اسان "نيٽ ورڪ ۽ سسٽم ايڊمنسٽريشن" جي صلاحيت ۾ ورلڊ اسڪلز چيمپيئن شپ جي نيٽورڪ ماڊل جي ڪمن جو تجزيو ڪرڻ جاري رکون ٿا.
مضمون ھيٺ ڏنل ڪمن کي ڍڪيندو:
- سڀني ڊوائيسز تي، ورچوئل انٽرفيس، سب انٽرفيس، ۽ لوپ بڪ انٽرفيس ٺاھيو. IP پتي کي ٽوپولوجي جي مطابق مقرر ڪريو.
- RTR6 روٽر انٽرفيس تي MNG نيٽ ورڪ ۾ IPv1 ايڊريس جاري ڪرڻ لاءِ SLAAC ميڪانيزم کي فعال ڪريو؛
- VLAN 100 (MNG) ۾ ورچوئل انٽرفيس تي سوئچز SW1، SW2، SW3، فعال ڪريو IPv6 آٽو ڪنفيگريشن موڊ؛
- سڀني ڊوائيسز تي (سواء PC1 ۽ WEB) دستي طور تي لنڪ-مقامي ايڊريس تفويض ڪريو؛
- سڀني سوئچز تي، ڪم ۾ استعمال نه ٿيل سڀني بندرگاهن کي بند ڪريو ۽ VLAN 99 ڏانهن منتقل ڪريو؛
- سوئچ SW1 تي، 1 منٽ لاءِ تالا چالو ڪريو جيڪڏھن پاسورڊ 30 سيڪنڊن اندر ٻه ڀيرا غلط داخل ڪيو ويو آھي؛
- سڀئي ڊوائيس لازمي طور تي SSH ورزن 2 ذريعي منظم ٿيڻ گهرجن.
فزيڪل پرت تي نيٽ ورڪ ٽوپولوجي هيٺ ڏنل آريگرام ۾ پيش ڪئي وئي آهي:
ڊيٽا لنڪ جي سطح تي نيٽ ورڪ ٽوپولوجي هيٺ ڏنل ڊراگرام ۾ پيش ڪيو ويو آهي:
نيٽ ورڪ سطح تي نيٽ ورڪ ٽوپولوجي هيٺ ڏنل ڊراگرام ۾ پيش ڪيو ويو آهي:
اڳئين سيٽنگ
مٿين ڪمن کي انجام ڏيڻ کان اڳ، ان کي SW1-SW3 سوئچز تي بنيادي سوئچنگ قائم ڪرڻ جي قابل آهي، ڇاڪاڻ ته اهو مستقبل ۾ انهن جي سيٽنگن کي جانچڻ لاء وڌيڪ آسان ٿيندو. سوئچنگ سيٽنگ کي ايندڙ مضمون ۾ تفصيل سان بيان ڪيو ويندو، پر ھاڻي صرف سيٽنگون بيان ڪيون وينديون.
پهريون قدم سڀني سوئچز تي نمبر 99، 100 ۽ 300 سان vlans ٺاهڻ آهي:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
ايندڙ قدم انٽرفيس g0/1 کي SW1 ڏانهن منتقل ڪرڻ آهي vlan نمبر 300 ڏانهن:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
انٽرفيس f0/1-2, f0/5-6، جيڪي ٻين سوئچز کي منهن ڏين ٿا، انهن کي ٽرن موڊ ۾ تبديل ڪيو وڃي:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
ٽرن موڊ ۾ SW2 سوئچ ڪرڻ تي اتي انٽرفيس هوندا f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
ٽرن موڊ ۾ SW3 سوئچ تي اتي انٽرفيس هوندا f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
ھن مرحلي ۾، سوئچ سيٽنگون ٽيگ ٿيل پيڪن جي بدلي جي اجازت ڏين ٿيون، جيڪي ڪم مڪمل ڪرڻ لاء گھربل آھن.
1. سڀني ڊوائيسز تي ورچوئل انٽرفيس، سب انٽرفيس، ۽ لوپ بيڪ انٽرفيس ٺاھيو. IP پتي کي ٽوپولوجي جي مطابق مقرر ڪريو.
