Continuamos a analisar as tarefas do módulo Rede do campeonato WorldSkills na competência “Administração de Redes e Sistemas”.
As seguintes tarefas serão consideradas no artigo:
- Em TODOS os dispositivos, crie interfaces virtuais, subinterfaces e interfaces de loopback. Atribua endereços IP de acordo com a topologia.
- Habilite o mecanismo SLAAC para emitir endereços IPv6 na rede MNG na interface do roteador RTR1;
- Nas interfaces virtuais na VLAN 100 (MNG) nos switches SW1, SW2, SW3, habilite o modo de autoconfiguração IPv6;
- Em TODOS os dispositivos (exceto PC1 e WEB) atribua manualmente endereços link-local;
- Em TODOS os switches, desative TODAS as portas não utilizadas na tarefa e transfira para a VLAN 99;
- Na chave SW1, habilite o bloqueio por 1 minuto se a senha for digitada incorretamente duas vezes em 30 segundos;
- Todos os dispositivos devem ser gerenciáveis via SSH versão 2.
A topologia da rede na camada física é apresentada no diagrama a seguir:
A topologia de rede no nível do link de dados é apresentada no diagrama a seguir:
A topologia de rede no nível da rede é apresentada no diagrama a seguir:
predefinição
Antes de realizar as tarefas acima, vale a pena configurar o acionamento básico dos interruptores SW1-SW3, pois será mais conveniente verificar suas configurações no futuro. A configuração da comutação será descrita em detalhes no próximo artigo, mas por enquanto apenas as configurações serão definidas.
O primeiro passo é criar vlans com números 99, 100 e 300 em todos os switches:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
O próximo passo é transferir a interface g0/1 para SW1 para vlan número 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
As interfaces f0/1-2, f0/5-6, que ficam voltadas para outros switches, devem ser comutadas para modo tronco:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
No switch SW2 em modo trunk existirão as interfaces f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
No switch SW3 em modo trunk existirão as interfaces f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Neste estágio, as configurações do switch permitirão a troca de pacotes marcados, necessários para concluir as tarefas.
1. Crie interfaces virtuais, subinterfaces e interfaces de loopback em TODOS os dispositivos. Atribua endereços IP de acordo com a topologia.
O roteador BR1 será configurado primeiro. De acordo com a topologia L3, aqui é necessário configurar uma interface tipo loop, também conhecida como loopback, no número 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Para verificar o status da interface criada, você pode usar o comando show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Aqui você pode ver que o loopback está ativo, seu estado UP. Se você olhar abaixo, poderá ver dois endereços IPv6, embora apenas um comando tenha sido usado para definir o endereço IPv6. O fato é que FE80::2D0:97FF:FE94:5022 é um endereço link-local atribuído quando o ipv6 está habilitado em uma interface com o comando ipv6 enable.
E para visualizar o endereço IPv4, use um comando semelhante:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Para BR1, você deve configurar imediatamente a interface g0/0; aqui você só precisa definir o endereço IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Você pode verificar as configurações com o mesmo comando show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
A seguir, o roteador ISP será configurado. Aqui, de acordo com a tarefa, será configurado o loopback número 0, mas além disso, é preferível configurar a interface g0/0, que deverá ter o endereço 30.30.30.1, pois nas tarefas subsequentes nada será dito sobre configurar essas interfaces. Primeiro, o loopback número 0 é configurado:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
equipe show ipv6 interface brief Você pode verificar se as configurações da interface estão corretas. Então a interface g0/0 é configurada:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
A seguir, o roteador RTR1 será configurado. Aqui você também precisa criar um loopback número 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Também no RTR1 você precisa criar 2 subinterfaces virtuais para vlans com números 100 e 300. Isso pode ser feito da seguinte maneira.
Primeiro, você precisa habilitar a interface física g0/1 com o comando no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Em seguida, são criadas e configuradas subinterfaces com números 100 e 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
O número da subinterface pode ser diferente do número da vlan em que funcionará, mas por conveniência é melhor usar o número da subinterface que corresponda ao número da vlan. Se você definir o tipo de encapsulamento ao configurar uma subinterface, deverá especificar um número que corresponda ao número da vlan. Então depois do comando encapsulation dot1Q 300 a subinterface só passará por pacotes vlan com número 300.
A etapa final desta tarefa será o roteador RTR2. A conexão entre SW1 e RTR2 deve estar em modo de acesso, a interface do switch passará para RTR2 apenas os pacotes destinados à vlan número 300, isso está indicado na tarefa da topologia L2. Portanto, apenas a interface física será configurada no roteador RTR2 sem criar subinterfaces:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Então a interface g0/0 é configurada:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Isso conclui a configuração das interfaces do roteador para a tarefa atual. As interfaces restantes serão configuradas conforme você conclui as tarefas a seguir.
a. Habilite o mecanismo SLAAC para emitir endereços IPv6 na rede MNG na interface do roteador RTR1
O mecanismo SLAAC está habilitado por padrão. A única coisa que você precisa fazer é ativar o roteamento IPv6. Você pode fazer isso com o seguinte comando:
RTR1(config-subif)#ipv6 unicast-routing
Sem este comando o equipamento atua como host. Em outras palavras, graças ao comando acima, é possível usar funções adicionais do IPv6, incluindo emissão de endereços IPv6, configuração de roteamento, etc.
b. Nas interfaces virtuais na VLAN 100 (MNG) nos switches SW1, SW2, SW3, habilite o modo de configuração automática IPv6
Pela topologia L3 fica claro que os switches estão conectados à VLAN 100. Isso significa que é necessário criar interfaces virtuais nos switches, e só então atribuí-los para receber endereços IPv6 por padrão. A configuração inicial foi feita justamente para que os switches pudessem receber endereços padrão do RTR1. Você pode concluir esta tarefa usando a seguinte lista de comandos, adequada para todos os três switches:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Você pode verificar tudo com o mesmo comando show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Além do endereço link-local, apareceu um endereço ipv6 recebido do RTR1. Esta tarefa foi concluída com sucesso e os mesmos comandos devem ser escritos nos switches restantes.
