ProHoster > Օրագիր > Վարչակազմը > «SiSA»-ի իրավասության ցանցային մոդուլի «WorldSkills» առաջադրանքների լուծում: Մաս 2 - Հիմնական կարգավորում

«SiSA»-ի իրավասության ցանցային մոդուլի «WorldSkills» առաջադրանքների լուծում: Մաս 2 - Հիմնական կարգավորում

Մենք շարունակում ենք վերլուծել WorldSkills առաջնության Ցանցային մոդուլի առաջադրանքները «Ցանց և համակարգի կառավարում» իրավասության մեջ:

Հոդվածում կքննարկվեն հետևյալ խնդիրները.

  1. ԲՈԼՈՐ սարքերում ստեղծեք վիրտուալ ինտերֆեյսներ, ենթաինտերֆեյսներ և շրջադարձային միջերեսներ: Նշանակե՛ք IP հասցեներ՝ ըստ տոպոլոգիայի:
    • Միացնել SLAAC մեխանիզմը, որպեսզի թողարկի IPv6 հասցեներ MNG ցանցում RTR1 երթուղիչի ինտերֆեյսի վրա;
    • VLAN 100 (MNG) վիրտուալ ինտերֆեյսների վրա SW1, SW2, SW3 անջատիչների վրա, միացրեք IPv6 ավտոմատ կազմաձևման ռեժիմը.
    • ԲՈԼՈՐ սարքերում (բացառությամբ PC1-ի և WEB-ի) ձեռքով նշանակել հղում-տեղական հասցեներ;
    • ԲՈԼՈՐ անջատիչների վրա անջատեք առաջադրանքում չօգտագործված ԲՈԼՈՐ պորտերը և տեղափոխեք VLAN 99;
    • SW1 անջատիչի վրա միացրեք կողպեքը 1 րոպեով՝ 30 վայրկյանում գաղտնաբառ երկու անգամ սխալ մուտքագրելու դեպքում;
  2. Բոլոր սարքերը պետք է կառավարելի լինեն SSH տարբերակ 2-ի միջոցով:


Ցանցի տոպոլոգիան ֆիզիկական շերտում ներկայացված է հետևյալ դիագրամում.

«SiSA»-ի իրավասության ցանցային մոդուլի «WorldSkills» առաջադրանքների լուծում: Մաս 2 - Հիմնական կարգավորում

Ցանցի տոպոլոգիան տվյալների կապի մակարդակում ներկայացված է հետևյալ դիագրամում.

«SiSA»-ի իրավասության ցանցային մոդուլի «WorldSkills» առաջադրանքների լուծում: Մաս 2 - Հիմնական կարգավորում

Ցանցի տոպոլոգիան ցանցի մակարդակում ներկայացված է հետևյալ դիագրամում.

«SiSA»-ի իրավասության ցանցային մոդուլի «WorldSkills» առաջադրանքների լուծում: Մաս 2 - Հիմնական կարգավորում

Նախնական կարգավորում

Նախքան վերը նշված առաջադրանքները կատարելը, արժե կարգավորել SW1-SW3 անջատիչների հիմնական միացումը, քանի որ հետագայում ավելի հարմար կլինի ստուգել դրանց կարգավորումները: Անցման կարգավորումը մանրամասն կներկայացվի հաջորդ հոդվածում, սակայն առայժմ կսահմանվեն միայն կարգավորումները:

Առաջին քայլը բոլոր անջատիչների վրա 99, 100 և 300 թվերով vlan-ներ ստեղծելն է.

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Հաջորդ քայլը g0/1 միջերեսը SW1-ին փոխանցելն է vlan համարին 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

f0/1-2, f0/5-6 ինտերֆեյսները, որոնք կանգնած են այլ անջատիչների հետ, պետք է անցնեն միջքաղաքային ռեժիմի.

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

SW2 անջատիչի վրա բեռնախցիկի ռեժիմում կլինեն f0/1-4 միջերեսներ.

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

SW3 անջատիչի վրա բեռնախցիկի ռեժիմում կլինեն ինտերֆեյսներ f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Այս փուլում անջատիչի կարգավորումները թույլ կտան փոխանակել հատկորոշված ​​փաթեթներ, որոնք անհրաժեշտ են առաջադրանքները կատարելու համար:

1. Ստեղծեք վիրտուալ ինտերֆեյսներ, ենթաինտերֆեյսներ և շրջադարձային միջերեսներ ԲՈԼՈՐ սարքերում: Նշանակե՛ք IP հասցեներ՝ ըստ տոպոլոգիայի:

