ProHoster > Blog > yönetim > Ağ modülünün WorldSkills görevlerinin "SiSA" yetkinliğinde çözümü. Bölüm 2 - Temel Kurulum

Ağ modülünün WorldSkills görevlerinin "SiSA" yetkinliğinde çözümü. Bölüm 2 - Temel Kurulum

WorldSkills şampiyonasının Ağ modülünün görevlerini “Ağ ve Sistem Yönetimi” yetkinliğinde analiz etmeye devam ediyoruz.

Makalede aşağıdaki görevler ele alınacaktır:

  1. TÜM cihazlarda sanal arayüzler, alt arayüzler ve geridöngü arayüzleri oluşturun. IP adreslerini topolojiye göre atayın.
    • RTR6 yönlendirici arayüzündeki MNG ağında IPv1 adresleri yayınlamak için SLAAC mekanizmasını etkinleştirin;
    • SW100, SW1, SW2 anahtarlarındaki VLAN 3'deki (MNG) sanal arayüzlerde IPv6 otomatik yapılandırma modunu etkinleştirin;
    • TÜM cihazlarda (PC1 ve WEB hariç) yerel bağlantı adreslerini manuel olarak atayın;
    • TÜM anahtarlarda, görevde kullanılmayan TÜM bağlantı noktalarını devre dışı bırakın ve VLAN 99'a aktarın;
    • SW1 anahtarında, şifrenin 1 saniye içinde iki kez yanlış girilmesi durumunda kilidi 30 dakika süreyle etkinleştirin;
  2. Tüm cihazlar SSH sürüm 2 aracılığıyla yönetilebilir olmalıdır.


Fiziksel katmandaki ağ topolojisi aşağıdaki diyagramda gösterilmiştir:

Ağ modülünün WorldSkills görevlerinin "SiSA" yetkinliğinde çözümü. Bölüm 2 - Temel Kurulum

Veri bağlantısı seviyesindeki ağ topolojisi aşağıdaki şemada gösterilmektedir:

Ağ modülünün WorldSkills görevlerinin "SiSA" yetkinliğinde çözümü. Bölüm 2 - Temel Kurulum

Ağ düzeyindeki ağ topolojisi aşağıdaki şemada gösterilmektedir:

Ağ modülünün WorldSkills görevlerinin "SiSA" yetkinliğinde çözümü. Bölüm 2 - Temel Kurulum

ön ayar

Yukarıdaki görevleri gerçekleştirmeden önce, gelecekte ayarlarını kontrol etmek daha uygun olacağından, SW1-SW3 anahtarları üzerinde temel anahtarlamayı ayarlamaya değer. Anahtarlama kurulumu bir sonraki makalede detaylı olarak anlatılacaktır ancak şimdilik sadece ayarlar tanımlanacaktır.

İlk adım, tüm anahtarlarda 99, 100 ve 300 numaralı vlan'ları oluşturmaktır:

SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit

Bir sonraki adım g0/1 arayüzünü SW1'e 300 numaralı vlan'a aktarmaktır:

SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit

Diğer anahtarlara bakan f0/1-2, f0/5-6 arayüzleri trunk moduna geçirilmelidir:

SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit

Devre modundaki SW2 anahtarında f0/1-4 arayüzleri olacaktır:

SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk 
SW2(config-if-range)#exit

Devre modundaki SW3 anahtarında f0/3-6, g0/1 arayüzleri olacaktır:

SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk 
SW3(config-if-range)#exit

Bu aşamada anahtar ayarları, görevleri tamamlamak için gerekli olan etiketli paketlerin değişimine izin verecektir.

1. TÜM cihazlarda sanal arayüzler, alt arayüzler ve geridöngü arayüzleri oluşturun. IP adreslerini topolojiye göre atayın.

Önce BR1 yönlendiricisi yapılandırılacaktır. L3 topolojisine göre, burada 101 numaralı geri döngü olarak da bilinen döngü tipi bir arayüz yapılandırmanız gerekir:

// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#

Oluşturulan arayüzün durumunu kontrol etmek için şu komutu kullanabilirsiniz: show ipv6 interface brief:

BR1#show ipv6 interface brief 
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес
...
BR1#

Burada geridönüşün aktif olduğunu, durumunu görebilirsiniz. UP. Aşağıya bakarsanız, IPv6 adresini ayarlamak için yalnızca bir komut kullanılmış olmasına rağmen iki IPv6 adresi görebilirsiniz. Gerçek şu ki FE80::2D0:97FF:FE94:5022 komutla bir arayüzde ipv6 etkinleştirildiğinde atanan yerel bağlantı adresidir ipv6 enable.

