We blijven de taken van de netwerkmodule van het WorldSkills-kampioenschap analyseren in de competentie “Netwerk- en systeembeheer”.
De volgende taken worden in het artikel behandeld:
- Maak op ALLE apparaten virtuele interfaces, subinterfaces en loopback-interfaces. Wijs IP-adressen toe volgens de topologie.
- Schakel het SLAAC-mechanisme in om IPv6-adressen uit te geven in het MNG-netwerk op de RTR1-routerinterface;
- Schakel op virtuele interfaces in VLAN 100 (MNG) op schakelaars SW1, SW2, SW3 de automatische IPv6-configuratiemodus in;
- Wijs op ALLE apparaten (behalve PC1 en WEB) handmatig link-local adressen toe;
- Schakel op ALLE switches ALLE poorten uit die niet in de taak worden gebruikt en breng deze over naar VLAN 99;
- Schakel op schakelaar SW1 een blokkering van 1 minuut in als het wachtwoord tweemaal binnen 30 seconden verkeerd wordt ingevoerd;
- Alle apparaten moeten beheerbaar zijn via SSH versie 2.
De netwerktopologie op de fysieke laag wordt weergegeven in het volgende diagram:
De netwerktopologie op datalinkniveau wordt weergegeven in het volgende diagram:
De netwerktopologie op netwerkniveau wordt weergegeven in het volgende diagram:
Voorinstelling
Voordat u de bovenstaande taken uitvoert, is het de moeite waard om de basisschakelaars SW1-SW3 in te stellen, omdat het handiger zal zijn om hun instellingen in de toekomst te controleren. De schakelopstelling wordt in het volgende artikel gedetailleerd beschreven, maar voorlopig worden alleen de instellingen gedefinieerd.
De eerste stap is het maken van vlans met de nummers 99, 100 en 300 op alle switches:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
De volgende stap is het overbrengen van interface g0/1 naar SW1 naar vlan nummer 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Interfaces f0/1-2, f0/5-6, die tegenover andere schakelaars staan, moeten naar de trunkmodus worden geschakeld:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Op schakelaar SW2 in trunkmodus zijn er interfaces f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Op schakelaar SW3 in trunkmodus zijn er interfaces f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
In dit stadium zullen de schakelinstellingen de uitwisseling van getagde pakketten mogelijk maken, wat nodig is om taken te voltooien.
1. Creëer virtuele interfaces, subinterfaces en loopback-interfaces op ALLE apparaten. Wijs IP-adressen toe volgens de topologie.
Router BR1 wordt eerst geconfigureerd. Volgens de L3-topologie moet u hier een lustype-interface configureren, ook wel loopback genoemd, nummer 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Om de status van de gemaakte interface te controleren, kunt u de opdracht gebruiken show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Hier kun je zien dat loopback actief is, de status ervan UP. Als je hieronder kijkt, zie je twee IPv6-adressen, hoewel er maar één commando is gebruikt om het IPv6-adres in te stellen. Het feit is dat FE80::2D0:97FF:FE94:5022 is een link-local adres dat wordt toegewezen wanneer ipv6 is ingeschakeld op een interface met de opdracht ipv6 enable.
En om het IPv4-adres te bekijken, gebruikt u een soortgelijk commando:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Voor BR1 moet u onmiddellijk de g0/0-interface configureren; hier hoeft u alleen maar het IPv6-adres in te stellen:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Met hetzelfde commando kunt u de instellingen controleren show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Vervolgens wordt de ISP-router geconfigureerd. Hier zal, afhankelijk van de taak, loopback nummer 0 worden geconfigureerd, maar daarnaast verdient het de voorkeur om de g0/0-interface te configureren, die het adres 30.30.30.1 moet hebben, omdat er in volgende taken niets over zal worden gezegd het opzetten van deze interfaces. Eerst wordt loopback-nummer 0 geconfigureerd:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
team show ipv6 interface brief U kunt controleren of de interface-instellingen correct zijn. Vervolgens wordt interface g0/0 geconfigureerd:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Vervolgens wordt de RTR1-router geconfigureerd. Hier moet u ook een loopback-nummer 100 maken:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ook op RTR1 moet je 2 virtuele subinterfaces maken voor vlans met nummers 100 en 300. Dit kan als volgt worden gedaan.
