Continuamos analizando las tareas del módulo de red del campeonato de WorldSkills en la competencia "Administración de redes y sistemas".

Las siguientes tareas serán consideradas en el artículo:

1. En TODOS los dispositivos, cree interfaces virtuales, subinterfaces e interfaces de bucle. Asigne direcciones IP de acuerdo con la topología.
   
   
   • Habilite el mecanismo SLAAC para emitir direcciones IPv6 en la red MNG en la interfaz del enrutador RTR1;
   • En las interfaces virtuales en VLAN 100 (MNG) en los conmutadores SW1, SW2, SW3, habilite el modo de configuración automática de IPv6;
   • En TODOS los dispositivos (excepto PC1 y WEB) asigne manualmente direcciones locales de enlace;
   • En TODOS los conmutadores, desactive TODOS los puertos que no se utilizan en el trabajo y transfiéralos a la VLAN 99;
   • En el interruptor SW1, habilite el bloqueo durante 1 minuto en caso de una doble entrada de contraseña incorrecta dentro de los 30 segundos;
2. Todos los dispositivos deben ser accesibles para el control SSH versión 2.

La topología de la red a nivel físico se presenta en el siguiente diagrama:



La topología de red en la capa de enlace de datos se presenta en el siguiente diagrama:



La topología de red a nivel de red se presenta en el siguiente diagrama:



Un ejemplo de resolución de todas las tareas se puede ver en formato de video.

La siguiente es una configuración preliminar de los conmutadores:


Configuración del direccionamiento IPv6, habilitando el mecanismo SLAAC:


Configuración de SSH versión 2:

Preestablecido

Antes de completar las tareas anteriores, debe configurar la conmutación básica en los conmutadores SW1-SW3, ya que será más conveniente verificar su configuración en el futuro. La configuración de cambio se describirá en detalle en el próximo artículo, pero por ahora solo se definirán las configuraciones.

El primer paso es crear vlan'y con los números 99, 100 y 300 en todos los conmutadores:

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

El siguiente paso es traducir la interfaz g0 / 1 a SW1 en el número de vlan 300:

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

Las interfaces f0 / 1-2, f0 / 5-6, que miran hacia otros interruptores, deben cambiarse al modo troncal:

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

En el interruptor SW2 en modo troncal habrá interfaces f0 / 1-4:

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

En el interruptor SW3 en modo troncal habrá interfaces f0 / 3-6, g0 / 1:

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

En esta etapa, la configuración del interruptor permitirá el intercambio de paquetes etiquetados, que serán necesarios para completar las tareas.

1. En TODOS los dispositivos, cree interfaces virtuales, subinterfaces e interfaces de bucle. Asigne direcciones IP de acuerdo con la topología.

El enrutador BR1 será el primero en configurar. De acuerdo con la topología L3, aquí debe configurar una interfaz de tipo bucle, es loopback, bajo el número 101:

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

Para verificar el estado de la interfaz creada, puede usar el comando show ipv6 interface brief :

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

Aquí puede ver que el loopback está activo, su estado es UP . Si mira a continuación, puede ver dos direcciones IPv6, aunque solo se usó un comando para establecer la dirección IPv6. El hecho es que FE80::2D0:97FF:FE94:5022 es la dirección local de enlace que se asigna cuando ipv6 está habilitado en la interfaz con el comando de ipv6 enable .

Y para ver la dirección IPv4, se usa un comando similar:

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

Para BR1, debe configurar inmediatamente la interfaz g0 / 0, aquí solo necesita configurar la dirección IPv6:

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

Puede verificar la configuración con el mismo comando show ipv6 interface brief :

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

A continuación, se configurará el enrutador ISP. Aquí, en el trabajo, se configurará el bucle de retorno con el número 0, pero además, es preferible configurar la interfaz g0 / 0 en la que debe estar la dirección 30.30.30.1, por la razón de que en tareas posteriores no se dirá nada sobre la configuración de estas interfaces. Primero, se configura el loopback con el número 0:

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

Con el comando show ipv6 interface brief , puede verificar que la show ipv6 interface brief la show ipv6 interface brief sea ​​correcta. Luego se configura la interfaz g0 / 0:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

A continuación, se configurará RTR1. Aquí también debe crear un loopback en el número 100:

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

También en RTR1 es necesario crear 2 subinterfaces virtuales para vlan'ov con los números 100 y 300. Puede hacer esto de la siguiente manera.

