เรายังคงวิเคราะห์งานของโมดูลเครือข่ายของการแข่งขันชิงแชมป์ WorldSkills ในความสามารถ "การบริหารเครือข่ายและระบบ" ต่อไป
บทความนี้จะครอบคลุมงานต่อไปนี้:
- บนอุปกรณ์ทั้งหมด ให้สร้างอินเทอร์เฟซเสมือน อินเทอร์เฟซย่อย และอินเทอร์เฟซแบบย้อนกลับ กำหนดที่อยู่ IP ตามโทโพโลยี
- เปิดใช้งานกลไก SLAAC เพื่อออกที่อยู่ IPv6 ในเครือข่าย MNG บนอินเทอร์เฟซเราเตอร์ RTR1
- บนอินเทอร์เฟซเสมือนใน VLAN 100 (MNG) บนสวิตช์ SW1, SW2, SW3 เปิดใช้งานโหมดการกำหนดค่าอัตโนมัติ IPv6
- บนอุปกรณ์ทั้งหมด (ยกเว้น PC1 และ WEB) กำหนดที่อยู่ลิงก์ในเครื่องด้วยตนเอง
- บนสวิตช์ทั้งหมด ให้ปิดการใช้งานพอร์ตทั้งหมดที่ไม่ได้ใช้ในงาน และถ่ายโอนไปยัง VLAN 99
- บนสวิตช์ SW1 ให้เปิดใช้งานการล็อคเป็นเวลา 1 นาทีหากป้อนรหัสผ่านไม่ถูกต้องสองครั้งภายใน 30 วินาที
- อุปกรณ์ทั้งหมดต้องสามารถจัดการได้ผ่าน SSH เวอร์ชัน 2
โทโพโลยีเครือข่ายที่ฟิสิคัลเลเยอร์แสดงไว้ในแผนภาพต่อไปนี้:
โทโพโลยีเครือข่ายที่ระดับดาต้าลิงค์แสดงไว้ในแผนภาพต่อไปนี้:
โทโพโลยีเครือข่ายในระดับเครือข่ายแสดงไว้ในแผนภาพต่อไปนี้:
การตั้งค่าล่วงหน้า
ก่อนที่จะดำเนินการข้างต้น ควรตั้งค่าสวิตช์พื้นฐานบนสวิตช์ SW1-SW3 เนื่องจากจะสะดวกกว่าในการตรวจสอบการตั้งค่าในอนาคต การตั้งค่าสวิตช์จะอธิบายโดยละเอียดในบทความถัดไป แต่สำหรับตอนนี้จะกำหนดเฉพาะการตั้งค่าเท่านั้น
ขั้นตอนแรกคือการสร้าง vlan ด้วยหมายเลข 99, 100 และ 300 บนสวิตช์ทั้งหมด:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
ขั้นตอนต่อไปคือการถ่ายโอนอินเทอร์เฟซ g0/1 ไปยัง SW1 ไปยัง vlan หมายเลข 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
อินเทอร์เฟซ f0/1-2, f0/5-6 ซึ่งหันหน้าเข้าหาสวิตช์อื่นๆ ควรเปลี่ยนเป็นโหมดทรังก์:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
บนสวิตช์ SW2 ในโหมด trunk จะมีอินเทอร์เฟซ f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
บนสวิตช์ SW3 ในโหมด Trunk จะมีอินเทอร์เฟซ f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
ในขั้นตอนนี้ การตั้งค่าสวิตช์จะอนุญาตให้มีการแลกเปลี่ยนแพ็กเก็ตที่ติดแท็ก ซึ่งจำเป็นต่อการทำงานให้เสร็จสิ้น
1. สร้างอินเทอร์เฟซเสมือน อินเทอร์เฟซย่อย และอินเทอร์เฟซแบบย้อนกลับบนอุปกรณ์ทั้งหมด กำหนดที่อยู่ IP ตามโทโพโลยี
เราเตอร์ BR1 จะได้รับการกำหนดค่าก่อน ตามโทโพโลยี L3 คุณต้องกำหนดค่าอินเทอร์เฟซแบบลูปหรือที่เรียกว่าลูปแบ็คหมายเลข 101 ที่นี่:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
หากต้องการตรวจสอบสถานะของอินเทอร์เฟซที่สร้างขึ้นคุณสามารถใช้คำสั่งได้ show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
ที่นี่คุณจะเห็นว่าลูปแบ็คทำงานอยู่ สถานะของมัน UP. หากคุณดูด้านล่าง คุณจะเห็นที่อยู่ IPv6 สองรายการ แม้ว่าจะใช้เพียงคำสั่งเดียวในการตั้งค่าที่อยู่ IPv6 ความจริงก็คือว่า FE80::2D0:97FF:FE94:5022 เป็นที่อยู่ลิงก์โลคัลที่กำหนดเมื่อเปิดใช้งาน ipv6 บนอินเทอร์เฟซด้วยคำสั่ง ipv6 enable.
