Nastavljamo s analizom zadataka mrežnog modula WorldSkills prvenstva u kompetenciji „Administracija mreže i sustava“.
Članak će obuhvatiti sljedeće zadatke:
- Na SVIM uređajima stvorite virtualna sučelja, podsučelja i povratna sučelja. Dodijelite IP adrese prema topologiji.
- Omogućite SLAAC mehanizam za izdavanje IPv6 adresa u MNG mreži na RTR1 sučelju rutera;
- Na virtualnim sučeljima u VLAN 100 (MNG) na sklopkama SW1, SW2, SW3, omogućite IPv6 način auto-konfiguracije;
- Na SVIM uređajima (osim PC1 i WEB) ručno dodijelite lokalne adrese veze;
- Na SVIM preklopnicima, onemogućite SVE priključke koji se ne koriste u zadatku i prebacite na VLAN 99;
- Na prekidaču SW1 omogućite zaključavanje na 1 minutu ako se lozinka unese netočno dva puta unutar 30 sekundi;
- Svim uređajima mora se moći upravljati putem SSH verzije 2.
Topologija mreže na fizičkoj razini prikazana je na sljedećem dijagramu:
Topologija mreže na razini podatkovne veze prikazana je na sljedećem dijagramu:
Topologija mreže na razini mreže prikazana je na sljedećem dijagramu:
predpodešavanje
Prije izvođenja gore navedenih zadataka, vrijedi postaviti osnovne sklopke za uključivanje SW1-SW3, jer će u budućnosti biti prikladnije provjeriti njihove postavke. Postavljanje prebacivanja bit će detaljno opisano u sljedećem članku, ali za sada će biti definirane samo postavke.
Prvi korak je stvaranje vlan-ova s brojevima 99, 100 i 300 na svim prekidačima:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Sljedeći korak je prijenos sučelja g0/1 na SW1 na vlan broj 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Sučelja f0/1-2, f0/5-6, koja su okrenuta prema drugim prekidačima, trebaju se prebaciti u trunk mod:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Na prekidaču SW2 u trunk modu bit će sučelja f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Na prekidaču SW3 u trunk modu bit će sučelja f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
U ovoj fazi, postavke preklopnika omogućit će razmjenu označenih paketa, što je potrebno za dovršavanje zadataka.
1. Kreirajte virtualna sučelja, podsučelja i povratna sučelja na SVIM uređajima. Dodijelite IP adrese prema topologiji.
Prvo će se konfigurirati ruter BR1. Prema topologiji L3, ovdje trebate konfigurirati sučelje tipa petlje, također poznato kao povratna petlja, broj 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Da biste provjerili status stvorenog sučelja, možete koristiti naredbu show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Ovdje možete vidjeti da je loopback aktivan, njegovo stanje UP. Ako pogledate ispod, možete vidjeti dvije IPv6 adrese, iako je samo jedna naredba korištena za postavljanje IPv6 adrese. Činjenica je da FE80::2D0:97FF:FE94:5022 je lokalna adresa veze koja se dodjeljuje kada je ipv6 omogućen na sučelju s naredbom ipv6 enable.
A za pregled IPv4 adrese upotrijebite sličnu naredbu:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Za BR1 trebali biste odmah konfigurirati g0/0 sučelje; ovdje samo trebate postaviti IPv6 adresu:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Istom naredbom možete provjeriti postavke show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Zatim će se konfigurirati ISP router. Ovdje će se prema zadatku konfigurirati povratna petlja s brojem 0, no osim toga, poželjno je konfigurirati g0/0 sučelje koje bi trebalo imati adresu 30.30.30.1, iz razloga što se u sljedećim zadacima ništa neće reći o postavljanju ovih sučelja. Prvo se konfigurira povratna petlja broj 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tim show ipv6 interface brief Možete provjeriti jesu li postavke sučelja ispravne. Zatim se konfigurira sučelje g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Zatim će se konfigurirati RTR1 router. Ovdje također trebate stvoriti povratnu petlju broj 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Također na RTR1 trebate kreirati 2 virtualna podsučelja za vlan s brojevima 100 i 300. To se može učiniti na sljedeći način.
