Kami terus menganalisis tugas modul Rangkaian kejohanan WorldSkills dalam kecekapan "Rangkaian dan Pentadbiran Sistem".
Tugas berikut akan dipertimbangkan dalam artikel:
- Pada SEMUA peranti, buat antara muka maya, subantara muka dan antara muka gelung balik. Berikan alamat IP mengikut topologi.
- Dayakan mekanisme SLAAC untuk mengeluarkan alamat IPv6 dalam rangkaian MNG pada antara muka penghala RTR1;
- Pada antara muka maya dalam VLAN 100 (MNG) pada suis SW1, SW2, SW3, dayakan mod konfigurasi auto IPv6;
- Pada SEMUA peranti (kecuali PC1 dan WEB) tetapkan alamat pautan-tempatan secara manual;
- Pada SEMUA suis, lumpuhkan SEMUA port yang tidak digunakan dalam tugas dan pindahkan ke VLAN 99;
- Pada suis SW1, dayakan kunci selama 1 minit jika kata laluan dimasukkan dengan salah dua kali dalam masa 30 saat;
- Semua peranti mesti boleh diurus melalui SSH versi 2.
Topologi rangkaian pada lapisan fizikal ditunjukkan dalam rajah berikut:
Topologi rangkaian pada peringkat pautan data dibentangkan dalam rajah berikut:
Topologi rangkaian pada peringkat rangkaian ditunjukkan dalam rajah berikut:
Pra-tetapan
Sebelum melaksanakan tugas di atas, adalah wajar menyediakan pensuisan asas pada suis SW1-SW3, kerana ia akan menjadi lebih mudah untuk menyemak tetapannya pada masa hadapan. Persediaan pensuisan akan diterangkan secara terperinci dalam artikel seterusnya, tetapi buat masa ini hanya tetapan akan ditakrifkan.
Langkah pertama ialah mencipta vlan dengan nombor 99, 100 dan 300 pada semua suis:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Langkah seterusnya ialah memindahkan antara muka g0/1 ke SW1 ke nombor vlan 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Antara muka f0/1-2, f0/5-6, yang menghadapi suis lain, hendaklah ditukar kepada mod batang:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Pada suis SW2 dalam mod batang akan terdapat antara muka f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Pada suis SW3 dalam mod batang akan terdapat antara muka f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Pada peringkat ini, tetapan suis akan membenarkan pertukaran paket bertanda, yang diperlukan untuk menyelesaikan tugas.
1. Cipta antara muka maya, subantara muka dan antara muka gelung balik pada SEMUA peranti. Berikan alamat IP mengikut topologi.
Penghala BR1 akan dikonfigurasikan terlebih dahulu. Menurut topologi L3, di sini anda perlu mengkonfigurasi antara muka jenis gelung, juga dikenali sebagai gelung balik, nombor 101:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ loopback
BR1(config)#interface loopback 101
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv4-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅
BR1(config-if)#ipv6 enable
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv6-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ipv6 address 2001:B:A::1/64
// ΠΡΡ
ΠΎΠ΄ ΠΈΠ· ΡΠ΅ΠΆΠΈΠΌΠ° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#exit
BR1(config)#
Untuk menyemak status antara muka yang dibuat, anda boleh menggunakan arahan show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
BR1#
Di sini anda boleh melihat bahawa loopback aktif, keadaannya UP. Jika anda melihat di bawah, anda boleh melihat dua alamat IPv6, walaupun hanya satu arahan digunakan untuk menetapkan alamat IPv6. Hakikatnya ialah FE80::2D0:97FF:FE94:5022 ialah alamat pautan-tempatan yang diberikan apabila ipv6 didayakan pada antara muka dengan arahan ipv6 enable.
