ProHoster > Blog > Stjórnsýsla > Lausn á WorldSkills verkefnum í neteiningunni í hæfni "SiSA". Part 2 - Grunnuppsetning

Lausn á WorldSkills verkefnum í neteiningunni í hæfni "SiSA". Part 2 - Grunnuppsetning

Við höldum áfram að greina verkefni neteiningarinnar í WorldSkills meistaramótinu í „Net- og kerfisstjórnun“ hæfni.

Eftirfarandi verkefni verða tekin fyrir í greininni:

  1. Á ÖLLUM tækjum skaltu búa til sýndarviðmót, undirviðmót og bakviðmót. Úthlutaðu IP-tölum í samræmi við staðfræði.
    • Virkjaðu SLAAC vélbúnaðinn til að gefa út IPv6 vistföng í MNG netinu á RTR1 leiðarviðmótinu;
    • Á sýndarviðmótum í VLAN 100 (MNG) á rofum SW1, SW2, SW3, virkjaðu IPv6 sjálfvirka stillingu;
    • Á ÖLLUM tækjum (nema PC1 og WEB) úthlutaðu staðbundnum netföngum handvirkt;
    • Á ÖLLUM rofum skaltu slökkva á ÖLLUM tengi sem ekki eru notuð í verkefninu og flytja yfir í VLAN 99;
    • Á rofa SW1, virkjaðu læsingu í 1 mínútu ef lykilorðið er rangt slegið inn tvisvar innan 30 sekúndna;
  2. Öll tæki verða að vera viðráðanleg með SSH útgáfu 2.


Staðfræði netkerfisins við líkamlega lagið er kynnt í eftirfarandi skýringarmynd:

Lausn á WorldSkills verkefnum í neteiningunni í hæfni "SiSA". Part 2 - Grunnuppsetning

Staðfræði netkerfisins á gagnatengingarstigi er sýnd í eftirfarandi skýringarmynd:

Lausn á WorldSkills verkefnum í neteiningunni í hæfni "SiSA". Part 2 - Grunnuppsetning

Staðfræði netkerfisins á netstigi er sýnd á eftirfarandi skýringarmynd:

Lausn á WorldSkills verkefnum í neteiningunni í hæfni "SiSA". Part 2 - Grunnuppsetning

forstilling

Áður en ofangreind verkefni eru framkvæmd er þess virði að setja upp grunnkveikjurofa SW1-SW3, þar sem það verður þægilegra að athuga stillingar þeirra í framtíðinni. Skipulaginu verður lýst í smáatriðum í næstu grein, en í bili verða aðeins stillingarnar skilgreindar.

Fyrsta skrefið er að búa til vlans með númerum 99, 100 og 300 á öllum rofum:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Næsta skref er að flytja viðmót g0/1 yfir í SW1 í vlan númer 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Tengi f0/1-2, f0/5-6, sem snúa að öðrum rofum, ætti að skipta yfir í stofnham:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Á rofa SW2 í trunkham verða tengi f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Á rofa SW3 í trunkham verða tengi f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Á þessu stigi munu skiptastillingarnar leyfa skiptingu á merktum pökkum, sem þarf til að klára verkefni.

1. Búðu til sýndarviðmót, undirviðmót og bakviðmót á ÖLLUM tækjum. Úthlutaðu IP-tölum í samræmi við staðfræði.

Router BR1 verður stilltur fyrst. Samkvæmt L3 staðfræðinni, hér þarftu að stilla lykkjugerð viðmót, einnig þekkt sem loopback, númer 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Til að athuga stöðu stofnaðs viðmóts geturðu notað skipunina show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Hér geturðu séð að loopback er virk, ástand þess UP. Ef þú skoðar hér að neðan geturðu séð tvö IPv6 vistföng, þó aðeins ein skipun hafi verið notuð til að stilla IPv6 vistfangið. Staðreyndin er sú FE80::2D0:97FF:FE94:5022 er tengil-staðbundið heimilisfang sem er úthlutað þegar ipv6 er virkt á viðmóti með skipuninni ipv6 enable.

Og til að skoða IPv4 vistfangið skaltu nota svipaða skipun:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Fyrir BR1 ættirðu strax að stilla g0/0 viðmótið; hér þarftu bara að stilla IPv6 vistfangið:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Þú getur athugað stillingarnar með sömu skipun show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Næst verður ISP beininn stilltur. Hér, samkvæmt verkefninu, verður afturhlaupsnúmer 0 stillt, en fyrir utan þetta er æskilegt að stilla g0/0 viðmótið, sem ætti að hafa heimilisfangið 30.30.30.1, af þeirri ástæðu að í síðari verkefnum verður ekkert sagt um að setja upp þessi viðmót. Í fyrsta lagi er afturhlaupsnúmer 0 stillt:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

lið show ipv6 interface brief Þú getur staðfest að viðmótsstillingarnar séu réttar. Þá er viðmót g0/0 stillt:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Næst verður RTR1 beininn stilltur. Hér þarftu líka að búa til bakslag númer 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Einnig á RTR1 þarftu að búa til 2 sýndarundirviðmót fyrir vlan með númerunum 100 og 300. Þetta er hægt að gera á eftirfarandi hátt.

