我們繼續分析世界技能錦標賽網路模組「網路和系統管理」能力的任務。
本文將考慮以下任務:
- 在所有裝置上,建立虛擬介面、子介面和環回介面。 根據拓樸分配IP位址。
- 在RTR6路由器介面上啟用SLAAC機制來發布MNG網路中的IPv1位址;
- 在交換器 SW100、SW1、SW2 上 VLAN 3 (MNG) 中的虛擬介面上,啟用 IPv6 自動設定模式;
- 在所有設備(PC1 和 WEB 除外)上手動分配鏈路本地位址;
- 在所有交換器上,停用任務中未使用的所有連接埠並轉移到 VLAN 99;
- 在交換器SW1上,如果1秒內兩次錯誤輸入密碼,則啟用鎖定30分鐘;
- 所有設備都必須可透過 SSH 版本 2 進行管理。
物理層的網絡拓撲如下圖所示:
資料鏈路層的網路拓撲如下圖所示:
網路層面的網路拓樸如下圖所示:
預設
在執行上述任務之前,值得在開關SW1-SW3上設定基本切換,因為將來檢查它們的設定會更方便。 下一篇文章將詳細介紹切換設置,但現在僅定義設定。
第一步是在所有交換器上建立編號為 99、100 和 300 的 VLAN:
SW1(config)#vlan 99
SW1(config-vlan)#exit
SW1(config)#vlan 100
SW1(config-vlan)#exit
SW1(config)#vlan 300
SW1(config-vlan)#exit
下一步是將介面 g0/1 到 SW1 轉移到 vlan 號 300:
SW1(config)#interface gigabitEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 300
SW1(config-if)#exit
面向其他交換器的介面f0/1-2、f0/5-6應切換為trunk模式:
SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
在中繼模式下的交換器 SW2 上將有介面 f0/1-4:
SW2(config)#interface range fastEthernet 0/1-4
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#exit
在中繼模式下的交換器 SW3 上將有介面 f0/3-6、g0/1:
SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#exit
在此階段,交換器設定將允許交換標記資料包,這是完成任務所需的。
1. 在所有裝置上建立虛擬介面、子介面和環回介面。 根據拓樸分配IP位址。
首先設定路由器 BR1。 根據三層拓撲,這裡需要配置一個環路型接口,也稱為環回,編號為3:
// Создание loopback
BR1(config)#interface loopback 101
// Назначение ipv4-адреса
BR1(config-if)#ip address 2.2.2.2 255.255.255.255
// Включение ipv6 на интерфейсе
BR1(config-if)#ipv6 enable
// Назначение ipv6-адреса
BR1(config-if)#ipv6 address 2001:B:A::1/64
// Выход из режима конфигурирования интерфейса
BR1(config-if)#exit
BR1(config)#
若要查看已建立的介面的狀態,可以使用命令 show ipv6 interface brief:
BR1#show ipv6 interface brief
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
...
BR1#
在這裡你可以看到環回處於活動狀態,它的狀態 UP。 如果您看下面,您可以看到兩個 IPv6 位址,儘管只使用了一個命令來設定 IPv6 位址。 事實是 FE80::2D0:97FF:FE94:5022 是使用下列命令在介面上啟用 ipv6 時指派的連結本機位址 ipv6 enable.
若要查看 IPv4 位址,請使用類似的命令:
BR1#show ip interface brief
...
Loopback101 2.2.2.2 YES manual up up
...
BR1#
對於BR1,您應該立即設定g0/0介面;這裡您只需要設定IPv6位址:
// Переход в режим конфигурирования интерфейса
BR1(config)#interface gigabitEthernet 0/0
// Включение интерфейса
BR1(config-if)#no shutdown
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:B:C::1/64
BR1(config-if)#exit
BR1(config)#
您可以使用相同的命令檢查設置 show ipv6 interface brief:
BR1#show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::290:CFF:FE9D:4624 //link-local адрес
2001:B:C::1 //IPv6-адрес
...