Com. Em TODOS os dispositivos (exceto PC1 e WEB) atribua manualmente endereços link-local
Endereços IPv6 de trinta dígitos não são divertidos para administradores, por isso é possível alterar manualmente o link-local, reduzindo seu comprimento a um valor mínimo. As tarefas não dizem nada sobre quais endereços escolher, portanto, aqui é fornecida uma escolha livre.
Por exemplo, no switch SW1 você precisa definir o endereço link-local fe80::10. Isso pode ser feito com o seguinte comando no modo de configuração da interface selecionada:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Agora o endereçamento parece muito mais atraente:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Além do endereço link-local, o endereço IPv6 recebido também mudou, pois o endereço é emitido com base no endereço link-local.
No switch SW1 foi necessário definir apenas um endereço link-local em uma interface. Com o roteador RTR1, você precisa fazer mais configurações - você precisa definir o link-local em duas subinterfaces, no loopback, e nas configurações subsequentes a interface do túnel 100 também aparecerá.
Para evitar a gravação desnecessária de comandos, você pode definir o mesmo endereço local de link em todas as interfaces de uma só vez. Você pode fazer isso usando uma palavra-chave range seguido pela listagem de todas as interfaces:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Ao verificar as interfaces, você verá que os endereços locais do link foram alterados em todas as interfaces selecionadas:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Todos os outros dispositivos são configurados de maneira semelhante
d. Em TODOS os switches, desative TODAS as portas não utilizadas no trabalho e transfira para a VLAN 99
A ideia básica é a mesma forma de selecionar múltiplas interfaces para configurar usando o comando range, e só então você deve escrever comandos para transferir para a vlan desejada e depois desligar as interfaces. Por exemplo, o switch SW1, conforme a topologia L1, terá as portas f0/3-4, f0/7-8, f0/11-24 e g0/2 desabilitadas. Para este exemplo a configuração seria a seguinte:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Ao verificar as configurações com um comando já conhecido, é importante ressaltar que todas as portas não utilizadas devem ter um status administrativamente inativo, notificando que a porta está desabilitada:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Para ver em qual vlan a porta está, você pode usar outro comando:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Todas as interfaces não utilizadas devem estar aqui. Vale ressaltar que não será possível transferir interfaces para vlan se tal vlan não tiver sido criada. É para isso que na configuração inicial foram criadas todas as vlans necessárias ao funcionamento.
e. No switch SW1, habilite um bloqueio por 1 minuto se a senha for digitada incorretamente duas vezes em 30 segundos
Você pode fazer isso com o seguinte comando:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Você também pode verificar essas configurações da seguinte maneira:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Onde for claramente explicado que após duas tentativas malsucedidas em 30 segundos ou menos, a capacidade de fazer login será bloqueada por 60 segundos.
2. Todos os dispositivos devem ser gerenciáveis via SSH versão 2
Para que os dispositivos sejam acessíveis via SSH versão 2, é necessário primeiro configurar o equipamento, portanto, para fins informativos, iremos primeiro configurar o equipamento com as configurações de fábrica.
Você pode alterar a versão da punção da seguinte forma:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
O sistema solicita que você crie chaves RSA para que o SSH versão 2 funcione. Seguindo o conselho do sistema inteligente, você pode criar chaves RSA com o seguinte comando:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
O sistema não permite que o comando seja executado porque o nome do host não foi alterado. Depois de alterar o nome do host, você precisa escrever o comando de geração de chave novamente:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Agora o sistema não permite a criação de chaves RSA devido à falta de um nome de domínio. E após instalar o nome de domínio, será possível criar chaves RSA. As chaves RSA devem ter pelo menos 768 bits para que o SSH versão 2 funcione:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Como resultado, para que o SSHv2 funcione é necessário:
- Alterar nome de host;
- Alterar nome de domínio;
- Gere chaves RSA.
O artigo anterior mostrou como alterar o nome do host e o nome de domínio em todos os dispositivos, portanto, enquanto continua a configurar os dispositivos atuais, você só precisa gerar chaves RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
A versão 2 do SSH está ativa, mas os dispositivos ainda não estão totalmente configurados. A etapa final será configurar consoles virtuais:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
No artigo anterior foi configurado o modelo AAA, onde a autenticação era configurada em consoles virtuais utilizando um banco de dados local, e o usuário, após a autenticação, deveria entrar imediatamente em modo privilegiado. O teste mais simples da funcionalidade SSH é tentar conectar-se ao seu próprio equipamento. RTR1 possui um loopback com endereço IP 1.1.1.1, você pode tentar conectar-se a este endereço:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Depois da chave -l Digite o login do usuário existente e depois a senha. Após a autenticação, o usuário muda imediatamente para o modo privilegiado, o que significa que o SSH está configurado corretamente.
Fonte: habr.com