ما به تجزیه و تحلیل وظایف ماژول شبکه مسابقات جهانی مهارت در صلاحیت "شبکه و مدیریت سیستم" ادامه می دهیم.

وظایف زیر در مقاله در نظر گرفته خواهد شد:

1. در همه دستگاه‌ها، رابط‌های مجازی، زیرواسط‌ها و رابط‌های حلقه بک ایجاد کنید. آدرس های IP را با توجه به توپولوژی اختصاص دهید.
   • مکانیسم SLAAC را برای صدور آدرس های IPv6 در شبکه MNG در رابط روتر RTR1 فعال کنید.
   • در رابط های مجازی در VLAN 100 (MNG) روی سوئیچ های SW1، SW2، SW3، حالت پیکربندی خودکار IPv6 را فعال کنید.
   • در همه دستگاه‌ها (به جز PC1 و WEB) به صورت دستی آدرس‌های پیوند محلی را اختصاص دهید.
   • در ALL سوئیچ ها، تمام پورت هایی که در کار استفاده نشده اند را غیرفعال کنید و به VLAN 99 منتقل کنید.
   • در سوئیچ SW1، اگر رمز عبور دو بار در عرض 1 ثانیه اشتباه وارد شود، قفل را برای 30 دقیقه فعال کنید.
2. همه دستگاه ها باید از طریق SSH نسخه 2 قابل مدیریت باشند.

توپولوژی شبکه در لایه فیزیکی در نمودار زیر ارائه شده است:

توپولوژی شبکه در سطح پیوند داده در نمودار زیر ارائه شده است:

توپولوژی شبکه در سطح شبکه در نمودار زیر ارائه شده است:

از پیش تنظیم

قبل از انجام وظایف فوق، ارزش راه اندازی کلیدهای سوئیچ SW1-SW3 را دارد، زیرا در آینده بررسی تنظیمات آنها راحت تر خواهد بود. تنظیمات سوئیچینگ در مقاله بعدی به تفصیل توضیح داده خواهد شد، اما در حال حاضر فقط تنظیمات تعریف خواهند شد.

اولین قدم این است که vlan هایی با اعداد 99، 100 و 300 در تمام سوئیچ ها ایجاد کنید:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

مرحله بعدی انتقال رابط g0/1 به SW1 به vlan شماره 300 است:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

رابط های f0/1-2، f0/5-6، که با سوییچ های دیگر روبرو هستند، باید به حالت ترانک سوئیچ شوند:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

در سوئیچ SW2 در حالت Trunk، رابط های f0/1-4 وجود خواهد داشت:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

در سوئیچ SW3 در حالت Trunk، رابط های f0/3-6، g0/1 وجود خواهد داشت:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

در این مرحله تنظیمات سوئیچ امکان تبادل بسته‌های برچسب‌گذاری شده را فراهم می‌کند که برای تکمیل وظایف لازم است.

1. واسط های مجازی، زیرواسط ها و رابط های حلقه بک را در همه دستگاه ها ایجاد کنید. آدرس های IP را با توجه به توپولوژی اختصاص دهید.

ابتدا روتر BR1 پیکربندی می شود. با توجه به توپولوژی L3، در اینجا باید یک رابط نوع حلقه را پیکربندی کنید، که به نام حلقه بک نیز شناخته می شود، شماره 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

برای بررسی وضعیت رابط ایجاد شده می توانید از دستور استفاده کنید show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

در اینجا می توانید ببینید که حلقه بک فعال است، وضعیت آن UP. اگر به زیر نگاه کنید، می توانید دو آدرس IPv6 را مشاهده کنید، اگرچه فقط یک دستور برای تنظیم آدرس IPv6 استفاده شده است. حقیقت این هست که FE80::2D0:97FF:FE94:5022 یک آدرس پیوند محلی است که وقتی ipv6 در یک رابط با دستور فعال می شود، اختصاص داده می شود ipv6 enable.

و برای مشاهده آدرس IPv4 از دستور مشابه استفاده کنید:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

برای BR1، باید فورا رابط g0/0 را پیکربندی کنید؛ در اینجا فقط باید آدرس IPv6 را تنظیم کنید:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

با همین دستور می توانید تنظیمات را بررسی کنید show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

سپس روتر ISP پیکربندی می شود. در اینجا با توجه به وظیفه، حلقه بک شماره 0 پیکربندی می شود، اما علاوه بر این، ترجیحاً رابط g0/0 که باید آدرس 30.30.30.1 را داشته باشد، پیکربندی شود، زیرا در کارهای بعدی چیزی در مورد آن گفته نمی شود. راه اندازی این رابط ها ابتدا، حلقه بک شماره 0 پیکربندی می شود:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

تیم show ipv6 interface brief می توانید تأیید کنید که تنظیمات رابط درست است. سپس رابط g0/0 پیکربندی می شود:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

سپس روتر RTR1 پیکربندی می شود. در اینجا شما همچنین باید یک حلقه بک شماره 100 ایجاد کنید:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

همچنین در RTR1 باید 2 زیراینترفیس مجازی برای vlan ها با اعداد 100 و 300 ایجاد کنید. این کار به صورت زیر قابل انجام است.