และหากต้องการดูที่อยู่ IPv4 ให้ใช้คำสั่งที่คล้ายกัน:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
สำหรับ BR1 คุณควรกำหนดค่าอินเทอร์เฟซ g0/0 ทันที ที่นี่คุณเพียงแค่ต้องตั้งค่าที่อยู่ IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
คุณสามารถตรวจสอบการตั้งค่าด้วยคำสั่งเดียวกัน show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
ถัดไป เราเตอร์ ISP จะถูกกำหนดค่า ตามงานจะมีการกำหนดค่าลูปแบ็คหมายเลข 0 แต่นอกเหนือจากนี้ควรกำหนดค่าอินเทอร์เฟซ g0/0 ซึ่งควรมีที่อยู่ 30.30.30.1 ด้วยเหตุผลที่ว่าในงานต่อ ๆ ไปจะไม่มีการพูดถึง การตั้งค่าอินเทอร์เฟซเหล่านี้ ขั้นแรก ให้กำหนดค่าลูปแบ็คหมายเลข 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
ทีม show ipv6 interface brief คุณสามารถตรวจสอบว่าการตั้งค่าอินเทอร์เฟซถูกต้อง จากนั้นกำหนดค่าอินเทอร์เฟซ g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
ถัดไป เราเตอร์ RTR1 จะถูกกำหนดค่า ที่นี่คุณต้องสร้างหมายเลขลูปแบ็ค 100 ด้วย:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
นอกจากนี้บน RTR1 คุณต้องสร้างอินเทอร์เฟซย่อยเสมือน 2 อันสำหรับ vlan ด้วยหมายเลข 100 และ 300 ซึ่งสามารถทำได้ดังนี้
ขั้นแรก คุณต้องเปิดใช้งานอินเทอร์เฟซแบบฟิสิคัล g0/1 โดยใช้คำสั่ง no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
จากนั้นอินเทอร์เฟซย่อยที่มีหมายเลข 100 และ 300 จะถูกสร้างขึ้นและกำหนดค่า:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
หมายเลขอินเทอร์เฟซย่อยอาจแตกต่างจากหมายเลข vlan ที่จะใช้งานได้ แต่เพื่อความสะดวก ควรใช้หมายเลขอินเทอร์เฟซย่อยที่ตรงกับหมายเลข vlan หากคุณตั้งค่าประเภทการห่อหุ้มเมื่อตั้งค่าอินเทอร์เฟซย่อย คุณควรระบุหมายเลขที่ตรงกับหมายเลข vlan ดังนั้นหลังจากมีคำสั่ง encapsulation dot1Q 300 อินเทอร์เฟซย่อยจะส่งผ่านแพ็กเก็ต vlan ที่มีหมายเลข 300 เท่านั้น
ขั้นตอนสุดท้ายในงานนี้คือเราเตอร์ RTR2 การเชื่อมต่อระหว่าง SW1 และ RTR2 ต้องอยู่ในโหมดการเข้าถึง อินเทอร์เฟซของสวิตช์จะส่งผ่านไปยังแพ็กเก็ต RTR2 เท่านั้นที่มีไว้สำหรับ vlan หมายเลข 300 ซึ่งระบุไว้ในงานบนโทโพโลยี L2 ดังนั้นเฉพาะอินเทอร์เฟซทางกายภาพเท่านั้นที่จะได้รับการกำหนดค่าบนเราเตอร์ RTR2 โดยไม่ต้องสร้างอินเทอร์เฟซย่อย:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