Eerst moet u de fysieke interface g0/1 inschakelen met de opdracht no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Vervolgens worden subinterfaces met de nummers 100 en 300 gemaakt en geconfigureerd:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Het subinterfacenummer kan verschillen van het vlan-nummer waarin het zal werken, maar voor het gemak is het beter om het subinterfacenummer te gebruiken dat overeenkomt met het vlan-nummer. Als u het inkapselingstype instelt bij het instellen van een subinterface, moet u een nummer opgeven dat overeenkomt met het vlan-nummer. Dus na het commando encapsulation dot1Q 300 de subinterface passeert alleen vlan-pakketten met nummer 300.
De laatste stap in deze taak is de RTR2-router. De verbinding tussen SW1 en RTR2 moet in de toegangsmodus staan, de switchinterface zal alleen pakketten doorgeven die bedoeld zijn voor vlan-nummer 2, dit staat vermeld in de taak over de L300-topologie. Daarom wordt alleen de fysieke interface geconfigureerd op de RTR2-router zonder subinterfaces te maken:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Vervolgens wordt interface g0/0 geconfigureerd:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Hiermee is de configuratie van routerinterfaces voor de huidige taak voltooid. De overige interfaces worden geconfigureerd terwijl u de volgende taken voltooit.
A. Schakel het SLAAC-mechanisme in om IPv6-adressen uit te geven in het MNG-netwerk op de RTR1-routerinterface
Het SLAAC-mechanisme is standaard ingeschakeld. Het enige dat u hoeft te doen, is IPv6-routering inschakelen. U kunt dit doen met het volgende commando:
RTR1(config-subif)#ipv6 unicast-routing
Zonder dit commando fungeert de apparatuur als host. Met andere woorden, dankzij het bovenstaande commando wordt het mogelijk om extra ipv6-functies te gebruiken, waaronder het uitgeven van ipv6-adressen, het instellen van routing, enz.
B. Schakel op virtuele interfaces in VLAN 100 (MNG) op schakelaars SW1, SW2, SW3 de automatische IPv6-configuratiemodus in
Uit de L3-topologie is duidelijk dat de switches zijn aangesloten op VLAN 100. Dit betekent dat het nodig is om virtuele interfaces op de switches te creëren, en deze vervolgens pas toe te wijzen om standaard IPv6-adressen te ontvangen. De initiële configuratie werd precies zo uitgevoerd dat de switches standaardadressen van RTR1 konden ontvangen. U kunt deze taak voltooien met behulp van de volgende lijst met opdrachten, geschikt voor alle drie de schakelaars:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Je kunt alles controleren met hetzelfde commando show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Naast het link-local adres verscheen er een ipv6-adres ontvangen van RTR1. Deze taak is met succes voltooid en dezelfde opdrachten moeten op de overige schakelaars worden geschreven.
Met. Wijs op ALLE apparaten (behalve PC1 en WEB) handmatig link-local adressen toe
Dertigcijferige IPv6-adressen zijn geen pretje voor beheerders, dus het is mogelijk om de link-local handmatig te wijzigen, waardoor de lengte tot een minimumwaarde wordt teruggebracht. De opdrachten zeggen niets over welke adressen je moet kiezen, dus hier is een vrije keuze voorzien.
Op schakelaar SW1 moet u bijvoorbeeld het link-local adres fe80::10 instellen. Dit kan gedaan worden met het volgende commando vanuit de configuratiemodus van de geselecteerde interface:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Het adresseren ziet er nu veel aantrekkelijker uit:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Naast het link-local adres is ook het ontvangen IPv6-adres gewijzigd, aangezien het adres wordt uitgegeven op basis van het link-local adres.
Op schakelaar SW1 was het nodig om slechts één link-local adres op één interface in te stellen. Met de RTR1-router moet je meer instellingen maken - je moet link-local instellen op twee subinterfaces, op de loopback, en in daaropvolgende instellingen zal ook de tunnel 100-interface verschijnen.
