Ni daŭre analizas la taskojn de la Reto-modulo de la WorldSkills-ĉampioneco en la kompetenteco "Reto kaj Sistemadministrado".
La artikolo kovros la sekvajn taskojn:
- Sur ĈIUJ aparatoj, kreu virtualajn interfacojn, subinterfacojn kaj loopback-interfacojn. Asignu IP-adresojn laŭ la topologio.
- Ebligu la SLAAC-mekanismon por elsendi IPv6-adresojn en la MNG-reto sur la RTR1-enkursigilo-interfaco;
- Sur virtualaj interfacoj en VLAN 100 (MNG) ĉe ŝaltiloj SW1, SW2, SW3, ebligu IPv6 aŭtomatan agordan reĝimon;
- Sur ĈIUJ aparatoj (krom PC1 kaj WEB) mane asignu lig-lokajn adresojn;
- Sur ĈIUJ ŝaltiloj, malŝaltu ĈIUJN havenojn ne uzataj en la tasko kaj transiru al VLAN 99;
- Ĉe ŝaltilo SW1, ebligu ŝlosilon dum 1 minuto se la pasvorto estas enmetita malĝuste dufoje ene de 30 sekundoj;
- Ĉiuj aparatoj devas esti regeblaj per SSH-versio 2.
La retotopologio ĉe la fizika tavolo estas prezentita en la sekva diagramo:
La retotopologio ĉe la datenliga nivelo estas prezentita en la sekva diagramo:
La retotopologio ĉe la retonivelo estas prezentita en la sekva diagramo:
Antaŭ-agordo
Antaŭ ol plenumi ĉi-suprajn taskojn, indas agordi bazan ŝaltilon sur ŝaltiloj SW1-SW3, ĉar estos pli oportune kontroli iliajn agordojn estonte. La ŝanĝa agordo estos detale priskribita en la sekva artikolo, sed nuntempe nur la agordoj estos difinitaj.
Antaŭ ĉio, vi devas krei vlanojn kun numeroj 99, 100 kaj 300 sur ĉiuj ŝaltiloj:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
La sekva paŝo estas translokigi interfacon g0/1 al SW1 al vlan numero 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Interfacoj f0/1-2, f0/5-6, kiuj alfrontas aliajn ŝaltilojn, devus esti ŝanĝitaj al trunka reĝimo:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Ĉe ŝaltilo SW2 en trunka reĝimo estos interfacoj f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Ĉe ŝaltilo SW3 en trunka reĝimo estos interfacoj f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
En ĉi tiu etapo, la ŝanĝaj agordoj permesos la interŝanĝon de etikeditaj pakaĵoj, kiu estas postulata por plenumi taskojn.
1. Kreu virtualajn interfacojn, subinterfacojn kaj loopback-interfacojn sur ĈIUJ aparatoj. Asignu IP-adresojn laŭ la topologio.
Enkursigilo BR1 estos agordita unue. Laŭ la topologio L3, ĉi tie vi devas agordi buklo-specan interfacon, ankaŭ konatan kiel loopback, numero 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Por kontroli la staton de la kreita interfaco, vi povas uzi la komandon show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Ĉi tie vi povas vidi ke loopback estas aktiva, ĝia stato UP. Se vi rigardas sube, vi povas vidi du IPv6-adresojn, kvankam nur unu komando estis uzata por agordi la IPv6-adreson. La fakto estas tio FE80::2D0:97FF:FE94:5022 estas ligilo-loka adreso kiu estas asignita kiam ipv6 estas ebligita sur interfaco kun la komando ipv6 enable.
Kaj por vidi la IPv4-adreson, uzu similan komandon:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Por BR1, vi devas tuj agordi la g0/0-interfacon; ĉi tie vi nur bezonas agordi la IPv6-adreson:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Vi povas kontroli la agordojn per la sama komando show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Poste, la ISP-enkursigilo estos agordita. Ĉi tie, laŭ la tasko, loopback numero 0 estos agordita, sed krom tio, estas preferinde agordi la interfacon g0/0, kiu havu la adreson 30.30.30.1, pro tio, ke en postaj taskoj nenio estos dirita pri starigi ĉi tiujn interfacojn. Unue, loopback numero 0 estas agordita:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
teamo show ipv6 interface brief Vi povas kontroli, ke la interfaco-agordoj estas ĝustaj. Tiam interfaco g0/0 estas agordita:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Poste, la RTR1-enkursigilo estos agordita. Ĉi tie vi ankaŭ devas krei loopback numeron 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ankaŭ ĉe RTR1 vi devas krei 2 virtualajn subinterfacojn por vlanoj kun numeroj 100 kaj 300. Ĉi tio povas esti farita jene.
