私たちは、技能五輪選手権の「ネットワークとシステム管理」コンピテンシーにおけるネットワーク モジュールのタスクの分析を続けています。
この記事では次のタスクについて説明します。
- すべてのデバイスで、仮想インターフェイス、サブインターフェイス、およびループバック インターフェイスを作成します。 トポロジに応じて IP アドレスを割り当てます。
- SLAAC メカニズムを有効にして、RTR6 ルーター インターフェイス上の MNG ネットワークで IPv1 アドレスを発行します。
- スイッチ SW100、SW1、SW2 の VLAN 3 (MNG) の仮想インターフェイスで、IPv6 自動構成モードを有効にします。
- すべてのデバイス (PC1 と WEB を除く) でリンクローカル アドレスを手動で割り当てます。
- すべてのスイッチで、タスクで使用されていないすべてのポートを無効にし、VLAN 99 に転送します。
- スイッチ SW1 では、パスワードが 1 秒以内に 30 回間違って入力された場合、XNUMX 分間ロックが有効になります。
- すべてのデバイスは SSH バージョン 2 経由で管理できる必要があります。
物理層のネットワーク トポロジを次の図に示します。
データ リンク レベルのネットワーク トポロジを次の図に示します。
ネットワーク レベルのネットワーク トポロジを次の図に示します。
プリセット
上記のタスクを実行する前に、スイッチ SW1 ~ SW3 の基本的なスイッチングを設定しておくと、後で設定を確認するのに便利です。 切り替えの設定については次の記事で詳しく説明しますが、ここでは設定のみを定義します。
最初のステップは、すべてのスイッチ上に番号 99、100、および 300 の VLAN を作成することです。
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
次のステップでは、インターフェイス g0/1 を SW1 に VLAN 番号 300 に転送します。
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
他のスイッチに面するインターフェイス f0/1-2、f0/5-6 は、トランク モードに切り替える必要があります。
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
トランク モードのスイッチ SW2 には、インターフェイス f0/1 ~ 4 があります。
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
トランク モードのスイッチ SW3 には、インターフェイス f0/3 ~ 6、g0/1 があります。
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
この段階では、スイッチ設定により、タスクを完了するために必要なタグ付きパケットの交換が許可されます。
1. すべてのデバイス上に仮想インターフェイス、サブインターフェイス、およびループバック インターフェイスを作成します。 トポロジに応じて IP アドレスを割り当てます。
ルーター BR1 が最初に設定されます。 L3 トポロジに従って、ここではループバックとも呼ばれるループタイプのインターフェイス、番号 101 を設定する必要があります。
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
作成したインターフェースのステータスを確認するには、次のコマンドを使用できます。 show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
ここで、ループバックがアクティブであることと、その状態がわかります。 UP。 以下を見ると、IPv6 アドレスを設定するために使用されたコマンドは 6 つだけですが、XNUMX つの IPvXNUMX アドレスが表示されます。 事実は、 FE80::2D0:97FF:FE94:5022 コマンドを使用してインターフェイス上で ipv6 が有効になっている場合に割り当てられるリンクローカル アドレスです。 ipv6 enable.
