ProHoster > Dienoraštis > Administravimas > Tinklo modulio WorldSkills užduočių sprendimas „SiSA“ kompetencijoje. 2 dalis – pagrindinė sąranka

Tinklo modulio WorldSkills užduočių sprendimas „SiSA“ kompetencijoje. 2 dalis – pagrindinė sąranka

Toliau analizuojame WorldSkills čempionato Tinklo modulio užduotis „Tinklo ir sistemų administravimo“ kompetencijoje.

Straipsnyje bus aptariamos šios užduotys:

  1. VISUOSE įrenginiuose kurkite virtualias sąsajas, antrines sąsajas ir atgalines sąsajas. Priskirkite IP adresus pagal topologiją.
    • Įgalinti SLAAC mechanizmą išduoti IPv6 adresus MNG tinkle RTR1 maršrutizatoriaus sąsajoje;
    • Virtualiose sąsajose VLAN 100 (MNG) jungikliuose SW1, SW2, SW3 įjunkite IPv6 automatinio konfigūravimo režimą;
    • Visuose įrenginiuose (išskyrus PC1 ir WEB) rankiniu būdu priskirkite nuorodos vietinius adresus;
    • VISUOSE jungikliuose išjunkite VISUS prievadus, kurie nenaudojami atliekant užduotį, ir perkelkite į VLAN 99;
    • Jungiklyje SW1 įjunkite užraktą 1 minutei, jei slaptažodis įvedamas neteisingai du kartus per 30 sekundžių;
  2. Visi įrenginiai turi būti valdomi naudojant 2 SSH versiją.


Tinklo topologija fiziniame lygmenyje pateikta šioje diagramoje:

Tinklo modulio WorldSkills užduočių sprendimas „SiSA“ kompetencijoje. 2 dalis – pagrindinė sąranka

Tinklo topologija duomenų ryšio lygiu pateikta šioje diagramoje:

Tinklo modulio WorldSkills užduočių sprendimas „SiSA“ kompetencijoje. 2 dalis – pagrindinė sąranka

Tinklo topologija tinklo lygiu pateikta šioje diagramoje:

Tinklo modulio WorldSkills užduočių sprendimas „SiSA“ kompetencijoje. 2 dalis – pagrindinė sąranka

išankstinis nustatymas

Prieš atliekant minėtas užduotis, verta nustatyti pagrindinius įjungimo jungiklius SW1-SW3, nes ateityje bus patogiau patikrinti jų nustatymus. Perjungimo sąranka bus išsamiai aprašyta kitame straipsnyje, tačiau kol kas bus apibrėžti tik nustatymai.

Pirmas žingsnis yra sukurti vlans su skaičiais 99, 100 ir 300 visuose jungikliuose:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Kitas žingsnis yra perkelti sąsają g0/1 į SW1 į vlan numerį 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Sąsajos f0/1-2, f0/5-6, nukreiptos į kitus jungiklius, turėtų būti perjungtos į magistralinį režimą:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Ant jungiklio SW2 magistraliniame režime bus sąsajos f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Ant jungiklio SW3 magistraliniame režime bus sąsajos f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Šiame etape jungiklio nustatymai leis keistis pažymėtais paketais, kurių reikia užduotims atlikti.

1. Sukurkite virtualias sąsajas, antrines sąsajas ir atgalines sąsajas VISUOSE įrenginiuose. Priskirkite IP adresus pagal topologiją.

Pirmiausia bus sukonfigūruotas maršrutizatorius BR1. Pagal L3 topologiją čia reikia sukonfigūruoti kilpos tipo sąsają, taip pat žinomą kaip loopback, numeris 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Norėdami patikrinti sukurtos sąsajos būseną, galite naudoti komandą show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Čia galite pamatyti, kad atgalinis ryšys yra aktyvus, jo būsena UP. Jei pažvelgsite žemiau, galite pamatyti du IPv6 adresus, nors IPv6 adresui nustatyti buvo naudojama tik viena komanda. Faktas yra tas FE80::2D0:97FF:FE94:5022 yra nuorodos vietinis adresas, kuris priskiriamas, kai sąsajoje su komanda įgalinamas ipv6 ipv6 enable.

Ir norėdami peržiūrėti IPv4 adresą, naudokite panašią komandą:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Jei naudojate BR1, turėtumėte nedelsdami sukonfigūruoti g0/0 sąsają; čia tereikia nustatyti IPv6 adresą:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Nustatymus galite patikrinti naudodami tą pačią komandą show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Tada bus sukonfigūruotas IPT maršrutizatorius. Čia pagal užduotį bus sukonfigūruotas atgalinis numeris 0, tačiau be to, pageidautina sukonfigūruoti g0/0 sąsają, kurios adresas turėtų būti 30.30.30.1, nes tolimesnėse užduotyse apie tai nieko nebus kalbama. nustatyti šias sąsajas. Pirma, sukonfigūruojamas atgalinis numeris 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

komanda show ipv6 interface brief Galite patikrinti, ar sąsajos nustatymai yra teisingi. Tada sukonfigūruojama sąsaja g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Tada bus sukonfigūruotas RTR1 maršrutizatorius. Čia taip pat reikia sukurti atgalinį numerį 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Taip pat RTR1 reikia sukurti 2 virtualias antrines sąsajas vlanams su numeriais 100 ir 300. Tai galima padaryti taip.

