ProHoster > Blog > Rêveberî > Çareserkirina peywirên WorldSkills yên modula Torê di jêhatiya "SiSA" de. Part 2 - Setup bingehîn

Çareserkirina peywirên WorldSkills yên modula Torê di jêhatiya "SiSA" de. Part 2 - Setup bingehîn

Em berdewam dikin ku peywirên modula Torê ya şampiyoniya WorldSkills di jêhatiya "Rêveberiya Torê û Pergalê" de analîz bikin.

Karên jêrîn dê di gotarê de bêne hesibandin:

  1. Li ser HEMÛ cîhazên, navbeynkarên virtual, jêrnavber, û navbeynkariya loopback biafirînin. Li gorî topolojiyê navnîşanên IP-ê destnîşan bikin.
    • Mekanîzmaya SLAAC çalak bike ku navnîşanên IPv6 di tora MNG-ê de li ser pêwendiya routerê RTR1 derxîne;
    • Li ser navgînên virtual yên di VLAN 100 (MNG) de li ser guheztinên SW1, SW2, SW3, moda veavakirina otomatîkî ya IPv6 çalak bikin;
    • Li HEMÛ cîhazên (ji bilî PC1 û WEB) bi destan navnîşanên lînk-herêmî destnîşan bikin;
    • Li ser HEMÛ guhêrkan, HEMÛ portên ku di peywirê de nehatine bikar anîn neçalak bikin û veguherînin VLAN 99;
    • Li ser guheztina SW1, ger şîfre di nav 1 çirkeyan de du caran xelet were nivîsandin, 30 hûrdem kilîtkirinê çalak bike;
  2. Pêdivî ye ku hemî cîhaz bi guhertoya SSH 2-ê ve bêne rêvebirin.


Topolojiya torê ya li qata fizîkî di diagrama jêrîn de tê pêşkêş kirin:

Çareserkirina peywirên WorldSkills yên modula Torê di jêhatiya "SiSA" de. Part 2 - Setup bingehîn

Topolojiya torê ya di asta girêdana daneyê de di diagrama jêrîn de tê pêşkêş kirin:

Çareserkirina peywirên WorldSkills yên modula Torê di jêhatiya "SiSA" de. Part 2 - Setup bingehîn

Topolojiya torê ya di asta torê de di diagrama jêrîn de tê pêşkêş kirin:

Çareserkirina peywirên WorldSkills yên modula Torê di jêhatiya "SiSA" de. Part 2 - Setup bingehîn

pêşdibistanê

Berî ku hûn karên jorîn bikin, hêja ye ku guheztina bingehîn li ser guheztinên SW1-SW3 saz bikin, ji ber ku dê di pêşerojê de kontrolkirina mîhengên wan hêsantir be. Sazkirina guheztinê dê di gotara pêş de bi hûrgulî were vegotin, lê heya niha tenê mîheng dê bêne diyar kirin.

Gava yekem ev e ku li ser hemî guheztan bi hejmarên 99, 100 û 300 vlan biafirînin:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Pêngava paşîn ev e ku meriv navbeynkariya g0/1 ji SW1 veguhezîne hejmara vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Navberên f0/1-2, f0/5-6, yên ku rû bi guhêzbarên din re ne, divê werin veguheztin moda trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Li ser guheztina SW2 di moda trunk de dê navgînên f0/1-4 hebin:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Li ser guheztina SW3 di moda trunk de dê navgînên f0/3-6, g0/1 hebin:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Di vê qonaxê de, mîhengên guheztinê dê destûrê bide danûstendina pakêtên nîşankirî, ku ji bo temamkirina karan hewce ye.

1. Li ser HEMÛ cîhazên navbeynkariyên virtual, binavber, û navberên loopback biafirînin. Li gorî topolojiyê navnîşanên IP-ê destnîşan bikin.