Prvo morate omogućiti fizičko sučelje g0/1 s naredbom no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Zatim se kreiraju i konfiguriraju podsučelja s brojevima 100 i 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Broj podsučelja može se razlikovati od broja vlan u kojem će raditi, ali radi praktičnosti bolje je koristiti broj podsučelja koji odgovara broju vlan. Ako postavite vrstu enkapsulacije prilikom postavljanja podsučelja, trebali biste navesti broj koji odgovara broju vlan. Dakle, nakon zapovijedi encapsulation dot1Q 300 podsučelje će proći samo kroz vlan pakete s brojem 300.
Posljednji korak u ovom zadatku bit će RTR2 router. Veza između SW1 i RTR2 mora biti u modu pristupa, sučelje prekidača će prema RTR2 proslijediti samo pakete namijenjene vlan broju 300, to je navedeno u zadatku na L2 topologiji. Stoga će samo fizičko sučelje biti konfigurirano na RTR2 routeru bez stvaranja podsučelja:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Zatim se konfigurira sučelje g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ovo dovršava konfiguraciju sučelja usmjerivača za trenutni zadatak. Preostala sučelja konfigurirat će se kada dovršite sljedeće zadatke.
a. Omogućite SLAAC mehanizam za izdavanje IPv6 adresa u MNG mreži na RTR1 sučelju rutera
SLAAC mehanizam je omogućen prema zadanim postavkama. Jedina stvar koju trebate učiniti je omogućiti IPv6 usmjeravanje. To možete učiniti sljedećom naredbom:
RTR1(config-subif)#ipv6 unicast-routing
Bez ove naredbe, oprema se ponaša kao host. Drugim riječima, zahvaljujući gornjoj naredbi, postaje moguće koristiti dodatne ipv6 funkcije, uključujući izdavanje ipv6 adresa, postavljanje usmjeravanja itd.
b. Na virtualnim sučeljima u VLAN 100 (MNG) na prekidačima SW1, SW2, SW3, omogućite IPv6 način auto-konfiguracije
Iz L3 topologije je jasno da su preklopnici spojeni na VLAN 100. To znači da je potrebno kreirati virtualna sučelja na preklopnicima, a tek onda im dodijeliti standardno primanje IPv6 adresa. Početna konfiguracija napravljena je upravo kako bi preklopnici mogli primati zadane adrese od RTR1. Ovaj zadatak možete izvršiti pomoću sljedećeg popisa naredbi, prikladnih za sva tri prekidača:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Sve možete provjeriti istom naredbom show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Uz lokalnu adresu veze pojavila se i ipv6 adresa primljena od RTR1. Ovaj zadatak je uspješno obavljen, a iste naredbe moraju biti ispisane na preostalim prekidačima.
S. Na SVIM uređajima (osim PC1 i WEB) ručno dodijelite lokalne adrese veze
Trideseteroznamenkasti IPv6 adresa nije zabava za administratore, tako da je moguće ručno promijeniti lokalnu vezu, smanjujući njezinu duljinu na minimalnu vrijednost. Zadaci ne govore ništa o tome koje adrese odabrati, tako da je ovdje slobodan izbor.
Na primjer, na prekidaču SW1 trebate postaviti lokalnu adresu veze fe80::10. To se može učiniti sljedećom naredbom iz načina konfiguracije odabranog sučelja:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Sada adresiranje izgleda mnogo privlačnije:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Osim adrese lokalne veze, promijenila se i primljena IPv6 adresa, budući da se adresa izdaje na temelju lokalne adrese veze.
Na prekidaču SW1 bilo je potrebno postaviti samo jednu lokalnu vezu na jednom sučelju. Kod RTR1 routera morate napraviti više postavki - trebate postaviti link-local na dva podsučelja, na povratnoj petlji, au sljedećim postavkama pojavit će se i sučelje tunnel 100.