Í fyrsta lagi þarftu að virkja líkamlega viðmótið g0/1 með no shutdown skipuninni:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Þá eru undirviðmót með númerum 100 og 300 búin til og stillt:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Undirviðmótsnúmerið getur verið frábrugðið vlan-númerinu sem það mun virka í, en til þæginda er betra að nota undirviðmótsnúmerið sem passar við vlan-númerið. Ef þú stillir innkapslunargerðina þegar þú setur upp undirviðmót, ættirðu að tilgreina númer sem passar við vlan-númerið. Svo eftir skipunina encapsulation dot1Q 300 undirviðmótið mun aðeins fara í gegnum vlan pakka með númer 300.

Lokaskrefið í þessu verkefni verður RTR2 leiðin. Tengingin milli SW1 og RTR2 verður að vera í aðgangsham, rofaviðmótið mun fara í átt að RTR2 aðeins pakka sem ætlaðir eru fyrir vlan númer 300, þetta kemur fram í verkefninu á L2 staðfræðinni. Þess vegna verður aðeins líkamlega viðmótið stillt á RTR2 leiðinni án þess að búa til undirviðmót:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Þá er viðmót g0/0 stillt:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Þetta lýkur uppsetningu leiðarviðmóta fyrir núverandi verkefni. Viðmótin sem eftir eru verða stillt þegar þú klárar eftirfarandi verkefni.

a. Virkjaðu SLAAC vélbúnaðinn til að gefa út IPv6 vistföng í MNG netinu á RTR1 leiðarviðmótinu
SLAAC vélbúnaðurinn er sjálfgefið virkur. Það eina sem þú þarft að gera er að virkja IPv6 leið. Þú getur gert þetta með eftirfarandi skipun:

RTR1(config-subif)#ipv6 unicast-routing

Án þessarar skipunar virkar búnaðurinn sem gestgjafi. Með öðrum orðum, þökk sé ofangreindri skipun, verður hægt að nota viðbótar ipv6 aðgerðir, þar á meðal að gefa út ipv6 vistföng, setja upp leið osfrv.

b. Á sýndarviðmótum í VLAN 100 (MNG) á rofum SW1, SW2, SW3, virkjaðu IPv6 sjálfvirka stillingu
Af L3 staðfræðinni er ljóst að rofarnir eru tengdir VLAN 100. Þetta þýðir að það er nauðsynlegt að búa til sýndarviðmót á rofanum, og aðeins þá úthluta þeim til að taka á móti IPv6 vistföngum sjálfgefið. Upphafsstillingin var gerð nákvæmlega þannig að rofarnir gætu fengið sjálfgefin vistföng frá RTR1. Þú getur klárað þetta verkefni með því að nota eftirfarandi lista yfir skipanir, sem henta fyrir alla þrjá rofana:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Þú getur athugað allt með sömu skipun show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Til viðbótar við hlekk-staðbundið heimilisfang birtist ipv6 vistfang sem barst frá RTR1. Þessu verkefni hefur verið lokið með góðum árangri og sömu skipanir verða að vera skrifaðar á rofana sem eftir eru.

Með. Á ÖLLUM tækjum (nema PC1 og WEB) skaltu úthluta handvirkt tengil-staðbundnum vistföngum
Þrjátíu stafa IPv6 vistföng eru ekki skemmtileg fyrir stjórnendur, svo það er hægt að breyta hlekknum staðbundið handvirkt og minnka lengd þess í lágmarksgildi. Verkefnin segja ekkert um hvaða heimilisföng eigi að velja og því er hér boðið upp á frjálst val.

Til dæmis, á rofa SW1 þarftu að stilla tengiliðsstaðfangið fe80::10. Þetta er hægt að gera með eftirfarandi skipun úr stillingarham völdu viðmótsins:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Nú lítur ávarpið miklu meira aðlaðandi út:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Til viðbótar við tengiliðsvistfangið, hefur móttekið IPv6 vistfang einnig breyst, þar sem heimilisfangið er gefið út á grundvelli staðbundins netfangs.

Á rofa SW1 var nauðsynlegt að stilla aðeins eitt tengil-staðbundið heimilisfang á einu viðmóti. Með RTR1 beininum þarftu að gera fleiri stillingar - þú þarft að stilla link-local á tvö undirviðmót, á bakhliðinni, og í síðari stillingum mun göng 100 tengið einnig birtast.

