Nadaljujemo z analizo nalog mrežnega modula prvenstva WorldSkills v kompetenci »Upravljanje omrežij in sistemov«.
Članek bo obravnaval naslednje naloge:
- Na VSEH napravah ustvarite navidezne vmesnike, podvmesnike in vmesnike za povratno zanko. Dodelite naslove IP glede na topologijo.
- Omogočite mehanizem SLAAC za izdajanje naslovov IPv6 v omrežju MNG na vmesniku usmerjevalnika RTR1;
- Na virtualnih vmesnikih v VLAN 100 (MNG) na stikalih SW1, SW2, SW3 omogočite način samodejne konfiguracije IPv6;
- Na VSEH napravah (razen PC1 in WEB) ročno dodelite lokalne naslove povezave;
- Na VSEH stikalih onemogočite VSA vrata, ki niso uporabljena v nalogi, in prenesite na VLAN 99;
- Na stikalu SW1 omogočite zaklepanje za 1 minuto, če je geslo dvakrat v 30 sekundah vneseno napačno;
- Vse naprave morajo biti upravljane prek SSH različice 2.
Topologija omrežja na fizični ravni je predstavljena v naslednjem diagramu:
Topologija omrežja na ravni podatkovne povezave je predstavljena v naslednjem diagramu:
Topologija omrežja na ravni omrežja je predstavljena v naslednjem diagramu:
prednastavitev
Preden opravite zgornje naloge, je vredno nastaviti osnovno vklop stikal SW1-SW3, saj bo v prihodnosti bolj priročno preveriti njihove nastavitve. Nastavitev preklopa bo podrobneje opisana v naslednjem članku, zaenkrat pa bodo definirane le nastavitve.
Prvi korak je ustvariti vlan s številkami 99, 100 in 300 na vseh stikalih:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Naslednji korak je prenos vmesnika g0/1 na SW1 na številko vlan 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Vmesnike f0/1-2, f0/5-6, ki so obrnjeni proti drugim stikalom, je treba preklopiti v trunk način:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Na stikalu SW2 v trunk načinu bodo vmesniki f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Na stikalu SW3 v trunk načinu bodo vmesniki f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Na tej stopnji bodo nastavitve stikala omogočile izmenjavo označenih paketov, ki so potrebni za dokončanje nalog.
1. Ustvarite virtualne vmesnike, podvmesnike in povratne vmesnike na VSEH napravah. Dodelite naslove IP glede na topologijo.
Najprej bo konfiguriran usmerjevalnik BR1. V skladu s topologijo L3 morate tukaj konfigurirati vmesnik tipa zanke, znan tudi kot povratna zanka, številka 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Če želite preveriti stanje ustvarjenega vmesnika, lahko uporabite ukaz show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Tukaj lahko vidite, da je povratna zanka aktivna, njeno stanje UP. Če pogledate spodaj, lahko vidite dva naslova IPv6, čeprav je bil za nastavitev naslova IPv6 uporabljen samo en ukaz. Dejstvo je, da FE80::2D0:97FF:FE94:5022 je naslov lokalne povezave, ki je dodeljen, ko je ipv6 omogočen na vmesniku z ukazom ipv6 enable.
Za ogled naslova IPv4 uporabite podoben ukaz:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Za BR1 morate takoj konfigurirati vmesnik g0/0; tukaj morate samo nastaviti naslov IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Nastavitve lahko preverite z istim ukazom show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Nato bo konfiguriran usmerjevalnik ISP. Tukaj bo glede na nalogo konfigurirana povratna zanka s številko 0, vendar je poleg tega bolje konfigurirati vmesnik g0/0, ki naj ima naslov 30.30.30.1, iz razloga, da v naslednjih nalogah ne bo nič rečeno o nastavitvi teh vmesnikov. Najprej je konfigurirana številka povratne zanke 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
ekipa show ipv6 interface brief Lahko preverite, ali so nastavitve vmesnika pravilne. Nato se konfigurira vmesnik g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Nato bo konfiguriran usmerjevalnik RTR1. Tukaj morate ustvariti tudi številko povratne zanke 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Tudi na RTR1 morate ustvariti 2 virtualna podvmesnika za vlan s številkama 100 in 300. To lahko storite na naslednji način.