Unue, vi devas ebligi la fizikan interfacon g0/1 per la komando sen haltigo:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Tiam subinterfacoj kun numeroj 100 kaj 300 estas kreitaj kaj agorditaj:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
La subinterfaco-numero eble diferencas de la vlan-numero en kiu ĝi funkcios, sed por oportuno estas pli bone uzi la subinterfaco-numeron, kiu kongruas kun la vlan-numero. Se vi agordas la enkapsulan tipon kiam vi agordas subinterfacon, vi devus specifi nombron, kiu kongruas kun la vlan-numero. Do post la komando encapsulation dot1Q 300 la subinterfaco nur trapasos vlan-pakojn kun numero 300.
La fina paŝo en ĉi tiu tasko estos la RTR2-enkursigilo. La konekto inter SW1 kaj RTR2 devas esti en alirreĝimo, la ŝaltila interfaco transiros al RTR2 nur pakaĵetoj destinitaj por vlan numero 300, tio estas deklarita en la tasko pri la L2-topologio. Tial, nur la fizika interfaco estos agordita sur la RTR2-enkursigilo sen krei subinterfacojn:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Tiam interfaco g0/0 estas agordita:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ĉi tio kompletigas la agordon de enkursigilo-interfacoj por la nuna tasko. La ceteraj interfacoj estos agorditaj dum vi plenumos la sekvajn taskojn.
a. Ebligu la SLAAC-mekanismon por elsendi IPv6-adresojn en la MNG-reto sur la RTR1-enkursigilo-interfaco
La SLAAC-mekanismo estas ebligita defaŭlte. La nura afero, kiun vi devas fari, estas ebligi IPv6-vojigon. Vi povas fari tion per la sekva komando:
RTR1(config-subif)#ipv6 unicast-routing
Sen ĉi tiu komando, la ekipaĵo funkcias kiel gastiganto. Alivorte, danke al la ĉi-supra komando, eblas uzi pliajn ipv6-funkciojn, inkluzive de eldonado de ipv6-adresoj, agordo de enrutado ktp.
b. Sur virtualaj interfacoj en VLAN 100 (MNG) ĉe ŝaltiloj SW1, SW2, SW3, ebligu IPv6-aŭtomatagordan reĝimon
De la L3-topologio estas klare, ke la ŝaltiloj estas konektitaj al VLAN 100. Ĉi tio signifas, ke necesas krei virtualajn interfacojn sur la ŝaltiloj, kaj nur tiam asigni ilin por ricevi IPv6-adresojn defaŭlte. La komenca agordo estis farita ĝuste tiel ke la ŝaltiloj povis ricevi defaŭltajn adresojn de RTR1. Vi povas plenumi ĉi tiun taskon uzante la jenan liston de komandoj, taŭgaj por ĉiuj tri ŝaltiloj:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Vi povas kontroli ĉion per la sama komando show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Krom la ligilo-loka adreso aperis ipv6-adreso ricevita de RTR1. Ĉi tiu tasko estis sukcese plenumita, kaj la samaj komandoj devas esti skribitaj sur la ceteraj ŝaltiloj.
Kun. Sur ĈIUJ aparatoj (krom PC1 kaj WEB) mane asignu lig-lokajn adresojn
Tridek-ciferaj IPv6-adresoj ne amuzas por administrantoj, do eblas mane ŝanĝi la lokan ligilon, reduktante ĝian longon al minimuma valoro. La taskoj diras nenion pri kiuj adresoj elekti, do libera elekto estas disponigita ĉi tie.
Ekzemple, ĉe ŝaltilo SW1 vi devas agordi la ligilo-lokan adreson fe80::10. Ĉi tio povas esti farita per la sekva komando de la agorda reĝimo de la elektita interfaco:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nun alparolado aspektas multe pli alloga:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Krom la lig-loka adreso, la ricevita IPv6-adreso ankaŭ ŝanĝiĝis, ĉar la adreso estas eldonita surbaze de la lig-loka adreso.
Ĉe ŝaltilo SW1 necesis agordi nur unu lig-lokan adreson sur unu interfaco. Kun la RTR1-enkursigilo, vi devas fari pli da agordoj - vi devas agordi lig-lokan sur du subinterfacoj, sur la loopback, kaj en postaj agordoj ankaŭ aperos la tunela 100-interfaco.
