ProHoster > Blog > Verwaltung > Lösung von WorldSkills-Aufgaben des Netzwerkmoduls im Kompetenzbereich „SiSA“. Teil 2 – Grundeinrichtung

Lösung von WorldSkills-Aufgaben des Netzwerkmoduls im Kompetenzbereich „SiSA“. Teil 2 – Grundeinrichtung

Wir analysieren weiterhin die Aufgaben des Netzwerkmoduls der WorldSkills-Meisterschaft in der Kompetenz „Netzwerk- und Systemadministration“.

Folgende Aufgaben werden im Artikel behandelt:

  1. Erstellen Sie auf ALLEN Geräten virtuelle Schnittstellen, Subschnittstellen und Loopback-Schnittstellen. Vergeben Sie IP-Adressen entsprechend der Topologie.
    • Aktivieren Sie den SLAAC-Mechanismus, um IPv6-Adressen im MNG-Netzwerk auf der RTR1-Router-Schnittstelle auszugeben;
    • Aktivieren Sie auf virtuellen Schnittstellen in VLAN 100 (MNG) auf den Switches SW1, SW2, SW3 den IPv6-Autokonfigurationsmodus.
    • Weisen Sie auf ALLEN Geräten (außer PC1 und WEB) manuell Link-Local-Adressen zu.
    • Deaktivieren Sie auf ALLEN Switches ALLE Ports, die in der Aufgabe nicht verwendet werden, und übertragen Sie sie auf VLAN 99.
    • Aktivieren Sie am Schalter SW1 eine Sperre für 1 Minute, wenn das Passwort innerhalb von 30 Sekunden zweimal falsch eingegeben wird;
  2. Alle Geräte müssen über SSH Version 2 verwaltbar sein.


Die Netzwerktopologie auf der physikalischen Ebene wird im folgenden Diagramm dargestellt:

Lösung von WorldSkills-Aufgaben des Netzwerkmoduls im Kompetenzbereich „SiSA“. Teil 2 – Grundeinrichtung

Die Netzwerktopologie auf Datenverbindungsebene wird im folgenden Diagramm dargestellt:

Lösung von WorldSkills-Aufgaben des Netzwerkmoduls im Kompetenzbereich „SiSA“. Teil 2 – Grundeinrichtung

Die Netzwerktopologie auf Netzwerkebene wird im folgenden Diagramm dargestellt:

Lösung von WorldSkills-Aufgaben des Netzwerkmoduls im Kompetenzbereich „SiSA“. Teil 2 – Grundeinrichtung

Voreinstellung

Bevor Sie die oben genannten Aufgaben ausführen, lohnt es sich, die Grundschaltung der Schalter SW1-SW3 einzurichten, da es in Zukunft bequemer ist, deren Einstellungen zu überprüfen. Das Switching-Setup wird im nächsten Artikel ausführlich beschrieben, es werden jedoch vorerst nur die Einstellungen definiert.

Der erste Schritt besteht darin, auf allen Switches VLANs mit den Nummern 99, 100 und 300 zu erstellen:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Der nächste Schritt besteht darin, die Schnittstelle g0/1 an SW1 an die VLAN-Nummer 300 zu übertragen:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Die Schnittstellen f0/1-2, f0/5-6, die anderen Switches zugewandt sind, sollten in den Trunk-Modus geschaltet werden:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Am Switch SW2 im Trunk-Modus gibt es die Schnittstellen f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Auf dem Switch SW3 im Trunk-Modus gibt es die Schnittstellen f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Zu diesem Zeitpunkt ermöglichen die Switch-Einstellungen den Austausch markierter Pakete, der zur Erledigung von Aufgaben erforderlich ist.

1. Erstellen Sie virtuelle Schnittstellen, Subschnittstellen und Loopback-Schnittstellen auf ALLEN Geräten. Vergeben Sie IP-Adressen entsprechend der Topologie.