BR1 երթուղիչը նախ կկարգավորվի: L3 տոպոլոգիայի համաձայն, այստեղ դուք պետք է կարգավորեք հանգույցի տիպի ինտերֆեյս, որը նաև հայտնի է որպես loopback, համարը 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Ստեղծված ինտերֆեյսի կարգավիճակը ստուգելու համար կարող եք օգտագործել հրամանը show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Այստեղ դուք կարող եք տեսնել, որ loopback-ը ակտիվ է, նրա վիճակը՝ UP. Եթե ​​նայեք ստորև, կարող եք տեսնել երկու IPv6 հասցե, թեև IPv6 հասցեն սահմանելու համար օգտագործվել է միայն մեկ հրաման: Փաստն այն է, որ FE80::2D0:97FF:FE94:5022 հղում-տեղական հասցե է, որը նշանակվում է, երբ ipv6-ը միացված է հրամանով ինտերֆեյսի վրա ipv6 enable.

Եվ IPv4 հասցեն դիտելու համար օգտագործեք նմանատիպ հրաման.

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1-ի համար դուք պետք է անմիջապես կարգավորեք g0/0 ինտերֆեյսը, այստեղ պարզապես անհրաժեշտ է սահմանել IPv6 հասցեն.

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Նույն հրամանով կարող եք ստուգել կարգավորումները show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Հաջորդը, ISP երթուղիչը կկարգավորվի: Այստեղ, ըստ առաջադրանքի, կկազմաձևվի loopback համարը 0, բայց բացի դրանից, նախընտրելի է կարգավորել g0/0 ինտերֆեյսը, որը պետք է ունենա 30.30.30.1 հասցեն, այն պատճառով, որ հետագա առաջադրանքների մասին ոչինչ չի ասվի: այս ինտերֆեյսների կարգավորումը: Նախ, loopback համարը 0 կազմաձևվում է.

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

թիմը show ipv6 interface brief Դուք կարող եք ստուգել, ​​որ ինտերֆեյսի կարգավորումները ճիշտ են: Այնուհետև կազմաձևվում է g0/0 միջերեսը.

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Հաջորդը, RTR1 երթուղիչը կկարգավորվի: Այստեղ դուք նաև պետք է ստեղծեք 100-րդ համարը.

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Նաև RTR1-ում դուք պետք է ստեղծեք 2 վիրտուալ ենթաինտերֆեյս 100 և 300 թվերով vlan-ների համար: Դա կարելի է անել հետևյալ կերպ.

Նախ, դուք պետք է միացնեք ֆիզիկական ինտերֆեյսը g0/1 առանց անջատման հրամանի.

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Այնուհետև ստեղծվում և կազմաձևվում են ենթաինտերֆեյսեր 100 և 300 համարներով.

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Ենթաինտերֆեյսի համարը կարող է տարբերվել vlan համարից, որում այն ​​կաշխատի, բայց հարմարության համար ավելի լավ է օգտագործել ենթաինտերֆեյսի համարը, որը համապատասխանում է vlan համարին: Եթե ​​ենթաինտերֆեյս ստեղծելիս սահմանել եք ինկապսուլյացիայի տեսակը, ապա պետք է նշեք մի թիվ, որը համապատասխանում է vlan թվին: Այսպիսով, հրամանից հետո encapsulation dot1Q 300 ենթաինտերֆեյսը կանցնի միայն 300 համարով vlan փաթեթներով:

Այս առաջադրանքի վերջին քայլը կլինի RTR2 երթուղիչը: SW1-ի և RTR2-ի միջև կապը պետք է լինի մուտքի ռեժիմում, անջատիչի միջերեսը կանցնի միայն RTR2 փաթեթներ, որոնք նախատեսված են vlan համարի 300-ի համար, սա ասված է L2 տոպոլոգիայի առաջադրանքում: Հետևաբար, միայն ֆիզիկական ինտերֆեյսը կկարգավորվի RTR2 երթուղիչի վրա՝ առանց ենթաինտերֆեյս ստեղծելու.

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Այնուհետև կազմաձևվում է g0/0 միջերեսը.

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Սա ավարտում է ընթացիկ առաջադրանքի համար երթուղիչի միջերեսների կազմաձևումը: Մնացած միջերեսները կկազմաձևվեն հետևյալ առաջադրանքները կատարելիս:

ա. Միացնել SLAAC մեխանիզմը, որպեսզի թողարկի IPv6 հասցեներ MNG ցանցում RTR1 երթուղիչի ինտերֆեյսի վրա
SLAAC մեխանիզմը լռելյայն միացված է: Միակ բանը, որ դուք պետք է անեք, միացնել IPv6 երթուղին: Դուք կարող եք դա անել հետևյալ հրամանով.