Dan untuk melihat alamat IPv4, gunakan arahan yang serupa:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Untuk BR1, anda harus segera mengkonfigurasi antara muka g0/0; di sini anda hanya perlu menetapkan alamat IPv6:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ Π² ΡΠ΅ΠΆΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config)#interface gigabitEthernet 0/0
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Anda boleh menyemak tetapan dengan arahan yang sama show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:C::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
Seterusnya, penghala ISP akan dikonfigurasikan. Di sini, mengikut tugasan, nombor gelung balik 0 akan dikonfigurasikan, tetapi selain itu, adalah lebih baik untuk mengkonfigurasi antara muka g0/0, yang sepatutnya mempunyai alamat 30.30.30.1, atas alasan bahawa dalam tugasan berikutnya tiada apa yang akan dikatakan tentang menyediakan antara muka ini. Pertama, nombor gelung balik 0 dikonfigurasikan:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
pasukan show ipv6 interface brief Anda boleh mengesahkan bahawa tetapan antara muka adalah betul. Kemudian antara muka g0/0 dikonfigurasikan:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Seterusnya, penghala RTR1 akan dikonfigurasikan. Di sini anda juga perlu mencipta nombor gelung balik 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Juga pada RTR1 anda perlu mencipta 2 subantara muka maya untuk vlan dengan nombor 100 dan 300. Ini boleh dilakukan seperti berikut.
Pertama, anda perlu mendayakan antara muka fizikal g0/1 dengan arahan tiada penutupan:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Kemudian subantara muka dengan nombor 100 dan 300 dicipta dan dikonfigurasikan:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 100 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.100
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 300 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.300
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Nombor subantara muka mungkin berbeza daripada nombor vlan di mana ia akan berfungsi, tetapi untuk kemudahan adalah lebih baik menggunakan nombor subantara muka yang sepadan dengan nombor vlan. Jika anda menetapkan jenis enkapsulasi semasa menyediakan subantara muka, anda harus menentukan nombor yang sepadan dengan nombor vlan. Jadi selepas arahan encapsulation dot1Q 300 subantara muka hanya akan melalui paket vlan dengan nombor 300.
Langkah terakhir dalam tugas ini ialah penghala RTR2. Sambungan antara SW1 dan RTR2 mestilah dalam mod akses, antara muka suis akan melepasi ke arah RTR2 sahaja paket yang dimaksudkan untuk nombor vlan 300, ini dinyatakan dalam tugas pada topologi L2. Oleh itu, hanya antara muka fizikal akan dikonfigurasikan pada penghala RTR2 tanpa membuat subantara muka:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Kemudian antara muka g0/0 dikonfigurasikan:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ini melengkapkan konfigurasi antara muka penghala untuk tugas semasa. Antara muka yang selebihnya akan dikonfigurasikan semasa anda menyelesaikan tugasan berikut.
a. Dayakan mekanisme SLAAC untuk mengeluarkan alamat IPv6 dalam rangkaian MNG pada antara muka penghala RTR1
Mekanisme SLAAC didayakan secara lalai. Satu-satunya perkara yang perlu anda lakukan ialah mendayakan penghalaan IPv6. Anda boleh melakukan ini dengan arahan berikut:
RTR1(config-subif)#ipv6 unicast-routing
Tanpa arahan ini, peralatan bertindak sebagai hos. Dengan kata lain, terima kasih kepada arahan di atas, ia menjadi mungkin untuk menggunakan fungsi ipv6 tambahan, termasuk mengeluarkan alamat ipv6, menyediakan penghalaan, dll.
