ProHoster > Blog > Administración > Resolver tarefas WorldSkills do módulo Rede na competencia de SiSA. Parte 2 - Configuración básica

Resolver tarefas WorldSkills do módulo Rede na competencia de SiSA. Parte 2 - Configuración básica

Seguimos analizando as tarefas do módulo de Rede do campionato WorldSkills na competencia “Administración de Redes e Sistemas”.

O artigo cubrirá as seguintes tarefas:

  1. En TODOS os dispositivos, cree interfaces virtuais, subinterfaces e interfaces de loopback. Asigne enderezos IP segundo a topoloxía.
    • Activa o mecanismo SLAAC para emitir enderezos IPv6 na rede MNG na interface do enrutador RTR1;
    • Nas interfaces virtuais en VLAN 100 (MNG) nos interruptores SW1, SW2, SW3, habilite o modo de configuración automática de IPv6;
    • En TODOS os dispositivos (excepto PC1 e WEB) asigne manualmente enderezos locais de ligazón;
    • En TODOS os interruptores, desactive TODOS os portos que non se utilicen na tarefa e transfire á VLAN 99;
    • No interruptor SW1, habilite un bloqueo durante 1 minuto se o contrasinal se introduce incorrectamente dúas veces en 30 segundos;
  2. Todos os dispositivos deben poder xestionarse mediante SSH versión 2.


A topoloxía da rede na capa física preséntase no seguinte diagrama:

Resolver tarefas WorldSkills do módulo Rede na competencia de SiSA. Parte 2 - Configuración básica

A topoloxía da rede a nivel de enlace de datos preséntase no seguinte diagrama:

Resolver tarefas WorldSkills do módulo Rede na competencia de SiSA. Parte 2 - Configuración básica

A topoloxía da rede a nivel de rede preséntase no seguinte diagrama:

Resolver tarefas WorldSkills do módulo Rede na competencia de SiSA. Parte 2 - Configuración básica

Configuración previa

Antes de realizar as tarefas anteriores, paga a pena configurar a conexión básica nos interruptores SW1-SW3, xa que será máis conveniente comprobar a súa configuración no futuro. A configuración de conmutación describirase en detalle no seguinte artigo, pero polo momento só se definirán a configuración.

Primeiro de todo, debes crear vlans cos números 99, 100 e 300 en todos os interruptores:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

O seguinte paso é transferir a interface g0/1 a SW1 ao número vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

As interfaces f0/1-2, f0/5-6, que se enfrontan a outros interruptores, deberían cambiarse ao modo troncal:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

No interruptor SW2 no modo troncal haberá interfaces f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

No interruptor SW3 no modo troncal haberá interfaces f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Nesta fase, a configuración do interruptor permitirá o intercambio de paquetes etiquetados, que é necesario para completar as tarefas.

1. Crea interfaces virtuais, subinterfaces e interfaces de loopback en TODOS os dispositivos. Asigne enderezos IP segundo a topoloxía.

O router BR1 configurarase primeiro. Segundo a topoloxía L3, aquí cómpre configurar unha interface de tipo loop, tamén coñecida como loopback, número 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Para comprobar o estado da interface creada, pode usar o comando show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Aquí podes ver que o loopback está activo, o seu estado UP. Se miras a continuación, podes ver dous enderezos IPv6, aínda que só se utilizou un comando para configurar o enderezo IPv6. O feito é que FE80::2D0:97FF:FE94:5022 é un enderezo local de ligazón que se asigna cando ipv6 está activado nunha interface co comando ipv6 enable.

