Jätkame WorldSkillsi meistrivõistluste Võrgumooduli ülesannete analüüsimist „Võrgu- ja süsteemihaldus“ pädevuses.
Artiklis käsitletakse järgmisi ülesandeid:
- KÕIKIDES seadmetes looge virtuaalsed liidesed, alamliidesed ja loopback liidesed. Määrake IP-aadressid vastavalt topoloogiale.
- Lubage SLAAC-i mehhanism väljastada IPv6-aadresse MNG võrgus RTR1 ruuteri liideses;
- VLAN 100 (MNG) virtuaalliidestel lülititel SW1, SW2, SW3 lubage IPv6 automaatse konfigureerimise režiim;
- KÕIKIDES seadmetes (välja arvatud PC1 ja WEB) määrake käsitsi link-kohalikud aadressid;
- KÕIKIDES lülitites keelake KÕIK pordid, mida ülesandes ei kasutata, ja kandke üle VLAN 99-le;
- Lülitil SW1 lubage 1 minutiks lukk, kui sisestate parooli kaks korda 30 sekundi jooksul valesti;
- Kõik seadmed peavad olema hallatavad SSH versiooni 2 kaudu.
Füüsilise kihi võrgu topoloogia on esitatud järgmisel diagrammil:
Võrgu topoloogia andmeühenduse tasemel on esitatud järgmisel diagrammil:
Võrgu topoloogia võrgu tasemel on esitatud järgmisel diagrammil:
eelseadistus
Enne ülaltoodud ülesannete täitmist tasub seadistada põhilised sisselülitused lülitid SW1-SW3, kuna edaspidi on nende seadeid mugavam kontrollida. Lülituse seadistust kirjeldatakse üksikasjalikult järgmises artiklis, kuid praegu määratletakse ainult seaded.
Esimene samm on luua kõikidel lülititel vlanid numbritega 99, 100 ja 300:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Järgmine samm on liidese g0/1 ülekandmine SW1-le vlani numbrile 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Liidesed f0/1-2, f0/5-6, mis on suunatud teistele lülititele, tuleks lülitada magistraalrežiimile:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Lülitil SW2 magistraalrežiimis on liidesed f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Lülitil SW3 magistraalrežiimis on liidesed f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Selles etapis võimaldavad lüliti sätted vahetada märgistatud pakette, mis on vajalik ülesannete täitmiseks.
1. Looge KÕIKIDES seadmetes virtuaalsed liidesed, alamliidesed ja loopback liidesed. Määrake IP-aadressid vastavalt topoloogiale.
Kõigepealt konfigureeritakse ruuter BR1. Vastavalt L3 topoloogiale peate siin konfigureerima loop-tüüpi liidese, tuntud ka kui loopback, number 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Loodud liidese oleku kontrollimiseks saate kasutada käsku show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Siin näete, et loopback on aktiivne, selle olek UP. Kui vaatate allpool, näete kahte IPv6 aadressi, kuigi IPv6 aadressi määramiseks kasutati ainult ühte käsku. Fakt on see, et FE80::2D0:97FF:FE94:5022 on lingi kohalik aadress, mis määratakse siis, kui ipv6 on käsuga liideses lubatud ipv6 enable.
Ja IPv4-aadressi vaatamiseks kasutage sarnast käsku:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1 jaoks peaksite kohe konfigureerima g0/0 liidese; siin peate lihtsalt määrama IPv6 aadressi:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Sätteid saate kontrollida sama käsuga show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Järgmisena konfigureeritakse ISP-ruuter. Siin konfigureeritakse vastavalt ülesandele loopback number 0, kuid lisaks sellele on eelistatav seadistada g0/0 liides, mille aadress peaks olema 30.30.30.1, kuna järgmistes ülesannetes ei räägita sellest midagi nende liideste seadistamine. Esiteks konfigureeritakse tagasisilmus number 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
meeskond show ipv6 interface brief Saate kontrollida, kas liidese sätted on õiged. Seejärel konfigureeritakse liides g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Järgmisena konfigureeritakse RTR1 ruuter. Siin peate looma ka tagasisilmuse numbri 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ka RTR1 peal tuleb luua 2 virtuaalset alamliidest vlanidele numbritega 100 ja 300. Seda saab teha järgmiselt.
