Бид "Сүлжээ ба системийн удирдлага" ур чадварын WorldSkills аварга шалгаруулах тэмцээний Сүлжээний модулийн даалгаварт дүн шинжилгээ хийсээр байна.
Нийтлэлд дараахь ажлуудыг багтаана.
- БҮХ төхөөрөмж дээр виртуал интерфэйс, дэд интерфэйс болон давталтын интерфэйсийг үүсгээрэй. Топологийн дагуу IP хаягийг оноох.
- RTR6 чиглүүлэгчийн интерфейс дээр MNG сүлжээнд IPv1 хаягийг гаргах SLAAC механизмыг идэвхжүүлэх;
- SW100, SW1, SW2 свич дээрх VLAN 3 (MNG) дахь виртуал интерфейс дээр IPv6 автомат тохиргооны горимыг идэвхжүүлнэ;
- БҮХ төхөөрөмжид (PC1 болон WEB-ээс бусад) холбоосын локал хаягийг гараар зааж өгөх;
- БҮХ свич дээр даалгаварт ашиглагдаагүй БҮХ портуудыг идэвхгүй болгож, VLAN 99 руу шилжүүлэх;
- SW1 шилжүүлэгч дээр 1 секундын дотор нууц үгийг хоёр удаа буруу оруулсан тохиолдолд түгжээг 30 минутын турш идэвхжүүлнэ;
- Бүх төхөөрөмжийг SSH хувилбар 2-оор удирдах боломжтой байх ёстой.
Физик түвшний сүлжээний топологийг дараах диаграммд үзүүлэв.
Өгөгдлийн холбоосын түвшний сүлжээний топологийг дараах диаграммд үзүүлэв.
Сүлжээний түвшний сүлжээний топологийг дараах диаграммд үзүүлэв.
урьдчилан тохируулах
Дээрх даалгавруудыг гүйцэтгэхийн өмнө SW1-SW3 унтраалга асаах үндсэн тохиргоог хийх нь зүйтэй, учир нь ирээдүйд тэдгээрийн тохиргоог шалгах нь илүү тохиромжтой байх болно. Шилжүүлэгчийн тохиргоог дараагийн өгүүллээр дэлгэрэнгүй тайлбарлах болно, гэхдээ одоогоор зөвхөн тохиргоог тодорхойлох болно.
Эхний алхам бол бүх унтраалга дээр 99, 100, 300 дугаартай vlan үүсгэх явдал юм.
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Дараагийн алхам бол g0/1 интерфэйсийг SW1-ээс vlan дугаар 300 руу шилжүүлэх явдал юм.
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Бусад унтраалгатай тулгардаг f0/1-2, f0/5-6 интерфэйсүүдийг trunk горимд шилжүүлэх шаардлагатай.
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Trunk горимд байгаа SW2 шилжүүлэгч дээр f0/1-4 интерфэйсүүд байх болно:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Trunk горимд байгаа SW3 шилжүүлэгч дээр f0/3-6, g0/1 интерфэйсүүд байх болно:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Энэ үе шатанд шилжүүлэгчийн тохиргоо нь даалгавруудыг гүйцэтгэхэд шаардлагатай шошготой пакетуудыг солилцох боломжийг олгоно.
1. БҮХ төхөөрөмж дээр виртуал интерфейс, дэд интерфэйс, давталтын интерфэйс үүсгэх. Топологийн дагуу IP хаягийг оноох.
BR1 чиглүүлэгчийг эхлээд тохируулна. L3 топологийн дагуу энд та 101 дугаартай давталтын төрлийн интерфэйсийг тохируулах хэрэгтэй.
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Үүсгэсэн интерфейсийн статусыг шалгахын тулд та тушаалыг ашиглаж болно show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Эндээс та давталт идэвхтэй байгааг харж болно, түүний төлөв UP. Хэрэв та доороос харвал IPv6 хаягийг тохируулахын тулд зөвхөн нэг тушаалыг ашигласан боловч хоёр IPv6 хаягийг харж болно. Бодит байдал ийм л байна FE80::2D0:97FF:FE94:5022 командтай интерфэйс дээр ipv6-г идэвхжүүлсэн үед оноогдсон холбоосын локал хаяг юм ipv6 enable.
