Mir analyséieren weider d'Aufgaben vum Network Modul vum WorldSkills Championnat an der Kompetenz "Network and System Administration".
Den Artikel wäert déi folgend Aufgaben ofdecken:
- Op ALL Apparater erstellt virtuell Interfaces, Subinterfaces a Loopback Interfaces. Gitt IP Adressen no der Topologie.
- Aktivéiert de SLAAC-Mechanismus fir IPv6 Adressen am MNG-Netz op der RTR1-Router-Interface auszeginn;
- Op virtuelle Schnëttplazen am VLAN 100 (MNG) op Schalteren SW1, SW2, SW3, aktivéiert IPv6 Autokonfiguratiounsmodus;
- Op ALL Apparater (ausser PC1 a WEB) manuell Link-lokal Adressen zougewisen;
- Op ALL Wiesselt, auszeschalten ALL Häfen net an der Aufgab benotzt an Transfert ze VLAN 99;
- Op Schalter SW1, aktivéiert e Spär fir 1 Minutt wann d'Passwuert zweemol bannent 30 Sekonnen falsch aginn ass;
- All Apparater mussen iwwer SSH Versioun 2 verwaltbar sinn.
D'Netzwierktopologie an der kierperlecher Schicht gëtt am folgenden Diagramm presentéiert:
D'Netzwierktopologie um Datelinkniveau gëtt am folgenden Diagramm presentéiert:
D'Netzwierktopologie um Netzwierkniveau gëtt am folgenden Diagramm presentéiert:
virzestellen
Ier Dir déi uewe genannten Aufgaben ausféiert, ass et derwäert d'Basisschalter op Schalter SW1-SW3 opzestellen, well et méi bequem ass hir Astellungen an Zukunft ze kontrolléieren. De Wiesselsetup gëtt am Detail am nächsten Artikel beschriwwen, awer fir de Moment ginn nëmmen d'Astellunge definéiert.
Den éischte Schrëtt ass d'Vlans mat den Nummeren 99, 100 an 300 op all Schalter ze kreéieren:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
De nächste Schrëtt ass d'Interface g0/1 op SW1 op d'Vlan Nummer 300 ze transferéieren:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Schnëttplazen f0 / 1-2, f0 / 5-6, déi mat anere Schalter konfrontéiert sinn, sollten an den Trunkmodus gewiesselt ginn:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Um Schalter SW2 am Trunk Modus ginn et Interfaces f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Um Schalter SW3 am Trunk Modus ginn et Interfaces f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Op dëser Etapp erlaben d'Schalter-Astellungen den Austausch vun tagged Päckchen, wat erfuerderlech ass fir Aufgaben ze kompletéieren.
1. Schafen virtuell Schnëttplazen, subinterfaces, an loopback Schnëttplazen op ALL Apparater. Gitt IP Adressen no der Topologie.
Router BR1 gëtt als éischt konfiguréiert. No der L3 Topologie, hei musst Dir e Loop-Typ Interface konfiguréieren, och bekannt als Loopback, Nummer 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Fir de Status vun der erstallt Interface ze kontrolléieren, kënnt Dir de Kommando benotzen show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Hei kënnt Dir gesinn datt Loopback aktiv ass, säin Zoustand UP. Wann Dir hei ënnen kuckt, kënnt Dir zwou IPv6 Adressen gesinn, obwuel nëmmen ee Kommando benotzt gouf fir d'IPv6 Adress ze setzen. D'Tatsaach ass dat FE80::2D0:97FF:FE94:5022 ass eng Link-lokal Adress déi zougewisen gëtt wann ipv6 op engem Interface mat dem Kommando aktivéiert ass ipv6 enable.
A fir d'IPv4 Adress ze gesinn, benotzt en ähnlechen Kommando:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Fir BR1, sollt Dir direkt d'g0/0 Interface konfiguréieren; Hei musst Dir just d'IPv6 Adress setzen:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Dir kënnt d'Astellunge mat dem selwechte Kommando kontrolléieren show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Als nächst gëtt den ISP Router konfiguréiert. Hei, laut der Aufgab, gëtt d'Loopback Nummer 0 konfiguréiert, awer ausserdeem ass et léiwer d'g0/0 Interface ze konfiguréieren, déi d'Adress 30.30.30.1 soll hunn, aus dem Grond datt an de spéideren Aufgaben näischt iwwer gesot gëtt dës Interfaces opzestellen. Als éischt gëtt d'Loopback Nummer 0 konfiguréiert:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
Equipe show ipv6 interface brief Dir kënnt verifizéieren datt d'Interface Astellunge richteg sinn. Dann ass den Interface g0/0 konfiguréiert:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Als nächst gëtt den RTR1 Router konfiguréiert. Hei musst Dir och eng Loopback Nummer 100 erstellen:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Och op RTR1 muss Dir schafen 2 virtuell subinterfaces fir vlans mat Zuelen 100 an 300. Dëst kann wéi follegt gemaach ginn.
