Jatkamme WorldSkills-mestaruuskilpailun Network-moduulin tehtävien analysointia "Verkko- ja järjestelmähallinta" -kompetenssissa.
Artikkeli kattaa seuraavat tehtävät:
- Luo KAIKKIIN laitteisiin virtuaalisia rajapintoja, alirajapintoja ja silmukkarajapintoja. Määritä IP-osoitteet topologian mukaan.
- Ota SLAAC-mekanismi käyttöön IPv6-osoitteiden myöntämiseksi MNG-verkossa RTR1-reitittimen rajapinnassa;
- VLAN 100:n (MNG) virtuaaliliitännöissä kytkimissä SW1, SW2, SW3 ota IPv6:n automaattinen määritystila käyttöön;
- KAIKISSA laitteissa (paitsi PC1 ja WEB) määritä linkin paikalliset osoitteet manuaalisesti;
- Poista KAIKKI kytkimet käytöstä KAIKKI portit, joita ei käytetä tehtävässä ja siirrä VLAN 99:ään;
- Ota kytkimessä SW1 käyttöön lukitus 1 minuutiksi, jos salasana syötetään väärin kahdesti 30 sekunnin sisällä;
- Kaikkien laitteiden on oltava hallittavissa SSH-version 2 kautta.
Fyysisen kerroksen verkkotopologia on esitetty seuraavassa kaaviossa:
Verkkotopologia datalinkkitasolla on esitetty seuraavassa kaaviossa:
Verkkotopologia verkkotasolla on esitetty seuraavassa kaaviossa:
esiasetus
Ennen edellä mainittujen tehtävien suorittamista kannattaa laittaa peruskytkimet SW1-SW3 päälle, sillä niiden asetukset on jatkossa helpompi tarkistaa. Kytkentäasetukset kuvataan yksityiskohtaisesti seuraavassa artikkelissa, mutta toistaiseksi vain asetukset määritellään.
Ensimmäinen askel on luoda vlaneja numeroilla 99, 100 ja 300 kaikkiin kytkimiin:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Seuraava vaihe on siirtää liitäntä g0/1 SW1:een vlan-numeroon 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Liitännät f0/1-2, f0/5-6, jotka ovat muihin kytkimiin päin, tulee vaihtaa runkotilaan:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Kytkimessä SW2 runkotilassa on liitännät f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Kytkimessä SW3 runkotilassa on liitännät f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Tässä vaiheessa kytkimen asetukset sallivat merkittyjen pakettien vaihdon, mikä tarvitaan tehtävien suorittamiseen.
1. Luo virtuaalisia rajapintoja, alirajapintoja ja loopback-liitäntöjä KAIKKIIN laitteisiin. Määritä IP-osoitteet topologian mukaan.
Reititin BR1 konfiguroidaan ensin. L3-topologian mukaan tässä sinun on määritettävä silmukkatyyppinen käyttöliittymä, joka tunnetaan myös nimellä loopback, numero 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Voit tarkistaa luodun käyttöliittymän tilan komennolla show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Tästä näet, että takaisinkytkentä on aktiivinen, sen tila UP. Jos katsot alla, näet kaksi IPv6-osoitetta, vaikka IPv6-osoitteen asettamiseen käytettiin vain yhtä komentoa. Tosiasia on, että FE80::2D0:97FF:FE94:5022 on linkki-paikallinen osoite, joka määritetään, kun ipv6 on otettu käyttöön liitännässä komennon kanssa ipv6 enable.
Ja nähdäksesi IPv4-osoitteen, käytä samanlaista komentoa:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1:lle sinun tulee heti määrittää g0/0-liitäntä, tässä sinun tarvitsee vain asettaa IPv6-osoite:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Voit tarkistaa asetukset samalla komennolla show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Seuraavaksi ISP-reititin konfiguroidaan. Täällä konfiguroidaan tehtävän mukaan silmukkanumero 0, mutta tämän lisäksi on suositeltavaa määrittää g0/0-liitäntä, jonka osoite tulee olla 30.30.30.1, koska myöhemmissä tehtävissä ei puhuta mitään. näiden rajapintojen asettaminen. Ensin konfiguroidaan takaisinkytkentänumero 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tiimi show ipv6 interface brief Voit varmistaa, että käyttöliittymäasetukset ovat oikein. Sitten liitäntä g0/0 konfiguroidaan:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Seuraavaksi RTR1-reititin konfiguroidaan. Täällä sinun on myös luotava silmukan numero 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Myös RTR1:een täytyy luoda 2 virtuaalista aliliittymää vlaneille numeroilla 100 ja 300. Tämä voidaan tehdä seuraavasti.
