Ne vazhdojmë të analizojmë detyrat e modulit të Rrjetit të kampionatit WorldSkills në kompetencën "Rrjeti dhe Administrimi i Sistemit".

Detyrat e mëposhtme do të konsiderohen në artikull:

1. Në TË GJITHA pajisjet, krijoni ndërfaqe virtuale, nënndërfaqe dhe ndërfaqe loopback. Caktoni adresat IP sipas topologjisë.
   • Aktivizo mekanizmin SLAAC të lëshojë adresa IPv6 në rrjetin MNG në ndërfaqen e ruterit RTR1;
   • Në ndërfaqet virtuale në VLAN 100 (MNG) në çelësat SW1, SW2, SW3, aktivizoni modalitetin e konfigurimit automatik të IPv6;
   • Në TË GJITHA pajisjet (përveç PC1 dhe WEB) caktoni manualisht adresat e lidhjeve lokale;
   • Në TË GJITHA çelsat, çaktivizoni TË GJITHA portat që nuk përdoren në detyrë dhe transferojeni në VLAN 99;
   • Në çelësin SW1, aktivizoni një bllokim për 1 minutë nëse fjalëkalimi është futur gabim dy herë brenda 30 sekondave;
2. Të gjitha pajisjet duhet të jenë të menaxhueshme nëpërmjet versionit 2 të SSH.

Topologjia e rrjetit në shtresën fizike është paraqitur në diagramin e mëposhtëm:

Topologjia e rrjetit në nivelin e lidhjes së të dhënave është paraqitur në diagramin e mëposhtëm:

Topologjia e rrjetit në nivel rrjeti është paraqitur në diagramin e mëposhtëm:

paravendosje

Para se të kryeni detyrat e mësipërme, ia vlen të vendosni çelsat bazë të ndezjes SW1-SW3, pasi do të jetë më i përshtatshëm të kontrolloni cilësimet e tyre në të ardhmen. Konfigurimi i ndërrimit do të përshkruhet në detaje në artikullin vijues, por tani për tani do të përcaktohen vetëm cilësimet.

Hapi i parë është krijimi i vlaneve me numrat 99, 100 dhe 300 në të gjithë çelësat:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Hapi tjetër është transferimi i ndërfaqes g0/1 në SW1 në numrin vlan 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Ndërfaqet f0/1-2, f0/5-6, të cilat përballen me çelsat e tjerë, duhet të kalojnë në modalitetin trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Në çelësin SW2 në modalitetin trunk do të ketë ndërfaqe f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Në çelësin SW3 në modalitetin trunk do të ketë ndërfaqe f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Në këtë fazë, cilësimet e kalimit do të lejojnë shkëmbimin e paketave të etiketuara, të cilat kërkohet për të përfunduar detyrat.

1. Krijoni ndërfaqe virtuale, nënndërfaqe dhe ndërfaqe loopback në TË GJITHA pajisjet. Caktoni adresat IP sipas topologjisë.

Ruteri BR1 do të konfigurohet i pari. Sipas topologjisë L3, këtu ju duhet të konfiguroni një ndërfaqe të tipit loop, e njohur gjithashtu si loopback, numër 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Për të kontrolluar statusin e ndërfaqes së krijuar, mund të përdorni komandën show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Këtu mund të shihni se loopback është aktiv, gjendja e tij UP. Nëse shikoni më poshtë, mund të shihni dy adresa IPv6, megjithëse vetëm një komandë është përdorur për të vendosur adresën IPv6. Fakti është se FE80::2D0:97FF:FE94:5022 është një adresë lokale e lidhjes që caktohet kur aktivizohet ipv6 në një ndërfaqe me komandën ipv6 enable.

Dhe për të parë adresën IPv4, përdorni një komandë të ngjashme:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Për BR1, duhet të konfiguroni menjëherë ndërfaqen g0/0; këtu ju vetëm duhet të vendosni adresën IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Mund të kontrolloni cilësimet me të njëjtën komandë show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Më pas, ruteri ISP do të konfigurohet. Këtu, sipas detyrës, do të konfigurohet loopback numri 0, por përveç kësaj, preferohet të konfigurohet ndërfaqja g0/0, e cila duhet të ketë adresën 30.30.30.1, për arsye se në detyrat e mëvonshme nuk do të thuhet asgjë. duke vendosur këto ndërfaqe. Së pari, konfigurohet numri i kthesës 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

ekipi show ipv6 interface brief Mund të verifikoni që cilësimet e ndërfaqes janë të sakta. Pastaj ndërfaqja g0/0 është konfiguruar:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Më pas, ruteri RTR1 do të konfigurohet. Këtu ju duhet gjithashtu të krijoni një numër loopback 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Gjithashtu në RTR1 duhet të krijoni 2 nënndërfaqe virtuale për vlan me numrat 100 dhe 300. Kjo mund të bëhet si më poshtë.

