Рух WorldSkills спрямовано отримання учасниками переважно практичних навичок, затребуваних на ринку праці. Компетенція «Мережеве та системне адміністрування» складається з трьох модулів: Network, Windows, Linux. Завдання змінюються від чемпіонату до чемпіонату, змінюються умови проведення, проте структура завдань здебільшого залишається незмінною.
Острів Network буде першим через свою простоту щодо островів Linux та Windows.
У статті будуть розглянуті такі завдання:
- Задайте імена ВСІХ пристроїв відповідно до топології
- Призначте для ВСІХ пристроїв доменне ім'я wsrvuz19.ru
- Створіть на ВСІХ пристроях користувача wsrvuz19 з паролем cisco
- Пароль користувача повинен зберігатися у конфігурації як результат хеш-функції.
- Користувач повинен мати максимальний рівень привілеїв.
- Для ВСІХ пристроїв реалізуйте модель AAA.
- Аутентифікація на віддаленій консолі повинна здійснюватися з використанням локальної бази даних (крім пристроїв RTR1 та RTR2)
- Після успішної аутентифікації при вході з віддаленої консолі користувач повинен відразу потрапляти в режим з максимальним рівнем привілеїв.
- Налаштуйте необхідність автентифікації на локальній консолі.
- У разі успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з мінімальним рівнем привілеїв.
- На BR1 за умови успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з максимальним рівнем привілеїв
- На ВСІХ пристроях встановіть пароль wsr на вхід у привілейований режим.
- Пароль повинен зберігатися у конфігурації НЕ як результат хеш-функції.
- Налаштуйте режим, коли всі паролі конфігурації зберігаються в зашифрованому вигляді.
Топологія мережі на фізичному рівні представлена на наступній схемі:
1. Встановіть імена ВСІХ пристроїв відповідно до топології
Щоб задати ім'я пристрою (hostname), необхідно з режиму глобальної конфігурації ввести команду hostname SW1
, де замість SW1 необхідно написати назву обладнання, дане у завданнях.
Перевірити налаштування можна навіть наочно - замість попередньо встановленого перемикач стало SW1:
Switch(config)# hostname SW1
SW1(config)#
Головне завдання після проведення будь-яких налаштувань полягає у збереженні конфігурації.
Зробити це можна із режиму глобальної конфігурації командою do write
:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Або з привілейованого режиму командою write
:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Призначте для ВСІХ пристроїв доменне ім'я wsrvuz19.ru
Задати за промовчанням доменне ім'я wsrvuz19.ru можна з режиму глобальної конфігурації командою ip domain-name wsrvuz19.ru
.
Перевірка здійснюється командою do show hosts summary з режиму глобальної конфігурації:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Створіть на ВСІХ пристроях користувача wsrvuz19 з паролем cisco
Необхідно створити такого користувача, щоб він мав максимальний рівень привілеїв, а пароль зберігався у вигляді хеш-функції. Усі ці умови враховуються командою username wsrvuz19 privilege 15 secret cisco
.
тут:
username wsrvuz19
- Ім'я користувача;
privilege 15
- Рівень привілеїв (0 - мінімальний рівень, 15 - максимальний рівень);
secret cisco
- Збереження пароля у вигляді MD5 хеш-функції.
Команда show running-config
дозволяє перевірити налаштування поточної конфігурації, де можна знайти рядок з доданим користувачем і переконатися, що пароль зберігається в зашифрованому вигляді:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Для ВСІХ пристроїв реалізуйте модель AAA
Модель AAA – система аутентифікації, авторизації та обліку подій. Щоб виконати це завдання, спочатку необхідно включити модель ААА і вказати, що автентифікація буде здійснюватися з використанням локальної бази даних:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
a. Аутентифікація на віддаленій консолі повинна здійснюватися з використанням локальної бази даних (крім пристроїв RTR1 та RTR2)
У завданнях визначаються два види консолей: локальна та віддалена. Віддалена консоль дозволяє реалізовувати віддалені підключення, наприклад, протоколами SSH або Telnet.
Щоб виконати це завдання, необхідно ввести наступні команди:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
Командою line vty 0 4
проводиться перехід до настроювання ліній віртуальних терміналів з 0 по 4.
Команда login authentication default
включає режим автентифікації за замовчуванням на віртуальній консолі, а режим за замовчуванням був заданий у попередньому завданні командою aaa authentication login default local
.
Вихід із режиму налаштування віддаленої консолі виконується за допомогою команди exit
.
Надійною перевіркою буде тестове підключення за протоколом Telnet з одного пристрою на інший. Варто враховувати, що для цього має бути налаштована базова комутація та ip-адресація на вибраному устаткуванні.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Після успішної аутентифікації при вході з віддаленої консолі користувач повинен відразу потрапляти в режим з максимальним рівнем привілеїв
Для вирішення такого завдання необхідно знову перейти до налаштування ліній віртуальних терміналів та задати рівень привілеїв командою privilege level 15
, де 15 - знову максимальний рівень, а 0 - мінімальний рівень привілеїв:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Перевіркою буде рішення з минулого підпункту - віддалене підключення по Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Після аутентифікації користувач одразу потрапляє у привілейований режим, минаючи непривілейований, отже, завдання виконане коректно.
cd. Налаштуйте необхідність на локальній консолі і за умови успішної аутентифікації користувач повинен потрапляти в режим з мінімальним рівнем привілеїв
Структура команд у цих завданнях збігається з раніше вирішеними завданнями 4.a та 4.b. Команда line vty 0 4
замінюється на console 0
:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Як уже було сказано, мінімальний рівень привілеїв визначається числом 0. Перевірку можна зробити наступним чином:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Після аутентифікації користувач потрапляє у непривілейований режим, як і сказано у завданнях.
e. На BR1 за умови успішної аутентифікації на локальній консолі користувач повинен потрапляти в режим з максимальним рівнем привілеїв
Налаштування локальної консолі на BR1 матиме такий вигляд:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Перевірка здійснюється тим самим способом, що й у попередньому пункті:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Після автентифікації відбувається перехов у привілейований режим.
5. На ВСІХ пристроях встановіть пароль wsr на вхід у привілейований режим
У завданнях сказано, що пароль на привілейований режим повинен зберігатися стандартно у відкритому вигляді, але при цьому режим шифрування всіх паролів не дозволятиме переглядати пароль у відкритому вигляді. Для встановлення пароля на вхід до привілейованого режиму потрібно використовувати команду enable password wsr
. Використовуючи ключове слово password
, визначається вид, у якому зберігатиметься пароль. Якщо під час створення користувача пароль має бути зашифрований, то ключовим словом було слово secret
, а для зберігання у відкритому вигляді використовується password
.
Перевірити настройки можна з перегляду поточної конфігуації:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Видно, що пароль користувача зберігається у зашифрованому вигляді, а пароль на вхід до привілейованого режиму зберігається у відкритому вигляді, як і сказано у завданнях.
Для того, щоб усі паролі зберігалися в зашифрованому вигляді, слід використовувати команду service password-encryption
. Перегляд поточної конфігурації буде виглядати так:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Пароль недоступний для перегляду у відкритому вигляді.
Джерело: habr.com