ابتدا باید رابط فیزیکی g0/1 را با دستور no shutdown فعال کنید:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

سپس زیرمجموعه هایی با اعداد 100 و 300 ایجاد و پیکربندی می شوند:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

شماره واسط فرعی ممکن است با شماره vlan که در آن کار می کند متفاوت باشد، اما برای راحتی کار بهتر است از شماره واسط فرعی که با شماره vlan مطابقت دارد استفاده کنید. اگر نوع کپسولاسیون را هنگام تنظیم یک زیرمجموعه تنظیم کنید، باید عددی را مشخص کنید که با شماره vlan مطابقت داشته باشد. پس بعد از دستور encapsulation dot1Q 300 اینترفیس فرعی فقط از بسته های vlan با شماره 300 عبور می کند.

آخرین مرحله در این کار، روتر RTR2 خواهد بود. اتصال بین SW1 و RTR2 باید در حالت دسترسی باشد، رابط سوئیچ فقط به بسته های RTR2 در نظر گرفته شده برای vlan شماره 300 منتقل می شود، این در وظیفه در توپولوژی L2 بیان شده است. بنابراین، تنها رابط فیزیکی در روتر RTR2 بدون ایجاد زیرواسط پیکربندی می شود:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

سپس رابط g0/0 پیکربندی می شود:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

این کار پیکربندی رابط های روتر را برای کار فعلی تکمیل می کند. رابط های باقیمانده با تکمیل وظایف زیر پیکربندی می شوند.

آ. مکانیسم SLAAC را برای صدور آدرس های IPv6 در شبکه MNG در رابط روتر RTR1 فعال کنید
مکانیسم SLAAC به طور پیش فرض فعال است. تنها کاری که باید انجام دهید این است که مسیریابی IPv6 را فعال کنید. با دستور زیر می توانید این کار را انجام دهید:

RTR1(config-subif)#ipv6 unicast-routing

بدون این دستور، تجهیزات به عنوان میزبان عمل می کنند. به عبارت دیگر، به لطف دستور فوق، استفاده از توابع اضافی ipv6 از جمله صدور آدرس ipv6، راه اندازی مسیریابی و غیره امکان پذیر می شود.

ب در رابط های مجازی در VLAN 100 (MNG) روی سوئیچ های SW1، SW2، SW3، حالت پیکربندی خودکار IPv6 را فعال کنید
از توپولوژی L3 مشخص است که سوئیچ ها به VLAN 100 متصل هستند. این بدان معنی است که لازم است رابط های مجازی روی سوئیچ ها ایجاد شود و تنها پس از آن به آنها به طور پیش فرض برای دریافت آدرس های IPv6 اختصاص داده شود. پیکربندی اولیه دقیقاً انجام شد تا سوئیچ ها بتوانند آدرس های پیش فرض را از RTR1 دریافت کنند. شما می توانید این کار را با استفاده از لیست دستورات زیر که برای هر سه سوئیچ مناسب است تکمیل کنید:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

با همین دستور می توانید همه چیز را بررسی کنید show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

علاوه بر آدرس لینک محلی، یک آدرس IPv6 دریافت شده از RTR1 ظاهر شد. این کار با موفقیت انجام شد و همان دستورات باید روی سوئیچ های باقی مانده نوشته شود.

با. در همه دستگاه‌ها (به جز PC1 و WEB) به صورت دستی آدرس‌های پیوند محلی را اختصاص دهید
آدرس های IPv6 سی رقمی برای مدیران سرگرم کننده نیست، بنابراین می توان به صورت دستی پیوند محلی را تغییر داد و طول آن را به حداقل مقدار کاهش داد. تکالیف چیزی در مورد اینکه کدام آدرس را انتخاب کنید نمی گویند، بنابراین یک انتخاب آزاد در اینجا ارائه شده است.

برای مثال، در سوئیچ SW1 باید آدرس لینک محلی fe80::10 را تنظیم کنید. این را می توان با دستور زیر از حالت پیکربندی رابط انتخاب شده انجام داد:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

اکنون آدرس دهی بسیار جذاب تر به نظر می رسد:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

علاوه بر آدرس لینک محلی، آدرس IPv6 دریافتی نیز تغییر کرده است، زیرا آدرس بر اساس آدرس لینک محلی صادر می شود.

در سوئیچ SW1 لازم بود فقط یک آدرس پیوند محلی در یک رابط تنظیم شود. با روتر RTR1، باید تنظیمات بیشتری انجام دهید - باید link-local را روی دو واسط فرعی، در حلقه بک تنظیم کنید، و در تنظیمات بعدی رابط تونل 100 نیز ظاهر می شود.

