WorldSkills txapelketako Sare moduluaren zereginak aztertzen jarraitzen dugu βSare eta Sistema Administrazioaβ konpetentzian.
Artikuluak honako zeregin hauek izango ditu:
- Gailu GUZTIETAN, sortu interfaze birtualak, azpiinterfazeak eta loopback interfazeak. Esleitu IP helbideak topologiaren arabera.
- Gaitu SLAAC mekanismoa MNG sarean IPv6 helbideak igortzeko RTR1 bideratzailearen interfazean;
- VLAN 100 (MNG) interfaze birtualetan SW1, SW2, SW3 etengailuetan, gaitu IPv6 autokonfigurazio modua;
- Gailu GUZTIetan (PC1 eta WEB izan ezik) eskuz esleitu lotura-lokaleko helbideak;
- Etengailu GUZTIetan, desgaitu zereginean erabiltzen ez diren ataka GUZTIAK eta transferitu VLAN 99ra;
- SW1 etengailuan, gaitu 1 minutuz blokeoa pasahitza gaizki sartzen baduzu 30 segundoko epean bi aldiz;
- Gailu guztiak SSH 2. bertsioaren bidez kudeatu behar dira.
Geruza fisikoko sarearen topologia diagrama honetan aurkezten da:
Datu-lotura mailan sarearen topologia diagrama honetan aurkezten da:
Sare-mailako sarearen topologia diagrama honetan azaltzen da:
Aurrez ezartzea
Aurreko zereginak egin aurretik, komeni da SW1-SW3 etengailuetan oinarrizko piztea konfiguratzea, etorkizunean haien ezarpenak egiaztatzea erosoagoa izango baita. Aldaketa-konfigurazioa xehetasunez deskribatuko da hurrengo artikuluan, baina oraingoz ezarpenak bakarrik definituko dira.
Lehenengo urratsa 99, 100 eta 300 zenbakiekin vlanak sortzea da etengailu guztietan:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Hurrengo urratsa g0/1 interfazea SW1era 300 zenbakira transferitzea da:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Beste etengailu batzuen aurrean dauden f0/1-2, f0/5-6 interfazeak enbor modura aldatu behar dira:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Enbor moduan SW2 etengailuan f0/1-4 interfazeak egongo dira:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Enbor moduan SW3 etengailuan f0/3-6, g0/1 interfazeak egongo dira:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Fase honetan, switch-ezarpenek etiketatutako paketeen trukea ahalbidetuko dute, zereginak burutzeko beharrezkoa dena.
1. Sortu interfaze birtualak, azpiinterfazeak eta loopback interfazeak gailu GUZTIetan. Esleitu IP helbideak topologiaren arabera.
BR1 routerra konfiguratuko da lehenik. L3 topologiaren arabera, hemen begizta motako interfaze bat konfiguratu behar duzu, loopback izenez ere ezaguna, 101 zenbakia:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ loopback
BR1(config)#interface loopback 101
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv4-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅
BR1(config-if)#ipv6 enable
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv6-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ipv6 address 2001:B:A::1/64
// ΠΡΡ
ΠΎΠ΄ ΠΈΠ· ΡΠ΅ΠΆΠΈΠΌΠ° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#exit
BR1(config)#
Sortutako interfazearen egoera egiaztatzeko, komandoa erabil dezakezu show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
BR1#
Hemen ikus dezakezu loopback aktibo dagoela, bere egoera UP. Behean begiratuz gero, bi IPv6 helbide ikus ditzakezu, nahiz eta komando bakarra erabili IPv6 helbidea ezartzeko. Kontua da FE80::2D0:97FF:FE94:5022 komandoa duen interfaze batean ipv6 gaituta dagoenean esleitzen den esteka-lokaleko helbidea da ipv6 enable.