Мөн IPv4 хаягийг үзэхийн тулд ижил төстэй тушаалыг ашиглана уу:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1-ийн хувьд та g0/0 интерфэйсийг нэн даруй тохируулах хэрэгтэй; энд та зөвхөн IPv6 хаягийг тохируулах хэрэгтэй:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Та ижил тушаалаар тохиргоог шалгаж болно show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Дараа нь ISP чиглүүлэгчийг тохируулах болно. Энд даалгаврын дагуу 0-р давталтын дугаарыг тохируулах болно, гэхдээ үүнээс гадна 0 хаягтай байх ёстой g0/30.30.30.1 интерфэйсийг тохируулах нь зүйтэй бөгөөд учир нь дараагийн ажлуудад юу ч хэлэхгүй. Эдгээр интерфейсийг тохируулах. Нэгдүгээрт, давталтын дугаар 0 тохируулагдсан:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
баг show ipv6 interface brief Та интерфэйсийн тохиргоо зөв эсэхийг шалгаж болно. Дараа нь g0/0 интерфэйсийг тохируулна:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Дараа нь RTR1 чиглүүлэгчийг тохируулах болно. Энд та мөн 100-р давталтын дугаар үүсгэх хэрэгтэй:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Мөн RTR1 дээр 2 ба 100 дугаартай vlan-д зориулсан 300 виртуал дэд интерфэйс үүсгэх шаардлагатай. Үүнийг дараах байдлаар хийж болно.
Эхлээд та g0/1 физик интерфэйсийг унтраахгүй командыг идэвхжүүлэх хэрэгтэй:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Дараа нь 100 ба 300 тоотой дэд интерфэйсүүдийг үүсгэж тохируулна.
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Дэд интерфейсийн дугаар нь ажиллах vlan дугаараас ялгаатай байж болох ч тав тухтай байлгах үүднээс vlan дугаартай тохирох дэд интерфэйсийн дугаарыг ашиглах нь дээр. Хэрэв та дэд интерфэйсийг тохируулахдаа капсулын төрлийг тохируулсан бол vlan дугаартай тохирох тоог зааж өгөх хэрэгтэй. Тиймээс тушаалын дараа encapsulation dot1Q 300 дэд интерфэйс нь зөвхөн 300 дугаартай vlan пакетуудаар дамжих болно.
Энэ ажлын эцсийн алхам бол RTR2 чиглүүлэгч байх болно. SW1 ба RTR2 хоорондын холболт нь хандалтын горимд байх ёстой, шилжүүлэгчийн интерфейс нь зөвхөн 2 vlan дугаарт зориулагдсан пакетууд RTR300 руу шилжих болно, үүнийг L2 топологийн даалгаварт дурдсан болно. Тиймээс RTR2 чиглүүлэгч дээр дэд интерфэйс үүсгэхгүйгээр зөвхөн физик интерфэйсийг тохируулах болно.
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Дараа нь g0/0 интерфэйсийг тохируулна:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Энэ нь одоогийн даалгаврын чиглүүлэгчийн интерфейсийн тохиргоог хийж дуусгана. Таныг дараах даалгавруудыг гүйцэтгэх үед үлдсэн интерфэйсүүд тохируулагдах болно.
а. RTR6 чиглүүлэгчийн интерфейс дээр MNG сүлжээнд IPv1 хаягийг гаргах SLAAC механизмыг идэвхжүүлнэ
SLAAC механизм нь анхдагчаар идэвхжсэн байна. Таны хийх ёстой цорын ганц зүйл бол IPv6 чиглүүлэлтийг идэвхжүүлэх явдал юм. Та үүнийг дараах тушаалаар хийж болно.
RTR1(config-subif)#ipv6 unicast-routing
Энэ командгүйгээр төхөөрөмж нь хостын үүрэг гүйцэтгэдэг. Өөрөөр хэлбэл, дээрх тушаалын ачаар ipv6 хаягийг гаргах, чиглүүлэлт тохируулах гэх мэт нэмэлт ipv6 функцуудыг ашиглах боломжтой болсон.
б. SW100, SW1, SW2 унтраалга дээрх VLAN 3 (MNG) дахь виртуал интерфэйсүүд дээр IPv6 автомат тохиргооны горимыг идэвхжүүлнэ.
