Pokračujeme v analýze úloh Sieťového modulu majstrovstiev WorldSkills v kompetencii „Správa siete a systému“.
Článok sa bude zaoberať nasledujúcimi úlohami:
- Na VŠETKÝCH zariadeniach vytvorte virtuálne rozhrania, podrozhrania a rozhrania spätnej slučky. Priraďte IP adresy podľa topológie.
- Povoliť mechanizmus SLAAC na vydávanie adries IPv6 v sieti MNG na rozhraní smerovača RTR1;
- Na virtuálnych rozhraniach vo VLAN 100 (MNG) na prepínačoch SW1, SW2, SW3 povoľte režim automatickej konfigurácie IPv6;
- Na VŠETKÝCH zariadeniach (okrem PC1 a WEB) manuálne priraďte lokálne adresy;
- Na VŠETKÝCH prepínačoch zakážte VŠETKY porty, ktoré sa v úlohe nepoužívajú, a preneste do VLAN 99;
- Na spínači SW1 povoľte uzamknutie na 1 minútu, ak heslo zadáte nesprávne dvakrát do 30 sekúnd;
- Všetky zariadenia musia byť spravovateľné cez SSH verzie 2.
Topológia siete na fyzickej vrstve je znázornená na nasledujúcom diagrame:
Topológia siete na úrovni dátového spojenia je znázornená na nasledujúcom diagrame:
Topológia siete na úrovni siete je znázornená na nasledujúcom diagrame:
prednastavenie
Pred vykonaním vyššie uvedených úloh sa oplatí nastaviť základné zapínanie spínačov SW1-SW3, pretože v budúcnosti bude pohodlnejšie skontrolovať ich nastavenie. Nastavenie prepínania bude podrobne popísané v nasledujúcom článku, zatiaľ však budú definované iba nastavenia.
Prvým krokom je vytvorenie vlan s číslami 99, 100 a 300 na všetkých prepínačoch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Ďalším krokom je prenos rozhrania g0/1 na SW1 do vlan číslo 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Rozhrania f0/1-2, f0/5-6, ktoré sú orientované na iné prepínače, by sa mali prepnúť do diaľkového režimu:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Na prepínači SW2 v režime kufra budú rozhrania f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Na prepínači SW3 v režime kufra budú rozhrania f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
V tejto fáze nastavenia prepínača umožnia výmenu označených paketov, čo je potrebné na dokončenie úloh.
1. Vytvorte virtuálne rozhrania, podrozhrania a rozhrania spätnej slučky na VŠETKÝCH zariadeniach. Priraďte IP adresy podľa topológie.
Najprv sa nakonfiguruje smerovač BR1. Podľa topológie L3 tu musíte nakonfigurovať rozhranie typu slučky, tiež známe ako slučka, číslo 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Ak chcete skontrolovať stav vytvoreného rozhrania, môžete použiť príkaz show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Tu môžete vidieť, že spätná slučka je aktívna, jej stav UP. Ak sa pozriete nižšie, môžete vidieť dve adresy IPv6, hoci na nastavenie adresy IPv6 bol použitý iba jeden príkaz. Faktom je, že FE80::2D0:97FF:FE94:5022 je lokálna adresa, ktorá je priradená, keď je ipv6 povolené na rozhraní s príkazom ipv6 enable.
Ak chcete zobraziť adresu IPv4, použite podobný príkaz:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Pre BR1 by ste mali okamžite nakonfigurovať rozhranie g0/0, tu stačí nastaviť IPv6 adresu:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Nastavenia môžete skontrolovať rovnakým príkazom show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Ďalej sa nakonfiguruje smerovač ISP. Tu sa podľa úlohy nakonfiguruje spätná slučka číslo 0, ale okrem toho je vhodnejšie nakonfigurovať rozhranie g0/0, ktoré by malo mať adresu 30.30.30.1, pretože v nasledujúcich úlohách sa už nič nehovorí o nastavenie týchto rozhraní. Najprv sa nakonfiguruje spätná slučka číslo 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
tím show ipv6 interface brief Môžete si overiť, či sú nastavenia rozhrania správne. Potom je nakonfigurované rozhranie g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Ďalej sa nakonfiguruje smerovač RTR1. Tu musíte tiež vytvoriť spätnú slučku číslo 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Aj na RTR1 musíte vytvoriť 2 virtuálne podrozhrania pre vlany s číslami 100 a 300. Môžete to urobiť nasledovne.
