Phong trào WorldSkills nhằm mục đích giúp người tham gia chủ yếu đạt được những kỹ năng thực tế đang có nhu cầu trên thị trường lao động hiện đại. Năng lực Quản trị Hệ thống và Mạng bao gồm ba mô-đun: Mạng, Windows, Linux. Nhiệm vụ thay đổi từ chức vô địch này sang chức vô địch khác, điều kiện thi đấu thay đổi, nhưng cấu trúc nhiệm vụ phần lớn vẫn giữ nguyên.
Đảo Mạng sẽ là đảo đầu tiên do tính đơn giản của nó so với đảo Linux và Windows.
Các nhiệm vụ sau đây sẽ được xem xét trong bài viết:
- Đặt tên TẤT CẢ các thiết bị theo cấu trúc liên kết
- Gán tên miền wsrvuz19.ru cho TẤT CẢ các thiết bị
- Tạo người dùng wsrvuz19 trên TẤT CẢ các thiết bị có mật khẩu cisco
- Mật khẩu người dùng phải được lưu trữ trong cấu hình dưới dạng hàm băm.
- Người dùng phải có mức đặc quyền cao nhất.
- Đối với TẤT CẢ các thiết bị, hãy triển khai mô hình AAA.
- Việc xác thực trên bảng điều khiển từ xa phải được thực hiện bằng cơ sở dữ liệu cục bộ (ngoại trừ thiết bị RTR1 và RTR2)
- Sau khi xác thực thành công, khi đăng nhập từ bảng điều khiển từ xa, người dùng phải vào ngay chế độ với mức đặc quyền tối đa.
- Đặt nhu cầu xác thực trên bảng điều khiển cục bộ.
- Sau khi xác thực thành công với bảng điều khiển cục bộ, người dùng phải vào chế độ ít đặc quyền nhất.
- Trên BR1, sau khi xác thực thành công trên bảng điều khiển cục bộ, người dùng nên vào chế độ có mức đặc quyền tối đa
- Trên TẤT CẢ các thiết bị, hãy đặt mật khẩu wsr để vào chế độ đặc quyền.
- Mật khẩu phải được lưu trữ trong cấu hình KHÔNG phải là kết quả của hàm băm.
- Đặt chế độ trong đó tất cả mật khẩu trong cấu hình được lưu trữ ở dạng mã hóa.
Cấu trúc liên kết mạng ở lớp vật lý được trình bày trong sơ đồ sau:
1. Đặt tên TẤT CẢ các thiết bị theo cấu trúc liên kết
Để đặt tên thiết bị (tên máy chủ), hãy nhập lệnh từ chế độ cấu hình chung hostname SW1, ở đâu thay vì SW1 bạn phải viết tên của thiết bị được đưa ra trong nhiệm vụ.
Bạn thậm chí có thể kiểm tra cài đặt một cách trực quan - thay vì cài đặt trước Công tắc điện đã trở thành SW1:
Switch(config)# hostname SW1
SW1(config)#
Nhiệm vụ chính sau khi thực hiện bất kỳ cài đặt nào là lưu cấu hình.
Điều này có thể được thực hiện từ chế độ cấu hình chung bằng lệnh do write:
SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
Hoặc từ chế độ đặc quyền bằng lệnh write:
SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Gán tên miền wsrvuz19.ru cho TẤT CẢ các thiết bị
Bạn có thể đặt tên miền wsrvuz19.ru theo mặc định từ chế độ cấu hình chung bằng lệnh ip domain-name wsrvuz19.ru.
Việc kiểm tra được thực hiện bằng lệnh do showhosts summary từ chế độ cấu hình chung:
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...
3. Tạo người dùng wsrvuz19 trên TẤT CẢ các thiết bị có mật khẩu cisco
Cần phải tạo một người dùng như vậy để anh ta có mức đặc quyền tối đa và mật khẩu được lưu trữ dưới dạng hàm băm. Tất cả những điều kiện này đều được nhóm tính đến username wsrvuz19 privilege 15 secret cisco.
Đây:
username wsrvuz19 - Tên tài khoản;
privilege 15 - mức đặc quyền (0 - mức tối thiểu, 15 - mức tối đa);
secret cisco - lưu trữ mật khẩu dưới dạng hàm băm MD5.
hiển thị lệnh running-config cho phép bạn kiểm tra cài đặt cấu hình hiện tại, nơi bạn có thể tìm thấy dòng có người dùng đã thêm và đảm bảo rằng mật khẩu được lưu trữ ở dạng mã hóa:
SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...