روٽر BR1 پهرين ترتيب ڏني ويندي. L3 ٽوپولوجي جي مطابق، هتي توهان کي لوپ قسم جي انٽرفيس کي ترتيب ڏيڻ جي ضرورت آهي، جنهن کي لوپ بڪ طور سڃاتو وڃي ٿو، نمبر 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
ٺاهيل انٽرفيس جي حالت کي جانچڻ لاء، توھان استعمال ڪري سگھو ٿا حڪم show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
هتي توهان ڏسي سگهو ٿا ته لوپ بيڪ فعال آهي، ان جي حالت UP. جيڪڏهن توهان هيٺ ڏسو، توهان ٻه IPv6 ايڊريس ڏسي سگهو ٿا، جيتوڻيڪ صرف هڪ حڪم استعمال ڪيو ويو IPv6 پتو مقرر ڪرڻ لاء. حقيقت اها آهي ته FE80::2D0:97FF:FE94:5022 هڪ لنڪ-مقامي ايڊريس آهي جيڪو تفويض ڪيو ويندو آهي جڏهن ipv6 ڪمانڊ سان انٽرفيس تي فعال ڪيو ويندو آهي ipv6 enable.
۽ IPv4 پتي کي ڏسڻ لاء، ساڳيو حڪم استعمال ڪريو:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
BR1 لاءِ، توهان کي فوري طور تي g0/0 انٽرفيس ترتيب ڏيڻ گهرجي؛ هتي توهان کي صرف IPv6 ايڊريس سيٽ ڪرڻ جي ضرورت آهي:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
توھان ساڳئي حڪم سان سيٽنگون چيڪ ڪري سگھو ٿا show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
اڳيون، ISP روٽر ترتيب ڏنو ويندو. هتي، ٽاسڪ جي مطابق، لوپ بيڪ نمبر 0 ترتيب ڏنو ويندو، پر ان کان علاوه، اهو بهتر آهي ته g0/0 انٽرفيس کي ترتيب ڏيو، جنهن جو پتو 30.30.30.1 هجڻ گهرجي، اهو سبب آهي ته ايندڙ ڪمن ۾ ڪجهه به نه چيو ويندو. انهن انٽرفيس کي ترتيب ڏيڻ. پهريون، لوپ بڪ نمبر 0 ترتيب ڏنل آهي:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
ٽيم show ipv6 interface brief توھان تصديق ڪري سگھو ٿا ته انٽرفيس سيٽنگون صحيح آھن. پوء انٽرفيس g0/0 ترتيب ڏنل آهي:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
اڳيون، RTR1 روٽر ترتيب ڏنو ويندو. هتي توهان کي هڪ لوپ بيڪ نمبر 100 ٺاهڻ جي ضرورت آهي:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
RTR1 تي پڻ توهان کي 2 ۽ 100 نمبرن سان vlans لاءِ 300 ورچوئل سب انٽرفيس ٺاهڻ گهرجن. اهو هن ريت ڪري سگهجي ٿو.
پهرين، توهان کي فزيڪل انٽرفيس کي فعال ڪرڻ جي ضرورت آهي g0/1 بغير بند ٿيل حڪم سان:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
پوءِ 100 ۽ 300 نمبرن سان سب انٽرفيس ٺاهيا ويا ۽ ترتيب ڏنل:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
ذيلي انٽرفيس نمبر vlan نمبر کان مختلف ٿي سگهي ٿو جنهن ۾ اهو ڪم ڪندو، پر سهولت لاءِ اهو بهتر آهي ته سب انٽرفيس نمبر استعمال ڪيو وڃي جيڪو vlan نمبر سان ملي. جيڪڏهن توهان هڪ ذيلي انٽرفيس قائم ڪرڻ وقت encapsulation جو قسم مقرر ڪيو ٿا، توهان کي هڪ نمبر بيان ڪرڻ گهرجي جيڪو vlan نمبر سان ملندو آهي. سو حڪم کان پوءِ encapsulation dot1Q 300 ذيلي انٽرفيس صرف 300 نمبر سان vlan پيڪٽس ذريعي گذري ٿو.
