Nou kontinye analize travay modil Rezo chanpyona WorldSkills nan konpetans "Administrasyon Rezo ak Sistèm".
Atik la pral kouvri travay sa yo:
- Sou TOUT aparèy, kreye entèfas vityèl, subinterfaces, ak entèfas loopback. Bay adrès IP yo dapre topoloji a.
- Pèmèt mekanis SLAAC pou bay adrès IPv6 nan rezo MNG sou koòdone routeur RTR1 la;
- Sou entèfas vityèl nan VLAN 100 (MNG) sou switch SW1, SW2, SW3, pèmèt IPv6 mòd oto-konfigirasyon;
- Sou TOUT aparèy (eksepte PC1 ak WEB) manyèlman bay adrès lyen lokal yo;
- Sou TOUT switch, enfim TOUT pò ki pa itilize nan travay la epi transfere nan VLAN 99;
- Sou switch SW1, pèmèt yon seri pou 1 minit si modpas la mal antre de fwa nan 30 segonn;
- Tout aparèy yo dwe jere atravè SSH vèsyon 2.
Topoloji rezo a nan kouch fizik la prezante nan dyagram sa a:
Topoloji rezo a nan nivo lyen done yo prezante nan dyagram sa a:
Topoloji rezo a nan nivo rezo a prezante nan dyagram sa a:
Pre-anviwònman
Anvan ou fè travay ki anwo yo, li vo mete chanjman debaz sou switch SW1-SW3, paske li pral pi bon pou tcheke anviwònman yo nan lavni. Yo pral dekri konfigirasyon an chanje an detay nan pwochen atik la, men pou kounye a, sèlman anviwònman yo pral defini.
Premye etap la se kreye vlan ak nimewo 99, 100 ak 300 sou tout switch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Pwochen etap la se transfere koòdone g0/1 nan SW1 nan nimewo vlan 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Entèfas f0/1-2, f0/5-6, ki fè fas ak lòt switch, yo ta dwe chanje nan mòd kòf:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Sou switch SW2 nan mòd kòf pral gen interfaces f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Sou switch SW3 nan mòd kòf pral gen interfaces f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Nan etap sa a, anviwònman switch yo pral pèmèt echanj pakè ki make yo, ki oblije ranpli travay yo.
1. Kreye entèfas vityèl, subinterfaces, ak loopback interfaces sou TOUT aparèy. Bay adrès IP yo dapre topoloji a.
Routeur BR1 pral konfigirasyon an premye. Dapre topoloji L3 a, isit la ou bezwen konfigirasyon yon koòdone ki kalite bouk, ke yo rele tou loopback, nimewo 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Pou tcheke estati koòdone kreye a, ou ka itilize kòmandman an show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Isit la ou ka wè ke loopback aktif, eta li yo UP. Si w gade anba a, ou ka wè de adrès IPv6, byenke se sèlman yon sèl kòmand ki te itilize pou mete adrès IPv6 la. Reyalite a se ke FE80::2D0:97FF:FE94:5022 se yon adrès lyen lokal ki asiyen lè ipv6 pèmèt sou yon koòdone ak lòd la ipv6 enable.
Epi pou wè adrès IPv4 la, sèvi ak yon kòmandman menm jan an:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Pou BR1, ou ta dwe imedyatman konfigirasyon koòdone g0/0 la; isit la ou jis bezwen mete adrès IPv6 la:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Ou ka tcheke paramèt yo ak menm lòd la show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Apre sa, routeur ISP a pral configuré. Isit la, dapre travay la, nimewo loopback 0 yo pral configuré, men san konte sa a, li pi preferab pou konfigirasyon g0/0 koòdone, ki ta dwe gen adrès 30.30.30.1, pou rezon ki fè nan travay ki vin apre yo pa pral di anyen sou. mete kanpe interfaces sa yo. Premyèman, nimewo loopback 0 konfigirasyon:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
ekip show ipv6 interface brief Ou ka verifye si paramèt koòdone yo kòrèk. Lè sa a, se koòdone g0/0 configuré:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Apre sa, routeur RTR1 a pral configuré. Isit la ou bezwen tou kreye yon nimewo loopback 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Epitou sou RTR1 ou bezwen kreye 2 subinterfaces vityèl pou vlan ak nimewo 100 ak 300. Sa a ka fè jan sa a.
