Seguimos analizando las tareas del módulo Red del campeonato WorldSkills en la competencia “Administración de redes y sistemas”.
Las siguientes tareas serán consideradas en el artículo:
- En TODOS los dispositivos, cree interfaces virtuales, subinterfaces e interfaces de bucle invertido. Asigne direcciones IP según la topología.
- Habilite el mecanismo SLAAC para emitir direcciones IPv6 en la red MNG en la interfaz del enrutador RTR1;
- En las interfaces virtuales en VLAN 100 (MNG) en los conmutadores SW1, SW2, SW3, habilite el modo de configuración automática de IPv6;
- En TODOS los dispositivos (excepto PC1 y WEB), asigne manualmente direcciones de enlace local;
- En TODOS los conmutadores, deshabilite TODOS los puertos que no se utilicen en la tarea y transfiera a VLAN 99;
- En el interruptor SW1, habilite un bloqueo durante 1 minuto si la contraseña se ingresa incorrectamente dos veces en 30 segundos;
- Todos los dispositivos deben ser administrables a través de SSH versión 2.
La topología de la red en la capa física se presenta en el siguiente diagrama:
La topología de la red a nivel de enlace de datos se presenta en el siguiente diagrama:
La topología de la red a nivel de red se presenta en el siguiente diagrama:
Preajuste
Antes de realizar las tareas anteriores, vale la pena configurar el encendido básico en los interruptores SW1-SW3, ya que será más conveniente verificar su configuración en el futuro. La configuración de conmutación se describirá en detalle en el próximo artículo, pero por ahora solo se definirán las configuraciones.
El primer paso es crear VLAN con los números 99, 100 y 300 en todos los conmutadores:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
El siguiente paso es transferir la interfaz g0/1 a SW1 al número de vlan 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Las interfaces f0/1-2, f0/5-6, que se encuentran frente a otros conmutadores, deben cambiarse al modo troncal:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
En el interruptor SW2 en modo troncal habrá interfaces f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
En el interruptor SW3 en modo troncal habrá interfaces f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
En esta etapa, la configuración del conmutador permitirá el intercambio de paquetes etiquetados, lo cual es necesario para completar las tareas.
1. Cree interfaces virtuales, subinterfaces e interfaces de bucle invertido en TODOS los dispositivos. Asigne direcciones IP según la topología.
El enrutador BR1 se configurará primero. Según la topología L3, aquí es necesario configurar una interfaz tipo bucle, también conocida como loopback, número 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Para verificar el estado de la interfaz creada, puede usar el comando show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Aquí puedes ver que loopback está activo, su estado UP. Si miras a continuación, puedes ver dos direcciones IPv6, aunque solo se usó un comando para configurar la dirección IPv6. El hecho es que FE80::2D0:97FF:FE94:5022 es una dirección de enlace local que se asigna cuando ipv6 está habilitado en una interfaz con el comando ipv6 enable.
Y para ver la dirección IPv4, use un comando similar:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Para BR1, debes configurar inmediatamente la interfaz g0/0, aquí solo necesitas configurar la dirección IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Puedes comprobar la configuración con el mismo comando. show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
A continuación, se configurará el enrutador ISP. Aquí, según la tarea, se configurará el loopback número 0, pero además es preferible configurar la interfaz g0/0, la cual debe tener la dirección 30.30.30.1, por lo que en tareas posteriores no se dirá nada al respecto. configurar estas interfaces. Primero, se configura el loopback número 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
equipo show ipv6 interface brief Puede verificar que la configuración de la interfaz sea correcta. Luego se configura la interfaz g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
A continuación, se configurará el enrutador RTR1. Aquí también necesitas crear un loopback número 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
También en RTR1 necesita crear 2 subinterfaces virtuales para VLAN con los números 100 y 300. Esto se puede hacer de la siguiente manera.
Primero, debe habilitar la interfaz física g0/1 con el comando de no apagado:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Luego se crean y configuran las subinterfaces con los números 100 y 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
El número de subinterfaz puede diferir del número de VLAN en el que funcionará, pero por conveniencia es mejor usar el número de subinterfaz que coincida con el número de VLAN. Si configura el tipo de encapsulación al configurar una subinterfaz, debe especificar un número que coincida con el número de VLAN. Entonces después del comando encapsulation dot1Q 300 la subinterfaz solo pasará a través de paquetes vlan con el número 300.
El último paso en esta tarea será el enrutador RTR2. La conexión entre SW1 y RTR2 debe estar en modo de acceso, la interfaz del switch pasará hacia RTR2 solo los paquetes destinados a la vlan número 300, esto se indica en la tarea sobre la topología L2. Por lo tanto, en el router RTR2 solo se configurará la interfaz física sin crear subinterfaces:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Luego se configura la interfaz g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Esto completa la configuración de las interfaces del enrutador para la tarea actual. Las interfaces restantes se configurarán a medida que complete las siguientes tareas.
a. Habilite el mecanismo SLAAC para emitir direcciones IPv6 en la red MNG en la interfaz del enrutador RTR1
El mecanismo SLAAC está habilitado de forma predeterminada. Lo único que debe hacer es habilitar el enrutamiento IPv6. Puedes hacer esto con el siguiente comando:
RTR1(config-subif)#ipv6 unicast-routing
Sin este comando, el equipo actúa como anfitrión. En otras palabras, gracias al comando anterior, es posible utilizar funciones ipv6 adicionales, incluida la emisión de direcciones ipv6, la configuración de enrutamiento, etc.
b. En interfaces virtuales en VLAN 100 (MNG) en los conmutadores SW1, SW2, SW3, habilite el modo de configuración automática de IPv6
De la topología L3 se desprende claramente que los conmutadores están conectados a la VLAN 100. Esto significa que es necesario crear interfaces virtuales en los conmutadores y solo entonces asignarles la recepción de direcciones IPv6 de forma predeterminada. La configuración inicial se realizó precisamente para que los conmutadores pudieran recibir direcciones predeterminadas de RTR1. Puede completar esta tarea utilizando la siguiente lista de comandos, adecuados para los tres conmutadores:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Puedes comprobar todo con el mismo comando. show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Además de la dirección de enlace local, apareció una dirección ipv6 recibida de RTR1. Esta tarea se completó con éxito y se deben escribir los mismos comandos en los conmutadores restantes.