Kako biste izbjegli nepotrebno pisanje naredbi, možete postaviti istu lokalnu adresu veze na svim sučeljima odjednom. To možete učiniti pomoću ključne riječi range nakon čega slijedi popis svih sučelja:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Prilikom provjere sučelja, vidjet ćete da su lokalne adrese veze promijenjene na svim odabranim sučeljima:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Svi ostali uređaji konfigurirani su na sličan način
d. Na SVIM prekidačima, onemogućite SVE priključke koji se ne koriste u poslu i prebacite na VLAN 99
Osnovna ideja je isti način odabira više sučelja za konfiguraciju pomoću naredbe range, pa tek onda treba napisati naredbe za prijenos na željeni vlan i onda isključiti sučelja. Na primjer, preklopnik SW1, prema topologiji L1, imat će onemogućene portove f0/3-4, f0/7-8, f0/11-24 i g0/2. Za ovaj primjer postavka bi bila sljedeća:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Prilikom provjere postavki s već poznatom naredbom, vrijedi napomenuti da svi neiskorišteni portovi moraju imati status administrativno dolje, što znači da je priključak onemogućen:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Da biste vidjeli u kojem je vlan portu, možete koristiti drugu naredbu:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Sva nekorištena sučelja trebala bi biti ovdje. Vrijedno je napomenuti da neće biti moguće prenijeti sučelja na vlan ako takav vlan nije kreiran. U tu su svrhu u početnom postavljanju stvoreni svi vlanovi potrebni za rad.
e. Na prekidaču SW1 omogućite zaključavanje na 1 minutu ako se lozinka unese netočno dva puta unutar 30 sekundi
To možete učiniti sljedećom naredbom:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Ove postavke također možete provjeriti na sljedeći način:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Gdje je jasno objašnjeno da će nakon dva neuspješna pokušaja unutar 30 sekundi ili manje, mogućnost prijave biti blokirana na 60 sekundi.
2. Svim uređajima mora se moći upravljati putem SSH verzije 2
Kako bi uređaji bili dostupni putem SSH verzije 2, potrebno je prvo konfigurirati opremu, pa ćemo informativno radi, prvo konfigurirati opremu s tvorničkim postavkama.
Možete promijeniti verziju punkcije na sljedeći način:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sustav od vas traži da izradite RSA ključeve za rad SSH verzije 2. Slijedeći savjete pametnog sustava, možete kreirati RSA ključeve sljedećom naredbom:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sustav ne dopušta izvršenje naredbe jer naziv glavnog računala nije promijenjen. Nakon promjene naziva hosta, morate ponovno napisati naredbu za generiranje ključa:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Sada vam sustav ne dopušta stvaranje RSA ključeva zbog nedostatka naziva domene. A nakon instaliranja naziva domene bit će moguće izraditi RSA ključeve. RSA ključevi moraju biti dugi najmanje 768 bita da bi SSH verzija 2 radila:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Kao rezultat toga, ispada da je za rad SSHv2 potrebno:
- Promjena naziva hosta;
- Promjena naziva domene;
- Generiraj RSA ključeve.
Prethodni članak je pokazao kako promijeniti naziv hosta i naziv domene na svim uređajima, tako da dok nastavljate konfigurirati trenutne uređaje, trebate samo generirati RSA ključeve:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH verzija 2 je aktivna, ali uređaji još nisu u potpunosti konfigurirani. Posljednji korak bit će postavljanje virtualnih konzola:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
U prethodnom članku konfiguriran je AAA model gdje je autentifikacija postavljena na virtualnim konzolama pomoću lokalne baze podataka, a korisnik je nakon autentifikacije morao odmah prijeći u privilegirani mod. Najjednostavniji test funkcionalnosti SSH je pokušaj povezivanja na vlastitu opremu. RTR1 ima povratnu petlju s IP adresom 1.1.1.1, možete se pokušati spojiti na ovu adresu:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Nakon ključa -l Unesite prijavu postojećeg korisnika, a zatim lozinku. Nakon autentifikacije, korisnik odmah prelazi u privilegirani način rada, što znači da je SSH ispravno konfiguriran.
Izvor: www.habr.com