Cieľom hnutia WorldSkills je poskytnúť účastníkom predovšetkým praktické zručnosti, ktoré sú žiadané na modernom trhu práce. Kompetencia „Správa siete a systému“ pozostáva z troch modulov: Sieť, Windows, Linux. Úlohy sa menia od šampionátu k šampionátu, menia sa podmienky súťaže, no štruktúra úloh z väčšej časti zostáva nezmenená.
Network Island bude prvý vďaka svojej jednoduchosti v porovnaní s ostrovmi Linux a Windows.
Článok sa bude zaoberať nasledujúcimi úlohami:
- Nastavte názvy VŠETKÝCH zariadení podľa topológie
- Priraďte názov domény wsrvuz19.ru VŠETKÝM zariadeniam
- Vytvorte používateľa wsrvuz19 na VŠETKÝCH zariadeniach s heslom cisco
- Heslo užívateľa musí byť uložené v konfigurácii ako výsledok hašovacej funkcie.
- Používateľ musí mať maximálnu úroveň privilégií.
- Pre VŠETKY zariadenia implementujte model AAA.
- Autentifikácia na vzdialenej konzole musí byť vykonaná pomocou lokálnej databázy (okrem zariadení RTR1 a RTR2)
- Po úspešnej autentifikácii, pri prihlásení zo vzdialenej konzoly, by mal užívateľ okamžite prejsť do režimu s maximálnou úrovňou privilégií.
- Nakonfigurujte potrebu autentifikácie na lokálnej konzole.
- Úspešná autentifikácia do lokálnej konzoly by mala používateľa dostať do režimu s minimálnymi privilégiami.
- Na BR1 by mal byť používateľ po úspešnej autentifikácii na lokálnej konzole v režime s maximálnou úrovňou privilégií
- Na VŠETKÝCH zariadeniach nastavte heslo wsr na vstup do privilegovaného režimu.
- Heslo by malo byť uložené v konfigurácii NIE ako výsledok hašovacej funkcie.
- Nakonfigurujte režim, v ktorom sú všetky heslá v konfigurácii uložené v zašifrovanej forme.
Topológia siete na fyzickej vrstve je znázornená na nasledujúcom diagrame:
1. Nastavte názvy VŠETKÝCH zariadení podľa topológie
Pre nastavenie názvu zariadenia (hostname) je potrebné zadať príkaz z režimu globálnej konfigurácie hostname SW1, kde namiesto SW1 Musíte napísať názov zariadenia uvedeného v úlohách.
Nastavenia môžete dokonca skontrolovať vizuálne – namiesto prednastavenia prepínač bol SW1:
Switch(config)# hostname SW1
SW1(config)#
Hlavnou úlohou po vykonaní akýchkoľvek nastavení je uloženie konfigurácie.
Toto je možné vykonať z režimu globálnej konfigurácie pomocou príkazu do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Alebo z privilegovaného režimu pomocou príkazu write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Priraďte názov domény wsrvuz19.ru VŠETKÝM zariadeniam
Predvolený názov domény wsrvuz19.ru môžete nastaviť z režimu globálnej konfigurácie pomocou príkazu ip domain-name wsrvuz19.ru.
Kontrola sa vykonáva príkazom do show hosts Summary z režimu globálnej konfigurácie:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Vytvorte používateľa wsrvuz19 na VŠETKÝCH zariadeniach s heslom cisco
Je potrebné vytvoriť používateľa tak, aby mal maximálnu úroveň oprávnení, a heslo je uložené ako hashovacia funkcia. Všetky tieto podmienky tím zohľadňuje username wsrvuz19 privilege 15 secret cisco.
tu:
username wsrvuz19 - Používateľské meno;
privilege 15 — úroveň práv (0 – minimálna úroveň, 15 – maximálna úroveň);
secret cisco — uloženie hesla ako hašovacej funkcie MD5.
zobraziť príkaz running-config umožňuje skontrolovať nastavenia aktuálnej konfigurácie, kde nájdete riadok s pridaným používateľom a uistíte sa, že heslo je uložené v zašifrovanej podobe:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Implementujte model AAA pre VŠETKY zariadenia
Model AAA je systém autentifikácie, autorizácie a zaznamenávania udalostí. Na dokončenie tejto úlohy je prvým krokom povoliť model AAA a určiť, že autentifikácia sa bude vykonávať pomocou lokálnej databázy:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
a. Autentifikácia na vzdialenej konzole musí byť vykonaná pomocou lokálnej databázy (okrem zariadení RTR1 a RTR2)
Úlohy definujú dva typy konzol: lokálne a vzdialené. Vzdialená konzola umožňuje realizovať vzdialené pripojenia napríklad cez protokoly SSH alebo Telnet.