Premyèman, ou bezwen pèmèt koòdone fizik g0/1 la ak lòd la pa gen okenn fèmen:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Lè sa a, subinterfaces ak nimewo 100 ak 300 yo kreye ak konfigirasyon:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Nimewo a subinterface ka diferan de nimewo vlan kote li pral travay, men pou konvenyans li pi bon yo sèvi ak nimewo a subinterface ki matche ak nimewo a vlan. Si ou mete kalite ankapsulasyon lè w ap mete yon subkoòdone, ou ta dwe presize yon nimewo ki matche ak nimewo vlan. Se konsa, apre kòmandman an encapsulation dot1Q 300 subkoòdone a pral sèlman pase nan pake vlan ak nimewo 300.
Etap final la nan travay sa a pral routeur RTR2 la. Koneksyon ki genyen ant SW1 ak RTR2 dwe nan mòd aksè, koòdone nan switch ap pase nan direksyon RTR2 sèlman pake ki gen entansyon pou nimewo vlan 300, sa a se deklare nan travay la sou topoloji a L2. Se poutèt sa, sèlman koòdone fizik la pral configuré sou routeur RTR2 san yo pa kreye subinterfaces:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Lè sa a, se koòdone g0/0 configuré:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Sa a konplete konfigirasyon interfaces routeur pou travay aktyèl la. Koòdone ki rete yo pral configuré pandan w ap ranpli travay sa yo.
a. Pèmèt mekanis SLAAC pou bay adrès IPv6 nan rezo MNG sou koòdone routeur RTR1 la
Mekanis SLAAC la aktive pa default. Sèl bagay ou bezwen fè se pèmèt IPv6 routage. Ou ka fè sa ak lòd sa a:
RTR1(config-subif)#ipv6 unicast-routing
San yo pa lòd sa a, ekipman an aji kòm yon lame. Nan lòt mo, gras a kòmandman ki anwo a, li vin posib pou sèvi ak plis fonksyon ipv6, ki gen ladan bay adrès ipv6, mete kanpe routage, elatriye.
b. Sou entèfas vityèl nan VLAN 100 (MNG) sou switch SW1, SW2, SW3, pèmèt IPv6 mòd oto-konfigirasyon
Soti nan topoloji a L3 li klè ke switch yo konekte ak VLAN 100. Sa vle di ke li nesesè yo kreye entèfas vityèl sou switch yo, epi sèlman Lè sa a, bay yo resevwa adrès IPv6 pa default. Konfigirasyon inisyal la te fè jisteman pou switch yo te kapab resevwa adrès default nan RTR1. Ou ka ranpli travay sa a lè l sèvi avèk lis sa a nan kòmandman, apwopriye pou tout twa switch:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Ou ka tcheke tout bagay ak menm lòd la show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Anplis adrès lyen lokal la, yon adrès ipv6 resevwa nan men RTR1 parèt. Travay sa a te konplete avèk siksè, e menm kòmandman yo dwe ekri sou switch ki rete yo.
Ak. Sou TOUT aparèy (eksepte PC1 ak WEB) manyèlman bay adrès lyen lokal yo
Adrès IPv6 trant chif yo pa plezi pou administratè yo, kidonk li posib manyèlman chanje lyen lokal la, diminye longè li yo nan yon valè minimòm. Devwa yo pa di anyen sou ki adrès yo chwazi, kidonk yo bay yon chwa gratis isit la.
Pou egzanp, sou switch SW1 ou bezwen mete adrès lyen lokal fe80::10 la. Sa a ka fè ak lòd sa a ki soti nan mòd nan konfigirasyon nan koòdone chwazi a:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Koulye a, adrès sanble pi atiran:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Anplis adrès lyen lokal la, adrès IPv6 resevwa a te chanje tou, depi adrès la bay baze sou adrès lyen lokal la.
Sou switch SW1 li te nesesè yo mete sèlman yon adrès lyen-lokal sou yon sèl koòdone. Avèk routeur RTR1 a, ou bezwen fè plis anviwònman - ou bezwen mete lyen lokal sou de subinterfaces, sou loopback la, ak nan anviwònman ki vin apre koòdone tinèl 100 la ap parèt tou.