Zuerst wird Router BR1 konfiguriert. Gemäß der L3-Topologie müssen Sie hier eine Loop-Schnittstelle, auch Loopback genannt, Nummer 101 konfigurieren:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Um den Status der erstellten Schnittstelle zu überprüfen, können Sie den Befehl verwenden show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Hier können Sie sehen, dass der Loopback aktiv ist und seinen Status aufweist UP. Wenn Sie unten nachsehen, können Sie zwei IPv6-Adressen sehen, obwohl nur ein Befehl zum Festlegen der IPv6-Adresse verwendet wurde. Die Sache ist die FE80::2D0:97FF:FE94:5022 ist eine Link-Local-Adresse, die zugewiesen wird, wenn IPv6 auf einer Schnittstelle mit dem Befehl aktiviert wird ipv6 enable.

Und um die IPv4-Adresse anzuzeigen, verwenden Sie einen ähnlichen Befehl:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Für BR1 sollten Sie sofort die g0/0-Schnittstelle konfigurieren; hier müssen Sie nur noch die IPv6-Adresse einstellen:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Sie können die Einstellungen mit demselben Befehl überprüfen show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Als nächstes wird der ISP-Router konfiguriert. Hier wird je nach Aufgabe die Loopback-Nummer 0 konfiguriert, darüber hinaus ist es jedoch vorzuziehen, die g0/0-Schnittstelle zu konfigurieren, die die Adresse 30.30.30.1 haben sollte, da in nachfolgenden Aufgaben nichts darüber gesagt wird Einrichtung dieser Schnittstellen. Zunächst wird die Loopback-Nummer 0 konfiguriert:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Team show ipv6 interface brief Sie können überprüfen, ob die Schnittstelleneinstellungen korrekt sind. Dann wird die Schnittstelle g0/0 konfiguriert:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Als nächstes wird der RTR1-Router konfiguriert. Hier müssen Sie auch eine Loopback-Nummer 100 erstellen:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Außerdem müssen Sie auf RTR1 zwei virtuelle Subschnittstellen für VLANs mit den Nummern 2 und 100 erstellen. Dies kann wie folgt erfolgen.

Zuerst müssen Sie die physische Schnittstelle g0/1 mit dem Befehl „no Shutdown“ aktivieren:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Anschließend werden Subschnittstellen mit den Nummern 100 und 300 erstellt und konfiguriert:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Die Subschnittstellennummer kann von der VLAN-Nummer abweichen, in der es funktioniert. Der Einfachheit halber ist es jedoch besser, die Subschnittstellennummer zu verwenden, die mit der VLAN-Nummer übereinstimmt. Wenn Sie beim Einrichten einer Subschnittstelle den Kapselungstyp festlegen, sollten Sie eine Nummer angeben, die mit der VLAN-Nummer übereinstimmt. Also nach dem Befehl encapsulation dot1Q 300 Die Subschnittstelle leitet nur VLAN-Pakete mit der Nummer 300 weiter.

Der letzte Schritt dieser Aufgabe wird der RTR2-Router sein. Die Verbindung zwischen SW1 und RTR2 muss sich im Zugriffsmodus befinden. Die Switch-Schnittstelle leitet nur Pakete an RTR2 weiter, die für die VLAN-Nummer 300 bestimmt sind. Dies ist in der Aufgabe zur L2-Topologie angegeben. Daher wird auf dem RTR2-Router nur die physische Schnittstelle konfiguriert, ohne Unterschnittstellen zu erstellen:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Dann wird die Schnittstelle g0/0 konfiguriert:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Damit ist die Konfiguration der Router-Schnittstellen für die aktuelle Aufgabe abgeschlossen. Die verbleibenden Schnittstellen werden konfiguriert, während Sie die folgenden Aufgaben ausführen.

