ProHoster > Blog > administration > Solution des tâches WorldSkills du module Réseau dans la compétence de "SiSA". Partie 2 - Configuration de base

Solution des tâches WorldSkills du module Réseau dans la compétence de "SiSA". Partie 2 - Configuration de base

Nous continuons d'analyser les tâches du module Réseau du championnat WorldSkills dans la compétence « Administration réseau et système ».

Les tâches suivantes seront considérées dans l'article :

  1. Sur TOUS les appareils, créez des interfaces virtuelles, des sous-interfaces et des interfaces de bouclage. Attribuez des adresses IP en fonction de la topologie.
    • Activer le mécanisme SLAAC pour émettre des adresses IPv6 dans le réseau MNG sur l'interface du routeur RTR1 ;
    • Sur les interfaces virtuelles du VLAN 100 (MNG) sur les commutateurs SW1, SW2, SW3, activez le mode de configuration automatique IPv6 ;
    • Sur TOUS les appareils (sauf PC1 et WEB), attribuez manuellement des adresses lien-local ;
    • Sur TOUS les commutateurs, désactivez TOUS les ports non utilisés dans la tâche et transférez-les vers le VLAN 99 ;
    • Sur l'interrupteur SW1, activez un verrouillage pendant 1 minute si le mot de passe est mal saisi deux fois en 30 secondes ;
  2. Tous les appareils doivent être gérables via SSH version 2.


La topologie du réseau au niveau de la couche physique est présentée dans le schéma suivant :

Solution des tâches WorldSkills du module Réseau dans la compétence de "SiSA". Partie 2 - Configuration de base

La topologie du réseau au niveau de la liaison de données est présentée dans le schéma suivant :

Solution des tâches WorldSkills du module Réseau dans la compétence de "SiSA". Partie 2 - Configuration de base

La topologie du réseau au niveau du réseau est présentée dans le diagramme suivant :

Solution des tâches WorldSkills du module Réseau dans la compétence de "SiSA". Partie 2 - Configuration de base

préréglage

Avant d'effectuer les tâches ci-dessus, il convient de configurer les commutateurs d'allumage de base SW1-SW3, car il sera plus pratique de vérifier leurs paramètres à l'avenir. La configuration de la commutation sera décrite en détail dans le prochain article, mais pour l'instant seuls les paramètres seront définis.

La première étape consiste à créer des VLAN portant les numéros 99, 100 et 300 sur tous les commutateurs :

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

L'étape suivante consiste à transférer l'interface g0/1 vers SW1 vers le vlan numéro 300 :

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Les interfaces f0/1-2, f0/5-6, qui font face à d'autres commutateurs, doivent être basculées en mode trunk :

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Sur le commutateur SW2 en mode trunk, il y aura des interfaces f0/1-4 :

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Sur le switch SW3 en mode trunk, il y aura les interfaces f0/3-6, g0/1 :

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

À ce stade, les paramètres du commutateur permettront l'échange de paquets balisés, nécessaire à l'exécution des tâches.

1. Créez des interfaces virtuelles, des sous-interfaces et des interfaces de bouclage sur TOUS les appareils. Attribuez des adresses IP en fonction de la topologie.

Le routeur BR1 sera configuré en premier. Selon la topologie L3, il faut ici configurer une interface de type boucle, également appelée bouclage, numéro 101 :

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Pour vérifier l'état de l'interface créée, vous pouvez utiliser la commande show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Ici vous pouvez voir que le bouclage est actif, son état UP. Si vous regardez ci-dessous, vous pouvez voir deux adresses IPv6, bien qu'une seule commande ait été utilisée pour définir l'adresse IPv6. Le fait est que FE80::2D0:97FF:FE94:5022 est une adresse lien-local attribuée lorsque ipv6 est activé sur une interface avec la commande ipv6 enable.

Et pour afficher l'adresse IPv4, utilisez une commande similaire :

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Pour BR1, vous devez immédiatement configurer l'interface g0/0 ; ici, il vous suffit de définir l'adresse IPv6 :

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Vous pouvez vérifier les paramètres avec la même commande show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Ensuite, le routeur FAI sera configuré. Ici, selon la tâche, le numéro de bouclage 0 sera configuré, mais à part cela, il est préférable de configurer l'interface g0/0, qui devrait avoir l'adresse 30.30.30.1, car dans les tâches suivantes, rien ne sera dit sur mise en place de ces interfaces. Tout d’abord, le bouclage numéro 0 est configuré :

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Équipe show ipv6 interface brief Vous pouvez vérifier que les paramètres de l'interface sont corrects. Ensuite, l'interface g0/0 est configurée :

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ensuite, le routeur RTR1 sera configuré. Ici, vous devez également créer un numéro de bouclage 100 :

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Également sur RTR1, vous devez créer 2 sous-interfaces virtuelles pour les VLAN portant les numéros 100 et 300. Cela peut être fait comme suit.

