Patuloy naming sinusuri ang mga gawain ng Network module ng WorldSkills championship sa "Network and System Administration" na kakayahan.
Ang mga sumusunod na gawain ay isasaalang-alang sa artikulo:
- Sa LAHAT ng device, gumawa ng mga virtual na interface, subinterface, at loopback na interface. Magtalaga ng mga IP address ayon sa topology.
- Paganahin ang mekanismo ng SLAAC na mag-isyu ng mga IPv6 address sa MNG network sa interface ng RTR1 router;
- Sa mga virtual na interface sa VLAN 100 (MNG) sa mga switch SW1, SW2, SW3, paganahin ang IPv6 auto-configuration mode;
- Sa LAHAT ng device (maliban sa PC1 at WEB) manu-manong magtalaga ng mga link-local na address;
- Sa LAHAT ng switch, huwag paganahin ang LAHAT ng mga port na hindi ginagamit sa gawain at ilipat sa VLAN 99;
- Sa switch SW1, paganahin ang isang lock sa loob ng 1 minuto kung ang password ay naipasok nang hindi tama nang dalawang beses sa loob ng 30 segundo;
- Ang lahat ng mga device ay dapat na pamahalaan sa pamamagitan ng SSH bersyon 2.
Ang network topology sa pisikal na layer ay ipinakita sa sumusunod na diagram:
Ang network topology sa antas ng data link ay ipinakita sa sumusunod na diagram:
Ang network topology sa antas ng network ay ipinakita sa sumusunod na diagram:
presetting
Bago isagawa ang mga gawain sa itaas, ito ay nagkakahalaga ng pag-set up ng pangunahing paglipat sa mga switch SW1-SW3, dahil magiging mas maginhawang suriin ang kanilang mga setting sa hinaharap. Ang switching setup ay ilalarawan nang detalyado sa susunod na artikulo, ngunit sa ngayon ang mga setting lang ang tutukuyin.
Ang unang hakbang ay lumikha ng mga vlan na may mga numerong 99, 100 at 300 sa lahat ng switch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Ang susunod na hakbang ay ilipat ang interface g0/1 sa SW1 sa vlan number 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Ang mga interface f0/1-2, f0/5-6, na nakaharap sa iba pang mga switch, ay dapat ilipat sa trunk mode:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Sa switch SW2 sa trunk mode magkakaroon ng mga interface f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Sa switch SW3 sa trunk mode magkakaroon ng mga interface f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Sa yugtong ito, papayagan ng mga setting ng switch ang pagpapalitan ng mga naka-tag na packet, na kinakailangan upang makumpleto ang mga gawain.
1. Gumawa ng mga virtual na interface, subinterface, at loopback na interface sa LAHAT ng device. Magtalaga ng mga IP address ayon sa topology.
Iko-configure muna ang router BR1. Ayon sa L3 topology, dito kailangan mong i-configure ang isang loop-type na interface, na kilala rin bilang loopback, number 101:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ loopback
BR1(config)#interface loopback 101
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv4-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ΅
BR1(config-if)#ipv6 enable
// ΠΠ°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ipv6-Π°Π΄ΡΠ΅ΡΠ°
BR1(config-if)#ipv6 address 2001:B:A::1/64
// ΠΡΡ
ΠΎΠ΄ ΠΈΠ· ΡΠ΅ΠΆΠΈΠΌΠ° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#exit
BR1(config)#
Upang suriin ang katayuan ng nilikha na interface, maaari mong gamitin ang command show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
BR1#
Dito makikita mo na ang loopback ay aktibo, ang estado nito UP. Kung titingnan mo sa ibaba, makakakita ka ng dalawang IPv6 address, bagama't isang command lang ang ginamit upang itakda ang IPv6 address. Sa katotohanan ay FE80::2D0:97FF:FE94:5022 ay isang link-local na address na itinalaga kapag ang ipv6 ay pinagana sa isang interface na may command ipv6 enable.
