ProHoster > Blogs > Administrācija > Tīkla moduļa WorldSkills uzdevumu risināšana SiSA kompetencē. 2. daļa — pamata iestatīšana

Tīkla moduļa WorldSkills uzdevumu risināšana SiSA kompetencē. 2. daļa — pamata iestatīšana

Turpinām analizēt WorldSkills čempionāta Tīkla moduļa uzdevumus kompetencē “Tīklu un sistēmu administrēšana”.

Rakstā tiks apskatīti šādi uzdevumi:

  1. VISĀS ierīcēs izveidojiet virtuālās saskarnes, apakšinterfeisus un cilpas saskarnes. Piešķiriet IP adreses atbilstoši topoloģijai.
    • Iespējot SLAAC mehānismu IPv6 adrešu izsniegšanai MNG tīklā RTR1 maršrutētāja saskarnē;
    • Virtuālajās saskarnēs VLAN 100 (MNG) uz slēdžiem SW1, SW2, SW3 iespējojiet IPv6 automātiskās konfigurācijas režīmu;
    • VISĀS ierīcēs (izņemot PC1 un WEB) manuāli piešķiriet saites vietējās adreses;
    • VISOS slēdžos atspējojiet VISUS uzdevumā neizmantotos portus un pārsūtiet uz VLAN 99;
    • Slēdžā SW1 iespējojiet bloķēšanu uz 1 minūti, ja 30 sekunžu laikā divreiz ievadāt nepareizu paroli;
  2. Visām ierīcēm jābūt pārvaldāmām, izmantojot SSH 2. versiju.


Tīkla topoloģija fiziskajā slānī ir parādīta šādā diagrammā:

Tīkla moduļa WorldSkills uzdevumu risināšana SiSA kompetencē. 2. daļa — pamata iestatīšana

Tīkla topoloģija datu posma līmenī ir parādīta šādā diagrammā:

Tīkla moduļa WorldSkills uzdevumu risināšana SiSA kompetencē. 2. daļa — pamata iestatīšana

Tīkla topoloģija tīkla līmenī ir parādīta šādā diagrammā:

Tīkla moduļa WorldSkills uzdevumu risināšana SiSA kompetencē. 2. daļa — pamata iestatīšana

priekšiestatījums

Pirms iepriekš minēto uzdevumu veikšanas ir vērts iestatīt pamata ieslēgšanas slēdžus SW1-SW3, jo turpmāk būs ērtāk pārbaudīt to iestatījumus. Pārslēgšanas iestatīšana tiks detalizēti aprakstīta nākamajā rakstā, taču pagaidām tiks definēti tikai iestatījumi.

Pirmais solis ir izveidot vlans ar numuriem 99, 100 un 300 uz visiem slēdžiem:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Nākamais solis ir pārsūtīt interfeisu g0/1 uz SW1 uz vlan numuru 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Saskarnes f0/1-2, f0/5-6, kas vērstas uz citiem slēdžiem, jāpārslēdz maģistrāles režīmā:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Uz slēdža SW2 maģistrāles režīmā būs saskarnes f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Uz slēdža SW3 maģistrāles režīmā būs saskarnes f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Šajā posmā slēdža iestatījumi ļaus apmainīties ar marķētām paketēm, kas ir nepieciešamas uzdevumu izpildei.

1. Izveidojiet virtuālās saskarnes, apakšinterfeisus un atgriezeniskās saites saskarnes VISĀS ierīcēs. Piešķiriet IP adreses atbilstoši topoloģijai.

Vispirms tiks konfigurēts maršrutētājs BR1. Saskaņā ar L3 topoloģiju šeit ir jākonfigurē cilpas tipa saskarne, kas pazīstama arī kā atgriezeniskā cilpa, numurs 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Lai pārbaudītu izveidotā interfeisa statusu, varat izmantot komandu show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Šeit jūs varat redzēt, ka cilpa ir aktīva, tā stāvoklis UP. Ja skatāties tālāk, varat redzēt divas IPv6 adreses, lai gan IPv6 adreses iestatīšanai tika izmantota tikai viena komanda. Fakts ir tāds FE80::2D0:97FF:FE94:5022 ir saites vietējā adrese, kas tiek piešķirta, kad interfeisā ar komandu ir iespējots ipv6 ipv6 enable.

Un, lai skatītu IPv4 adresi, izmantojiet līdzīgu komandu:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1 jums nekavējoties jākonfigurē g0/0 saskarne; šeit jums vienkārši jāiestata IPv6 adrese:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Jūs varat pārbaudīt iestatījumus ar to pašu komandu show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Pēc tam tiks konfigurēts ISP maršrutētājs. Šeit atbilstoši uzdevumam tiks konfigurēts cilpas numurs 0, bet papildus tam vēlams konfigurēt g0/0 saskarni, kurai jābūt adresei 30.30.30.1, jo turpmākajos uzdevumos par to nekas netiks teikts. šo saskarņu iestatīšana. Pirmkārt, tiek konfigurēts atgriezeniskās saites numurs 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

komanda show ipv6 interface brief Varat pārbaudīt, vai interfeisa iestatījumi ir pareizi. Pēc tam interfeiss g0/0 tiek konfigurēts:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Pēc tam tiks konfigurēts RTR1 maršrutētājs. Šeit jums arī jāizveido cilpas numurs 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Arī uz RTR1 ir jāizveido 2 virtuālās apakšsaskarnes vlaniem ar numuriem 100 un 300. To var izdarīt šādi.