هن ڪم ۾ آخري قدم RTR2 روٽر هوندو. SW1 ۽ RTR2 جي وچ ۾ ڪنيڪشن لازمي طور تي پهچ واري موڊ ۾ ھجڻ گھرجي، سوئچ انٽرفيس RTR2 ڏانھن ھليو ويندو صرف پيڪٽن جو مقصد vlan نمبر 300 لاءِ آھي، اھو ٽاسڪ ۾ بيان ڪيو ويو آھي L2 ٽوپولوجي تي. تنهن ڪري، صرف فزيڪل انٽرفيس RTR2 روٽر تي ترتيب ڏني ويندي بغير ذيلي انٽرنيٽ ٺاهڻ جي:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
پوء انٽرفيس g0/0 ترتيب ڏنل آهي:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
هي موجوده ڪم لاء روٽر انٽرفيس جي ترتيب کي مڪمل ڪري ٿو. باقي انٽرفيس کي ترتيب ڏنو ويندو جيئن توھان ھيٺ ڏنل ڪم مڪمل ڪريو.
هڪ RTR6 روٽر انٽرفيس تي MNG نيٽ ورڪ ۾ IPv1 ايڊريس جاري ڪرڻ لاءِ SLAAC ميڪانيزم کي فعال ڪريو
SLAAC ميڪانيزم ڊفالٽ طور تي فعال آهي. صرف هڪ شيء توهان کي ڪرڻو آهي IPv6 روٽنگ کي فعال ڪريو. توھان ھيٺ ڏنل حڪم سان ڪري سگھو ٿا:
RTR1(config-subif)#ipv6 unicast-routing
هن حڪم جي بغير، سامان هڪ ميزبان طور ڪم ڪري ٿو. ٻين لفظن ۾، مٿي ڏنل حڪم جي مهرباني، اهو ممڪن آهي اضافي ipv6 افعال استعمال ڪرڻ، بشمول ipv6 ايڊريس جاري ڪرڻ، روٽنگ ترتيب ڏيڻ، وغيره.
ب. VLAN 100 (MNG) ۾ ورچوئل انٽرفيس تي سوئچز SW1، SW2، SW3، فعال ڪريو IPv6 آٽو ڪنفيگريشن موڊ
L3 ٽوپولوجي مان اهو واضح ٿئي ٿو ته سوئچز VLAN 100 سان ڳنڍيل آهن. ان جو مطلب اهو آهي ته سوئچز تي ورچوئل انٽرفيس ٺاهڻ ضروري آهي، ۽ صرف پوءِ انهن کي مقرر ڪيو وڃي IPv6 ايڊريس وصول ڪرڻ لاءِ ڊفالٽ طور. شروعاتي تشڪيل بلڪل صحيح ڪئي وئي ته جيئن سوئچز RTR1 کان ڊفالٽ ايڊريس حاصل ڪري سگھن. توھان ھي ڪم مڪمل ڪري سگھوٿا ھيٺ ڏنل حڪمن جي فهرست کي استعمال ڪندي، سڀني ٽن سوئچز لاءِ مناسب:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
توهان ساڳئي حڪم سان هر شي کي چيڪ ڪري سگهو ٿا show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
لنڪ-مقامي ايڊريس جي اضافي ۾، RTR6 مان مليل هڪ ipv1 پتو ظاهر ٿيو. هي ڪم ڪاميابيءَ سان مڪمل ٿي چڪو آهي، ۽ باقي سِوِچن تي ساڳيا حڪم لکڻ گهرجن.
سان. سڀني ڊوائيسز تي (سواء PC1 ۽ WEB) دستي طور تي لنڪ-مقامي ايڊريس تفويض ڪريو
ٽيهه عدد IPv6 ايڊريس ايڊمنسٽريٽرن لاءِ ڪو مزو نه آهن، تنهن ڪري اهو ممڪن آهي دستي طور لنڪ-لوڪل کي تبديل ڪري، ان جي ڊيگهه کي گهٽ ۾ گهٽ قيمت تائين گھٽائي. تفويض ڪجھ به نه چوندا آهن ته ڪھڙي پتي کي چونڊڻ لاء، تنھنڪري ھڪڙو مفت انتخاب مهيا ڪيو ويو آھي ھتي.