Por eviti nenecesan skribadon de komandoj, vi povas agordi la saman lig-lokan adreson ĉe ĉiuj interfacoj samtempe. Vi povas fari tion uzante ŝlosilvorton range sekvate listigante ĉiujn interfacojn:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Kontrolante la interfacojn, vi vidos, ke la lig-lokaj adresoj estis ŝanĝitaj en ĉiuj elektitaj interfacoj:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Ĉiuj aliaj aparatoj estas agorditaj en simila maniero
d. Sur ĈIUJ ŝaltiloj, malŝaltu ĈIUJN havenojn ne uzatajn en la laboro kaj transiru al VLAN 99
La baza ideo estas la sama maniero elekti plurajn interfacojn por agordi per la komando range, kaj nur tiam vi devus skribi komandojn por transdoni al la dezirata vlan kaj poste malŝalti la interfacojn. Ekzemple, ŝaltilo SW1, laŭ la L1-topologio, havos havenojn f0/3-4, f0/7-8, f0/11-24 kaj g0/2 malŝaltitaj. Por ĉi tiu ekzemplo la agordo estus kiel sekvas:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Kiam vi kontrolas la agordojn per jam konata komando, indas noti, ke ĉiuj neuzataj pordoj devas havi statuson. administre malsupren, indikante ke la haveno estas malŝaltita:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Por vidi en kiu vlan estas la haveno, vi povas uzi alian komandon:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Ĉiuj neuzataj interfacoj devus esti ĉi tie. Indas noti, ke ne eblos transdoni interfacojn al vlan se tia vlan ne estas kreita. Estas por ĉi tiu celo, ke ĉiuj vlanoj necesaj por funkciado estis kreitaj en la komenca aranĝo.
e. Ĉe ŝaltilo SW1, ebligu ŝlosilon dum 1 minuto se la pasvorto estas enmetita malĝuste dufoje ene de 30 sekundoj
Vi povas fari tion per la sekva komando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Vi ankaŭ povas kontroli ĉi tiujn agordojn jene:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kie estas klare klarigite, ke post du malsukcesaj provoj ene de 30 sekundoj aŭ malpli, la kapablo ensaluti estos blokita dum 60 sekundoj.
2. Ĉiuj aparatoj devas esti regeblaj per SSH-versio 2
Por ke aparatoj estu alireblaj per SSH-versio 2, necesas unue agordi la ekipaĵon, do por informaj celoj, ni unue agordos la ekipaĵon kun fabrikaj agordoj.
Vi povas ŝanĝi la trapikan version jene:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
La sistemo petas vin krei RSA-ŝlosilojn por ke SSH-versio 2 funkciu. Sekvante la konsilojn de la inteligenta sistemo, vi povas krei RSA-ŝlosilojn per la sekva komando:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
La sistemo ne permesas la komandon esti efektivigita ĉar la gastiga nomo ne estis ŝanĝita. Ŝanĝinte la gastigan nomon, vi devas skribi la komandon de ŝlosilgenerado denove:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nun la sistemo ne permesas al vi krei RSA-ŝlosilojn pro la manko de domajna nomo. Kaj post instalo de la domajna nomo, eblos krei RSA-ŝlosilojn. RSA-ŝlosiloj devas esti almenaŭ 768 bitojn por ke SSH-versio 2 funkciu:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Rezulte, por ke SSHv2 funkciu, necesas:
- Ŝanĝi gastigan nomon;
- Ŝanĝi domajnan nomon;
- Generu RSA-ŝlosilojn.
La antaŭa artikolo montris kiel ŝanĝi la gastigan nomon kaj domajnan nomon en ĉiuj aparatoj, do dum vi daŭre agordas la nunajn aparatojn, vi nur bezonas generi RSA-ŝlosilojn:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH-versio 2 estas aktiva, sed la aparatoj ankoraŭ ne estas plene agorditaj. La fina paŝo estos agordi virtualajn konzolojn:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
En la antaŭa artikolo, la AAA-modelo estis agordita, kie aŭtentikigo estis agordita sur virtualaj konzoloj uzante lokan datumbazon, kaj la uzanto, post aŭtentigo, devis tuj eniri privilegian reĝimon. La plej simpla testo de SSH-funkcio estas provi konekti al via propra ekipaĵo. RTR1 havas loopback kun IP-adreso 1.1.1.1, vi povas provi konektiĝi al ĉi tiu adreso:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Post la ŝlosilo -l Enigu la ensaluton de la ekzistanta uzanto, kaj poste la pasvorton. Post aŭtentigo, la uzanto tuj ŝanĝas al privilegia reĝimo, kio signifas, ke SSH estas ĝuste agordita.
fonto: www.habr.com