b. Pada antara muka maya dalam VLAN 100 (MNG) pada suis SW1, SW2, SW3, dayakan mod konfigurasi auto IPv6
Daripada topologi L3 adalah jelas bahawa suis disambungkan ke VLAN 100. Ini bermakna ia adalah perlu untuk mencipta antara muka maya pada suis, dan hanya kemudian menetapkan mereka untuk menerima alamat IPv6 secara lalai. Konfigurasi awal telah dilakukan dengan tepat supaya suis boleh menerima alamat lalai daripada RTR1. Anda boleh menyelesaikan tugas ini menggunakan senarai arahan berikut, sesuai untuk ketiga-tiga suis:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// ΠΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π°Π΄ΡΠ΅ΡΠ° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Anda boleh menyemak semuanya dengan arahan yang sama show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local Π°Π΄ΡΠ΅Ρ
2001:100::A8BB:CCFF:FE80:C000 // ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΉ IPv6-Π°Π΄ΡΠ΅Ρ
Selain alamat pautan-tempatan, alamat ipv6 yang diterima daripada RTR1 muncul. Tugas ini telah berjaya diselesaikan, dan arahan yang sama mesti ditulis pada suis yang tinggal.
Dengan. Pada SEMUA peranti (kecuali PC1 dan WEB) tetapkan alamat pautan setempat secara manual
Alamat IPv6 tiga puluh digit tidak menyeronokkan untuk pentadbir, jadi adalah mungkin untuk menukar pautan setempat secara manual, mengurangkan panjangnya kepada nilai minimum. Tugasan tidak menyatakan apa-apa tentang alamat yang hendak dipilih, jadi pilihan percuma disediakan di sini.
Sebagai contoh, pada suis SW1 anda perlu menetapkan alamat pautan-tempatan fe80::10. Ini boleh dilakukan dengan arahan berikut daripada mod konfigurasi antara muka yang dipilih:
// ΠΡ
ΠΎΠ΄ Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ vlan 100
SW1(config)#interface vlan 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Kini menangani kelihatan lebih menarik:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local Π°Π΄ΡΠ΅c
2001:100::10 //IPv6-Π°Π΄ΡΠ΅Ρ
Sebagai tambahan kepada alamat pautan-tempatan, alamat IPv6 yang diterima juga telah berubah, kerana alamat itu dikeluarkan berdasarkan alamat pautan-tempatan.
Pada suis SW1 adalah perlu untuk menetapkan hanya satu alamat pautan-tempatan pada satu antara muka. Dengan penghala RTR1, anda perlu membuat lebih banyak tetapan - anda perlu menetapkan pautan-tempatan pada dua subantara muka, pada gelung belakang, dan dalam tetapan seterusnya antara muka terowong 100 juga akan muncul.
Untuk mengelakkan penulisan arahan yang tidak perlu, anda boleh menetapkan alamat pautan-tempatan yang sama pada semua antara muka sekaligus. Anda boleh melakukan ini menggunakan kata kunci range diikuti dengan menyenaraikan semua antara muka:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ
ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Apabila menyemak antara muka, anda akan melihat bahawa alamat pautan-tempatan telah ditukar pada semua antara muka yang dipilih:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Semua peranti lain dikonfigurasikan dengan cara yang sama
d. Pada SEMUA suis, lumpuhkan SEMUA port yang tidak digunakan dalam kerja dan pindahkan ke VLAN 99
Idea asas adalah cara yang sama untuk memilih berbilang antara muka untuk dikonfigurasikan menggunakan arahan range, dan hanya selepas itu anda perlu menulis arahan untuk dipindahkan ke vlan yang dikehendaki dan kemudian mematikan antara muka. Sebagai contoh, suis SW1, mengikut topologi L1, akan mempunyai port f0/3-4, f0/7-8, f0/11-24 dan g0/2 dilumpuhkan. Untuk contoh ini tetapan adalah seperti berikut:
// ΠΡΠ±ΠΎΡ Π²ΡΠ΅Ρ
Π½Π΅ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ
ΠΏΠΎΡΡΠΎΠ²
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΡΠ΅ΠΆΠΈΠΌΠ° access Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°Ρ
SW1(config-if-range)#switchport mode access
// ΠΠ΅ΡΠ΅Π²ΠΎΠ΄ Π² VLAN 99 ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#switchport access vlan 99
// ΠΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Apabila menyemak tetapan dengan arahan yang sudah diketahui, perlu diperhatikan bahawa semua port yang tidak digunakan mesti mempunyai status secara pentadbiran menurun, menunjukkan bahawa port dinyahdayakan:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Untuk melihat vlan mana port berada, anda boleh menggunakan arahan lain:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Semua antara muka yang tidak digunakan harus ada di sini. Perlu diingat bahawa tidak mungkin untuk memindahkan antara muka ke vlan jika vlan tersebut belum dibuat. Ia adalah untuk tujuan ini bahawa dalam persediaan awal semua vlan yang diperlukan untuk operasi telah dicipta.
