ProHoster > Blog > διαχείριση > Επίλυση εργασιών WorldSkills της ενότητας Network στην αρμοδιότητα του «SiSA». Μέρος 2 - Βασική ρύθμιση

Επίλυση εργασιών WorldSkills της ενότητας Network στην αρμοδιότητα του «SiSA». Μέρος 2 - Βασική ρύθμιση

Συνεχίζουμε να αναλύουμε τις εργασίες της ενότητας Δικτύου του πρωταθλήματος WorldSkills στην ικανότητα «Διαχείριση Δικτύου και Συστήματος».

Οι ακόλουθες εργασίες θα εξεταστούν στο άρθρο:

  1. Σε ΟΛΕΣ τις συσκευές, δημιουργήστε εικονικές διεπαφές, υποδιεπαφές και διεπαφές επαναφοράς. Εκχωρήστε διευθύνσεις IP σύμφωνα με την τοπολογία.
    • Ενεργοποιήστε τον μηχανισμό SLAAC για την έκδοση διευθύνσεων IPv6 στο δίκτυο MNG στη διεπαφή δρομολογητή RTR1.
    • Σε εικονικές διεπαφές σε VLAN 100 (MNG) στους διακόπτες SW1, SW2, SW3, ενεργοποιήστε τη λειτουργία αυτόματης διαμόρφωσης IPv6.
    • Σε ΟΛΕΣ τις συσκευές (εκτός από PC1 και WEB) εκχωρήστε μη αυτόματα συνδέσμους-τοπικές διευθύνσεις.
    • Σε ΟΛΟΥΣ τους διακόπτες, απενεργοποιήστε ΟΛΕΣ τις θύρες που δεν χρησιμοποιούνται στην εργασία και μεταφέρετε στο VLAN 99.
    • Στον διακόπτη SW1, ενεργοποιήστε ένα κλείδωμα για 1 λεπτό εάν ο κωδικός πρόσβασης εισαχθεί λανθασμένα δύο φορές μέσα σε 30 δευτερόλεπτα.
  2. Όλες οι συσκευές πρέπει να είναι διαχειρίσιμες μέσω SSH έκδοσης 2.


Η τοπολογία δικτύου στο φυσικό επίπεδο παρουσιάζεται στο ακόλουθο διάγραμμα:

Επίλυση εργασιών WorldSkills της ενότητας Network στην αρμοδιότητα του «SiSA». Μέρος 2 - Βασική ρύθμιση

Η τοπολογία δικτύου σε επίπεδο ζεύξης δεδομένων παρουσιάζεται στο ακόλουθο διάγραμμα:

Επίλυση εργασιών WorldSkills της ενότητας Network στην αρμοδιότητα του «SiSA». Μέρος 2 - Βασική ρύθμιση

Η τοπολογία δικτύου σε επίπεδο δικτύου παρουσιάζεται στο ακόλουθο διάγραμμα:

Επίλυση εργασιών WorldSkills της ενότητας Network στην αρμοδιότητα του «SiSA». Μέρος 2 - Βασική ρύθμιση

Προρύθμιση

Πριν εκτελέσετε τις παραπάνω εργασίες, αξίζει να ρυθμίσετε τη βασική ενεργοποίηση των διακοπτών SW1-SW3, καθώς θα είναι πιο βολικό να ελέγξετε τις ρυθμίσεις τους στο μέλλον. Η ρύθμιση εναλλαγής θα περιγραφεί λεπτομερώς στο επόμενο άρθρο, αλλά προς το παρόν θα οριστούν μόνο οι ρυθμίσεις.

Το πρώτο βήμα είναι να δημιουργήσετε vlans με αριθμούς 99, 100 και 300 σε όλους τους διακόπτες:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Το επόμενο βήμα είναι να μεταφέρετε τη διεπαφή g0/1 στο SW1 στον αριθμό vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Οι διεπαφές f0/1-2, f0/5-6, οι οποίες είναι στραμμένες προς άλλους διακόπτες, θα πρέπει να αλλάξουν σε λειτουργία κορμού:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Στον διακόπτη SW2 στη λειτουργία κορμού θα υπάρχουν διεπαφές f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Στον διακόπτη SW3 σε λειτουργία κορμού θα υπάρχουν διεπαφές f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Σε αυτό το στάδιο, οι ρυθμίσεις μεταγωγέα θα επιτρέψουν την ανταλλαγή πακέτων με ετικέτα, η οποία απαιτείται για την ολοκλήρωση εργασιών.

