ProHoster > Blog > Administrasi > Solusi tugas WorldSkills tina modul Network dina kompetensi "SiSA". Bagian 2 - Setup Dasar

Solusi tugas WorldSkills tina modul Network dina kompetensi "SiSA". Bagian 2 - Setup Dasar

Urang neruskeun nganalisis tugas modul Network kajawaraan WorldSkills dina kompetensi "Jaringan jeung System Administration".

Tugas di handap ieu bakal dianggap dina tulisan:

  1. Dina ALL alat, jieun interfaces virtual, subinterfaces, jeung interfaces loopback. Napelkeun alamat IP nurutkeun topologi nu.
    • Aktipkeun mékanisme SLAAC pikeun ngaluarkeun alamat IPv6 dina jaringan MNG dina panganteur router RTR1;
    • Dina interfaces maya di VLAN 100 (MNG) dina saklar SW1, SW2, SW3, ngaktipkeun mode otomatis-konfigurasi IPv6;
    • Dina ALL alat (iwal PC1 jeung WEB) sacara manual nangtukeun alamat link-lokal;
    • Dina ALL saklar, nganonaktipkeun ALL palabuhan teu dipaké dina tugas jeung mindahkeun ka VLAN 99;
    • Dina saklar SW1, aktipkeun konci pikeun 1 menit lamun kecap akses salah diasupkeun dua kali dina 30 detik;
  2. Sadaya alat kedah tiasa diatur ku SSH versi 2.


Topologi jaringan dina lapisan fisik dibere dina diagram ieu:

Solusi tugas WorldSkills tina modul Network dina kompetensi "SiSA". Bagian 2 - Setup Dasar

Topologi jaringan dina tingkat link data dibere dina diagram ieu:

Solusi tugas WorldSkills tina modul Network dina kompetensi "SiSA". Bagian 2 - Setup Dasar

Topologi jaringan dina tingkat jaringan dibere dina diagram ieu:

Solusi tugas WorldSkills tina modul Network dina kompetensi "SiSA". Bagian 2 - Setup Dasar

prasetél

Sateuacan ngalaksanakeun tugas di luhur, éta patut nyetél switching dasar dina saklar SW1-SW3, sabab bakal leuwih merenah pikeun pariksa setelan maranéhanana di mangsa nu bakal datang. Setélan switching bakal dijelaskeun sacara rinci dina tulisan salajengna, tapi pikeun ayeuna ngan ukur setélan anu bakal ditetepkeun.

Léngkah munggaran nyaéta nyiptakeun vlan kalayan nomer 99, 100 sareng 300 dina sadaya saklar:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Lengkah saterusna nyaéta nransper interface g0/1 ka SW1 ka vlan nomer 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Interfaces f0/1-2, f0/5-6, nu nyanghareupan switch séjén, kudu switched ka modeu trunk:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Dina switch SW2 dina mode batang bakal aya interfaces f0 / 1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Dina switch SW3 dina mode batang bakal aya interfaces f0 / 3-6, g0 / 1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Dina tahap ieu, setélan switch bakal ngidinan bursa tina pakét tagged, nu diperlukeun pikeun ngalengkepan tugas.

1. Jieun interfaces virtual, subinterfaces, jeung interfaces loopback dina ALL alat. Napelkeun alamat IP nurutkeun topologi nu.

Router BR1 bakal dikonpigurasi heula. Numutkeun kana topologi L3, di dieu anjeun kedah ngonpigurasikeun antarmuka tipe loop, ogé katelah loopback, nomer 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Pikeun pariksa status antarmuka anu diciptakeun, anjeun tiasa nganggo paréntah show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Di dieu anjeun bisa nempo yén loopback aktip, kaayaan na UP. Upami anjeun ningali di handap, anjeun tiasa ningali dua alamat IPv6, sanaos ngan ukur hiji paréntah anu dianggo pikeun nyetél alamat IPv6. kanyataan éta FE80::2D0:97FF:FE94:5022 nyaéta alamat link-lokal anu ditugaskeun nalika ipv6 diaktipkeun dina panganteur sareng paréntah ipv6 enable.

Sareng pikeun ningali alamat IPv4, paké paréntah anu sami:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

Pikeun BR1, anjeun kedah langsung ngonpigurasikeun antarmuka g0/0; di dieu anjeun kedah nyetél alamat IPv6:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Anjeun tiasa mariksa setélan sareng paréntah anu sami show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Salajengna, router ISP bakal dikonpigurasi. Di dieu, numutkeun tugasna, nomer loopback 0 bakal dikonpigurasi, tapi salian ti éta, langkung saé pikeun ngonpigurasikeun antarmuka g0 / 0, anu kedahna alamatna 30.30.30.1, ku sabab dina tugas-tugas salajengna teu aya anu bakal diomongkeun. nyetel interfaces ieu. Mimiti, nomer loopback 0 dikonpigurasi:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

tim show ipv6 interface brief Anjeun tiasa pariksa yén setélan antarmuka leres. Teras antarmuka g0/0 dikonpigurasi:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Salajengna, router RTR1 bakal dikonpigurasi. Di dieu anjeun ogé kedah nyiptakeun nomer loopback 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Ogé dina RTR1 anjeun kudu nyieun 2 subinterfaces virtual pikeun vlans kalawan nomer 100 jeung 300. Ieu bisa dipigawé saperti kieu.

