Рух WorldSkills спрямовано отримання учасниками переважно практичних навичок, затребуваних на ринку праці. Компетенція «Мережеве та системне адміністрування» складається з трьох модулів: Network, Windows, Linux. Завдання змінюються від чемпіонату до чемпіонату, змінюються умови проведення, проте структура завдань здебільшого залишається незмінною.

Острів Network буде першим через свою простоту щодо островів Linux та Windows.

У статті будуть розглянуті такі завдання:

1. Задайте імена ВСІХ пристроїв відповідно до топології
2. Призначте для ВСІХ пристроїв доменне ім'я wsrvuz19.ru
3. Створіть на ВСІХ пристроях користувача wsrvuz19 з паролем cisco
   • Пароль користувача повинен зберігатися у конфігурації як результат хеш-функції.
   • Користувач повинен мати максимальний рівень привілеїв.
4. Для ВСІХ пристроїв реалізуйте модель AAA.
   • Аутентифікація на віддаленій консолі повинна здійснюватися з використанням локальної бази даних (крім пристроїв RTR1 та RTR2)
   • Після успішної аутентифікації при вході з віддаленої консолі користувач повинен відразу потрапляти в режим з максимальним рівнем привілеїв.
   • Налаштуйте необхідність автентифікації на локальній консолі.
   • У разі успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з мінімальним рівнем привілеїв.
   • На BR1 за умови успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з максимальним рівнем привілеїв
5. На ВСІХ пристроях встановіть пароль wsr на вхід у привілейований режим.
   • Пароль повинен зберігатися у конфігурації НЕ як результат хеш-функції.
   • Налаштуйте режим, коли всі паролі конфігурації зберігаються в зашифрованому вигляді.

Топологія мережі на фізичному рівні представлена ​​на наступній схемі:

1. Встановіть імена ВСІХ пристроїв відповідно до топології

Щоб задати ім'я пристрою (hostname), необхідно з режиму глобальної конфігурації ввести команду hostname SW1, де замість SW1 необхідно написати назву обладнання, дане у завданнях.

Перевірити налаштування можна навіть наочно - замість попередньо встановленого перемикач стало SW1:

Switch(config)# hostname SW1
SW1(config)#

Головне завдання після проведення будь-яких налаштувань полягає у збереженні конфігурації.

Зробити це можна із режиму глобальної конфігурації командою do write:

SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]

Або з привілейованого режиму командою write:

SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]

2. Призначте для ВСІХ пристроїв доменне ім'я wsrvuz19.ru

Задати за промовчанням доменне ім'я wsrvuz19.ru можна з режиму глобальної конфігурації командою ip domain-name wsrvuz19.ru.

Перевірка здійснюється командою do show hosts summary з режиму глобальної конфігурації:

SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...

3. Створіть на ВСІХ пристроях користувача wsrvuz19 з паролем cisco

Необхідно створити такого користувача, щоб він мав максимальний рівень привілеїв, а пароль зберігався у вигляді хеш-функції. Усі ці умови враховуються командою username wsrvuz19 privilege 15 secret cisco.

тут:

username wsrvuz19 - Ім'я користувача;
privilege 15 - Рівень привілеїв (0 - мінімальний рівень, 15 - максимальний рівень);
secret cisco - Збереження пароля у вигляді MD5 хеш-функції.

Команда show running-config дозволяє перевірити налаштування поточної конфігурації, де можна знайти рядок з доданим користувачем і переконатися, що пароль зберігається в зашифрованому вигляді:

SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...

4. Для ВСІХ пристроїв реалізуйте модель AAA

Модель AAA – система аутентифікації, авторизації та обліку подій. Щоб виконати це завдання, спочатку необхідно включити модель ААА і вказати, що автентифікація буде здійснюватися з використанням локальної бази даних:

SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local

a. Аутентифікація на віддаленій консолі повинна здійснюватися з використанням локальної бази даних (крім пристроїв RTR1 та RTR2)
У завданнях визначаються два види консолей: локальна та віддалена. Віддалена консоль дозволяє реалізовувати віддалені підключення, наприклад, протоколами SSH або Telnet.

Щоб виконати це завдання, необхідно ввести наступні команди:

SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#

Командою line vty 0 4 проводиться перехід до настроювання ліній віртуальних терміналів з 0 по 4.

Команда login authentication default включає режим автентифікації за замовчуванням на віртуальній консолі, а режим за замовчуванням був заданий у попередньому завданні командою aaa authentication login default local.

Вихід із режиму налаштування віддаленої консолі виконується за допомогою команди exit.

Надійною перевіркою буде тестове підключення за протоколом Telnet з одного пристрою на інший. Варто враховувати, що для цього має бути налаштована базова комутація та ip-адресація на вибраному устаткуванні.

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>

b. Після успішної аутентифікації при вході з віддаленої консолі користувач повинен відразу потрапляти в режим з максимальним рівнем привілеїв
Для вирішення такого завдання необхідно знову перейти до налаштування ліній віртуальних терміналів та задати рівень привілеїв командою privilege level 15, де 15 - знову максимальний рівень, а 0 - мінімальний рівень привілеїв:

SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#

Перевіркою буде рішення з минулого підпункту - віддалене підключення по Telnet:

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#

Після аутентифікації користувач одразу потрапляє у привілейований режим, минаючи непривілейований, отже, завдання виконане коректно.

cd. Налаштуйте необхідність на локальній консолі і за умови успішної аутентифікації користувач повинен потрапляти в режим з мінімальним рівнем привілеїв
Структура команд у цих завданнях збігається з раніше вирішеними завданнями 4.a та 4.b. Команда line vty 0 4 замінюється на console 0:

SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#

Як уже було сказано, мінімальний рівень привілеїв визначається числом 0. Перевірку можна зробити наступним чином:

SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>

Після аутентифікації користувач потрапляє у непривілейований режим, як і сказано у завданнях.

e. На BR1 за умови успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з максимальним рівнем привілеїв
Налаштування локальної консолі на BR1 матиме такий вигляд:

BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#

Перевірка здійснюється тим самим способом, що й у попередньому пункті:

BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#

Після автентифікації відбувається перехов у привілейований режим.

5. На ВСІХ пристроях встановіть пароль wsr на вхід у привілейований режим

У завданнях сказано, що пароль на привілейований режим повинен зберігатися стандартно у відкритому вигляді, але при цьому режим шифрування всіх паролів не дозволятиме переглядати пароль у відкритому вигляді. Для встановлення пароля на вхід до привілейованого режиму потрібно використовувати команду enable password wsr. Використовуючи ключове слово password, визначається вид, у якому зберігатиметься пароль. Якщо під час створення користувача пароль має бути зашифрований, то ключовим словом було слово secret, а для зберігання у відкритому вигляді використовується password.

Перевірити настройки можна з перегляду поточної конфігуації:

SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Видно, що пароль користувача зберігається у зашифрованому вигляді, а пароль на вхід до привілейованого режиму зберігається у відкритому вигляді, як і сказано у завданнях.
Для того, щоб усі паролі зберігалися в зашифрованому вигляді, слід використовувати команду service password-encryption. Перегляд поточної конфігурації буде виглядати так:

SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Пароль недоступний для перегляду у відкритому вигляді.

Джерело: habr.com