مثال طور، سوئچ SW1 تي توهان کي لنڪ-لوڪل ايڊريس fe80::10 سيٽ ڪرڻ جي ضرورت آهي. اهو ٿي سگهي ٿو هيٺ ڏنل حڪم سان چونڊيل انٽرفيس جي ترتيب واري موڊ مان:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
هاڻي خطاب گهڻو وڌيڪ پرڪشش نظر اچي ٿو:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
لنڪ-لوڪل ايڊريس کان علاوه، موصول ٿيل IPv6 ايڊريس پڻ تبديل ٿي چڪو آهي، ڇاڪاڻ ته ايڊريس لنڪ-لوڪل ايڊريس جي بنياد تي جاري ڪيو ويو آهي.
سوئچ SW1 تي اهو ضروري هو ته هڪ انٽرفيس تي صرف هڪ لنڪ-مقامي پتو مقرر ڪيو وڃي. RTR1 روٽر سان، توهان کي وڌيڪ سيٽنگون ٺاهڻ جي ضرورت آهي - توهان کي ٻن سب انٽرفيس تي لنڪ-لوڪل سيٽ ڪرڻ جي ضرورت آهي، لوپ بڪ تي، ۽ ايندڙ سيٽنگن ۾ سرنگ 100 انٽرفيس پڻ ظاهر ٿيندو.
حڪمن جي غير ضروري لکڻ کان بچڻ لاء، توهان هڪ ئي وقت ۾ سڀني انٽرفيس تي ساڳيو لنڪ-مقامي ايڊريس سيٽ ڪري سگهو ٿا. توھان ھي ڪري سگھوٿا لفظ استعمال ڪندي range سڀني انٽرفيس کي لسٽ ڪندي پٺيان:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
جڏهن انٽرفيس کي چيڪ ڪندي، توهان ڏسندا ته لنڪ-مقامي ايڊريس سڀني چونڊيل انٽرفيس تي تبديل ڪيا ويا آهن:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
ٻيا سڀئي ڊوائيس ساڳئي طريقي سان ترتيب ڏنل آهن
ڊي. سڀني سوئچز تي، سڀني بندرگاهن کي بند ڪريو جيڪي نوڪري ۾ استعمال نه ڪيا ويا آهن ۽ VLAN 99 ڏانهن منتقل ڪريو
بنيادي خيال ساڳيو طريقو آهي ڪيترن ئي انٽرفيس کي چونڊڻ جو حڪم استعمال ڪندي ترتيب ڏيڻ لاءِ range، ۽ صرف پوءِ توھان کي حڪم لکڻ گھرجي مطلوب vlan ڏانھن منتقل ڪرڻ ۽ پوءِ انٽرفيس کي بند ڪريو. مثال طور، سوئچ SW1، L1 ٽوپولوجي جي مطابق، بندرگاهن f0/3-4، f0/7-8، f0/11-24 ۽ g0/2 بند هوندا. هن مثال لاء سيٽنگ هن ريت هوندي:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
جڏهن اڳ ۾ ئي سڃاتل حڪم سان سيٽنگون چيڪ ڪريو، اهو سمجهڻ جي قابل آهي ته سڀني غير استعمال ٿيل بندرگاهن کي هڪ حيثيت هجڻ گهرجي انتظامي طور تي هيٺ، اشارو ڪري ٿو ته بندرگاهه بند ٿيل آهي:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
ڏسڻ لاءِ ته بندرگاهه ڪهڙي ويلان ۾ آهي، توهان استعمال ڪري سگهو ٿا ٻيو حڪم:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
سڀ غير استعمال ٿيل انٽرفيس ھتي ھجن. اهو نوٽ ڪرڻ جي قابل آهي ته اهو ممڪن نه هوندو ته انٽرفيس کي vlan ڏانهن منتقل ڪرڻ جيڪڏهن اهڙي vlan ٺاهي نه وئي آهي. اهو هن مقصد لاء آهي ته شروعاتي سيٽ اپ ۾ آپريشن لاء تمام ضروري وينز ٺاهيا ويا.
e. سوئچ SW1 تي، 1 منٽ لاءِ تالا فعال ڪريو جيڪڏھن پاسورڊ 30 سيڪنڊن اندر ٻه ڀيرا غلط داخل ٿيو
توھان ھيٺ ڏنل حڪم سان ڪري سگھو ٿا:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
توھان پڻ ھيٺ ڏنل سيٽنگون چيڪ ڪري سگھو ٿا:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
جتي اهو واضح ڪيو ويو آهي ته 30 سيڪنڊن يا ان کان گهٽ اندر ٻه ناڪام ڪوششون ڪرڻ کان پوءِ لاگ ان ٿيڻ جي صلاحيت 60 سيڪنڊن لاءِ بلاڪ ٿي ويندي.