จากนั้นกำหนดค่าอินเทอร์เฟซ g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
การดำเนินการนี้ทำให้การกำหนดค่าอินเทอร์เฟซของเราเตอร์สำหรับงานปัจจุบันเสร็จสมบูรณ์ อินเทอร์เฟซที่เหลือจะถูกกำหนดค่าเมื่อคุณทำงานต่อไปนี้เสร็จแล้ว
ก. เปิดใช้งานกลไก SLAAC เพื่อออกที่อยู่ IPv6 ในเครือข่าย MNG บนอินเทอร์เฟซเราเตอร์ RTR1
กลไก SLAAC ถูกเปิดใช้งานตามค่าเริ่มต้น สิ่งเดียวที่คุณต้องทำคือเปิดใช้งานการกำหนดเส้นทาง IPv6 คุณสามารถทำได้ด้วยคำสั่งต่อไปนี้:
RTR1(config-subif)#ipv6 unicast-routing
หากไม่มีคำสั่งนี้ อุปกรณ์จะทำหน้าที่เป็นโฮสต์ กล่าวอีกนัยหนึ่งด้วยคำสั่งข้างต้นทำให้สามารถใช้ฟังก์ชัน ipv6 เพิ่มเติมได้รวมถึงการออกที่อยู่ ipv6 การตั้งค่าการกำหนดเส้นทาง ฯลฯ
ข. บนอินเทอร์เฟซเสมือนใน VLAN 100 (MNG) บนสวิตช์ SW1, SW2, SW3 เปิดใช้งานโหมดการกำหนดค่าอัตโนมัติ IPv6
จากโทโพโลยี L3 เป็นที่ชัดเจนว่าสวิตช์เชื่อมต่อกับ VLAN 100 ซึ่งหมายความว่าจำเป็นต้องสร้างอินเทอร์เฟซเสมือนบนสวิตช์ จากนั้นจึงกำหนดให้สวิตช์เหล่านั้นรับที่อยู่ IPv6 ตามค่าเริ่มต้นเท่านั้น การกำหนดค่าเริ่มต้นเสร็จสิ้นอย่างแม่นยำเพื่อให้สวิตช์สามารถรับที่อยู่เริ่มต้นจาก RTR1 คุณสามารถทำงานนี้ให้เสร็จสิ้นได้โดยใช้รายการคำสั่งต่อไปนี้ ซึ่งเหมาะสำหรับสวิตช์ทั้งสามตัว:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
คุณสามารถตรวจสอบทุกอย่างด้วยคำสั่งเดียวกัน show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
นอกเหนือจากที่อยู่ link-local แล้ว ที่อยู่ ipv6 ที่ได้รับจาก RTR1 ยังปรากฏขึ้นอีกด้วย งานนี้เสร็จสมบูรณ์แล้ว และจะต้องเขียนคำสั่งเดียวกันบนสวิตช์ที่เหลือ
กับ. บนอุปกรณ์ทั้งหมด (ยกเว้น PC1 และ WEB) กำหนดที่อยู่ลิงก์ในเครื่องด้วยตนเอง
ที่อยู่ IPv6 สามสิบหลักไม่ใช่เรื่องสนุกสำหรับผู้ดูแลระบบ ดังนั้นจึงสามารถเปลี่ยน link-local ได้ด้วยตนเอง โดยลดความยาวให้เหลือค่าต่ำสุด การมอบหมายงานไม่ได้บอกอะไรเกี่ยวกับที่อยู่ที่จะเลือก ดังนั้นจึงมีตัวเลือกให้ฟรีที่นี่
ตัวอย่างเช่น บนสวิตช์ SW1 คุณต้องตั้งค่าที่อยู่ลิงก์ภายในเครื่อง fe80::10 ซึ่งสามารถทำได้ด้วยคำสั่งต่อไปนี้จากโหมดการกำหนดค่าของอินเทอร์เฟซที่เลือก:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
ตอนนี้การจัดการดูน่าสนใจยิ่งขึ้น:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
นอกเหนือจากที่อยู่ link-local แล้ว ที่อยู่ IPv6 ที่ได้รับก็เปลี่ยนไปเช่นกัน เนื่องจากที่อยู่นั้นออกตามที่อยู่ link-local
