אנו ממשיכים לנתח את המשימות של מודול הרשת של אליפות WorldSkills בכשירות "ניהול רשת ומערכת".

המאמר יעסוק במשימות הבאות:

1. בכל המכשירים, צור ממשקים וירטואליים, ממשקי משנה וממשקי loopback. הקצה כתובות IP בהתאם לטופולוגיה.
   • אפשר את מנגנון SLAAC להנפיק כתובות IPv6 ברשת MNG בממשק הנתב RTR1;
   • בממשקים וירטואליים ב-VLAN 100 (MNG) במתגים SW1, SW2, SW3, אפשר מצב תצורה אוטומטית של IPv6;
   • בכל המכשירים (למעט PC1 ו-WEB) הקצה באופן ידני כתובות קישור מקומיות;
   • בכל המתגים, השבת את כל היציאות שאינן בשימוש במשימה והעבר ל-VLAN 99;
   • במתג SW1, אפשר נעילה למשך דקה אם הסיסמה הוזנה באופן שגוי פעמיים תוך 1 שניות;
2. כל המכשירים חייבים להיות ניתנים לניהול באמצעות SSH גרסה 2.

טופולוגיית הרשת בשכבה הפיזית מוצגת בתרשים הבא:

טופולוגיית הרשת ברמת קישור הנתונים מוצגת בתרשים הבא:

טופולוגיית הרשת ברמת הרשת מוצגת בתרשים הבא:

הגדרה מראש

לפני ביצוע המשימות לעיל, כדאי להגדיר מיתוג בסיסי על מתגים SW1-SW3, מכיוון שיהיה נוח יותר לבדוק את ההגדרות שלהם בעתיד. הגדרת המיתוג יתואר בפירוט במאמר הבא, אך לעת עתה יוגדרו רק ההגדרות.

הצעד הראשון הוא יצירת vlans עם מספרים 99, 100 ו-300 בכל המתגים:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

השלב הבא הוא העברת ממשק g0/1 ל-SW1 ל-Vlan מספר 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

יש להעביר את הממשקים f0/1-2, f0/5-6, הפונים למתגים אחרים, למצב מטען:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

על מתג SW2 במצב טראנק יהיו ממשקים f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

במתג SW3 במצב מטען יהיו ממשקים f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

בשלב זה, הגדרות המתג יאפשרו החלפה של מנות מתויגות, הנדרשות להשלמת משימות.

1. צור ממשקים וירטואליים, ממשקי משנה וממשקי loopback בכל המכשירים. הקצה כתובות IP בהתאם לטופולוגיה.

נתב BR1 יוגדר תחילה. לפי הטופולוגיה של L3, כאן אתה צריך להגדיר ממשק מסוג לולאה, הידוע גם בשם loopback, מספר 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

כדי לבדוק את מצב הממשק שנוצר, אתה יכול להשתמש בפקודה show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

כאן אתה יכול לראות ש-loopback פעיל, המצב שלו UP. אם תסתכל למטה, תוכל לראות שתי כתובות IPv6, אם כי רק פקודה אחת שימשה להגדרת כתובת IPv6. העובדה היא FE80::2D0:97FF:FE94:5022 היא כתובת קישור מקומית המוקצית כאשר ipv6 מופעל בממשק עם הפקודה ipv6 enable.

וכדי להציג את כתובת ה-IPv4, השתמש בפקודה דומה:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

עבור BR1, עליך להגדיר מיד את ממשק g0/0; כאן אתה רק צריך להגדיר את כתובת ה-IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

אתה יכול לבדוק את ההגדרות עם אותה פקודה show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

לאחר מכן, נתב ISP יוגדר. כאן, על פי המשימה, יוגדר loopback מספר 0, אך חוץ מזה, עדיף להגדיר את ממשק g0/0, שצריכה לקבל את הכתובת 30.30.30.1, מהסיבה שבמשימות הבאות לא ייאמר דבר על הגדרת ממשקים אלו. ראשית, מספר לולאה חוזר מוגדר 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

קְבוּצָה show ipv6 interface brief אתה יכול לוודא שהגדרות הממשק נכונות. לאחר מכן, ממשק g0/0 מוגדר:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

לאחר מכן, הנתב RTR1 יוגדר. כאן אתה גם צריך ליצור loopback מספר 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

כמו כן ב-RTR1 אתה צריך ליצור 2 ממשקי משנה וירטואליים עבור vlans עם מספרים 100 ו-300. ניתן לעשות זאת באופן הבא.

