우리는 "네트워크 및 시스템 관리" 역량에서 WorldSkills 챔피언십의 네트워크 모듈 작업을 계속 분석합니다.

이 기사에서는 다음 작업을 고려합니다.

모든 장치에서 가상 인터페이스, 하위 인터페이스 및 루프백 인터페이스를 생성합니다. 토폴로지에 따라 IP 주소를 할당합니다.
- RTR6 라우터 인터페이스의 MNG 네트워크에서 IPv1 주소를 발행하려면 SLAAC 메커니즘을 활성화하십시오.
- 스위치 SW100, SW1, SW2의 VLAN 3(MNG)에 있는 가상 인터페이스에서 IPv6 자동 구성 모드를 활성화합니다.
- 모든 장치(PC1 및 WEB 제외)에서 링크 로컬 주소를 수동으로 할당합니다.
- 모든 스위치에서 작업에 사용되지 않는 모든 포트를 비활성화하고 VLAN 99로 전송합니다.
- 스위치 SW1에서 비밀번호가 1초 이내에 두 번 잘못 입력되면 30분 동안 잠금을 활성화합니다.
모든 장치는 SSH 버전 2를 통해 관리할 수 있어야 합니다.

물리적 계층의 네트워크 토폴로지는 다음 다이어그램에 나와 있습니다.

데이터 링크 수준의 네트워크 토폴로지는 다음 다이어그램에 나와 있습니다.

네트워크 수준의 네트워크 토폴로지는 다음 다이어그램에 나와 있습니다.

사전 설정

위 작업을 수행하기 전에 스위치 SW1-SW3에 대한 기본 스위칭을 설정하는 것이 좋습니다. 나중에 해당 설정을 확인하는 것이 더 편리할 것입니다. 전환 설정에 대해서는 다음 글에서 자세히 설명하겠지만 지금은 설정만 정의하겠습니다.

첫 번째 단계는 모든 스위치에 번호 99, 100 및 300을 사용하여 VLAN을 생성하는 것입니다.

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

다음 단계는 인터페이스 g0/1을 SW1, VLAN 번호 300으로 전송하는 것입니다.

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

다른 스위치와 마주하는 인터페이스 f0/1-2, f0/5-6은 트렁크 모드로 전환되어야 합니다.

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

트렁크 모드의 스위치 SW2에는 인터페이스 f0/1-4가 있습니다.

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

트렁크 모드의 스위치 SW3에는 인터페이스 f0/3-6, g0/1이 있습니다.

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

이 단계에서 스위치 설정은 작업을 완료하는 데 필요한 태그가 지정된 패킷의 교환을 허용합니다.

1. 모든 장치에서 가상 인터페이스, 하위 인터페이스 및 루프백 인터페이스를 생성합니다. 토폴로지에 따라 IP 주소를 할당합니다.

라우터 BR1이 먼저 구성됩니다. L3 토폴로지에 따르면 루프백이라고도 알려진 루프 유형 인터페이스 번호 101을 구성해야 합니다.

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

생성된 인터페이스의 상태를 확인하려면 다음 명령을 사용할 수 있습니다. show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

여기에서 루프백이 활성화되어 있고 해당 상태를 볼 수 있습니다. UP. 아래를 보면 IPv6 주소를 설정하는 데 하나의 명령만 사용되었지만 IPv6 주소가 두 개 있는 것을 볼 수 있습니다. 사실은 FE80::2D0:97FF:FE94:5022 다음 명령을 사용하여 인터페이스에서 ipv6을 활성화할 때 할당되는 링크 로컬 주소입니다. ipv6 enable.

IPv4 주소를 보려면 비슷한 명령을 사용하십시오.

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1의 경우 g0/0 인터페이스를 즉시 구성해야 하며 여기서는 IPv6 주소만 설정하면 됩니다.

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

동일한 명령으로 설정을 확인할 수 있습니다 show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

다음으로 ISP 라우터가 구성됩니다. 여기에서는 작업에 따라 루프백 번호 0이 구성되지만, 그 외에도 주소가 0이어야 하는 g0/30.30.30.1 인터페이스를 구성하는 것이 바람직합니다. 왜냐하면 후속 작업에서는 이에 대해 아무 말도 하지 않기 때문입니다. 이러한 인터페이스를 설정합니다. 먼저 루프백 번호 0이 구성됩니다.

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

팀 show ipv6 interface brief 인터페이스 설정이 올바른지 확인할 수 있습니다. 그런 다음 인터페이스 g0/0이 구성됩니다.

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

다음으로 RTR1 라우터가 구성됩니다. 여기에서는 루프백 번호 100도 생성해야 합니다.

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

또한 RTR1에서는 번호가 2과 100인 VLAN에 대해 300개의 가상 하위 인터페이스를 생성해야 합니다. 이 작업은 다음과 같이 수행할 수 있습니다.

