Настављамо са анализом задатака Мрежног модула ВорлдСкиллс првенства у компетенцији „Управљање мрежом и системом“.
Чланак ће покрити следеће задатке:
- На СВИМ уређајима креирајте виртуелне интерфејсе, подинтерфејсе и интерфејсе повратне петље. Доделите ИП адресе према топологији.
- Омогућите СЛААЦ механизам за издавање ИПв6 адреса у МНГ мрежи на интерфејсу рутера РТР1;
- На виртуелним интерфејсима у ВЛАН 100 (МНГ) на прекидачима СВ1, СВ2, СВ3, омогућити ИПв6 режим ауто-конфигурације;
- На СВИМ уређајима (осим ПЦ1 и ВЕБ) ручно доделите локалне адресе везе;
- На СВИ прекидачима онемогућите СВЕ портове који се не користе у задатку и пребаците на ВЛАН 99;
- На прекидачу СВ1, омогућите закључавање на 1 минут ако се лозинка унесе погрешно два пута у року од 30 секунди;
- Свим уређајима се мора управљати преко ССХ верзије 2.
Топологија мреже на физичком слоју је представљена на следећем дијаграму:
Топологија мреже на нивоу везе података је представљена на следећем дијаграму:
Топологија мреже на нивоу мреже је представљена на следећем дијаграму:
Пре-сеттинг
Пре обављања горе наведених задатака, вреди подесити основно укључивање прекидача СВ1-СВ3, јер ће у будућности бити згодније проверити њихова подешавања. Подешавање прекидача ће бити детаљно описано у следећем чланку, али за сада ће бити дефинисана само подешавања.
Први корак је креирање влан-ова са бројевима 99, 100 и 300 на свим прекидачима:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Следећи корак је пренос интерфејса г0/1 на СВ1 на влан број 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Интерфејси ф0/1-2, ф0/5-6, који се суочавају са другим прекидачима, треба да се пребаце у режим транк:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
На прекидачу СВ2 у трунк режиму биће интерфејси ф0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
На прекидачу СВ3 у трунк режиму биће интерфејси ф0/3-6, г0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
У овој фази, подешавања прекидача ће омогућити размену означених пакета, што је потребно за обављање задатака.
1. Креирајте виртуелне интерфејсе, подинтерфејсе и интерфејсе повратне петље на СВИМ уређајима. Доделите ИП адресе према топологији.
Рутер БР1 ће бити први конфигурисан. Према топологији Л3, овде морате да конфигуришете интерфејс типа петље, познат и као повратна петља, број 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Да бисте проверили статус креираног интерфејса, можете користити команду show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Овде можете видети да је петља активна, њено стање UP. Ако погледате испод, можете видети две ИПв6 адресе, иако је само једна команда коришћена за подешавање ИПв6 адресе. Чињеница је да FE80::2D0:97FF:FE94:5022 је локална адреса везе која се додељује када је ипв6 омогућен на интерфејсу са командом ipv6 enable.
А да бисте видели ИПв4 адресу, користите сличну команду:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
За БР1, требало би да одмах конфигуришете г0/0 интерфејс; овде само треба да подесите ИПв6 адресу:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Подешавања можете проверити истом командом show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Затим ће се ИСП рутер конфигурисати. Овде ће, према задатку, бити конфигурисан лоопбацк број 0, али поред овога, пожељно је конфигурисати интерфејс г0/0, који треба да има адресу 30.30.30.1, из разлога што се у наредним задацима ништа неће говорити о постављање ових интерфејса. Прво, конфигурисан је број повратне петље 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
тим show ipv6 interface brief Можете да проверите да ли су подешавања интерфејса исправна. Затим је интерфејс г0/0 конфигурисан:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Затим ће се конфигурисати рутер РТР1. Овде такође треба да креирате лоопбацк број 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Такође на РТР1 морате креирати 2 виртуелна подинтерфејса за вланс са бројевима 100 и 300. Ово се може урадити на следећи начин.
Прво, потребно је да омогућите физички интерфејс г0/1 командом но схутдовн:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Затим се креирају и конфигуришу подинтерфејси са бројевима 100 и 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Број подинтерфејса се може разликовати од броја влан-а у којем ће радити, али ради погодности боље је користити број подинтерфејса који одговара броју влан-а. Ако подесите тип енкапсулације приликом подешавања подинтерфејса, требало би да наведете број који одговара броју влан-а. Па после команде encapsulation dot1Q 300 подинтерфејс ће проћи само кроз влан пакете са бројем 300.
Последњи корак у овом задатку биће рутер РТР2. Веза између СВ1 и РТР2 мора бити у приступном режиму, интерфејс прекидача ће ка РТР2 проћи само пакети намењени за влан број 300, наведено је у задатку о Л2 топологији. Стога ће само физички интерфејс бити конфигурисан на РТР2 рутеру без креирања подинтерфејса:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Затим је интерфејс г0/0 конфигурисан:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Овим се завршава конфигурација интерфејса рутера за тренутни задатак. Преостали интерфејси ће бити конфигурисани док завршите следеће задатке.
а. Омогућите СЛААЦ механизам за издавање ИПв6 адреса у МНГ мрежи на интерфејсу рутера РТР1
СЛААЦ механизам је подразумевано омогућен. Једина ствар коју треба да урадите је да омогућите ИПв6 рутирање. То можете урадити следећом командом:
RTR1(config-subif)#ipv6 unicast-routing
Без ове команде, опрема делује као домаћин. Другим речима, захваљујући горњој команди, постаје могуће користити додатне ипв6 функције, укључујући издавање ипв6 адреса, подешавање рутирања итд.
б. На виртуелним интерфејсима у ВЛАН 100 (МНГ) на прекидачима СВ1, СВ2, СВ3, омогућите режим аутоматске конфигурације ИПв6
Из Л3 топологије је јасно да су свичеви повезани на ВЛАН 100. То значи да је потребно креирати виртуелне интерфејсе на свичевима, а тек онда им доделити подразумевано примање ИПв6 адреса. Почетна конфигурација је урађена управо тако да свичеви могу да примају подразумеване адресе од РТР1. Овај задатак можете обавити користећи следећу листу команди, погодних за сва три прекидача:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Све можете проверити истом командом show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Поред адресе локалне везе, појавила се и ипв6 адреса примљена од РТР1. Овај задатак је успешно обављен, а исте команде морају бити записане на преосталим прекидачима.
Витх. На СВИМ уређајима (осим ПЦ1 и ВЕБ) ручно доделите локалне адресе везе
Тридесетоцифрене ИПв6 адресе нису забавне за администраторе, тако да је могуће ручно променити локалну везу, смањујући њену дужину на минималну вредност. Задаци не говоре ништа о томе које адресе изабрати, тако да је овде омогућен слободан избор.
На пример, на прекидачу СВ1 морате да подесите локалну адресу везе фе80::10. Ово се може урадити следећом командом из конфигурационог режима изабраног интерфејса:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Сада обраћање изгледа много привлачније:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Поред адресе локалне везе, промењена је и примљена ИПв6 адреса, пошто се адреса издаје на основу локалне адресе везе.
На прекидачу СВ1 било је потребно подесити само једну линк-лоцал адресу на једном интерфејсу. Са РТР1 рутером, потребно је да направите више подешавања – потребно је да подесите линк-лоцал на два подинтерфејса, на повратној петљи, а у наредним подешавањима ће се појавити и интерфејс тунела 100.
Да бисте избегли непотребно писање команди, можете поставити исту локалну адресу везе на свим интерфејсима одједном. То можете учинити помоћу кључне речи range након чега следи листа свих интерфејса:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Када проверите интерфејсе, видећете да су локалне адресе веза промењене на свим изабраним интерфејсима:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Сви остали уређаји су конфигурисани на сличан начин
д. На СВИ прекидачима, онемогућите СВЕ портове који се не користе у задатку и пренесите на ВЛАН 99
Основна идеја је исти начин избора више интерфејса за конфигурисање помоћу команде range, па тек онда треба написати команде за пренос на жељени влан и затим искључити интерфејсе. На пример, прекидач СВ1, према топологији Л1, имаће онемогућене портове ф0/3-4, ф0/7-8, ф0/11-24 и г0/2. За овај пример поставка би била следећа:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Приликом провере подешавања са већ познатом командом, вреди напоменути да сви неискоришћени портови морају имати статус административно доле, што указује да је порт онемогућен:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Да бисте видели у ком се влан-у налази порт, можете користити другу команду:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Сви неискоришћени интерфејси би требало да буду овде. Важно је напоменути да неће бити могуће пренети интерфејсе на влан ако такав влан није креиран. У ту сврху су у почетном подешавању креирани сви влан-ови неопходни за рад.
е. На прекидачу СВ1, омогућите закључавање на 1 минут ако је лозинка два пута погрешно унета у року од 30 секунди
То можете урадити следећом командом:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Такође можете проверити ова подешавања на следећи начин:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Где је јасно објашњено да ће након два неуспешна покушаја у року од 30 секунди или мање, могућност пријављивања бити блокирана на 60 секунди.
2. Свим уређајима се мора управљати преко ССХ верзије 2
Да би уређаји били доступни преко ССХ верзије 2, потребно је прво конфигурисати опрему, па ћемо информативно прво конфигурисати опрему са фабричким подешавањима.
Верзију пункције можете променити на следећи начин:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Систем тражи од вас да креирате РСА кључеве да би радила ССХ верзија 2. Пратећи савете паметног система, можете креирати РСА кључеве следећом командом:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Систем не дозвољава да се наредба изврши јер име хоста није промењено. Након промене имена хоста, морате поново да напишете команду за генерисање кључа:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Сада вам систем не дозвољава да креирате РСА кључеве због недостатка имена домена. А након инсталирања имена домена, биће могуће креирати РСА кључеве. РСА кључеви морају бити дугачки најмање 768 бита да би ССХ верзија 2 функционисала:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Као резултат тога, испоставља се да је за рад ССХв2 неопходно:
- Промените име хоста;
- Промените име домена;
- Генеришите РСА кључеве.
Претходни чланак је показао како да промените име хоста и име домена на свим уређајима, тако да док настављате да конфигуришете тренутне уређаје, потребно је само да генеришете РСА кључеве:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
ССХ верзија 2 је активна, али уређаји још нису у потпуности конфигурисани. Последњи корак ће бити подешавање виртуелних конзола:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
У претходном чланку је конфигурисан ААА модел, где је аутентификација постављена на виртуелним конзолама помоћу локалне базе података, а корисник је након аутентификације морао одмах да пређе у привилеговани режим. Најједноставнији тест ССХ функционалности је да покушате да се повежете са сопственом опремом. РТР1 има повратну петљу са ИП адресом 1.1.1.1, можете покушати да се повежете на ову адресу:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
После кључа -l Унесите пријаву постојећег корисника, а затим лозинку. Након аутентификације, корисник одмах прелази у привилеговани режим, што значи да је ССХ исправно конфигурисан.
Извор: ввв.хабр.цом