Eta IPv4 helbidea ikusteko, erabili antzeko komando bat:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1erako, berehala konfiguratu beharko zenuke g0/0 interfazea; hemen IPv6 helbidea ezarri besterik ez duzu behar:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ Π² ΡΠ΅ΠΆΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config)#interface gigabitEthernet 0/0
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Ezarpenak komando berarekin egiaztatu ditzakezu show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:C::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
Ondoren, ISP bideratzailea konfiguratuko da. Hemen, zereginaren arabera, 0 loopback zenbakia konfiguratuko da, baina honetaz gain, hobe da g0/0 interfazea konfiguratzea, zeinak 30.30.30.1 helbidea izan beharko lukeen, hurrengo zereginetan ez baita ezer esango. interfaze hauek konfiguratzea. Lehenik eta behin, 0 loopback zenbakia konfiguratuta dago:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
taldea show ipv6 interface brief Interfazearen ezarpenak zuzenak direla egiaztatu dezakezu. Ondoren, g0/0 interfazea konfiguratuta dago:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ondoren, RTR1 bideratzailea konfiguratuko da. Hemen ere 100 loopback zenbaki bat sortu behar duzu:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
RTR1-en ere 2 eta 100 zenbakidun vlanetarako 300 azpiinterfaze birtual sortu behar dituzu. Hau honela egin daiteke.
Lehenik eta behin, g0/1 interfaze fisikoa gaitu behar duzu ez itzaltzeko komandoarekin:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Ondoren, 100 eta 300 zenbakidun azpiinterfazeak sortzen eta konfiguratzen dira:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 100 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.100
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 300 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.300
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Azpiinterfazearen zenbakia funtzionatuko duen vlan-zenbakitik desberdina izan daiteke, baina erosotasunerako hobe da vlan-zenbakiarekin bat datorren azpiinterfazearen zenbakia erabiltzea. Azpiinterfazea konfiguratzean kapsulazio mota ezartzen baduzu, vlan zenbakiarekin bat datorren zenbaki bat zehaztu beharko zenuke. Agindu ondoren, beraz encapsulation dot1Q 300 azpiinterfazea 300 zenbakia duten vlan paketeetatik bakarrik pasatuko da.
Zeregin honen azken urratsa RTR2 bideratzailea izango da. SW1 eta RTR2 arteko konexioak sarbide moduan egon behar du, switch-interfazea RTR2-ra bakarrik pasatuko da 300 vlan zenbakirako pentsatutako paketeak, hori L2 topologiako atazan adierazten da. Beraz, interfaze fisikoa bakarrik konfiguratuko da RTR2 bideratzailean azpiinterfazeak sortu gabe:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Ondoren, g0/0 interfazea konfiguratuta dago:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Honek bideratzaileen interfazeen konfigurazioa amaitzen du uneko zereginerako. Gainerako interfazeak konfiguratuko dira hurrengo zereginak bete ahala.
a. Gaitu SLAAC mekanismoa MNG sarean IPv6 helbideak igortzeko RTR1 bideratzailearen interfazean
SLAAC mekanismoa lehenespenez gaituta dago. Egin behar duzun gauza bakarra IPv6 bideraketa gaitzea da. Hau egin dezakezu komando honekin:
RTR1(config-subif)#ipv6 unicast-routing
Komando hori gabe, ekipoak ostalari gisa jokatzen du. Beste era batera esanda, goiko komandoari esker, ipv6 funtzio osagarriak erabiltzea posible egiten da, besteak beste, ipv6 helbideak ematea, bideratzea konfiguratzea, etab.
b. VLAN 100 (MNG) interfaze birtualetan SW1, SW2, SW3 etengailuetan, gaitu IPv6 autokonfigurazio modua
L3 topologiatik argi dago etengailuak VLAN 100era konektatuta daudela. Horrek esan nahi du beharrezkoa dela kommutadoreetan interfaze birtualak sortzea, eta soilik orduan esleitu IPv6 helbideak lehenespenez jasotzeko. Hasierako konfigurazioa hain zuzen egin zen, etengailuek RTR1-en helbide lehenetsiak jaso ahal izateko. Zeregin hau bete dezakezu komandoen zerrenda hau erabiliz, hiru etengailuetarako egokiak:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// ΠΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π°Π΄ΡΠ΅ΡΠ° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Dena egiaztatu dezakezu komando berarekin show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local Π°Π΄ΡΠ΅Ρ
2001:100::A8BB:CCFF:FE80:C000 // ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΉ IPv6-Π°Π΄ΡΠ΅Ρ
Link-local helbideaz gain, RTR6etik jasotako ipv1 helbide bat agertu zen. Zeregin hau behar bezala burutu da, eta komando berdinak idatzi behar dira gainerako etengailuetan.