Ensin sinun on otettava käyttöön fyysinen käyttöliittymä g0/1 no shutdown -komennolla:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Sitten luodaan ja konfiguroidaan alirajapinnat numeroilla 100 ja 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Aliliittymän numero voi poiketa vlan-numerosta, jossa se toimii, mutta mukavuuden vuoksi on parempi käyttää vlan-numeroa vastaavaa alirajapinnan numeroa. Jos määrität kapselointityypin aliliittymää määrittäessäsi, sinun tulee määrittää numero, joka vastaa vlan-numeroa. Siis käskyn jälkeen encapsulation dot1Q 300 alirajapinta kulkee vain vlan-pakettien läpi, joiden numero on 300.
Viimeinen vaihe tässä tehtävässä on RTR2-reititin. SW1:n ja RTR2:n välisen yhteyden tulee olla pääsytilassa, kytkinrajapinta välittää RTR2:een vain vlan-numerolle 300 tarkoitetut paketit, tämä todetaan L2-topologian tehtävässä. Siksi vain fyysinen liitäntä määritetään RTR2-reitittimessä luomatta alirajapintoja:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Sitten liitäntä g0/0 konfiguroidaan:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Tämä päättää reitittimen liitäntöjen määrittämisen nykyistä tehtävää varten. Loput liitännät määritetään, kun suoritat seuraavat tehtävät.
a. Ota SLAAC-mekanismi käyttöön IPv6-osoitteiden myöntämiseksi MNG-verkossa RTR1-reitittimen rajapinnassa
SLAAC-mekanismi on oletuksena käytössä. Ainoa asia, joka sinun tarvitsee tehdä, on ottaa IPv6-reititys käyttöön. Voit tehdä tämän seuraavalla komennolla:
RTR1(config-subif)#ipv6 unicast-routing
Ilman tätä komentoa laite toimii isäntänä. Toisin sanoen yllä olevan komennon ansiosta on mahdollista käyttää ipv6-lisätoimintoja, mukaan lukien ipv6-osoitteiden myöntäminen, reitityksen määrittäminen jne.
b. Ota käyttöön IPv100:n automaattinen määritystila VLAN 1:n (MNG) virtuaalisissa liitännöissä kytkimissä SW2, SW3, SW6
L3-topologiasta selviää, että kytkimet on kytketty VLAN 100:aan. Tämä tarkoittaa, että kytkimille on luotava virtuaaliset rajapinnat ja vasta sen jälkeen osoitettava ne vastaanottamaan oletusarvoisesti IPv6-osoitteita. Alkukonfigurointi tehtiin juuri siksi, että kytkimet voisivat vastaanottaa oletusosoitteita RTR1:stä. Voit suorittaa tämän tehtävän käyttämällä seuraavaa komentoluetteloa, joka sopii kaikille kolmelle kytkimelle:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Voit tarkistaa kaiken samalla komennolla show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Link-local-osoitteen lisäksi ilmestyi RTR6:ltä saatu ipv1-osoite. Tämä tehtävä on suoritettu onnistuneesti, ja samat komennot on kirjoitettava muihin kytkimiin.
Kanssa. KAIKKIIN laitteisiin (paitsi PC1 ja WEB) määritä linkki-paikalliset osoitteet manuaalisesti
Kolmikymmennumeroiset IPv6-osoitteet eivät ole hauskoja järjestelmänvalvojille, joten linkkipaikallista on mahdollista muuttaa manuaalisesti vähentämällä sen pituus minimiarvoon. Tehtävät eivät kerro mitään siitä, mitkä osoitteet valitaan, joten tässä on vapaa valinta.
Esimerkiksi kytkimessä SW1 sinun on asetettava link-local-osoite fe80::10. Tämä voidaan tehdä seuraavalla komennolla valitun käyttöliittymän konfigurointitilasta:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Nyt puhuminen näyttää paljon houkuttelevammalta:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Link-local-osoitteen lisäksi myös vastaanotettu IPv6-osoite on muuttunut, koska osoite annetaan linkki-paikallisen osoitteen perusteella.
Kytkimessä SW1 oli tarpeen asettaa vain yksi linkki-paikallinen osoite yhteen rajapintaan. RTR1-reitittimellä sinun on tehtävä enemmän asetuksia - sinun on asetettava link-local kahdelle alirajapinnalle, silmukalle, ja myöhemmissä asetuksissa tulee näkyviin myös tunneli 100 -liitäntä.