Së pari, duhet të aktivizoni ndërfaqen fizike g0/1 me komandën pa mbyllje:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit 

Më pas krijohen dhe konfigurohen nënndërfaqet me numrat 100 dhe 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Numri i nënndërfaqes mund të ndryshojë nga numri vlan në të cilin do të funksionojë, por për lehtësi është më mirë të përdorni numrin e nënndërfaqes që përputhet me numrin vlan. Nëse vendosni llojin e kapsulimit kur vendosni një nënndërfaqe, duhet të specifikoni një numër që përputhet me numrin vlan. Pra pas komandës encapsulation dot1Q 300 nënndërfaqja do të kalojë vetëm përmes paketave vlan me numër 300.

Hapi i fundit në këtë detyrë do të jetë ruteri RTR2. Lidhja midis SW1 dhe RTR2 duhet të jetë në modalitetin e aksesit, ndërfaqja e kalimit do të kalojë vetëm drejt paketave RTR2 të destinuara për numrin vlan 300, kjo thuhet në detyrën në topologjinë L2. Prandaj, vetëm ndërfaqja fizike do të konfigurohet në ruterin RTR2 pa krijuar nënndërfaqe:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Pastaj ndërfaqja g0/0 është konfiguruar:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Kjo përfundon konfigurimin e ndërfaqeve të ruterit për detyrën aktuale. Ndërfaqet e mbetura do të konfigurohen ndërsa të përfundoni detyrat e mëposhtme.

a. Aktivizo mekanizmin SLAAC të lëshojë adresa IPv6 në rrjetin MNG në ndërfaqen e ruterit RTR1
Mekanizmi SLAAC është aktivizuar si parazgjedhje. E vetmja gjë që duhet të bëni është të aktivizoni rrugëzimin IPv6. Ju mund ta bëni këtë me komandën e mëposhtme:

RTR1(config-subif)#ipv6 unicast-routing

Pa këtë komandë, pajisja vepron si pritës. Me fjalë të tjera, falë komandës së mësipërme, bëhet e mundur përdorimi i funksioneve shtesë ipv6, duke përfshirë lëshimin e adresave ipv6, vendosjen e rrugëzimit, etj.

b. Në ndërfaqet virtuale në VLAN 100 (MNG) në çelësat SW1, SW2, SW3, aktivizoni modalitetin e konfigurimit automatik të IPv6
Nga topologjia L3 është e qartë se ndërprerësit janë të lidhur me VLAN 100. Kjo do të thotë se është e nevojshme të krijohen ndërfaqe virtuale në switch, dhe vetëm atëherë t'i caktohen ato për të marrë adresat IPv6 si parazgjedhje. Konfigurimi fillestar është bërë pikërisht në mënyrë që çelsat të mund të marrin adresat e paracaktuara nga RTR1. Ju mund ta përfundoni këtë detyrë duke përdorur listën e mëposhtme të komandave, të përshtatshme për të tre çelësat:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Ju mund të kontrolloni gjithçka me të njëjtën komandë show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Përveç adresës së lidhjes lokale, u shfaq një adresë ipv6 e marrë nga RTR1. Kjo detyrë është përfunduar me sukses dhe të njëjtat komanda duhet të shkruhen në çelësat e mbetur.

Me. Në TË GJITHA pajisjet (përveç PC1 dhe WEB) caktoni manualisht adresat e lidhjeve lokale
Adresat IPv6 me tridhjetë shifra nuk janë argëtuese për administratorët, kështu që është e mundur të ndryshoni manualisht lidhjen-lokale, duke e zvogëluar gjatësinë e saj në një vlerë minimale. Detyrat nuk thonë asgjë se cilat adresa të zgjidhni, kështu që një zgjedhje e lirë ofrohet këtu.

Për shembull, në çelësin SW1 ju duhet të vendosni lidhjen-adresën lokale fe80::10. Kjo mund të bëhet me komandën e mëposhtme nga mënyra e konfigurimit të ndërfaqes së zgjedhur:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Tani adresimi duket shumë më tërheqës:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Përveç adresës link-lokale, ka ndryshuar edhe adresa e marrë IPv6, pasi adresa lëshohet në bazë të adresës link-lokale.

Në çelësin SW1 ishte e nevojshme të vendosej vetëm një adresë lidhje-lokale në një ndërfaqe. Me ruterin RTR1, duhet të bëni më shumë cilësime - duhet të vendosni link-local në dy nënndërfaqe, në loopback, dhe në cilësimet pasuese do të shfaqet gjithashtu ndërfaqja e tunelit 100.