Tout d'abord, vous devez activer l'interface physique g0/1 avec la commande no shutdown :

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Ensuite, les sous-interfaces portant les numéros 100 et 300 sont créées et configurées :

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Le numéro de sous-interface peut différer du numéro de VLAN dans lequel il fonctionnera, mais pour plus de commodité, il est préférable d'utiliser le numéro de sous-interface qui correspond au numéro de VLAN. Si vous définissez le type d'encapsulation lors de la configuration d'une sous-interface, vous devez spécifier un numéro qui correspond au numéro de VLAN. Donc après la commande encapsulation dot1Q 300 la sous-interface ne transmettra que les paquets VLAN portant le numéro 300.

La dernière étape de cette tâche sera le routeur RTR2. La connexion entre SW1 et RTR2 doit être en mode accès, l'interface du switch transmettra vers RTR2 uniquement les paquets destinés au vlan numéro 300, ceci est précisé dans la tâche sur la topologie L2. Ainsi, seule l'interface physique sera configurée sur le routeur RTR2 sans créer de sous-interfaces :

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Ensuite, l'interface g0/0 est configurée :

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ceci termine la configuration des interfaces de routeur pour la tâche en cours. Les interfaces restantes seront configurées à mesure que vous effectuerez les tâches suivantes.

un. Activer le mécanisme SLAAC pour émettre des adresses IPv6 dans le réseau MNG sur l'interface du routeur RTR1
Le mécanisme SLAAC est activé par défaut. La seule chose que vous devez faire est d'activer le routage IPv6. Vous pouvez le faire avec la commande suivante :

RTR1(config-subif)#ipv6 unicast-routing

Sans cette commande, l'équipement fait office d'hôte. En d'autres termes, grâce à la commande ci-dessus, il devient possible d'utiliser des fonctions ipv6 supplémentaires, notamment l'émission d'adresses ipv6, la configuration du routage, etc.

b. Sur les interfaces virtuelles du VLAN 100 (MNG) sur les commutateurs SW1, SW2, SW3, activez le mode de configuration automatique IPv6
D'après la topologie L3, il est clair que les commutateurs sont connectés au VLAN 100. Cela signifie qu'il est nécessaire de créer des interfaces virtuelles sur les commutateurs, puis de les attribuer ensuite seulement pour recevoir des adresses IPv6 par défaut. La configuration initiale a été effectuée précisément pour que les commutateurs puissent recevoir des adresses par défaut de RTR1. Vous pouvez effectuer cette tâche à l'aide de la liste de commandes suivante, adaptée aux trois commutateurs :

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Vous pouvez tout vérifier avec la même commande show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

En plus de l'adresse lien-local, une adresse ipv6 reçue de RTR1 est apparue. Cette tâche a été accomplie avec succès et les mêmes commandes doivent être écrites sur les commutateurs restants.

Avec. Sur TOUS les appareils (sauf PC1 et WEB), attribuez manuellement des adresses lien-local
Les adresses IPv6 à trente chiffres ne sont pas amusantes pour les administrateurs, il est donc possible de modifier manuellement le lien local, en réduisant sa longueur à une valeur minimale. Les affectations ne disent rien sur les adresses à choisir, un choix libre est donc proposé ici.

Par exemple, sur le commutateur SW1, vous devez définir l'adresse lien-local fe80::10. Cela peut être fait avec la commande suivante depuis le mode de configuration de l'interface sélectionnée :

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

L'adressage semble désormais beaucoup plus attractif :

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

En plus de l'adresse lien-local, l'adresse IPv6 reçue a également changé, puisque l'adresse est émise sur la base de l'adresse lien-local.

Sur le commutateur SW1, il était nécessaire de définir une seule adresse lien-local sur une interface. Avec le routeur RTR1, vous devez effectuer plus de paramètres - vous devez définir le lien local sur deux sous-interfaces, sur le bouclage, et dans les paramètres suivants, l'interface du tunnel 100 apparaîtra également.