Router BR1 dê pêşî were mîheng kirin. Li gorî topolojiya L3, li vir hûn hewce ne ku navbeynkariyek celeb-loop, ku wekî loopback jî tê zanîn, hejmar 101 mîheng bikin:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Ji bo kontrolkirina rewşa pêwendiya çêkirî, hûn dikarin fermanê bikar bînin show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Li vir hûn dikarin bibînin ku loopback çalak e, rewşa wê UP. Ger hûn li jêr binêrin, hûn dikarin du navnîşanên IPv6 bibînin, her çend tenê yek ferman ji bo danîna navnîşana IPv6 hate bikar anîn. Rastî ev e FE80::2D0:97FF:FE94:5022 navnîşek lînk-herêmî ye ku dema ku ipv6 li ser navgînek bi fermanê ve hatî çalak kirin tê destnîşankirin ipv6 enable.

Û ji bo dîtina navnîşana IPv4, fermanek wekhev bikar bînin:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Ji bo BR1, divê hûn tavilê pêwendiya g0/0 mîheng bikin; li vir hûn tenê hewce ne ku navnîşana IPv6 saz bikin:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Hûn dikarin bi heman fermanê mîhengan kontrol bikin show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Piştre, routerê ISP-ê dê were mîheng kirin. Li vir, li gorî peywirê, dê hejmara loopback 0 were mîheng kirin, lê ji xeynî vê, çêtir e ku meriv pêwendiya g0/0, ku divê navnîşana 30.30.30.1 hebe, were mîheng kirin, ji ber vê yekê ku di karên paşîn de dê tiştek li ser neyê gotin. sazkirina van pêwendiyan. Pêşîn, hejmara loopback 0 tête mîheng kirin:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

kom show ipv6 interface brief Hûn dikarin verast bikin ku mîhengên navberê rast in. Dûv re navbeynkariya g0/0 tê mîheng kirin:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Dûv re, routerê RTR1 dê were mîheng kirin. Li vir hûn jî hewce ne ku jimareyek 100-a loopback biafirînin:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Di heman demê de li ser RTR1 hûn hewce ne ku ji bo vlanên bi jimareyên 2 û 100 300 jêrnavberên virtual biafirînin. Ev dikare bi vî rengî were kirin.

Pêşîn, hûn hewce ne ku pêwendiya laşî g0/1 bi fermana no shutdown çalak bikin:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Dûv re jêrnavberên bi hejmarên 100 û 300 têne çêkirin û mîheng kirin:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Dibe ku jimara binnavberê ji jimareya vlan a ku tê de bixebite cûda be, lê ji bo rehetiyê çêtir e ku meriv nimreya jêrnavbera ku bi jimareya vlan re têkildar be bikar bîne. Heke hûn dema sazkirina binavberek celebê encapsulasyonê destnîşan bikin, divê hûn jimareyek ku bi hejmara vlan re li hev dike diyar bikin. Ji ber vê yekê piştî fermanê encapsulation dot1Q 300 jêrnavbera wê tenê ji pakêtên vlan ên bi hejmara 300 re derbas bibe.

Di vê peywirê de gava paşîn dê routerê RTR2 be. Pêdivî ye ku girêdana di navbera SW1 û RTR2 de di moda gihîştinê de be, pêwendiya guhêrbar dê tenê pakêtên RTR2 yên ku ji bo hejmara 300-a vlan têne armanc kirin derbas bibe, ev di peywira li ser topolojiya L2 de tête diyar kirin. Ji ber vê yekê, tenê pêwendiya laşî dê li ser routerê RTR2 were mîheng kirin bêyî ku pêvekêşan çêbikin:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Dûv re navbeynkariya g0/0 tê mîheng kirin:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ev veavakirina navgînên routerê ji bo peywira heyî temam dike. Dema ku hûn karên jêrîn temam bikin dê navberên mayî werin mîheng kirin.

yek. Mekanîzmaya SLAAC çalak bike ku navnîşanên IPv6 di tora MNG de li ser pêwendiya routerê RTR1 derxîne
Mekanîzmaya SLAAC ji hêla xwerû ve hatî çalak kirin. Tiştê ku divê hûn bikin ev e ku rêça IPv6 çalak bike. Hûn dikarin vê yekê bi fermana jêrîn bikin:

