Продовжуємо розбір завдань модуля Network чемпіонату WorldSkills у компетенції «Мережеве та системне адміністрування».
У статті будуть розглянуті такі завдання:
- На ВСІХ пристроях створіть віртуальні інтерфейси, підінтерфейси та інтерфейси типу петля. Призначте IP-адреси відповідно до топології.
- Увімкніть механізм SLAAC для видачі IPv6-адрес у мережі MNG на інтерфейсі маршрутизатора RTR1;
- На віртуальних інтерфейсах у ВЛВС 100 (MNG) на комутаторах SW1, SW2, SW3 увімкніть режим автоконфігурації IPv6;
- На ВСІХ пристроях (крім PC1 та WEB) вручну призначте link-local адреси;
- На ВСІХ комутаторах відключіть ВСІ порти, що не використовуються в завдання, і переведіть у VLAN 99;
- На комутаторі SW1 увімкніть блокування на 1 хвилину у разі дворазового неправильного введення пароля протягом 30 секунд;
- Усі пристрої повинні бути доступні для керування протоколом SSH версії 2.
Топологія мережі на фізичному рівні представлена на наступній схемі:
Топологія мережі на канальному рівні представлена на наступній схемі:
Топологія мережі на мережевому рівні представлена наступною схемою:
Попереднє налаштування
Перед виконанням вищевказаних завдань варто налаштувати базову комутацію на комутаторах SW1-SW3, оскільки зручніше перевірятиме надалі їх налаштування. Налаштування комутації буде детально описано в наступній статті, а поки буде визначено лише налаштування.
Насамперед необхідно створити vlan'и з номерами 99, 100 та 300 на всіх комутаторах:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Наступним кроком буде переклад інтерфейсу g0/1 на SW1 у vlan з номером 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Інтерфейси f0/1-2, f0/5-6, які дивляться у бік інших комутаторів, слід перевести в режим trunk:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
На комутаторі SW2 у режимі trunk будуть інтерфейси f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
На комутаторі SW3 в режимі trunk будуть інтерфейси f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
На цьому етапі налаштування комутаторів дозволятимуть обмінюватися тегованими пакетами, що буде потрібно для виконання завдань.
1. На ВСІХ пристроях створіть віртуальні інтерфейси, підінтерфейси та інтерфейси типу петля. Призначте IP-адреси відповідно до топології.
Першим налаштовуватиметься маршрутизатор BR1. Згідно з топологією L3 тут необхідно налаштувати інтерфейс типу петля, він же loopback, під номером 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Щоб перевірити стан створеного інтерфейсу, можна використовувати команду show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Тут видно, що loopback активний, його стан UP. Якщо подивитися нижче, можна побачити дві IPv6-адреси, хоча була використана тільки одна команда для встановлення IPv6-адреси. Справа в тому що FE80::2D0:97FF:FE94:5022 — це link-local адреса, яка надається при включенні ipv6 на інтерфейсі командою ipv6 enable.
А для перегляду IPv4-адреси використовується схожа команда:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Для BR1 відразу ж варто налаштувати інтерфейс g0/0, тут необхідно просто задати IPv6-адресу:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Перевіряти налаштування можна тією самою командою show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Далі буде налаштовано маршрутизатор ISP. Тут за завданням буде налаштований loopback c номером 0, але крім цього краще налаштувати інтерфейс g0/0, на якому має бути адреса 30.30.30.1, тому що в наступних завданнях нічого не буде сказано про налаштування цих інтерфейсів. Спочатку налаштовується loopback із номером 0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
Командою show ipv6 interface brief можна переконатися у правильності настоянки інтерфейсу. Потім налаштовується інтерфейс g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Далі буде налаштовано маршрутизатор RTR1. Тут також потрібно створити loopback під номером 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Також на RTR1 необхідно створити 2 віртуальні підінтерфейси для vlan'ів з номерами 100 і 300. Зробити це можна наступним чином.
Для початку слід увімкнути фізичний інтерфейс g0/1 командою no shutdown:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Потім створюються та налаштовуються підінтерфейси з номерами 100 та 300:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Номер підінтерфейсу може відрізнятися від номера vlan'a, в якому він працюватиме, але для зручності краще використовувати номер підінтерфейсу, що збігається з номером vlan'a. У разі встановлення типу інкапсуляції при налаштуванні підінтерфейсу слід вказувати номер, що збігається з номером vlan'a. Так після команди encapsulation dot1Q 300 підінтерфейс пропускатиме лише пакети vlan'a з номером 300.
Заключним у цьому завданні буде маршрутизатор RTR2. З'єднання між SW1 і RTR2 має бути в режимі access, інтерфейс комутатора пропускатиме у бік RTR2 тільки пакети, призначені для vlan'a з номером 300, про це сказано у завданні на топології L2. Отже на маршрутизаторі RTR2 налаштовуватиметься лише фізичний інтерфейс без створення підінтерфейсів:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Потім налаштовується інтерфейс g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
На цьому налаштування інтерфейсів маршрутизаторів за поточним завданням завершено. Налаштування інших інтерфейсів буде здійснено вже в міру виконання наступних завдань.
a. Увімкніть механізм SLAAC для видачі IPv6-адрес у мережі MNG на інтерфейсі маршрутизатора RTR1
Механізм SLAAC включений за замовчуванням. Єдине, що потрібно зробити, це включити IPv6 маршрутизацію. Зробити це можна такою командою:
RTR1(config-subif)#ipv6 unicast-routing
Без цієї команди обладнання виконує роль хоста. Іншими словами, завдяки вищезазначеній команді, з'являється можливість використовувати додаткові функції ipv6, у тому числі видавати ipv6-адреси, налаштовувати маршрутизацію та інше.
