ProHoster > Blog > administracja > Rozwiązanie zadań WorldSkills modułu Sieć w kompetencji „SiSA”. Część 2 – Konfiguracja podstawowa

Rozwiązanie zadań WorldSkills modułu Sieć w kompetencji „SiSA”. Część 2 – Konfiguracja podstawowa

Kontynuujemy analizę zadań modułu Sieć mistrzostw WorldSkills w kompetencji „Administracja siecią i systemem”.

W artykule zostaną omówione następujące zadania:

  1. Na WSZYSTKICH urządzeniach utwórz wirtualne interfejsy, podinterfejsy i interfejsy pętli zwrotnej. Przypisz adresy IP zgodnie z topologią.
    • Włącz mechanizm SLAAC do nadawania adresów IPv6 w sieci MNG na interfejsie routera RTR1;
    • Na interfejsach wirtualnych w VLAN 100 (MNG) na przełącznikach SW1, SW2, SW3 włącz tryb automatycznej konfiguracji IPv6;
    • Na WSZYSTKICH urządzeniach (z wyjątkiem PC1 i WEB) ręcznie przypisz adresy lokalne łącza;
    • Na WSZYSTKICH przełącznikach wyłącz WSZYSTKIE porty nieużywane w zadaniu i przenieś do VLAN 99;
    • Na przełączniku SW1 włącz blokadę na 1 minutę, jeśli hasło zostanie wprowadzone niepoprawnie dwukrotnie w ciągu 30 sekund;
  2. Wszystkie urządzenia muszą być zarządzalne poprzez SSH w wersji 2.


Topologię sieci w warstwie fizycznej przedstawia poniższy diagram:

Rozwiązanie zadań WorldSkills modułu Sieć w kompetencji „SiSA”. Część 2 – Konfiguracja podstawowa

Topologię sieci na poziomie łącza danych przedstawia poniższy diagram:

Rozwiązanie zadań WorldSkills modułu Sieć w kompetencji „SiSA”. Część 2 – Konfiguracja podstawowa

Topologię sieci na poziomie sieci przedstawia poniższy schemat:

Rozwiązanie zadań WorldSkills modułu Sieć w kompetencji „SiSA”. Część 2 – Konfiguracja podstawowa

Wstępne ustawienie

Przed wykonaniem powyższych zadań warto ustawić podstawowe załączenie przełączników SW1-SW3, gdyż wygodniej będzie w przyszłości sprawdzić ich ustawienia. Konfiguracja przełączania zostanie szczegółowo opisana w następnym artykule, ale na razie zostaną zdefiniowane tylko ustawienia.

Pierwszym krokiem jest utworzenie vlanów o numerach 99, 100 i 300 na wszystkich przełącznikach:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Następnym krokiem jest przeniesienie interfejsu g0/1 do SW1 do vlanu nr 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Interfejsy f0/1-2, f0/5-6, które są zwrócone w stronę innych przełączników, należy przełączyć w tryb trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Na przełączniku SW2 w trybie trunk będą dostępne interfejsy f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Na przełączniku SW3 w trybie trunk będą dostępne interfejsy f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Na tym etapie ustawienia przełącznika pozwolą na wymianę oznaczonych pakietów, która jest wymagana do realizacji zadań.

1. Utwórz wirtualne interfejsy, podinterfejsy i interfejsy pętli zwrotnej na WSZYSTKICH urządzeniach. Przypisz adresy IP zgodnie z topologią.

Router BR1 zostanie skonfigurowany jako pierwszy. Zgodnie z topologią L3 należy tutaj skonfigurować interfejs typu pętla, znany również jako pętla zwrotna, numer 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Aby sprawdzić status utworzonego interfejsu, możesz użyć polecenia show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Tutaj możesz zobaczyć, że pętla zwrotna jest aktywna i jej stan UP. Jeśli spojrzysz poniżej, zobaczysz dwa adresy IPv6, chociaż do ustawienia adresu IPv6 użyto tylko jednego polecenia. Fakt jest taki FE80::2D0:97FF:FE94:5022 to adres lokalny łącza przypisywany po włączeniu protokołu IPv6 w interfejsie za pomocą polecenia ipv6 enable.