RTR1(config-subif)#ipv6 unicast-routing

Առանց այս հրամանի, սարքավորումները գործում են որպես հյուրընկալող: Այլ կերպ ասած, վերը նշված հրամանի շնորհիվ հնարավոր է դառնում օգտագործել լրացուցիչ ipv6 գործառույթներ, այդ թվում՝ ipv6 հասցեների թողարկում, երթուղիների կարգավորում և այլն։

բ. VLAN 100 (MNG) վիրտուալ ինտերֆեյսների վրա SW1, SW2, SW3 անջատիչների վրա, միացրեք IPv6 ավտոմատ կազմաձևման ռեժիմը
L3 տոպոլոգիայից պարզ է դառնում, որ անջատիչները միացված են VLAN 100-ին: Սա նշանակում է, որ անհրաժեշտ է ստեղծել վիրտուալ ինտերֆեյսներ անջատիչների վրա, և միայն դրանից հետո նրանց նշանակել լռելյայն IPv6 հասցեներ ստանալու համար: Նախնական կոնֆիգուրացիան կատարվել է հենց այնպես, որ անջատիչները կարողանան ստանալ լռելյայն հասցեներ RTR1-ից: Դուք կարող եք կատարել այս առաջադրանքը՝ օգտագործելով հրամանների հետևյալ ցուցակը, որը հարմար է բոլոր երեք անջատիչների համար.

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Դուք կարող եք ստուգել ամեն ինչ նույն հրամանով show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Բացի հղում-տեղական հասցեից, հայտնվեց RTR6-ից ստացված ipv1 հասցե։ Այս առաջադրանքը հաջողությամբ ավարտվել է, և մնացած անջատիչների վրա պետք է գրվեն նույն հրամանները:

Հետ. ԲՈԼՈՐ սարքերում (բացառությամբ PC1-ի և WEB-ի) ձեռքով նշանակեք հղում-տեղական հասցեներ
Երեսուն նիշանոց IPv6 հասցեները զվարճալի չեն ադմինիստրատորների համար, ուստի հնարավոր է ձեռքով փոխել հղում-տեղականը՝ նվազեցնելով դրա երկարությունը մինչև նվազագույն արժեք: Առաջադրանքները ոչինչ չեն ասում, թե որ հասցեներն ընտրել, ուստի այստեղ ազատ ընտրություն է տրվում:

Օրինակ, SW1 անջատիչի վրա դուք պետք է սահմանեք հղում-տեղական հասցեն fe80::10: Դա կարելի է անել ընտրված ինտերֆեյսի կազմաձևման ռեժիմից հետևյալ հրամանով.

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Այժմ հասցեագրումը շատ ավելի գրավիչ է թվում.

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Հղում-տեղական հասցեից բացի փոխվել է նաև ստացված IPv6 հասցեն, քանի որ հասցեն թողարկվում է հղում-տեղական հասցեի հիման վրա։

SW1 անջատիչում անհրաժեշտ էր մեկ ինտերֆեյսի վրա տեղադրել միայն մեկ հղում-տեղական հասցե: RTR1 երթուղիչով դուք պետք է կատարեք ավելի շատ կարգավորումներ՝ դուք պետք է սահմանեք link-local-ը երկու ենթաինտերֆեյսների վրա՝ loopback-ում, իսկ հետագա կարգավորումներում կհայտնվի նաև թունել 100 ինտերֆեյսը:

Հրամանների անհարկի գրելուց խուսափելու համար կարող եք բոլոր ինտերֆեյսների վրա միանգամից միևնույն հղում-տեղական հասցեն սահմանել: Դուք կարող եք դա անել՝ օգտագործելով հիմնաբառ range որին հաջորդում է թվարկել բոլոր ինտերֆեյսները.

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Ինտերֆեյսները ստուգելիս կտեսնեք, որ բոլոր ընտրված ինտերֆեյսներում փոխվել են հղման տեղական հասցեները.

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Բոլոր մյուս սարքերը կազմաձևված են նույն ձևով

դ. ԲՈԼՈՐ անջատիչների վրա անջատեք աշխատանքի մեջ չօգտագործված ԲՈԼՈՐ պորտերը և տեղափոխեք VLAN 99
Հիմնական գաղափարը հրամանի միջոցով կարգավորելու համար բազմաթիվ ինտերֆեյսներ ընտրելու նույն ձևն է range, և միայն դրանից հետո պետք է հրամաններ գրել ցանկալի vlan-ին փոխանցելու համար և այնուհետև անջատել միջերեսները: Օրինակ, SW1 անջատիչը, L1 տոպոլոգիայի համաձայն, կունենա f0/3-4, f0/7-8, f0/11-24 և g0/2 պորտերը: Այս օրինակի համար պարամետրը կլինի հետևյալը.

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Արդեն հայտնի հրամանով կարգավորումները ստուգելիս հարկ է նշել, որ բոլոր չօգտագործված նավահանգիստները պետք է ունենան կարգավիճակ վարչականորեն ցած, նշելով, որ նավահանգիստն անջատված է.

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Տեսնելու համար, թե որ vlan-ում է նավահանգիստը, կարող եք օգտագործել մեկ այլ հրաման.

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Բոլոր չօգտագործված միջերեսները պետք է լինեն այստեղ: Հարկ է նշել, որ հնարավոր չի լինի ինտերֆեյսներ փոխանցել vlan-ին, եթե այդպիսի vlan չի ստեղծվել։ Հենց այդ նպատակով է, որ սկզբնական կարգավորումներում ստեղծվեցին շահագործման համար անհրաժեշտ բոլոր վլանները։

ե. SW1 անջատիչի վրա միացրեք կողպումը 1 րոպեով, եթե գաղտնաբառը սխալ է մուտքագրվել երկու անգամ 30 վայրկյանի ընթացքում
Դուք կարող եք դա անել հետևյալ հրամանով.

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Դուք կարող եք նաև ստուգել այս կարգավորումները հետևյալ կերպ.

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Այնտեղ, որտեղ հստակ բացատրվում է, որ երկու անհաջող փորձից հետո 30 վայրկյանի ընթացքում կամ ավելի քիչ, մուտք գործելու հնարավորությունը կարգելափակվի 60 վայրկյանով:

2. Բոլոր սարքերը պետք է կառավարելի լինեն SSH տարբերակի 2-ի միջոցով

Որպեսզի սարքերը հասանելի լինեն SSH տարբերակի 2-ի միջոցով, անհրաժեշտ է նախ կարգավորել սարքավորումը, ուստի տեղեկատվական նպատակներով մենք նախ սարքավորումը կկարգավորենք գործարանային կարգավորումներով:

Դուք կարող եք փոխել ծակման տարբերակը հետևյալ կերպ.

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Համակարգը խնդրում է ձեզ ստեղծել RSA ստեղներ SSH 2 տարբերակի աշխատանքի համար: Հետևելով խելացի համակարգի խորհուրդներին՝ կարող եք ստեղծել RSA ստեղներ հետևյալ հրամանով.

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Համակարգը թույլ չի տալիս հրամանի կատարումը, քանի որ հոսթի անունը չի փոխվել: Հոսթի անունը փոխելուց հետո դուք պետք է նորից գրեք բանալիների ստեղծման հրամանը.

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Այժմ համակարգը թույլ չի տալիս ստեղծել RSA բանալիներ՝ տիրույթի անվան բացակայության պատճառով։ Իսկ դոմենի անունը տեղադրելուց հետո հնարավոր կլինի ստեղծել RSA բանալիներ։ RSA ստեղները պետք է ունենան առնվազն 768 բիթ, որպեսզի SSH տարբերակ 2 աշխատի.

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Արդյունքում պարզվում է, որ SSHv2-ի աշխատանքի համար անհրաժեշտ է.

  1. Փոխել հյուրընկալողի անունը;
  2. Փոխել տիրույթի անունը;
  3. Ստեղծեք RSA ստեղներ:

Նախորդ հոդվածը ցույց տվեց, թե ինչպես փոխել հոսթի անունը և տիրույթի անունը բոլոր սարքերում, այնպես որ ընթացիկ սարքերի կազմաձևումը շարունակելիս անհրաժեշտ է միայն RSA ստեղներ ստեղծել.

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH-ի 2-րդ տարբերակն ակտիվ է, բայց սարքերը դեռ ամբողջությամբ կազմաձևված չեն: Վերջին քայլը կլինի վիրտուալ կոնսուլների տեղադրումը.

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Նախորդ հոդվածում կազմաձևվել էր AAA մոդելը, որտեղ նույնականացումը դրված էր վիրտուալ կոնսուլների վրա՝ օգտագործելով տեղական տվյալների բազա, և օգտատերը նույնականացումից հետո պետք է անմիջապես անցներ արտոնյալ ռեժիմ: SSH ֆունկցիոնալության ամենապարզ թեստը սեփական սարքավորումներին միանալու փորձն է: RTR1-ն ունի loopback 1.1.1.1 IP հասցեով, կարող եք փորձել միանալ այս հասցեին.

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Բանալից հետո -l Մուտքագրեք գոյություն ունեցող օգտվողի մուտքը, այնուհետև գաղտնաբառը: Նույնականացումից հետո օգտվողն անմիջապես անցնում է արտոնյալ ռեժիմի, ինչը նշանակում է, որ SSH-ը ճիշտ է կազմաձևված:

Source: www.habr.com

Добавить комментарий