2. سڀئي ڊوائيس لازمي طور تي SSH ورزن 2 ذريعي منظم ٿيڻ گهرجن
SSH ورزن 2 ذريعي ڊوائيسز تائين رسائي حاصل ڪرڻ لاء، ضروري آھي ته پھريون سامان ترتيب ڏيو، تنھنڪري معلوماتي مقصدن لاء، اسين پھريائين سامان کي فیکٹري سيٽنگن سان ترتيب ڏينداسين.
توھان ھيٺ ڏنل پنڪچر ورزن کي تبديل ڪري سگھو ٿا:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
سسٽم توهان کي SSH ورزن 2 لاءِ ڪم ڪرڻ لاءِ RSA ڪيز ٺاهڻ لاءِ پڇي ٿو. سمارٽ سسٽم جي صلاح تي عمل ڪندي، توهان هيٺ ڏنل حڪم سان RSA ڪيز ٺاهي سگهو ٿا:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
سسٽم حڪم کي عمل ڪرڻ جي اجازت نٿو ڏئي ڇاڪاڻ ته ميزبان جو نالو تبديل نه ڪيو ويو آهي. ميزبان جو نالو تبديل ڪرڻ کان پوء، توهان کي ٻيهر لکڻ جي ضرورت آهي اهم نسل جو حڪم:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
ھاڻي سسٽم توھان کي اجازت نٿو ڏئي RSA ڪيز ٺاھڻ جي ڪري ڊومين جو نالو نه ھجڻ جي ڪري. ۽ ڊومين جو نالو انسٽال ڪرڻ کان پوء، اهو RSA ڪيز ٺاهڻ ممڪن ٿيندو. ڪم ڪرڻ لاءِ SSH ورزن 768 لاءِ RSA ڪنجيون گھٽ ۾ گھٽ 2 بٽ ڊگھيون ھجن:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
نتيجي طور، اهو ظاهر ٿئي ٿو ته SSHv2 ڪم ڪرڻ لاء ضروري آهي:
- ميزبان نالو تبديل ڪريو؛
- ڊومين جو نالو تبديل ڪريو؛
- RSA چابيون ٺاھيو.
پوئين آرٽيڪل ڏيکاريو ته سڀني ڊوائيسز تي ميزبان جو نالو ۽ ڊومين جو نالو ڪيئن تبديل ڪجي، تنهنڪري موجوده ڊوائيسز کي ترتيب ڏيڻ جاري رکڻ دوران، توهان کي صرف RSA چابيون پيدا ڪرڻ جي ضرورت آهي:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH نسخو 2 فعال آهي، پر ڊوائيسز اڃا تائين مڪمل طور تي ترتيب ڏنل نه آهن. آخري قدم ورچوئل ڪنسولز کي ترتيب ڏيندو:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
پوئين آرٽيڪل ۾، AAA ماڊل ترتيب ڏني وئي، جتي مقامي ڊيٽابيس استعمال ڪندي ورچوئل ڪنسولز تي تصديق ڪئي وئي، ۽ صارف، تصديق کان پوء، فوري طور تي مراعات يافته موڊ ۾ وڃڻ گهرجي. SSH ڪارڪردگي جو آسان ترين امتحان توهان جي پنهنجي سامان سان ڳنڍڻ جي ڪوشش ڪرڻ آهي. RTR1 وٽ IP پتي 1.1.1.1 سان لوپ بڪ آهي، توهان هن ايڊريس سان ڳنڍڻ جي ڪوشش ڪري سگهو ٿا:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
چاٻي کان پوء -l موجوده صارف جو لاگ ان داخل ڪريو، ۽ پوء پاسورڊ. تصديق ڪرڻ کان پوء، صارف فوري طور تي امتيازي موڊ تي سوئچ ڪري ٿو، جنهن جو مطلب آهي ته SSH صحيح ترتيب ڏنل آهي.
جو ذريعو: www.habr.com