Esiteks peate lubama füüsilise liidese g0/1 väljalülitamise käsuga:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Seejärel luuakse ja konfigureeritakse alamliidesed numbritega 100 ja 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Alamliidese number võib erineda VLAN-i numbrist, milles see töötab, kuid mugavuse huvides on parem kasutada vlan-numbrile vastavat alamliidese numbrit. Kui määrate alamliidese seadistamisel kapseldamise tüübi, peaksite määrama vlan-numbrile vastava numbri. Nii et käsu peale encapsulation dot1Q 300 alamliides läbib ainult vlan-pakette numbriga 300.
Selle ülesande viimane samm on RTR2 ruuter. Ühendus SW1 ja RTR2 vahel peab olema juurdepääsurežiimis, lüliti liides edastab RTR2 suunas ainult vlan-numbrile 300 mõeldud pakette, see on kirjas L2 topoloogia ülesandes. Seetõttu konfigureeritakse RTR2 ruuteris ainult füüsiline liides ilma alamliideseid loomata:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Seejärel konfigureeritakse liides g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
See lõpetab praeguse ülesande jaoks ruuteri liideste konfigureerimise. Ülejäänud liidesed konfigureeritakse järgmiste toimingute sooritamisel.
a. Lubage SLAAC-mehhanismil RTR6 ruuteri liideses MNG-võrgus IPv1-aadresse väljastada
SLAAC-i mehhanism on vaikimisi lubatud. Ainus asi, mida peate tegema, on IPv6 marsruutimise lubamine. Seda saate teha järgmise käsuga:
RTR1(config-subif)#ipv6 unicast-routing
Ilma selle käsuta toimib seade hostina. Teisisõnu, tänu ülaltoodud käsule on võimalik kasutada täiendavaid ipv6 funktsioone, sealhulgas ipv6 aadresside väljastamine, marsruutimise seadistamine jne.
b. VLAN 100 (MNG) virtuaalliidestel lülititel SW1, SW2, SW3 lubage IPv6 automaatse konfigureerimise režiim
L3 topoloogiast on selge, et lülitid on ühendatud VLAN 100-ga. See tähendab, et lülititele on vaja luua virtuaalsed liidesed ning alles seejärel määrata neile vaikimisi IPv6 aadresside vastuvõtt. Esialgne seadistamine tehti täpselt selleks, et lülitid saaksid RTR1-lt vaikeaadresse vastu võtta. Selle ülesande saate lõpule viia järgmise käskude loendi abil, mis sobivad kõigi kolme lüliti jaoks:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Saate kõike kontrollida sama käsuga show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Lisaks link-kohalikule aadressile ilmus RTR6-lt saadud ipv1 aadress. See ülesanne on edukalt täidetud ja samad käsud tuleb kirjutada ka ülejäänud lülititele.
Koos. KÕIKIDES seadmetes (välja arvatud PC1 ja WEB) määrake käsitsi link-kohalikud aadressid
Kolmekümnekohalised IPv6-aadressid pole administraatorite jaoks lõbusad, seega on võimalik linki käsitsi muuta, vähendades selle pikkust minimaalse väärtuseni. Ülesanded ei ütle midagi selle kohta, milliseid aadresse valida, seega on siin vaba valik.
Näiteks lülitil SW1 peate määrama link-kohaliku aadressi fe80::10. Seda saab teha järgmise käsuga valitud liidese konfiguratsioonirežiimist:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nüüd tundub adresseerimine palju atraktiivsem:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Lisaks link-kohalikule aadressile on muutunud ka vastuvõetud IPv6-aadress, kuna aadress väljastatakse link-kohaliku aadressi alusel.
Lülitile SW1 oli vaja ühel liidesel määrata ainult üks link-kohalik aadress. RTR1 ruuteriga tuleb teha rohkem sätteid - kahel alamliidesel, loopbackil tuleb määrata link-local ja järgnevates seadistustes ilmub ka tunnel 100 liides.