1. Δημιουργήστε εικονικές διεπαφές, υποδιεπαφές και διεπαφές επαναφοράς σε ΟΛΕΣ τις συσκευές. Εκχωρήστε διευθύνσεις IP σύμφωνα με την τοπολογία.

Πρώτα θα διαμορφωθεί ο δρομολογητής BR1. Σύμφωνα με την τοπολογία L3, εδώ πρέπει να διαμορφώσετε μια διεπαφή τύπου βρόχου, γνωστή και ως loopback, αριθμός 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Για να ελέγξετε την κατάσταση της διεπαφής που δημιουργήθηκε, μπορείτε να χρησιμοποιήσετε την εντολή show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Εδώ μπορείτε να δείτε ότι το loopback είναι ενεργό, η κατάστασή του UP. Αν κοιτάξετε παρακάτω, μπορείτε να δείτε δύο διευθύνσεις IPv6, αν και χρησιμοποιήθηκε μόνο μία εντολή για τον ορισμό της διεύθυνσης IPv6. Γεγονός είναι ότι FE80::2D0:97FF:FE94:5022 είναι μια τοπική διεύθυνση συνδέσμου που εκχωρείται όταν το ipv6 είναι ενεργοποιημένο σε μια διεπαφή με την εντολή ipv6 enable.

Και για να προβάλετε τη διεύθυνση IPv4, χρησιμοποιήστε μια παρόμοια εντολή:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Για το BR1, θα πρέπει να διαμορφώσετε αμέσως τη διεπαφή g0/0· εδώ πρέπει απλώς να ορίσετε τη διεύθυνση IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Μπορείτε να ελέγξετε τις ρυθμίσεις με την ίδια εντολή show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Στη συνέχεια, θα ρυθμιστεί ο δρομολογητής ISP. Εδώ, σύμφωνα με την εργασία, θα διαμορφωθεί ο αριθμός επαναφοράς 0, αλλά εκτός από αυτό, είναι προτιμότερο να διαμορφωθεί η διεπαφή g0/0, η οποία θα πρέπει να έχει τη διεύθυνση 30.30.30.1, για το λόγο ότι στις επόμενες εργασίες δεν θα ειπωθεί τίποτα για ρύθμιση αυτών των διεπαφών. Αρχικά, ο αριθμός επαναφοράς 0 διαμορφώνεται:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Ομάδα show ipv6 interface brief Μπορείτε να επαληθεύσετε ότι οι ρυθμίσεις διεπαφής είναι σωστές. Στη συνέχεια διαμορφώνεται η διεπαφή g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Στη συνέχεια, ο δρομολογητής RTR1 θα διαμορφωθεί. Εδώ πρέπει επίσης να δημιουργήσετε έναν αριθμό επαναφοράς 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Επίσης στο RTR1 πρέπει να δημιουργήσετε 2 εικονικές υποδιεπαφές για vlans με αριθμούς 100 και 300. Αυτό μπορεί να γίνει ως εξής.

Αρχικά, πρέπει να ενεργοποιήσετε τη φυσική διεπαφή g0/1 με την εντολή no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Στη συνέχεια δημιουργούνται και διαμορφώνονται υποδιεπαφές με αριθμούς 100 και 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Ο αριθμός υποδιεπαφής μπορεί να διαφέρει από τον αριθμό vlan στον οποίο θα λειτουργήσει, αλλά για ευκολία είναι καλύτερο να χρησιμοποιήσετε τον αριθμό υποδιεπαφής που ταιριάζει με τον αριθμό vlan. Εάν ορίσετε τον τύπο ενθυλάκωσης κατά τη ρύθμιση μιας υποδιεπαφής, θα πρέπει να καθορίσετε έναν αριθμό που να ταιριάζει με τον αριθμό vlan. Μετά την εντολή λοιπόν encapsulation dot1Q 300 η υποδιεπαφή θα περάσει μόνο από πακέτα vlan με αριθμό 300.