ראשית, עליך להפעיל את הממשק הפיזי g0/1 עם הפקודה no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

לאחר מכן נוצרים ומוגדרים ממשקי משנה עם מספרים 100 ו-300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

מספר ממשק המשנה עשוי להיות שונה ממספר ה-Vlan בו הוא יעבוד, אך מטעמי נוחות עדיף להשתמש במספר המשנה התואם למספר ה-Vlan. אם אתה מגדיר את סוג ה-encapsulation בעת הגדרת ממשק משנה, עליך לציין מספר התואם למספר ה-vlan. אז אחרי הפקודה encapsulation dot1Q 300 ממשק המשנה יעבור רק דרך מנות vlan עם מספר 300.

השלב האחרון במשימה זו יהיה הנתב RTR2. החיבור בין SW1 ל-RTR2 חייב להיות במצב גישה, ממשק הבורר יעבור לכיוון RTR2 רק מנות המיועדות ל-vlan מספר 300, זה מצוין במשימה על טופולוגיית L2. לכן, רק הממשק הפיזי יוגדר בנתב RTR2 מבלי ליצור ממשקי משנה:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

לאחר מכן, ממשק g0/0 מוגדר:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

זה משלים את התצורה של ממשקי הנתב עבור המשימה הנוכחית. שאר הממשקים יוגדרו תוך כדי השלמת המשימות הבאות.

א. אפשר את מנגנון SLAAC להנפיק כתובות IPv6 ברשת MNG בממשק הנתב RTR1
מנגנון SLAAC מופעל כברירת מחדל. הדבר היחיד שאתה צריך לעשות הוא להפעיל ניתוב IPv6. אתה יכול לעשות זאת עם הפקודה הבאה:

RTR1(config-subif)#ipv6 unicast-routing

ללא פקודה זו, הציוד פועל כמארח. במילים אחרות, הודות לפקודה לעיל, ניתן להשתמש בפונקציות נוספות של ipv6, לרבות הנפקת כתובות ipv6, הגדרת ניתוב וכו'.

ב. בממשקים וירטואליים ב-VLAN 100 (MNG) במתגים SW1, SW2, SW3, אפשר מצב תצורה אוטומטית של IPv6
מהטופולוגיה של L3 ברור שהמתגים מחוברים ל-VLAN 100. זה אומר שיש צורך ליצור ממשקים וירטואליים על המתגים, ורק אז להקצות אותם לקליטת כתובות IPv6 כברירת מחדל. התצורה הראשונית נעשתה בדיוק כדי שהמתגים יוכלו לקבל כתובות ברירת מחדל מ-RTR1. אתה יכול להשלים משימה זו באמצעות רשימת הפקודות הבאה, המתאימות לכל שלושת המתגים:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

אתה יכול לבדוק הכל עם אותה פקודה show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

בנוסף לכתובת הקישור המקומי, הופיעה כתובת ipv6 שהתקבלה מ-RTR1. משימה זו הושלמה בהצלחה, ויש לכתוב את אותן פקודות על המתגים הנותרים.

עם. בכל המכשירים (למעט PC1 ו-WEB) הקצה באופן ידני כתובות קישור מקומיות
כתובות IPv6 בנות שלושים ספרות אינן מהנות למנהלי מערכת, כך שניתן לשנות באופן ידני את הקישור-מקומי, ולצמצם את אורכו לערך מינימלי. המטלות לא אומרות שום דבר לגבי הכתובות לבחור, לכן ניתנת כאן בחירה חופשית.

לדוגמה, על מתג SW1 אתה צריך להגדיר את הכתובת הקישור המקומי fe80::10. ניתן לעשות זאת עם הפקודה הבאה ממצב התצורה של הממשק הנבחר:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

כעת ההתייחסות נראית הרבה יותר אטרקטיבית:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

בנוסף לכתובת הקישור המקומי, גם כתובת ה-IPv6 שהתקבלה השתנתה, מכיוון שהכתובת מונפקת על סמך הכתובת המקומית של הקישור.

במתג SW1 היה צורך להגדיר רק כתובת קישור מקומית אחת בממשק אחד. עם הנתב RTR1 צריך לבצע הגדרות נוספות - צריך להגדיר קישור-לוקאלי בשני ממשקי משנה, ב-loopback, ובהגדרות הבאות יופיע גם ממשק המנהרה 100.