e. Pada suis SW1, dayakan kunci selama 1 minit jika kata laluan dimasukkan dengan salah dua kali dalam masa 30 saat
Anda boleh melakukan ini dengan arahan berikut:
// ΠΠ»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠ° Π½Π° 60Ρ; ΠΠΎΠΏΡΡΠΊΠΈ: 2; Π ΡΠ΅ΡΠ΅Π½ΠΈΠ΅: 30Ρ
SW1#login block-for 60 attempts 2 within 30
Anda juga boleh menyemak tetapan ini seperti berikut:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Di mana jelas dijelaskan bahawa selepas dua percubaan yang tidak berjaya dalam masa 30 saat atau kurang, keupayaan untuk log masuk akan disekat selama 60 saat.
2. Semua peranti mesti boleh diurus melalui SSH versi 2
Untuk membolehkan peranti boleh diakses melalui SSH versi 2, anda perlu mengkonfigurasi peralatan terlebih dahulu, jadi untuk tujuan maklumat, kami akan mengkonfigurasi peralatan terlebih dahulu dengan tetapan kilang.
Anda boleh menukar versi tusukan seperti berikut:
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π²Π΅ΡΡΠΈΡ SSH Π²Π΅ΡΡΠΈΠΈ 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistem meminta anda mencipta kunci RSA untuk SSH versi 2 berfungsi. Mengikut nasihat sistem pintar, anda boleh mencipta kunci RSA dengan arahan berikut:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ RSA ΠΊΠ»ΡΡΠ΅ΠΉ
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistem tidak membenarkan arahan dilaksanakan kerana nama hos tidak ditukar. Selepas menukar nama hos, anda perlu menulis arahan penjanaan kunci sekali lagi:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Kini sistem tidak membenarkan anda membuat kunci RSA kerana kekurangan nama domain. Dan selepas memasang nama domain, ia akan menjadi mungkin untuk membuat kunci RSA. Kekunci RSA mestilah sekurang-kurangnya 768 bit panjang untuk SSH versi 2 berfungsi:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Akibatnya, ternyata untuk SSHv2 berfungsi adalah perlu:
- Tukar nama hos;
- Tukar nama domain;
- Hasilkan kunci RSA.
Artikel sebelumnya menunjukkan cara menukar nama hos dan nama domain pada semua peranti, jadi sambil terus mengkonfigurasi peranti semasa, anda hanya perlu menjana kunci RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH versi 2 aktif, tetapi peranti belum dikonfigurasikan sepenuhnya. Langkah terakhir ialah menyediakan konsol maya:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
ΠΊΠΎΠ½ΡΠΎΠ»Π΅ΠΉ
R1(config)#line vty 0 4
// Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Ρ SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Dalam artikel sebelumnya, model AAA telah dikonfigurasikan, di mana pengesahan ditetapkan pada konsol maya menggunakan pangkalan data tempatan, dan pengguna, selepas pengesahan, perlu segera masuk ke mod istimewa. Ujian kefungsian SSH yang paling mudah ialah cuba menyambung ke peralatan anda sendiri. RTR1 mempunyai loopback dengan alamat IP 1.1.1.1, anda boleh cuba menyambung ke alamat ini:
//ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΏΠΎ ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Selepas kunci -l Masukkan log masuk pengguna sedia ada, dan kemudian kata laluan. Selepas pengesahan, pengguna segera beralih ke mod istimewa, yang bermaksud SSH dikonfigurasikan dengan betul.
Sumber: www.habr.com