Horrekin. Gailu GUZTIetan (PC1 eta WEB izan ezik) eskuz esleitu lotura-lokaleko helbideak
Hogeita hamar digituko IPv6 helbideak ez dira dibertigarriak administratzaileentzat, beraz, eskuz alda daiteke link-local, bere luzera gutxieneko balio batera murriztuz. Lanek ez dute ezer esaten zein helbide aukeratu, beraz, aukera librea eskaintzen da hemen.
Adibidez, SW1 etengailuan esteka-lokal helbidea ezarri behar duzu fe80::10. Hau hautatutako interfazearen konfigurazio moduko komando honekin egin daiteke:
// ΠΡ
ΠΎΠ΄ Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ vlan 100
SW1(config)#interface vlan 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Orain helbideratzeak askoz erakargarriagoa dirudi:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local Π°Π΄ΡΠ΅c
2001:100::10 //IPv6-Π°Π΄ΡΠ΅Ρ
Esteka-lokaleko helbideaz gain, jasotako IPv6 helbidea ere aldatu da, helbidea esteka-lokaleko helbidean oinarrituta ematen baita.
SW1 etengailuan beharrezkoa zen esteka-lokaleko helbide bakarra ezartzea interfaze batean. RTR1 bideratzailearekin ezarpen gehiago egin behar dituzu: link-local ezarri behar duzu bi azpiinterfazeetan, loopback-ean, eta ondorengo ezarpenetan tunnel 100 interfazea ere agertuko da.
Komandoak alferrikako idazketa saihesteko, esteka-helbide lokal bera ezar dezakezu aldi berean interfaze guztietan. Hau egin dezakezu gako-hitz bat erabiliz range ondoren, interfaze guztiak zerrendatuz:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ
ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Interfazeak egiaztatzean, lotura-lokaleko helbideak hautatutako interfaze guztietan aldatu direla ikusiko duzu:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Beste gailu guztiak antzeko moduan konfiguratuta daude
d. Etengailu GUZTIetan, desgaitu lanean erabiltzen ez diren ataka GUZTIAK eta transferitu VLAN 99ra
Oinarrizko ideia komandoa erabiliz konfiguratzeko hainbat interfaze hautatzeko modu bera da range, eta orduan bakarrik idatzi behar dituzu komandoak nahi duzun vlanera transferitzeko eta gero interfazeak itzali. Adibidez, SW1 etengailuak, L1 topologiaren arabera, f0/3-4, f0/7-8, f0/11-24 eta g0/2 atakak desgaituta izango ditu. Adibide honetarako ezarpena hau izango litzateke:
// ΠΡΠ±ΠΎΡ Π²ΡΠ΅Ρ
Π½Π΅ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ
ΠΏΠΎΡΡΠΎΠ²
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΡΠ΅ΠΆΠΈΠΌΠ° access Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°Ρ
SW1(config-if-range)#switchport mode access
// ΠΠ΅ΡΠ΅Π²ΠΎΠ΄ Π² VLAN 99 ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#switchport access vlan 99
// ΠΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Ezarpenak dagoeneko ezaguna den komando batekin egiaztatzean, kontuan izan behar da erabiltzen ez diren ataka guztiek egoera bat izan behar dutela. administratiboki behera, ataka desgaituta dagoela adieraziz:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Portua zein vlan dagoen ikusteko, beste komando bat erabil dezakezu:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Erabiltzen ez diren interfaze guztiak hemen egon beharko lirateke. Aipatzekoa da ezin izango dela interfazeak vlan-era transferitu, halako vlan bat sortu ez bada. Horretarako hasierako konfigurazioan funtzionatzeko beharrezkoak diren vlan guztiak sortu ziren.
