ProHoster > blogg > administration > Lösning av WorldSkills-uppgifter i nätverksmodulen i SiSA:s kompetens. Del 2 - Grundläggande installation

Lösning av WorldSkills-uppgifter i nätverksmodulen i SiSA:s kompetens. Del 2 - Grundläggande installation

Vi fortsätter att analysera uppgifterna för nätverksmodulen i WorldSkills-mästerskapet i kompetensen "Nätverk och systemadministration".

Artikeln kommer att täcka följande uppgifter:

  1. Skapa virtuella gränssnitt, undergränssnitt och loopback-gränssnitt på ALLA enheter. Tilldela IP-adresser enligt topologin.
    • Aktivera SLAAC-mekanismen för att utfärda IPv6-adresser i MNG-nätverket på RTR1-routergränssnittet;
    • På virtuella gränssnitt i VLAN 100 (MNG) på switcharna SW1, SW2, SW3, aktivera IPv6 auto-konfigurationsläge;
    • På ALLA enheter (förutom PC1 och WEB) tilldela länklokala adresser manuellt;
    • På ALLA switchar, inaktivera ALLA portar som inte används i uppgiften och överför till VLAN 99;
    • På switch SW1, aktivera ett lås i 1 minut om lösenordet matas in felaktigt två gånger inom 30 sekunder;
  2. Alla enheter måste kunna hanteras via SSH version 2.


Nätverkstopologin i det fysiska lagret presenteras i följande diagram:

Lösning av WorldSkills-uppgifter i nätverksmodulen i SiSA:s kompetens. Del 2 - Grundläggande installation

Nätverkstopologin på datalänknivå presenteras i följande diagram:

Lösning av WorldSkills-uppgifter i nätverksmodulen i SiSA:s kompetens. Del 2 - Grundläggande installation

Nätverkstopologin på nätverksnivå presenteras i följande diagram:

Lösning av WorldSkills-uppgifter i nätverksmodulen i SiSA:s kompetens. Del 2 - Grundläggande installation

förinställning

Innan du utför ovanstående uppgifter är det värt att ställa in grundläggande strömbrytare SW1-SW3, eftersom det kommer att vara bekvämare att kontrollera deras inställningar i framtiden. Växlingsinställningarna kommer att beskrivas i detalj i nästa artikel, men för närvarande kommer endast inställningarna att definieras.

Det första steget är att skapa vlans med nummer 99, 100 och 300 på alla switchar:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Nästa steg är att överföra gränssnitt g0/1 till SW1 till vlan nummer 300:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Gränssnitt f0/1-2, f0/5-6, som är vända mot andra switchar, bör växlas till trunkläge:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

På switch SW2 i trunkläge kommer det att finnas gränssnitt f0/1-4:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

På switch SW3 i trunkläge kommer det att finnas gränssnitt f0/3-6, g0/1:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

I det här skedet kommer switchinställningarna att tillåta utbyte av taggade paket, vilket krävs för att slutföra uppgifter.

1. Skapa virtuella gränssnitt, undergränssnitt och loopback-gränssnitt på ALLA enheter. Tilldela IP-adresser enligt topologin.

Router BR1 kommer att konfigureras först. Enligt L3-topologin måste du här konfigurera ett loop-typ-gränssnitt, även känt som loopback, nummer 101:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

För att kontrollera statusen för det skapade gränssnittet kan du använda kommandot show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Här kan du se att loopback är aktiv, dess tillstånd UP. Om du tittar nedan kan du se två IPv6-adresser, även om endast ett kommando användes för att ställa in IPv6-adressen. Faktum är att FE80::2D0:97FF:FE94:5022 är en länk-lokal adress som tilldelas när ipv6 är aktiverat på ett gränssnitt med kommandot ipv6 enable.