IPv4 adresini görüntülemek için benzer bir komut kullanın:

BR1#show ip interface brief 
...
Loopback101        2.2.2.2      YES manual up        up 
...
BR1#

BR1 için hemen g0/0 arayüzünü yapılandırmanız gerekir; burada sadece IPv6 adresini ayarlamanız yeterlidir:

// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#

Aynı komutla ayarları kontrol edebilirsiniz. show ipv6 interface brief:

BR1#show ipv6 interface brief 
GigabitEthernet0/0         [up/up]
    FE80::290:CFF:FE9D:4624	//link-local адрес
    2001:B:C::1			//IPv6-адрес
...
Loopback101                [up/up]
    FE80::2D0:97FF:FE94:5022	//link-local адрес
    2001:B:A::1			//IPv6-адрес

Daha sonra ISP yönlendiricisi yapılandırılacaktır. Burada göreve göre geri döngü sayısı 0 yapılandırılacaktır, ancak bunun yanı sıra sonraki görevlerde hakkında hiçbir şey söylenmeyeceği için 0 adresine sahip olması gereken g0/30.30.30.1 arayüzünü yapılandırmak tercih edilir. Bu arayüzleri ayarlama. İlk olarak geridöngü numarası 0 yapılandırılır:

ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable 
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#

takım show ipv6 interface brief Arayüz ayarlarının doğru olduğunu doğrulayabilirsiniz. Daha sonra g0/0 arayüzü yapılandırılır:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Daha sonra RTR1 yönlendiricisi yapılandırılacaktır. Burada ayrıca 100 geridöngü numarası oluşturmanız gerekir:

BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable 
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#

Ayrıca RTR1'de 2 ve 100 numaralı vlan'lar için 300 adet sanal alt arayüz oluşturmanız gerekiyor. Bu işlemi aşağıdaki gibi yapabilirsiniz.

Öncelikle g0/1 fiziksel arayüzünü no Shutdown komutuyla etkinleştirmeniz gerekir:

RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit

Daha sonra 100 ve 300 numaralı alt arayüzler oluşturulur ve yapılandırılır:

// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable 
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit

Alt arayüz numarası, çalışacağı vlan numarasından farklı olabilir ancak kolaylık olması açısından vlan numarasıyla eşleşen alt arayüz numarasını kullanmak daha iyidir. Alt arayüz kurulumu sırasında kapsülleme türünü ayarlarsanız vlan numarasıyla eşleşen bir sayı belirtmelisiniz. Yani komuttan sonra encapsulation dot1Q 300 alt arayüz yalnızca 300 numaralı vlan paketlerinden geçecektir.

Bu görevdeki son adım RTR2 yönlendirici olacaktır. SW1 ve RTR2 arasındaki bağlantı erişim modunda olmalıdır, anahtar arayüzü yalnızca 2 numaralı vlan'a yönelik paketleri RTR300'ye iletecektir, bu L2 topolojisindeki görevde belirtilmiştir. Bu nedenle, RTR2 yönlendiricisinde alt arayüzler oluşturulmadan yalnızca fiziksel arayüz yapılandırılacaktır:

RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown 
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#

Daha sonra g0/0 arayüzü yapılandırılır:

BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown 
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#

Bu, mevcut görev için yönlendirici arayüzlerinin yapılandırmasını tamamlar. Geri kalan arayüzler, aşağıdaki görevleri tamamladığınızda yapılandırılacaktır.

A. RTR6 yönlendirici arayüzündeki MNG ağında IPv1 adresleri yayınlamak için SLAAC mekanizmasını etkinleştirin
SLAAC mekanizması varsayılan olarak etkindir. Yapmanız gereken tek şey IPv6 yönlendirmesini etkinleştirmektir. Bunu aşağıdaki komutla yapabilirsiniz:

RTR1(config-subif)#ipv6 unicast-routing

Bu komut olmadan ekipman bir ana bilgisayar gibi davranır. Başka bir deyişle, yukarıdaki komut sayesinde, ipv6 adreslerinin verilmesi, yönlendirmenin ayarlanması vb. dahil olmak üzere ek ipv6 işlevlerini kullanmak mümkün hale gelir.