برای جلوگیری از نوشتن غیرضروری دستورات، می‌توانید آدرس پیوند محلی یکسانی را در همه رابط‌ها به طور همزمان تنظیم کنید. شما می توانید این کار را با استفاده از یک کلمه کلیدی انجام دهید range به دنبال فهرست کردن همه اینترفیس ها:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

هنگام بررسی اینترفیس ها، می بینید که آدرس های پیوند محلی در تمام اینترفیس های انتخاب شده تغییر کرده اند:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

تمام دستگاه های دیگر به روشی مشابه پیکربندی شده اند

د در همه سوئیچ ها، همه پورت هایی که در کار استفاده نمی شوند را غیرفعال کنید و به VLAN 99 منتقل کنید
ایده اصلی همان روش انتخاب چندین رابط برای پیکربندی با استفاده از دستور است rangeو تنها پس از آن باید دستورات انتقال به vlan مورد نظر را بنویسید و سپس اینترفیس ها را خاموش کنید. برای مثال سوئیچ SW1 طبق توپولوژی L1 دارای پورت های f0/3-4، f0/7-8، f0/11-24 و g0/2 غیرفعال خواهد بود. برای این مثال تنظیمات به صورت زیر خواهد بود:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

هنگام بررسی تنظیمات با یک دستور از قبل شناخته شده، شایان ذکر است که تمام پورت های استفاده نشده باید دارای وضعیت باشند از نظر اداری پایین است، نشان می دهد که پورت غیرفعال است:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

برای اینکه ببینید پورت در کدام vlan قرار دارد، می توانید از دستور دیگری استفاده کنید:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

تمام رابط های استفاده نشده باید اینجا باشند. شایان ذکر است که در صورت عدم ایجاد چنین vlan امکان انتقال اینترفیس ها به vlan وجود نخواهد داشت. برای این منظور است که در راه اندازی اولیه تمام vlan های لازم برای عملیات ایجاد شد.

ه. در سوئیچ SW1، اگر رمز عبور دو بار در عرض 1 ثانیه اشتباه وارد شود، قفل را برای 30 دقیقه فعال کنید.
با دستور زیر می توانید این کار را انجام دهید:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

همچنین می توانید این تنظیمات را به صورت زیر بررسی کنید:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

جایی که به وضوح توضیح داده شده است که پس از دو بار تلاش ناموفق در مدت 30 ثانیه یا کمتر، امکان ورود به سیستم به مدت 60 ثانیه مسدود می شود.

2. همه دستگاه ها باید از طریق SSH نسخه 2 قابل مدیریت باشند

برای اینکه دستگاه ها از طریق SSH نسخه 2 در دسترس باشند، ابتدا باید تجهیزات را پیکربندی کنید، بنابراین برای اهداف اطلاعاتی، ابتدا تجهیزات را با تنظیمات کارخانه پیکربندی می کنیم.

شما می توانید نسخه سوراخ را به صورت زیر تغییر دهید:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

سیستم از شما می خواهد که کلیدهای RSA را برای SSH نسخه 2 بسازید که با توجه به توصیه سیستم هوشمند می توانید با دستور زیر کلیدهای RSA ایجاد کنید:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

سیستم اجازه نمی دهد دستور اجرا شود زیرا نام میزبان تغییر نکرده است. پس از تغییر نام میزبان، باید دوباره دستور تولید کلید را بنویسید:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

اکنون سیستم به دلیل عدم وجود نام دامنه به شما اجازه ایجاد کلیدهای RSA را نمی دهد. و پس از نصب نام دامنه، امکان ایجاد کلیدهای RSA وجود خواهد داشت. کلیدهای RSA باید حداقل 768 بیت داشته باشند تا SSH نسخه 2 کار کند:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

در نتیجه، معلوم می شود که برای کار SSHv2 لازم است:

1. تغییر نام میزبان؛
2. تغییر نام دامنه؛
3. کلیدهای RSA را تولید کنید.

مقاله قبلی نحوه تغییر نام میزبان و نام دامنه را در همه دستگاه ها نشان داد، بنابراین در حالی که پیکربندی دستگاه های فعلی را ادامه می دهید، فقط باید کلیدهای RSA را ایجاد کنید:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH نسخه 2 فعال است، اما دستگاه ها هنوز به طور کامل پیکربندی نشده اند. مرحله آخر راه اندازی کنسول های مجازی خواهد بود:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

در مقاله قبلی، مدل AAA پیکربندی شد، که در آن احراز هویت با استفاده از یک پایگاه داده محلی بر روی کنسول های مجازی تنظیم می شد و کاربر پس از احراز هویت، باید بلافاصله به حالت ممتاز می رفت. ساده ترین آزمایش عملکرد SSH این است که سعی کنید به تجهیزات خود متصل شوید. RTR1 دارای یک Loopback با آدرس IP 1.1.1.1 است، می توانید سعی کنید به این آدرس متصل شوید:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

بعد از کلید -l ورود کاربر موجود و سپس رمز عبور را وارد کنید. پس از احراز هویت، کاربر بلافاصله به حالت ممتاز سوئیچ می کند، به این معنی که SSH به درستی پیکربندی شده است.

منبع: www.habr.com