Chúng ta tiếp tục phân tích nhiệm vụ của mô-đun Mạng của giải vô địch WorldSkills ở chuyên ngành “Quản trị hệ thống và mạng”.
Các nhiệm vụ sau đây sẽ được xem xét trong bài viết:
- Trên TẤT CẢ các thiết bị, tạo giao diện ảo, giao diện phụ và giao diện loopback. Gán địa chỉ IP theo cấu trúc liên kết.
- Kích hoạt cơ chế SLAAC để cấp địa chỉ IPv6 trong mạng MNG trên giao diện bộ định tuyến RTR1;
- Trên các giao diện ảo trong VLAN 100 (MNG) trên các switch SW1, SW2, SW3, bật chế độ tự động cấu hình IPv6;
- Trên TẤT CẢ các thiết bị (ngoại trừ PC1 và WEB) chỉ định địa chỉ liên kết cục bộ theo cách thủ công;
- Trên TẤT CẢ các công tắc, vô hiệu hóa TẤT CẢ các cổng không được sử dụng trong tác vụ và chuyển sang VLAN 99;
- Trên công tắc SW1, bật khóa trong 1 phút nếu nhập sai mật khẩu hai lần trong vòng 30 giây;
- Tất cả các thiết bị phải được quản lý thông qua SSH phiên bản 2.
Cấu trúc liên kết mạng ở lớp vật lý được trình bày trong sơ đồ sau:
Cấu trúc liên kết mạng ở cấp độ liên kết dữ liệu được trình bày trong sơ đồ sau:
Cấu trúc liên kết mạng ở cấp độ mạng được trình bày trong sơ đồ sau:
đặt trước
Trước khi thực hiện các tác vụ trên, cần thiết lập chuyển đổi cơ bản trên các công tắc SW1-SW3, vì sau này sẽ thuận tiện hơn khi kiểm tra cài đặt của chúng. Thiết lập chuyển đổi sẽ được mô tả chi tiết trong bài viết tiếp theo, nhưng hiện tại chỉ có các cài đặt sẽ được xác định.
Bước đầu tiên là tạo các vlan có số 99, 100 và 300 trên tất cả các switch:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
Bước tiếp theo là chuyển giao diện g0/1 sang SW1 sang vlan số 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
Các giao diện f0/1-2, f0/5-6 đối diện với các switch khác nên được chuyển sang chế độ trung kế:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
Trên switch SW2 ở chế độ trunk sẽ có các giao diện f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
Trên switch SW3 ở chế độ trunk sẽ có các giao diện f0/3-6, g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
Ở giai đoạn này, cài đặt chuyển đổi sẽ cho phép trao đổi các gói được gắn thẻ, cần thiết để hoàn thành nhiệm vụ.
1. Tạo giao diện ảo, giao diện phụ và giao diện loopback trên TẤT CẢ các thiết bị. Gán địa chỉ IP theo cấu trúc liên kết.
Bộ định tuyến BR1 sẽ được cấu hình đầu tiên. Theo cấu trúc liên kết L3, ở đây bạn cần cấu hình giao diện kiểu vòng lặp hay còn gọi là loopback, số 101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
Để kiểm tra trạng thái giao diện đã tạo, bạn có thể sử dụng lệnh show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
Ở đây bạn có thể thấy loopback đang hoạt động, trạng thái của nó UP. Nếu nhìn bên dưới, bạn có thể thấy hai địa chỉ IPv6, mặc dù chỉ có một lệnh được sử dụng để đặt địa chỉ IPv6. Sự thật là FE80::2D0:97FF:FE94:5022 là địa chỉ liên kết cục bộ được chỉ định khi bật ipv6 trên giao diện bằng lệnh ipv6 enable.
Và để xem địa chỉ IPv4, hãy sử dụng lệnh tương tự:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
Đối với BR1, bạn nên cấu hình ngay giao diện g0/0, ở đây bạn chỉ cần đặt địa chỉ IPv6:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
Bạn có thể kiểm tra cài đặt bằng lệnh tương tự show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
Tiếp theo, bộ định tuyến ISP sẽ được cấu hình. Ở đây, theo nhiệm vụ, loopback số 0 sẽ được cấu hình, nhưng ngoài điều này, tốt hơn là cấu hình giao diện g0/0, giao diện này phải có địa chỉ 30.30.30.1, vì lý do là trong các nhiệm vụ tiếp theo sẽ không có gì được nói đến thiết lập các giao diện này. Đầu tiên, số loopback 0 được cấu hình:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
đội show ipv6 interface brief Bạn có thể xác minh rằng cài đặt giao diện là chính xác. Sau đó giao diện g0/0 được cấu hình:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Tiếp theo, bộ định tuyến RTR1 sẽ được cấu hình. Tại đây bạn cũng cần tạo số loopback 100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
Ngoài ra trên RTR1 bạn cần tạo 2 subinterface ảo cho vlan số 100 và 300. Việc này có thể thực hiện như sau.