Con. En TODOS los dispositivos (excepto PC1 y WEB), asigne manualmente direcciones de enlace local
Las direcciones IPv6 de treinta dígitos no son divertidas para los administradores, por lo que es posible cambiar manualmente el enlace local, reduciendo su longitud a un valor mínimo. Las asignaciones no dicen nada sobre qué direcciones elegir, por lo que aquí se ofrece libertad de elección.
Por ejemplo, en el conmutador SW1 debe configurar la dirección de enlace local fe80::10. Esto se puede hacer con el siguiente comando desde el modo de configuración de la interfaz seleccionada:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Ahora abordar parece mucho más atractivo:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Además de la dirección local de enlace, la dirección IPv6 recibida también ha cambiado, ya que la dirección se emite en función de la dirección local de enlace.
En el conmutador SW1 fue necesario configurar solo una dirección de enlace local en una interfaz. Con el enrutador RTR1, debe realizar más configuraciones: debe configurar el enlace local en dos subinterfaces, en el loopback, y en configuraciones posteriores también aparecerá la interfaz del túnel 100.
Para evitar la escritura innecesaria de comandos, puede configurar la misma dirección de enlace local en todas las interfaces a la vez. Puedes hacer esto usando una palabra clave. range seguido de una lista de todas las interfaces:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Al verificar las interfaces, verá que las direcciones locales de enlace se han cambiado en todas las interfaces seleccionadas:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Todos los demás dispositivos están configurados de manera similar.
d. En TODOS los conmutadores, deshabilite TODOS los puertos que no se utilizan en el trabajo y transfiera a VLAN 99
La idea básica es la misma forma de seleccionar múltiples interfaces para configurar usando el comando range, y solo entonces debe escribir comandos para transferir a la VLAN deseada y luego apagar las interfaces. Por ejemplo, el switch SW1, según la topología L1, tendrá los puertos f0/3-4, f0/7-8, f0/11-24 y g0/2 deshabilitados. Para este ejemplo, la configuración sería la siguiente:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Al verificar la configuración con un comando ya conocido, vale la pena señalar que todos los puertos no utilizados deben tener un estado administrativamente abajo, indicando que el puerto está deshabilitado:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Para ver en qué VLAN está el puerto, puede usar otro comando:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Todas las interfaces no utilizadas deberían estar aquí. Vale la pena señalar que no será posible transferir interfaces a VLAN si no se ha creado dicha VLAN. Es por ello que en la configuración inicial se crearon todas las VLAN necesarias para el funcionamiento.
mi. En el interruptor SW1, habilite un bloqueo durante 1 minuto si la contraseña se ingresa incorrectamente dos veces en 30 segundos.
Puedes hacer esto con el siguiente comando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
También puede verificar estas configuraciones de la siguiente manera:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Donde se explica claramente que después de dos intentos fallidos dentro de 30 segundos o menos, la capacidad de iniciar sesión se bloqueará durante 60 segundos.
2. Todos los dispositivos deben ser administrables a través de SSH versión 2
Para que los dispositivos sean accesibles vía SSH versión 2 es necesario configurar previamente el equipo, por lo que a modo informativo configuraremos primero el equipo con valores de fábrica.
Puede cambiar la versión de punción de la siguiente manera:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
El sistema le pide que cree claves RSA para que funcione SSH versión 2. Siguiendo los consejos del sistema inteligente, puede crear claves RSA con el siguiente comando:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
El sistema no permite que se ejecute el comando porque el nombre de host no ha sido cambiado. Después de cambiar el nombre de host, debe escribir el comando de generación de clave nuevamente:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Ahora el sistema no le permite crear claves RSA debido a la falta de un nombre de dominio. Y después de instalar el nombre de dominio, será posible crear claves RSA. Las claves RSA deben tener al menos 768 bits de longitud para que funcione la versión 2 de SSH:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Como resultado, resulta que para que SSHv2 funcione es necesario:
- Cambiar nombre de host;
- Cambiar nombre de dominio;
- Generar claves RSA.
El artículo anterior mostró cómo cambiar el nombre de host y el nombre de dominio en todos los dispositivos, de modo que mientras continúa configurando los dispositivos actuales, solo necesita generar claves RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
La versión 2 de SSH está activa, pero los dispositivos aún no están completamente configurados. El último paso será configurar las consolas virtuales:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
En el artículo anterior, se configuró el modelo AAA, donde la autenticación se configuraba en consolas virtuales usando una base de datos local, y el usuario, después de la autenticación, debía ingresar inmediatamente al modo privilegiado. La prueba más sencilla de la funcionalidad SSH es intentar conectarse a su propio equipo. RTR1 tiene un loopback con la dirección IP 1.1.1.1, puedes intentar conectarte a esta dirección:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
despues de la llave -l Ingrese el inicio de sesión del usuario existente y luego la contraseña. Después de la autenticación, el usuario cambia inmediatamente al modo privilegiado, lo que significa que SSH está configurado correctamente.
Fuente: habr.com