Najprv musíte povoliť fyzické rozhranie g0/1 príkazom no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Potom sa vytvoria a nakonfigurujú podrozhrania s číslami 100 a 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Číslo podrozhrania sa môže líšiť od čísla vlan, v ktorom bude fungovať, ale pre pohodlie je lepšie použiť číslo podrozhrania, ktoré sa zhoduje s číslom vlan. Ak pri nastavovaní podrozhrania nastavíte typ zapuzdrenia, mali by ste zadať číslo, ktoré sa zhoduje s číslom vlan. Takže po príkaze encapsulation dot1Q 300 podrozhranie bude prechádzať iba cez pakety vlan s číslom 300.
Posledným krokom v tejto úlohe bude smerovač RTR2. Spojenie medzi SW1 a RTR2 musí byť v prístupovom režime, rozhranie prepínača bude prechádzať smerom k RTR2 len pakety určené pre vlan číslo 300, je to uvedené v úlohe na topológii L2. Preto bude na smerovači RTR2 nakonfigurované iba fyzické rozhranie bez vytvárania podrozhraní:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Potom je nakonfigurované rozhranie g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Tým sa dokončí konfigurácia rozhraní smerovača pre aktuálnu úlohu. Zostávajúce rozhrania sa nakonfigurujú po dokončení nasledujúcich úloh.
a. Povoľte mechanizmus SLAAC na vydávanie adries IPv6 v sieti MNG na rozhraní smerovača RTR1
Mechanizmus SLAAC je štandardne povolený. Jediné, čo musíte urobiť, je povoliť smerovanie IPv6. Môžete to urobiť pomocou nasledujúceho príkazu:
RTR1(config-subif)#ipv6 unicast-routing
Bez tohto príkazu zariadenie funguje ako hostiteľ. Inými slovami, vďaka vyššie uvedenému príkazu je možné používať ďalšie funkcie ipv6, vrátane vydávania adries ipv6, nastavenia smerovania atď.
b. Na virtuálnych rozhraniach vo VLAN 100 (MNG) na prepínačoch SW1, SW2, SW3 povoľte režim automatickej konfigurácie IPv6
Z topológie L3 je zrejmé, že prepínače sú zapojené do VLAN 100. To znamená, že na prepínačoch je potrebné vytvoriť virtuálne rozhrania a až potom im štandardne priradiť príjem IPv6 adries. Počiatočná konfigurácia bola vykonaná presne tak, aby prepínače mohli prijímať predvolené adresy z RTR1. Túto úlohu môžete dokončiť pomocou nasledujúceho zoznamu príkazov vhodných pre všetky tri prepínače:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Všetko môžete skontrolovať rovnakým príkazom show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Okrem lokálnej adresy sa objavila aj adresa ipv6 prijatá z RTR1. Táto úloha bola úspešne dokončená a rovnaké príkazy musia byť napísané na zvyšných prepínačoch.
s. Na VŠETKÝCH zariadeniach (okrem PC1 a WEB) manuálne priraďte lokálne adresy
Tridsaťmiestne adresy IPv6 nie sú pre administrátorov žiadna sranda, preto je možné manuálne zmeniť link-local, čím sa skráti jeho dĺžka na minimálnu hodnotu. Zadania nehovoria nič o tom, ktoré adresy si vybrať, preto je tu poskytnutý voľný výber.
Napríklad na prepínači SW1 musíte nastaviť lokálnu adresu spojenia fe80::10. To je možné vykonať pomocou nasledujúceho príkazu z konfiguračného režimu zvoleného rozhrania:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Teraz oslovovanie vyzerá oveľa atraktívnejšie:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Okrem lokálnej adresy sa zmenila aj prijatá adresa IPv6, pretože adresa sa vydáva na základe lokálnej adresy.
Na prepínači SW1 bolo potrebné nastaviť iba jednu link-local adresu na jednom rozhraní. Pri smerovači RTR1 je potrebné vykonať viac nastavení - na dvoch podrozhraniach je potrebné nastaviť link-local, na loopback a v následných nastaveniach sa objaví aj rozhranie tunela 100.