A. Aktivieren Sie den SLAAC-Mechanismus, um IPv6-Adressen im MNG-Netzwerk auf der RTR1-Router-Schnittstelle zu vergeben
Der SLAAC-Mechanismus ist standardmäßig aktiviert. Sie müssen lediglich das IPv6-Routing aktivieren. Sie können dies mit dem folgenden Befehl tun:

RTR1(config-subif)#ipv6 unicast-routing

Ohne diesen Befehl fungiert das Gerät als Host. Mit anderen Worten: Dank des obigen Befehls ist es möglich, zusätzliche IPv6-Funktionen zu nutzen, einschließlich der Vergabe von IPv6-Adressen, der Einrichtung von Routing usw.

B. Aktivieren Sie auf virtuellen Schnittstellen in VLAN 100 (MNG) auf den Switches SW1, SW2, SW3 den IPv6-Autokonfigurationsmodus
Aus der L3-Topologie geht hervor, dass die Switches an VLAN 100 angeschlossen sind. Dies bedeutet, dass es notwendig ist, virtuelle Schnittstellen auf den Switches zu erstellen und ihnen erst dann standardmäßig den Empfang von IPv6-Adressen zuzuweisen. Die Erstkonfiguration wurde genau so durchgeführt, dass die Switches Standardadressen von RTR1 erhalten konnten. Sie können diese Aufgabe mit der folgenden Befehlsliste erledigen, die für alle drei Schalter geeignet ist:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Sie können alles mit demselben Befehl überprüfen show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Zusätzlich zur Link-Local-Adresse erschien eine von RTR6 empfangene IPv1-Adresse. Diese Aufgabe wurde erfolgreich abgeschlossen und die gleichen Befehle müssen auf die verbleibenden Schalter geschrieben werden.

Mit. Weisen Sie auf ALLEN Geräten (außer PC1 und WEB) manuell Link-Local-Adressen zu
Dreißigstellige IPv6-Adressen machen Administratoren keinen Spaß, daher ist es möglich, die Link-Local-Adresse manuell zu ändern und ihre Länge auf einen Mindestwert zu reduzieren. Die Zuordnungen sagen nichts darüber aus, welche Adressen gewählt werden sollen, daher besteht hier freie Wahl.

Beispielsweise müssen Sie am Schalter SW1 die Link-Local-Adresse fe80::10 einstellen. Dies kann mit dem folgenden Befehl aus dem Konfigurationsmodus der ausgewählten Schnittstelle erfolgen:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Jetzt sieht die Adressierung viel attraktiver aus:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Neben der Link-Local-Adresse hat sich auch die empfangene IPv6-Adresse geändert, da die Adresse auf Basis der Link-Local-Adresse vergeben wird.

Am Schalter SW1 musste nur eine Link-Local-Adresse an einer Schnittstelle eingestellt werden. Beim RTR1-Router müssen Sie weitere Einstellungen vornehmen – Sie müssen Link-Local auf zwei Subschnittstellen einstellen, auf dem Loopback, und in den nachfolgenden Einstellungen erscheint auch die Tunnel-100-Schnittstelle.

Um unnötiges Schreiben von Befehlen zu vermeiden, können Sie auf allen Schnittstellen gleichzeitig dieselbe Link-Local-Adresse festlegen. Sie können dies mit einem Schlüsselwort tun range gefolgt von einer Auflistung aller Schnittstellen:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Bei der Überprüfung der Schnittstellen werden Sie feststellen, dass die Link-Local-Adressen auf allen ausgewählten Schnittstellen geändert wurden:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Alle anderen Geräte werden auf ähnliche Weise konfiguriert

D. Deaktivieren Sie auf ALLEN Switches ALLE Ports, die im Job nicht verwendet werden, und übertragen Sie sie auf VLAN 99
Die Grundidee besteht darin, auf die gleiche Weise mehrere Schnittstellen auszuwählen, die mithilfe des Befehls konfiguriert werden sollen range, und erst dann sollten Sie Befehle zur Übertragung auf das gewünschte VLAN schreiben und dann die Schnittstellen ausschalten. Beispielsweise sind beim Switch SW1 entsprechend der L1-Topologie die Ports f0/3-4, f0/7-8, f0/11-24 und g0/2 deaktiviert. Für dieses Beispiel wäre die Einstellung wie folgt:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Bei der Überprüfung der Einstellungen mit einem bereits bekannten Befehl ist zu beachten, dass alle nicht verwendeten Ports einen Status haben müssen administrativ nach unten, was darauf hinweist, dass der Port deaktiviert ist:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Um zu sehen, in welchem ​​VLAN sich der Port befindet, können Sie einen anderen Befehl verwenden:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Alle ungenutzten Schnittstellen sollten hier sein. Es ist zu beachten, dass es nicht möglich ist, Schnittstellen an VLAN zu übertragen, wenn kein solches VLAN erstellt wurde. Zu diesem Zweck wurden bei der Ersteinrichtung alle für den Betrieb notwendigen VLANs angelegt.