Trước tiên, bạn cần kích hoạt giao diện vật lý g0/1 bằng lệnh không tắt máy:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
Sau đó, các giao diện con có số 100 và 300 được tạo và định cấu hình:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
Số giao diện con có thể khác với số vlan mà nó sẽ hoạt động, nhưng để thuận tiện, tốt hơn nên sử dụng số giao diện con phù hợp với số vlan. Nếu bạn đặt kiểu đóng gói khi thiết lập giao diện con, bạn nên chỉ định một số khớp với số vlan. Vì vậy sau lệnh encapsulation dot1Q 300 giao diện con sẽ chỉ đi qua các gói vlan có số 300.
Bước cuối cùng trong nhiệm vụ này sẽ là bộ định tuyến RTR2. Kết nối giữa SW1 và RTR2 phải ở chế độ truy cập, giao diện chuyển đổi sẽ chỉ chuyển sang RTR2 các gói dành cho vlan số 300, điều này được nêu trong nhiệm vụ trên cấu trúc liên kết L2. Do đó, chỉ giao diện vật lý sẽ được cấu hình trên bộ định tuyến RTR2 mà không tạo giao diện phụ:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
Sau đó giao diện g0/0 được cấu hình:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
Việc này hoàn tất việc cấu hình các giao diện bộ định tuyến cho tác vụ hiện tại. Các giao diện còn lại sẽ được cấu hình khi bạn hoàn thành các tác vụ sau.
Một. Kích hoạt cơ chế SLAAC để cấp địa chỉ IPv6 trong mạng MNG trên giao diện bộ định tuyến RTR1
Cơ chế SLAAC được bật theo mặc định. Điều duy nhất bạn cần làm là kích hoạt định tuyến IPv6. Bạn có thể làm điều này bằng lệnh sau:
RTR1(config-subif)#ipv6 unicast-routing
Nếu không có lệnh này, thiết bị sẽ hoạt động như một máy chủ. Nói cách khác, nhờ lệnh trên, có thể sử dụng các chức năng ipv6 bổ sung, bao gồm cấp địa chỉ ipv6, thiết lập định tuyến, v.v.
b. Trên các giao diện ảo trong VLAN 100 (MNG) trên các switch SW1, SW2, SW3, bật chế độ tự động cấu hình IPv6
Từ cấu trúc liên kết L3, rõ ràng là các bộ chuyển mạch được kết nối với VLAN 100. Điều này có nghĩa là cần phải tạo giao diện ảo trên các bộ chuyển mạch và chỉ sau đó chỉ định chúng nhận địa chỉ IPv6 theo mặc định. Cấu hình ban đầu được thực hiện chính xác để các bộ chuyển mạch có thể nhận địa chỉ mặc định từ RTR1. Bạn có thể hoàn thành tác vụ này bằng cách sử dụng danh sách lệnh sau, phù hợp với cả ba công tắc:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
Bạn có thể kiểm tra mọi thứ bằng cùng một lệnh show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
Ngoài địa chỉ liên kết cục bộ, một địa chỉ ipv6 nhận được từ RTR1 cũng xuất hiện. Nhiệm vụ này đã được hoàn thành thành công và các lệnh tương tự phải được ghi trên các công tắc còn lại.
Với. Trên TẤT CẢ các thiết bị (ngoại trừ PC1 và WEB) chỉ định địa chỉ liên kết cục bộ theo cách thủ công
Địa chỉ IPv6 gồm XNUMX chữ số không phải là điều thú vị đối với quản trị viên, vì vậy có thể thay đổi liên kết cục bộ theo cách thủ công, giảm độ dài của nó xuống giá trị tối thiểu. Các bài tập không nói gì về việc chọn địa chỉ nào, vì vậy ở đây có sự lựa chọn miễn phí.
Ví dụ: trên switch SW1 bạn cần đặt địa chỉ link-local fe80::10. Điều này có thể được thực hiện bằng lệnh sau từ chế độ cấu hình của giao diện đã chọn:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
Bây giờ việc đánh địa chỉ trông hấp dẫn hơn nhiều:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
Ngoài địa chỉ liên kết cục bộ, địa chỉ IPv6 nhận được cũng đã thay đổi, do địa chỉ này được cấp dựa trên địa chỉ liên kết cục bộ.
Trên switch SW1, chỉ cần đặt một địa chỉ liên kết cục bộ trên một giao diện. Với bộ định tuyến RTR1, bạn cần thực hiện nhiều cài đặt hơn - bạn cần đặt link-local trên hai giao diện phụ, trên loopback và trong các cài đặt tiếp theo, giao diện đường hầm 100 cũng sẽ xuất hiện.