먼저 no shutdown 명령을 사용하여 물리적 인터페이스 g0/1을 활성화해야 합니다.

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

그런 다음 번호가 100과 300인 하위 인터페이스가 생성 및 구성됩니다.

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

하위 인터페이스 번호는 작동할 VLAN 번호와 다를 수 있지만 편의상 VLAN 번호와 일치하는 하위 인터페이스 번호를 사용하는 것이 좋습니다. 하위 인터페이스 설정 시 캡슐화 유형을 설정하는 경우 VLAN 번호와 일치하는 번호를 지정해야 합니다. 그래서 명령 후에 encapsulation dot1Q 300 하위 인터페이스는 번호 300의 VLAN 패킷만 통과합니다.

이 작업의 마지막 단계는 RTR2 라우터입니다. SW1과 RTR2 사이의 연결은 액세스 모드에 있어야 하며, 스위치 인터페이스는 VLAN 번호 2을 위한 패킷만 RTR300로 전달합니다. 이는 L2 토폴로지의 작업에 명시되어 있습니다. 따라서 하위 인터페이스를 생성하지 않고 RTR2 라우터에 물리적 인터페이스만 구성됩니다.

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

그런 다음 인터페이스 g0/0이 구성됩니다.

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

이것으로 현재 작업에 대한 라우터 인터페이스 구성이 완료됩니다. 다음 작업을 완료하면 나머지 인터페이스가 구성됩니다.

ㅏ. RTR6 라우터 인터페이스의 MNG 네트워크에서 IPv1 주소를 발급하도록 SLAAC 메커니즘을 활성화합니다.
SLAAC 메커니즘은 기본적으로 활성화되어 있습니다. IPv6 라우팅을 활성화하기만 하면 됩니다. 다음 명령을 사용하여 이 작업을 수행할 수 있습니다.

RTR1(config-subif)#ipv6 unicast-routing

이 명령이 없으면 장비는 호스트 역할을 합니다. 즉, 위 명령을 통해 ipv6 주소 발급, 라우팅 설정 등 추가적인 ipv6 기능을 사용할 수 있게 됩니다.

비. 스위치 SW100, SW1, SW2의 VLAN 3(MNG) 가상 인터페이스에서 IPv6 자동 구성 모드를 활성화합니다.
L3 토폴로지에서 스위치가 VLAN 100에 연결되어 있음이 분명합니다. 이는 스위치에 가상 인터페이스를 생성한 다음 기본적으로 IPv6 주소를 수신하도록 할당해야 함을 의미합니다. 초기 구성은 스위치가 RTR1에서 기본 주소를 받을 수 있도록 정확하게 수행되었습니다. 세 스위치 모두에 적합한 다음 명령 목록을 사용하여 이 작업을 완료할 수 있습니다.

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

동일한 명령으로 모든 것을 확인할 수 있습니다 show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

링크 로컬 주소 외에도 RTR6에서 받은 ipv1 주소가 나타났습니다. 이 작업은 성공적으로 완료되었으며 나머지 스위치에도 동일한 명령을 작성해야 합니다.

와 함께. 모든 장치(PC1 및 WEB 제외)에서 링크 로컬 주소를 수동으로 할당
6자리 IPvXNUMX 주소는 관리자에게 재미가 없으므로 링크 로컬을 수동으로 변경하여 길이를 최소값으로 줄일 수 있습니다. 할당에는 선택할 주소에 대한 내용이 없으므로 여기서는 자유로운 선택이 제공됩니다.

예를 들어 스위치 SW1에서는 링크 로컬 주소 fe80::10을 설정해야 합니다. 선택한 인터페이스의 구성 모드에서 다음 명령을 사용하여 이 작업을 수행할 수 있습니다.

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

이제 주소 지정이 훨씬 더 매력적으로 보입니다.

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

링크 로컬 주소 외에 수신된 IPv6 주소도 링크 로컬 주소를 기반으로 발급되기 때문에 변경되었습니다.

스위치 SW1에서는 하나의 인터페이스에 하나의 링크-로컬 주소만 설정해야 했습니다. RTR1 라우터를 사용하면 더 많은 설정을 지정해야 합니다. 루프백에서 두 개의 하위 인터페이스에 링크 로컬을 설정해야 하며 후속 설정에서는 터널 100 인터페이스도 나타납니다.

불필요한 명령 작성을 피하기 위해 모든 인터페이스에 동일한 링크-로컬 주소를 한 번에 설정할 수 있습니다. 키워드를 사용하여 이 작업을 수행할 수 있습니다. range 모든 인터페이스를 나열합니다.

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

인터페이스를 확인하면 선택한 모든 인터페이스에서 링크 로컬 주소가 변경된 것을 확인할 수 있습니다.