Aby ste sa vyhli zbytočnému zapisovaniu príkazov, môžete na všetkých rozhraniach naraz nastaviť rovnakú lokálnu adresu. Môžete to urobiť pomocou kľúčového slova range nasleduje zoznam všetkých rozhraní:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Pri kontrole rozhraní uvidíte, že miestne adresy prepojení boli zmenené na všetkých vybraných rozhraniach:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Všetky ostatné zariadenia sú konfigurované podobným spôsobom
d. Na VŠETKÝCH prepínačoch deaktivujte VŠETKY porty, ktoré sa v úlohe nepoužívajú, a preneste ich do VLAN 99
Základnou myšlienkou je rovnaký spôsob výberu viacerých rozhraní na konfiguráciu pomocou príkazu rangea až potom by ste mali napísať príkazy na prenos do požadovaného vlan a potom vypnúť rozhrania. Napríklad prepínač SW1 bude mať podľa topológie L1 vypnuté porty f0/3-4, f0/7-8, f0/11-24 a g0/2. Pre tento príklad bude nastavenie nasledovné:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Pri kontrole nastavení pomocou už známeho príkazu stojí za zmienku, že všetky nepoužívané porty musia mať stav administratívne dole, čo znamená, že port je zakázaný:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Ak chcete zistiť, v ktorej vlan sa port nachádza, môžete použiť iný príkaz:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Tu by mali byť všetky nepoužívané rozhrania. Stojí za zmienku, že nebude možné preniesť rozhrania do vlan, ak takáto vlan nebola vytvorená. Práve na tento účel boli v úvodnom nastavení vytvorené všetky vlany potrebné na prevádzku.
e. Na spínači SW1 povoľte uzamknutie na 1 minútu, ak heslo dvakrát zadáte nesprávne do 30 sekúnd
Môžete to urobiť pomocou nasledujúceho príkazu:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Tieto nastavenia môžete skontrolovať aj takto:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kde je jasne vysvetlené, že po dvoch neúspešných pokusoch v priebehu 30 sekúnd alebo menej bude možnosť prihlásenia zablokovaná na 60 sekúnd.
2. Všetky zariadenia musia byť spravovateľné cez SSH verzie 2
Aby boli zariadenia prístupné cez SSH verzie 2, je potrebné najskôr nakonfigurovať zariadenie, preto pre informatívne účely najskôr nakonfigurujeme zariadenie s továrenskými nastaveniami.
Verziu prepichnutia môžete zmeniť nasledovne:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Systém vás požiada o vytvorenie kľúčov RSA pre fungovanie SSH verzie 2. Podľa rady inteligentného systému môžete kľúče RSA vytvoriť pomocou nasledujúceho príkazu:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Systém neumožňuje vykonať príkaz, pretože názov hostiteľa sa nezmenil. Po zmene názvu hostiteľa musíte znova napísať príkaz na generovanie kľúča:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Teraz vám systém neumožňuje vytvárať kľúče RSA kvôli chýbajúcemu názvu domény. A po nainštalovaní názvu domény bude možné vytvárať kľúče RSA. Kľúče RSA musia mať dĺžku aspoň 768 bitov, aby SSH verzia 2 fungovala:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
V dôsledku toho sa ukazuje, že na fungovanie SSHv2 je potrebné:
- Zmeňte názov hostiteľa;
- Zmeňte názov domény;
- Vygenerujte kľúče RSA.
Predchádzajúci článok ukázal, ako zmeniť názov hostiteľa a názov domény na všetkých zariadeniach, takže pri pokračovaní v konfigurácii aktuálnych zariadení stačí vygenerovať kľúče RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH verzia 2 je aktívna, ale zariadenia ešte nie sú úplne nakonfigurované. Posledným krokom bude nastavenie virtuálnych konzol:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
V predchádzajúcom článku bol konfigurovaný model AAA, kde bola nastavená autentifikácia na virtuálnych konzolách pomocou lokálnej databázy a používateľ po autentifikácii musel okamžite prejsť do privilegovaného režimu. Najjednoduchším testom funkčnosti SSH je pokus o pripojenie k vlastnému zariadeniu. RTR1 má spätnú slučku s IP adresou 1.1.1.1, môžete sa skúsiť pripojiť na túto adresu:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Po kľúči -l Zadajte prihlasovacie meno existujúceho používateľa a potom heslo. Po overení sa používateľ okamžite prepne do privilegovaného režimu, čo znamená, že SSH je nakonfigurovaný správne.
Zdroj: hab.com