Për të shmangur shkrimin e panevojshëm të komandave, mund të vendosni të njëjtën adresë lidhje-lokale në të gjitha ndërfaqet menjëherë. Ju mund ta bëni këtë duke përdorur një fjalë kyçe range e ndjekur nga renditja e të gjitha ndërfaqeve:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Kur kontrolloni ndërfaqet, do të shihni se adresat e lidhjes lokale janë ndryshuar në të gjitha ndërfaqet e zgjedhura:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Të gjitha pajisjet e tjera janë konfiguruar në mënyrë të ngjashme

d. Në të gjithë çelësat, çaktivizoni TË GJITHA portat që nuk përdoren në punë dhe transferojeni në VLAN 99
Ideja bazë është e njëjta mënyrë për të zgjedhur ndërfaqe të shumta për t'u konfiguruar duke përdorur komandën range, dhe vetëm atëherë duhet të shkruani komanda për t'i transferuar në vlanin e dëshiruar dhe më pas të fikni ndërfaqet. Për shembull, çelësi SW1, sipas topologjisë L1, do të ketë portat f0/3-4, f0/7-8, f0/11-24 dhe g0/2 të çaktivizuara. Për këtë shembull, cilësimi do të ishte si më poshtë:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Kur kontrolloni cilësimet me një komandë tashmë të njohur, vlen të përmendet se të gjitha portat e papërdorura duhet të kenë një status administrative poshtë, duke treguar se porti është i çaktivizuar:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Për të parë se në cilin vlan ndodhet porti, mund të përdorni një komandë tjetër:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...                          

Të gjitha ndërfaqet e papërdorura duhet të jenë këtu. Vlen të përmendet se nuk do të jetë e mundur të transferohen ndërfaqet në vlan nëse një vlan i tillë nuk është krijuar. Është për këtë qëllim që në konfigurimin fillestar u krijuan të gjitha vlanet e nevojshme për funksionim.

e. Në çelësin SW1, aktivizoni një bllokim për 1 minutë nëse fjalëkalimi është futur gabim dy herë brenda 30 sekondave
Ju mund ta bëni këtë me komandën e mëposhtme:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Ju gjithashtu mund t'i kontrolloni këto cilësime si më poshtë:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Aty ku shpjegohet qartë se pas dy përpjekjeve të pasuksesshme brenda 30 sekondave ose më pak, aftësia për t'u identifikuar do të bllokohet për 60 sekonda.

2. Të gjitha pajisjet duhet të jenë të menaxhueshme nëpërmjet versionit 2 të SSH

Në mënyrë që pajisjet të jenë të aksesueshme nëpërmjet versionit 2 të SSH, është e nevojshme që fillimisht të konfiguroni pajisjen, kështu që për qëllime informative, fillimisht do të konfigurojmë pajisjet me cilësimet e fabrikës.

Mund ta ndryshoni versionin e shpimit si më poshtë:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistemi ju kërkon të krijoni çelësat RSA që të funksionojë versioni SSH 2. Duke ndjekur këshillën e sistemit inteligjent, mund të krijoni çelësat RSA me komandën e mëposhtme:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Sistemi nuk lejon që komanda të ekzekutohet sepse emri i hostit nuk është ndryshuar. Pas ndryshimit të emrit të hostit, duhet të shkruani përsëri komandën e gjenerimit të çelësit:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Tani sistemi nuk ju lejon të krijoni çelësa RSA për shkak të mungesës së një emri domeni. Dhe pas instalimit të emrit të domenit, do të jetë e mundur të krijohen çelësat RSA. Çelësat RSA duhet të jenë të paktën 768 bit që të funksionojë versioni 2 SSH:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Si rezultat, rezulton se që SSHv2 të funksionojë është e nevojshme:

1. Ndrysho emrin e hostit;
2. Ndryshoni emrin e domain;
3. Gjeneroni çelësat RSA.

Artikulli i mëparshëm tregoi se si të ndryshoni emrin e hostit dhe emrin e domenit në të gjitha pajisjet, kështu që ndërsa vazhdoni të konfiguroni pajisjet aktuale, ju duhet vetëm të gjeneroni çelësat RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Versioni 2 i SSH është aktiv, por pajisjet ende nuk janë konfiguruar plotësisht. Hapi i fundit do të jetë konfigurimi i konzollave virtuale:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Në artikullin e mëparshëm, u konfigurua modeli AAA, ku vërtetimi u vendos në tastierat virtuale duke përdorur një bazë të dhënash lokale, dhe përdoruesi, pas vërtetimit, duhej të kalonte menjëherë në modalitetin e privilegjuar. Testi më i thjeshtë i funksionalitetit SSH është të përpiqeni të lidheni me pajisjet tuaja. RTR1 ka një loopback me adresën IP 1.1.1.1, mund të provoni të lidheni me këtë adresë:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Pas çelësit -l Futni hyrjen e përdoruesit ekzistues dhe më pas fjalëkalimin. Pas vërtetimit, përdoruesi kalon menjëherë në modalitetin e privilegjuar, që do të thotë se SSH është konfiguruar saktë.

Burimi: www.habr.com