Et vältida tarbetut käskude kirjutamist, saate kõikidele liidestele korraga määrata sama link-kohaliku aadressi. Seda saate teha märksõna abil range millele järgneb kõigi liideste loend:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Liideste kontrollimisel näete, et kõigi valitud liideste link-kohalikud aadressid on muudetud:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Kõik teised seadmed on konfigureeritud sarnaselt
d. KÕIKIDES lülitites keelake KÕIK pordid, mida töös ei kasutata, ja kandke üle VLAN 99-sse
Põhiidee on sama viis mitme liidese valimiseks, mida käsu abil konfigureerida range, ja alles siis peaksite kirjutama käsud soovitud vlan-i ülekandmiseks ja seejärel liidesed välja lülitama. Näiteks lülitatakse lüliti SW1 vastavalt L1 topoloogiale pordid f0/3-4, f0/7-8, f0/11-24 ja g0/2 välja. Selle näite puhul oleks seadistus järgmine:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Seadistuste kontrollimisel juba teadaoleva käsuga tasub tähele panna, et kõigil kasutamata pordidel peab olema olek administratiivselt alla, mis näitab, et port on keelatud:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Et näha, millises vlan-is port on, võite kasutada teist käsku:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Siin peaksid olema kõik kasutamata liidesed. Väärib märkimist, et liideseid vlan-i pole võimalik üle kanda, kui sellist vlan-i pole loodud. Just sel eesmärgil loodi algseadistuses kõik tööks vajalikud vlanid.
e. Lülitil SW1 lubage lukk 1 minutiks, kui parool sisestatakse 30 sekundi jooksul kaks korda valesti
Seda saate teha järgmise käsuga:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Neid seadeid saate kontrollida ka järgmiselt.
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kui on selgelt selgitatud, et pärast kahte ebaõnnestunud katset 30 sekundi jooksul või vähem, blokeeritakse sisselogimisvõimalus 60 sekundiks.
2. Kõik seadmed peavad olema hallatavad SSH versiooni 2 kaudu
Selleks, et seadmed oleksid ligipääsetavad SSH versiooni 2 kaudu, on vaja esmalt seadmed konfigureerida, seega informatiivsel eesmärgil seadistame esmalt seadmed tehaseseadetega.
Torke versiooni saate muuta järgmiselt.
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Süsteem palub luua RSA võtmed, et SSH versioon 2 töötaks. Targa süsteemi nõuandeid järgides saad luua RSA võtmed järgmise käsuga:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Süsteem ei luba käsku täita, kuna hostinime pole muudetud. Pärast hostinime muutmist peate võtme genereerimise käsu uuesti kirjutama:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nüüd ei luba süsteem domeeninime puudumise tõttu RSA võtmeid luua. Ja pärast domeeninime installimist on võimalik luua RSA-võtmeid. SSH versiooni 768 töötamiseks peavad RSA-võtmed olema vähemalt 2 bitti pikad:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Selle tulemusena selgub, et SSHv2 töötamiseks on vaja:
- Muuda hostinime;
- Muuda domeeninime;
- Looge RSA võtmed.
Eelmine artikkel näitas, kuidas muuta hostinime ja domeeninime kõigis seadmetes, nii et jätkates praeguste seadmete konfigureerimist, peate genereerima ainult RSA võtmed:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH versioon 2 on aktiivne, kuid seadmed pole veel täielikult konfigureeritud. Viimane samm on virtuaalsete konsoolide seadistamine:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Eelmises artiklis oli konfigureeritud AAA mudel, kus autentimine seadistati virtuaalsetel konsoolidel kohaliku andmebaasi abil ja kasutaja pidi pärast autentimist kohe minema privilegeeritud režiimi. Lihtsaim SSH funktsionaalsuse test on proovida luua ühendust oma seadmega. RTR1-l on tagasisilmus IP-aadressiga 1.1.1.1, võite proovida selle aadressiga ühenduse luua:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Pärast võtit -l Sisestage olemasoleva kasutaja sisselogimine ja seejärel parool. Pärast autentimist lülitub kasutaja kohe privilegeeritud režiimi, mis tähendab, et SSH on õigesti konfigureeritud.
Allikas: www.habr.com