យើងបន្តវិភាគភារកិច្ចនៃម៉ូឌុលបណ្តាញនៃជើងឯក WorldSkills នៅក្នុងសមត្ថភាព "បណ្តាញ និងការគ្រប់គ្រងប្រព័ន្ធ" ។

អត្ថបទនឹងគ្របដណ្តប់លើការងារដូចខាងក្រោមៈ

1. នៅលើឧបករណ៍ទាំងអស់ បង្កើតចំណុចប្រទាក់និម្មិត ចំណុចប្រទាក់រង និងចំណុចប្រទាក់រង្វិលជុំ។ កំណត់អាសយដ្ឋាន IP យោងទៅតាម topology ។
   • បើកដំណើរការយន្តការ SLAAC ដើម្បីចេញអាសយដ្ឋាន IPv6 នៅក្នុងបណ្តាញ MNG នៅលើចំណុចប្រទាក់រ៉ោតទ័រ RTR1 ។
   • នៅលើចំណុចប្រទាក់និម្មិតនៅក្នុង VLAN 100 (MNG) នៅលើកុងតាក់ SW1, SW2, SW3, បើករបៀបកំណត់រចនាសម្ព័ន្ធស្វ័យប្រវត្តិ IPv6;
   • នៅលើឧបករណ៍ទាំងអស់ (លើកលែងតែ PC1 និង WEB) កំណត់អាសយដ្ឋានតំណមូលដ្ឋានដោយដៃ។
   • នៅលើកុងតាក់ទាំងអស់ បិទច្រកទាំងអស់ដែលមិនប្រើក្នុងកិច្ចការ ហើយផ្ទេរទៅ VLAN 99;
   • នៅលើកុងតាក់ SW1 បើកការចាក់សោរយៈពេល 1 នាទី ប្រសិនបើពាក្យសម្ងាត់ត្រូវបានបញ្ចូលមិនត្រឹមត្រូវពីរដងក្នុងរយៈពេល 30 វិនាទី។
2. ឧបករណ៍ទាំងអស់ត្រូវតែអាចគ្រប់គ្រងបានតាមរយៈ SSH កំណែ 2។

បណ្តាញ topology នៅស្រទាប់រូបវិទ្យាត្រូវបានបង្ហាញក្នុងដ្យាក្រាមខាងក្រោម៖

បណ្តាញ topology នៅកម្រិតតំណទិន្នន័យត្រូវបានបង្ហាញក្នុងដ្យាក្រាមខាងក្រោម៖

បណ្តាញ topology នៅកម្រិតបណ្តាញត្រូវបានបង្ហាញក្នុងដ្យាក្រាមខាងក្រោម៖

ការកំណត់ជាមុន

មុនពេលអនុវត្តកិច្ចការខាងលើ វាគឺមានតម្លៃរៀបចំការបិទបើកមូលដ្ឋាននៅលើកុងតាក់ SW1-SW3 ព្រោះវានឹងកាន់តែងាយស្រួលក្នុងការត្រួតពិនិត្យការកំណត់របស់ពួកគេនាពេលអនាគត។ ការកំណត់ការប្តូរនឹងត្រូវបានពិពណ៌នាលម្អិតនៅក្នុងអត្ថបទបន្ទាប់ ប៉ុន្តែសម្រាប់ពេលនេះមានតែការកំណត់ប៉ុណ្ណោះដែលនឹងត្រូវបានកំណត់។

ជំហានដំបូងគឺបង្កើត vlans ដែលមានលេខ 99, 100 និង 300 នៅលើឧបករណ៍ប្តូរទាំងអស់៖

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

ជំហានបន្ទាប់គឺផ្ទេរចំណុចប្រទាក់ g0/1 ទៅ SW1 ទៅ vlan លេខ 300៖

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

ចំណុចប្រទាក់ f0/1-2, f0/5-6 ដែលប្រឈមមុខនឹងការប្តូរផ្សេងទៀត គួរតែត្រូវបានប្តូរទៅរបៀបដើម៖

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

នៅលើកុងតាក់ SW2 នៅក្នុងរបៀបប្រម៉ោយ វានឹងមានចំណុចប្រទាក់ f0/1-4៖

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

នៅលើកុងតាក់ SW3 នៅក្នុងរបៀបប្រម៉ោយ វានឹងមានចំណុចប្រទាក់ f0/3-6, g0/1៖

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

នៅដំណាក់កាលនេះ ការកំណត់កុងតាក់នឹងអនុញ្ញាតឱ្យផ្លាស់ប្តូរកញ្ចប់ព័ត៌មានដែលបានដាក់ស្លាក ដែលតម្រូវឱ្យបំពេញភារកិច្ច។

