O movimento WorldSkills visa obter dos participantes principalmente habilidades práticas que estão em demanda no mercado de trabalho moderno. A competência Network and System Administration consiste em três módulos: Network, Windows, Linux. As tarefas mudam de campeonato para campeonato, as condições da competição mudam, mas a estrutura das tarefas em sua maior parte permanece a mesma.
A ilha Network será a primeira devido à sua simplicidade em relação às ilhas Linux e Windows.
As seguintes tarefas serão consideradas no artigo:
- Nomeie TODOS os dispositivos de acordo com a topologia
- Atribua o nome de domínio wsrvuz19.ru para TODOS os dispositivos
- Crie o usuário wsrvuz19 em TODOS os dispositivos com a senha cisco
- A senha do usuário deve ser armazenada na configuração como resultado de uma função hash.
- O usuário deve ter o nível de privilégio mais alto.
- Para TODOS os dispositivos, implemente o modelo AAA.
- A autenticação no console remoto deve ser feita usando o banco de dados local (exceto para dispositivos RTR1 e RTR2)
- Após a autenticação bem-sucedida, ao efetuar login em um console remoto, o usuário deve entrar imediatamente no modo com o nível máximo de privilégio.
- Defina a necessidade de autenticação no console local.
- Após a autenticação bem-sucedida no console local, o usuário deve entrar no modo menos privilegiado.
- No BR1, após a autenticação bem-sucedida no console local, o usuário deve entrar no modo com o nível máximo de privilégio
- Em TODOS os dispositivos, defina a senha wsr para entrar no modo privilegiado.
- A senha deve ser armazenada na configuração NÃO como resultado de uma função hash.
- Defina o modo no qual todas as senhas na configuração são armazenadas de forma criptografada.
A topologia da rede na camada física é apresentada no diagrama a seguir:
1. Nomeie TODOS os dispositivos de acordo com a topologia
Para definir o nome do dispositivo (hostname), insira o comando no modo de configuração global hostname SW1
, onde em vez de SW1 você deve escrever o nome do equipamento dado nas tarefas.
Você pode até verificar a configuração visualmente - em vez da predefinição Interruptor Ft P ° P "Rѕ SW1:
Switch(config)# hostname SW1
SW1(config)#
A principal tarefa após fazer qualquer configuração é salvar a configuração.
Isso pode ser feito no modo de configuração global com o comando do write
:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Ou no modo privilegiado com o comando write
:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Atribua o nome de domínio wsrvuz19.ru para TODOS os dispositivos
Você pode definir o nome de domínio wsrvuz19.ru por padrão no modo de configuração global com o comando ip domain-name wsrvuz19.ru
.
A verificação é executada pelo comando do show hosts summary no modo de configuração global:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Crie o usuário wsrvuz19 em TODOS os dispositivos com a senha cisco
É necessário criar esse usuário para que ele tenha o nível máximo de privilégios e a senha seja armazenada na forma de uma função hash. Todas essas condições são levadas em consideração pela equipe username wsrvuz19 privilege 15 secret cisco
.
Aqui:
username wsrvuz19
- Nome de usuário;
privilege 15
- nível de privilégio (0 - nível mínimo, 15 - nível máximo);
secret cisco
- armazenar a senha na forma de uma função hash MD5.
mostrar comando running-config
permite que você verifique as definições de configuração atuais, onde você pode encontrar a linha com o usuário adicionado e certifique-se de que a senha seja armazenada de forma criptografada:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Para TODOS os dispositivos, implemente o modelo AAA
O modelo AAA é um sistema de autenticação, autorização e contabilização de eventos. Para concluir esta tarefa, o primeiro passo é habilitar o modelo AAA e especificar que a autenticação será realizada usando um banco de dados local:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
a. A autenticação no console remoto deve ser feita usando o banco de dados local (exceto para dispositivos RTR1 e RTR2)
Os trabalhos definem dois tipos de consoles: local e remoto. O console remoto permite implementar conexões remotas, por exemplo, através dos protocolos SSH ou Telnet.
Para concluir esta tarefa, insira os seguintes comandos:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
equipe line vty 0 4
procede-se à configuração das linhas terminais virtuais de 0 a 4.
Equipe login authentication default
ativa o modo de autenticação padrão no console virtual e o modo padrão foi definido no último trabalho com o comando aaa authentication login default local
.
A saída do modo de configuração do console remoto é feita usando o comando exit
.
Uma verificação confiável será uma conexão de teste via protocolo Telnet de um dispositivo para outro. Deve-se ter em mente que a comutação básica e o endereçamento IP no equipamento selecionado devem ser configurados para isso.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Após a autenticação bem-sucedida, ao fazer login em um console remoto, o usuário deve entrar imediatamente no modo com o nível máximo de privilégio
Para resolver este problema, você precisa voltar a configurar as linhas do terminal virtual e definir o nível de privilégio com o comando privilege level 15
, onde 15 é novamente o nível máximo de privilégio e 0 é o nível mínimo de privilégio:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
O teste será a solução da alínea anterior - ligação remota via Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Após a autenticação, o usuário entra imediatamente no modo privilegiado, ignorando o não privilegiado, o que significa que a tarefa foi concluída corretamente.
cd. Defina a necessidade no console local e após a autenticação bem-sucedida, o usuário deve entrar no modo de privilégio mínimo
A estrutura de comando nessas tarefas é a mesma das tarefas 4.a e 4.b resolvidas anteriormente. Equipe line vty 0 4
substituído por console 0
:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Como já mencionado, o nível mínimo de privilégio é determinado pelo número 0. A verificação pode ser feita da seguinte forma:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Após a autenticação, o usuário entra no modo não privilegiado, conforme informado nas tarefas.
e. No BR1, após a autenticação bem-sucedida no console local, o usuário deve entrar no modo com o nível máximo de privilégio
A configuração de um console local no BR1 ficaria assim:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
A verificação é realizada da mesma forma que no parágrafo anterior:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Após a autenticação, ocorrem transições para o modo privilegiado.
5. Em TODOS os dispositivos, defina a senha wsr para entrar no modo privilegiado
As tarefas dizem que a senha para o modo privilegiado deve ser armazenada como padrão em texto não criptografado, mas o modo de criptografia de todas as senhas não permitirá que você veja a senha em texto não criptografado. Para definir uma senha para entrar no modo privilegiado, use o comando enable password wsr
. Usando palavra-chave password
, determina o tipo em que a senha será armazenada. Se a senha deve ser criptografada ao criar um usuário, a palavra-chave foi a palavra secret
, e para armazenamento em um formulário aberto é usado password
.
Você pode verificar as configurações na exibição de configuração atual:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Pode-se observar que a senha do usuário é armazenada de forma criptografada, e a senha para entrar no modo privilegiado é armazenada em texto não criptografado, conforme informado nas tarefas.
Para que todas as senhas sejam armazenadas de forma criptografada, você deve usar o comando service password-encryption
. A visualização da configuração atual ficará assim:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
A senha não é mais visível em claro.
Fonte: habr.com