IPv4 アドレスを表示するには、同様のコマンドを使用します。
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1 の場合は、すぐに g0/0 インターフェイスを設定する必要があります。ここでは、IPv6 アドレスを設定するだけです。
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
同じコマンドで設定を確認できます show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
次に、ISPルーターを設定します。 ここでは、タスクに従ってループバック番号 0 が設定されますが、これに加えて、後続のタスクでは何も言われないため、アドレス 0 を持つ必要がある g0/30.30.30.1 インターフェイスを設定することをお勧めします。これらのインターフェイスをセットアップします。 まず、ループバック番号 0 が設定されます。
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
チーム show ipv6 interface brief インターフェース設定が正しいことを確認できます。 次に、インターフェイス g0/0 が構成されます。
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
次に、RTR1 ルーターを構成します。 ここでは、ループバック番号 100 を作成する必要もあります。
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
また、RTR1 では、番号 2 と 100 の VLAN 用に 300 つの仮想サブインターフェイスを作成する必要があります。これは次のように実行できます。
まず、no shutdown コマンドを使用して物理インターフェイス g0/1 を有効にする必要があります。
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
次に、番号 100 と 300 のサブインターフェイスが作成され、設定されます。
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
サブインターフェイス番号は、それが動作する VLAN 番号とは異なる場合がありますが、便宜上、VLAN 番号と一致するサブインターフェイス番号を使用することをお勧めします。 サブインターフェイスの設定時にカプセル化タイプを設定する場合は、VLAN 番号と一致する番号を指定する必要があります。 したがって、コマンドの後 encapsulation dot1Q 300 サブインターフェイスは、番号 300 の VLAN パケットのみを通過させます。
このタスクの最後のステップは、RTR2 ルーターです。 SW1 と RTR2 の間の接続はアクセス モードである必要があり、スイッチ インターフェイスは VLAN 番号 2 宛てのパケットのみを RTR300 に渡します。これは、L2 トポロジのタスクに記載されています。 したがって、サブインターフェイスを作成せずに、物理インターフェイスのみが RTR2 ルーター上に設定されます。
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
次に、インターフェイス g0/0 が構成されます。
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
これで、現在のタスクのルーター インターフェイスの構成が完了しました。 残りのインターフェイスは、次のタスクを完了すると構成されます。
a. SLAAC メカニズムを有効にして、RTR6 ルーター インターフェイス上の MNG ネットワークで IPv1 アドレスを発行します。
SLAAC メカニズムはデフォルトで有効になっています。 必要なのは、IPv6 ルーティングを有効にすることだけです。 これは次のコマンドで実行できます。
RTR1(config-subif)#ipv6 unicast-routing
このコマンドがないと、機器はホストとして動作します。 つまり、上記のコマンドにより、ipv6 アドレスの発行やルーティングの設定など、追加の ipv6 機能を使用できるようになります。
b. スイッチ SW100、SW1、SW2 の VLAN 3 (MNG) の仮想インターフェイスで、IPv6 自動構成モードを有効にします。
L3 トポロジから、スイッチが VLAN 100 に接続されていることがわかります。これは、スイッチ上に仮想インターフェイスを作成し、デフォルトで IPv6 アドレスを受信するように仮想インターフェイスを割り当てる必要があることを意味します。 初期設定は、スイッチが RTR1 からデフォルト アドレスを受信できるように正確に行われました。 このタスクは、XNUMX つのスイッチすべてに適した次のコマンド リストを使用して実行できます。
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
同じコマンドですべてを確認できます show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
リンクローカル アドレスに加えて、RTR6 から受信した ipv1 アドレスが表示されました。 このタスクは正常に完了したため、同じコマンドを残りのスイッチに書き込む必要があります。
と。 すべてのデバイス (PC1 と WEB を除く) でリンクローカル アドレスを手動で割り当てます
管理者にとって 6 桁の IPvXNUMX アドレスは面白くないため、リンクローカルを手動で変更して長さを最小限に抑えることができます。 割り当てにはどのアドレスを選択するかについては何も記載されていないため、ここでは自由に選択できます。
たとえば、スイッチ SW1 では、リンクローカル アドレス fe80::10 を設定する必要があります。 これは、選択したインターフェイスの構成モードから次のコマンドを使用して実行できます。
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
アドレス指定がより魅力的に見えるようになりました。
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