Til að koma í veg fyrir óþarfa skrif á skipunum geturðu stillt sama tengil-staðbundið heimilisfang á öllum viðmótum í einu. Þú getur gert þetta með því að nota lykilorð range fylgt eftir með því að skrá öll viðmót:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Þegar viðmótin eru skoðuð muntu sjá að staðbundnum netföngum hefur verið breytt á öllum völdum viðmótum:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Öll önnur tæki eru stillt á svipaðan hátt

d. Á ÖLLUM rofum skaltu slökkva á ÖLLUM tengi sem ekki eru notuð í starfinu og flytja yfir á VLAN 99
Grunnhugmyndin er sama leiðin til að velja mörg viðmót til að stilla með því að nota skipunina range, og aðeins þá ættir þú að skrifa skipanir til að flytja yfir í viðkomandi vlan og slökkva síðan á viðmótunum. Til dæmis mun rofi SW1, samkvæmt L1 staðfræðinni, hafa port f0/3-4, f0/7-8, f0/11-24 og g0/2 óvirk. Fyrir þetta dæmi væri stillingin sem hér segir:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Þegar stillingarnar eru skoðaðar með þegar þekktri skipun er rétt að hafa í huga að allar ónotaðar tengi verða að hafa stöðu stjórnunarlega niðri, sem gefur til kynna að höfnin sé óvirk:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Til að sjá hvaða vlan höfnin er í geturðu notað aðra skipun:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Öll ónotuð viðmót ættu að vera hér. Rétt er að taka fram að ekki verður hægt að flytja viðmót yfir á vlan ef slíkt vlan hefur ekki verið búið til. Það er í þessum tilgangi sem í upphaflegu uppsetningunni voru öll vlan sem nauðsynleg eru til notkunar búin til.

e. Á rofa SW1, virkjaðu læsingu í 1 mínútu ef lykilorðið er rangt slegið inn tvisvar innan 30 sekúndna
Þú getur gert þetta með eftirfarandi skipun:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Þú getur líka athugað þessar stillingar sem hér segir:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Þar sem það er skýrt útskýrt að eftir tvær misheppnaðar tilraunir innan 30 sekúndna eða skemur, verður hægt að skrá þig inn í 60 sekúndur.

2. Öll tæki verða að vera viðráðanleg með SSH útgáfu 2

Til þess að tæki séu aðgengileg í gegnum SSH útgáfu 2 verður þú fyrst að stilla búnaðinn, þannig að í upplýsingaskyni munum við fyrst stilla búnaðinn með verksmiðjustillingum.

Þú getur breytt gataútgáfunni sem hér segir:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Kerfið biður þig um að búa til RSA lykla til að SSH útgáfa 2 virki. Eftir ráðleggingum snjallkerfisins geturðu búið til RSA lykla með eftirfarandi skipun:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Kerfið leyfir ekki að keyra skipunina vegna þess að hýsingarheitinu hefur ekki verið breytt. Eftir að hafa breytt hýsingarheitinu þarftu að skrifa lyklamyndunarskipunina aftur:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Nú leyfir kerfið þér ekki að búa til RSA lykla vegna skorts á lén. Og eftir að lénið hefur verið sett upp verður hægt að búa til RSA lykla. RSA lyklar verða að vera að minnsta kosti 768 bita langir til að SSH útgáfa 2 virki:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Fyrir vikið kemur í ljós að til að SSHv2 virki er nauðsynlegt:

  1. Breyta hýsingarheiti;
  2. Breyta lén;
  3. Búðu til RSA lykla.

Fyrri grein sýndi hvernig á að breyta hýsingarheitinu og léninu á öllum tækjum, þannig að á meðan þú heldur áfram að stilla núverandi tæki þarftu aðeins að búa til RSA lykla:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH útgáfa 2 er virk, en tækin eru ekki enn fullstillt. Síðasta skrefið verður að setja upp sýndarleikjatölvur:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Í fyrri greininni var AAA líkanið stillt, þar sem auðkenning var stillt á sýndartölvur með því að nota staðbundinn gagnagrunn og notandinn, eftir auðkenningu, þurfti strax að fara í forréttindaham. Einfaldasta prófið á SSH virkni er að reyna að tengjast eigin búnaði. RTR1 er með loopback með IP tölu 1.1.1.1, þú getur prófað að tengjast þessu heimilisfangi:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Á eftir lyklinum -l Sláðu inn innskráningu núverandi notanda og síðan lykilorðið. Eftir auðkenningu skiptir notandinn strax yfir í forréttindastillingu, sem þýðir að SSH er rétt stillt.

Heimild: www.habr.com

Bæta við athugasemd