Pirmiausia turite įjungti fizinę sąsają g0/1 su komanda išjungti:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Tada sukuriamos ir sukonfigūruojamos antrinės sąsajos su skaičiais 100 ir 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Antrinės sąsajos numeris gali skirtis nuo VLAN numerio, kuriame jis veiks, tačiau patogumui geriau naudoti antrinės sąsajos numerį, atitinkantį vlan numerį. Jei nustatydami antrinę sąsają nustatėte inkapsuliacijos tipą, turėtumėte nurodyti skaičių, atitinkantį vlan numerį. Taigi po komandos encapsulation dot1Q 300 antrinė sąsaja praeis tik per vlan paketus, kurių numeris 300.

Paskutinis šios užduoties žingsnis bus RTR2 maršrutizatorius. Ryšys tarp SW1 ir RTR2 turi būti prieigos režimu, jungiklio sąsaja į RTR2 perduos tik paketus, skirtus vlan numeriui 300, tai nurodyta L2 topologijos užduotyje. Todėl RTR2 maršrutizatoriuje bus sukonfigūruota tik fizinė sąsaja, nesukuriant antrinių sąsajų:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Tada sukonfigūruojama sąsaja g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Tai užbaigia maršrutizatoriaus sąsajų konfigūraciją dabartinei užduočiai atlikti. Likusios sąsajos bus sukonfigūruotos, kai atliksite toliau nurodytas užduotis.

a. Įgalinkite SLAAC mechanizmą išduoti IPv6 adresus MNG tinkle RTR1 maršrutizatoriaus sąsajoje
SLAAC mechanizmas įjungtas pagal numatytuosius nustatymus. Vienintelis dalykas, kurį jums reikia padaryti, yra įjungti IPv6 maršrutą. Tai galite padaryti naudodami šią komandą:

RTR1(config-subif)#ipv6 unicast-routing

Be šios komandos įranga veikia kaip pagrindinis kompiuteris. Kitaip tariant, dėl aukščiau pateiktos komandos atsiranda galimybė naudoti papildomas ipv6 funkcijas, įskaitant ipv6 adresų išdavimą, maršruto parinkimo nustatymą ir kt.

b. Virtualiose VLAN 100 (MNG) sąsajose ant jungiklių SW1, SW2, SW3 įjunkite IPv6 automatinio konfigūravimo režimą
Iš L3 topologijos aišku, kad komutatoriai yra prijungti prie VLAN 100. Tai reiškia, kad ant komutatorių reikia sukurti virtualias sąsajas, o tik tada priskirti jiems IPv6 adresų gavimą pagal nutylėjimą. Pradinė konfigūracija buvo atlikta būtent taip, kad jungikliai galėtų gauti numatytuosius adresus iš RTR1. Šią užduotį galite atlikti naudodami šį komandų sąrašą, tinkantį visiems trims jungikliams:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Viską galite patikrinti su ta pačia komanda show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Be nuorodos vietinio adreso, pasirodė IPv6 adresas, gautas iš RTR1. Ši užduotis sėkmingai atlikta, o likusiuose jungikliuose turi būti parašytos tos pačios komandos.

Su. Visuose įrenginiuose (išskyrus PC1 ir WEB) rankiniu būdu priskirkite nuorodos vietinius adresus
Trisdešimties skaitmenų IPv6 adresai nėra įdomus administratoriams, todėl galima rankiniu būdu pakeisti saitą-local, sumažinant jo ilgį iki minimalios reikšmės. Užduotyse nieko nesakoma, kokius adresus pasirinkti, todėl čia pateikiamas laisvas pasirinkimas.

Pavyzdžiui, jungiklyje SW1 reikia nustatyti nuorodos vietinį adresą fe80::10. Tai galima padaryti naudojant šią komandą iš pasirinktos sąsajos konfigūracijos režimo:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Dabar kreipimasis atrodo daug patrauklesnis:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Be nuorodos vietinio adreso, pasikeitė ir gautas IPv6 adresas, nes adresas išduodamas pagal nuorodos vietinį adresą.

SW1 jungiklyje vienoje sąsajoje reikėjo nustatyti tik vieną nuorodos-vietinį adresą. Naudojant RTR1 maršrutizatorių, reikia atlikti daugiau nustatymų - reikia nustatyti link-local dviejose antrinėse sąsajose, atgaliniame procese, o vėlesniuose nustatymuose taip pat pasirodys tunelio 100 sąsaja.

