Le mouvement WorldSkills vise à fournir aux participants des compétences essentiellement pratiques, recherchées sur le marché du travail moderne. La compétence « Administration réseau et système » est composée de trois modules : Réseau, Windows, Linux. Les tâches changent d'un championnat à l'autre, les conditions de la compétition changent, mais la structure des tâches reste pour l'essentiel inchangée.
Network Island sera le premier en raison de sa simplicité par rapport aux îles Linux et Windows.
Les tâches suivantes seront considérées dans l'article :
- Définir les noms de TOUS les appareils en fonction de la topologie
- Attribuez le nom de domaine wsrvuz19.ru à TOUS les appareils
- Créer l'utilisateur wsrvuz19 sur TOUS les appareils avec le mot de passe Cisco
- Le mot de passe de l'utilisateur doit être stocké dans la configuration grâce à une fonction de hachage.
- L'utilisateur doit disposer du niveau de privilèges maximum.
- Pour TOUS les appareils, implémentez le modèle AAA.
- L'authentification sur la console distante doit être effectuée à l'aide de la base de données locale (sauf pour les appareils RTR1 et RTR2)
- Après une authentification réussie, lors de la connexion à partir d'une console distante, l'utilisateur doit immédiatement passer en mode avec le niveau de privilèges maximum.
- Configurez le besoin d'authentification sur la console locale.
- Une authentification réussie sur la console locale doit placer l'utilisateur dans un mode avec des privilèges minimaux.
- Sur BR1, après authentification réussie sur la console locale, l'utilisateur doit être dans un mode avec le niveau de privilèges maximum
- Sur TOUS les appareils, définissez le mot de passe wsr pour accéder au mode privilégié.
- Le mot de passe doit être stocké dans la configuration et NON comme résultat d'une fonction de hachage.
- Configurez un mode dans lequel tous les mots de passe de la configuration sont stockés sous forme cryptée.
La topologie du réseau au niveau de la couche physique est présentée dans le schéma suivant :
1. Définissez les noms de TOUS les appareils en fonction de la topologie
Pour définir le nom de l'appareil (nom d'hôte), vous devez entrer la commande à partir du mode de configuration globale hostname SW1, où à la place SW1 Vous devez inscrire le nom de l'équipement indiqué dans les tâches.
Vous pouvez même vérifier les paramètres visuellement - au lieu du préréglage Interrupteur était SW1:
Switch(config)# hostname SW1
SW1(config)#
La tâche principale après avoir effectué des réglages est de sauvegarder la configuration.
Cela peut être fait depuis le mode de configuration globale avec la commande do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Ou depuis le mode privilégié avec la commande write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Attribuez le nom de domaine wsrvuz19.ru à TOUS les appareils
Vous pouvez définir le nom de domaine par défaut wsrvuz19.ru depuis le mode de configuration globale avec la commande ip domain-name wsrvuz19.ru.
La vérification s'effectue avec la commande do show hosts summary depuis le mode de configuration globale :
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Créez l'utilisateur wsrvuz19 sur TOUS les appareils avec le mot de passe Cisco
Il est nécessaire de créer un utilisateur pour qu'il dispose du niveau maximum de privilèges, et le mot de passe soit stocké sous forme de fonction de hachage. Toutes ces conditions sont prises en compte par l'équipe username wsrvuz19 privilege 15 secret cisco.