アドレスはリンクローカル アドレスに基づいて発行されるため、リンクローカル アドレスに加えて、受信する IPv6 アドレスも変更されます。
スイッチ SW1 では、1 つのインターフェイスにリンクローカル アドレスを 100 つだけ設定する必要がありました。 RTRXNUMX ルータでは、さらに設定を行う必要があります。ループバック上の XNUMX つのサブインターフェイスでリンクローカルを設定する必要があります。その後の設定では、トンネル XNUMX インターフェイスも表示されます。
不必要なコマンドの作成を避けるために、すべてのインターフェイスに同じリンクローカル アドレスを一度に設定できます。 キーワードを使用してこれを行うことができます range 次に、すべてのインターフェースをリストします。
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
インターフェイスを確認すると、選択したすべてのインターフェイスでリンクローカル アドレスが変更されていることがわかります。
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
他のすべてのデバイスは同様の方法で設定されます
d. すべてのスイッチで、ジョブで使用されていないすべてのポートを無効にし、VLAN 99 に転送します。
基本的な考え方は、コマンドを使用して設定する複数のインターフェイスを選択する方法と同じです。 range、その後でのみ、目的の VLAN に転送するコマンドを記述してから、インターフェイスをオフにする必要があります。 たとえば、スイッチ SW1 は、L1 トポロジに従って、ポート f0/3 ~ 4、f0/7 ~ 8、f0/11 ~ 24、および g0/2 が無効になります。 この例の場合、設定は次のようになります。
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
既知のコマンドを使用して設定を確認する場合、未使用のすべてのポートにステータスが必要であることに注意してください。 管理上ダウンしている、ポートが無効になっていることを示します。
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
ポートがどの VLAN に属しているかを確認するには、別のコマンドを使用できます。
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
未使用のインターフェイスはすべてここにあるはずです。 このような VLAN が作成されていない場合、インターフェイスを VLAN に転送することはできないことに注意してください。 この目的のために、初期設定で操作に必要なすべての VLAN が作成されました。
e. スイッチ SW1 で、パスワードが 1 秒以内に 30 回間違って入力された場合、XNUMX 分間ロックを有効にします。
これは次のコマンドで実行できます。
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
これらの設定は次のようにして確認することもできます。
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
30 秒以内に 60 回失敗すると、ログイン機能が XNUMX 秒間ブロックされることが明確に説明されている場合。
2. すべてのデバイスは SSH バージョン 2 経由で管理できる必要があります
SSH バージョン 2 経由でデバイスにアクセスできるようにするには、最初に機器を設定する必要があるため、参考のために、まず工場出荷時の設定で機器を設定します。
次のようにパンクチャ バージョンを変更できます。
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
システムは、SSH バージョン 2 が機能するために RSA キーを作成するように求めます。スマート システムのアドバイスに従って、次のコマンドを使用して RSA キーを作成できます。
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
ホスト名が変更されていないため、システムはコマンドの実行を許可しません。 ホスト名を変更した後、キー生成コマンドを再度記述する必要があります。
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
現在、ドメイン名がないため、システムでは RSA キーを作成できません。 ドメイン名をインストールした後、RSA キーを作成できるようになります。 SSH バージョン 768 が機能するには、RSA キーの長さが少なくとも 2 ビットである必要があります。
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
その結果、SSHv2 が機能するには次のことが必要であることがわかりました。
- ホスト名を変更します。
- ドメイン名を変更します。
- RSA キーを生成します。
前の記事では、すべてのデバイスのホスト名とドメイン名を変更する方法を示したので、現在のデバイスの構成を続行しながら、RSA キーを生成するだけで済みます。
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH バージョン 2 はアクティブですが、デバイスはまだ完全には構成されていません。 最後のステップは、仮想コンソールを設定することです。
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
前回の記事では、ローカル データベースを使用して仮想コンソールで認証が設定され、ユーザーは認証後すぐに特権モードに移行する必要がある AAA モデルが構成されました。 SSH 機能の最も簡単なテストは、自分の機器に接続してみることです。 RTR1 には IP アドレス 1.1.1.1 のループバックがあり、このアドレスへの接続を試行できます。
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
鍵のあと -l 既存のユーザーのログイン名を入力し、パスワードを入力します。 認証後、ユーザーはすぐに特権モードに切り替わります。これは、SSH が正しく構成されていることを意味します。
出所: habr.com