Als éischt musst Dir d'physesch Interface g0/1 aktivéieren mat dem No Shutdown Kommando:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Da ginn Ënnerschnëttplazen mat Zuelen 100 an 300 erstallt a konfiguréiert:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
D'Subinterface Nummer ka vun der Vlan Nummer ënnerscheeden an där se funktionnéiert, awer fir d'Kamoudheet ass et besser d'Subinterface Nummer ze benotzen déi mat der Vlan Nummer entsprécht. Wann Dir der encapsulation Typ setzen wann Dir eng subinterface Ariichten, Dir sollt eng Zuel uginn, datt d'Vlan Zuel Mätscher. Also nom Kommando encapsulation dot1Q 300 d'Subinterface passéiert nëmmen duerch vlan Pakete mat Nummer 300.
De leschte Schrëtt an dëser Aufgab ass den RTR2 Router. D'Verbindung tëscht SW1 an RTR2 muss am Accès Modus ginn, de Schalter Interface gëtt Richtung RTR2 nëmmen Pakete fir vlan Nummer 300 geduecht, dëst ass an der Aufgab op der L2 Topologie uginn. Dofir gëtt nëmmen déi kierperlech Interface um RTR2 Router konfiguréiert ouni Ënnerschnëttplazen ze kreéieren:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Dann ass den Interface g0/0 konfiguréiert:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Dëst fäerdeg d'Konfiguratioun vu Router-Interfaces fir déi aktuell Aufgab. Déi reschtlech Interfaces ginn konfiguréiert wéi Dir déi folgend Aufgaben ofgeschloss hutt.
a. Aktivéiert den SLAAC-Mechanismus fir IPv6 Adressen am MNG-Netz op der RTR1 Router-Interface auszeginn
De SLAAC Mechanismus ass als Standard aktivéiert. Dat eenzegt wat Dir maache musst ass IPv6 Routing z'aktivéieren. Dir kënnt dat mat dem folgenden Kommando maachen:
RTR1(config-subif)#ipv6 unicast-routing
Ouni dëse Kommando handelt d'Ausrüstung als Host. An anere Wierder, dank dem uewe genannte Kommando, gëtt et méiglech zousätzlech ipv6 Funktiounen ze benotzen, dorënner d'Emissioun vun ipv6 Adressen, d'Astellung vun de Routing, etc.
b. Op virtuelle Schnëttplazen am VLAN 100 (MNG) op Schalter SW1, SW2, SW3, aktivéiert den IPv6 Auto-Konfiguratiounsmodus
Vun der L3 Topologie ass kloer, datt d'Schalter mat VLAN verbonne sinn 100. Dat heescht, datt et néideg ass, virtuell Schnëttplazen op de Schalter ze kreéieren, an nëmmen dann zouzeschreiwen fir IPv6 Adressen als Standard ze kréien. Déi initial Konfiguratioun gouf präzis gemaach fir datt d'Schalter Standardadressen vum RTR1 kréien. Dir kënnt dës Aufgab mat der folgender Lëscht vu Kommandoen ausfëllen, gëeegent fir all dräi Schalter:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Dir kënnt alles mam selwechte Kommando kontrolléieren show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Zousätzlech zu der Link-lokal Adress ass eng IPv6 Adress déi vum RTR1 kritt gouf. Dës Aufgab ass erfollegräich ofgeschloss ginn, an déi selwecht Kommandoen mussen op déi verbleiwen Schalter geschriwwe ginn.
Mat. Op ALL Apparater (ausser PC1 a WEB) manuell Link-lokal Adressen zougewisen
Drësseg-Zifferen IPv6 Adressen si kee Spaass fir Administrateuren, sou ass et méiglech de Link-lokal manuell ze änneren, seng Längt op e Minimum Wäert reduzéieren. D'Aufgabe soen näischt iwwer wéi eng Adressen ze wielen, also gëtt et hei e fräie Choix.
Zum Beispill, um Schalter SW1 musst Dir d'Link-lokal Adress fe80 :: 10 setzen. Dëst kann mat dem folgenden Kommando aus dem Konfiguratiounsmodus vun der gewielter Interface gemaach ginn:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Elo gesäit d'Adress vill méi attraktiv aus:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Nieft der Link-lokal Adress ass och déi kritt IPv6 Adress geännert, well d'Adress ausgestallt gëtt baséiert op der Link-lokal Adress.
Um Schalter SW1 war et néideg nëmmen eng Link-lokal Adress op engem Interface ze setzen. Mam RTR1 Router musst Dir méi Astellunge maachen - Dir musst Link-Lokal op zwou Subinterfaces setzen, op der Loopback, an an de spéideren Astellungen erschéngt och den Tunnel 100 Interface.