At para tingnan ang IPv4 address, gumamit ng katulad na command:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Para sa BR1, dapat mong i-configure kaagad ang interface ng g0/0; dito kailangan mo lang itakda ang IPv6 address:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ Π² ΡΠ΅ΠΆΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config)#interface gigabitEthernet 0/0
// ΠΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Maaari mong suriin ang mga setting gamit ang parehong command show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:C::1 //IPv6-Π°Π΄ΡΠ΅Ρ
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local Π°Π΄ΡΠ΅Ρ
2001:B:A::1 //IPv6-Π°Π΄ΡΠ΅Ρ
Susunod, ang ISP router ay mai-configure. Dito, ayon sa gawain, ang loopback number 0 ay mai-configure, ngunit bukod dito, mas mainam na i-configure ang g0/0 interface, na dapat magkaroon ng address na 30.30.30.1, sa kadahilanang sa mga susunod na gawain ay walang sasabihin tungkol sa pag-set up ng mga interface na ito. Una, naka-configure ang loopback number 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
Koponan show ipv6 interface brief Maaari mong i-verify na tama ang mga setting ng interface. Pagkatapos ay na-configure ang interface g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Susunod, ang RTR1 router ay mai-configure. Dito kailangan mo ring lumikha ng loopback number 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Gayundin sa RTR1 kailangan mong lumikha ng 2 virtual subinterface para sa mga vlan na may mga numerong 100 at 300. Ito ay maaaring gawin bilang mga sumusunod.
Una, kailangan mong paganahin ang pisikal na interface g0/1 gamit ang walang shutdown command:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Pagkatapos, ang mga subinterface na may mga numero 100 at 300 ay nilikha at na-configure:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 100 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.100
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΡΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ 300 ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π΅Π³ΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅
RTR1(config)#interface gigabitEthernet 0/1.300
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΈΠ½ΠΊΠ°ΠΏΡΡΠ»ΡΡΠΈΠΈ ΡΠΈΠΏΠ° dot1q Ρ Π½ΠΎΠΌΠ΅ΡΠΎΠΌ vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Ang subinterface number ay maaaring iba sa vlan number kung saan ito gagana, ngunit para sa kaginhawahan mas mainam na gamitin ang subinterface number na tumutugma sa vlan number. Kung itatakda mo ang uri ng encapsulation kapag nagse-set up ng subinterface, dapat kang tumukoy ng numero na tumutugma sa numero ng vlan. Kaya pagkatapos ng utos encapsulation dot1Q 300 ang subinterface ay dadaan lamang sa mga vlan packet na may numerong 300.
Ang huling hakbang sa gawaing ito ay ang RTR2 router. Ang koneksyon sa pagitan ng SW1 at RTR2 ay dapat na nasa access mode, ang switch interface ay dadaan patungo sa RTR2 na mga packet lamang na inilaan para sa vlan number 300, ito ay nakasaad sa gawain sa L2 topology. Samakatuwid, ang pisikal na interface lamang ang mai-configure sa RTR2 router nang hindi gumagawa ng mga subinterface:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Pagkatapos ay na-configure ang interface g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Kinukumpleto nito ang pagsasaayos ng mga interface ng router para sa kasalukuyang gawain. Ang natitirang mga interface ay iko-configure habang kinukumpleto mo ang mga sumusunod na gawain.
a. Paganahin ang mekanismo ng SLAAC na mag-isyu ng mga IPv6 address sa MNG network sa interface ng router ng RTR1
Ang mekanismo ng SLAAC ay pinagana bilang default. Ang tanging bagay na kailangan mong gawin ay paganahin ang IPv6 routing. Magagawa mo ito gamit ang sumusunod na utos:
RTR1(config-subif)#ipv6 unicast-routing
Kung wala ang utos na ito, ang kagamitan ay gumaganap bilang isang host. Sa madaling salita, salamat sa utos sa itaas, nagiging posible na gumamit ng mga karagdagang pag-andar ng ipv6, kabilang ang pag-isyu ng mga ipv6 address, pag-set up ng pagruruta, atbp.
b. Sa mga virtual na interface sa VLAN 100 (MNG) sa mga switch na SW1, SW2, SW3, paganahin ang IPv6 auto-configuration mode
Mula sa topology ng L3 ay malinaw na ang mga switch ay konektado sa VLAN 100. Nangangahulugan ito na kinakailangan upang lumikha ng mga virtual na interface sa mga switch, at pagkatapos lamang italaga ang mga ito upang makatanggap ng mga IPv6 address bilang default. Ang paunang pagsasaayos ay ginawa nang tumpak upang ang mga switch ay makatanggap ng mga default na address mula sa RTR1. Makukumpleto mo ang gawaing ito gamit ang sumusunod na listahan ng mga command, na angkop para sa lahat ng tatlong switch:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// ΠΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ipv6 Π°Π΄ΡΠ΅ΡΠ° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Maaari mong suriin ang lahat gamit ang parehong command show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local Π°Π΄ΡΠ΅Ρ
2001:100::A8BB:CCFF:FE80:C000 // ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΉ IPv6-Π°Π΄ΡΠ΅Ρ
Bilang karagdagan sa link-local na address, lumitaw ang isang ipv6 address na natanggap mula sa RTR1. Ang gawaing ito ay matagumpay na nakumpleto, at ang parehong mga utos ay dapat na nakasulat sa natitirang mga switch.
