ProHoster > Blog > Bestjoer > It oplossen fan WorldSkills-taken fan 'e Netwurkmodule yn' e kompetinsje fan SiSA. Diel 2 - Basic Setup

It oplossen fan WorldSkills-taken fan 'e Netwurkmodule yn' e kompetinsje fan SiSA. Diel 2 - Basic Setup

Wy geane troch mei it analysearjen fan de taken fan 'e Netwurkmodule fan it WorldSkills-kampioenskip yn' e kompetinsje "Netwurk en systeembehear".

It artikel sil de folgjende taken dekke:

  1. Op ALLE apparaten meitsje firtuele ynterfaces, subinterfaces en loopback-ynterfaces. Tawize IP-adressen neffens de topology.
    • Aktivearje it SLAAC-meganisme om IPv6-adressen út te jaan yn it MNG-netwurk op de RTR1-routerynterface;
    • Op firtuele ynterfaces yn VLAN 100 (MNG) op skakelaars SW1, SW2, SW3, ynskeakelje IPv6 auto-konfiguraasje modus;
    • Op ALLE apparaten (útsein PC1 en WEB) manuell tawize keppeling-lokale adressen;
    • Op ALLE skakelaars útskeakelje ALLE havens dy't net brûkt wurde yn 'e taak en oerdrage nei VLAN 99;
    • Op switch SW1, ynskeakelje in slot foar 1 minút as it wachtwurd wurdt ynfierd ferkeard twa kear binnen 30 sekonden;
  2. Alle apparaten moatte beheard wurde fia SSH ferzje 2.


De netwurktopology by de fysike laach wurdt presintearre yn it folgjende diagram:

It oplossen fan WorldSkills-taken fan 'e Netwurkmodule yn' e kompetinsje fan SiSA. Diel 2 - Basic Setup

De netwurktopology op it gegevenslinknivo wurdt presintearre yn it folgjende diagram:

It oplossen fan WorldSkills-taken fan 'e Netwurkmodule yn' e kompetinsje fan SiSA. Diel 2 - Basic Setup

De netwurktopology op it netwurknivo wurdt presintearre yn it folgjende diagram:

It oplossen fan WorldSkills-taken fan 'e Netwurkmodule yn' e kompetinsje fan SiSA. Diel 2 - Basic Setup

foarôf ynstelle

Foardat jo de boppesteande taken útfiere, is it de muoite wurdich op te setten basis skeakeljen op switches SW1-SW3, om't it handiger wêze sil om har ynstellingen yn 'e takomst te kontrolearjen. De skeakelynstelling sil yn it folgjende artikel yn detail beskreaun wurde, mar foar no sille allinich de ynstellings wurde definieare.

De earste stap is om vlans te meitsjen mei nûmers 99, 100 en 300 op alle skeakels:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

De folgjende stap is it oerdragen fan ynterface g0/1 nei SW1 nei vlan nûmer 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Ynterfaces f0/1-2, f0/5-6, dy't tsjin oare skeakels steane, moatte oerskeakele wurde nei trunkmodus:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Op switch SW2 yn trunk modus sille d'r ynterfaces f0/1-4 wêze:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Op switch SW3 yn trunk modus sille d'r ynterfaces f0/3-6, g0/1 wêze:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Op dit stadium sille de skeakelynstellingen de útwikseling fan tagged pakketten tastean, dy't nedich is om taken te foltôgjen.

1. Meitsje firtuele ynterfaces, subinterfaces en loopback-ynterfaces op ALLE apparaten. Tawize IP-adressen neffens de topology.

Router BR1 sil earst konfigureare wurde. Neffens de L3-topology moatte jo hjir in loop-type ynterface konfigurearje, ek wol loopback neamd, nûmer 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Om de status fan 'e oanmakke ynterface te kontrolearjen, kinne jo it kommando brûke show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Hjir kinne jo sjen dat loopback aktyf is, syn steat is UP. As jo ​​hjirûnder sjogge, kinne jo twa IPv6-adressen sjen, hoewol mar ien kommando waard brûkt om it IPv6-adres yn te stellen. It feit is dat FE80::2D0:97FF:FE94:5022 is in link-lokaal adres dat wurdt tawiisd as ipv6 ynskeakele is op in ynterface mei it kommando ipv6 enable.