Najprej morate omogočiti fizični vmesnik g0/1 z ukazom no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Nato se ustvarijo in konfigurirajo podvmesniki s številkama 100 in 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Številka podvmesnika se lahko razlikuje od številke vlan, v kateri bo deloval, vendar je zaradi udobja bolje uporabiti številko podvmesnika, ki se ujema s številko vlan. Če pri nastavitvi podvmesnika nastavite vrsto enkapsulacije, morate podati številko, ki se ujema s številko vlan. Torej po ukazu encapsulation dot1Q 300 podvmesnik bo prešel samo pakete vlan s številko 300.
Zadnji korak v tej nalogi bo usmerjevalnik RTR2. Povezava med SW1 in RTR2 mora biti v načinu dostopa, stikalni vmesnik bo proti RTR2 prepustil samo pakete namenjene vlan številki 300, to je navedeno v nalogi na topologiji L2. Zato bo na usmerjevalniku RTR2 konfiguriran samo fizični vmesnik brez ustvarjanja podvmesnikov:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Nato se konfigurira vmesnik g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
S tem je dokončana konfiguracija vmesnikov usmerjevalnika za trenutno nalogo. Preostali vmesniki bodo konfigurirani, ko opravite naslednje naloge.
a. Omogočite mehanizem SLAAC za izdajanje naslovov IPv6 v omrežju MNG na vmesniku usmerjevalnika RTR1
Mehanizem SLAAC je privzeto omogočen. Edina stvar, ki jo morate storiti, je omogočiti usmerjanje IPv6. To lahko storite z naslednjim ukazom:
RTR1(config-subif)#ipv6 unicast-routing
Brez tega ukaza oprema deluje kot gostitelj. Z drugimi besedami, zahvaljujoč zgornjemu ukazu je mogoče uporabiti dodatne funkcije ipv6, vključno z izdajanjem naslovov ipv6, nastavitvijo usmerjanja itd.
b. Na virtualnih vmesnikih v VLAN 100 (MNG) na stikalih SW1, SW2, SW3 omogočite način samodejne konfiguracije IPv6
Iz topologije L3 je razvidno, da so stikala povezana na VLAN 100. To pomeni, da je treba na stikalih ustvariti navidezne vmesnike in jim šele nato privzeto dodeliti prejemanje naslovov IPv6. Začetna konfiguracija je bila narejena natančno zato, da so stikala lahko prejela privzete naslove od RTR1. To nalogo lahko dokončate z naslednjim seznamom ukazov, primernih za vsa tri stikala:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Vse lahko preverite z istim ukazom show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Poleg naslova lokalne povezave se je pojavil naslov ipv6, prejet od RTR1. Ta naloga je bila uspešno opravljena, enaki ukazi pa morajo biti zapisani na preostalih stikalih.
z. Na VSEH napravah (razen PC1 in WEB) ročno dodelite lokalne naslove povezave
Tridesetmestni naslovi IPv6 za skrbnike niso zabavni, zato je mogoče ročno spremeniti lokalno povezavo in zmanjšati njeno dolžino na minimalno vrednost. Naloge ne povedo ničesar o tem, katere naslove izbrati, zato je tukaj na voljo prosta izbira.
Na primer, na stikalu SW1 morate nastaviti lokalni naslov povezave fe80::10. To lahko storite z naslednjim ukazom iz konfiguracijskega načina izbranega vmesnika:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Zdaj je naslavljanje videti veliko bolj privlačno:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Poleg naslova lokalne povezave se je spremenil tudi prejeti naslov IPv6, saj se naslov izda na podlagi naslova lokalne povezave.
Na stikalu SW1 je bilo treba na enem vmesniku nastaviti le en lokalni naslov povezave. Pri usmerjevalniku RTR1 morate narediti več nastavitev - na dveh podvmesnikih morate nastaviti lokalno povezavo, na povratni zanki, v naslednjih nastavitvah pa se prikaže tudi vmesnik tunel 100.