Na dokončenie tejto úlohy musíte zadať nasledujúce príkazy:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
tím line vty 0 4 prechádza sa na nastavenie virtuálnych terminálových liniek z 0 na 4.
Tím login authentication default povolí predvolený režim autentifikácie na virtuálnej konzole a predvolený režim bol nastavený v predchádzajúcej úlohe pomocou príkazu aaa authentication login default local.
Ukončenie režimu nastavenia vzdialenej konzoly sa vykoná pomocou príkazu exit.
Spoľahlivým testom by bolo testovacie pripojenie cez Telnet z jedného zariadenia do druhého. Stojí za zváženie, že na to je potrebné na vybranom zariadení nakonfigurovať základné prepínanie a IP adresovanie.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Po úspešnej autentifikácii, pri prihlásení zo vzdialenej konzoly, by mal užívateľ okamžite prejsť do režimu s maximálnou úrovňou privilégií
Ak chcete tento problém vyriešiť, musíte sa vrátiť k nastaveniu virtuálnych terminálových liniek a pomocou príkazu nastaviť úroveň privilégií privilege level 15, kde 15 je opäť maximálna úroveň a 0 je minimálna úroveň privilégií:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Testom bude riešenie z predchádzajúceho odseku - vzdialené pripojenie cez Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Po overení používateľ okamžite vstúpi do privilegovaného režimu, pričom obíde neprivilegovaný režim, čo znamená, že úloha bola dokončená správne.
cd. Nakonfigurujte potrebu na lokálnej konzole a po úspešnej autentifikácii by mal užívateľ vstúpiť do režimu s minimálnou úrovňou privilégií
Štruktúra príkazov v týchto úlohách sa zhoduje s predtým riešenými úlohami 4.a a 4.b. Tím line vty 0 4 sa nahrádza výrazom console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Ako už bolo spomenuté, minimálna úroveň privilégií je určená číslom 0. Kontrolu je možné vykonať nasledovne:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Po overení sa používateľ dostane do neprivilegovaného režimu, ako je uvedené v úlohách.
e. Na BR1 by po úspešnej autentifikácii na lokálnej konzole mal byť používateľ v režime s maximálnou úrovňou privilégií
Nastavenie lokálnej konzoly na BR1 bude vyzerať takto:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Kontrola sa vykonáva rovnakým spôsobom ako v predchádzajúcom odseku:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Po autentifikácii dôjde k prechodu do privilegovaného režimu.
5. Na VŠETKÝCH zariadeniach nastavte heslo wsr na vstup do privilegovaného režimu
Úlohy hovoria, že heslo pre privilegovaný režim by malo byť štandardne uložené ako čistý text, ale režim šifrovania pre všetky heslá vám nedovolí zobraziť heslo ako čistý text. Ak chcete nastaviť heslo na vstup do privilegovaného režimu, použite príkaz enable password wsr. Použitie kľúčového slova password, určuje typ, v ktorom bude heslo uložené. Ak musí byť heslo pri vytváraní používateľa zašifrované, potom kľúčové slovo bolo slovo secreta používa sa na otvorené úložisko password.
Nastavenia môžete skontrolovať v zobrazení aktuálnej konfigurácie:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Je vidieť, že heslo používateľa je uložené v zašifrovanej podobe a heslo pre vstup do privilegovaného režimu je uložené ako čistý text, ako je uvedené v úlohách.
Ak chcete zabezpečiť, aby boli všetky heslá uložené zašifrované, použite príkaz service password-encryption. Zobrazenie aktuálnej konfigurácie bude teraz vyzerať takto:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Heslo už nie je možné zobraziť ako čistý text.
Zdroj: hab.com