Ici:
username wsrvuz19 - Nom d'utilisateur;
privilege 15 — niveau de privilèges (0 — niveau minimum, 15 — niveau maximum) ;
secret cisco — stocker le mot de passe sous forme de fonction de hachage MD5.
afficher la commande running-config vous permet de vérifier les paramètres de la configuration actuelle, où vous pouvez trouver la ligne avec l'utilisateur ajouté et vous assurer que le mot de passe est stocké sous forme cryptée :
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Implémenter le modèle AAA pour TOUS les appareils
Le modèle AAA est un système d'authentification, d'autorisation et d'enregistrement d'événements. Pour réaliser cette tâche, la première étape consiste à activer le modèle AAA et à spécifier que l'authentification sera effectuée à l'aide d'une base de données locale :
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
un. L'authentification sur la console distante doit être effectuée à l'aide de la base de données locale (sauf pour les appareils RTR1 et RTR2)
Les tâches définissent deux types de consoles : locale et distante. La console distante permet de mettre en œuvre des connexions à distance, par exemple via les protocoles SSH ou Telnet.
Pour effectuer cette tâche, vous devez entrer les commandes suivantes :
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
Équipe line vty 0 4 le passage se fait vers la mise en place des lignes de terminaux virtuels de 0 à 4.
Équipe login authentication default active le mode d'authentification par défaut sur la console virtuelle, et le mode par défaut a été défini dans la tâche précédente avec la commande aaa authentication login default local.
La sortie du mode de configuration de la console distante se fait à l'aide de la commande exit.
Un test fiable serait un test de connexion via Telnet d'un appareil à un autre. Il convient de noter que pour cela, la commutation de base et l'adressage IP doivent être configurés sur l'équipement sélectionné.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Après une authentification réussie, lors de la connexion à partir d'une console distante, l'utilisateur doit immédiatement passer en mode avec le niveau de privilèges maximum
Pour résoudre ce problème, vous devez revenir à la configuration des lignes de terminal virtuel et définir le niveau de privilège avec la commande privilege level 15, où 15 est à nouveau le niveau maximum et 0 est le niveau de privilège minimum :
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Le test sera la solution du sous-paragraphe précédent - connexion à distance via Telnet :
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Après authentification, l'utilisateur entre immédiatement en mode privilégié, en contournant le mode non privilégié, ce qui signifie que la tâche a été correctement exécutée.
CD. Configurez le besoin sur la console locale et une fois l'authentification réussie, l'utilisateur doit entrer en mode avec un niveau minimum de privilèges.
La structure des commandes dans ces tâches coïncide avec les tâches 4.a et 4.b précédemment résolues. Équipe line vty 0 4 remplacé par console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Comme déjà mentionné, le niveau de privilège minimum est déterminé par le chiffre 0. La vérification peut être effectuée comme suit :
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Après authentification, l'utilisateur passe en mode non privilégié, comme indiqué dans les tâches.
e. Sur BR1, après authentification réussie sur la console locale, l'utilisateur doit être dans un mode avec le niveau de privilèges maximum
La configuration de la console locale sur BR1 ressemblera à ceci :
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Le contrôle s'effectue de la même manière qu'au paragraphe précédent :
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Après authentification, une transition vers le mode privilégié se produit.
5. Sur TOUS les appareils, définissez le mot de passe wsr pour accéder au mode privilégié
Les tâches indiquent que le mot de passe du mode privilégié doit être stocké en texte clair par défaut, mais le mode de cryptage de tous les mots de passe ne vous permettra pas d'afficher le mot de passe en texte clair. Pour définir un mot de passe pour accéder au mode privilégié, utilisez la commande enable password wsr. Utilisation d'un mot-clé password, détermine le type dans lequel le mot de passe sera stocké. Si le mot de passe doit être chiffré lors de la création d'un utilisateur, alors le mot-clé était le mot secret, et est utilisé pour le stockage ouvert password.
Vous pouvez vérifier les paramètres en affichant la configuration actuelle :
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
On peut voir que le mot de passe de l'utilisateur est stocké sous forme cryptée et que le mot de passe pour accéder au mode privilégié est stocké en texte clair, comme indiqué dans les tâches.
Pour vous assurer que tous les mots de passe sont stockés cryptés, utilisez la commande service password-encryption. L'affichage de la configuration actuelle ressemblera désormais à ceci :
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Le mot de passe n'est plus visible en texte clair.
Source: habr.com