Sa. Sa LAHAT ng device (maliban sa PC1 at WEB) manu-manong magtalaga ng mga link-local na address
Hindi nakakatuwa ang tatlumpung digit na IPv6 address para sa mga administrator, kaya posibleng manu-manong baguhin ang link-local, na binabawasan ang haba nito sa pinakamababang halaga. Walang sinasabi ang mga takdang-aralin tungkol sa kung aling mga address ang pipiliin, kaya isang libreng pagpipilian ang ibinigay dito.
Halimbawa, sa switch SW1 kailangan mong itakda ang link-local address na fe80::10. Magagawa ito gamit ang sumusunod na command mula sa configuration mode ng napiling interface:
// ΠΡ
ΠΎΠ΄ Π² Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ vlan 100
SW1(config)#interface vlan 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Ngayon ang pagtugon ay mukhang mas kaakit-akit:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local Π°Π΄ΡΠ΅c
2001:100::10 //IPv6-Π°Π΄ΡΠ΅Ρ
Bilang karagdagan sa link-local na address, ang natanggap na IPv6 address ay nagbago din, dahil ang address ay ibinigay batay sa link-local na address.
Sa switch SW1, kinakailangan na magtakda lamang ng isang link-lokal na address sa isang interface. Gamit ang RTR1 router, kailangan mong gumawa ng higit pang mga setting - kailangan mong magtakda ng link-local sa dalawang subinterface, sa loopback, at sa mga kasunod na setting ay lilitaw din ang tunnel 100 interface.
Upang maiwasan ang hindi kinakailangang pagsulat ng mga utos, maaari mong itakda ang parehong link-lokal na address sa lahat ng mga interface nang sabay-sabay. Magagawa mo ito gamit ang isang keyword range sinusundan ng paglilista ng lahat ng mga interface:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ
ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Π ΡΡΠ½Π°Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ° link-local Π°Π΄ΡΠ΅ΡΠ°
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Kapag sinusuri ang mga interface, makikita mo na ang mga link-lokal na address ay nabago sa lahat ng napiling mga interface:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Ang lahat ng iba pang mga device ay naka-configure sa katulad na paraan
d. Sa LAHAT ng switch, huwag paganahin ang LAHAT ng port na hindi ginagamit sa trabaho at ilipat sa VLAN 99
Ang pangunahing ideya ay ang parehong paraan ng pagpili ng maramihang mga interface upang i-configure gamit ang command range, at pagkatapos lamang ay dapat kang magsulat ng mga utos upang ilipat sa nais na vlan at pagkatapos ay i-off ang mga interface. Halimbawa, ang switch SW1, ayon sa L1 topology, ay magkakaroon ng mga port na f0/3-4, f0/7-8, f0/11-24 at g0/2 na hindi pinagana. Para sa halimbawang ito ang setting ay magiging ganito:
// ΠΡΠ±ΠΎΡ Π²ΡΠ΅Ρ
Π½Π΅ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ
ΠΏΠΎΡΡΠΎΠ²
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΡΠ΅ΠΆΠΈΠΌΠ° access Π½Π° ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°Ρ
SW1(config-if-range)#switchport mode access
// ΠΠ΅ΡΠ΅Π²ΠΎΠ΄ Π² VLAN 99 ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#switchport access vlan 99
// ΠΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠΎΠ²
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Kapag sinusuri ang mga setting gamit ang isang kilalang utos, nararapat na tandaan na ang lahat ng hindi nagamit na mga port ay dapat magkaroon ng katayuan administratibo pababa, na nagpapahiwatig na ang port ay hindi pinagana:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Upang makita kung nasaang vlan ang port, maaari kang gumamit ng isa pang command:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Ang lahat ng hindi nagamit na mga interface ay dapat na narito. Kapansin-pansin na hindi posibleng maglipat ng mga interface sa vlan kung hindi pa nagagawa ang naturang vlan. Ito ay para sa layuning ito na sa paunang pag-setup ang lahat ng mga vlan na kinakailangan para sa operasyon ay nilikha.