Mimiti, anjeun kedah ngaktipkeun antarmuka fisik g0/1 kalayan paréntah henteu matikan:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Lajeng subinterfaces kalawan angka 100 jeung 300 dijieun tur ngonpigurasi:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Jumlah subinterface bisa jadi béda ti jumlah vlan nu bakal dianggo, tapi pikeun genah eta leuwih hade migunakeun nomer subinterface nu cocog jeung nomer vlan. Upami anjeun nyetél jinis enkapsulasi nalika nyetél subinterface, anjeun kedah netepkeun nomer anu cocog sareng nomer vlan. Jadi sanggeus paréntah encapsulation dot1Q 300 subinterface ngan bakal ngaliwatan pakét vlan kalawan nomer 300.

Léngkah ahir dina tugas ieu bakal janten router RTR2. Sambungan antara SW1 na RTR2 kudu dina modeu aksés, panganteur switch bakal ngalirkeun arah RTR2 ngan pakét dimaksudkeun pikeun vlan angka 300, ieu dinyatakeun dina tugas dina topologi L2. Ku alatan éta, ngan panganteur fisik bakal ngonpigurasi dina router RTR2 tanpa nyieun subinterfaces:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Teras antarmuka g0/0 dikonpigurasi:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Ieu ngalengkepan konfigurasi tina interfaces router pikeun tugas ayeuna. Antarbeungeut anu sésana bakal dikonpigurasi nalika anjeun ngalengkepan tugas-tugas di handap ieu.

a. Aktipkeun mékanisme SLAAC pikeun ngaluarkeun alamat IPv6 dina jaringan MNG dina panganteur router RTR1
Mékanisme SLAAC diaktipkeun sacara standar. Hiji-hijina hal anu anjeun kedah laksanakeun nyaéta ngaktipkeun routing IPv6. Anjeun tiasa ngalakukeun ieu ku paréntah di handap ieu:

RTR1(config-subif)#ipv6 unicast-routing

Tanpa paréntah ieu, alat-alat bertindak salaku host. Kalayan kecap séjén, hatur nuhun kana paréntah di luhur, janten mungkin ngagunakeun fungsi ipv6 tambahan, kaasup ngaluarkeun alamat ipv6, nyetel routing, jsb.

b. Dina panganteur virtual dina VLAN 100 (MNG) dina saklar SW1, SW2, SW3, aktipkeun modeu konfigurasi otomatis IPv6.
Tina topologi L3 jelas yén saklar disambungkeun ka VLAN 100. Ieu ngandung harti yén éta téh perlu nyieun interfaces virtual dina saklar, sarta ngan lajeng napelkeun aranjeunna pikeun nampa alamat IPv6 sacara standar. Konfigurasi awal dilakukeun sacara saksama supados saklar tiasa nampi alamat standar ti RTR1. Anjeun tiasa ngalengkepan tugas ieu nganggo daptar paréntah di handap ieu, cocog pikeun tilu saklar:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Anjeun tiasa pariksa sadayana kalayan paréntah anu sami show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Salian alamat link-lokal, alamat ipv6 nampi ti RTR1 mucunghul. tugas ieu geus hasil réngsé, sarta paréntah sarua kudu ditulis dina saklar sésana.

Jeung. Dina ALL alat (iwal PC1 jeung WEB) sacara manual nangtukeun alamat link-lokal
Tilu puluh-angka alamat IPv6 henteu pikaresepeun pikeun pangurus, ku kituna tiasa sacara manual ngarobih link-lokal, ngirangan panjangna ka nilai minimum. The assignments nyebutkeun nanaon ngeunaan alamat nu milih, jadi pilihan bébas disadiakeun di dieu.

Contona, dina switch SW1 anjeun kudu nyetél alamat link-lokal fe80::10. Ieu tiasa dilakukeun ku paréntah di handap ieu tina modeu konfigurasi antarmuka anu dipilih:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Ayeuna alamat katingalina langkung pikaresepeun:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Salian alamat link-lokal, alamat IPv6 anu ditampi ogé parantos robih, sabab alamatna dikaluarkeun dumasar kana alamat link-lokal.

Dina switch SW1 ieu diperlukeun pikeun nyetél ngan hiji alamat link-lokal dina hiji panganteur. Kalayan router RTR1, anjeun kedah ngadamel langkung seueur setélan - anjeun kedah nyetél link-lokal dina dua subinterfaces, dina loopback, sareng dina setélan salajengna bakal muncul antarmuka torowongan 100.

Pikeun ngahindarkeun tulisan paréntah anu teu perlu, anjeun tiasa nyetél alamat link-lokal anu sami dina sadaya antarmuka sakaligus. Anjeun tiasa ngalakukeun ieu nganggo kecap konci range dituturkeun ku daptar sadaya interfaces:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Nalika mariksa antarmuka, anjeun bakal ningali yén alamat link-lokal parantos dirobih dina sadaya antarmuka anu dipilih:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Sadaya alat anu sanés dikonpigurasi ku cara anu sami

d. Dina ALL saklar, mareuman ALL palabuhan anu henteu dianggo dina padamelan sareng transfer ka VLAN 99
Gagasan dasar nyaéta cara anu sami pikeun milih sababaraha antarmuka pikeun ngonpigurasikeun nganggo paréntah range, sarta ngan lajeng Anjeun kudu nulis paréntah pikeun mindahkeun ka vlan dipikahoyong lajeng mareuman interfaces. Contona, switch SW1, nurutkeun topologi L1, bakal boga palabuhan f0 / 3-4, f0 / 7-8, f0 / 11-24 jeung g0 / 2 ditumpurkeun. Pikeun conto ieu setelan bakal kieu:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Nalika mariksa setélan sareng paréntah anu parantos dipikanyaho, éta kedah diperhatoskeun yén sadaya palabuhan anu henteu dianggo kedah ngagaduhan status sacara administratif turun, nunjukkeun yén port ditumpurkeun:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Pikeun ningali vlan port mana, anjeun tiasa nganggo paréntah anu sanés:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Sadaya antarmuka anu henteu dianggo kedah aya di dieu. Eta sia noting yén éta moal mungkin pikeun nransper interfaces ka vlan lamun vlan misalna teu acan dijieun. Pikeun tujuan ieu, dina setelan awal, sadaya vlan anu dipikabutuh pikeun operasi diciptakeun.

e. Dina switch SW1, aktipkeun konci pikeun 1 menit upami kecap akses salah diasupkeun dua kali dina 30 detik.
Anjeun tiasa ngalakukeun ieu ku paréntah di handap ieu:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Anjeun ogé tiasa pariksa setélan ieu sapertos kieu:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Dimana eta jelas dipedar yén sanggeus dua usaha gagal dina 30 detik atawa kirang, kamampuhan pikeun log in bakal diblokir pikeun 60 detik.

2. Sadaya alat kedah tiasa diatur ku SSH versi 2

Supados alat tiasa diaksés via SSH versi 2, anjeun kedah ngonpigurasikeun heula alatna, janten pikeun tujuan inpormasi, urang mimiti ngonpigurasikeun alat sareng setélan pabrik.

Anjeun tiasa ngarobih versi puncture sapertos kieu:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistim nu miwarang anjeun nyieun konci RSA pikeun SSH versi 2 mun jalan.

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Sistim nu teu ngidinan paréntah pikeun dieksekusi sabab hostname teu acan dirobah. Saatos ngaganti hostname, anjeun kedah nyerat paréntah generasi konci deui:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Ayeuna sistem henteu ngamungkinkeun anjeun nyiptakeun konci RSA kusabab kurangna nami domain. Sareng saatos masang nami domain, éta bakal tiasa nyiptakeun konci RSA. Konci RSA kedah sahenteuna 768 bit kanggo SSH versi 2 tiasa dianggo:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Hasilna, tétéla yén pikeun SSHv2 tiasa dianggo peryogi:

  1. Ganti ngaran host;
  2. Robah ngaran domain;
  3. Ngahasilkeun konci RSA.

Tulisan sateuacana nunjukkeun kumaha ngarobih nami host sareng nami domain dina sadaya alat, janten nalika neraskeun ngonpigurasikeun alat anu ayeuna, anjeun ngan ukur kedah ngahasilkeun konci RSA:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH Vérsi 2 aktip, tapi alat-alat teu acan pinuh ngonpigurasi. Léngkah ahir bakal nyetél konsol virtual:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Dina artikel saméméhna, modél AAA dikonpigurasikeun, dimana auténtikasi disetél dina konsol virtual nganggo database lokal, sareng pangguna, saatos auténtikasi, kedah langsung asup kana modeu hak istimewa. Tes pangbasajanna fungsionalitas SSH nyaéta nyoba nyambung ka alat-alat anjeun sorangan. RTR1 gaduh loopback sareng alamat IP 1.1.1.1, anjeun tiasa nyobian nyambung ka alamat ieu:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Sanggeus konci -l Lebetkeun login pangguna anu tos aya, teras kecap akses. Saatos auténtikasi, pangguna langsung ngalih ka modeu hak istimewa, anu hartosna SSH dikonpigurasi leres.

sumber: www.habr.com

Tambahkeun komentar