RTR1(config-subif)#ipv6 unicast-routing

Bêyî vê fermanê, amûr wekî mêvandar tevdigerin. Bi gotinek din, bi saya fermana jorîn, gengaz e ku meriv fonksiyonên ipv6 yên din bikar bîne, di nav de derxistina navnîşanên ipv6, sazkirina rêvekirinê, hwd.

b. Li ser navgînên virtual yên di VLAN 100 (MNG) de li ser guheztinên SW1, SW2, SW3, moda veavakirina otomatîkî ya IPv6 çalak bikin
Ji topolojiya L3 diyar e ku guheztin bi VLAN 100-ê ve girêdayî ne. Ev tê vê wateyê ku pêdivî ye ku meriv navgînên virtual li ser guhezkan biafirîne, û tenê wê hingê wan destnîşan bike ku navnîşanên IPv6 ji hêla xwerû ve bistînin. Veavakirina destpêkê bi rastî hate kirin da ku guheztin bikarin navnîşanên xwerû ji RTR1 bistînin. Hûn dikarin vê peywirê bi karanîna navnîşa fermanên jêrîn, ku ji bo her sê guhastinê maqûl in, biqedînin:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Hûn dikarin her tiştî bi heman fermanê kontrol bikin show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Ji bilî navnîşana girêdan-herêmî, navnîşanek ipv6 ku ji RTR1 hatî wergirtin xuya bû. Ev kar bi serfirazî qediya, û divê heman ferman li ser guhezên mayî werin nivîsandin.

Bi. Li HEMÛ cîhazên (ji bilî PC1 û WEB) bi destan navnîşanên lînk-herêmî destnîşan bikin
Navnîşanên IPv6 yên sî-hejmarî ji bo rêvebiran ne kêfê ne, ji ber vê yekê gengaz e ku meriv bi desta lînka-herêmî biguhezîne, dirêjahiya wê bi nirxek herî kêm kêm bike. Karûbar li ser kîjan navnîşan hilbijêrin tiştek nabêjin, ji ber vê yekê vebijarkek belaş li vir tê peyda kirin.

Mînakî, li ser guheztina SW1 hûn hewce ne ku navnîşana lînka-herêmî fe80::10 saz bikin. Ev dikare bi fermana jêrîn ji moda veavakirinê ya navbeynkariya hilbijartî were kirin:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Naha navnîşan pir balkêştir xuya dike:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Ji bilî navnîşana girêdan-herêmî, navnîşana IPv6 ya wergirtî jî guherî ye, ji ber ku navnîş li ser bingeha navnîşana lînk-herêmî tê derxistin.

Li ser guheztina SW1 hewce bû ku tenê yek navnîşana lînk-herêmî li ser yek navberê were danîn. Bi routerê RTR1 re, hûn hewce ne ku hûn bêtir mîhengan bikin - hûn hewce ne ku lînka-herêmî li ser du binenavberan, li ser loopback-ê saz bikin, û di mîhengên paşîn de dê navbeynkariya tunelê 100 jî xuya bibe.

Ji bo ku hûn ji nivîsandina nehewce ya fermanan dûr nekevin, hûn dikarin heman navnîşana lînka-herêmî li ser hemî navbeynkaran bi yekcarî bicîh bikin. Hûn dikarin vê yekê bi karanîna keywordê bikin range li pey navnîşkirina hemî navbeynkaran:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Dema ku navbeynkaran kontrol bikin, hûn ê bibînin ku navnîşanên girêdan-herêmî li ser hemî navbeynkarên hilbijartî hatine guhertin:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Hemî amûrên din bi rengek wekhev têne mîheng kirin