Aby wyświetlić adres IPv4, użyj podobnego polecenia:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Dla BR1 należy od razu skonfigurować interfejs g0/0, tutaj wystarczy ustawić adres IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Możesz sprawdzić ustawienia za pomocą tego samego polecenia show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Następnie router ISP zostanie skonfigurowany. Tutaj zgodnie z zadaniem zostanie skonfigurowana pętla zwrotna o numerze 0, ale poza tym lepiej skonfigurować interfejs g0/0, który powinien mieć adres 30.30.30.1, ponieważ w kolejnych zadaniach nie będzie już o tym mowy konfigurowanie tych interfejsów. Najpierw konfigurowana jest pętla zwrotna nr 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

zespół show ipv6 interface brief Możesz sprawdzić, czy ustawienia interfejsu są prawidłowe. Następnie konfigurowany jest interfejs g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Następnie zostanie skonfigurowany router RTR1. Tutaj musisz także utworzyć pętlę zwrotną o numerze 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Również na RTR1 musisz utworzyć 2 wirtualne podinterfejsy dla vlanów o numerach 100 i 300. Można to zrobić w następujący sposób.

Najpierw musisz włączyć interfejs fizyczny g0/1 za pomocą polecenia no Shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Następnie tworzone i konfigurowane są podinterfejsy o numerach 100 i 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Numer podinterfejsu może różnić się od numeru vlanu, w którym będzie działać, ale dla wygody lepiej jest użyć numeru podinterfejsu odpowiadającego numerowi vlanu. Jeśli podczas konfigurowania podinterfejsu ustawisz typ enkapsulacji, powinieneś podać liczbę odpowiadającą numerowi sieci VLAN. Zatem po wydaniu polecenia encapsulation dot1Q 300 podinterfejs będzie przepuszczał tylko pakiety VLAN o numerze 300.

Ostatnim krokiem w tym zadaniu będzie router RTR2. Połączenie pomiędzy SW1 i RTR2 musi być w trybie dostępu, interfejs przełącznika będzie przekazywał tylko pakiety RTR2 przeznaczone dla sieci VLAN o numerze 300, jest to określone w zadaniu dotyczącym topologii L2. Dlatego na routerze RTR2 zostanie skonfigurowany tylko interfejs fizyczny bez tworzenia podinterfejsów:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Następnie konfigurowany jest interfejs g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

To kończy konfigurację interfejsów routera dla bieżącego zadania. Pozostałe interfejsy zostaną skonfigurowane po wykonaniu poniższych zadań.

A. Włącz mechanizm SLAAC w celu przydzielania adresów IPv6 w sieci MNG na interfejsie routera RTR1
Domyślnie mechanizm SLAAC jest włączony. Jedyne, co musisz zrobić, to włączyć routing IPv6. Można to zrobić za pomocą następującego polecenia:

RTR1(config-subif)#ipv6 unicast-routing

Bez tego polecenia sprzęt działa jako host. Innymi słowy, dzięki powyższemu poleceniu możliwe staje się korzystanie z dodatkowych funkcji IPv6, w tym nadawanie adresów IPv6, konfigurowanie routingu itp.

B. Na interfejsach wirtualnych w VLAN 100 (MNG) na przełącznikach SW1, SW2, SW3 włącz tryb automatycznej konfiguracji IPv6
Z topologii L3 jasno wynika, że ​​przełączniki są podłączone do sieci VLAN 100. Oznacza to, że konieczne jest utworzenie na przełącznikach wirtualnych interfejsów, a dopiero potem przypisanie ich tak, aby domyślnie otrzymywały adresy IPv6. Wstępna konfiguracja została wykonana dokładnie tak, aby przełączniki mogły otrzymać domyślne adresy z RTR1. Możesz wykonać to zadanie, korzystając z poniższej listy poleceń, odpowiednich dla wszystkich trzech przełączników:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Możesz sprawdzić wszystko za pomocą tego samego polecenia show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Oprócz adresu link-local pojawił się adres IPv6 otrzymany z RTR1. To zadanie zostało pomyślnie zakończone i te same polecenia muszą zostać zapisane na pozostałych przełącznikach.

Z. Na WSZYSTKICH urządzeniach (z wyjątkiem PC1 i WEB) przypisz ręcznie adresy lokalne łącza
Trzydziestocyfrowe adresy IPv6 nie są zabawą dla administratorów, dlatego istnieje możliwość ręcznej zmiany łącza na lokalne, zmniejszając jego długość do wartości minimalnej. Przypisania nie mówią nic o tym, które adresy wybrać, więc tutaj zapewniony jest swobodny wybór.

Na przykład na przełączniku SW1 należy ustawić adres łącza lokalnego fe80::10. Można to zrobić za pomocą następującego polecenia z trybu konfiguracji wybranego interfejsu:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Teraz adresowanie wygląda znacznie atrakcyjniej:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Oprócz adresu lokalnego łącza zmienił się także otrzymany adres IPv6, ponieważ adres jest wydawany na podstawie adresu lokalnego łącza.

Na przełączniku SW1 konieczne było ustawienie tylko jednego adresu łącza lokalnego na jednym interfejsie. W przypadku routera RTR1 trzeba dokonać więcej ustawień - trzeba ustawić link-local na dwóch podinterfejsach, na pętli zwrotnej, a w kolejnych ustawieniach pojawi się także interfejs tunelu 100.

