我們繼續分析世界技能錦標賽「網路和系統管理」能力中的網路模組的任務。
本文將考慮以下任務:
- 在所有裝置上,建立虛擬介面、子介面和環回介面。分配 IP 地址 按照拓撲結構。
- 在RTR6路由器介面上啟用SLAAC機制在MNG網路中發放IPv1位址;
- 在交換器SW100、SW1、SW2上的VLAN 3(MNG)中的虛擬介面上,啟用IPv6自動設定模式;
- 在所有設備上(PC1 和 WEB 除外)手動分配鏈路本地位址;
- 在所有交換器上,停用任務中未使用的所有連接埠並將其移至 VLAN 99;
- 在開關SW1上,如果在1秒內輸入兩次錯誤密碼,則啟用封鎖30分鐘;
- 所有設備都必須能夠透過 SSH 版本 2 進行管理。
物理層的網絡拓撲如下圖所示:
資料鏈路層的網路拓撲結構如下圖所示:
網路層面的網路拓樸如下圖所示:
預設
在執行上述任務之前,值得在開關 SW1-SW3 上設定基本開關,因為稍後檢查它們的設定會更方便。下一篇文章將詳細描述切換設置,但目前僅定義設置。
您需要做的第一件事是在所有交換器上建立編號為 99、100 和 300 的 VLAN:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
下一步是將 SW0 上的介面 g1/1 轉移到 VLAN 號碼 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
面向其他交換器的介面 f0/1-2、f0/5-6 應切換為中繼模式:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
在中繼模式下的交換器 SW2 上將有介面 f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
在中繼模式下的交換器 SW3 上將有介面 f0/3-6、g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
在此階段,交換器將被設定為交換完成任務所需的標記資料包。
1. 在所有裝置上建立虛擬介面、子介面和環回介面。根據拓撲結構分配IP位址。
第一個要設定的路由器是 BR1。根據L3拓撲,需要配置一個環回接口,編號為101:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
若要檢查已建立介面的狀態,可以使用指令 show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
這裡你可以看到環回處於活動狀態,它的狀態是 UP。如果您查看下面,您可以看到兩個 IPv6 位址,即使只使用了一個命令來設定 IPv6 位址。事實是 FE80::2D0:97FF:FE94:5022 — 這是使用下列命令在介面上啟用 IPv6 時指派的連結本機位址 ipv6 enable.
若要查看 IPv4 位址,可以使用類似的命令:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
對於 BR1,您應該立即配置 g0/0 接口,這裡您只需要設定 IPv6 位址:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
您可以使用相同的命令檢查設置 show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
接下來,將設定 ISP 路由器。這裡,該任務將配置編號為 0 的環回接口,但除此之外,最好配置接口 g0/0,該接口的地址應為 30.30.30.1,因為在後續任務中將不再提及配置這些接口。首先配置編號為0的環回:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
團隊 show ipv6 interface brief 您可以確保介面配置正確。然後配置g0/0介面:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
接下來,將設定RTR1路由器。這裡還需要建立一個回環號碼100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
另外,在 RTR1 上,需要為編號為 2 和 100 的 VLAN 建立 300 個虛擬子介面。可以如下完成。
首先,您應該使用 no shutdown 指令啟用實體介面 g0/1:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
然後建立並配置編號為 100 和 300 的子介面:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
子介面號碼可能與其在其中運行的 VLAN 號碼不同,但為了方便起見,最好使用與 VLAN 號碼相符的子介面號碼。如果在設定子介面時設定封裝類型,則應指定與 VLAN 號碼相符的數字。因此在命令之後 encapsulation dot1Q 300 子介面將僅傳遞來自 VLAN 號碼 300 的封包。
本次作業中的最後一個路由器將是 RTR2。 SW1 和 RTR2 之間的連線必須處於存取模式,交換器介面將僅將發送至 VLAN 2 的封包傳遞到 RTR300,這在 L2 拓撲分配中有所說明。因此,在 RTR2 路由器上,只需配置實體接口,而無需建立子接口:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
然後配置g0/0介面:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
目前任務的路由器介面配置就此完成。其餘介面將在以下任務完成後進行設定。
一個。在 RTR6 路由器介面上啟用 SLAAC 機制在 MNG 網路中發佈 IPv1 位址
SLAAC機制預設啟用。您唯一需要做的就是啟用 IPv6 路由。可以使用以下命令完成此操作:
RTR1(config-subif)#ipv6 unicast-routing
如果沒有此命令,則設備作為主機。換句話說,透過上述指令,可以使用額外的ipv6功能,包括發布ipv6位址,設定路由等。