Pirmkārt, jums ir jāiespējo fiziskais interfeiss g0/1 ar komandu bez izslēgšanas:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Pēc tam tiek izveidotas un konfigurētas apakšsaskarnes ar numuriem 100 un 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Apakšinterfeisa numurs var atšķirties no vlan numura, kurā tas darbosies, taču ērtības labad labāk izmantot apakšinterfeisa numuru, kas atbilst vlan numuram. Ja, iestatot apakšinterfeisu, iestatāt iekapsulēšanas veidu, jums jānorāda numurs, kas atbilst vlan numuram. Tātad pēc komandas encapsulation dot1Q 300 apakšinterfeiss izies tikai caur vlan paketēm ar numuru 300.

Pēdējais solis šajā uzdevumā būs RTR2 maršrutētājs. Savienojumam starp SW1 un RTR2 ir jābūt piekļuves režīmā, slēdža interfeiss virzīs uz RTR2 tikai paketes, kas paredzētas vlan numuram 300, tas ir norādīts uzdevumā par L2 topoloģiju. Tāpēc RTR2 maršrutētājā tiks konfigurēts tikai fiziskais interfeiss, neveidojot apakšinterfeisus:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Pēc tam interfeiss g0/0 tiek konfigurēts:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Tas pabeidz maršrutētāja saskarņu konfigurēšanu pašreizējam uzdevumam. Atlikušās saskarnes tiks konfigurētas, izpildot tālāk norādītos uzdevumus.

a. Iespējojiet SLAAC mehānismu, lai RTR6 maršrutētāja saskarnē izdotu IPv1 adreses MNG tīklā
SLAAC mehānisms ir iespējots pēc noklusējuma. Vienīgais, kas jums jādara, ir jāiespējo IPv6 maršrutēšana. To var izdarīt ar šādu komandu:

RTR1(config-subif)#ipv6 unicast-routing

Bez šīs komandas iekārta darbojas kā saimniekdators. Citiem vārdiem sakot, pateicoties iepriekšminētajai komandai, kļūst iespējams izmantot papildu ipv6 funkcijas, tostarp ipv6 adrešu izsniegšanu, maršrutēšanas iestatīšanu utt.

b. Virtuālajās saskarnēs VLAN 100 (MNG) uz slēdžiem SW1, SW2, SW3 iespējojiet IPv6 automātiskās konfigurācijas režīmu
No L3 topoloģijas ir skaidrs, ka slēdži ir savienoti ar VLAN 100. Tas nozīmē, ka uz slēdžiem ir jāizveido virtuālās saskarnes, un tikai pēc tam jāpiešķir tiem IPv6 adrešu saņemšanai pēc noklusējuma. Sākotnējā konfigurācija tika veikta precīzi, lai slēdži varētu saņemt noklusējuma adreses no RTR1. Varat pabeigt šo uzdevumu, izmantojot šo komandu sarakstu, kas piemērots visiem trim slēdžiem:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Visu var pārbaudīt ar to pašu komandu show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Papildus saites vietējai adresei parādījās ipv6 adrese, kas saņemta no RTR1. Šis uzdevums ir veiksmīgi izpildīts, un tās pašas komandas ir jāraksta uz atlikušajiem slēdžiem.

Ar. VISĀS ierīcēs (izņemot PC1 un WEB) manuāli piešķiriet saites vietējās adreses
Trīsdesmit ciparu IPv6 adreses administratoriem nesagādā prieku, tāpēc ir iespējams manuāli mainīt saiti-local, samazinot tās garumu līdz minimālajai vērtībai. Uzdevumos nekas nav teikts par to, kuras adreses izvēlēties, tāpēc šeit ir paredzēta brīva izvēle.

Piemēram, slēdzim SW1 ir jāiestata saites vietējā adrese fe80::10. To var izdarīt ar šādu komandu no atlasītā interfeisa konfigurācijas režīma:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Tagad uzrunāšana izskatās daudz pievilcīgāka:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Papildus saites vietējai adresei ir mainījusies arī saņemtā IPv6 adrese, jo adrese tiek izsniegta, pamatojoties uz saites lokālo adresi.

Uz slēdža SW1 vienā interfeisā bija jāiestata tikai viena saite-lokālā adrese. Izmantojot RTR1 maršrutētāju, jums ir jāveic vairāk iestatījumu - jums ir jāiestata saite-local divās apakšsaskarnēs, atpakaļcilpā, un turpmākajos iestatījumos parādīsies arī tuneļa 100 interfeiss.