e. Aktivieren Sie am Schalter SW1 eine Sperre für 1 Minute, wenn das Passwort innerhalb von 30 Sekunden zweimal falsch eingegeben wird
Sie können dies mit dem folgenden Befehl tun:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Sie können diese Einstellungen auch wie folgt überprüfen:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Dabei wird klar dargelegt, dass nach zwei erfolglosen Versuchen innerhalb von 30 Sekunden oder weniger die Möglichkeit zur Anmeldung für 60 Sekunden gesperrt wird.

2. Alle Geräte müssen über SSH Version 2 verwaltbar sein

Damit Geräte über SSH Version 2 erreichbar sind, ist es notwendig, die Geräte zunächst zu konfigurieren. Zu Informationszwecken konfigurieren wir die Geräte daher zunächst mit den Werkseinstellungen.

Sie können die Punktionsversion wie folgt ändern:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Das System fordert Sie auf, RSA-Schlüssel zu erstellen, damit SSH Version 2 funktioniert. Den Ratschlägen des Smart Systems folgend, können Sie RSA-Schlüssel mit dem folgenden Befehl erstellen:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Das System lässt die Ausführung des Befehls nicht zu, da der Hostname nicht geändert wurde. Nachdem Sie den Hostnamen geändert haben, müssen Sie den Befehl zur Schlüsselgenerierung erneut schreiben:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Aufgrund des Fehlens eines Domänennamens lässt das System die Erstellung von RSA-Schlüsseln nicht zu. Und nach der Installation des Domainnamens ist es möglich, RSA-Schlüssel zu erstellen. RSA-Schlüssel müssen mindestens 768 Bit lang sein, damit SSH Version 2 funktioniert:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Als Ergebnis stellt sich heraus, dass für das Funktionieren von SSHv2 Folgendes erforderlich ist:

  1. Hostnamen ändern;
  2. Domainnamen ändern;
  3. Generieren Sie RSA-Schlüssel.

Im vorherigen Artikel wurde gezeigt, wie Sie den Hostnamen und den Domänennamen auf allen Geräten ändern. Während Sie also mit der Konfiguration der aktuellen Geräte fortfahren, müssen Sie nur RSA-Schlüssel generieren:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH Version 2 ist aktiv, aber die Geräte sind noch nicht vollständig konfiguriert. Der letzte Schritt besteht darin, virtuelle Konsolen einzurichten:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Im vorherigen Artikel wurde das AAA-Modell konfiguriert, bei dem die Authentifizierung auf virtuellen Konsolen mithilfe einer lokalen Datenbank festgelegt wurde und der Benutzer nach der Authentifizierung sofort in den privilegierten Modus wechseln musste. Der einfachste Test der SSH-Funktionalität besteht darin, zu versuchen, eine Verbindung zu Ihren eigenen Geräten herzustellen. RTR1 verfügt über einen Loopback mit der IP-Adresse 1.1.1.1. Sie können versuchen, eine Verbindung zu dieser Adresse herzustellen:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Nach dem Schlüssel -l Geben Sie den Login des bestehenden Benutzers und dann das Passwort ein. Nach der Authentifizierung wechselt der Benutzer sofort in den privilegierten Modus, was bedeutet, dass SSH korrekt konfiguriert ist.

Source: habr.com

Kommentar hinzufügen