Folytatjuk a WorldSkills bajnokság Hálózati moduljának „Hálózat- és rendszeradminisztráció” kompetencia feladatainak elemzését.

A cikk a következő feladatokat tárgyalja:

1. MINDEN eszközön hozzon létre virtuális interfészt, alinterfészt és visszacsatolási felületet. Adjon hozzá IP-címeket a topológiának megfelelően.
   • Engedélyezze a SLAAC mechanizmus IPv6-címek kiadását az MNG hálózatban az RTR1 útválasztó interfészén;
   • A VLAN 100 (MNG) virtuális interfészein az SW1, SW2, SW3 kapcsolókon engedélyezze az IPv6 automatikus konfigurálási módját;
   • MINDEN eszközön (kivéve PC1 és WEB) manuálisan hozzárendelheti a link-local címeket;
   • ÖSSZES kapcsolón tiltsa le az ÖSSZES, a feladatban nem használt portot, és vigye át a VLAN 99-re;
   • Az SW1 kapcsolón engedélyezze a zárolást 1 percre, ha a jelszót 30 másodpercen belül kétszer hibásan adja meg;
2. Minden eszköznek kezelhetőnek kell lennie az SSH 2-es verzióján keresztül.

A fizikai réteg hálózati topológiája a következő ábrán látható:

Az adatkapcsolati szintű hálózati topológia a következő ábrán látható:

A hálózati topológia hálózati szinten az alábbi ábrán látható:

előbeállítás

A fenti feladatok elvégzése előtt érdemes az SW1-SW3 kapcsolók alapbekapcsolását beállítani, mert a későbbiekben kényelmesebb lesz ezek beállításait ellenőrizni. A kapcsolási beállításokat a következő cikkben ismertetjük részletesen, de egyelőre csak a beállítások kerülnek meghatározásra.

Az első lépés a 99-es, 100-as és 300-as vlanok létrehozása az összes kapcsolón:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

A következő lépés a g0/1 interfész átvitele az SW1-re a 300-as vlan-re:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

A többi kapcsolóra néző f0/1-2, f0/5-6 interfészt trönk módba kell kapcsolni:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Az SW2 kapcsolón trönk üzemmódban f0/1-4 interfészek lesznek:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Az SW3 kapcsolón trönk üzemmódban f0/3-6, g0/1 interfészek lesznek:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Ebben a szakaszban a kapcsolóbeállítások lehetővé teszik a címkézett csomagok cseréjét, ami a feladatok elvégzéséhez szükséges.

1. Hozzon létre virtuális interfészt, alinterfészt és loopback interfészt MINDEN eszközön. Adjon hozzá IP-címeket a topológiának megfelelően.

Először a BR1 router lesz konfigurálva. Az L3 topológia szerint itt be kell állítani egy hurok típusú interfészt, más néven loopback, 101-es számú:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

A létrehozott felület állapotának ellenőrzéséhez használhatja a parancsot show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Itt látható, hogy a loopback aktív, állapota UP. Ha alább megnézi, két IPv6-címet láthat, bár csak egy parancsot használtak az IPv6-cím beállításához. A tény az, hogy FE80::2D0:97FF:FE94:5022 egy link-local cím, amely akkor van hozzárendelve, ha az ipv6 engedélyezve van egy interfészen a paranccsal ipv6 enable.

Az IPv4-cím megtekintéséhez használjon hasonló parancsot:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1 esetén azonnal be kell állítani a g0/0 interfészt, itt csak az IPv6 címet kell beállítani:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Ugyanezzel a paranccsal ellenőrizheti a beállításokat show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Ezután az ISP útválasztó konfigurálásra kerül. Itt a feladatnak megfelelően a 0-s számú visszacsatolás lesz konfigurálva, de ezen kívül célszerű a g0/0 interfészt konfigurálni, aminek a 30.30.30.1 címet kell kapnia, mert a következő feladatokban nem lesz szó róla. ezen interfészek beállítása. Először a 0-s hurokszámot kell beállítani:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Csapat show ipv6 interface brief Ellenőrizheti, hogy az interfész beállításai helyesek. Ezután a g0/0 interfész konfigurálva van:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ezután az RTR1 útválasztó konfigurálva lesz. Itt is létre kell hoznia egy 100-as visszacsatolási számot:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Az RTR1-en is létre kell hozni 2 virtuális alinterfészt a 100-as és 300-as számú vlan-hez. Ezt a következőképpen lehet megtenni.