Pour éviter l'écriture inutile de commandes, vous pouvez définir la même adresse lien-local sur toutes les interfaces à la fois. Vous pouvez le faire en utilisant un mot-clé range suivi de la liste de toutes les interfaces :

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Lors de la vérification des interfaces, vous verrez que les adresses lien-local ont été modifiées sur toutes les interfaces sélectionnées :

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Tous les autres appareils sont configurés de la même manière

d. Sur TOUS les commutateurs, désactivez TOUS les ports non utilisés dans le travail et transférez-les vers le VLAN 99.
L'idée de base est la même manière de sélectionner plusieurs interfaces à configurer à l'aide de la commande range, et alors seulement, vous devez écrire des commandes pour transférer vers le VLAN souhaité, puis désactiver les interfaces. Par exemple, le commutateur SW1, selon la topologie L1, aura les ports f0/3-4, f0/7-8, f0/11-24 et g0/2 désactivés. Pour cet exemple, le paramètre serait le suivant :

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Lors de la vérification des paramètres avec une commande déjà connue, il convient de noter que tous les ports inutilisés doivent avoir un statut administrativement, indiquant que le port est désactivé :

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Pour voir dans quel VLAN se trouve le port, vous pouvez utiliser une autre commande :

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Toutes les interfaces inutilisées devraient être ici. Il est à noter qu'il ne sera pas possible de transférer des interfaces vers un VLAN si un tel VLAN n'a pas été créé. C'est dans ce but que lors de la configuration initiale tous les vlans nécessaires au fonctionnement ont été créés.

e. Sur l'interrupteur SW1, activez un verrouillage pendant 1 minute si le mot de passe est mal saisi deux fois en 30 secondes
Vous pouvez le faire avec la commande suivante :

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Vous pouvez également vérifier ces paramètres comme suit :

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Où il est clairement expliqué qu'après deux tentatives infructueuses dans un délai de 30 secondes ou moins, la possibilité de se connecter sera bloquée pendant 60 secondes.

2. Tous les appareils doivent être gérables via SSH version 2

Pour que les appareils soient accessibles via SSH version 2, il est nécessaire de configurer au préalable l'équipement, donc à titre informatif, nous allons d'abord configurer l'équipement avec les paramètres d'usine.

Vous pouvez modifier la version de crevaison comme suit :

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Le système vous demande de créer des clés RSA pour que SSH version 2 fonctionne. En suivant les conseils du système intelligent, vous pouvez créer des clés RSA avec la commande suivante :

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Le système n'autorise pas l'exécution de la commande car le nom d'hôte n'a pas été modifié. Après avoir modifié le nom d'hôte, vous devez réécrire la commande de génération de clé :

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Désormais, le système ne permet pas de créer des clés RSA en raison de l'absence de nom de domaine. Et après avoir installé le nom de domaine, il sera possible de créer des clés RSA. Les clés RSA doivent avoir une longueur d'au moins 768 bits pour que SSH version 2 fonctionne :

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

En conséquence, il s'avère que pour que SSHv2 fonctionne, il faut :

  1. Changer le nom d'hôte ;
  2. Changer le nom de domaine ;
  3. Générez des clés RSA.

L'article précédent montrait comment modifier le nom d'hôte et le nom de domaine sur tous les appareils. Ainsi, tout en continuant à configurer les appareils actuels, il vous suffit de générer des clés RSA :

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH version 2 est actif, mais les appareils ne sont pas encore entièrement configurés. La dernière étape consistera à configurer les consoles virtuelles :

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Dans l'article précédent, le modèle AAA a été configuré, où l'authentification était définie sur les consoles virtuelles à l'aide d'une base de données locale, et l'utilisateur, après authentification, devait immédiatement passer en mode privilégié. Le test le plus simple de la fonctionnalité SSH consiste à essayer de vous connecter à votre propre équipement. RTR1 a un bouclage avec l'adresse IP 1.1.1.1, vous pouvez essayer de vous connecter à cette adresse :

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Après la clé -l Entrez le login de l'utilisateur existant, puis le mot de passe. Après authentification, l'utilisateur passe immédiatement en mode privilégié, ce qui signifie que SSH est correctement configuré.

Source: habr.com

Ajouter un commentaire