Aby uniknąć niepotrzebnego pisania poleceń, możesz ustawić ten sam adres lokalny łącza na wszystkich interfejsach jednocześnie. Można to zrobić za pomocą słowa kluczowego range a następnie lista wszystkich interfejsów:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Sprawdzając interfejsy, zobaczysz, że adresy lokalne łącza zostały zmienione na wszystkich wybranych interfejsach:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Wszystkie pozostałe urządzenia konfiguruje się w podobny sposób

D. Na WSZYSTKICH przełącznikach wyłącz WSZYSTKIE porty nieużywane w zadaniu i przenieś do VLAN 99
Podstawową ideą jest ten sam sposób wybierania wielu interfejsów do konfiguracji za pomocą polecenia rangei dopiero wtedy należy napisać komendy przeniesienia do żądanego vlanu i następnie wyłączyć interfejsy. Na przykład przełącznik SW1, zgodnie z topologią L1, będzie miał wyłączone porty f0/3-4, f0/7-8, f0/11-24 i g0/2. W tym przykładzie ustawienie będzie następujące:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Sprawdzając ustawienia znanym już poleceniem warto zwrócić uwagę, aby wszystkie nieużywane porty miały status administracyjnie w dół, wskazując, że port jest wyłączony:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Aby sprawdzić, w której sieci VLAN znajduje się port, możesz użyć innego polecenia:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Wszystkie nieużywane interfejsy powinny się tu znajdować. Warto zaznaczyć, że nie będzie możliwości przeniesienia interfejsów do vlanu jeśli taki vlan nie został utworzony. W tym celu w początkowej konfiguracji utworzono wszystkie sieci VLAN niezbędne do działania.

mi. Na przełączniku SW1 włącz blokadę na 1 minutę, jeśli hasło zostanie wprowadzone niepoprawnie dwukrotnie w ciągu 30 sekund
Można to zrobić za pomocą następującego polecenia:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Możesz także sprawdzić te ustawienia w następujący sposób:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Gdzie wyraźnie wyjaśniono, że po dwóch nieudanych próbach w ciągu 30 sekund lub krócej, możliwość zalogowania się zostanie zablokowana na 60 sekund.

2. Wszystkie urządzenia muszą być zarządzane poprzez SSH w wersji 2

Aby urządzenia były dostępne poprzez SSH w wersji 2, należy najpierw skonfigurować sprzęt, dlatego w celach informacyjnych najpierw skonfigurujemy sprzęt z ustawieniami fabrycznymi.

Możesz zmienić wersję przebicia w następujący sposób:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

System poprosi o utworzenie kluczy RSA, aby działał SSH w wersji 2. Kierując się wskazówkami inteligentnego systemu, możesz utworzyć klucze RSA za pomocą następującego polecenia:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

System nie pozwala na wykonanie polecenia, ponieważ nazwa hosta nie została zmieniona. Po zmianie nazwy hosta należy ponownie napisać polecenie generowania klucza:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Teraz system nie pozwala na tworzenie kluczy RSA ze względu na brak nazwy domeny. A po zainstalowaniu nazwy domeny możliwe będzie tworzenie kluczy RSA. Klucze RSA muszą mieć co najmniej 768 bitów, aby wersja 2 SSH działała:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

W rezultacie okazuje się, że aby SSHv2 zadziałało konieczne jest:

  1. Zmień nazwę hosta;
  2. Zmień nazwę domeny;
  3. Wygeneruj klucze RSA.

W poprzednim artykule pokazaliśmy, jak zmienić nazwę hosta i nazwę domeny na wszystkich urządzeniach, więc kontynuując konfigurację obecnych urządzeń, wystarczy wygenerować klucze RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH wersja 2 jest aktywna, ale urządzenia nie są jeszcze w pełni skonfigurowane. Ostatnim krokiem będzie konfiguracja konsol wirtualnych:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

W poprzednim artykule skonfigurowano model AAA, gdzie uwierzytelnianie ustawiano na konsolach wirtualnych z wykorzystaniem lokalnej bazy danych, a użytkownik po uwierzytelnieniu musiał od razu przejść w tryb uprzywilejowany. Najprostszym testem funkcjonalności SSH jest próba połączenia się z własnym sprzętem. RTR1 ma pętlę zwrotną o adresie IP 1.1.1.1, możesz spróbować połączyć się z tym adresem:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Po kluczu -l Wprowadź login istniejącego użytkownika, a następnie hasło. Po uwierzytelnieniu użytkownik natychmiast przełącza się w tryb uprzywilejowany, co oznacza, że ​​SSH jest poprawnie skonfigurowane.

Źródło: www.habr.com

Dodaj komentarz