E para ver o enderezo IPv4, use un comando similar:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Para BR1, debes configurar inmediatamente a interface g0/0; aquí só tes que configurar o enderezo IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Podes comprobar a configuración co mesmo comando show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

A continuación, configurarase o enrutador do ISP. Aquí, segundo a tarefa, configurarase o loopback número 0, pero ademais disto, é preferible configurar a interface g0/0, que debería ter o enderezo 30.30.30.1, polo que en tarefas posteriores non se dirá nada. configurando estas interfaces. En primeiro lugar, configúrase o loopback número 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

equipo show ipv6 interface brief Podes verificar que a configuración da interface é correcta. Despois configúrase a interface g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

A continuación, configurarase o enrutador RTR1. Aquí tamén debes crear un número de loopback 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Tamén en RTR1 cómpre crear 2 subinterfaces virtuais para vlans cos números 100 e 300. Isto pódese facer do seguinte xeito.

En primeiro lugar, cómpre activar a interface física g0/1 co comando sen apagar:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Despois créanse e configúranse subinterfaces cos números 100 e 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

O número de subinterface pode diferir do número de vlan no que funcionará, pero por comodidade é mellor usar o número de subinterface que coincida co número de vlan. Se estableces o tipo de encapsulación ao configurar unha subinterface, debes especificar un número que coincida co número de vlan. Entón, despois do mando encapsulation dot1Q 300 a subinterface só pasará por paquetes vlan co número 300.

O paso final desta tarefa será o enrutador RTR2. A conexión entre SW1 e RTR2 debe estar en modo de acceso, a interface do switch pasará cara a RTR2 só os paquetes destinados ao número de vlan 300, así se indica na tarefa sobre a topoloxía L2. Polo tanto, só se configurará a interface física no enrutador RTR2 sen crear subinterfaces:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Despois configúrase a interface g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Isto completa a configuración das interfaces do enrutador para a tarefa actual. As interfaces restantes configuraranse mentres complete as seguintes tarefas.

a. Activa o mecanismo SLAAC para emitir enderezos IPv6 na rede MNG na interface do enrutador RTR1
O mecanismo SLAAC está activado por defecto. O único que cómpre facer é activar o enrutamento IPv6. Podes facelo co seguinte comando:

RTR1(config-subif)#ipv6 unicast-routing

Sen este comando, o equipo actúa como host. Noutras palabras, grazas ao comando anterior, faise posible usar funcións ipv6 adicionais, incluíndo a emisión de enderezos ipv6, a configuración do enrutamento, etc.

b. En interfaces virtuais en VLAN 100 (MNG) nos switches SW1, SW2, SW3, habilite o modo de configuración automática de IPv6
Desde a topoloxía L3 está claro que os switches están conectados a VLAN 100. Isto significa que é necesario crear interfaces virtuais nos switches e só despois asignalos para recibir enderezos IPv6 por defecto. A configuración inicial fíxose precisamente para que os switches puidesen recibir enderezos predeterminados de RTR1. Podes completar esta tarefa usando a seguinte lista de comandos, axeitados para os tres interruptores:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Podes comprobar todo co mesmo comando show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Ademais do enderezo local da ligazón, apareceu un enderezo ipv6 recibido de RTR1. Esta tarefa completouse con éxito e os mesmos comandos deben escribirse nos interruptores restantes.

Con. En TODOS os dispositivos (excepto PC1 e WEB) asigne manualmente enderezos locais de ligazón
Os enderezos IPv6 de trinta díxitos non son divertidos para os administradores, polo que é posible cambiar manualmente a ligazón local, reducindo a súa lonxitude a un valor mínimo. Os traballos non din nada sobre os enderezos a escoller, polo que aquí se ofrece unha opción libre.

Por exemplo, no interruptor SW1 cómpre configurar o enderezo local da ligazón fe80::10. Isto pódese facer co seguinte comando desde o modo de configuración da interface seleccionada:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Agora o enderezo parece moito máis atractivo:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Ademais do enderezo local da ligazón, o enderezo IPv6 recibido tamén cambiou, xa que o enderezo emítese en función do enderezo local da ligazón.

No interruptor SW1 era necesario establecer só un enderezo local de ligazón nunha interface. Co enrutador RTR1, cómpre facer máis axustes: cómpre establecer o enlace local en dúas subinterfaces, no loopback e, en configuracións posteriores, tamén aparecerá a interface do túnel 100.

