我们继续分析世界技能锦标赛网络模块“网络和系统管理”能力中的任务。
本文将考虑以下任务:
- 在所有设备上,创建虚拟接口、子接口和环回接口。 根据拓扑分配IP地址。
- 在RTR6路由器接口上启用SLAAC机制来发布MNG网络中的IPv1地址;
- 在交换机 SW100、SW1、SW2 上 VLAN 3 (MNG) 中的虚拟接口上,启用 IPv6 自动配置模式;
- 在所有设备(PC1 和 WEB 除外)上手动分配链路本地地址;
- 在所有交换机上,禁用任务中未使用的所有端口并转移到 VLAN 99;
- 在交换机SW1上,如果1秒内两次错误输入密码,则启用锁定30分钟;
- 所有设备都必须可通过 SSH 版本 2 进行管理。
物理层的网络拓扑如下图所示:
数据链路层的网络拓扑如下图所示:
网络层面的网络拓扑如下图所示:
预设
在执行上述任务之前,值得在开关SW1-SW3上设置基本切换,因为将来检查它们的设置会更方便。 下一篇文章将详细介绍切换设置,但现在仅定义设置。
第一步是在所有交换机上创建编号为 99、100 和 300 的 VLAN:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
下一步是将接口 g0/1 到 SW1 转移到 vlan 号 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
面向其他交换机的接口f0/1-2、f0/5-6应切换为trunk模式:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
在中继模式下的交换机 SW2 上将有接口 f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
在中继模式下的交换机 SW3 上将有接口 f0/3-6、g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
在此阶段,交换机设置将允许交换标记数据包,这是完成任务所需的。
1. 在所有设备上创建虚拟接口、子接口和环回接口。 根据拓扑分配IP地址。
首先配置路由器 BR1。 根据三层拓扑,这里需要配置一个环路型接口,也称为环回,编号为3:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
要查看创建的接口的状态,可以使用命令 show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
在这里你可以看到环回处于活动状态,它的状态 UP。 如果您看下面,您可以看到两个 IPv6 地址,尽管只使用了一个命令来设置 IPv6 地址。 事实是 FE80::2D0:97FF:FE94:5022 是使用以下命令在接口上启用 ipv6 时分配的链路本地地址 ipv6 enable.
要查看 IPv4 地址,请使用类似的命令:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
对于BR1,您应该立即配置g0/0接口;这里您只需要设置IPv6地址:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
您可以使用相同的命令检查设置 show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
接下来,将配置 ISP 路由器。 这里,根据任务,会配置环回号0,但除此之外,最好配置g0/0接口,其地址应为30.30.30.1,因为在后续任务中不再赘述设置这些接口。 首先配置环回号0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
团队 show ipv6 interface brief 您可以验证接口设置是否正确。 然后配置接口g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
接下来,将配置 RTR1 路由器。 这里还需要创建一个环回编号100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
另外,在 RTR1 上,您需要为编号为 2 和 100 的 VLAN 创建 300 个虚拟子接口。可以按如下方式完成。
首先,您需要使用 no shutdown 命令启用物理接口 g0/1:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
然后创建并配置编号为 100 和 300 的子接口:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
子接口编号可能与其工作的 VLAN 编号不同,但为了方便起见,最好使用与 VLAN 编号匹配的子接口编号。 如果在设置子接口时设置了封装类型,则应指定与 vlan 编号匹配的编号。 所以在命令之后 encapsulation dot1Q 300 子接口只会通过编号为300的vlan数据包。
此任务的最后一步是 RTR2 路由器。 SW1 和 RTR2 之间的连接必须处于访问模式,交换机接口将仅向 RTR2 传递用于 VLAN 编号 300 的数据包,这在 L2 拓扑的任务中进行了说明。 因此,在 RTR2 路由器上仅配置物理接口,而不创建子接口:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
然后配置接口g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
这样就完成了当前任务的路由器接口配置。 其余接口将在您完成以下任务时进行配置。
A。 在RTR6路由器接口上启用SLAAC机制来发布MNG网络中的IPv1地址
SLAAC 机制默认启用。 您唯一需要做的就是启用 IPv6 路由。 您可以使用以下命令来执行此操作:
RTR1(config-subif)#ipv6 unicast-routing
如果没有该命令,设备将充当主机。 换句话说,通过上述命令,可以使用额外的ipv6功能,包括发布ipv6地址、设置路由等。