L3 топологиас харахад свичүүд нь VLAN 100-д холбогдсон нь тодорхой байна. Энэ нь унтраалга дээр виртуал интерфейс үүсгэх шаардлагатай бөгөөд зөвхөн дараа нь IPv6 хаягийг анхдагчаар хүлээн авахын тулд тэдгээрийг хуваарилах шаардлагатай гэсэн үг юм. Шилжүүлэгчид RTR1-ээс анхдагч хаягийг хүлээн авах боломжтой байхын тулд анхны тохиргоог нарийн хийсэн. Та энэ даалгаврыг бүх гурван шилжүүлэгчид тохирох дараах тушаалуудын жагсаалтыг ашиглан гүйцэтгэж болно.
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Та ижил тушаалаар бүгдийг шалгаж болно show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Холбоос-локал хаягаас гадна RTR6-ээс хүлээн авсан ipv1 хаяг гарч ирэв. Энэ даалгавар амжилттай хийгдсэн бөгөөд үлдсэн шилжүүлэгч дээр ижил тушаалуудыг бичих ёстой.
-тай. БҮХ төхөөрөмжид (PC1 болон WEB-ээс бусад) холбоосын локал хаягийг гараар зааж өгнө
Гучин оронтой IPv6 хаягууд нь администраторуудын хувьд тийм ч таатай биш тул локал холбоосыг гараар өөрчлөх боломжтой бөгөөд уртыг хамгийн бага утга хүртэл багасгаж болно. Даалгаврууд нь аль хаягийг сонгох талаар юу ч заагаагүй тул энд чөлөөтэй сонголт хийх боломжтой.
Жишээлбэл, SW1 шилжүүлэгч дээр та fe80::10 холбоосын локал хаягийг тохируулах хэрэгтэй. Үүнийг сонгосон интерфейсийн тохиргооны горимоос дараах тушаалаар хийж болно.
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Одоо хаяглах нь илүү сонирхолтой харагдаж байна:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Холбоос-локал хаягаас гадна хүлээн авсан IPv6 хаяг нь мөн өөрчлөгдсөн, учир нь энэ хаяг нь локал холбоосын хаяг дээр тулгуурладаг.
SW1 шилжүүлэгч дээр нэг интерфейс дээр зөвхөн нэг холбоос-локал хаягийг тохируулах шаардлагатай байв. RTR1 чиглүүлэгчийн тусламжтайгаар та нэмэлт тохиргоог хийх хэрэгтэй - та хоёр дэд интерфэйс, давталт дээр локал холбоосыг тохируулах хэрэгтэй бөгөөд дараагийн тохиргоонд туннелийн 100 интерфейс гарч ирнэ.
Шаардлагагүй команд бичихээс зайлсхийхийн тулд та бүх интерфейс дээр ижил холбоосын локал хаягийг нэг дор тохируулж болно. Та үүнийг түлхүүр үг ашиглан хийж болно range Дараа нь бүх интерфейсийг жагсаана:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Интерфейсүүдийг шалгахдаа сонгосон бүх интерфейс дээр локал холбоосын хаягууд өөрчлөгдсөнийг харах болно.
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Бусад бүх төхөөрөмжүүд ижил төстэй байдлаар тохируулагдсан байдаг
г. БҮХ свич дээр ажилдаа ашиглагдаагүй БҮХ портуудыг идэвхгүй болгож, VLAN 99 руу шилжүүлнэ үү
Үндсэн санаа нь тушаалыг ашиглан тохируулах олон интерфейсийг сонгохтой ижил арга юм range, зөвхөн дараа нь та хүссэн vlan руу шилжүүлэх командуудыг бичиж, интерфэйсүүдийг унтраах хэрэгтэй. Жишээлбэл, L1 топологийн дагуу SW1 шилжүүлэгч нь f0/3-4, f0/7-8, f0/11-24, g0/2 портуудыг идэвхгүй болгоно. Энэ жишээний хувьд тохиргоо дараах байдалтай байна.
