ჩვენ ვაგრძელებთ WorldSkills ჩემპიონატის ქსელური მოდულის ამოცანების ანალიზს „ქსელის და სისტემის ადმინისტრირების“ კომპეტენციაში.

სტატია მოიცავს შემდეგ ამოცანებს:

1. ყველა მოწყობილობაზე შექმენით ვირტუალური ინტერფეისები, ქვეინტერფეისები და მარყუჟის ინტერფეისები. მივანიჭოთ IP მისამართები ტოპოლოგიის მიხედვით.
   • ჩართეთ SLAAC მექანიზმი, რომ გასცეს IPv6 მისამართები MNG ქსელში RTR1 როუტერის ინტერფეისზე;
   • ვირტუალურ ინტერფეისებზე VLAN 100 (MNG) გადამრთველებზე SW1, SW2, SW3, ჩართეთ IPv6 ავტომატური კონფიგურაციის რეჟიმი;
   • ყველა მოწყობილობაზე (გარდა PC1-ისა და WEB-ისა) ხელით მიანიჭეთ ბმული-ლოკალური მისამართები;
   • ყველა გადამრთველზე გამორთეთ ყველა პორტი, რომელიც არ გამოიყენება ამოცანაში და გადაიტანეთ VLAN 99-ზე;
   • SW1 გადამრთველზე ჩართეთ დაბლოკვა 1 წუთის განმავლობაში, თუ პაროლი არასწორად შეიყვანეთ ორჯერ 30 წამის განმავლობაში;
2. ყველა მოწყობილობა უნდა იყოს მართვადი SSH 2 ვერსიით.

ქსელის ტოპოლოგია ფიზიკურ ფენაზე წარმოდგენილია შემდეგ დიაგრამაში:

ქსელის ტოპოლოგია მონაცემთა ბმულის დონეზე წარმოდგენილია შემდეგ დიაგრამაში:

ქსელის ტოპოლოგია ქსელის დონეზე წარმოდგენილია შემდეგ დიაგრამაში:

წინასწარ დაყენება

ზემოაღნიშნული ამოცანების შესრულებამდე ღირს SW1-SW3 გადამრთველების ძირითადი ჩართვის დაყენება, რადგან მომავალში მათი პარამეტრების შემოწმება უფრო მოსახერხებელი იქნება. გადართვის დაყენება დეტალურად იქნება აღწერილი შემდეგ სტატიაში, მაგრამ ახლა მხოლოდ პარამეტრები იქნება განსაზღვრული.

პირველი ნაბიჯი არის ვლანების შექმნა 99, 100 და 300 ნომრებით ყველა გადამრთველზე:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

შემდეგი ნაბიჯი არის g0/1 ინტერფეისის გადატანა SW1-ზე vlan ნომერზე 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

ინტერფეისები f0/1-2, f0/5-6, რომლებიც სხვა გადამრთველების წინაშე დგას, უნდა გადავიდეს საბარგულის რეჟიმში:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

SW2 გადამრთველზე საბარგულის რეჟიმში იქნება ინტერფეისები f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

SW3 გადამრთველზე საბარგულის რეჟიმში იქნება ინტერფეისები f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

ამ ეტაპზე გადამრთველის პარამეტრები საშუალებას მოგცემთ გაცვალოთ მონიშნული პაკეტები, რაც საჭიროა ამოცანების შესასრულებლად.

1. შექმენით ვირტუალური ინტერფეისები, ქვეინტერფეისები და loopback ინტერფეისები ყველა მოწყობილობაზე. მივანიჭოთ IP მისამართები ტოპოლოგიის მიხედვით.

ჯერ როუტერი BR1 კონფიგურირებული იქნება. L3 ტოპოლოგიის მიხედვით, აქ თქვენ უნდა დააკონფიგურიროთ მარყუჟის ტიპის ინტერფეისი, რომელიც ასევე ცნობილია როგორც loopback, ნომერი 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

შექმნილი ინტერფეისის სტატუსის შესამოწმებლად შეგიძლიათ გამოიყენოთ ბრძანება show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

აქ ხედავთ, რომ loopback არის აქტიური, მისი მდგომარეობა UP. თუ ქვემოთ შეხედავთ, შეგიძლიათ იხილოთ ორი IPv6 მისამართი, თუმცა მხოლოდ ერთი ბრძანება იყო გამოყენებული IPv6 მისამართის დასაყენებლად. ფაქტია რომ FE80::2D0:97FF:FE94:5022 არის ბმული-ლოკალური მისამართი, რომელიც ენიჭება, როდესაც ipv6 ჩართულია ბრძანების ინტერფეისზე ipv6 enable.