B. SW100, SW1, SW2 anahtarlarındaki VLAN 3'deki (MNG) sanal arayüzlerde IPv6 otomatik yapılandırma modunu etkinleştirin
L3 topolojisinden anahtarların VLAN 100'e bağlı olduğu açıktır. Bu, anahtarlar üzerinde sanal arayüzler oluşturmanın ve ancak daha sonra bunları varsayılan olarak IPv6 adreslerini alacak şekilde atamanın gerekli olduğu anlamına gelir. İlk yapılandırma, anahtarların RTR1'den varsayılan adresleri alabilmesi için tam olarak yapıldı. Bu görevi, her üç anahtar için de uygun olan aşağıdaki komut listesini kullanarak tamamlayabilirsiniz:

// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit

Her şeyi aynı komutla kontrol edebilirsiniz show ipv6 interface brief:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::A8BB:CCFF:FE80:C000		// link-local адрес
    2001:100::A8BB:CCFF:FE80:C000	// полученный IPv6-адрес

Bağlantı-yerel adresine ek olarak RTR6'den alınan bir ipv1 adresi ortaya çıktı. Bu görev başarıyla tamamlandı ve kalan anahtarlara aynı komutların yazılması gerekiyor.

İle. TÜM cihazlarda (PC1 ve WEB hariç) yerel bağlantı adreslerini manuel olarak atayın
Otuz basamaklı IPv6 adresleri yöneticiler için eğlenceli değildir, bu nedenle yerel bağlantıyı manuel olarak değiştirerek uzunluğunu minimum değere düşürmek mümkündür. Ödevlerde hangi adreslerin seçileceğine dair hiçbir şey söylenmiyor, dolayısıyla burada özgür bir seçim sunuluyor.

Örneğin, SW1 anahtarında fe80::10 bağlantı yerel adresini ayarlamanız gerekir. Bu, seçilen arayüzün konfigürasyon modundan aşağıdaki komutla yapılabilir:

// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса 
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit

Artık adresleme çok daha çekici görünüyor:

SW1#show ipv6 interface brief
...
Vlan100                [up/up]
    FE80::10		//link-local адреc
    2001:100::10	//IPv6-адрес

Yerel bağlantı adresine ek olarak, adres yerel bağlantı adresine göre verildiği için alınan IPv6 adresi de değişti.

SW1 anahtarında, bir arayüzde yalnızca bir yerel bağlantı adresinin ayarlanması gerekliydi. RTR1 yönlendiriciyle daha fazla ayar yapmanız gerekir - iki alt arayüzde, geri döngüde yerel bağlantıyı ayarlamanız gerekir ve sonraki ayarlarda tünel 100 arayüzü de görünecektir.

Gereksiz komut yazmayı önlemek için tüm arayüzlerde aynı yerel bağlantı adresini aynı anda ayarlayabilirsiniz. Bunu bir anahtar kelime kullanarak yapabilirsiniz range ardından tüm arayüzler listelenir:

// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса 
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit

Arayüzleri kontrol ederken, seçilen tüm arayüzlerde yerel bağlantı adreslerinin değiştirildiğini göreceksiniz:

RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100		[up/up]
    FE80::1
    2001:100::1
gigabitEthernet 0/1.300		[up/up]
    FE80::1
    2001:300::2
Loopback100            		[up/up]
    FE80::1
    2001:A:B::1

Diğer tüm cihazlar benzer şekilde yapılandırılmıştır

D. ALL anahtarlarında, işte kullanılmayan TÜM bağlantı noktalarını devre dışı bırakın ve VLAN 99'a aktarın
Temel fikir, komutu kullanarak yapılandırmak için birden fazla arayüz seçmenin aynı yoludur. rangeve ancak o zaman istenen vlan'a aktarım için komutlar yazmalı ve ardından arayüzleri kapatmalısınız. Örneğin, L1 topolojisine göre SW1 anahtarında f0/3-4, f0/7-8, f0/11-24 ve g0/2 bağlantı noktaları devre dışı olacaktır. Bu örnek için ayar aşağıdaki gibi olacaktır:

// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access 
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit

Zaten bilinen bir komutla ayarları kontrol ederken, kullanılmayan tüm bağlantı noktalarının bir statüye sahip olması gerektiğine dikkat etmek önemlidir. idari olarak aşağıbağlantı noktasının devre dışı olduğunu belirten:

SW1#show ip interface brief
Interface          IP-Address   OK? Method   Status                  Protocol
...
fastEthernet 0/3   unassigned   YES unset    administratively down   down

Bağlantı noktasının hangi vlan'da olduğunu görmek için başka bir komut kullanabilirsiniz:

SW1#show ip vlan
...
99   VLAN0099     active    Fa0/3, Fa0/4, Fa0/7, Fa0/8
                            Fa0/11, Fa0/12, Fa0/13, Fa0/14
                            Fa0/15, Fa0/16, Fa0/17, Fa0/18
                            Fa0/19, Fa0/20, Fa0/21, Fa0/22
                            Fa0/23, Fa0/24, Gig0/2
...