b. На віртуальних інтерфейсах у ВЛВС 100 (MNG) на комутаторах SW1, SW2, SW3 увімкніть режим автоконфігурації IPv6
З топології L3 видно, що комутатори підключені до мережі VLAN 100. Це означає, що на комутаторах необхідно створити віртуальні інтерфеси, а потім призначити там отримання ipv6-адрес за замовчуванням. Початкове налаштування було зроблено саме для того, щоб комутатори змогли отримати від RTR1 адреси за умовчанням. Виконати це завдання можна наступним переліком команд, які підходять для всіх трьох комутаторів:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Перевірити можна все тією самою командою show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Крім link-local адреси з'явилася ipv6-адреса, отримана від RTR1. Дане завдання успішно виконане, а на інших комутаторах необхідно написати ті самі команди.
с. На ВСІХ пристроях (крім PC1 та WEB) вручну призначте link-local адреси
Тридцятизначні ipv6-адреси не приносять задоволення адміністраторам, тому є можливість змінити вручну link-local, скоротивши його довжину до мінімального значення. У завданнях нічого не сказано про те, які саме обирати адреси, тому надається вільний вибір.
Наприклад, на комутаторі SW1 необхідно задати link-local адресу fe80::10. Зробити це можна наступною командою з режиму конфігурування вибраного інтерфейсу:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Тепер адресація виглядатиме набагато привабливіше:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Крім link-local адреси змінилася і отримана IPv6-адреса, оскільки адреса видається на основі link-local адреси.
На комутаторі SW1 необхідно було задати тільки одному інтерфейсі link-local адресу. З маршрутизатором RTR1, потрібно зробити більше опцій - потрібно задати link-local на двох підінтерфейсах, на loopback'е, а в наступних опціях ще з'явиться інтерфейс tunnel 100.
Щоб уникнути зайвого написання команд, можна задати ту саму link-local адресу на всіх інтерфейсах відразу. Зробити це можна за допомогою ключового слова range з наступним перерахуванням всіх інтерфейсів:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Під час перевірки інтерфейсів можна буде побачити, що на всіх вибраних інтерфейсах було змінено адресу link-local:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Всі інші пристрої налаштовуються аналогічним способом
d. На ВСІХ комутаторах відключіть ВСІ порти, що не використовуються в завдання, і переведіть у VLAN 99
Основна ідея полягає в тому ж способі вибору кількох інтерфейсів для конфігурування за допомогою команди range, А потім слід писати команди перекладу в потрібний vlan і наступного вимкнення інтерфейсів. Наприклад, у комутатора SW1, згідно з топологією L1, будуть вимкнені порти f0/3-4, f0/7-8, f0/11-24 та g0/2. Для цього прикладу налаштування буде таке:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Перевіряючи налаштування вже відомою командою, варто звернути увагу, що у всіх портів, що не використовуються, повинен бути статус адміністративно вниз, що повідомляє про те, що порт вимкнено:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Щоб подивитися, в якому vlan'і знаходиться порт, можна використовувати іншу команду:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Тут повинні бути всі інтерфейси, що не використовуються. Варто зазначити, що перевести інтерфейси в VLAN не вдасться, якщо такий VLAN не створений. Саме для цього в початковому налаштуванні створювалися всі необхідні для роботи vlan'и.
e. На комутаторі SW1 увімкніть блокування на 1 хвилину у разі дворазового неправильного введення пароля протягом 30 секунд
Зробити це можна такою командою:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Також можна перевірити ці налаштування таким чином:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Де зрозуміло, що після двох невдалих спроб протягом 30 або менше секунд, можливість входу буде заблокована на 60 секунд.
2. Усі пристрої повинні бути доступні для керування протоколом SSH версії 2
Щоб пристрої були доступні за SSH версії 2, необхідно попередньо налаштувати обладнання, тому з метою інформативності спочатку налаштовуватиметься обладнання із заводськими налаштуваннями.
Змінити версію проколу можна так:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Система просить створити RSA ключі для працездатності SSH версії 2. Наслідуючи пораду розумної системи, створити ключі RSA можна наступною командою:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Система не дозволяє виконати команду через те, що не змінено hostname. Після зміни hostname потрібно написати команду генерації ключів ще раз:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Тепер система не дозволяє створити ключі RSA через відсутність доменного імені. І вже після встановлення доменне ім'я з'явиться можливість створити ключі RSA. Довжина ключів RSA має бути не менше 768 біт для працездатності SSH версії 2:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
У результаті виходить, що для працездатності SSHv2 необхідно:
- Змінити hostname;
- Змінити доменне ім'я;
- Створити ключі RSA.
У минулій статті було наведено налаштування зміни hostname і доменного імені на всіх пристроях, тому, продовжуючи налаштування поточних пристроїв, необхідно лише згенерувати ключі RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH версії 2 активний, але пристрої ще не налаштовані повністю. Завершальним етапом буде налаштування віртуальних консолей:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
У минулій статті була налаштована модель ААА, де на віртуальних консолях була задана аутентифікація з використанням локальної бази даних, і користувач після аутентифікації повинен був потрапляти одразу до привілейованого режиму. Найпростіша перевірка працездатності SSH - спроба підключитися на своє обладнання. На RTR1 є loopback з ip-адресою 1.1.1.1, можна спробувати підключитися за цією адресою:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Після ключа -l вводиться логін існуючого користувача, а потім пароль. Після аутентифікації відбувається перехід одразу в привілейований режим, а це означає, що SSH налаштований коректно.
Джерело: habr.com