1. បង្កើតចំណុចប្រទាក់និម្មិត ចំណុចប្រទាក់រង និងចំណុចប្រទាក់រង្វិលជុំនៅលើឧបករណ៍ទាំងអស់។ កំណត់អាសយដ្ឋាន IP យោងទៅតាម topology ។

រ៉ោតទ័រ BR1 នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមុនសិន។ យោងតាម ​​topology L3 នៅទីនេះអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ប្រភេទរង្វិលជុំដែលត្រូវបានគេស្គាល់ផងដែរថាជារង្វិលជុំវិញលេខ 101៖

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

ដើម្បីពិនិត្យមើលស្ថានភាពនៃចំណុចប្រទាក់ដែលបានបង្កើតអ្នកអាចប្រើពាក្យបញ្ជា show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

នៅទីនេះអ្នកអាចមើលឃើញថា loopback គឺសកម្ម ស្ថានភាពរបស់វា។ UP. ប្រសិនបើអ្នកក្រឡេកមើលខាងក្រោម អ្នកអាចមើលឃើញអាសយដ្ឋាន IPv6 ពីរ ទោះបីជាពាក្យបញ្ជាតែមួយត្រូវបានប្រើដើម្បីកំណត់អាសយដ្ឋាន IPv6 ក៏ដោយ។ ការពិតគឺថា FE80::2D0:97FF:FE94:5022 គឺ​ជា​អាសយដ្ឋាន​តំណ​មូលដ្ឋាន​ដែល​ត្រូវ​បាន​កំណត់​ពេល ipv6 ត្រូវ​បាន​បើក​នៅ​លើ​ចំណុច​ប្រទាក់​ជាមួយ​ពាក្យ​បញ្ជា ipv6 enable.

ហើយដើម្បីមើលអាសយដ្ឋាន IPv4 សូមប្រើពាក្យបញ្ជាស្រដៀងគ្នា៖

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

សម្រាប់ BR1 អ្នកគួរតែកំណត់រចនាសម្ព័ន្ធ g0/0 ភ្លាមៗ នៅទីនេះអ្នកគ្រាន់តែត្រូវកំណត់អាសយដ្ឋាន IPv6៖

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

អ្នកអាចពិនិត្យមើលការកំណត់ដោយប្រើពាក្យបញ្ជាដូចគ្នា។ show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

បន្ទាប់មក រ៉ោតទ័រ ISP នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធ។ នៅទីនេះយោងទៅតាមភារកិច្ច រង្វិលជុំវិញជាមួយលេខ 0 នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធ ប៉ុន្តែក្រៅពីនេះ វាជាការប្រសើរក្នុងការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ g0/0 ដែលគួរតែមានអាសយដ្ឋាន 30.30.30.1 សម្រាប់ហេតុផលថានៅក្នុងកិច្ចការបន្តបន្ទាប់គ្មានអ្វីនឹងត្រូវបាននិយាយទេ។ អំពីការដំឡើងចំណុចប្រទាក់ទាំងនេះ។ ដំបូង លេខរង្វិលជុំ 0 ត្រូវបានកំណត់រចនាសម្ព័ន្ធ៖

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

ក្រុម show ipv6 interface brief អ្នកអាចផ្ទៀងផ្ទាត់ថាការកំណត់ចំណុចប្រទាក់ត្រឹមត្រូវ។ បន្ទាប់មកចំណុចប្រទាក់ g0/0 ត្រូវបានកំណត់រចនាសម្ព័ន្ធ៖

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

បន្ទាប់មក រ៉ោតទ័រ RTR1 នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធ។ នៅទីនេះអ្នកក៏ត្រូវបង្កើតលេខរង្វិលជុំវិញ 100៖

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

ផងដែរនៅលើ RTR1 អ្នកត្រូវបង្កើត 2 ចំណុចប្រទាក់និម្មិតសម្រាប់ vlans ដែលមានលេខ 100 និង 300។ នេះអាចត្រូវបានធ្វើដូចខាងក្រោម។