d. Li ser HEMÛ guhêrkan, HEMÛ portên ku di xebatê de nehatine bikar anîn neçalak bikin û veguhezînin VLAN 99
Fikra bingehîn heman awayê bijartina pirnavberan e ku meriv bi fermanê vesaz bike range, û tenê wê hingê divê hûn fermanan binivîsin da ku veguhezînin vlana xwestinê û dûv re navbeynkaran qut bikin. Mînakî, veguherîna SW1, li gorî topolojiya L1, dê portên f0/3-4, f0/7-8, f0/11-24 û g0/2 neçalak bibin. Ji bo vê nimûneyê mîheng dê wiha be:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Dema ku mîhengan bi fermanek jixwe naskirî ve kontrol dikin, hêjayî gotinê ye ku divê hemî portên neyên bikar anîn xwedî statûyek bin îdarî daket, nîşan dide ku port neçalak e:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Ji bo ku hûn bibînin ka port di kîjan vlan de ye, hûn dikarin fermanek din bikar bînin:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Pêdivî ye ku hemî navgînên neyên bikar anîn li vir bin. Hêjayî gotinê ye ku ger vlanek weha nehatibe çêkirin dê nekare navbeynkaran ji vlan re veguhezîne. Ji bo vê armancê ye ku di sazkirina destpêkê de hemî vlanên ku ji bo xebatê hewce ne hatine afirandin.

e. Li ser guheztina SW1, ger şîfre di nav 1 çirkeyan de du caran xelet were nivîsandin, 30 hûrdem kilît bike.
Hûn dikarin vê yekê bi fermana jêrîn bikin:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Her weha hûn dikarin van mîhengan wekî jêrîn kontrol bikin:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Cihê ku bi zelalî tê rave kirin ku piştî du hewildanên neserkeftî di nav 30 çirkeyan de an kêmtir, şiyana têketinê dê 60 çirkeyan were asteng kirin.

2. Pêdivî ye ku hemî cîhaz bi guhertoya 2-ya SSH-ê ve bêne rêvebirin

Ji bo ku cîhaz bi guhertoya 2-ya SSH-ê ve bigihîjin, pêdivî ye ku pêşî amûrê were mîheng kirin, ji ber vê yekê ji bo mebestên agahdarkirinê, em ê pêşî amûrê bi mîhengên kargehê vesaz bikin.

Hûn dikarin guhertoya puncture bi vî rengî biguhezînin:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Pergal ji we dipirse ku hûn ji bo xebitandina guhertoya SSH 2 bişkojkên RSA biafirînin. Li gorî şîreta pergala hişmend, hûn dikarin bi fermana jêrîn bişkojkên RSA biafirînin:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Pergal nahêle ku ferman were înfaz kirin ji ber ku navê mêvandar nehatiye guhertin. Piştî guheztina navê mêvandar, hûn hewce ne ku emrê nifşa mifteyê dîsa binivîsin:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Naha pergal ji ber nebûna navek domainê nahêle hûn bişkokên RSA biafirînin. Û piştî sazkirina navê domainê, dê mimkun be ku mifteyên RSA biafirînin. Ji bo ku guhertoya SSH 768 bixebite, divê bişkokên RSA herî kêm 2 bit dirêj bin:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Wekî encamek, derdikeve holê ku ji bo ku SSHv2 bixebite ew hewce ye:

  1. Guhertina navê mêvandar;
  2. Navê domainê biguherînin;
  3. Bişkojkên RSA çêbikin.

Gotara berê destnîşan kir ku meriv çawa li ser hemî cîhazan nav û navê domainê biguhezîne, ji ber vê yekê dema ku hûn mîhengkirina amûrên heyî didomînin, hûn tenê hewce ne ku bişkojkên RSA çêbikin:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Guhertoya SSH 2 çalak e, lê cîhaz hîn bi tevahî nehatine mîheng kirin. Pêngava paşîn dê sazkirina konsolên virtual be:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Di gotara berê de, modela AAA-ê hate mîheng kirin, ku li wir verastkirin li ser konsolên virtual bi karanîna databasek herêmî hate danîn, û bikarhêner, piştî pejirandinê, neçar ma ku tavilê bikeve moda îmtiyazê. Testa herî hêsan a fonksiyona SSH ev e ku hûn hewl bidin ku bi alavên xwe ve girêdin. RTR1 bi navnîşana IP-ya 1.1.1.1 re loopback heye, hûn dikarin biceribînin ku bi vê navnîşanê ve girêbidin:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Piştî key -l Têketina bikarhênerê heyî, û paşê şîfreya xwe binivîse. Piştî verastkirinê, bikarhêner tavilê diguhezîne moda îmtiyazê, ku tê vê wateyê ku SSH rast hatî mîheng kirin.

Source: www.habr.com

Add a comment