En om it IPv4-adres te besjen, brûk in ferlykber kommando:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Foar BR1 moatte jo de g0/0-ynterface fuortendaliks konfigurearje; hjir moatte jo gewoan it IPv6-adres ynstelle:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Jo kinne de ynstellings kontrolearje mei itselde kommando show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Dêrnei sil de ISP-router konfigureare wurde. Hjir, neffens de taak, sil loopback nûmer 0 konfigureare wurde, mar boppedat is it better om de g0/0-ynterface te konfigurearjen, dy't it adres 30.30.30.1 moat hawwe, om't yn folgjende taken neat oer sein wurde sil. it opsetten fan dizze ynterfaces. Earst wurdt loopback nûmer 0 konfigurearre:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

ploech show ipv6 interface brief Jo kinne ferifiearje dat de ynterface-ynstellings goed binne. Dan wurdt ynterface g0/0 konfigurearre:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Dêrnei sil de RTR1-router konfigureare wurde. Hjir moatte jo ek in loopback nûmer 100 oanmeitsje:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Ek op RTR1 moatte jo meitsje 2 firtuele subinterfaces foar vlans mei nûmers 100 en 300. Dit kin dien wurde as folget.

Earst moatte jo de fysike ynterface g0/1 ynskeakelje mei it kommando gjin shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Dan wurde subinterfaces mei nûmers 100 en 300 oanmakke en konfigureare:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

It subinterface nûmer kin ôfwike fan it vlannûmer wêryn it sil wurkje, mar foar it gemak is it better om it subinterfacenûmer te brûken dat oerienkomt mei it vlan-nûmer. As jo ​​ynstelle de ynkapseling type by it opsetten fan in subinterface, Jo moatte opjaan in nûmer dat oerienkomt mei de vlan nûmer. Dus nei it kommando encapsulation dot1Q 300 de subinterface sil allinich troch vlan-pakketten passe mei nûmer 300.

De lêste stap yn dizze taak sil de RTR2-router wêze. De ferbining tusken SW1 en RTR2 moat wêze yn tagong modus, de switch ynterface sil foarby rjochting RTR2 allinne pakketten bedoeld foar vlan nûmer 300, dit stiet yn de taak op de L2 topology. Dêrom sil allinich de fysike ynterface wurde konfigureare op 'e RTR2-router sûnder subinterfaces te meitsjen:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Dan wurdt ynterface g0/0 konfigurearre:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Dit foltôget de konfiguraasje fan router-ynterfaces foar de aktuele taak. De oerbleaune ynterfaces wurde konfigureare as jo de folgjende taken foltôgje.

in. Skeakelje it SLAAC-meganisme yn om IPv6-adressen út te jaan yn it MNG-netwurk op de RTR1-router-ynterface
It SLAAC-meganisme is standert ynskeakele. It iennichste wat jo hoege te dwaan is IPv6-routing ynskeakelje. Jo kinne dit dwaan mei it folgjende kommando:

RTR1(config-subif)#ipv6 unicast-routing

Sûnder dit kommando fungearret de apparatuer as host. Mei oare wurden, troch it boppesteande kommando wurdt it mooglik om ekstra ipv6-funksjes te brûken, ynklusyf it útjaan fan ipv6-adressen, it ynstellen fan routing, ensfh.

b. Op firtuele ynterfaces yn VLAN 100 (MNG) op switches SW1, SW2, SW3, ynskeakelje IPv6 auto-konfiguraasje modus
Ut de L3 topology is it dúdlik dat de skeakels binne ferbûn mei VLAN 100. Dit betsjut dat it nedich is om firtuele ynterfaces op 'e skeakels te meitsjen, en pas dan tawize se om standert IPv6-adressen te ûntfangen. De earste konfiguraasje waard krekt dien sadat de skeakels standertadressen fan RTR1 kinne ûntfange. Jo kinne dizze taak foltôgje mei de folgjende list mei kommando's, geskikt foar alle trije skeakels:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Jo kinne alles kontrolearje mei itselde kommando show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Neist it link-lokale adres ferskynde in ipv6-adres ûntfongen fan RTR1. Dizze taak is mei súkses foltôge, en deselde kommando's moatte wurde skreaun op 'e oerbleaune skeakels.

Mei. Op ALLE apparaten (útsein PC1 en WEB) kinne link-lokale adressen manuell tawize
Tritich-sifers IPv6-adressen binne gjin wille foar behearders, dus it is mooglik om de link-lokaal manuell te feroarjen, wêrtroch't de lingte oant in minimale wearde fermindere. De opdrachten sizze neat oer hokker adressen jo kieze moatte, dus wurdt hjir in frije kar jûn.

Bygelyks, op switch SW1 moatte jo it link-lokaal adres fe80 :: 10 ynstelle. Dit kin dien wurde mei it folgjende kommando út de konfiguraasjemodus fan de selektearre ynterface:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

No sjocht adressearing folle oantrekliker:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Neist it link-lokale adres is it ûntfongen IPv6-adres ek feroare, om't it adres wurdt útjûn op basis fan it link-lokale adres.

Op switch SW1 wie it nedich om mar ien link-lokaal adres yn te stellen op ien ynterface. Mei de RTR1-router moatte jo mear ynstellingen meitsje - jo moatte link-lokaal ynstelle op twa subinterfaces, op 'e loopback, en yn folgjende ynstellingen sil de tunnel 100-ynterface ek ferskine.