Fir onnéideg Schreiwen vun Kommandoen ze vermeiden, kënnt Dir déi selwecht Link-lokal Adress op all Interfaces gläichzäiteg setzen. Dir kënnt dëst mat engem Schlësselwuert maachen range gefollegt vun der Oplëschtung vun all Interfaces:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Wann Dir d'Interfaces iwwerpréift, gesitt Dir datt d'Link-lokal Adressen op all ausgewielten Interfaces geännert goufen:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
All aner Apparater sinn op eng ähnlech Manéier konfiguréiert
d. Op ALL Schalter, deaktivéiert ALL Ports déi net an der Aarbecht benotzt ginn an iwwerdroen op VLAN 99
D'Basis Iddi ass déiselwecht Manéier fir verschidde Interfaces ze wielen fir de Kommando ze konfiguréieren range, an nëmmen dann sollt Dir Kommandoen schreiwen fir op de gewënschten Vlan ze transferéieren an dann d'Interfaces auszeschalten. Zum Beispill, schalt SW1, no der L1 Topologie, wäert Häfen f0 / 3-4, f0 / 7-8, f0 / 11-24 an g0 / 2 behënnert hunn. Fir dëst Beispill wier d'Astellung wéi follegt:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Wann Dir d'Astellunge mat engem scho bekannte Kommando iwwerpréift, ass et derwäert ze notéieren datt all onbenotzt Ports e Status mussen hunn administrativ erof, wat beweist datt den Hafen deaktivéiert ass:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Fir ze kucken a wéi engem vlan den Hafen ass, kënnt Dir en anere Kommando benotzen:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
All onbenotzt Interfaces sollen hei sinn. Et ass derwäert ze bemierken datt et net méiglech ass Interfaces op vlan ze transferéieren wann esou e vlan net erstallt gouf. Et ass fir dësen Zweck datt am initialen Setup all d'Vlans fir d'Operatioun erstallt goufen.
e. Um Schalter SW1, aktivéiert e Spär fir 1 Minutt wann d'Passwuert zweemol bannent 30 Sekonnen falsch aginn ass
Dir kënnt dat mat dem folgenden Kommando maachen:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Dir kënnt och dës Astellunge wéi follegt kontrolléieren:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Wou kloer erkläert gëtt, datt no zwee Mëssgléckt Versich bannent 30 Sekonnen oder manner, d'Fähigkeit fir sech unzemellen fir 60 Sekonnen gespaart gëtt.
2. All Apparater mussen iwwer SSH Versioun 2 verwaltbar sinn
Fir datt d'Apparater iwwer SSH Versioun 2 zougänglech sinn, ass et néideg fir d'éischt d'Ausrüstung ze konfiguréieren, also fir Informatiounszwecker konfiguréiere mir d'Ausrüstung fir d'éischt mat Fabrécksastellungen.
Dir kënnt d'Puncture Versioun wéi follegt änneren:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
De System freet Iech RSA Schlësselen ze kreéieren fir SSH Versioun 2 ze schaffen. Nom Rot vum Smart System kënnt Dir RSA Schlësselen mat dem folgenden Kommando erstellen:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
De System erlaabt net de Kommando auszeféieren, well den Hostnumm net geännert gouf. Nodeems Dir den Hostnumm geännert hutt, musst Dir de Schlëssel Generatioun Kommando nach eng Kéier schreiwen:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Elo erlaabt de System Iech net RSA Schlësselen ze kreéieren wéinst dem Mangel un engem Domain Numm. An no der Installatioun vum Domain Numm ass et méiglech RSA Schlësselen ze kreéieren. RSA Schlësselen mussen op d'mannst 768 Bit laang sinn fir datt d'SSH Versioun 2 funktionnéiert:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Als Resultat stellt et eraus datt fir SSHv2 ze schaffen et néideg ass:
- Hostnumm änneren;
- Änneren Domain Numm;
- Generéiere RSA Schlësselen.
De fréiere Artikel huet gewisen wéi Dir den Hostnumm an den Domain Numm op all Apparater ännert, also wann Dir weiderhin déi aktuell Apparater konfiguréiert, musst Dir nëmmen RSA Schlësselen generéieren:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH Versioun 2 ass aktiv, awer d'Apparater sinn nach net voll konfiguréiert. De leschte Schrëtt wäert virtuell Konsolen opstellen:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Am virege Artikel gouf den AAA-Modell konfiguréiert, wou d'Authentifikatioun op virtuelle Konsolen mat enger lokaler Datebank gesat gouf, an de Benotzer, no der Authentifikatioun, huet direkt an de privilegiéierte Modus muss goen. Den einfachsten Test vun der SSH Funktionalitéit ass ze probéieren mat Ärem eegenen Ausrüstung ze verbannen. RTR1 huet e Loopback mat IP Adress 1.1.1.1, Dir kënnt probéieren mat dëser Adress ze verbannen:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Nom Schlëssel -l Gitt de Login vum existente Benotzer un, an dann d'Passwuert. No der Authentifikatioun wiesselt de Benotzer direkt op de privilegiéierten Modus, dat heescht datt SSH richteg konfiguréiert ass.
Source: will.com