ដំបូងអ្នកត្រូវបើកចំណុចប្រទាក់រាងកាយ g0/1 ដោយគ្មានពាក្យបញ្ជាបិទ៖

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

បន្ទាប់មក ចំណុចប្រទាក់រងដែលមានលេខ 100 និង 300 ត្រូវបានបង្កើត និងកំណត់រចនាសម្ព័ន្ធ៖

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

លេខចំណុចប្រទាក់រងអាចខុសពីលេខ vlan ដែលវានឹងដំណើរការ ប៉ុន្តែដើម្បីភាពងាយស្រួល វាជាការប្រសើរក្នុងការប្រើលេខចំណុចប្រទាក់រងដែលត្រូវគ្នានឹងលេខ vlan ។ ប្រសិនបើអ្នកកំណត់ប្រភេទ encapsulation នៅពេលដំឡើង subinterface អ្នកគួរតែបញ្ជាក់លេខដែលត្រូវគ្នានឹង vlan number។ ដូច្នេះបន្ទាប់ពីបញ្ជា encapsulation dot1Q 300 ចំណុចប្រទាក់រងនឹងឆ្លងកាត់តែកញ្ចប់ vlan ដែលមានលេខ 300 ប៉ុណ្ណោះ។

ជំហានចុងក្រោយនៅក្នុងកិច្ចការនេះនឹងជារ៉ោតទ័រ RTR2 ។ ការតភ្ជាប់រវាង SW1 និង RTR2 ត្រូវតែស្ថិតនៅក្នុងរបៀបចូលប្រើ ចំណុចប្រទាក់ប្ដូរនឹងឆ្លងទៅ RTR2 តែកញ្ចប់ដែលមានបំណងសម្រាប់ vlan លេខ 300 នេះត្រូវបានបញ្ជាក់នៅក្នុងភារកិច្ចនៅលើ L2 topology ។ ដូច្នេះមានតែចំណុចប្រទាក់រូបវន្តប៉ុណ្ណោះដែលនឹងត្រូវកំណត់រចនាសម្ព័ន្ធនៅលើរ៉ោតទ័រ RTR2 ដោយមិនចាំបាច់បង្កើតចំណុចប្រទាក់រង៖

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

បន្ទាប់មកចំណុចប្រទាក់ g0/0 ត្រូវបានកំណត់រចនាសម្ព័ន្ធ៖

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

វាបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់រ៉ោតទ័រសម្រាប់កិច្ចការបច្ចុប្បន្ន។ ចំណុចប្រទាក់ដែលនៅសេសសល់នឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅពេលអ្នកបញ្ចប់កិច្ចការខាងក្រោម។

ក. បើកដំណើរការយន្តការ SLAAC ដើម្បីចេញអាសយដ្ឋាន IPv6 នៅក្នុងបណ្តាញ MNG នៅលើចំណុចប្រទាក់រ៉ោតទ័រ RTR1
យន្តការ SLAAC ត្រូវបានបើកតាមលំនាំដើម។ រឿងតែមួយគត់ដែលអ្នកត្រូវធ្វើគឺបើកដំណើរការ IPv6 នាំផ្លូវ។ អ្នក​អាច​ធ្វើ​វា​ដោយ​ប្រើ​ពាក្យ​បញ្ជា​ដូច​ខាង​ក្រោម៖

RTR1(config-subif)#ipv6 unicast-routing

បើគ្មានពាក្យបញ្ជានេះទេ ឧបករណ៍ដើរតួជាម៉ាស៊ីន។ ម៉្យាងទៀត អរគុណចំពោះពាក្យបញ្ជាខាងលើ វាអាចប្រើមុខងារ ipv6 បន្ថែម រួមទាំងការចេញអាសយដ្ឋាន ipv6 ការដំឡើង routing ជាដើម។

ខ. នៅលើចំណុចប្រទាក់និម្មិតនៅក្នុង VLAN 100 (MNG) នៅលើកុងតាក់ SW1, SW2, SW3 បើករបៀបកំណត់រចនាសម្ព័ន្ធស្វ័យប្រវត្តិ IPv6
ពី topology L3 វាច្បាស់ណាស់ថា switches ត្រូវបានភ្ជាប់ទៅ VLAN 100។ នេះមានន័យថាវាចាំបាច់ដើម្បីបង្កើតចំណុចប្រទាក់និម្មិតនៅលើ switches ហើយមានតែបន្ទាប់មកកំណត់ឱ្យពួកគេទទួលអាសយដ្ឋាន IPv6 តាមលំនាំដើម។ ការកំណត់រចនាសម្ព័ន្ធដំបូងត្រូវបានធ្វើយ៉ាងជាក់លាក់ ដូច្នេះកុងតាក់អាចទទួលបានអាសយដ្ឋានលំនាំដើមពី RTR1 ។ អ្នកអាចបំពេញកិច្ចការនេះដោយប្រើបញ្ជីពាក្យបញ្ជាខាងក្រោម ដែលសមរម្យសម្រាប់កុងតាក់ទាំងបី៖