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Тохиргоог аль хэдийн мэдэгдэж байсан тушаалаар шалгахдаа ашиглагдаагүй бүх портууд статустай байх ёстой гэдгийг тэмдэглэх нь зүйтэй. захиргааны хувьд доошилсон, порт идэвхгүй байгааг харуулж байна:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Порт аль vlan-д байгааг харахын тулд та өөр командыг ашиглаж болно:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Бүх ашиглагдаагүй интерфэйсүүд энд байх ёстой. Хэрэв ийм vlan үүсгээгүй бол интерфэйсүүдийг vlan руу шилжүүлэх боломжгүй гэдгийг тэмдэглэх нь зүйтэй. Энэ зорилгоор эхний тохиргоонд ажиллахад шаардлагатай бүх vlan-уудыг бий болгосон.
д. SW1 шилжүүлэгч дээр 1 секундын дотор нууц үгийг хоёр удаа буруу оруулсан тохиолдолд түгжээг 30 минутын турш идэвхжүүлнэ үү.
Та үүнийг дараах тушаалаар хийж болно.
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Та мөн эдгээр тохиргоог дараах байдлаар шалгаж болно.
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
30 секунд ба түүнээс бага хугацаанд хоёр удаа амжилтгүй оролдлого хийсний дараа нэвтрэх эрхийг 60 секундын турш хаах болно гэдгийг тодорхой тайлбарласан бол.
2. Бүх төхөөрөмжүүдийг SSH хувилбар 2-оор удирдах боломжтой байх ёстой
Төхөөрөмжүүдийг SSH хувилбар 2-оор дамжуулан ашиглах боломжтой болгохын тулд эхлээд тоног төхөөрөмжийг тохируулах шаардлагатай тул мэдээллийн зорилгоор бид эхлээд үйлдвэрийн тохиргоог хийх болно.
Та цоолох хувилбарыг дараах байдлаар өөрчилж болно.
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Систем танаас SSH хувилбар 2-д ажиллахын тулд RSA түлхүүрүүдийг үүсгэхийг хүсч байна. Ухаалаг системийн зөвлөмжийг дагаж та дараах тушаалаар RSA түлхүүр үүсгэж болно.
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Систем нь хостын нэрийг өөрчлөөгүй тул тушаалыг гүйцэтгэхийг зөвшөөрдөггүй. Хост нэрийг өөрчилсний дараа та түлхүүр үүсгэх командыг дахин бичих хэрэгтэй.
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Одоо систем нь домэйн нэр байхгүйн улмаас RSA түлхүүр үүсгэхийг зөвшөөрдөггүй. Мөн домэйн нэрийг суулгасны дараа RSA түлхүүрүүдийг үүсгэх боломжтой болно. SSH хувилбар 768 ажиллахын тулд RSA түлхүүрүүд дор хаяж 2 бит урттай байх ёстой:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Үүний үр дүнд SSHv2 ажиллахын тулд дараахь зүйлийг хийх шаардлагатай байна.
- Хост нэрийг өөрчлөх;
- Домэйн нэрийг өөрчлөх;
- RSA түлхүүрүүдийг үүсгэх.
Өмнөх нийтлэлд бүх төхөөрөмж дээрх хостын нэр болон домэйн нэрийг хэрхэн өөрчлөхийг харуулсан тул одоогийн төхөөрөмжүүдийг үргэлжлүүлэн тохируулахын тулд та зөвхөн RSA түлхүүрүүдийг үүсгэх хэрэгтэй:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH хувилбар 2 идэвхтэй байгаа ч төхөөрөмжүүд хараахан бүрэн тохируулагдаагүй байна. Эцсийн алхам бол виртуал консолыг тохируулах явдал юм.
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Өмнөх нийтлэлд AAA загварыг тохируулсан бөгөөд локал мэдээллийн бааз ашиглан баталгаажуулалтыг виртуал консол дээр тохируулсан бөгөөд баталгаажуулсны дараа хэрэглэгч нэн даруй давуу эрхтэй горимд шилжих шаардлагатай болсон. SSH функцийг шалгах хамгийн энгийн тест бол өөрийн төхөөрөмжид холбогдохыг оролдох явдал юм. RTR1 нь 1.1.1.1 IP хаягтай, та энэ хаяг руу холбогдохыг оролдож болно:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Түлхүүрийн дараа -l Одоо байгаа хэрэглэгчийн нэвтрэлт, нууц үгээ оруулна уу. Баталгаажуулсны дараа хэрэглэгч нэн даруй давуу горимд шилждэг бөгөөд энэ нь SSH зөв тохируулагдсан гэсэн үг юм.
Эх сурвалж: www.habr.com