Primero, habilite la interfaz física g0 / 1 con el comando no shutdown:

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

Las subinterfaces con los números 100 y 300 se crean y configuran:

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

El número de subinterfaz puede diferir del número vlan'a en el que funcionará, pero por conveniencia es mejor usar el número de subinterfaz que coincida con el número vlan'a. En el caso de establecer el tipo de encapsulación al configurar la subinterfaz, especifique el número que coincida con el número de vlan'a. Entonces, después del encapsulation dot1Q 300 subinterfaz solo pasará paquetes de vlan'a con el número 300.

El final en esta asignación será el enrutador RTR2. La conexión entre SW1 y RTR2 debe estar en modo de acceso, la interfaz del conmutador solo pasará paquetes destinados a vlan'a número 300 hacia RTR2, esto se indica en la tarea en la topología L2. Por lo tanto, solo la interfaz física se configurará en RTR2 sin crear subinterfaces:

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

Luego se configura la interfaz g0 / 0:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Esto completa la configuración de las interfaces del enrutador para la tarea actual. Las interfaces restantes se configurarán tan pronto como se completen las siguientes tareas.

a. Habilite el mecanismo SLAAC para emitir direcciones IPv6 en la red MNG en la interfaz del enrutador RTR1

SLAAC está habilitado de forma predeterminada. Lo único que debe hacer es habilitar el enrutamiento IPv6. Puede hacer esto con el siguiente comando:

 RTR1(config-subif)#ipv6 unicast-routing 

Sin este comando, el equipo actúa como un host. En otras palabras, gracias al comando antes mencionado, es posible usar funciones ipv6 adicionales, incluida la emisión de direcciones ipv6, la configuración de enrutamiento y más.

b. En las interfaces virtuales en VLAN 100 (MNG) en los conmutadores SW1, SW2, SW3, habilite el modo de configuración automática de IPv6

Se puede ver en la topología L3 que los conmutadores están conectados a la red VLAN 100. Esto significa que debe crear interfaces virtuales en los conmutadores y solo luego configurarlos para recibir las direcciones IPv6 predeterminadas. La configuración inicial se realizó precisamente para que los conmutadores pudieran recibir direcciones predeterminadas de RTR1. Puede completar esta tarea con la siguiente lista de comandos adecuados para los tres conmutadores:

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

Puede verificar con el mismo comando show ipv6 interface brief :

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

Además de la dirección local de enlace, apareció una dirección ipv6 recibida de RTR1. Esta tarea se completó con éxito, y en los otros conmutadores es necesario escribir los mismos comandos.

s En TODOS los dispositivos (excepto PC1 y WEB) asigne manualmente direcciones locales de enlace

Las direcciones ipv6 de treinta dígitos no complacen a los administradores, por lo que puede cambiar manualmente el enlace local, reduciendo su longitud al valor mínimo. No se dice nada en las tareas sobre qué direcciones elegir, por lo tanto, aquí se proporciona la libre elección.

Por ejemplo, en el interruptor SW1, debe establecer la dirección local de enlace fe80 :: 10. Puede hacerlo con el siguiente comando desde el modo de configuración de la interfaz seleccionada:

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

Ahora abordar parece mucho más atractivo:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

Además de la dirección local de enlace, la dirección IPv6 recibida también ha cambiado, ya que la dirección se emite en función de la dirección local de enlace.

En el interruptor SW1, solo tenía que configurar la dirección local de enlace en una interfaz. Con el enrutador RTR1, debe realizar más configuraciones: debe establecer link-local en dos subinterfaces, en bucle invertido, y en la siguiente configuración, la interfaz del túnel 100 seguirá apareciendo.