Loopback101 [up/up]
FE80::2D0:97FF:FE94:5022 //link-local адрес
2001:B:A::1 //IPv6-адрес
接下來,將設定 ISP 路由器。 這裡,根據任務,會配置環回號0,但除此之外,最好配置g0/0接口,其地址應為30.30.30.1,因為在後續任務中不再贅述設置這些接口。 首先配置環回號0:
ISP(config)#interface loopback 0
ISP(config-if)#ip address 8.8.8.8 255.255.255.255
ISP(config-if)#ipv6 enable
ISP(config-if)#ipv6 address 2001:A:C::1/64
ISP(config-if)#exit
ISP(config)#
團隊 show ipv6 interface brief 您可以驗證介面設定是否正確。 然後配置介面g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.1 255.255.255.252
BR1(config-if)#exit
BR1(config)#
接下來,將設定 RTR1 路由器。 這裡還需要建立一個環回編號100:
BR1(config)#interface loopback 100
BR1(config-if)#ip address 1.1.1.1 255.255.255.255
BR1(config-if)#ipv6 enable
BR1(config-if)#ipv6 address 2001:A:B::1/64
BR1(config-if)#exit
BR1(config)#
另外,在 RTR1 上,您需要為編號為 2 和 100 的 VLAN 建立 300 個虛擬子介面。可以如下完成。
首先,您需要使用 no shutdown 指令啟用實體介面 g0/1:
RTR1(config)#interface gigabitEthernet 0/1
RTR1(config-if)#no shutdown
RTR1(config-if)#exit
然後建立並配置編號為 100 和 300 的子介面:
// Создание подынтерфейса с номером 100 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.100
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 100
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:100::1/64
RTR1(config-subif)#exit
// Создание подынтерфейса с номером 300 и переход к его настройке
RTR1(config)#interface gigabitEthernet 0/1.300
// Установка инкапсуляции типа dot1q с номером vlan'a 100
RTR1(config-subif)#encapsulation dot1Q 300
RTR1(config-subif)#ipv6 enable
RTR1(config-subif)#ipv6 address 2001:300::2/64
RTR1(config-subif)#exit
子介面編號可能與其工作的 VLAN 編號不同,但為了方便起見,最好使用與 VLAN 編號相符的子介面編號。 如果在設定子介面時設定了封裝類型,則應指定與 vlan 編號相符的編號。 所以在命令之後 encapsulation dot1Q 300 子介面只會通過編號為300的vlan資料包。
此任務的最後一步是 RTR2 路由器。 SW1 和 RTR2 之間的連線必須處於存取模式,交換器介面將僅向 RTR2 傳遞用於 VLAN 編號 300 的資料包,這在 L2 拓撲的任務中進行了說明。 因此,在 RTR2 路由器上僅配置實體接口,而不建立子接口:
RTR2(config)#interface gigabitEthernet 0/1
RTR2(config-if)#no shutdown
RTR2(config-if)#ipv6 enable
RTR2(config-if)#ipv6 address 2001:300::3/64
RTR2(config-if)#exit
RTR2(config)#
然後配置介面g0/0:
BR1(config)#interface gigabitEthernet 0/0
BR1(config-if)#no shutdown
BR1(config-if)#ip address 30.30.30.2 255.255.255.252
BR1(config-if)#exit
BR1(config)#
這樣就完成了目前任務的路由器介面配置。 其餘介面將在您完成以下任務時進行設定。
A。 在RTR6路由器介面上啟用SLAAC機制來發布MNG網路中的IPv1位址
SLAAC 機制預設啟用。 您唯一需要做的就是啟用 IPv6 路由。 您可以使用以下命令來執行此操作:
RTR1(config-subif)#ipv6 unicast-routing
如果沒有該命令,設備將充當主機。 換句話說,透過上述指令,可以使用額外的ipv6功能,包括發布ipv6位址、設定路由等。
b. 在交換器 SW100、SW1、SW2 上 VLAN 3 (MNG) 中的虛擬介面上,啟用 IPv6 自動設定模式
從 L3 拓撲中可以清楚地看出,交換器連接到 VLAN 100。這意味著需要在交換器上建立虛擬接口,然後才指派它們預設接收 IPv6 位址。 初始配置已精確完成,以便交換器可以從 RTR1 接收預設位址。 您可以使用以下適用於所有三種交換器的命令清單來完成此任務:
// Создание виртуального интерфейса
SW1(config)#interface vlan 100
SW1(config-if)#ipv6 enable
// Получение ipv6 адреса автоматически
SW1(config-if)#ipv6 address autoconfig
SW1(config-if)#exit
您可以使用相同的命令檢查所有內容 show ipv6 interface brief:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::A8BB:CCFF:FE80:C000 // link-local адрес
2001:100::A8BB:CCFF:FE80:C000 // полученный IPv6-адрес
除了連結本地位址之外,還出現了從 RTR6 接收的 ipv1 位址。 此任務已成功完成,必須在其餘交換器上寫入相同的命令。
和。 在所有設備(PC1 和 WEB 除外)上手動分配鏈路本地位址
6 位元 IPvXNUMX 位址對於管理員來說毫無樂趣,因此可以手動更改本地鏈路,將其長度減少到最小值。 分配沒有說明要選擇哪些位址,因此這裡提供了自由選擇。
例如,在交換器 SW1 上,您需要設定連結本地位址 fe80::10。 這可以在所選介面的設定模式下使用以下命令來完成:
// Вход в виртуальный интерфейс vlan 100
SW1(config)#interface vlan 100
// Ручная установка link-local адреса
SW1(config-if)#ipv6 address fe80::10 link-local
SW1(config-if)#exit
現在尋址看起來更有吸引力:
SW1#show ipv6 interface brief
...