Το τελευταίο βήμα σε αυτήν την εργασία θα είναι ο δρομολογητής RTR2. Η σύνδεση μεταξύ SW1 και RTR2 πρέπει να είναι σε λειτουργία πρόσβασης, η διεπαφή μεταγωγέα θα περάσει μόνο προς τα πακέτα RTR2 που προορίζονται για τον αριθμό vlan 300, αυτό αναφέρεται στην εργασία στην τοπολογία L2. Επομένως, μόνο η φυσική διεπαφή θα διαμορφωθεί στο δρομολογητή RTR2 χωρίς τη δημιουργία υποδιεπαφών:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Στη συνέχεια διαμορφώνεται η διεπαφή g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Αυτό ολοκληρώνει τη διαμόρφωση των διεπαφών δρομολογητή για την τρέχουσα εργασία. Οι υπόλοιπες διεπαφές θα διαμορφωθούν καθώς ολοκληρώνετε τις παρακάτω εργασίες.

ένα. Ενεργοποιήστε τον μηχανισμό SLAAC για την έκδοση διευθύνσεων IPv6 στο δίκτυο MNG στη διεπαφή δρομολογητή RTR1
Ο μηχανισμός SLAAC είναι ενεργοποιημένος από προεπιλογή. Το μόνο που χρειάζεται να κάνετε είναι να ενεργοποιήσετε τη δρομολόγηση IPv6. Μπορείτε να το κάνετε αυτό με την ακόλουθη εντολή:

RTR1(config-subif)#ipv6 unicast-routing

Χωρίς αυτήν την εντολή, ο εξοπλισμός λειτουργεί ως κεντρικός υπολογιστής. Με άλλα λόγια, χάρη στην παραπάνω εντολή, καθίσταται δυνατή η χρήση πρόσθετων λειτουργιών ipv6, συμπεριλαμβανομένης της έκδοσης διευθύνσεων ipv6, της ρύθμισης δρομολόγησης κ.λπ.

σι. Σε εικονικές διεπαφές σε VLAN 100 (MNG) στους διακόπτες SW1, SW2, SW3, ενεργοποιήστε τη λειτουργία αυτόματης διαμόρφωσης IPv6
Από την τοπολογία L3 είναι ξεκάθαρο ότι οι διακόπτες είναι συνδεδεμένοι στο VLAN 100. Αυτό σημαίνει ότι είναι απαραίτητο να δημιουργηθούν εικονικές διεπαφές στους διακόπτες και μόνο τότε να τους εκχωρηθεί η λήψη διευθύνσεων IPv6 από προεπιλογή. Η αρχική διαμόρφωση έγινε ακριβώς έτσι ώστε οι διακόπτες να μπορούν να λαμβάνουν προεπιλεγμένες διευθύνσεις από το RTR1. Μπορείτε να ολοκληρώσετε αυτήν την εργασία χρησιμοποιώντας την ακόλουθη λίστα εντολών, κατάλληλη και για τους τρεις διακόπτες:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Μπορείτε να ελέγξετε τα πάντα με την ίδια εντολή show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Εκτός από τη σύνδεση-τοπική διεύθυνση, εμφανίστηκε μια διεύθυνση ipv6 που ελήφθη από το RTR1. Αυτή η εργασία ολοκληρώθηκε με επιτυχία και οι ίδιες εντολές πρέπει να γραφτούν στους υπόλοιπους διακόπτες.

Με. Σε ΟΛΕΣ τις συσκευές (εκτός από PC1 και WEB) εκχωρήστε μη αυτόματα συνδέσμους-τοπικές διευθύνσεις
Οι τριακονταψήφιες διευθύνσεις IPv6 δεν είναι διασκεδαστικές για τους διαχειριστές, επομένως είναι δυνατή η μη αυτόματη αλλαγή της τοπικής σύνδεσης, μειώνοντας το μήκος της σε μια ελάχιστη τιμή. Οι εργασίες δεν αναφέρουν τίποτα σχετικά με το ποιες διευθύνσεις να επιλέξετε, επομένως παρέχεται δωρεάν επιλογή εδώ.