Először is engedélyeznie kell a g0/1 fizikai interfészt a no shutdown paranccsal:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

Ezután létrejönnek és konfigurálják a 100-as és 300-as számú alinterfészt:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Az alinterfész száma eltérhet attól a vlan számtól, amelyben működni fog, de a kényelem érdekében jobb, ha a vlan számmal megegyező alinterfész számát használja. Ha az alinterfész beállításakor beállítja a beágyazás típusát, akkor olyan számot kell megadnia, amely megegyezik a vlan számmal. Tehát a parancs után encapsulation dot1Q 300 az alinterfész csak a 300-as számú vlan csomagokon halad át.

A feladat utolsó lépése az RTR2 útválasztó lesz. Az SW1 és az RTR2 közötti kapcsolatnak hozzáférési módban kell lennie, a switch interfész az RTR2 felé csak a 300-as vlan-re szánt csomagokat továbbítja, ez az L2 topológián található feladatban szerepel. Ezért csak a fizikai interfész lesz konfigurálva az RTR2 útválasztón alinterfészek létrehozása nélkül:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Ezután a g0/0 interfész konfigurálva van:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ezzel befejeződik a router interfészeinek konfigurálása az aktuális feladathoz. A többi interfész konfigurálása a következő feladatok elvégzésekor történik.

a. Engedélyezze a SLAAC-mechanizmust, hogy IPv6-címeket adjon ki az MNG-hálózatban az RTR1 útválasztó interfészén
A SLAAC mechanizmus alapértelmezés szerint engedélyezve van. Csak annyit kell tennie, hogy engedélyezze az IPv6 útválasztást. Ezt a következő paranccsal teheti meg:

RTR1(config-subif)#ipv6 unicast-routing

E parancs nélkül a berendezés gazdagépként működik. Más szóval, a fenti parancsnak köszönhetően lehetővé válik további ipv6-funkciók használata, beleértve az ipv6-címek kiadását, az útválasztás beállítását stb.

b. A VLAN 100 (MNG) virtuális interfészein az SW1, SW2, SW3 kapcsolókon engedélyezze az IPv6 automatikus konfigurációs módot
Az L3 topológiából jól látható, hogy a kapcsolók a VLAN 100-hoz csatlakoznak. Ez azt jelenti, hogy a switcheken virtuális interfészeket kell létrehozni, és csak ezután rendelni hozzájuk alapértelmezés szerint IPv6-címeket. A kezdeti konfiguráció pontosan azért történt, hogy a kapcsolók alapértelmezett címeket kaphassanak az RTR1-től. Ezt a feladatot a következő, mindhárom kapcsolóhoz megfelelő parancslista segítségével hajthatja végre:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Ugyanazzal a paranccsal mindent ellenőrizhet show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

A link-local cím mellett megjelent egy RTR6-től kapott ipv1 cím is. Ez a feladat sikeresen befejeződött, és ugyanazokat a parancsokat kell írni a többi kapcsolóra is.

Val vel. MINDEN eszközön (a PC1 és a WEB kivételével) manuálisan rendelje hozzá a link-local címeket
A harminc számjegyű IPv6-címek nem szórakoztatóak a rendszergazdák számára, így lehetőség van a link-local kézi módosítására, minimális értékre csökkentve annak hosszát. A feladatok nem mondanak semmit arról, hogy melyik címet válasszuk, ezért itt szabad választást biztosítunk.

Például az SW1 kapcsolón be kell állítani a fe80::10 link-local címet. Ezt a következő paranccsal lehet megtenni a kiválasztott interfész konfigurációs módjából:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Most a címzés sokkal vonzóbbnak tűnik:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

A link-local cím mellett megváltozott a fogadott IPv6 cím is, mivel a cím kiadása a link-local cím alapján történik.

Az SW1 kapcsolón csak egy link-local címet kellett beállítani egy interfészen. Az RTR1 routernél több beállítást kell elvégezni - link-local-t kell beállítani két alinterfészen, a loopback-en, majd a későbbi beállításoknál megjelenik a tunnel 100 interfész is.