და IPv4 მისამართის სანახავად გამოიყენეთ მსგავსი ბრძანება:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1-ისთვის დაუყოვნებლივ უნდა დააკონფიგურიროთ g0/0 ინტერფეისი; აქ თქვენ უბრალოდ უნდა დააყენოთ IPv6 მისამართი:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

თქვენ შეგიძლიათ შეამოწმოთ პარამეტრები იმავე ბრძანებით show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

შემდეგი, ISP როუტერი კონფიგურირებული იქნება. აქ, დავალების მიხედვით, დაკონფიგურირებული იქნება loopback ნომერი 0, მაგრამ ამის გარდა, სასურველია g0/0 ინტერფეისის კონფიგურაცია, რომელსაც უნდა ჰქონდეს მისამართი 30.30.30.1, იმ მიზეზით, რომ შემდეგ დავალებებზე არაფერი იქნება ნათქვამი. ამ ინტერფეისების დაყენება. პირველი, loopback ნომერი 0 არის კონფიგურირებული:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

გუნდი show ipv6 interface brief შეგიძლიათ შეამოწმოთ, რომ ინტერფეისის პარამეტრები სწორია. შემდეგ ინტერფეისი g0/0 არის კონფიგურირებული:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

შემდეგი, RTR1 როუტერი კონფიგურირებული იქნება. აქ თქვენ ასევე უნდა შექმნათ loopback ნომერი 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

ასევე RTR1-ზე თქვენ უნდა შექმნათ 2 ვირტუალური ქვეინტერფეისი vlan-ებისთვის 100 და 300 ნომრებით. ეს შეიძლება გაკეთდეს შემდეგნაირად.

პირველ რიგში, თქვენ უნდა ჩართოთ ფიზიკური ინტერფეისი g0/1 გამორთვის გარეშე ბრძანებით:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

შემდეგ იქმნება და კონფიგურირებულია ქვეინტერფეისები 100 და 300 ნომრებით:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

ქვეინტერფეისის ნომერი შეიძლება განსხვავდებოდეს vlan ნომრისგან, რომელშიც ის იმუშავებს, მაგრამ მოხერხებულობისთვის უმჯობესია გამოიყენოთ ქვეინტერფეისის ნომერი, რომელიც შეესაბამება vlan ნომერს. თუ ქვეინტერფეისის დაყენებისას დააყენეთ ინკაფსულაციის ტიპი, უნდა მიუთითოთ რიცხვი, რომელიც ემთხვევა vlan ნომერს. ასე რომ, ბრძანების შემდეგ encapsulation dot1Q 300 ქვეინტერფეისი გაივლის მხოლოდ vlan პაკეტებს 300 ნომრით.

ამ ამოცანის საბოლოო ნაბიჯი იქნება RTR2 როუტერი. კავშირი SW1-სა და RTR2-ს შორის უნდა იყოს წვდომის რეჟიმში, გადამრთველი ინტერფეისი გადავა მხოლოდ RTR2 პაკეტებზე, რომლებიც განკუთვნილია vlan ნომრისთვის 300, ეს ნათქვამია ამოცანაში L2 ტოპოლოგიის შესახებ. ამიტომ, მხოლოდ ფიზიკური ინტერფეისი იქნება კონფიგურირებული RTR2 როუტერზე ქვეინტერფეისების შექმნის გარეშე:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

შემდეგ ინტერფეისი g0/0 არის კონფიგურირებული:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

ეს ასრულებს როუტერის ინტერფეისების კონფიგურაციას მიმდინარე ამოცანისთვის. დარჩენილი ინტერფეისები კონფიგურირებული იქნება შემდეგი ამოცანების შესრულებისას.

ა. ჩართეთ SLAAC მექანიზმი, რომ გასცეს IPv6 მისამართები MNG ქსელში RTR1 როუტერის ინტერფეისზე
SLAAC მექანიზმი ჩართულია ნაგულისხმევად. ერთადერთი, რაც უნდა გააკეთოთ, არის IPv6 მარშრუტიზაციის ჩართვა. ამის გაკეთება შეგიძლიათ შემდეგი ბრძანებით:

RTR1(config-subif)#ipv6 unicast-routing

ამ ბრძანების გარეშე, აღჭურვილობა მოქმედებს როგორც მასპინძელი. სხვა სიტყვებით რომ ვთქვათ, ზემოაღნიშნული ბრძანების წყალობით, შესაძლებელი ხდება დამატებითი ipv6 ფუნქციების გამოყენება, მათ შორის ipv6 მისამართების გაცემა, მარშრუტიზაციის დაყენება და ა.შ.