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

អ្នកអាចពិនិត្យអ្វីៗគ្រប់យ៉ាងដោយប្រើពាក្យបញ្ជាដូចគ្នា។ show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

បន្ថែមពីលើតំណភ្ជាប់-អាសយដ្ឋានមូលដ្ឋាន អាសយដ្ឋាន ipv6 ដែលទទួលបានពី RTR1 បានបង្ហាញខ្លួន។ កិច្ចការនេះត្រូវបានបញ្ចប់ដោយជោគជ័យ ហើយពាក្យបញ្ជាដូចគ្នាត្រូវតែសរសេរនៅលើកុងតាក់ដែលនៅសល់។

ជាមួយ។ នៅលើឧបករណ៍ទាំងអស់ (លើកលែងតែ PC1 និង WEB) កំណត់អាសយដ្ឋានមូលដ្ឋាននៃតំណភ្ជាប់ដោយដៃ
អាស័យដ្ឋាន IPv6 ខ្ទង់សាមសិបខ្ទង់គឺមិនមានភាពរីករាយសម្រាប់អ្នកគ្រប់គ្រងទេ ដូច្នេះវាអាចទៅរួចក្នុងការផ្លាស់ប្តូរតំណភ្ជាប់-មូលដ្ឋានដោយដៃ ដោយកាត់បន្ថយប្រវែងរបស់វាទៅតម្លៃអប្បបរមា។ កិច្ចការមិននិយាយអ្វីអំពីអាសយដ្ឋានដែលត្រូវជ្រើសរើស ដូច្នេះជម្រើសឥតគិតថ្លៃត្រូវបានផ្តល់ជូននៅទីនេះ។

ឧទាហរណ៍ នៅលើ switch SW1 អ្នកត្រូវកំណត់ link-local address fe80::10។ នេះអាចត្រូវបានធ្វើដោយប្រើពាក្យបញ្ជាខាងក្រោមពីរបៀបកំណត់រចនាសម្ព័ន្ធនៃចំណុចប្រទាក់ដែលបានជ្រើសរើស៖

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

ឥឡូវ​ការ​និយាយ​មើល​ទៅ​កាន់​តែ​ទាក់​ទាញ៖

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

បន្ថែមពីលើអាស័យដ្ឋានតំណ-មូលដ្ឋាន អាសយដ្ឋាន IPv6 ដែលទទួលបានក៏ត្រូវបានផ្លាស់ប្តូរផងដែរ ចាប់តាំងពីអាសយដ្ឋានត្រូវបានចេញដោយផ្អែកលើតំណភ្ជាប់-អាសយដ្ឋានមូលដ្ឋាន។

នៅលើកុងតាក់ SW1 វាចាំបាច់ដើម្បីកំណត់អាសយដ្ឋានមូលដ្ឋានតែមួយនៅលើចំណុចប្រទាក់មួយ។ ជាមួយនឹងរ៉ោតទ័រ RTR1 អ្នកត្រូវធ្វើការកំណត់បន្ថែមទៀត - អ្នកត្រូវកំណត់តំណភ្ជាប់-local នៅលើ subinterfaces ពីរនៅលើ loopback ហើយនៅក្នុងការកំណត់ជាបន្តបន្ទាប់ tunnel 100 interface នឹងបង្ហាញផងដែរ។

ដើម្បីជៀសវាងការសរសេរពាក្យបញ្ជាដែលមិនចាំបាច់ អ្នកអាចកំណត់អាសយដ្ឋានមូលដ្ឋានដូចគ្នានៅលើចំណុចប្រទាក់ទាំងអស់ក្នុងពេលតែមួយ។ អ្នកអាចធ្វើវាដោយប្រើពាក្យគន្លឹះ range បន្តដោយរាយបញ្ជីចំណុចប្រទាក់ទាំងអស់៖

