Continuiamo ad analizzare i compiti del modulo Rete del campionato WorldSkills nella competenza “Amministrazione di rete e sistema”.
L'articolo tratterà le seguenti attività:
- Su TUTTI i dispositivi, crea interfacce virtuali, sottointerfacce e interfacce di loopback. Assegnare gli indirizzi IP in base alla topologia.
- Abilitare il meccanismo SLAAC per emettere indirizzi IPv6 nella rete MNG sull'interfaccia del router RTR1;
- Sulle interfacce virtuali in VLAN 100 (MNG) sugli switch SW1, SW2, SW3, abilitare la modalità di configurazione automatica IPv6;
- Su TUTTI i dispositivi (eccetto PC1 e WEB) assegnare manualmente gli indirizzi link-local;
- Su TUTTI gli switch, disabilita TUTTE le porte non utilizzate nell'attività e trasferiscile su VLAN 99;
- Sull'interruttore SW1, abilitare un blocco per 1 minuto se la password viene inserita in modo errato due volte entro 30 secondi;
- Tutti i dispositivi devono essere gestibili tramite SSH versione 2.
La topologia di rete a livello fisico è presentata nel seguente diagramma:
La topologia di rete a livello di collegamento dati è presentata nel diagramma seguente:
La topologia di rete a livello di rete è presentata nel seguente diagramma:
preimpostazione
Prima di eseguire le attività di cui sopra, vale la pena impostare l'accensione di base sugli interruttori SW1-SW3, poiché in futuro sarà più conveniente controllarne le impostazioni. La configurazione dello switching verrà descritta in dettaglio nel prossimo articolo, ma per ora verranno definite solo le impostazioni.
Il primo passo è creare vlan con i numeri 99, 100 e 300 su tutti gli switch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Il prossimo passo è trasferire l'interfaccia g0/1 su SW1 sulla vlan numero 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Le interfacce f0/1-2, f0/5-6, che si affacciano su altri switch, dovrebbero essere commutate in modalità trunk:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Sullo switch SW2 in modalità trunk saranno presenti le interfacce f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Sullo switch SW3 in modalità trunk saranno presenti le interfacce f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
In questa fase, le impostazioni dello switch consentiranno lo scambio di pacchetti contrassegnati, necessari per completare le attività.
1. Creare interfacce virtuali, sottointerfacce e interfacce di loopback su TUTTI i dispositivi. Assegnare gli indirizzi IP in base alla topologia.
Il router BR1 verrà configurato per primo. Secondo la topologia L3, qui è necessario configurare un'interfaccia di tipo loop, detta anche loopback, numero 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Per verificare lo stato dell'interfaccia creata è possibile utilizzare il comando show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Qui puoi vedere che il loopback è attivo, il suo stato UP. Se guardi sotto, puoi vedere due indirizzi IPv6, sebbene sia stato utilizzato un solo comando per impostare l'indirizzo IPv6. Il fatto è che FE80::2D0:97FF:FE94:5022 è un indirizzo link-local assegnato quando ipv6 è abilitato su un'interfaccia con il comando ipv6 enable.
E per visualizzare l'indirizzo IPv4, usa un comando simile:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Per BR1 è necessario configurare immediatamente l'interfaccia g0/0; qui è sufficiente impostare l'indirizzo IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Puoi controllare le impostazioni con lo stesso comando show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Successivamente, verrà configurato il router dell'ISP. Qui, a seconda del compito, verrà configurato il numero di loopback 0, ma oltre a questo è preferibile configurare l'interfaccia g0/0, che dovrebbe avere l'indirizzo 30.30.30.1, poiché nei compiti successivi non si dirà nulla a riguardo configurazione di queste interfacce. Innanzitutto, viene configurato il numero di loopback 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
squadra show ipv6 interface brief È possibile verificare che le impostazioni dell'interfaccia siano corrette. Quindi viene configurata l'interfaccia g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Successivamente, verrà configurato il router RTR1. Anche qui è necessario creare un loopback numero 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Anche su RTR1 è necessario creare 2 sottointerfacce virtuali per vlan con i numeri 100 e 300. Questo può essere fatto come segue.
