Il movimento WorldSkills mira a far acquisire ai partecipanti principalmente competenze pratiche richieste nel moderno mercato del lavoro. La competenza Amministrazione di rete e sistema è composta da tre moduli: Rete, Windows, Linux. I compiti cambiano da campionato a campionato, le condizioni della competizione cambiano, ma la struttura dei compiti rimane per la maggior parte la stessa.
L'isola Network sarà la prima per la sua semplicità rispetto alle isole Linux e Windows.
L'articolo tratterà le seguenti attività:
- Assegnare un nome a TUTTI i dispositivi in base alla topologia
- Assegna il nome di dominio wsrvuz19.ru a TUTTI i dispositivi
- Crea l'utente wsrvuz19 su TUTTI i dispositivi con password cisco
- La password dell'utente deve essere memorizzata nella configurazione come risultato di una funzione hash.
- L'utente deve avere il livello di privilegio più alto.
- Per TUTTI i dispositivi, implementa il modello AAA.
- L'autenticazione sulla console remota deve essere effettuata utilizzando il database locale (ad eccezione dei dispositivi RTR1 e RTR2)
- Dopo aver eseguito con successo l'autenticazione, quando si accede da una console remota, l'utente deve accedere immediatamente alla modalità con il livello di privilegio massimo.
- Imposta la necessità di autenticazione sulla console locale.
- Una corretta autenticazione sulla console locale dovrebbe posizionare l'utente in una modalità con privilegi minimi.
- Su BR1, dopo l'autenticazione sulla console locale, l'utente dovrebbe trovarsi in una modalità con il livello massimo di privilegi
- Su TUTTI i dispositivi, imposta la password wsr per accedere alla modalità privilegiata.
- La password deve essere memorizzata nella configurazione NON come risultato di una funzione hash.
- Configurare una modalità in cui tutte le password nella configurazione vengono archiviate in forma crittografata.
La topologia di rete a livello fisico è presentata nel seguente diagramma:
1. Assegnare un nome a TUTTI i dispositivi in base alla topologia
Per impostare il nome del dispositivo (nome host), immettere il comando dalla modalità di configurazione globale hostname SW1, dove invece di SW1 devi scrivere il nome dell'attrezzatura indicata nei compiti.
Puoi anche controllare visivamente le impostazioni, invece che quelle preimpostate Interruttore era SW1:
Switch(config)# hostname SW1
SW1(config)#
L'attività principale dopo aver effettuato qualsiasi impostazione è salvare la configurazione.
Questo può essere fatto dalla modalità di configurazione globale con il comando do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Oppure dalla modalità privilegiata con il comando write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Assegna il nome di dominio wsrvuz19.ru a TUTTI i dispositivi
È possibile impostare il nome di dominio wsrvuz19.ru per impostazione predefinita dalla modalità di configurazione globale con il comando ip domain-name wsrvuz19.ru.
Il controllo viene eseguito dal comando do showhosts summary dalla modalità di configurazione globale:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Crea l'utente wsrvuz19 su TUTTI i dispositivi con password cisco
È necessario creare un utente di questo tipo in modo che abbia il livello massimo di privilegi e la password venga archiviata sotto forma di funzione hash. Tutte queste condizioni sono prese in considerazione dalla squadra username wsrvuz19 privilege 15 secret cisco.
Qui:
username wsrvuz19 - Nome utente;
privilege 15 - livello di privilegio (0 - livello minimo, 15 - livello massimo);
secret cisco - memorizzare la password sotto forma di funzione hash MD5.
mostra comando running-config permette di verificare le impostazioni di configurazione attuali, dove è possibile trovare la riga con l'utente aggiunto e assicurarsi che la password sia memorizzata in forma crittografata:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Per TUTTI i dispositivi, implementare il modello AAA
Il modello AAA è un sistema di autenticazione, autorizzazione e rendicontazione degli eventi. Per completare questa attività, il primo passo è abilitare il modello AAA e specificare che l'autenticazione verrà eseguita utilizzando un database locale:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
UN. L'autenticazione sulla console remota deve essere effettuata utilizzando il database locale (ad eccezione dei dispositivi RTR1 e RTR2)
I lavori definiscono due tipi di console: locale e remota. La console remota consente di implementare connessioni remote, ad esempio, tramite i protocolli SSH o Telnet.
Per completare questa attività, inserisci i seguenti comandi:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
squadra line vty 0 4 procede alla configurazione delle linee terminali virtuali da 0 a 4.
Squadra login authentication default attiva la modalità di autenticazione predefinita sulla console virtuale e la modalità predefinita è stata impostata nell'ultimo lavoro con il comando aaa authentication login default local.
L'uscita dalla modalità di configurazione della console remota viene effettuata utilizzando il comando exit.
Un test affidabile sarebbe una connessione di prova tramite Telnet da un dispositivo all'altro. Vale la pena considerare che per questo è necessario configurare la commutazione di base e l'indirizzamento IP sull'apparecchiatura selezionata.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
B. Dopo aver eseguito con successo l'autenticazione, quando si accede da una console remota, l'utente deve accedere immediatamente alla modalità con il livello di privilegio massimo
Per risolvere questo problema è necessario tornare alla configurazione delle linee terminali virtuali e impostare il livello di privilegio con il comando privilege level 15, dove 15 è ancora una volta il livello di privilegio massimo e 0 è il livello di privilegio minimo:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Il test sarà la soluzione del comma precedente - connessione remota tramite Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Dopo l'autenticazione, l'utente entra immediatamente nella modalità privilegiata, bypassando quella non privilegiata, il che significa che l'attività è stata completata correttamente.
CD. Imposta la necessità sulla console locale e, una volta completata l'autenticazione, l'utente deve accedere alla modalità privilegio minimo
La struttura di comando in questi compiti è la stessa dei compiti 4.a e 4.b precedentemente risolti. Squadra line vty 0 4 sostituito da console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Come già accennato, il livello minimo di privilegio è determinato dal numero 0. Il controllo può essere effettuato come segue:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Dopo l'autenticazione, l'utente entra in modalità non privilegiata, come indicato nelle attività.
e. Su BR1, dopo l'autenticazione sulla console locale, l'utente deve accedere alla modalità con il livello di privilegio massimo
La configurazione di una console locale su BR1 sarebbe simile alla seguente:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Il controllo si effettua con le stesse modalità del paragrafo precedente:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Dopo l'autenticazione, si verificano le transizioni alla modalità privilegiata.
5. Su TUTTI i dispositivi, impostare la password wsr per accedere alla modalità privilegiata
Le attività dicono che la password per la modalità privilegiata dovrebbe essere archiviata come standard in testo non crittografato, ma la modalità di crittografia di tutte le password non consentirà di vedere la password in testo non crittografato. Per impostare una password per accedere alla modalità privilegiata, utilizzare il comando enable password wsr. Utilizzando la parola chiave password, determina il tipo in cui verrà archiviata la password. Se la password deve essere crittografata durante la creazione di un utente, la parola chiave era la parola secrete per l'archiviazione viene utilizzato in una forma aperta password.
Puoi controllare le impostazioni dalla vista di configurazione corrente:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Si può vedere che la password dell'utente è archiviata in forma crittografata e la password per accedere alla modalità privilegiata è archiviata in chiaro, come indicato nelle attività.
Affinché tutte le password vengano archiviate in forma crittografata, è necessario utilizzare il comando service password-encryption. La visualizzazione della configurazione corrente ora sarà simile a questa:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
La password non è più visualizzabile in chiaro.
Fonte: habr.com