Para evitar a escritura innecesaria de comandos, pode establecer o mesmo enderezo local de ligazón en todas as interfaces á vez. Podes facelo usando unha palabra clave range seguido da lista de todas as interfaces:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Ao comprobar as interfaces, verá que se cambiaron os enderezos locais de ligazón en todas as interfaces seleccionadas:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Todos os demais dispositivos están configurados dun xeito similar

d. En TODOS os interruptores, desactive TODOS os portos que non se utilicen no traballo e transfire á VLAN 99
A idea básica é a mesma forma de seleccionar varias interfaces para configurar usando o comando range, e só entón debes escribir comandos para transferir ao vlan desexado e despois desactivar as interfaces. Por exemplo, o interruptor SW1, segundo a topoloxía L1, terá os portos f0/3-4, f0/7-8, f0/11-24 e g0/2 desactivados. Para este exemplo, a configuración sería a seguinte:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Ao comprobar a configuración cun comando xa coñecido, paga a pena notar que todos os portos non utilizados deben ter un estado administrativamente baixa, indicando que o porto está desactivado:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Para ver en que vlan está o porto, podes usar outro comando:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Todas as interfaces non utilizadas deberían estar aquí. Paga a pena notar que non será posible transferir interfaces a vlan se non se creou dito vlan. É para este propósito que todos os vlan necesarios para o funcionamento foron creados na configuración inicial.

e. No interruptor SW1, activa o bloqueo durante 1 minuto se o contrasinal se introduce incorrectamente dúas veces en 30 segundos
Podes facelo co seguinte comando:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Tamén pode comprobar esta configuración do seguinte xeito:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Cando se explica claramente que despois de dous intentos infrutuosos en 30 segundos ou menos, a capacidade de iniciar sesión bloquearase durante 60 segundos.

2. Todos os dispositivos deben poderse xestionar mediante SSH versión 2

Para que os dispositivos sexan accesibles a través da versión 2 de SSH, é necesario configurar primeiro o equipo, polo que a efectos informativos, primeiro configuraremos o equipo coa configuración de fábrica.

Podes cambiar a versión de punción do seguinte xeito:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

O sistema pídelle que cree claves RSA para que funcione a versión SSH 2. Seguindo o consello do sistema intelixente, pode crear claves RSA co seguinte comando:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

O sistema non permite que se execute o comando porque non se cambiou o nome do servidor. Despois de cambiar o nome de host, cómpre escribir de novo o comando de xeración de chave:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Agora o sistema non che permite crear claves RSA debido á falta dun nome de dominio. E despois de instalar o nome de dominio, será posible crear claves RSA. As claves RSA deben ter polo menos 768 bits para que funcione a versión 2 de SSH:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Como resultado, resulta que para que SSHv2 funcione é necesario:

  1. Cambiar o nome de host;
  2. Cambiar o nome de dominio;
  3. Xerar claves RSA.

O artigo anterior mostrou como cambiar o nome de host e o nome de dominio en todos os dispositivos, polo que mentres continúas configurando os dispositivos actuais, só tes que xerar claves RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

A versión 2 de SSH está activa, pero os dispositivos aínda non están totalmente configurados. O paso final será configurar as consolas virtuais:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

No artigo anterior configurouse o modelo AAA, onde se configuraba a autenticación en consolas virtuais mediante unha base de datos local, e o usuario, despois da autenticación, tiña que pasar directamente ao modo privilexiado. A proba máis sinxela da funcionalidade SSH é tentar conectarse ao teu propio equipo. RTR1 ten un loopback co enderezo IP 1.1.1.1, podes tentar conectarte a este enderezo:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Despois da chave -l Introduza o inicio de sesión do usuario existente e, a continuación, o contrasinal. Despois da autenticación, o usuario cambia inmediatamente ao modo privilexiado, o que significa que SSH está configurado correctamente.

Fonte: www.habr.com

Engadir un comentario