Để tránh việc viết lệnh không cần thiết, bạn có thể đặt cùng một địa chỉ liên kết cục bộ trên tất cả các giao diện cùng một lúc. Bạn có thể làm điều này bằng cách sử dụng từ khóa range tiếp theo là liệt kê tất cả các giao diện:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
Khi kiểm tra các giao diện, bạn sẽ thấy các địa chỉ link-local đã được thay đổi trên tất cả các giao diện được chọn:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
Tất cả các thiết bị khác được cấu hình theo cách tương tự
d. Trên TẤT CẢ các switch, vô hiệu hóa TẤT CẢ các cổng không được sử dụng trong công việc và chuyển sang VLAN 99
Ý tưởng cơ bản giống như cách chọn nhiều giao diện để cấu hình bằng lệnh range, và chỉ khi đó bạn mới nên viết lệnh chuyển sang vlan mong muốn rồi tắt các giao diện. Ví dụ: công tắc SW1, theo cấu trúc liên kết L1, sẽ tắt các cổng f0/3-4, f0/7-8, f0/11-24 và g0/2. Đối với ví dụ này, cài đặt sẽ như sau:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
Khi kiểm tra cài đặt bằng lệnh đã biết, điều đáng chú ý là tất cả các cổng không sử dụng phải có trạng thái xuống về mặt hành chính, cho biết cổng bị vô hiệu hóa:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
Để xem cổng đó ở vlan nào, bạn có thể sử dụng lệnh khác:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
Tất cả các giao diện không sử dụng sẽ ở đây. Điều đáng chú ý là sẽ không thể chuyển giao diện sang vlan nếu vlan đó chưa được tạo. Vì mục đích này mà trong quá trình thiết lập ban đầu, tất cả các vlan cần thiết cho hoạt động đã được tạo.
đ. Trên công tắc SW1, bật khóa trong 1 phút nếu nhập sai mật khẩu 30 lần trong vòng XNUMX giây
Bạn có thể làm điều này bằng lệnh sau:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
Bạn cũng có thể kiểm tra các cài đặt này như sau:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
Trong đó giải thích rõ ràng rằng sau hai lần thử không thành công trong vòng 30 giây trở xuống, khả năng đăng nhập sẽ bị chặn trong 60 giây.
2. Tất cả các thiết bị phải có thể quản lý được thông qua SSH phiên bản 2
Để có thể truy cập các thiết bị thông qua SSH phiên bản 2, trước tiên cần phải định cấu hình thiết bị, vì vậy với mục đích cung cấp thông tin, trước tiên chúng tôi sẽ định cấu hình thiết bị với cài đặt gốc.
Bạn có thể thay đổi phiên bản đâm thủng như sau:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
Hệ thống yêu cầu bạn tạo khóa RSA để SSH phiên bản 2 hoạt động. Theo lời khuyên của hệ thống thông minh, bạn có thể tạo khóa RSA bằng lệnh sau:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
Hệ thống không cho phép thực thi lệnh vì tên máy chủ chưa được thay đổi. Sau khi thay đổi tên máy chủ, bạn cần viết lại lệnh tạo khóa:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
Hiện tại hệ thống không cho phép bạn tạo khóa RSA do thiếu tên miền. Và sau khi cài đặt tên miền sẽ có thể tạo khóa RSA. Khóa RSA phải dài ít nhất 768 bit để SSH phiên bản 2 hoạt động:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Kết quả là, để SSHv2 hoạt động thì điều cần thiết là:
- Thay đổi tên máy chủ;
- Thay đổi tên miền;
- Tạo khóa RSA.
Bài viết trước đã hướng dẫn cách thay đổi tên máy chủ và tên miền trên tất cả các thiết bị, vì vậy trong khi tiếp tục định cấu hình các thiết bị hiện tại, bạn chỉ cần tạo khóa RSA:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH phiên bản 2 đang hoạt động nhưng các thiết bị chưa được cấu hình đầy đủ. Bước cuối cùng sẽ là thiết lập bảng điều khiển ảo:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
Trong bài viết trước, mô hình AAA đã được định cấu hình, trong đó xác thực được đặt trên bảng điều khiển ảo sử dụng cơ sở dữ liệu cục bộ và người dùng, sau khi xác thực, phải chuyển ngay sang chế độ đặc quyền. Thử nghiệm đơn giản nhất về chức năng SSH là thử kết nối với thiết bị của riêng bạn. RTR1 có loopback với địa chỉ IP 1.1.1.1, bạn có thể thử kết nối với địa chỉ này:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
Sau chìa khóa -l Nhập thông tin đăng nhập của người dùng hiện tại và sau đó là mật khẩu. Sau khi xác thực, người dùng ngay lập tức chuyển sang chế độ đặc quyền, nghĩa là SSH đã được cấu hình đúng.
Nguồn: www.habr.com