כדי למנוע כתיבה מיותרת של פקודות, ניתן להגדיר את אותה כתובת קישור מקומית בכל הממשקים בבת אחת. אתה יכול לעשות זאת באמצעות מילת מפתח range ולאחר מכן פירוט כל הממשקים:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

בעת בדיקת הממשקים, תראה שהכתובות המקומיות של קישורים שונו בכל הממשקים שנבחרו:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

כל שאר המכשירים מוגדרים בצורה דומה

ד. בכל המתגים, השבת את כל היציאות שאינן בשימוש בעבודה והעבר ל-VLAN 99
הרעיון הבסיסי הוא אותה דרך של בחירת ממשקים מרובים להגדרה באמצעות הפקודה range, ורק אז כדאי לכתוב פקודות להעביר ל-vlan הרצוי ואז לכבות את הממשקים. לדוגמה, למתג SW1, על פי טופולוגיית L1, יהיו יציאות f0/3-4, f0/7-8, f0/11-24 ו-g0/2 מושבתות. עבור דוגמה זו ההגדרה תהיה כדלקמן:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

כאשר בודקים את ההגדרות עם פקודה ידועה כבר, כדאי לשים לב שלכל היציאות שאינן בשימוש חייב להיות סטטוס ירידה מנהלית, המציין שהיציאה מושבתת:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

כדי לראות באיזה vlan נמצא היציאה, אתה יכול להשתמש בפקודה אחרת:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

כל הממשקים שאינם בשימוש צריכים להיות כאן. ראוי לציין שלא ניתן יהיה להעביר ממשקים ל-vlan אם לא נוצר vlan כזה. לשם כך נוצרו בהגדרה הראשונית כל ה-Vlans הדרושים לפעולה.

ה. במתג SW1, אפשר נעילה למשך דקה אחת אם הסיסמה הוזנה באופן שגוי פעמיים תוך 1 שניות
אתה יכול לעשות זאת עם הפקודה הבאה:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

אתה יכול גם לבדוק את ההגדרות האלה באופן הבא:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

כאשר הוסבר בבירור כי לאחר שני ניסיונות כושלים תוך 30 שניות או פחות, יכולת הכניסה תיחסם למשך 60 שניות.

2. כל המכשירים חייבים להיות ניתנים לניהול באמצעות SSH גרסה 2

על מנת שהמכשירים יהיו נגישים דרך SSH גרסה 2, יש צורך להגדיר תחילה את הציוד, ולכן למטרות מידע, תחילה נגדיר את הציוד עם הגדרות היצרן.

אתה יכול לשנות את גרסת הפנצ'ר באופן הבא:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

המערכת מבקשת ליצור מפתחות RSA כדי ש-SSH גרסה 2 יפעלו. בהתאם לעצת המערכת החכמה, ניתן ליצור מפתחות RSA בפקודה הבאה:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

המערכת לא מאפשרת את ביצוע הפקודה מכיוון ששם המארח לא שונה. לאחר שינוי שם המארח, עליך לכתוב שוב את פקודת יצירת המפתח:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

כעת המערכת לא מאפשרת ליצור מפתחות RSA עקב היעדר שם דומיין. ולאחר התקנת שם הדומיין, ניתן יהיה ליצור מפתחות RSA. מפתחות RSA חייבים להיות באורך של לפחות 768 סיביות כדי ש-SSH גרסה 2 תעבוד:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

כתוצאה מכך, מתברר שכדי ש-SSHv2 יפעל יש צורך:

1. שנה את שם המארח;
2. שנה שם דומיין;
3. צור מפתחות RSA.

המאמר הקודם הראה כיצד לשנות את שם המארח ושם הדומיין בכל המכשירים, כך שבזמן המשך קביעת התצורה של המכשירים הנוכחיים, אתה רק צריך ליצור מפתחות RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

גרסה 2 של SSH פעילה, אך המכשירים עדיין לא מוגדרים במלואם. השלב האחרון יהיה הגדרת קונסולות וירטואליות:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

במאמר הקודם, הוגדר מודל AAA, שבו האימות הוגדר על קונסולות וירטואליות באמצעות מסד נתונים מקומי, והמשתמש, לאחר האימות, היה צריך להיכנס מיד למצב מיוחס. המבחן הפשוט ביותר של פונקציונליות SSH הוא לנסות להתחבר לציוד שלך. ל-RTR1 יש לולאה עם כתובת IP 1.1.1.1, אתה יכול לנסות להתחבר לכתובת זו:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

אחרי המפתח -l הזן את פרטי הכניסה של המשתמש הקיים ולאחר מכן את הסיסמה. לאחר האימות, המשתמש עובר מיד למצב מועדף, כלומר SSH מוגדר כהלכה.

מקור: www.habr.com