Voit välttää tarpeettoman komentojen kirjoittamisen asettamalla saman linkki-paikallisen osoitteen kaikkiin liitäntöihin kerralla. Voit tehdä tämän käyttämällä avainsanaa range jonka jälkeen luetellaan kaikki liitännät:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Kun tarkistat liitännät, näet, että linkkipaikalliset osoitteet on muutettu kaikissa valituissa liitännöissä:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Kaikki muut laitteet on määritetty samalla tavalla
d. Poista KAIKISTA kytkimistä KAIKKI portit, joita ei käytetä työssä, ja siirrä VLAN 99:ään
Perusideana on sama tapa valita useita rajapintoja määritettäväksi komennolla range, ja vasta sitten sinun tulee kirjoittaa komennot siirtyäksesi haluttuun vlan-verkkoon ja kytkeä sitten rajapinnat pois päältä. Esimerkiksi kytkimessä SW1 on L1-topologian mukaan portit f0/3-4, f0/7-8, f0/11-24 ja g0/2 pois käytöstä. Tässä esimerkissä asetus olisi seuraava:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Kun asetuksia tarkistetaan jo tunnetulla komennolla, on hyvä huomioida, että kaikilla käyttämättömillä porteilla on oltava tila hallinnollisesti alas, joka osoittaa, että portti on poistettu käytöstä:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Jos haluat nähdä, missä vlanissa portti on, voit käyttää toista komentoa:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Kaikki käyttämättömät liitännät pitäisi olla tässä. On syytä huomata, että rajapintoja ei ole mahdollista siirtää vlaniin, jos tällaista vlan:ia ei ole luotu. Tätä tarkoitusta varten luotiin alkuasennuksessa kaikki toimintaan tarvittavat vlanit.
e. Ota kytkimessä SW1 käyttöön lukitus 1 minuutiksi, jos salasana kirjoitetaan väärin kahdesti 30 sekunnin sisällä
Voit tehdä tämän seuraavalla komennolla:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Voit myös tarkistaa nämä asetukset seuraavasti:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Jos on selkeästi selitetty, että kahden epäonnistuneen yrityksen jälkeen 30 sekunnin sisällä tai vähemmän, sisäänkirjautuminen estetään 60 sekunniksi.
2. Kaikkien laitteiden on oltava hallittavissa SSH-version 2 kautta
Jotta laitteet olisivat käytettävissä SSH-version 2 kautta, laitteet on ensin konfiguroitava, joten tiedotustarkoituksessa konfiguroimme laitteet ensin tehdasasetuksiin.
Voit muuttaa pistoversiota seuraavasti:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Järjestelmä pyytää sinua luomaan RSA-avaimet, jotta SSH-versio 2 toimisi. Älykkään järjestelmän neuvoja noudattaen voit luoda RSA-avaimet seuraavalla komennolla:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Järjestelmä ei salli komennon suorittamista, koska isäntänimeä ei ole muutettu. Isäntänimen vaihtamisen jälkeen sinun on kirjoitettava avainten luontikomento uudelleen:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nyt järjestelmä ei salli sinun luoda RSA-avaimia verkkotunnuksen puuttumisen vuoksi. Ja verkkotunnuksen asennuksen jälkeen on mahdollista luoda RSA-avaimia. RSA-avainten on oltava vähintään 768 bittiä pitkiä, jotta SSH-versio 2 toimii:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Tämän seurauksena käy ilmi, että SSHv2:n toimiminen edellyttää:
- Vaihda isäntänimi;
- Vaihda verkkotunnuksen nimi;
- Luo RSA-avaimia.
Edellinen artikkeli osoitti, kuinka isäntänimi ja verkkotunnus vaihdetaan kaikissa laitteissa, joten kun jatkat nykyisten laitteiden määrittämistä, sinun tarvitsee vain luoda RSA-avaimet:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH-versio 2 on aktiivinen, mutta laitteita ei ole vielä täysin määritetty. Viimeinen vaihe on virtuaalikonsolien määrittäminen:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Edellisessä artikkelissa konfiguroitiin AAA-malli, jossa autentikointi asetettiin virtuaalikonsoleille paikallisen tietokannan avulla ja käyttäjän piti todennuksen jälkeen siirtyä välittömästi etuoikeutettuun tilaan. Yksinkertaisin SSH-toiminnallisuuden testi on yrittää muodostaa yhteys omiin laitteisiin. RTR1:ssä on takaisinkytkentä IP-osoitteella 1.1.1.1, voit yrittää muodostaa yhteyden tähän osoitteeseen:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Avaimen jälkeen -l Anna olemassa olevan käyttäjän kirjautumistunnus ja sitten salasana. Todennuksen jälkeen käyttäjä siirtyy välittömästi etuoikeutettuun tilaan, mikä tarkoittaa, että SSH on määritetty oikein.
Lähde: will.com