e. Sa switch SW1, paganahin ang isang lock para sa 1 minuto kung ang password ay naipasok nang hindi tama nang dalawang beses sa loob ng 30 segundo
Magagawa mo ito gamit ang sumusunod na utos:
// ΠΠ»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠ° Π½Π° 60Ρ; ΠΠΎΠΏΡΡΠΊΠΈ: 2; Π ΡΠ΅ΡΠ΅Π½ΠΈΠ΅: 30Ρ
SW1#login block-for 60 attempts 2 within 30
Maaari mo ring suriin ang mga setting na ito tulad ng sumusunod:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Kung saan malinaw na ipinaliwanag na pagkatapos ng dalawang hindi matagumpay na pagtatangka sa loob ng 30 segundo o mas kaunti, ang kakayahang mag-log in ay mai-block sa loob ng 60 segundo.
2. Ang lahat ng device ay dapat na mapapamahalaan sa pamamagitan ng SSH na bersyon 2
Upang ma-access ang mga device sa pamamagitan ng bersyon 2 ng SSH, dapat mo munang i-configure ang kagamitan, kaya para sa mga layuning pang-impormasyon, iko-configure muna namin ang kagamitan na may mga factory setting.
Maaari mong baguhin ang bersyon ng pagbutas tulad ng sumusunod:
// Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π²Π΅ΡΡΠΈΡ SSH Π²Π΅ΡΡΠΈΠΈ 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Hinihiling sa iyo ng system na gumawa ng mga RSA key para gumana ang SSH version 2. Kasunod ng payo ng smart system, maaari kang lumikha ng mga RSA key gamit ang sumusunod na command:
// Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ RSA ΠΊΠ»ΡΡΠ΅ΠΉ
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Hindi pinapayagan ng system na isagawa ang command dahil hindi pa binago ang hostname. Pagkatapos baguhin ang hostname, kailangan mong isulat muli ang key generation command:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Ngayon hindi ka pinapayagan ng system na lumikha ng mga RSA key dahil sa kakulangan ng isang domain name. At pagkatapos i-install ang domain name, magiging posible na lumikha ng mga RSA key. Dapat na hindi bababa sa 768 bits ang haba ng mga RSA key para gumana ang SSH version 2:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Bilang resulta, lumalabas na para gumana ang SSHv2 kinakailangan:
- Baguhin ang hostname;
- Baguhin ang pangalan ng domain;
- Bumuo ng mga RSA key.
Ipinakita ng nakaraang artikulo kung paano baguhin ang hostname at domain name sa lahat ng device, kaya habang patuloy na kino-configure ang kasalukuyang mga device, kailangan mo lang bumuo ng mga RSA key:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Aktibo ang bersyon 2 ng SSH, ngunit hindi pa ganap na na-configure ang mga device. Ang huling hakbang ay ang pagse-set up ng mga virtual console:
// ΠΠ΅ΡΠ΅Ρ
ΠΎΠ΄ ΠΊ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π²ΠΈΡΡΡΠ°Π»ΡΠ½ΡΡ
ΠΊΠΎΠ½ΡΠΎΠ»Π΅ΠΉ
R1(config)#line vty 0 4
// Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Ρ SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Sa nakaraang artikulo, ang modelo ng AAA ay na-configure, kung saan ang pagpapatunay ay itinakda sa mga virtual na console gamit ang isang lokal na database, at ang user, pagkatapos ng pagpapatunay, ay kailangang agad na pumunta sa privileged mode. Ang pinakasimpleng pagsubok ng SSH functionality ay ang subukang kumonekta sa sarili mong kagamitan. Ang RTR1 ay may loopback na may IP address na 1.1.1.1, maaari mong subukang kumonekta sa address na ito:
//ΠΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΏΠΎ ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Pagkatapos ng susi -l Ipasok ang login ng umiiral na user, at pagkatapos ay ang password. Pagkatapos ng authentication, agad na lumipat ang user sa privileged mode, na nangangahulugan na ang SSH ay na-configure nang tama.
Pinagmulan: www.habr.com