Vlan100 [up/up]
FE80::10 //link-local адреc
2001:100::10 //IPv6-адрес
除了連結本地位址之外,接收到的 IPv6 位址也發生了變化,因為該位址是基於連結本地位址發布的。
在交換器 SW1 上,只需在一個介面上設定一個連結本地位址。 對於RTR1路由器,您需要進行更多設定 - 您需要在環回上的兩個子介面上設定link-local,並且在後續設定中,隧道100介面也會出現。
為了避免不必要的命令寫入,您可以同時在所有介面上設定相同的連結本機位址。 您可以使用關鍵字來做到這一點 range 接下來列出所有介面:
// Переход к настройке нескольких интерфейсов
RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100
// Ручная установка link-local адреса
RTR1(config-if)#ipv6 address fe80::1 link-local
RTR1(config-if)#exit
檢查介面時,您將看到所有選定介面上的連結本機位址已變更:
RTR1#show ipv6 interface brief
gigabitEthernet 0/1.100 [up/up]
FE80::1
2001:100::1
gigabitEthernet 0/1.300 [up/up]
FE80::1
2001:300::2
Loopback100 [up/up]
FE80::1
2001:A:B::1
所有其他設備都以類似的方式配置
d. 在所有交換器上,停用作業中未使用的所有連接埠並轉移到 VLAN 99
基本概念與使用指令選擇多個介面進行設定的方式相同 range,然後你應該寫指令轉移到所需的vlan,然後關閉介面。 例如,根據 L1 拓撲,交換器 SW1 將停用連接埠 f0/3-4、f0/7-8、f0/11-24 和 g0/2。 對於本範例,設定如下:
// Выбор всех неиспользуемых портов
SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2
// Установка режима access на интерфейсах
SW1(config-if-range)#switchport mode access
// Перевод в VLAN 99 интерфейсов
SW1(config-if-range)#switchport access vlan 99
// Выключение интерфейсов
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
當使用已知命令檢查設定時,值得注意的是所有未使用的連接埠必須具有狀態 行政下調,表示該連接埠已停用:
SW1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/3 unassigned YES unset administratively down down
要查看連接埠屬於哪個vlan,可以使用另一個指令:
SW1#show ip vlan
...
99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/2
...
所有未使用的介面都應該在這裡。 值得注意的是,如果沒有建立這樣的vlan,則無法將介面轉移到vlan。 正是出於此目的,在初始設定中創建了操作所需的所有 VLAN。
e. 在交換器SW1上,如果1秒內兩次錯誤輸入密碼,則啟用鎖定30分鐘
您可以使用以下命令來執行此操作:
// Блокировка на 60с; Попытки: 2; В течение: 30с
SW1#login block-for 60 attempts 2 within 30
您也可以如下檢查這些設定:
SW1#show login
...
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
...
其中明確說明,在 30 秒或更短時間內兩次嘗試失敗後,登入能力將被阻止 60 秒。
2. 所有設備必須可透過 SSH 版本 2 進行管理
為了透過 SSH 版本 2 存取設備,需要先配置設備,因此出於資訊目的,我們將首先使用出廠設定配置設備。
您可以如下變更穿刺版本:
// Установить версию SSH версии 2
Router(config)#ip ssh version 2
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router(config)#
系統會要求您建立 RSA 金鑰以使 SSH 版本 2 正常運作。根據智慧型系統的建議,您可以使用下列命令建立 RSA 金鑰:
// Создание RSA ключей
Router(config)#crypto key generate rsa
% Please define a hostname other than Router.
Router(config)#
由於主機名稱尚未更改,系統不允許執行該命令。 更改主機名稱後,需要重新編寫密鑰產生命令:
Router(config)#hostname R1
R1(config)#crypto key generate rsa
% Please define a domain-name first.
R1(config)#
現在由於缺少域名,系統不允許您建立 RSA 金鑰。 安裝網域後,就可以建立 RSA 金鑰。 RSA 金鑰的長度必須至少為 768 位元才能使 SSH 版本 2 正常運作:
R1(config)#ip domain-name wsrvuz19.ru
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
因此,事實證明,要使 SSHv2 正常工作,有必要:
- 更改主機名稱;
- 更改域名;
- 產生 RSA 金鑰。
上一篇文章介紹如何更改所有裝置上的主機名稱和域名,因此在繼續配置目前裝置的同時,您只需要產生 RSA 金鑰:
RTR1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH 版本 2 已激活,但設備尚未完全配置。 最後一步是設定虛擬控制台:
// Переход к настройке виртуальных консолей
R1(config)#line vty 0 4
// Разрешение удаленного подключения только по протоколу SSH
RTR1(config-line)#transport input ssh
RTR1(config-line)#exit
上一篇文章配置了AAA模型,使用本機資料庫在虛擬控制台上設定驗證,使用者驗證後必須立即進入特權模式。 SSH 功能最簡單的測試是嘗試連接到您自己的裝置。 RTR1 有一個 IP 位址為 1.1.1.1 的環回,您可以嘗試連線到該位址:
//Подключение по ssh
RTR1(config)#do ssh -l wsrvuz19 1.1.1.1
Password:
RTR1#
鑰匙之後 -l 輸入現有使用者的登入名,然後輸入密碼。 認證後,使用者立即切換到特權模式,這表示SSH配置正確。
來源: www.habr.com