Για παράδειγμα, στον διακόπτη SW1 πρέπει να ορίσετε τη σύνδεση-τοπική διεύθυνση fe80::10. Αυτό μπορεί να γίνει με την ακόλουθη εντολή από τη λειτουργία διαμόρφωσης της επιλεγμένης διεπαφής:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Τώρα η διευθυνσιοδότηση φαίνεται πολύ πιο ελκυστική:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Εκτός από την τοπική διεύθυνση συνδέσμου, έχει αλλάξει και η ληφθείσα διεύθυνση IPv6, αφού η διεύθυνση εκδίδεται με βάση την τοπική διεύθυνση συνδέσμου.

Στον διακόπτη SW1 ήταν απαραίτητο να οριστεί μόνο μία τοπική διεύθυνση σύνδεσης σε μία διεπαφή. Με το δρομολογητή RTR1, πρέπει να κάνετε περισσότερες ρυθμίσεις - πρέπει να ρυθμίσετε το link-local σε δύο υποδιεπαφές, στο loopback και στις επόμενες ρυθμίσεις θα εμφανιστεί επίσης η διεπαφή του tunnel 100.

Για να αποφύγετε την περιττή εγγραφή εντολών, μπορείτε να ορίσετε την ίδια τοπική διεύθυνση συνδέσμου σε όλες τις διεπαφές ταυτόχρονα. Μπορείτε να το κάνετε αυτό χρησιμοποιώντας μια λέξη-κλειδί range ακολουθούμενη από τη λίστα όλων των διεπαφών:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Κατά τον έλεγχο των διεπαφών, θα δείτε ότι οι τοπικές διευθύνσεις συνδέσμων έχουν αλλάξει σε όλες τις επιλεγμένες διεπαφές:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Όλες οι άλλες συσκευές έχουν διαμορφωθεί με παρόμοιο τρόπο

ρε. Σε ΟΛΟΥΣ τους διακόπτες, απενεργοποιήστε ΟΛΕΣ τις θύρες που δεν χρησιμοποιούνται στην εργασία και μεταφέρετε στο VLAN 99
Η βασική ιδέα είναι ο ίδιος τρόπος επιλογής πολλαπλών διεπαφών για διαμόρφωση χρησιμοποιώντας την εντολή range, και μόνο τότε θα πρέπει να γράψετε εντολές για μεταφορά στο επιθυμητό vlan και στη συνέχεια να απενεργοποιήσετε τις διεπαφές. Για παράδειγμα, ο διακόπτης SW1, σύμφωνα με την τοπολογία L1, θα έχει απενεργοποιημένες τις θύρες f0/3-4, f0/7-8, f0/11-24 και g0/2. Για αυτό το παράδειγμα η ρύθμιση θα ήταν η εξής:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Κατά τον έλεγχο των ρυθμίσεων με μια ήδη γνωστή εντολή, αξίζει να σημειωθεί ότι όλες οι θύρες που δεν χρησιμοποιούνται πρέπει να έχουν κατάσταση διοικητικά κάτω, υποδεικνύοντας ότι η θύρα είναι απενεργοποιημένη:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Για να δείτε σε ποιο vlan βρίσκεται η θύρα, μπορείτε να χρησιμοποιήσετε μια άλλη εντολή:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Όλες οι αχρησιμοποίητες διεπαφές πρέπει να βρίσκονται εδώ. Αξίζει να σημειωθεί ότι δεν θα είναι δυνατή η μεταφορά διεπαφών στο vlan εάν δεν έχει δημιουργηθεί ένα τέτοιο vlan. Για το σκοπό αυτό, στην αρχική ρύθμιση δημιουργήθηκαν όλα τα vlans που είναι απαραίτητα για τη λειτουργία.

μι. Στον διακόπτη SW1, ενεργοποιήστε ένα κλείδωμα για 1 λεπτό εάν ο κωδικός πρόσβασης εισαχθεί λανθασμένα δύο φορές μέσα σε 30 δευτερόλεπτα
Μπορείτε να το κάνετε αυτό με την ακόλουθη εντολή:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Μπορείτε επίσης να ελέγξετε αυτές τις ρυθμίσεις ως εξής:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Όπου εξηγείται ξεκάθαρα ότι μετά από δύο ανεπιτυχείς προσπάθειες εντός 30 δευτερολέπτων ή λιγότερο, η δυνατότητα σύνδεσης θα αποκλειστεί για 60 δευτερόλεπτα.