Pou evite ekri kòmandman ki pa nesesè, ou ka mete menm adrès lyen lokal la sou tout entèfas an menm tan. Ou ka fè sa lè l sèvi avèk yon mo kle range ki te swiv pa lis tout interfaces:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Lè w tcheke koòdone yo, ou pral wè adrès lyen lokal yo chanje sou tout koòdone yo chwazi yo:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Tout lòt aparèy yo configuré nan yon fason menm jan an
d. Sou TOUT switch, enfim TOUT pò ki pa itilize nan travay la epi transfere nan VLAN 99
Lide debaz la se menm fason pou chwazi plizyè interfaces pou konfigirasyon lè l sèvi avèk lòd la range, epi sèlman Lè sa a, ou ta dwe ekri kòmandman yo transfere nan vlan a vle ak Lè sa a, fèmen interfaces yo. Pou egzanp, switch SW1, dapre topoloji L1, pral gen pò f0/3-4, f0/7-8, f0/11-24 ak g0/2 enfim. Pou egzanp sa a anviwònman an ta dwe jan sa a:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Lè w tcheke paramèt yo ak yon kòmandman ki deja konnen, li ta dwe sonje ke tout pò ki pa itilize yo dwe gen yon estati. administrativman desann, ki endike ke pò a enfim:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Pou wè nan ki vlan pò a, ou ka itilize yon lòt lòd:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Tout interfaces ki pa itilize yo ta dwe isit la. Li se vo anyen ke li pa pral posib yo transfere interfaces nan vlan si tankou yon vlan pa te kreye. Se pou rezon sa a ke nan konfigirasyon inisyal la tout vlan ki nesesè pou operasyon yo te kreye.
e. Sou switch SW1, pèmèt yon seri pou 1 minit si modpas la mal antre de fwa nan 30 segonn
Ou ka fè sa ak lòd sa a:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Ou ka tcheke tou paramèt sa yo jan sa a:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kote li klèman eksplike ke apre de tantativ san siksè nan 30 segonn oswa mwens, kapasite nan konekte yo pral bloke pou 60 segonn.
2. Tout aparèy yo dwe jere atravè SSH vèsyon 2
Nan lòd pou aparèy yo ka aksesib atravè vèsyon SSH 2, li nesesè premye konfigirasyon ekipman an, kidonk pou rezon enfòmasyon, nou pral premye konfigirasyon ekipman an ak anviwònman faktori.
Ou ka chanje vèsyon an ponksyon jan sa a:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistèm nan mande w pou kreye kle RSA pou SSH vèsyon 2 fonksyone. Apre konsèy sistèm entelijan an, ou ka kreye kle RSA ak lòd sa a:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistèm nan pa pèmèt kòmandman an dwe egzekite paske non host la pa te chanje. Apre chanje non host la, ou bezwen ekri lòd jenerasyon kle a ankò:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Koulye a, sistèm nan pa pèmèt ou kreye kle RSA akòz mank nan yon non domèn. Ak apre enstale non an domèn, li pral posib yo kreye kle RSA. Kle RSA yo dwe omwen 768 bit pou SSH vèsyon 2 a travay:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Kòm yon rezilta, li sanble ke pou SSHv2 travay li nesesè:
- Chanje non host;
- Chanje non domèn;
- Jenere kle RSA.
Atik anvan an te montre kijan pou chanje non host la ak non domèn sou tout aparèy, kidonk pandan w ap kontinye konfigirasyon aparèy aktyèl yo, ou sèlman bezwen jenere kle RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH vèsyon 2 aktif, men aparèy yo poko konfigirasyon nèt. Etap final la pral mete kanpe konsola vityèl:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Nan atik anvan an, modèl AAA yo te configuré, kote otantifikasyon yo te mete sou konsola vityèl lè l sèvi avèk yon baz done lokal, epi itilizatè a, apre otantifikasyon, te oblije imedyatman antre nan mòd privilejye. Tès ki pi senp nan fonksyonalite SSH se eseye konekte ak pwòp ekipman ou. RTR1 gen yon loopback ak adrès IP 1.1.1.1, ou ka eseye konekte ak adrès sa a:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Apre kle a -l Antre login itilizatè a ki deja egziste, ak Lè sa a, modpas la. Apre otantifikasyon, itilizatè a imedyatman chanje nan mòd privilejye, ki vle di ke SSH se configuré kòrèkteman.
Sous: www.habr.com