Och för att se IPv4-adressen, använd ett liknande kommando:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

För BR1 bör du omedelbart konfigurera g0/0-gränssnittet; här behöver du bara ställa in IPv6-adressen:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Du kan kontrollera inställningarna med samma kommando show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Därefter kommer ISP-routern att konfigureras. Här, enligt uppgiften, kommer loopback nummer 0 att konfigureras, men förutom detta är det att föredra att konfigurera g0/0-gränssnittet, som ska ha adressen 30.30.30.1, av den anledningen att i efterföljande uppgifter kommer ingenting att sägas om konfigurera dessa gränssnitt. Först konfigureras loopback nummer 0:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

Team show ipv6 interface brief Du kan verifiera att gränssnittsinställningarna är korrekta. Sedan konfigureras gränssnittet g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Därefter kommer RTR1-routern att konfigureras. Här behöver du också skapa en loopback nummer 100:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Även på RTR1 behöver du skapa 2 virtuella undergränssnitt för vlan med nummer 100 och 300. Detta kan göras enligt följande.

Först måste du aktivera det fysiska gränssnittet g0/1 med kommandot no shutdown:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Sedan skapas och konfigureras undergränssnitt med nummer 100 och 300:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Undergränssnittsnumret kan skilja sig från vlan-numret där det kommer att fungera, men för enkelhetens skull är det bättre att använda undergränssnittsnumret som matchar vlan-numret. Om du ställer in inkapslingstypen när du ställer in ett undergränssnitt, bör du ange ett nummer som matchar vlan-numret. Så efter kommandot encapsulation dot1Q 300 undergränssnittet kommer endast att passera genom vlan-paket med nummer 300.

Det sista steget i denna uppgift kommer att vara RTR2-routern. Kopplingen mellan SW1 och RTR2 måste vara i accessläge, switchgränssnittet kommer att passera mot RTR2 endast paket avsedda för vlan nummer 300, detta står i uppgiften på L2 topologin. Därför kommer endast det fysiska gränssnittet att konfigureras på RTR2-routern utan att skapa undergränssnitt:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Sedan konfigureras gränssnittet g0/0:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Detta slutför konfigurationen av routergränssnitt för den aktuella uppgiften. De återstående gränssnitten kommer att konfigureras när du slutför följande uppgifter.

a. Aktivera SLAAC-mekanismen för att utfärda IPv6-adresser i MNG-nätverket på RTR1-routergränssnittet
SLAAC-mekanismen är aktiverad som standard. Det enda du behöver göra är att aktivera IPv6-routing. Du kan göra detta med följande kommando:

RTR1(config-subif)#ipv6 unicast-routing

Utan detta kommando fungerar utrustningen som en värd. Med andra ord, tack vare ovanstående kommando, blir det möjligt att använda ytterligare ipv6-funktioner, inklusive att utfärda ipv6-adresser, ställa in routing, etc.

b. På virtuella gränssnitt i VLAN 100 (MNG) på switchar SW1, SW2, SW3, aktivera IPv6 auto-konfigurationsläge
Från L3-topologin är det tydligt att switcharna är anslutna till VLAN 100. Detta innebär att det är nödvändigt att skapa virtuella gränssnitt på switcharna, och först då tilldela dem att ta emot IPv6-adresser som standard. Den initiala konfigurationen gjordes exakt så att switcharna kunde ta emot standardadresser från RTR1. Du kan slutföra denna uppgift med hjälp av följande lista med kommandon, lämpliga för alla tre växlarna:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Du kan kontrollera allt med samma kommando show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Förutom den länklokala adressen dök en ipv6-adress mottaget från RTR1 upp. Denna uppgift har slutförts och samma kommandon måste skrivas på de återstående switcharna.

Med. Tilldela länklokala adresser manuellt på ALLA enheter (förutom PC1 och WEB).
Trettiosiffriga IPv6-adresser är inget roligt för administratörer, så det är möjligt att manuellt ändra länken lokalt och minska dess längd till ett minimivärde. Uppdragen säger ingenting om vilka adresser man ska välja, så här ges ett fritt val.

Till exempel, på switch SW1 måste du ställa in den länklokala adressen fe80::10. Detta kan göras med följande kommando från konfigurationsläget för det valda gränssnittet:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Nu ser adresseringen mycket mer attraktiv ut:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Förutom den länklokala adressen har även den mottagna IPv6-adressen ändrats, eftersom adressen utfärdas baserat på den länklokala adressen.