2. Όλες οι συσκευές πρέπει να είναι διαχειρίσιμες μέσω SSH έκδοσης 2

Προκειμένου οι συσκευές να είναι προσβάσιμες μέσω SSH έκδοσης 2, είναι απαραίτητο να διαμορφώσετε πρώτα τον εξοπλισμό, επομένως για ενημερωτικούς σκοπούς, θα διαμορφώσουμε πρώτα τον εξοπλισμό με τις εργοστασιακές ρυθμίσεις.

Μπορείτε να αλλάξετε την έκδοση διάτρησης ως εξής:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Το σύστημα σας ζητά να δημιουργήσετε κλειδιά RSA για να λειτουργήσει το SSH έκδοση 2. Ακολουθώντας τις συμβουλές του έξυπνου συστήματος, μπορείτε να δημιουργήσετε κλειδιά RSA με την ακόλουθη εντολή:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Το σύστημα δεν επιτρέπει την εκτέλεση της εντολής επειδή το όνομα του κεντρικού υπολογιστή δεν έχει αλλάξει. Αφού αλλάξετε το όνομα του κεντρικού υπολογιστή, πρέπει να γράψετε ξανά την εντολή δημιουργίας κλειδιού:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Τώρα το σύστημα δεν σας επιτρέπει να δημιουργήσετε κλειδιά RSA λόγω έλλειψης ονόματος τομέα. Και μετά την εγκατάσταση του ονόματος τομέα, θα είναι δυνατή η δημιουργία κλειδιών RSA. Τα κλειδιά RSA πρέπει να έχουν μήκος τουλάχιστον 768 bit για να λειτουργήσει η έκδοση 2 του SSH:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Ως αποτέλεσμα, αποδεικνύεται ότι για να λειτουργήσει το SSHv2 είναι απαραίτητο:

  1. Αλλαγή ονόματος κεντρικού υπολογιστή.
  2. Αλλαγή ονόματος τομέα.
  3. Δημιουργήστε κλειδιά RSA.

Το προηγούμενο άρθρο έδειξε πώς μπορείτε να αλλάξετε το όνομα κεντρικού υπολογιστή και το όνομα τομέα σε όλες τις συσκευές, επομένως, ενώ συνεχίζετε να διαμορφώνετε τις τρέχουσες συσκευές, χρειάζεται μόνο να δημιουργήσετε κλειδιά RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Η έκδοση 2 του SSH είναι ενεργή, αλλά οι συσκευές δεν έχουν ακόμη διαμορφωθεί πλήρως. Το τελευταίο βήμα θα είναι η ρύθμιση εικονικών κονσολών:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Στο προηγούμενο άρθρο, διαμορφώθηκε το μοντέλο AAA, όπου ο έλεγχος ταυτότητας ορίστηκε σε εικονικές κονσόλες χρησιμοποιώντας μια τοπική βάση δεδομένων και ο χρήστης, μετά τον έλεγχο ταυτότητας, έπρεπε να περάσει αμέσως σε προνομιακή λειτουργία. Η απλούστερη δοκιμή της λειτουργικότητας του SSH είναι να προσπαθήσετε να συνδεθείτε με τον δικό σας εξοπλισμό. Το RTR1 έχει loopback με διεύθυνση IP 1.1.1.1, μπορείτε να δοκιμάσετε να συνδεθείτε σε αυτήν τη διεύθυνση:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Μετά το κλειδί -l Εισαγάγετε τα στοιχεία σύνδεσης του υπάρχοντος χρήστη και, στη συνέχεια, τον κωδικό πρόσβασης. Μετά τον έλεγχο ταυτότητας, ο χρήστης μεταβαίνει αμέσως σε προνομιακή λειτουργία, πράγμα που σημαίνει ότι το SSH έχει ρυθμιστεί σωστά.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο