Kami terus menganalisis tugas modul Jaringan kejuaraan WorldSkills pada kompetensi βAdministrasi Jaringan dan Sistemβ.
Tugas-tugas berikut akan dipertimbangkan dalam artikel:
- Di SEMUA perangkat, buat antarmuka virtual, subantarmuka, dan antarmuka loopback. Tetapkan alamat IP sesuai dengan topologi.
- Aktifkan mekanisme SLAAC untuk mengeluarkan alamat IPv6 di jaringan MNG pada antarmuka router RTR1;
- Pada antarmuka virtual di VLAN 100 (MNG) pada sakelar SW1, SW2, SW3, aktifkan mode konfigurasi otomatis IPv6;
- Pada SEMUA perangkat (kecuali PC1 dan WEB) tetapkan alamat link-lokal secara manual;
- Pada SEMUA sakelar, nonaktifkan SEMUA port yang tidak digunakan dalam tugas dan transfer ke VLAN 99;
- Pada sakelar SW1, aktifkan kunci selama 1 menit jika kata sandi yang dimasukkan salah dua kali dalam waktu 30 detik;
- Semua perangkat harus dapat dikelola melalui SSH versi 2.
Topologi jaringan pada lapisan fisik disajikan dalam diagram berikut:
Topologi jaringan pada level data link disajikan pada diagram berikut:
Topologi jaringan pada level jaringan disajikan pada diagram berikut:
presetting
Sebelum melakukan tugas di atas, ada baiknya menyiapkan sakelar dasar pada sakelar SW1-SW3, karena akan lebih mudah untuk memeriksa pengaturannya di masa mendatang. Pengaturan peralihan akan dijelaskan secara rinci di artikel berikutnya, namun untuk saat ini hanya pengaturannya yang akan ditentukan.
Langkah pertama buat vlan dengan nomor 99, 100 dan 300 di semua switch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Langkah selanjutnya adalah mentransfer antarmuka g0/1 ke SW1 ke vlan nomor 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Antarmuka f0/1-2, f0/5-6, yang menghadap sakelar lain, harus dialihkan ke mode trunk:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Pada saklar SW2 dalam mode trunk akan ada antarmuka f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Pada saklar SW3 dalam mode trunk akan ada antarmuka f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Pada tahap ini, pengaturan sakelar akan memungkinkan pertukaran paket yang diberi tag, yang diperlukan untuk menyelesaikan tugas.
1. Buat antarmuka virtual, subantarmuka, dan antarmuka loopback di SEMUA perangkat. Tetapkan alamat IP sesuai dengan topologi.
Router BR1 akan dikonfigurasi terlebih dahulu. Menurut topologi L3, di sini Anda perlu mengkonfigurasi antarmuka tipe loop, juga dikenal sebagai loopback, nomor 101:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ loopback
BR1(config)#interface loopback 101
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv4-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅
BR1(config-if)#ipv6 enable
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv6-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ipv6 address 2001:B:A::1/64
// ΠΡΡ
ΠΎΠ΄ ΠΈΠ· ΡΠ΅ΠΆΠΈΠΌΠ° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#exit
BR1(config)#
Untuk memeriksa status antarmuka yang dibuat, Anda dapat menggunakan perintah show ipv6 interface brief
:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
BR1#
Di sini Anda dapat melihat bahwa loopback aktif, statusnya UP. Jika Anda melihat di bawah, Anda dapat melihat dua alamat IPv6, meskipun hanya satu perintah yang digunakan untuk mengatur alamat IPv6. Faktanya adalah itu FE80::2D0:97FF:FE94:5022
adalah alamat tautan-lokal yang ditetapkan ketika ipv6 diaktifkan pada antarmuka dengan perintah ipv6 enable
.
Dan untuk melihat alamat IPv4, gunakan perintah serupa:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Untuk BR1, Anda harus segera mengkonfigurasi antarmuka g0/0; di sini Anda hanya perlu mengatur alamat IPv6:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ Π² ΡΠ΅ΠΆΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config)#interface gigabitEthernet 0/0
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Anda dapat memeriksa pengaturan dengan perintah yang sama show ipv6 interface brief
:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:C::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
Selanjutnya, router ISP akan dikonfigurasi. Di sini, sesuai dengan tugas, loopback nomor 0 akan dikonfigurasi, tetapi selain itu, lebih baik untuk mengkonfigurasi antarmuka g0/0, yang harus memiliki alamat 30.30.30.1, karena dalam tugas selanjutnya tidak ada yang akan dikatakan tentang menyiapkan antarmuka ini. Pertama, loopback nomor 0 dikonfigurasi:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tim show ipv6 interface brief
Anda dapat memverifikasi bahwa pengaturan antarmuka sudah benar. Kemudian antarmuka g0/0 dikonfigurasi:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Selanjutnya, router RTR1 akan dikonfigurasi. Di sini Anda juga perlu membuat loopback nomor 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Juga pada RTR1 Anda perlu membuat 2 subinterface virtual untuk vlan dengan nomor 100 dan 300. Ini dapat dilakukan sebagai berikut.
Pertama, Anda perlu mengaktifkan antarmuka fisik g0/1 dengan perintah no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Kemudian subinterface dengan nomor 100 dan 300 dibuat dan dikonfigurasi:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 100 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.100
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 300 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.300
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Nomor subinterface mungkin berbeda dengan nomor vlan yang akan digunakan, namun untuk kenyamanan lebih baik menggunakan nomor subinterface yang sesuai dengan nomor vlan. Jika Anda menyetel tipe enkapsulasi saat menyiapkan subantarmuka, Anda harus menentukan nomor yang cocok dengan nomor vlan. Jadi setelah perintah encapsulation dot1Q 300
subinterface hanya akan melewati paket vlan dengan nomor 300.
Langkah terakhir dalam tugas ini adalah router RTR2. Koneksi antara SW1 dan RTR2 harus dalam mode akses, antarmuka switch akan melewati paket RTR2 saja yang ditujukan untuk vlan nomor 300, hal ini dinyatakan dalam tugas pada topologi L2. Oleh karena itu, hanya antarmuka fisik yang akan dikonfigurasi pada router RTR2 tanpa membuat subantarmuka:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Kemudian antarmuka g0/0 dikonfigurasi:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ini menyelesaikan konfigurasi antarmuka router untuk tugas saat ini. Antarmuka lainnya akan dikonfigurasikan saat Anda menyelesaikan tugas berikut.
A. Aktifkan mekanisme SLAAC untuk mengeluarkan alamat IPv6 di jaringan MNG pada antarmuka router RTR1
Mekanisme SLAAC diaktifkan secara default. Satu-satunya hal yang perlu Anda lakukan adalah mengaktifkan perutean IPv6. Anda dapat melakukannya dengan perintah berikut:
RTR1(config-subif)#ipv6 unicast-routing
Tanpa perintah ini, peralatan bertindak sebagai tuan rumah. Dengan kata lain, berkat perintah di atas, fungsi ipv6 tambahan dapat digunakan, termasuk mengeluarkan alamat ipv6, mengatur perutean, dll.
B. Pada antarmuka virtual di VLAN 100 (MNG) pada sakelar SW1, SW2, SW3, aktifkan mode konfigurasi otomatis IPv6
Dari topologi L3 terlihat jelas bahwa switch terhubung ke VLAN 100. Artinya perlu dibuat antarmuka virtual pada switch, dan baru kemudian menetapkannya untuk menerima alamat IPv6 secara default. Konfigurasi awal dilakukan dengan tepat agar switch dapat menerima alamat default dari RTR1. Anda dapat menyelesaikan tugas ini menggunakan daftar perintah berikut, yang cocok untuk ketiga sakelar:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// ΠΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π°Π΄ΡΠ΅ΡΠ° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Anda dapat memeriksa semuanya dengan perintah yang sama show ipv6 interface brief
:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local Π°Π΄ΡΠ΅Ρ
2001:100::A8BB:CCFF:FE80:C000 // ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΉ IPv6-Π°Π΄ΡΠ΅Ρ
Selain alamat link-local, alamat ipv6 yang diterima dari RTR1 muncul. Tugas ini telah berhasil diselesaikan, dan perintah yang sama harus ditulis pada sakelar yang tersisa.
Dengan. Di SEMUA perangkat (kecuali PC1 dan WEB) tetapkan alamat link-lokal secara manual
Alamat IPv6 tiga puluh digit bukanlah hal yang menyenangkan bagi administrator, sehingga dimungkinkan untuk mengubah link-local secara manual, sehingga mengurangi panjangnya ke nilai minimum. Penugasan tidak menjelaskan apa pun tentang alamat mana yang harus dipilih, jadi pilihan bebas disediakan di sini.
Misalnya, pada saklar SW1 Anda perlu mengatur alamat link-lokal fe80::10. Hal ini dapat dilakukan dengan perintah berikut dari mode konfigurasi antarmuka yang dipilih:
// ΠΡ
ΠΎΠ΄ Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ vlan 100
SW1(config)#interface vlan 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Kini pengalamatan terlihat jauh lebih menarik:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local Π°Π΄ΡΠ΅c
2001:100::10 //IPv6-Π°Π΄ΡΠ΅Ρ
Selain alamat link-local, alamat IPv6 yang diterima juga telah berubah, karena alamat tersebut dikeluarkan berdasarkan alamat link-local.
Pada saklar SW1, perlu untuk menetapkan hanya satu alamat link-lokal pada satu antarmuka. Dengan router RTR1, Anda perlu membuat lebih banyak pengaturan - Anda perlu mengatur link-local pada dua subantarmuka, pada loopback, dan dalam pengaturan selanjutnya antarmuka terowongan 100 juga akan muncul.
Untuk menghindari penulisan perintah yang tidak perlu, Anda dapat mengatur alamat link-local yang sama pada semua antarmuka sekaligus. Anda dapat melakukan ini menggunakan kata kunci range
diikuti dengan mencantumkan semua antarmuka:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ
ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Saat memeriksa antarmuka, Anda akan melihat bahwa alamat link-local telah diubah pada semua antarmuka yang dipilih:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Semua perangkat lain dikonfigurasi dengan cara yang sama
D. Pada SEMUA sakelar, nonaktifkan SEMUA port yang tidak digunakan dalam pekerjaan dan transfer ke VLAN 99
Ide dasarnya adalah cara yang sama dalam memilih beberapa antarmuka untuk dikonfigurasikan menggunakan perintah range
, dan baru kemudian Anda harus menulis perintah untuk mentransfer ke vlan yang diinginkan dan kemudian mematikan antarmuka. Misalnya, saklar SW1, menurut topologi L1, akan menonaktifkan port f0/3-4, f0/7-8, f0/11-24 dan g0/2. Untuk contoh ini pengaturannya adalah sebagai berikut:
// ΠΡΠ±ΠΎΡ Π²ΡΠ΅Ρ
Π½Π΅ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ
ΠΏΠΎΡΡΠΎΠ²
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΡΠ΅ΠΆΠΈΠΌΠ° access Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°Ρ
SW1(config-if-range)#switchport mode access
// ΠΠ΅ΡΠ΅Π²ΠΎΠ΄ Π² VLAN 99 ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#switchport access vlan 99
// ΠΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Saat memeriksa pengaturan dengan perintah yang sudah diketahui, perlu diperhatikan bahwa semua port yang tidak digunakan harus memiliki status secara administratif turun, menunjukkan bahwa port tersebut dinonaktifkan:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Untuk melihat di vlan mana port tersebut berada, Anda dapat menggunakan perintah lain:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Semua antarmuka yang tidak digunakan harus ada di sini. Perlu dicatat bahwa tidak mungkin mentransfer antarmuka ke vlan jika vlan tersebut belum dibuat. Untuk tujuan inilah pada pengaturan awal semua vlan yang diperlukan untuk pengoperasian dibuat.
e. Pada sakelar SW1, aktifkan kunci selama 1 menit jika kata sandi yang dimasukkan salah dua kali dalam waktu 30 detik
Anda dapat melakukannya dengan perintah berikut:
// ΠΠ»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠ° Π½Π° 60Ρ; ΠΠΎΠΏΡΡΠΊΠΈ: 2; Π ΡΠ΅ΡΠ΅Π½ΠΈΠ΅: 30Ρ
SW1#login block-for 60 attempts 2 within 30
Anda juga dapat memeriksa pengaturan ini sebagai berikut:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Dimana dijelaskan dengan jelas bahwa setelah dua kali gagal dalam waktu 30 detik atau kurang, kemampuan untuk login akan diblokir selama 60 detik.
2. Semua perangkat harus dapat dikelola melalui SSH versi 2
Agar perangkat dapat diakses melalui SSH versi 2, maka perlu dilakukan konfigurasi perangkat keras terlebih dahulu, jadi untuk informasi saja kita konfigurasi perangkat keras terlebih dahulu dengan pengaturan pabrik.
Anda dapat mengubah versi tusukan sebagai berikut:
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π²Π΅ΡΡΠΈΡ SSH Π²Π΅ΡΡΠΈΠΈ 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistem meminta Anda membuat kunci RSA agar SSH versi 2 dapat berfungsi. Mengikuti saran sistem pintar, Anda dapat membuat kunci RSA dengan perintah berikut:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ RSA ΠΊΠ»ΡΡΠ΅ΠΉ
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistem tidak mengizinkan perintah dijalankan karena nama host belum diubah. Setelah mengubah nama host, Anda perlu menulis lagi perintah pembuatan kunci:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Sekarang sistem tidak mengizinkan Anda membuat kunci RSA karena kurangnya nama domain. Dan setelah menginstal nama domain, kunci RSA dapat dibuat. Kunci RSA harus memiliki panjang minimal 768 bit agar SSH versi 2 dapat berfungsi:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Hasilnya, agar SSHv2 dapat berfungsi, diperlukan:
- Ubah nama host;
- Ubah nama domain;
- Hasilkan kunci RSA.
Artikel sebelumnya menunjukkan cara mengubah nama host dan nama domain di semua perangkat, jadi sambil terus mengonfigurasi perangkat saat ini, Anda hanya perlu membuat kunci RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH versi 2 aktif, namun perangkat belum dikonfigurasi sepenuhnya. Langkah terakhir adalah menyiapkan konsol virtual:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
ΠΊΠΎΠ½ΡΠΎΠ»Π΅ΠΉ
R1(config)#line vty 0 4
// Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Ρ SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Pada artikel sebelumnya, model AAA dikonfigurasi, di mana otentikasi diatur pada konsol virtual menggunakan database lokal, dan pengguna, setelah otentikasi, harus segera masuk ke mode istimewa. Tes fungsionalitas SSH yang paling sederhana adalah mencoba menyambung ke peralatan Anda sendiri. RTR1 memiliki loopback dengan alamat IP 1.1.1.1, Anda dapat mencoba menghubungkan ke alamat ini:
//ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΏΠΎ ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Setelah kuncinya -l
Masukkan login pengguna yang ada, lalu kata sandi. Setelah otentikasi, pengguna segera beralih ke mode istimewa, yang berarti SSH dikonfigurasi dengan benar.
Sumber: www.habr.com