På switch SW1 var det nödvändigt att endast ställa in en länklokal adress på ett gränssnitt. Med RTR1-routern måste du göra fler inställningar - du måste ställa in länklokalt på två undergränssnitt, på loopbacken, och i efterföljande inställningar kommer även tunnel 100-gränssnittet att visas.

För att undvika onödig skrivning av kommandon kan du ställa in samma länklokala adress på alla gränssnitt samtidigt. Du kan göra detta med hjälp av ett nyckelord range följt av att lista alla gränssnitt:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

När du kontrollerar gränssnitten ser du att de länklokala adresserna har ändrats på alla valda gränssnitt:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Alla andra enheter är konfigurerade på liknande sätt

d. På ALLA switchar, inaktivera ALLA portar som inte används i jobbet och överför till VLAN 99
Grundidén är samma sätt att välja flera gränssnitt att konfigurera med hjälp av kommandot range, och först då bör du skriva kommandon för att överföra till önskat vlan och sedan stänga av gränssnitten. Till exempel kommer switch SW1, enligt L1-topologin, att ha portarna f0/3-4, f0/7-8, f0/11-24 och g0/2 inaktiverade. För det här exemplet skulle inställningen vara följande:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

När du kontrollerar inställningarna med ett redan känt kommando är det värt att notera att alla oanvända portar måste ha en status administrativt nere, vilket indikerar att porten är inaktiverad:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

För att se vilken vlan porten är i kan du använda ett annat kommando:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Alla oanvända gränssnitt ska finnas här. Det är värt att notera att det inte kommer att vara möjligt att överföra gränssnitt till vlan om ett sådant vlan inte har skapats. Det är för detta ändamål som i den initiala installationen skapades alla vlans som behövs för driften.

e. På switch SW1, aktivera ett lås i 1 minut om lösenordet matas in felaktigt två gånger inom 30 sekunder
Du kan göra detta med följande kommando:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Du kan också kontrollera dessa inställningar enligt följande:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

Där det tydligt förklaras att efter två misslyckade försök inom 30 sekunder eller mindre kommer möjligheten att logga in att blockeras i 60 sekunder.

2. Alla enheter måste kunna hanteras via SSH version 2

För att enheter ska vara tillgängliga via SSH version 2 är det nödvändigt att först konfigurera utrustningen, så i informationssyfte kommer vi först att konfigurera utrustningen med fabriksinställningar.

Du kan ändra punkteringsversionen enligt följande:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Systemet ber dig skapa RSA-nycklar för att SSH version 2 ska fungera. Efter råd från det smarta systemet kan du skapa RSA-nycklar med följande kommando:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Systemet tillåter inte att kommandot körs eftersom värdnamnet inte har ändrats. Efter att ha ändrat värdnamnet måste du skriva kommandot för nyckelgenerering igen:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Nu tillåter inte systemet dig att skapa RSA-nycklar på grund av avsaknaden av ett domännamn. Och efter att ha installerat domännamnet kommer det att vara möjligt att skapa RSA-nycklar. RSA-nycklar måste vara minst 768 bitar långa för att SSH version 2 ska fungera:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Som ett resultat visar det sig att för att SSHv2 ska fungera är det nödvändigt:

  1. Ändra värdnamn;
  2. Ändra domännamn;
  3. Generera RSA-nycklar.

Den tidigare artikeln visade hur man ändrar värdnamn och domännamn på alla enheter, så medan du fortsätter att konfigurera de nuvarande enheterna behöver du bara generera RSA-nycklar:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH version 2 är aktiv, men enheterna är ännu inte helt konfigurerade. Det sista steget kommer att ställa in virtuella konsoler:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

I den tidigare artikeln konfigurerades AAA-modellen, där autentisering ställdes in på virtuella konsoler med hjälp av en lokal databas, och användaren, efter autentisering, måste omedelbart gå in i privilegierat läge. Det enklaste testet av SSH-funktionalitet är att försöka ansluta till din egen utrustning. RTR1 har en loopback med IP-adress 1.1.1.1, du kan försöka ansluta till denna adress:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Efter nyckeln -l Ange inloggningen för den befintliga användaren och sedan lösenordet. Efter autentisering växlar användaren omedelbart till privilegierat läge, vilket innebär att SSH är korrekt konfigurerat.

Källa: will.com

Lägg en kommentar