Om ûnnedich skriuwen fan kommando's te foarkommen, kinne jo itselde link-lokale adres op alle ynterfaces tagelyk ynstelle. Jo kinne dit dwaan mei in kaaiwurd range folge troch in list fan alle ynterfaces:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

By it kontrolearjen fan de ynterfaces sille jo sjen dat de link-lokale adressen binne feroare op alle selektearre ynterfaces:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Alle oare apparaten binne konfigurearre op in fergelykbere wize

d. Op ALLE skeakels, skeakelje ALLE havens út dy't net brûkt wurde yn 'e baan en oerdrage nei VLAN 99
It basisidee is deselde manier om meardere ynterfaces te selektearjen om te konfigurearjen mei it kommando range, en allinich dan moatte jo kommando's skriuwe om oer te setten nei de winske vlan en dan de ynterfaces útsette. Bygelyks, switch SW1, neffens de L1 topology, sil hawwe havens f0/3-4, f0/7-8, f0/11-24 en g0/2 útskeakele. Foar dit foarbyld soe de ynstelling sa wêze:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

By it kontrolearjen fan de ynstellings mei in al bekend kommando, is it de muoite wurdich op te merken dat alle net brûkte havens in status moatte hawwe bestjoerlik del, wat oanjout dat de poarte is útskeakele:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Om te sjen yn hokker vlan de poarte is, kinne jo in oar kommando brûke:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Alle net brûkte ynterfaces moatte hjir wêze. It is de muoite wurdich opskriuwen dat it sil net mooglik om te dragen ynterfaces nei vlan as sa'n vlan is net makke. It is foar dit doel dat yn 'e earste opset alle vlans dy't nedich binne foar operaasje waarden makke.

e. Op switch SW1, aktivearje in slot foar 1 minút as it wachtwurd twa kear ferkeard ynfierd is binnen 30 sekonden
Jo kinne dit dwaan mei it folgjende kommando:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Jo kinne dizze ynstellings ek as folgjend kontrolearje:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Wêr't dúdlik wurdt útlein dat nei twa mislearre besykjen binnen 30 sekonden of minder, de mooglikheid om oan te melden sil 60 sekonden blokkearre wurde.

2. Alle apparaten moatte beheard wurde fia SSH ferzje 2

Om apparaten tagonklik te meitsjen fia SSH ferzje 2, is it needsaaklik om de apparatuer earst te konfigurearjen, dus foar ynformative doelen sille wy de apparatuer earst konfigurearje mei fabryksynstellingen.

Jo kinne de puncture-ferzje as folgjend feroarje:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

It systeem freget jo om RSA-kaaien te meitsjen foar it wurkjen fan SSH ferzje 2. Nei it advys fan it tûke systeem kinne jo RSA-kaaien meitsje mei it folgjende kommando:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

It systeem lit it kommando net útfiere omdat de hostnamme net feroare is. Nei it feroarjen fan de hostnamme moatte jo it kommando foar kaaigeneraasje opnij skriuwe:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

No lit it systeem jo RSA-kaaien net oanmeitsje fanwegen it ûntbrekken fan in domeinnamme. En nei it ynstallearjen fan de domeinnamme sil it mooglik wêze om RSA-kaaien te meitsjen. RSA-kaaien moatte op syn minst 768 bits lang wêze foar SSH ferzje 2 om te wurkjen:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

As gefolch, it docht bliken dat foar SSHv2 te wurkjen is it nedich:

  1. Hostnamme feroarje;
  2. Feroarje domeinnamme;
  3. Generearje RSA-kaaien.

It foarige artikel liet sjen hoe't jo de hostnamme en domeinnamme op alle apparaten feroarje kinne, dus wylst jo trochgean mei it konfigurearjen fan de hjoeddeistige apparaten, hoege jo allinich RSA-kaaien te generearjen:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH ferzje 2 is aktyf, mar de apparaten binne noch net folslein konfigurearre. De lêste stap sil it ynstellen fan firtuele konsoles:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Yn it foarige artikel waard it AAA-model konfigureare, wêrby't autentikaasje waard ynsteld op firtuele konsoles mei in lokale databank, en de brûker, nei ferifikaasje, moast fuortendaliks yn 'e privilegearre modus gean. De ienfâldichste test fan SSH-funksjonaliteit is om te besykjen te ferbinen mei jo eigen apparatuer. RTR1 hat in loopback mei IP-adres 1.1.1.1, jo kinne besykje te ferbinen mei dit adres:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Nei de kaai -l Fier de oanmelding fan de besteande brûker yn, en dan it wachtwurd. Nei autentikaasje skeakelt de brûker daliks oer nei befoarrjochte modus, wat betsjut dat SSH goed is ynsteld.

Boarne: www.habr.com

Add a comment