Da bi se izognili nepotrebnemu pisanju ukazov, lahko nastavite isti lokalni naslov povezave na vseh vmesnikih hkrati. To lahko storite s ključno besedo range sledi seznam vseh vmesnikov:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Pri preverjanju vmesnikov boste videli, da so bili lokalni naslovi povezav spremenjeni na vseh izbranih vmesnikih:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Vse ostale naprave so konfigurirane na podoben način
d. Na VSEH stikalih onemogočite VSA vrata, ki se ne uporabljajo v opravilu, in prenesite na VLAN 99
Osnovna ideja je enak način izbire več vmesnikov za konfiguracijo z ukazom range, šele nato bi morali napisati ukaze za prenos na želeni vlan in nato izklopiti vmesnike. Na primer, stikalo SW1 bo imelo v skladu s topologijo L1 onemogočena vrata f0/3-4, f0/7-8, f0/11-24 in g0/2. Za ta primer bi bila nastavitev naslednja:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Pri preverjanju nastavitev z že znanim ukazom velja opozoriti, da morajo imeti vsa neuporabljena vrata status administrativno navzdol, kar pomeni, da so vrata onemogočena:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Če želite videti, v katerem vlan so vrata, lahko uporabite drug ukaz:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Vsi neuporabljeni vmesniki bi morali biti tukaj. Omeniti velja, da vmesnikov ne bo mogoče prenesti v vlan, če takšen vlan ni bil ustvarjen. V ta namen so bili v začetni nastavitvi ustvarjeni vsi vlani, potrebni za delovanje.
e. Na stikalu SW1 omogočite zaklepanje za 1 minuto, če je geslo dvakrat v 30 sekundah vneseno napačno
To lahko storite z naslednjim ukazom:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Te nastavitve lahko preverite tudi na naslednji način:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kjer je jasno pojasnjeno, da bo po dveh neuspešnih poskusih v 30 sekundah ali manj možnost prijave blokirana za 60 sekund.
2. Vse naprave morajo biti upravljane prek SSH različice 2
Da bi bile naprave dostopne preko SSH različice 2, je potrebno najprej konfigurirati opremo, zato informativno bomo opremo najprej konfigurirali s tovarniškimi nastavitvami.
Različico punkcije lahko spremenite na naslednji način:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Sistem vas prosi, da ustvarite ključe RSA za delovanje SSH različice 2. Po nasvetu pametnega sistema lahko ustvarite ključe RSA z naslednjim ukazom:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Sistem ne dovoljuje izvedbe ukaza, ker ime gostitelja ni bilo spremenjeno. Ko spremenite ime gostitelja, morate znova napisati ukaz za generiranje ključa:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Zdaj sistem ne dovoljuje ustvarjanja ključev RSA zaradi pomanjkanja imena domene. In po namestitvi imena domene bo mogoče ustvariti ključe RSA. Ključi RSA morajo biti dolgi vsaj 768 bitov, da SSH različica 2 deluje:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Posledično se izkaže, da je za delovanje SSHv2 potrebno:
- Spremenite ime gostitelja;
- Spremenite ime domene;
- Ustvari ključe RSA.
Prejšnji članek je pokazal, kako spremeniti ime gostitelja in ime domene na vseh napravah, tako da morate med nadaljevanjem konfiguracije trenutnih naprav ustvariti samo ključe RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH različica 2 je aktiven, vendar naprave še niso v celoti konfigurirane. Zadnji korak bo nastavitev virtualnih konzol:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
V prejšnjem članku je bil konfiguriran model AAA, kjer je bila avtentikacija nastavljena na virtualnih konzolah z uporabo lokalne baze podatkov, uporabnik pa je moral po avtentikaciji takoj preiti v privilegiran način. Najenostavnejši preizkus delovanja SSH je, da se poskusite povezati z lastno opremo. RTR1 ima povratno zanko z naslovom IP 1.1.1.1, poskusite se povezati s tem naslovom:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Po ključu -l Vnesite prijavo obstoječega uporabnika in nato geslo. Po avtentikaciji uporabnik takoj preklopi v privilegiran način, kar pomeni, da je SSH pravilno nastavljen.
Vir: www.habr.com