b.在交換器 SW100、SW1、SW2 上的 VLAN 3(MNG)中的虛擬介面上,啟用 IPv6 自動設定模式
從 L3 拓撲可以清楚地看到交換器連接到 VLAN 100 網路。這意味著必須在交換器上建立虛擬接口,然後預設分配接收 IPv6 位址。初始設定專門用於允許交換器從 RTR1 取得預設位址。可以使用以下命令清單完成此任務,這些命令適用於所有三個交換器:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
你可以用同樣的命令檢查所有內容 show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
除了連結本地位址之外,還出現了從 RTR6 接收的 IPv1 位址。此任務已成功完成,其餘交換器上必須寫入相同的命令。
和。在所有設備(PC1 和 WEB 除外)上手動分配鏈路本地位址
三十位 IPv6 位址對管理員來說並不是一件樂事,因此可以手動更改鏈路本地,將其長度減少到最小值。任務沒有說明選擇哪個地址,因此這裡提供了自由選擇。
例如,在交換器 SW1 上,您需要設定連結本地位址 fe80::10。可以使用以下命令從所選介面的設定模式來完成此操作:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
現在,尋址看起來更有吸引力了:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
除了連結本地位址之外,接收到的IPv6位址也發生了變化,因為該位址是基於連結本地位址發出的。
在交換器 SW1 上,只需在一個介面上設定鏈路本地地址。使用RTR1路由器,需要進行更多設定-需要在兩個子介面上、在環回上設定link-local,並且在後續設定中還會出現隧道100介面。
為了避免編寫不必要的命令,您可以一次在所有介面上設定相同的連結本機位址。這可以使用關鍵字來完成。 range 接下來是所有介面的列表:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
檢查介面時,您將看到所有選定介面上的連結本機位址都已變更:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
所有其他設備的配置方式類似。
d.在所有交換器上,停用任務中未使用的所有端口,並將其移至 VLAN 99
基本概念與使用指令選擇多個介面進行設定的方式相同 range,然後您應該編寫命令來轉移到所需的 vlan,然後關閉介面。例如,在交換器 SW1 上,根據 L1 拓撲,連接埠 f0/3-4、f0/7-8、f0/11-24 和 g0/2 將被停用。對於此範例,設定如下:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
當使用已知命令檢查設定時,值得注意的是所有未使用的連接埠都應具有狀態 行政下行,表示該連接埠已停用:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
若要查看連接埠位於哪個vlan,可以使用另一個指令:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
所有未使用的介面都應該在這裡。值得注意的是,如果尚未建立 vlan,則無法將介面轉移到 vlan。這正是在初始設定中建立操作所需的所有 VLAN 的原因。
例如在開關 SW1 上,如果在 1 秒內輸入兩次錯誤密碼,則啟用鎖定 30 分鐘
可以使用以下命令完成此操作:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
您也可以如下檢查這些設定:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
其中明確說明,在 30 秒或更短時間內兩次嘗試失敗後,登入能力將被阻止 60 秒。
2. 所有設備必須能夠透過 SSH 協定版本 2 進行管理
為了能夠透過 SSH 版本 2 存取設備,必須預先配置硬件,因此出於資訊目的,將首先配置具有出廠設定的硬體。
您可以如下變更穿刺版本:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
系統要求為 SSH 版本 2 的功能建立 RSA 金鑰。按照智慧型系統的建議,您可以使用以下命令建立 RSA 金鑰:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
由於主機名稱尚未更改,系統不允許您執行該命令。更改主機名稱後,需要重新編寫密鑰產生命令:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
現在由於缺少域名,系統不允許建立 RSA 金鑰。安裝網域後,就可以建立 RSA 金鑰。為了讓 SSH 版本 768 正常運作,RSA 金鑰長度必須至少為 2 位元:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
因此,為了使 SSHv2 正常運作,必須:
- 更改主機名稱;
- 更改域名;
- 產生 RSA 金鑰。
上一篇文章展示如何在所有裝置上變更主機名稱和域名,因此在繼續設定目前裝置時,只需產生 RSA 金鑰:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH 版本 2 已激活,但設備尚未完全配置。最後一步是設定虛擬控制台:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
上一篇文章中配置了AAA模型,在虛擬控制台上使用本機資料庫設定驗證,並且驗證後的使用者應立即進入特權模式。檢查 SSH 是否正常運作的最簡單方法是嘗試連接到您自己的裝置。 RTR1 上有一個環回,IP 位址為 1.1.1.1,您可以嘗試連線到該位址:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
鑰匙之後 -l 輸入現有使用者的登入名,然後輸入密碼。經過身份驗證後,您將立即轉移到特權模式,這表示 SSH 已正確配置。
來源: www.habr.com