Om onnodig schrijven van commando's te voorkomen, kunt u op alle interfaces tegelijk hetzelfde link-local adres instellen. Dit kun je doen door middel van een trefwoord range gevolgd door een lijst van alle interfaces:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Wanneer u de interfaces controleert, ziet u dat de link-local adressen op alle geselecteerde interfaces zijn gewijzigd:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Alle andere apparaten zijn op een vergelijkbare manier geconfigureerd
D. Schakel op ALLE switches ALLE poorten uit die niet in de taak worden gebruikt en breng deze over naar VLAN 99
Het basisidee is dezelfde manier om meerdere interfaces te selecteren om te configureren met behulp van de opdracht range, en alleen dan moet u opdrachten schrijven om naar het gewenste vlan over te brengen en vervolgens de interfaces uit te schakelen. Voor schakelaar SW1 zijn bijvoorbeeld, volgens de L1-topologie, de poorten f0/3-4, f0/7-8, f0/11-24 en g0/2 uitgeschakeld. Voor dit voorbeeld zou de instelling als volgt zijn:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Wanneer u de instellingen controleert met een reeds bekend commando, is het vermeldenswaard dat alle ongebruikte poorten een status moeten hebben administratief neer, wat aangeeft dat de poort is uitgeschakeld:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Om te zien in welke vlan de poort zich bevindt, kunt u een ander commando gebruiken:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Alle ongebruikte interfaces zouden hier moeten zijn. Het is vermeldenswaard dat het niet mogelijk zal zijn om interfaces naar vlan over te zetten als er geen dergelijke vlan is gemaakt. Het is voor dit doel dat bij de initiële installatie alle vlans zijn gemaakt die nodig zijn voor de werking.
e. Schakel op schakelaar SW1 een blokkering van 1 minuut in als het wachtwoord tweemaal binnen 30 seconden verkeerd wordt ingevoerd
U kunt dit doen met het volgende commando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
U kunt deze instellingen ook als volgt controleren:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Waarbij duidelijk wordt uitgelegd dat na twee mislukte pogingen binnen 30 seconden of minder de mogelijkheid om in te loggen voor 60 seconden wordt geblokkeerd.
2. Alle apparaten moeten beheerbaar zijn via SSH versie 2
Om apparaten toegankelijk te maken via SSH versie 2, is het noodzakelijk om eerst de apparatuur te configureren. Ter informatie zullen we daarom eerst de apparatuur configureren met de fabrieksinstellingen.
U kunt de lekversie als volgt wijzigen:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Het systeem vraagt u om RSA-sleutels aan te maken zodat SSH versie 2 werkt. Op advies van het slimme systeem kunt u RSA-sleutels maken met de volgende opdracht:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Het systeem staat niet toe dat de opdracht wordt uitgevoerd omdat de hostnaam niet is gewijzigd. Nadat u de hostnaam hebt gewijzigd, moet u de opdracht voor het genereren van de sleutel opnieuw schrijven:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Nu staat het systeem niet toe dat u RSA-sleutels aanmaakt vanwege het ontbreken van een domeinnaam. En na installatie van de domeinnaam is het mogelijk om RSA-sleutels aan te maken. RSA-sleutels moeten minimaal 768 bits lang zijn om SSH versie 2 te laten werken:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Als gevolg hiervan blijkt dat het voor de werking van SSHv2 noodzakelijk is:
- Hostnaam wijzigen;
- Domeinnaam wijzigen;
- Genereer RSA-sleutels.
Het vorige artikel liet zien hoe u de hostnaam en domeinnaam op alle apparaten kunt wijzigen, zodat u, terwijl u doorgaat met het configureren van de huidige apparaten, alleen RSA-sleutels hoeft te genereren:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH versie 2 is actief, maar de apparaten zijn nog niet volledig geconfigureerd. De laatste stap is het opzetten van virtuele consoles:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
In het vorige artikel werd het AAA-model geconfigureerd, waarbij authenticatie werd ingesteld op virtuele consoles met behulp van een lokale database, en de gebruiker na authenticatie onmiddellijk naar de geprivilegieerde modus moest gaan. De eenvoudigste test van de SSH-functionaliteit is proberen verbinding te maken met uw eigen apparatuur. RTR1 heeft een loopback met IP-adres 1.1.1.1, je kunt proberen verbinding te maken met dit adres:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Na de sleutel -l Voer de login van de bestaande gebruiker in en vervolgens het wachtwoord. Na authenticatie schakelt de gebruiker onmiddellijk over naar de geprivilegieerde modus, wat betekent dat SSH correct is geconfigureerd.
Bron: www.habr.com