Kullanılmayan tüm arayüzler burada olmalıdır. Böyle bir vlan oluşturulmamışsa arayüzlerin vlan'a aktarılmasının mümkün olmayacağını belirtmekte fayda var. İlk kurulumda operasyon için gerekli tüm vlan'lar bu amaçla oluşturulmuştur.

e. SW1 anahtarında, şifrenin 1 saniye içinde iki kez yanlış girilmesi durumunda kilidi 30 dakika süreyle etkinleştirin
Bunu aşağıdaki komutla yapabilirsiniz:

// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30

Bu ayarları aşağıdaki şekilde de kontrol edebilirsiniz:

SW1#show login
...
   If more than 2 login failures occur in 30 seconds or less,
     logins will be disabled for 60 seconds.
...

30 saniye veya daha kısa sürede yapılan iki başarısız denemeden sonra oturum açma olanağının 60 saniye süreyle engelleneceğinin açıkça belirtildiği haller.

2. Tüm cihazlar SSH sürüm 2 aracılığıyla yönetilebilir olmalıdır.

Cihazların SSH versiyon 2 üzerinden erişilebilmesi için öncelikle ekipmanın yapılandırılması gerekmektedir, bu nedenle bilgilendirme amaçlı olarak öncelikle ekipmanı fabrika ayarlarıyla yapılandıracağız.

Delinme versiyonunu aşağıdaki şekilde değiştirebilirsiniz:

// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#

Sistem sizden SSH versiyon 2'nin çalışması için RSA anahtarları oluşturmanızı istiyor.Akıllı sistemin tavsiyelerine uyarak aşağıdaki komutla RSA anahtarları oluşturabilirsiniz:

// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#

Ana bilgisayar adı değiştirilmediğinden sistem komutun yürütülmesine izin vermiyor. Ana bilgisayar adını değiştirdikten sonra anahtar oluşturma komutunu tekrar yazmanız gerekir:

Router(config)#hostname R1
R1(config)#crypto key generate rsa 
% Please define a domain-name first.
R1(config)#

Artık sistem, alan adı eksikliği nedeniyle RSA anahtarları oluşturmanıza izin vermiyor. Alan adını yükledikten sonra RSA anahtarları oluşturmak mümkün olacaktır. SSH sürüm 768'nin çalışması için RSA anahtarlarının en az 2 bit uzunluğunda olması gerekir:

R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Sonuç olarak, SSHv2'nin çalışması için aşağıdakilerin gerekli olduğu ortaya çıktı:

  1. Ana bilgisayar adını değiştirin;
  2. Alan adını değiştirin;
  3. RSA anahtarları oluşturun.

Önceki makale, tüm cihazlarda ana bilgisayar adının ve alan adının nasıl değiştirileceğini gösterdi; bu nedenle, mevcut cihazları yapılandırmaya devam ederken yalnızca RSA anahtarları oluşturmanız yeterlidir:

RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSH sürüm 2 etkin ancak cihazlar henüz tam olarak yapılandırılmadı. Son adım sanal konsolları kurmak olacaktır:

// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit

Önceki makalede, kimlik doğrulamanın yerel bir veritabanı kullanılarak sanal konsollarda ayarlandığı ve kullanıcının kimlik doğrulamadan sonra hemen ayrıcalıklı moda geçmesi gereken AAA modeli yapılandırıldı. SSH işlevselliğinin en basit testi, kendi ekipmanınıza bağlanmayı denemektir. RTR1'in IP adresi 1.1.1.1 olan bir geridöngüsü var, bu adrese bağlanmayı deneyebilirsiniz:

//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password: 
RTR1#

Anahtardan sonra -l Mevcut kullanıcının giriş bilgilerini ve ardından şifreyi girin. Kimlik doğrulamanın ardından kullanıcı hemen ayrıcalıklı moda geçer; bu, SSH'nin doğru şekilde yapılandırıldığı anlamına gelir.

Kaynak: habr.com

Yorum ekle