บนสวิตช์ SW1 จำเป็นต้องตั้งค่าที่อยู่ลิงก์โลคอลเพียงอันเดียวบนอินเทอร์เฟซเดียว ด้วยเราเตอร์ RTR1 คุณต้องทำการตั้งค่าเพิ่มเติม - คุณต้องตั้งค่า link-local บนอินเทอร์เฟซย่อยสองตัวบนลูปแบ็คและในการตั้งค่าต่อมาอินเทอร์เฟซ tunnel 100 จะปรากฏขึ้นเช่นกัน
เพื่อหลีกเลี่ยงการเขียนคำสั่งโดยไม่จำเป็น คุณสามารถตั้งค่าที่อยู่ลิงก์ท้องถิ่นเดียวกันบนอินเทอร์เฟซทั้งหมดพร้อมกันได้ คุณสามารถทำได้โดยใช้คำสำคัญ range ตามด้วยการแสดงรายการอินเทอร์เฟซทั้งหมด:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
เมื่อตรวจสอบอินเทอร์เฟซ คุณจะเห็นว่าที่อยู่ลิงก์ภายในมีการเปลี่ยนแปลงบนอินเทอร์เฟซที่เลือกทั้งหมด:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
อุปกรณ์อื่นๆ ทั้งหมดได้รับการกำหนดค่าในลักษณะเดียวกัน
ง. บนสวิตช์ทั้งหมด ให้ปิดใช้งานพอร์ตทั้งหมดที่ไม่ได้ใช้ในงาน และถ่ายโอนไปยัง VLAN 99
แนวคิดพื้นฐานคือวิธีเดียวกันกับการเลือกหลายอินเทอร์เฟซเพื่อกำหนดค่าโดยใช้คำสั่ง rangeจากนั้นคุณควรเขียนคำสั่งเพื่อถ่ายโอนไปยัง vlan ที่ต้องการแล้วปิดอินเทอร์เฟซ ตัวอย่างเช่น สวิตช์ SW1 ตามโทโพโลยี L1 จะมีพอร์ต f0/3-4, f0/7-8, f0/11-24 และ g0/2 ปิดใช้งาน สำหรับตัวอย่างนี้ การตั้งค่าจะเป็นดังนี้:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
เมื่อตรวจสอบการตั้งค่าด้วยคำสั่งที่ทราบอยู่แล้ว เป็นที่น่าสังเกตว่าพอร์ตที่ไม่ได้ใช้ทั้งหมดจะต้องมีสถานะ ลงทางการบริหารแสดงว่าพอร์ตถูกปิดใช้งาน:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
หากต้องการดูว่าพอร์ตใดอยู่ใน vlan คุณสามารถใช้คำสั่งอื่น:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
อินเทอร์เฟซที่ไม่ได้ใช้ทั้งหมดควรอยู่ที่นี่ เป็นที่น่าสังเกตว่าจะไม่สามารถถ่ายโอนอินเทอร์เฟซไปยัง vlan ได้หากไม่ได้สร้าง vlan ดังกล่าว เพื่อจุดประสงค์นี้ในการตั้งค่าเริ่มต้น vlan ทั้งหมดที่จำเป็นสำหรับการดำเนินการจึงถูกสร้างขึ้น
จ. บนสวิตช์ SW1 ให้เปิดใช้งานการล็อคเป็นเวลา 1 นาทีหากป้อนรหัสผ่านไม่ถูกต้องสองครั้งภายใน 30 วินาที
คุณสามารถทำได้โดยใช้คำสั่งต่อไปนี้:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
คุณยังสามารถตรวจสอบการตั้งค่าเหล่านี้ได้ดังต่อไปนี้:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