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

다른 모든 장치도 비슷한 방식으로 구성됩니다.

디. 모든 스위치에서 작업에 사용되지 않는 모든 포트를 비활성화하고 VLAN 99로 전송합니다.
기본 아이디어는 명령을 사용하여 구성할 여러 인터페이스를 선택하는 것과 동일한 방식입니다. range그런 다음 원하는 VLAN으로 전송하는 명령을 작성한 다음 인터페이스를 꺼야 합니다. 예를 들어, L1 토폴로지에 따라 스위치 SW1은 포트 f0/3-4, f0/7-8, f0/11-24 및 g0/2가 비활성화됩니다. 이 예의 경우 설정은 다음과 같습니다.

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

이미 알려진 명령으로 설정을 확인할 때 사용하지 않는 모든 포트에는 상태가 있어야 한다는 점에 유의할 가치가 있습니다. 행정상 다운, 포트가 비활성화되었음을 나타냅니다.

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

포트가 어떤 VLAN에 있는지 확인하려면 다른 명령을 사용할 수 있습니다.

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

사용되지 않는 모든 인터페이스는 여기에 있어야 합니다. 해당 VLAN이 생성되지 않은 경우 인터페이스를 VLAN으로 전송할 수 없다는 점은 주목할 가치가 있습니다. 이를 위해 초기 설정에서 작동에 필요한 모든 VLAN이 생성되었습니다.

이자형. 스위치 SW1에서 1초 이내에 비밀번호를 30번 잘못 입력하면 XNUMX분 동안 잠금이 활성화됩니다.
다음 명령을 사용하여 이 작업을 수행할 수 있습니다.

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

다음과 같이 이러한 설정을 확인할 수도 있습니다.

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

30초 이내에 60회 시도 실패 시 XNUMX초 동안 로그인 기능이 차단된다는 점을 명확히 설명한 경우.

2. 모든 장치는 SSH 버전 2를 통해 관리 가능해야 합니다.

SSH 버전 2를 통해 장치에 액세스하려면 먼저 장비를 구성해야 하므로 정보 제공을 위해 먼저 장비를 공장 설정으로 구성하겠습니다.

다음과 같이 펑크 버전을 변경할 수 있습니다.

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

시스템은 SSH 버전 2가 작동하도록 RSA 키를 생성하라는 메시지를 표시합니다. 스마트 시스템의 조언에 따라 다음 명령을 사용하여 RSA 키를 생성할 수 있습니다.

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

호스트 이름이 변경되지 않았기 때문에 시스템에서 명령 실행을 허용하지 않습니다. 호스트 이름을 변경한 후 키 생성 명령을 다시 작성해야 합니다.

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

이제 도메인 이름이 없기 때문에 시스템에서 RSA 키를 생성할 수 없습니다. 그리고 도메인 이름을 설치한 후 RSA 키를 생성할 수 있습니다. SSH 버전 768가 작동하려면 RSA 키 길이가 2비트 이상이어야 합니다.

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

결과적으로 SSHv2가 작동하려면 다음이 필요하다는 것이 밝혀졌습니다.

호스트 이름을 변경하십시오.
도메인 이름을 변경하세요.
RSA 키를 생성합니다.

이전 기사에서는 모든 장치에서 호스트 이름과 도메인 이름을 변경하는 방법을 보여 주었으므로 현재 장치를 계속 구성하는 동안 RSA 키만 생성하면 됩니다.

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH 버전 2가 활성화되어 있지만 장치가 아직 완전히 구성되지 않았습니다. 마지막 단계는 가상 콘솔을 설정하는 것입니다:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

이전 기사에서는 로컬 데이터베이스를 사용하여 가상 콘솔에 인증이 설정되고 사용자가 인증 후 즉시 권한 모드로 전환되어야 하는 AAA 모델이 구성되었습니다. SSH 기능을 테스트하는 가장 간단한 방법은 자신의 장비에 연결해 보는 것입니다. RTR1에는 IP 주소 1.1.1.1의 루프백이 있습니다. 이 주소에 연결해 볼 수 있습니다.

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

열쇠 뒤에 -l 기존 사용자의 로그인을 입력한 후 비밀번호를 입력하세요. 인증 후 사용자는 즉시 특권 모드로 전환됩니다. 이는 SSH가 올바르게 구성되었음을 의미합니다.

출처 : habr.com

"SiSA" 역량에서 네트워크 모듈의 WorldSkills 작업 솔루션. 파트 2 - 기본 설정

사전 설정

1. 모든 장치에서 가상 인터페이스, 하위 인터페이스 및 루프백 인터페이스를 생성합니다. 토폴로지에 따라 IP 주소를 할당합니다.

2. 모든 장치는 SSH 버전 2를 통해 관리 가능해야 합니다.

코멘트를 추가 답장을 취소