Innanzitutto è necessario abilitare l'interfaccia fisica g0/1 con il comando no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Successivamente vengono create e configurate le sottointerfacce con i numeri 100 e 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Il numero della sottointerfaccia può differire dal numero della vlan in cui funzionerà, ma per comodità è meglio utilizzare il numero della sottointerfaccia che corrisponde al numero della vlan. Se imposti il tipo di incapsulamento durante la configurazione di una sottointerfaccia, devi specificare un numero che corrisponda al numero vlan. Quindi dopo il comando encapsulation dot1Q 300 la sottointerfaccia passerà solo attraverso i pacchetti vlan con il numero 300.
Il passaggio finale in questa attività sarà il router RTR2. La connessione tra SW1 e RTR2 deve essere in modalità accesso, l'interfaccia dello switch passerà verso RTR2 solo i pacchetti destinati alla vlan numero 300, questo è indicato nel task sulla topologia L2. Sul router RTR2 verrà quindi configurata solo l'interfaccia fisica senza creare sottointerfacce:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Quindi viene configurata l'interfaccia g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ciò completa la configurazione delle interfacce del router per l'attività corrente. Le restanti interfacce verranno configurate man mano che completi le seguenti attività.
UN. Abilita il meccanismo SLAAC per emettere indirizzi IPv6 nella rete MNG sull'interfaccia del router RTR1
Il meccanismo SLAAC è abilitato per impostazione predefinita. L'unica cosa che devi fare è abilitare il routing IPv6. Puoi farlo con il seguente comando:
RTR1(config-subif)#ipv6 unicast-routing
Senza questo comando, l'apparecchiatura funge da host. In altre parole, grazie al comando precedente, diventa possibile utilizzare funzioni ipv6 aggiuntive, tra cui l'emissione di indirizzi ipv6, l'impostazione del routing, ecc.
B. Sulle interfacce virtuali in VLAN 100 (MNG) sugli switch SW1, SW2, SW3, abilitare la modalità di configurazione automatica IPv6
Dalla topologia L3 è chiaro che gli switch sono collegati alla VLAN 100. Ciò significa che è necessario creare interfacce virtuali sugli switch e solo successivamente assegnarli a ricevere indirizzi IPv6 per impostazione predefinita. La configurazione iniziale è stata fatta proprio in modo che gli switch potessero ricevere indirizzi di default da RTR1. Puoi completare questa attività utilizzando il seguente elenco di comandi, adatti a tutti e tre gli switch:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Puoi controllare tutto con lo stesso comando show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Oltre all'indirizzo link-local, è apparso un indirizzo IPv6 ricevuto da RTR1. Questa attività è stata completata con successo e gli stessi comandi devono essere scritti sugli interruttori rimanenti.
Con. Su TUTTI i dispositivi (eccetto PC1 e WEB) assegnare manualmente gli indirizzi link-local
Gli indirizzi IPv6 a trenta cifre non sono divertenti per gli amministratori, quindi è possibile modificare manualmente il link-local, riducendone la lunghezza ad un valore minimo. Gli incarichi non dicono nulla su quali indirizzi scegliere, quindi qui viene fornita una scelta libera.
Ad esempio, sullo switch SW1 è necessario impostare l'indirizzo link-local fe80::10. Questo può essere fatto con il seguente comando dalla modalità di configurazione dell'interfaccia selezionata:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Ora l'indirizzamento sembra molto più attraente:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Oltre all'indirizzo link-local è cambiato anche l'indirizzo IPv6 ricevuto, poiché l'indirizzo viene assegnato sulla base dell'indirizzo link-local.
Sullo switch SW1 è stato necessario impostare un solo indirizzo link-local su un'interfaccia. Con il router RTR1, è necessario effettuare più impostazioni: è necessario impostare link-local su due sottointerfacce, sul loopback e nelle impostazioni successive verrà visualizzata anche l'interfaccia tunnel 100.