Kad nereikėtų rašyti komandų, visose sąsajose vienu metu galite nustatyti tą patį nuorodos-vietinį adresą. Tai galite padaryti naudodami raktinį žodį range po to pateikiamas visų sąsajų sąrašas:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Tikrindami sąsajas pamatysite, kad nuorodų vietiniai adresai buvo pakeisti visose pasirinktose sąsajose:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Visi kiti įrenginiai sukonfigūruoti panašiai

d. Visuose jungikliuose išjunkite VISUS prievadus, kurie nenaudojami atliekant darbą, ir perkelkite į VLAN 99
Pagrindinė idėja yra tas pats būdas pasirinkti kelias sąsajas, kurias reikia konfigūruoti naudojant komandą range, ir tik tada reikėtų parašyti komandas, kad perkeltumėte į norimą vlan ir tada išjungti sąsajas. Pavyzdžiui, jungiklis SW1 pagal L1 topologiją turės prievadus f0/3-4, f0/7-8, f0/11-24 ir g0/2. Šiame pavyzdyje nustatymas būtų toks:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Tikrinant nustatymus su jau žinoma komanda, verta atkreipti dėmesį į tai, kad visi nenaudojami prievadai turi turėti būseną administracine tvarka, nurodant, kad prievadas išjungtas:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Norėdami pamatyti, kuriame vlan yra prievadas, galite naudoti kitą komandą:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Čia turėtų būti visos nenaudojamos sąsajos. Verta pažymėti, kad nebus galima perkelti sąsajų į vlan, jei toks vlan nebuvo sukurtas. Būtent šiuo tikslu pradinėje sąrankoje buvo sukurti visi darbui reikalingi vlanai.

e. Jungiklyje SW1 įjunkite užraktą 1 minutei, jei slaptažodis įvedamas neteisingai du kartus per 30 sekundžių
Tai galite padaryti naudodami šią komandą:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Šiuos nustatymus taip pat galite patikrinti taip:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Kur aiškiai paaiškinama, kad po dviejų nesėkmingų bandymų per 30 sekundžių ar mažiau, galimybė prisijungti bus užblokuota 60 sekundžių.

2. Visi įrenginiai turi būti valdomi naudojant 2 SSH versiją

Kad įrenginiai būtų pasiekiami per SSH 2 versiją, pirmiausia būtina sukonfigūruoti įrangą, todėl informaciniais tikslais pirmiausia sukonfigūruosime įrangą su gamykliniais nustatymais.

Galite pakeisti punkcijos versiją taip:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistema prašo sukurti RSA raktus, kad SSH versija veiktų 2. Vadovaudamiesi išmaniosios sistemos patarimu, galite sukurti RSA raktus naudodami šią komandą:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Sistema neleidžia vykdyti komandos, nes kompiuterio pavadinimas nebuvo pakeistas. Pakeitę pagrindinio kompiuterio pavadinimą, turite dar kartą parašyti rakto generavimo komandą:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Dabar sistema neleidžia kurti RSA raktų, nes trūksta domeno vardo. O įdiegus domeno vardą bus galima susikurti RSA raktus. Kad SSH 768 versija veiktų, RSA raktai turi būti bent 2 bitų ilgio:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Dėl to paaiškėja, kad norint, kad SSHv2 veiktų, būtina:

  1. Keisti pagrindinio kompiuterio pavadinimą;
  2. Keisti domeno vardą;
  3. Sukurkite RSA raktus.

Ankstesniame straipsnyje buvo parodyta, kaip pakeisti pagrindinio kompiuterio pavadinimą ir domeno pavadinimą visuose įrenginiuose, taigi, konfigūruojant dabartinius įrenginius, jums tereikia sugeneruoti RSA raktus:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH 2 versija yra aktyvi, tačiau įrenginiai dar nėra visiškai sukonfigūruoti. Paskutinis žingsnis bus virtualių pultų nustatymas:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Ankstesniame straipsnyje buvo sukonfigūruotas AAA modelis, kai autentifikavimas buvo nustatytas virtualiose konsolėse naudojant vietinę duomenų bazę, o vartotojas po autentifikavimo turėjo iš karto pereiti į privilegijuotą režimą. Paprasčiausias SSH funkcionalumo testas – bandyti prisijungti prie savo įrangos. RTR1 turi atgalinį ryšį su IP adresu 1.1.1.1, galite pabandyti prisijungti prie šio adreso:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Po rakto -l Įveskite esamo vartotojo prisijungimo vardą, tada slaptažodį. Po autentifikavimo vartotojas iš karto persijungia į privilegijuotą režimą, o tai reiškia, kad SSH sukonfigūruotas teisingai.

Šaltinis: www.habr.com

Добавить комментарий