ბ. ვირტუალურ ინტერფეისებზე VLAN 100 (MNG) გადამრთველებზე SW1, SW2, SW3, ჩართეთ IPv6 ავტომატური კონფიგურაციის რეჟიმი
L3 ტოპოლოგიიდან ირკვევა, რომ გადამრთველები დაკავშირებულია VLAN 100-თან. ეს ნიშნავს, რომ აუცილებელია ჩამრთველებზე ვირტუალური ინტერფეისების შექმნა და მხოლოდ ამის შემდეგ მივანიჭოთ მათ სტანდარტულად IPv6 მისამართების მიღება. საწყისი კონფიგურაცია გაკეთდა ზუსტად ისე, რომ გადამრთველებს შეეძლოთ მიეღოთ ნაგულისხმევი მისამართები RTR1-დან. თქვენ შეგიძლიათ დაასრულოთ ეს დავალება ბრძანებების შემდეგი სიის გამოყენებით, რომელიც შესაფერისია სამივე გადამრთველისთვის:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

თქვენ შეგიძლიათ შეამოწმოთ ყველაფერი იმავე ბრძანებით show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

ბმული-ლოკალური მისამართის გარდა გამოჩნდა RTR6-დან მიღებული ipv1 მისამართი. ეს დავალება წარმატებით დასრულდა და იგივე ბრძანებები უნდა დაიწეროს დანარჩენ კონცენტრირებზე.

თან. ყველა მოწყობილობაზე (გარდა PC1-ისა და WEB-ისა) ხელით მიანიჭეთ ბმული-ადგილობრივი მისამართები
ოცდაათნიშნა IPv6 მისამართები არ არის სახალისო ადმინისტრატორებისთვის, ამიტომ შესაძლებელია ხელით შეცვალოთ ბმული ლოკალი, მისი სიგრძე მინიმალურ მნიშვნელობამდე შემცირდეს. დავალებები არაფერს ამბობს იმაზე, თუ რომელი მისამართები ავირჩიოთ, ამიტომ აქ არის გათვალისწინებული თავისუფალი არჩევანი.

მაგალითად, გადამრთველზე SW1 თქვენ უნდა დააყენოთ ბმული-ლოკალური მისამართი fe80::10. ეს შეიძლება გაკეთდეს შემდეგი ბრძანებით არჩეული ინტერფეისის კონფიგურაციის რეჟიმიდან:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

ახლა მიმართვა გაცილებით მიმზიდველად გამოიყურება:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

ბმული-ლოკალური მისამართის გარდა შეიცვალა მიღებული IPv6 მისამართიც, ვინაიდან მისამართი გაიცემა ლინკ-ლოკალური მისამართის საფუძველზე.

SW1 გადამრთველზე საჭირო იყო მხოლოდ ერთი ბმული-ლოკალური მისამართის დაყენება ერთ ინტერფეისზე. RTR1 როუტერთან ერთად, თქვენ უნდა გააკეთოთ მეტი პარამეტრი - თქვენ უნდა დააყენოთ link-local ორ ქვეინტერფეისზე, loopback-ზე და შემდგომ პარამეტრებში გამოჩნდება გვირაბის 100 ინტერფეისიც.

ბრძანებების არასაჭირო ჩაწერის თავიდან ასაცილებლად, შეგიძლიათ დააყენოთ ერთი და იგივე ბმული-ლოკალური მისამართი ყველა ინტერფეისზე ერთდროულად. ამის გაკეთება შეგიძლიათ საკვანძო სიტყვის გამოყენებით range მოჰყვება ყველა ინტერფეისის ჩამოთვლა:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

ინტერფეისების შემოწმებისას ნახავთ, რომ ყველა შერჩეულ ინტერფეისზე შეიცვალა ბმული-ლოკალური მისამართები:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

ყველა სხვა მოწყობილობა კონფიგურირებულია ანალოგიურად

დ. ყველა გადამრთველზე გამორთეთ ყველა პორტი, რომელიც არ გამოიყენება სამუშაოში და გადაიტანეთ VLAN 99-ზე
ძირითადი იდეა არის ბრძანების გამოყენებით მრავალი ინტერფეისის არჩევის იგივე გზა კონფიგურაციისთვის rangeდა მხოლოდ ამის შემდეგ უნდა დაწეროთ ბრძანებები სასურველ vlan-ზე გადასატანად და შემდეგ გამორთოთ ინტერფეისები. მაგალითად, SW1 გადამრთველს, L1 ტოპოლოგიის მიხედვით, ექნება f0/3-4, f0/7-8, f0/11-24 და g0/2 პორტები გამორთული. ამ მაგალითისთვის პარამეტრი იქნება შემდეგი:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

უკვე ცნობილი ბრძანებით პარამეტრების შემოწმებისას, აღსანიშნავია, რომ ყველა გამოუყენებელ პორტს უნდა ჰქონდეს სტატუსი ადმინისტრაციულად დაქვეითებულია, რაც მიუთითებს, რომ პორტი გამორთულია:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

იმის სანახავად, რომელ vlan-შია პორტი, შეგიძლიათ გამოიყენოთ სხვა ბრძანება:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

ყველა გამოუყენებელი ინტერფეისი აქ უნდა იყოს. აღსანიშნავია, რომ შეუძლებელი იქნება ინტერფეისების vlan-ზე გადატანა, თუ ასეთი vlan არ შეიქმნა. სწორედ ამ მიზნით შეიქმნა საწყის ინსტალაციაში ფუნქციონირებისთვის საჭირო ყველა ვლანი.