e. SW1 etengailuan, gaitu blokeoa minutu batean pasahitza gaizki sartzen bada 1 segundotan bi aldiz
Hau egin dezakezu komando honekin:
// ΠΠ»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠ° Π½Π° 60Ρ; ΠΠΎΠΏΡΡΠΊΠΈ: 2; Π ΡΠ΅ΡΠ΅Π½ΠΈΠ΅: 30Ρ
SW1#login block-for 60 attempts 2 within 30
Ezarpen hauek ere egiazta ditzakezu honela:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Non argi eta garbi azaltzen den 30 segundo edo gutxiagoko bi saiakera huts egin ondoren, saioa hasteko gaitasuna 60 segundoz blokeatuko da.
2. Gailu guztiak SSH 2. bertsioaren bidez kudeatu behar dira
Gailuak SSH 2. bertsioaren bidez eskuragarri egon daitezen, beharrezkoa da ekipamendua lehenik konfiguratzea, beraz, informazio-helburuetarako, lehenik ekipamendua fabrikako ezarpenekin konfiguratuko dugu.
Zulaketaren bertsioa honela alda dezakezu:
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π²Π΅ΡΡΠΈΡ SSH Π²Π΅ΡΡΠΈΠΈ 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistemak RSA gakoak sortzea eskatzen dizu SSH 2. bertsioa funtziona dezan. Sistema adimendunaren aholkuei jarraituz, RSA gakoak sor ditzakezu komando honekin:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ RSA ΠΊΠ»ΡΡΠ΅ΠΉ
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistemak ez du komandoa exekutatzea onartzen, ostalariaren izena aldatu ez delako. Ostalariaren izena aldatu ondoren, berriro idatzi behar duzu gakoak sortzeko komandoa:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Orain sistemak ez dizu RSA gakoak sortzen uzten domeinu-izen falta dela eta. Eta domeinu-izena instalatu ondoren, RSA gakoak sortzea posible izango da. RSA gakoek gutxienez 768 bit izan behar dute SSH 2 bertsioa funtziona dezan:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Ondorioz, SSHv2-k funtziona dezan beharrezkoa da:
- Aldatu ostalariaren izena;
- Aldatu domeinu-izena;
- Sortu RSA gakoak.
Aurreko artikuluak gailu guztietan ostalari-izena eta domeinu-izena nola aldatu erakutsi zuen, beraz, uneko gailuak konfiguratzen jarraitzen duzun bitartean, RSA gakoak soilik sortu behar dituzu:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH 2 bertsioa aktibo dago, baina gailuak ez daude oraindik guztiz konfiguratuta. Azken urratsa kontsola birtualak konfiguratzea izango da:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
ΠΊΠΎΠ½ΡΠΎΠ»Π΅ΠΉ
R1(config)#line vty 0 4
// Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Ρ SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Aurreko artikuluan, AAA eredua konfiguratu zen, non autentifikazioa kontsola birtualetan ezarri zen tokiko datu-base bat erabiliz, eta erabiltzaileak, autentifikatu ondoren, modu pribilegiatuan sartu behar zuen berehala. SSH funtzionalitatearen probarik errazena zure ekipamendura konektatzen saiatzea da. RTR1-ek 1.1.1.1 IP helbidea duen loopback bat du, helbide honetara konektatzen saia zaitezke:
//ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΏΠΎ ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Giltzaren ondoren -l Sartu lehendik dagoen erabiltzailearen saioa eta, ondoren, pasahitza. Autentifikazioaren ondoren, erabiltzailea modu pribilegiatura aldatzen da berehala, hau da, SSH behar bezala konfiguratuta dagoela esan nahi du.
Iturria: www.habr.com