Pokret WorldSkills ima za cilj pružiti sudionicima prvenstveno praktične vještine koje su tražene na suvremenom tržištu rada. Kompetencija “Administracija mreže i sustava” sastoji se od tri modula: mreža, Windows, Linux. Zadaci se mijenjaju od prvenstva do prvenstva, mijenjaju se uvjeti natjecanja, ali struktura zadataka uglavnom ostaje nepromijenjena.
Network Island bit će prvi zbog svoje jednostavnosti u odnosu na Linux i Windows otoke.
Članak će obuhvatiti sljedeće zadatke:
- Postavite nazive SVIH uređaja prema topologiji
- Dodijelite naziv domene wsrvuz19.ru SVIM uređajima
- Kreirajte korisnika wsrvuz19 na SVIM uređajima s lozinkom cisco
- Korisnička lozinka mora biti pohranjena u konfiguraciji kao rezultat hash funkcije.
- Korisnik mora imati maksimalnu razinu privilegija.
- Za SVE uređaje implementirajte AAA model.
- Autentifikacija na udaljenoj konzoli mora se izvršiti pomoću lokalne baze podataka (osim za RTR1 i RTR2 uređaje)
- Nakon uspješne autentifikacije, prilikom prijave s udaljene konzole, korisnik treba odmah ući u način rada s maksimalnom razinom privilegija.
- Postavite potrebu za provjerom autentičnosti na lokalnoj konzoli.
- Uspješna provjera autentičnosti na lokalnoj konzoli trebala bi postaviti korisnika u način rada s minimalnim privilegijama.
- Na BR1, nakon uspješne autentifikacije na lokalnoj konzoli, korisnik bi trebao biti u načinu rada s maksimalnom razinom privilegija
- Na SVIM uređajima postavite wsr lozinku za ulazak u privilegirani način rada.
- Lozinka bi trebala biti pohranjena u konfiguraciji NE kao rezultat hash funkcije.
- Postavite način u kojem su sve lozinke u konfiguraciji pohranjene u šifriranom obliku.
Topologija mreže na fizičkoj razini prikazana je na sljedećem dijagramu:
1. Imenujte SVE uređaje prema topologiji
Za postavljanje naziva uređaja (hostname) morate unijeti naredbu iz načina globalne konfiguracije hostname SW1
, gdje umjesto SW1 Morate napisati naziv opreme zadane u zadacima.
Možete čak i vizualno provjeriti postavke - umjesto unaprijed postavljenih Prekidač postao SW1:
Switch(config)# hostname SW1
SW1(config)#
Glavni zadatak nakon postavljanja bilo kakvih postavki je spremanje konfiguracije.
To se može učiniti iz načina globalne konfiguracije pomoću naredbe do write
:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Ili iz privilegiranog načina s naredbom write
:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Dodijelite naziv domene wsrvuz19.ru za SVE uređaje
Možete postaviti zadani naziv domene wsrvuz19.ru iz načina globalne konfiguracije pomoću naredbe ip domain-name wsrvuz19.ru
.
Provjera se provodi naredbom do show hosts summary iz načina globalne konfiguracije:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Kreirajte korisnika wsrvuz19 na SVIM uređajima s lozinkom cisco
Potrebno je kreirati korisnika tako da ima maksimalnu razinu privilegija, a lozinka se pohranjuje kao hash funkcija. Sve te uvjete tim uzima u obzir username wsrvuz19 privilege 15 secret cisco
.
ovdje:
username wsrvuz19
- Korisničko ime;
privilege 15
- razina privilegija (0 - minimalna razina, 15 - maksimalna razina);
secret cisco
— pohranjivanje lozinke kao MD5 hash funkcije.
pokazati naredbu running-config
omogućuje vam provjeru postavki trenutne konfiguracije, gdje možete pronaći redak s dodanim korisnikom i provjeriti je li lozinka pohranjena u šifriranom obliku:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Implementirajte AAA model za SVE uređaje
AAA model je sustav autentifikacije, autorizacije i obračuna događaja. Da biste dovršili ovaj zadatak, prvi korak je omogućiti AAA model i navesti da će se provjera autentičnosti izvoditi pomoću lokalne baze podataka:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
a. Autentifikacija na udaljenoj konzoli mora se izvršiti pomoću lokalne baze podataka (osim za RTR1 i RTR2 uređaje)
Zadaci definiraju dvije vrste konzola: lokalnu i udaljenu. Udaljena konzola omogućuje implementaciju udaljenih veza, na primjer, putem SSH ili Telnet protokola.