4. Đối với TẤT CẢ các thiết bị, hãy triển khai mô hình AAA
Mô hình AAA là một hệ thống xác thực, ủy quyền và tính toán các sự kiện. Để hoàn thành nhiệm vụ này, bước đầu tiên là kích hoạt mô hình AAA và chỉ định rằng xác thực sẽ được thực hiện bằng cơ sở dữ liệu cục bộ:
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
Một. Việc xác thực trên bảng điều khiển từ xa phải được thực hiện bằng cơ sở dữ liệu cục bộ (ngoại trừ thiết bị RTR1 và RTR2)
Công việc xác định hai loại bảng điều khiển: cục bộ và từ xa. Bảng điều khiển từ xa cho phép bạn triển khai các kết nối từ xa, chẳng hạn như thông qua giao thức SSH hoặc Telnet.
Để hoàn thành tác vụ này, hãy nhập các lệnh sau:
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
đội line vty 0 4 tiến hành cấu hình các dòng thiết bị đầu cuối ảo từ 0 đến 4.
Đội login authentication default bật chế độ xác thực mặc định trên bảng điều khiển ảo và chế độ mặc định được đặt ở công việc cuối cùng bằng lệnh aaa authentication login default local.
Việc thoát khỏi chế độ cấu hình bảng điều khiển từ xa được thực hiện bằng lệnh exit.
Kiểm tra đáng tin cậy sẽ là kết nối thử nghiệm thông qua giao thức Telnet từ thiết bị này sang thiết bị khác. Cần lưu ý rằng chuyển mạch cơ bản và địa chỉ IP trên thiết bị đã chọn phải được cấu hình cho việc này.
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
b. Sau khi xác thực thành công, khi đăng nhập từ bảng điều khiển từ xa, người dùng phải vào ngay chế độ với mức đặc quyền tối đa
Để giải quyết vấn đề này, bạn cần quay lại thiết lập các dòng terminal ảo và thiết lập mức đặc quyền bằng lệnh privilege level 15, trong đó 15 lại là cấp đặc quyền tối đa và 0 là cấp đặc quyền tối thiểu:
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
Bài kiểm tra sẽ là giải pháp từ đoạn trước - kết nối từ xa qua Telnet:
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
Sau khi xác thực, người dùng ngay lập tức vào chế độ đặc quyền, bỏ qua chế độ không có đặc quyền, nghĩa là nhiệm vụ đã được hoàn thành chính xác.
đĩa CD. Đặt nhu cầu trên bảng điều khiển cục bộ và sau khi xác thực thành công, người dùng phải vào chế độ đặc quyền tối thiểu
Cấu trúc lệnh trong các nhiệm vụ này giống như các nhiệm vụ 4.a và 4.b đã giải quyết trước đó. Đội line vty 0 4 được thay thế bởi console 0:
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
Như đã đề cập, mức đặc quyền tối thiểu được xác định bằng số 0. Việc kiểm tra có thể được thực hiện như sau:
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
Sau khi xác thực, người dùng sẽ chuyển sang chế độ không có đặc quyền, như đã nêu trong tác vụ.
đ. Trên BR1, sau khi xác thực thành công trên bảng điều khiển cục bộ, người dùng nên vào chế độ có mức đặc quyền tối đa
Việc thiết lập bảng điều khiển cục bộ trên BR1 sẽ như thế này:
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
Việc kiểm tra được thực hiện theo cách tương tự như trong đoạn trước:
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
Sau khi xác thực, việc chuyển sang chế độ đặc quyền sẽ diễn ra.
5. Trên TẤT CẢ các thiết bị, đặt mật khẩu wsr để vào chế độ đặc quyền
Nhiệm vụ nói rằng mật khẩu cho chế độ đặc quyền phải được lưu trữ dưới dạng văn bản rõ ràng theo tiêu chuẩn, nhưng chế độ mã hóa của tất cả mật khẩu sẽ không cho phép bạn xem mật khẩu ở dạng văn bản rõ ràng. Để đặt mật khẩu vào chế độ đặc quyền, hãy sử dụng lệnh enable password wsr. Sử dụng từ khóa password, xác định loại mật khẩu sẽ được lưu trữ. Nếu mật khẩu phải được mã hóa khi tạo người dùng thì từ khóa là từ secretvà để lưu trữ ở dạng mở được sử dụng password.
Bạn có thể kiểm tra cài đặt từ chế độ xem cấu hình hiện tại:
SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Có thể thấy, mật khẩu của người dùng được lưu dưới dạng mã hóa, còn mật khẩu để vào chế độ đặc quyền được lưu dưới dạng văn bản rõ ràng, như đã nêu trong các tác vụ.
Để tất cả mật khẩu được lưu trữ ở dạng mã hóa, bạn nên sử dụng lệnh service password-encryption. Xem cấu hình hiện tại sẽ trông như thế này:
SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...
Mật khẩu không còn có thể xem được rõ ràng.
Nguồn: www.habr.com