Per evitare la scrittura non necessaria di comandi, è possibile impostare lo stesso indirizzo locale del collegamento su tutte le interfacce contemporaneamente. Puoi farlo utilizzando una parola chiave range seguito dall'elenco di tutte le interfacce:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Quando controlli le interfacce, vedrai che gli indirizzi link-local sono stati modificati su tutte le interfacce selezionate:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Tutti gli altri dispositivi sono configurati in modo simile
D. Su TUTTI gli switch, disabilita TUTTE le porte non utilizzate nel lavoro e trasferiscile su VLAN 99
L'idea di base è lo stesso modo di selezionare più interfacce da configurare utilizzando il comando range, e solo allora dovresti scrivere i comandi da trasferire alla vlan desiderata e quindi disattivare le interfacce. Ad esempio, lo switch SW1, secondo la topologia L1, avrà le porte f0/3-4, f0/7-8, f0/11-24 e g0/2 disabilitate. Per questo esempio l'impostazione sarebbe la seguente:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Quando si controllano le impostazioni con un comando già noto, vale la pena notare che tutte le porte non utilizzate devono avere uno stato amministrativamente giù, indicando che la porta è disabilitata:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Per vedere in quale vlan si trova la porta, puoi usare un altro comando:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Tutte le interfacce non utilizzate dovrebbero essere qui. Vale la pena notare che non sarà possibile trasferire le interfacce sulla vlan se tale vlan non è stata creata. È a questo scopo che nella configurazione iniziale sono stati creati tutti i vlan necessari al funzionamento.
e. Sull'interruttore SW1, abilitare un blocco per 1 minuto se la password viene inserita in modo errato due volte entro 30 secondi
Puoi farlo con il seguente comando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Puoi anche controllare queste impostazioni come segue:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Dove è chiaramente spiegato che dopo due tentativi falliti entro 30 secondi o meno, la possibilità di accedere verrà bloccata per 60 secondi.
2. Tutti i dispositivi devono essere gestibili tramite SSH versione 2
Affinché i dispositivi siano accessibili tramite SSH versione 2, è necessario prima configurare l'apparecchiatura, quindi a scopo informativo configureremo prima l'apparecchiatura con le impostazioni di fabbrica.
È possibile modificare la versione della foratura come segue:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Il sistema ti chiede di creare chiavi RSA per far funzionare SSH versione 2. Seguendo i consigli del sistema intelligente, puoi creare chiavi RSA con il seguente comando:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Il sistema non consente l'esecuzione del comando perché il nome host non è stato modificato. Dopo aver modificato il nome host, è necessario scrivere nuovamente il comando di generazione della chiave:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Adesso il sistema non ti permette di creare chiavi RSA a causa della mancanza di un nome di dominio. E dopo aver installato il nome di dominio, sarà possibile creare chiavi RSA. Le chiavi RSA devono essere lunghe almeno 768 bit affinché la versione 2 di SSH funzioni:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Di conseguenza, risulta che affinché SSHv2 funzioni è necessario:
- Cambia nome host;
- Modificare il nome del dominio;
- Genera chiavi RSA.
L'articolo precedente mostrava come modificare il nome host e il nome del dominio su tutti i dispositivi, quindi continuando a configurare i dispositivi attuali è necessario generare solo le chiavi RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
La versione 2 di SSH è attiva, ma i dispositivi non sono ancora completamente configurati. Il passaggio finale sarà la configurazione delle console virtuali:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Nell'articolo precedente era configurato il modello AAA, dove l'autenticazione veniva impostata su console virtuali utilizzando un database locale, e l'utente, dopo l'autenticazione, doveva passare immediatamente in modalità privilegiata. Il test più semplice della funzionalità SSH è provare a connettersi alla propria attrezzatura. RTR1 ha un loopback con indirizzo IP 1.1.1.1, puoi provare a connetterti a questo indirizzo:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Dopo la chiave -l Immettere il login dell'utente esistente, quindi la password. Dopo l'autenticazione, l'utente passa immediatamente alla modalità privilegiata, il che significa che SSH è configurato correttamente.
Fonte: habr.com