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

នៅពេលពិនិត្យមើលចំណុចប្រទាក់ អ្នកនឹងឃើញថាអាសយដ្ឋានមូលដ្ឋានតំណត្រូវបានផ្លាស់ប្តូរនៅលើចំណុចប្រទាក់ដែលបានជ្រើសរើសទាំងអស់៖

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

ឧបករណ៍ផ្សេងទៀតទាំងអស់ត្រូវបានកំណត់រចនាសម្ព័ន្ធតាមរបៀបស្រដៀងគ្នា

ឃ. នៅលើកុងតាក់ទាំងអស់ បិទច្រកទាំងអស់ដែលមិនប្រើក្នុងការងារ ហើយផ្ទេរទៅ VLAN 99
គំនិតជាមូលដ្ឋានគឺជាវិធីដូចគ្នាក្នុងការជ្រើសរើសចំណុចប្រទាក់ច្រើនដើម្បីកំណត់រចនាសម្ព័ន្ធដោយប្រើពាក្យបញ្ជា rangeហើយមានតែបន្ទាប់មកអ្នកគួរសរសេរពាក្យបញ្ជាដើម្បីផ្ទេរទៅ vlan ដែលចង់បានហើយបន្ទាប់មកបិទចំណុចប្រទាក់។ ឧទាហរណ៍ ប្តូរ SW1 យោងទៅតាម L1 topology នឹងមានច្រក f0/3-4, f0/7-8, f0/11-24 និង g0/2 ត្រូវបានបិទ។ សម្រាប់ឧទាហរណ៍នេះ ការកំណត់នឹងមានដូចខាងក្រោម៖

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

នៅពេលពិនិត្យមើលការកំណត់ដោយប្រើពាក្យបញ្ជាដែលគេស្គាល់រួចហើយ វាគួរអោយកត់សំគាល់ថាច្រកដែលមិនប្រើទាំងអស់ត្រូវតែមានស្ថានភាព រដ្ឋបាលចុះក្រោមបង្ហាញថាច្រកត្រូវបានបិទ៖

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

ដើម្បី​មើល​ថា vlan មួយ​ណា​ដែល​ច្រក​ចូល អ្នក​អាច​ប្រើ​ពាក្យ​បញ្ជា​ផ្សេង​ទៀត៖

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

ចំណុចប្រទាក់ដែលមិនប្រើទាំងអស់គួរតែនៅទីនេះ។ វាគួរឱ្យកត់សម្គាល់ថាវានឹងមិនអាចផ្ទេរចំណុចប្រទាក់ទៅ vlan ប្រសិនបើ vlan បែបនេះមិនត្រូវបានបង្កើត។ វាគឺសម្រាប់គោលបំណងនេះដែលនៅក្នុងការដំឡើងដំបូង vlans ទាំងអស់ដែលចាំបាច់សម្រាប់ប្រតិបត្តិការត្រូវបានបង្កើតឡើង។

អ៊ី នៅលើកុងតាក់ SW1 បើកការចាក់សោរយៈពេល 1 នាទី ប្រសិនបើពាក្យសម្ងាត់ត្រូវបានបញ្ចូលមិនត្រឹមត្រូវពីរដងក្នុងរយៈពេល 30 វិនាទី
អ្នក​អាច​ធ្វើ​វា​ដោយ​ប្រើ​ពាក្យ​បញ្ជា​ដូច​ខាង​ក្រោម៖

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

អ្នកក៏អាចពិនិត្យមើលការកំណត់ទាំងនេះដូចខាងក្រោម៖

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

ដែលជាកន្លែងដែលវាត្រូវបានពន្យល់យ៉ាងច្បាស់ថាបន្ទាប់ពីការព្យាយាមមិនជោគជ័យចំនួនពីរក្នុងរយៈពេល 30 វិនាទីឬតិចជាងនេះ សមត្ថភាពក្នុងការចូលនឹងត្រូវបានរារាំងរយៈពេល 60 វិនាទី។

2. ឧបករណ៍ទាំងអស់ត្រូវតែអាចគ្រប់គ្រងបានតាមរយៈ SSH កំណែ 2

ដើម្បីឱ្យឧបករណ៍អាចចូលប្រើបានតាមរយៈ SSH កំណែទី 2 វាចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធឧបករណ៍ជាមុនសិន ដូច្នេះសម្រាប់គោលបំណងព័ត៌មាន យើងនឹងកំណត់រចនាសម្ព័ន្ធឧបករណ៍ជាមុនសិនជាមួយនឹងការកំណត់របស់រោងចក្រ។