b. 在交换机 SW100、SW1、SW2 上 VLAN 3 (MNG) 中的虚拟接口上,启用 IPv6 自动配置模式
从 L3 拓扑中可以清楚地看出,交换机连接到 VLAN 100。这意味着需要在交换机上创建虚拟接口,然后才分配它们默认接收 IPv6 地址。 初始配置已精确完成,以便交换机可以从 RTR1 接收默认地址。 您可以使用以下适用于所有三种交换机的命令列表来完成此任务:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
您可以使用相同的命令检查所有内容 show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
除了链路本地地址之外,还出现了从 RTR6 接收到的 ipv1 地址。 此任务已成功完成,必须在其余交换机上写入相同的命令。
和。 在所有设备(PC1 和 WEB 除外)上手动分配链路本地地址
6 位 IPvXNUMX 地址对于管理员来说毫无乐趣,因此可以手动更改本地链路,将其长度减少到最小值。 分配没有说明要选择哪些地址,因此这里提供了自由选择。
例如,在交换机 SW1 上,您需要设置链路本地地址 fe80::10。 这可以在所选接口的配置模式下使用以下命令来完成:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
现在寻址看起来更有吸引力:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
除了链路本地地址之外,接收到的 IPv6 地址也发生了变化,因为该地址是基于链路本地地址发布的。
在交换机 SW1 上,只需在一个接口上设置一个链路本地地址。 对于RTR1路由器,您需要进行更多设置 - 您需要在环回上的两个子接口上设置link-local,并且在后续设置中,隧道100接口也会出现。
为了避免不必要的命令写入,您可以同时在所有接口上设置相同的链路本地地址。 您可以使用关键字来做到这一点 range 接下来列出所有接口:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
检查接口时,您将看到所有选定接口上的链路本地地址已更改:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
所有其他设备都以类似的方式配置
d. 在所有交换机上,禁用作业中未使用的所有端口并转移到 VLAN 99
基本思想与使用命令选择多个接口进行配置的方式相同 range,然后你应该编写命令转移到所需的vlan,然后关闭接口。 例如,根据 L1 拓扑,交换机 SW1 将禁用端口 f0/3-4、f0/7-8、f0/11-24 和 g0/2。 对于本示例,设置如下:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
当使用已知命令检查设置时,值得注意的是所有未使用的端口必须具有状态 行政上下调,表示该端口已禁用:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
要查看端口属于哪个vlan,可以使用另一个命令:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
所有未使用的接口都应该在这里。 值得注意的是,如果没有创建这样的vlan,则无法将接口转移到vlan。 正是出于此目的,在初始设置中创建了操作所需的所有 VLAN。
e. 在交换机SW1上,如果1秒内两次错误输入密码,则启用锁定30分钟
您可以使用以下命令来执行此操作:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
您还可以按如下方式检查这些设置:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
其中明确说明,在 30 秒或更短时间内两次尝试失败后,登录能力将被阻止 60 秒。
2. 所有设备必须可通过 SSH 版本 2 进行管理
为了通过 SSH 版本 2 访问设备,需要首先配置设备,因此出于信息目的,我们将首先使用出厂设置配置设备。
您可以按如下方式更改穿刺版本:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
系统会要求您创建 RSA 密钥以使 SSH 版本 2 正常工作。根据智能系统的建议,您可以使用以下命令创建 RSA 密钥:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
由于主机名尚未更改,系统不允许执行该命令。 更改主机名后,需要重新编写密钥生成命令:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
现在由于缺少域名,系统不允许您创建 RSA 密钥。 安装域名后,就可以创建 RSA 密钥。 RSA 密钥的长度必须至少为 768 位才能使 SSH 版本 2 正常工作:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
因此,事实证明,要使 SSHv2 正常工作,有必要:
- 更改主机名;
- 更改域名;
- 生成 RSA 密钥。
上一篇文章展示了如何更改所有设备上的主机名和域名,因此在继续配置当前设备的同时,您只需要生成 RSA 密钥即可:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH 版本 2 已激活,但设备尚未完全配置。 最后一步是设置虚拟控制台:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
上一篇文章配置了AAA模型,使用本地数据库在虚拟控制台上设置身份验证,用户身份验证后必须立即进入特权模式。 SSH 功能最简单的测试是尝试连接到您自己的设备。 RTR1 有一个 IP 地址为 1.1.1.1 的环回,您可以尝试连接到该地址:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
钥匙之后 -l 输入现有用户的登录名,然后输入密码。 认证后,用户立即切换到特权模式,这意味着SSH配置正确。
来源: habr.com