ე. SW1 გადამრთველზე ჩართეთ დაბლოკვა 1 წუთის განმავლობაში, თუ პაროლი არასწორად შეიყვანეთ ორჯერ 30 წამის განმავლობაში
ამის გაკეთება შეგიძლიათ შემდეგი ბრძანებით:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

თქვენ ასევე შეგიძლიათ შეამოწმოთ ეს პარამეტრები შემდეგნაირად:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

სადაც ნათლად არის ახსნილი, რომ ორი წარუმატებელი მცდელობის შემდეგ 30 წამში ან ნაკლებ დროში, შესვლის შესაძლებლობა დაიბლოკება 60 წამით.

2. ყველა მოწყობილობა უნდა იყოს მართვადი SSH 2 ვერსიით

იმისათვის, რომ მოწყობილობები ხელმისაწვდომი იყოს SSH ვერსიის 2-ით, პირველ რიგში, საჭიროა მოწყობილობის კონფიგურაცია, ამიტომ საინფორმაციო მიზნებისთვის ჩვენ პირველ რიგში დავაკონფიგურირებთ აღჭურვილობას ქარხნული პარამეტრებით.

თქვენ შეგიძლიათ შეცვალოთ პუნქციის ვერსია შემდეგნაირად:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

სისტემა მოგთხოვთ შექმნათ RSA კლავიშები SSH 2 ვერსიის მუშაობისთვის. ჭკვიანი სისტემის რჩევის შემდეგ შეგიძლიათ შექმნათ RSA კლავიშები შემდეგი ბრძანებით:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

სისტემა არ იძლევა ბრძანების შესრულებას, რადგან ჰოსტის სახელი არ შეცვლილა. ჰოსტის სახელის შეცვლის შემდეგ, თქვენ კვლავ უნდა დაწეროთ გასაღების გენერირების ბრძანება:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

ახლა სისტემა არ გაძლევთ საშუალებას შექმნათ RSA გასაღებები დომენის სახელის არარსებობის გამო. დომენის სახელის დაყენების შემდეგ კი შესაძლებელი იქნება RSA კლავიშების შექმნა. RSA კლავიშები უნდა იყოს მინიმუმ 768 ბიტი, რომ SSH 2 ვერსია იმუშაოს:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

შედეგად, გამოდის, რომ SSHv2-ის მუშაობისთვის აუცილებელია:

1. ჰოსტის სახელის შეცვლა;
2. დომენის სახელის შეცვლა;
3. RSA კლავიშების გენერირება.

წინა სტატიაში ნაჩვენები იყო, თუ როგორ უნდა შეცვალოთ ჰოსტის სახელი და დომენის სახელი ყველა მოწყობილობაზე, ასე რომ, მიმდინარე მოწყობილობების კონფიგურაციის გაგრძელებისას საჭიროა მხოლოდ RSA კლავიშების გენერირება:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH ვერსია 2 აქტიურია, მაგრამ მოწყობილობები ჯერ არ არის სრულად კონფიგურირებული. საბოლოო ნაბიჯი იქნება ვირტუალური კონსოლების დაყენება:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

წინა სტატიაში AAA მოდელის კონფიგურაცია მოხდა, სადაც ავტორიზაცია დაყენებული იყო ვირტუალურ კონსოლებზე ადგილობრივი მონაცემთა ბაზის გამოყენებით და მომხმარებელს ავტორიზაციის შემდეგ დაუყოვნებლივ უნდა გადასულიყო პრივილეგირებულ რეჟიმში. SSH ფუნქციონირების უმარტივესი ტესტია საკუთარ აღჭურვილობასთან დაკავშირების მცდელობა. RTR1 აქვს loopback IP მისამართით 1.1.1.1, შეგიძლიათ სცადოთ ამ მისამართთან დაკავშირება:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

გასაღების შემდეგ -l შეიყვანეთ არსებული მომხმარებლის შესვლა, შემდეგ კი პაროლი. ავტორიზაციის შემდეგ, მომხმარებელი დაუყოვნებლივ გადადის პრივილეგირებულ რეჟიმში, რაც ნიშნავს, რომ SSH სწორად არის კონფიგურირებული.

წყარო: www.habr.com