Para evitar la escritura innecesaria de comandos, puede establecer la misma dirección local de enlace en todas las interfaces a la vez. Esto se puede hacer usando la palabra clave range seguida de una lista de todas las interfaces:

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

Al verificar las interfaces, será posible ver que las direcciones locales de enlace se han cambiado en todas las interfaces seleccionadas:

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

Todos los demás dispositivos están configurados de la misma manera.

d. En TODOS los conmutadores, desactive TODOS los puertos que no se utilizan en el trabajo y transfiéralos a la VLAN 99

La idea principal es la misma manera de seleccionar varias interfaces para la configuración utilizando el comando de range , y solo entonces debe escribir el comando de transferencia en el vlan deseado y luego apagar las interfaces. Por ejemplo, en el interruptor SW1, de acuerdo con la topología de L1, los puertos f0 / 3-4, f0 / 7-8, f0 / 11-24 y g0 / 2 se desactivarán. Para este ejemplo, la configuración será la siguiente:

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

Al verificar la configuración con un comando ya conocido, vale la pena prestar atención a que todos los puertos no utilizados deben tener un estado administrativamente inactivo , notificando que el puerto está apagado:

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

Para ver en qué vlan se encuentra el puerto, puede usar otro comando:

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

Todas las interfaces no utilizadas deben estar aquí. Vale la pena señalar que no será posible transferir interfaces a vlan si tal vlan no se crea. Para este propósito en la configuración inicial se crearon todas las vlan'y necesarias para el trabajo.

e. En el interruptor SW1, habilite el bloqueo durante 1 minuto en caso de una doble entrada de contraseña incorrecta dentro de los 30 segundos

Puede hacer esto con el siguiente comando:

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

También puede verificar esta configuración de la siguiente manera:

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

Donde se explica de manera inteligible que después de dos intentos fallidos en 30 segundos o menos, el inicio de sesión se bloqueará durante 60 segundos.

2. Todos los dispositivos deben ser accesibles para la administración del protocolo SSH versión 2.

Para que los dispositivos estén disponibles a través de SSH versión 2, primero debe configurar el equipo, por lo que, para fines informativos, primero se configurará el equipo con la configuración de fábrica.

Puede cambiar la versión de punción de la siguiente manera:

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

El sistema solicita crear claves RSA para la salud de SSH versión 2. Siguiendo los consejos de un sistema inteligente, puede crear claves RSA con el siguiente comando:

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

El sistema no permite que se ejecute el comando porque no se ha cambiado el nombre de host. Después de cambiar el nombre de host, debe volver a escribir el comando de generación de claves:

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

Ahora el sistema no permite crear claves RSA, debido a la falta de un nombre de dominio. Y después de instalar el nombre de dominio, será posible crear claves RSA. Las claves RSA deben tener al menos 768 bits de longitud para que funcione la versión 2 de SSH:

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

Como resultado, resulta que para que SSHv2 funcione, necesita:

1. Cambiar nombre de host;
2. Cambiar nombre de dominio;
3. Generar claves RSA.

En el último artículo, se dieron las configuraciones para cambiar el nombre de host y el nombre de dominio en todos los dispositivos, por lo tanto, al continuar configurando los dispositivos actuales, solo necesita generar claves RSA:

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

La versión 2 de SSH está activa, pero el dispositivo aún no está completamente configurado. El último paso será configurar las consolas virtuales:

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

En el último artículo, se configuró el modelo AAA, donde la autenticación se configuró en consolas virtuales utilizando una base de datos local, y el usuario tuvo que ingresar inmediatamente al modo privilegiado después de la autenticación. La comprobación de estado SSH más simple es intentar conectarse a su propio hardware. En RTR1 hay un loopback con la dirección IP 1.1.1.1, puede intentar conectarse a esta dirección:

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

Después del -l , se ingresa el nombre de usuario del usuario existente y luego la contraseña. Después de la autenticación, cambia inmediatamente al modo privilegiado, lo que significa que SSH está configurado correctamente.