អ្នកអាចផ្លាស់ប្តូរកំណែ puncture ដូចខាងក្រោម:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

ប្រព័ន្ធស្នើឱ្យអ្នកបង្កើតកូនសោ RSA សម្រាប់ SSH កំណែ 2 ដើម្បីដំណើរការ។ ដោយធ្វើតាមការណែនាំរបស់ប្រព័ន្ធឆ្លាតវៃ អ្នកអាចបង្កើតសោ RSA ដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

ប្រព័ន្ធមិនអនុញ្ញាតឱ្យប្រតិបត្តិពាក្យបញ្ជាទេ ពីព្រោះឈ្មោះម៉ាស៊ីនមិនត្រូវបានផ្លាស់ប្តូរ។ បន្ទាប់ពីប្តូរឈ្មោះម៉ាស៊ីន អ្នកត្រូវសរសេរពាក្យបញ្ជាបង្កើតកូនសោម្តងទៀត៖

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

ឥឡូវនេះប្រព័ន្ធមិនអនុញ្ញាតឱ្យអ្នកបង្កើតកូនសោ RSA ដោយសារតែកង្វះឈ្មោះដែន។ ហើយបន្ទាប់ពីដំឡើងឈ្មោះដែន វានឹងអាចបង្កើតកូនសោ RSA បាន។ គ្រាប់ចុច RSA ត្រូវតែមានយ៉ាងហោចណាស់ 768 ប៊ីតសម្រាប់ SSH កំណែ 2 ដើម្បីដំណើរការ៖

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

ជាលទ្ធផលវាប្រែថាដើម្បីឱ្យ SSHv2 ដំណើរការវាចាំបាច់:

1. ផ្លាស់ប្តូរឈ្មោះម៉ាស៊ីន;
2. ផ្លាស់ប្តូរឈ្មោះដែន;
3. បង្កើតកូនសោ RSA ។

អត្ថបទមុនបានបង្ហាញពីរបៀបផ្លាស់ប្តូរឈ្មោះម៉ាស៊ីន និងឈ្មោះដែននៅលើឧបករណ៍ទាំងអស់ ដូច្នេះខណៈពេលដែលបន្តកំណត់រចនាសម្ព័ន្ធឧបករណ៍បច្ចុប្បន្ន អ្នកគ្រាន់តែត្រូវការបង្កើតសោ RSA៖

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH កំណែ 2 គឺសកម្ម ប៉ុន្តែឧបករណ៍មិនទាន់បានកំណត់រចនាសម្ព័ន្ធពេញលេញនៅឡើយ។ ជំហានចុងក្រោយនឹងត្រូវរៀបចំកុងសូលនិម្មិត៖

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

នៅក្នុងអត្ថបទមុន គំរូ AAA ត្រូវបានកំណត់រចនាសម្ព័ន្ធ ដែលការផ្ទៀងផ្ទាត់ត្រូវបានកំណត់នៅលើកុងសូលនិម្មិតដោយប្រើមូលដ្ឋានទិន្នន័យមូលដ្ឋាន ហើយអ្នកប្រើប្រាស់បន្ទាប់ពីការផ្ទៀងផ្ទាត់ ត្រូវតែចូលទៅក្នុងរបៀបដែលមានសិទ្ធិជាបន្ទាន់។ ការធ្វើតេស្តសាមញ្ញបំផុតនៃមុខងារ SSH គឺព្យាយាមភ្ជាប់ទៅឧបករណ៍ផ្ទាល់ខ្លួនរបស់អ្នក។ RTR1 មានរង្វិលជុំត្រឡប់មកវិញជាមួយអាសយដ្ឋាន IP 1.1.1.1 អ្នកអាចព្យាយាមភ្ជាប់ទៅអាសយដ្ឋាននេះ៖

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

បន្ទាប់ពីសោ -l បញ្ចូលការចូលរបស់អ្នកប្រើដែលមានស្រាប់ ហើយបន្ទាប់មកពាក្យសម្ងាត់។ បន្ទាប់ពីការផ្ទៀងផ្ទាត់ អ្នកប្រើភ្លាមៗប្តូរទៅរបៀបដែលមានសិទ្ធិ ដែលមានន័យថា SSH ត្រូវបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ។

ប្រភព: www.habr.com