A felesleges parancsok kiírásának elkerülése érdekében az összes interfészen egyszerre beállíthatja ugyanazt a link-local címet. Ezt kulcsszó használatával teheti meg range ezt követi az összes interfész felsorolása:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Az interfészek ellenőrzésekor látni fogja, hogy a link-local címek az összes kiválasztott interfészen megváltoztak:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Az összes többi eszköz hasonló módon van konfigurálva

d. Az ÖSSZES kapcsolón tiltsa le az ÖSSZES, a feladatban nem használt portot, és vigye át a VLAN 99-re
Az alapötlet ugyanaz, mint több interfész kiválasztásának módja a paranccsal konfigurálandó range, és csak ezután írjon parancsokat a kívánt vlan-re történő átvitelhez, majd kapcsolja ki az interfészeket. Például az SW1 kapcsoló az L1 topológiának megfelelően letiltja az f0/3-4, f0/7-8, f0/11-24 és g0/2 portokat. Ebben a példában a beállítás a következő lenne:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Ha egy már ismert paranccsal ellenőrizzük a beállításokat, érdemes megjegyezni, hogy minden használaton kívüli portnak rendelkeznie kell állapottal közigazgatásilag le, jelezve, hogy a port le van tiltva:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Ha látni szeretné, hogy melyik vlan-ben van a port, egy másik parancsot használhat:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

Minden nem használt interfésznek itt kell lennie. Érdemes megjegyezni, hogy nem lehet interfészt átvinni a vlan-be, ha nem hoztak létre ilyen vlan-t. Ebből a célból készült a kezdeti beállításban az összes működéshez szükséges vlan.

e. Az SW1 kapcsolón engedélyezze a zárolást 1 percre, ha a jelszót 30 másodpercen belül kétszer rosszul adta meg
Ezt a következő paranccsal teheti meg:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Ezeket a beállításokat az alábbiak szerint is ellenőrizheti:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Ahol egyértelműen meg van magyarázva, hogy 30 másodpercen belüli vagy annál rövidebb két sikertelen próbálkozás után a bejelentkezési lehetőség 60 másodpercre blokkolva lesz.

2. Minden eszköznek kezelhetőnek kell lennie az SSH 2-es verzióján keresztül

Ahhoz, hogy az eszközök elérhetőek legyenek az SSH 2-es verzióján keresztül, először a berendezés konfigurálása szükséges, így tájékoztató jelleggel először gyári beállításokkal konfiguráljuk a berendezést.

A szúrás verzióját az alábbiak szerint módosíthatja:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

A rendszer kéri, hogy hozzon létre RSA kulcsokat az SSH 2-es verziójának működéséhez. Az okos rendszer tanácsát követve az alábbi paranccsal hozhat létre RSA kulcsokat:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

A rendszer nem engedi a parancs végrehajtását, mert a gazdagépnév nem változott. A gazdagépnév megváltoztatása után újra meg kell írnia a kulcsgenerálási parancsot:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Most a rendszer nem teszi lehetővé az RSA kulcsok létrehozását a domain név hiánya miatt. A domain név telepítése után pedig lehetőség lesz RSA kulcsok létrehozására. Az SSH 768-es verziójának működéséhez az RSA kulcsoknak legalább 2 bitesnek kell lenniük:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Ennek eredményeként kiderül, hogy az SSHv2 működéséhez szükséges:

1. Gazdanév módosítása;
2. Domain név módosítása;
3. RSA kulcsok létrehozása.

Az előző cikk bemutatta, hogyan kell megváltoztatni a gazdagép- és tartománynevet az összes eszközön, így a jelenlegi eszközök konfigurálása közben csak RSA-kulcsokat kell létrehoznia:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Az SSH 2-es verziója aktív, de az eszközök még nincsenek teljesen konfigurálva. Az utolsó lépés a virtuális konzolok beállítása:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Az előző cikkben az AAA modellt konfiguráltuk, ahol a hitelesítést a virtuális konzolokon helyi adatbázis segítségével állítottuk be, és a felhasználónak a hitelesítés után azonnal privilegizált módba kellett lépnie. Az SSH működésének legegyszerűbb tesztje, ha megpróbál csatlakozni a saját berendezéséhez. Az RTR1 visszacsatolása 1.1.1.1 IP-címmel rendelkezik, megpróbálhat csatlakozni ehhez a címhez:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

A kulcs után -l Adja meg a meglévő felhasználó bejelentkezési adatait, majd a jelszót. A hitelesítés után a felhasználó azonnal privilegizált módba vált, ami azt jelenti, hogy az SSH megfelelően van konfigurálva.

Forrás: will.com