwähnt, wird die Mindestprivilegienstufe durch die Zahl 0 bestimmt. Die Prüfung kann wie folgt erfolgen:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Nach der Authentifizierung wechselt der Benutzer in den nichtprivilegierten Modus, wie in den Aufgaben angegeben.
e. Auf BR1 sollte der Benutzer nach erfolgreicher Authentifizierung an der lokalen Konsole in den Modus mit der maximalen Berechtigungsstufe wechseln
Das Einrichten einer lokalen Konsole auf BR1 würde folgendermaßen aussehen:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Die Prüfung erfolgt auf die gleiche Weise wie im vorherigen Absatz:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Nach der Authentifizierung erfolgen Übergänge in den privilegierten Modus.
5. Legen Sie auf ALLEN Geräten das Passwort wsr fest, um in den privilegierten Modus zu gelangen
In den Aufgaben heißt es, dass das Passwort für den privilegierten Modus standardmäßig im Klartext gespeichert werden soll, der Verschlüsselungsmodus aller Passwörter erlaubt es Ihnen jedoch nicht, das Passwort im Klartext zu sehen. Um ein Passwort für den Zugriff auf den privilegierten Modus festzulegen, verwenden Sie den Befehl enable password wsr. Schlüsselwort verwenden password, bestimmt den Typ, in dem das Passwort gespeichert wird. Wenn das Passwort beim Erstellen eines Benutzers verschlüsselt werden muss, dann war das Schlüsselwort das Wort secret, und zur Lagerung in offener Form wird verwendet password.
Sie können die Einstellungen in der aktuellen Konfigurationsansicht überprüfen:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Es ist ersichtlich, dass das Passwort des Benutzers in verschlüsselter Form gespeichert wird und das Passwort zum Aufrufen des privilegierten Modus im Klartext gespeichert wird, wie in den Aufgaben angegeben.
Damit alle Passwörter verschlüsselt gespeichert werden, sollten Sie den Befehl verwenden service password-encryption. Die Anzeige der aktuellen Konfiguration sieht nun wie folgt aus:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Das Passwort ist nicht mehr im Klartext sichtbar.
Source: habr.com