Lai izvairītos no nevajadzīgas komandu rakstīšanas, varat iestatīt vienu un to pašu saites-lokālo adresi visās saskarnēs vienlaikus. To var izdarīt, izmantojot atslēgvārdu range kam seko visu saskarņu uzskaitījums:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Pārbaudot saskarnes, jūs redzēsiet, ka saišu vietējās adreses ir mainītas visās atlasītajās saskarnēs:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Visas pārējās ierīces ir konfigurētas līdzīgi

d. VISOS slēdžos atspējojiet VISUS portus, kas netiek izmantoti darbā, un pārsūtiet uz VLAN 99
Pamatideja ir tāda pati, kā atlasīt vairākas saskarnes, kuras konfigurēt, izmantojot komandu range, un tikai tad jāraksta komandas, lai pārsūtītu uz vajadzīgo vlan un pēc tam jāizslēdz saskarnes. Piemēram, slēdžam SW1 saskaņā ar L1 topoloģiju būs atspējoti porti f0/3-4, f0/7-8, f0/11-24 un g0/2. Šajā piemērā iestatījums būtu šāds:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Pārbaudot iestatījumus ar jau zināmu komandu, ir vērts atzīmēt, ka visiem neizmantotajiem portiem ir jābūt statusam administratīvi uz leju, norādot, ka ports ir atspējots:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Lai redzētu, kurā vlan ports atrodas, varat izmantot citu komandu:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Visām neizmantotajām saskarnēm jābūt šeit. Ir vērts atzīmēt, ka nebūs iespējams pārsūtīt saskarnes uz vlan, ja šāds vlan nav izveidots. Tieši šim nolūkam sākotnējā iestatījumā tika izveidoti visi darbībai nepieciešamie vlans.

e. Slēdžā SW1 iespējojiet bloķēšanu uz 1 minūti, ja parole ir ievadīta nepareizi divreiz 30 sekunžu laikā
To var izdarīt ar šādu komandu:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Varat arī pārbaudīt šos iestatījumus šādi:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Ja ir skaidri paskaidrots, ka pēc diviem neveiksmīgiem mēģinājumiem 30 sekunžu laikā vai ātrāk, iespēja pieteikties tiks bloķēta uz 60 sekundēm.

2. Visām ierīcēm ir jābūt pārvaldāmām, izmantojot SSH 2. versiju

Lai ierīces būtu pieejamas caur SSH 2. versiju, vispirms ir nepieciešams konfigurēt iekārtas, tāpēc informatīvos nolūkos vispirms konfigurēsim iekārtas ar rūpnīcas iestatījumiem.

Jūs varat mainīt punkcijas versiju šādi:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistēma lūdz izveidot RSA atslēgas, lai darbotos SSH versija 2. Sekojot viedās sistēmas ieteikumam, RSA atslēgas var izveidot ar šādu komandu:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Sistēma neļauj izpildīt komandu, jo resursdatora nosaukums nav mainīts. Pēc saimniekdatora nosaukuma maiņas vēlreiz jāieraksta atslēgas ģenerēšanas komanda:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Tagad sistēma neļauj izveidot RSA atslēgas domēna nosaukuma trūkuma dēļ. Un pēc domēna vārda instalēšanas būs iespējams izveidot RSA atslēgas. Lai SSH 768. versija darbotos, RSA atslēgām ir jābūt vismaz 2 bitu garām.

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Rezultātā izrādās, ka, lai SSHv2 darbotos, ir nepieciešams:

  1. Mainīt resursdatora nosaukumu;
  2. Mainīt domēna nosaukumu;
  3. Ģenerējiet RSA atslēgas.

Iepriekšējā rakstā tika parādīts, kā mainīt resursdatora nosaukumu un domēna nosaukumu visās ierīcēs, tāpēc, turpinot konfigurēt pašreizējās ierīces, jums ir jāģenerē tikai RSA atslēgas:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH 2. versija ir aktīva, taču ierīces vēl nav pilnībā konfigurētas. Pēdējais solis būs virtuālo konsoļu iestatīšana:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Iepriekšējā rakstā tika konfigurēts AAA modelis, kur autentifikācija tika iestatīta uz virtuālajām konsolēm, izmantojot lokālo datu bāzi, un lietotājam pēc autentifikācijas bija nekavējoties jāiet priviliģētajā režīmā. Vienkāršākais SSH funkcionalitātes tests ir mēģināt izveidot savienojumu ar savu aprīkojumu. RTR1 ir atgriezeniskā saite ar IP adresi 1.1.1.1, varat mēģināt izveidot savienojumu ar šo adresi:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Pēc atslēgas -l Ievadiet esošā lietotāja pieteikumvārdu un pēc tam paroli. Pēc autentifikācijas lietotājs nekavējoties pārslēdzas uz priviliģēto režīmu, kas nozīmē, ka SSH ir pareizi konfigurēts.

Avots: www.habr.com

Pievieno komentāru