Za dovršetak ovog zadatka morate unijeti sljedeće naredbe:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
tim line vty 0 4
prelazi se na postavljanje virtualnih terminalnih linija od 0 do 4.
Momčad login authentication default
omogućuje zadani način provjere autentičnosti na virtualnoj konzoli, a zadani način je postavljen u prethodnom zadatku s naredbom aaa authentication login default local
.
Izlazak iz moda postavljanja daljinske konzole vrši se pomoću naredbe exit
.
Pouzdan test bila bi probna veza putem Telneta s jednog uređaja na drugi. Vrijedno je uzeti u obzir da se za to osnovno prebacivanje i IP adresiranje moraju konfigurirati na odabranoj opremi.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Nakon uspješne autentifikacije, prilikom prijave s udaljene konzole, korisnik treba odmah ući u način rada s maksimalnom razinom privilegija
Da biste riješili ovaj problem, morate se vratiti na postavljanje virtualnih linija terminala i postaviti razinu privilegija pomoću naredbe privilege level 15
, gdje je 15 opet maksimalna razina, a 0 minimalna razina privilegije:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Test će biti rješenje iz prethodne podstavke - daljinsko povezivanje putem Telneta:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Nakon autentifikacije, korisnik odmah ulazi u povlašteni način rada, zaobilazeći neprivilegirani, što znači da je zadatak ispravno izvršen.
CD. Konfigurirajte potrebu na lokalnoj konzoli i nakon uspješne autentifikacije korisnik bi trebao ući u način rada s minimalnom razinom privilegija
Struktura naredbi u ovim zadatcima podudara se s prethodno riješenim zadacima 4.a i 4.b. Tim line vty 0 4
zamjenjuje se s console 0
:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Kao što je već spomenuto, minimalna razina privilegija određena je brojem 0. Provjera se može izvršiti na sljedeći način:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Nakon provjere autentičnosti, korisnik ulazi u neprivilegirani način rada, kako je navedeno u zadacima.
e. Na BR1, nakon uspješne autentifikacije na lokalnoj konzoli, korisnik bi trebao biti u načinu rada s maksimalnom razinom privilegija
Postavljanje lokalne konzole na BR1 izgledat će ovako:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Provjera se provodi na isti način kao u prethodnom stavku:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Nakon provjere autentičnosti dolazi do prijelaza u povlašteni način rada.
5. Na SVIM uređajima postavite lozinku wsr za ulazak u privilegirani način rada
Zadaci kažu da lozinka za povlašteni način treba biti standardno pohranjena u čistom tekstu, ali način šifriranja svih lozinki neće vam omogućiti da vidite lozinku u čistom tekstu. Da biste postavili lozinku za ulazak u povlašteni način rada, koristite naredbu enable password wsr
. Korištenje ključne riječi password
, određuje vrstu u kojoj će lozinka biti pohranjena. Ako lozinka mora biti šifrirana prilikom kreiranja korisnika, tada je ključna riječ bila riječ secret
, a koristi se za otvoreno skladištenje password
.
Postavke možete provjeriti gledajući trenutnu konfiguraciju:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Vidljivo je da je lozinka korisnika pohranjena u šifriranom obliku, a lozinka za ulazak u povlašteni način rada pohranjena je u čistom tekstu, kako je navedeno u zadacima.
Da biste osigurali da su sve lozinke pohranjene šifrirane, koristite naredbu service password-encryption
. Prikaz trenutne konfiguracije sada će izgledati ovako:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Lozinka više nije vidljiva u čistom tekstu.
Izvor: www.habr.com