โดยมีการอธิบายอย่างชัดเจนว่าหลังจากพยายามไม่สำเร็จสองครั้งภายใน 30 วินาทีหรือน้อยกว่านั้น ความสามารถในการเข้าสู่ระบบจะถูกบล็อกเป็นเวลา 60 วินาที
2. อุปกรณ์ทั้งหมดจะต้องสามารถจัดการได้ผ่าน SSH เวอร์ชัน 2
เพื่อให้อุปกรณ์สามารถเข้าถึงได้ผ่าน SSH เวอร์ชัน 2 จำเป็นต้องกำหนดค่าอุปกรณ์ก่อน ดังนั้นเพื่อวัตถุประสงค์ในการให้ข้อมูล เราจะกำหนดค่าอุปกรณ์ด้วยการตั้งค่าจากโรงงานก่อน
คุณสามารถเปลี่ยนเวอร์ชันการเจาะได้ดังนี้:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
ระบบขอให้คุณสร้างคีย์ RSA เพื่อให้ SSH เวอร์ชัน 2 ทำงาน ตามคำแนะนำของระบบอัจฉริยะ คุณสามารถสร้างคีย์ RSA ด้วยคำสั่งต่อไปนี้:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
ระบบไม่อนุญาตให้ดำเนินการคำสั่งเนื่องจากไม่ได้เปลี่ยนชื่อโฮสต์ หลังจากเปลี่ยนชื่อโฮสต์แล้ว คุณต้องเขียนคำสั่งการสร้างคีย์อีกครั้ง:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
ขณะนี้ระบบไม่อนุญาตให้คุณสร้างคีย์ RSA เนื่องจากไม่มีชื่อโดเมน และหลังจากติดตั้งชื่อโดเมนแล้วจะสามารถสร้างคีย์ RSA ได้ คีย์ RSA ต้องมีความยาวอย่างน้อย 768 บิตเพื่อให้ SSH เวอร์ชัน 2 ทำงาน:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
เป็นผลให้ปรากฎว่าเพื่อให้ SSHv2 ทำงานได้จำเป็นต้องมี:
- เปลี่ยนชื่อโฮสต์
- เปลี่ยนชื่อโดเมน
- สร้างคีย์ RSA
บทความก่อนหน้านี้แสดงวิธีเปลี่ยนชื่อโฮสต์และชื่อโดเมนบนอุปกรณ์ทั้งหมด ดังนั้นในขณะที่กำหนดค่าอุปกรณ์ปัจจุบันต่อไป คุณเพียงแค่สร้างคีย์ RSA เท่านั้น:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH เวอร์ชัน 2 ทำงานอยู่ แต่อุปกรณ์ยังไม่ได้รับการกำหนดค่าอย่างสมบูรณ์ ขั้นตอนสุดท้ายคือการตั้งค่าคอนโซลเสมือน:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
ในบทความก่อนหน้านี้ มีการกำหนดค่าโมเดล AAA ซึ่งตั้งค่าการตรวจสอบสิทธิ์บนคอนโซลเสมือนโดยใช้ฐานข้อมูลท้องถิ่น และหลังจากการตรวจสอบสิทธิ์แล้ว ผู้ใช้จะต้องเข้าสู่โหมดสิทธิพิเศษทันที การทดสอบฟังก์ชัน SSH ที่ง่ายที่สุดคือการพยายามเชื่อมต่อกับอุปกรณ์ของคุณเอง RTR1 มีลูปแบ็คพร้อมที่อยู่ IP 1.1.1.1 คุณสามารถลองเชื่อมต่อกับที่อยู่นี้:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
หลังกุญแจ -l ป้อนข้อมูลเข้าสู่ระบบของผู้ใช้ที่มีอยู่แล้วตามด้วยรหัสผ่าน หลังจากการตรวจสอบสิทธิ์ ผู้ใช้จะสลับไปที่โหมดสิทธิพิเศษทันที ซึ่งหมายความว่า SSH ได้รับการกำหนดค่าอย่างถูกต้อง
ที่มา: will.com