نستمر في تحليل مهام وحدة الشبكة لبطولة WorldSkills في كفاءة "إدارة الشبكات والنظام".

سيتم النظر في المهام التالية في المقال:

1. على جميع الأجهزة ، قم بإنشاء واجهات افتراضية ، واجهات فرعية ، وواجهات حلقة. تعيين عناوين IP وفقا لطوبولوجيا.
   
   
   • تمكين آلية SLAAC لإصدار عناوين IPv6 في شبكة MNG على واجهة جهاز التوجيه RTR1 ؛
   • على الواجهات الافتراضية في VLAN 100 (MNG) على المحولات SW1 ، SW2 ، SW3 ، تمكين وضع التكوين التلقائي IPv6 ؛
   • على جميع الأجهزة (باستثناء PC1 و WEB) تعيين عناوين الارتباطات المحلية يدويًا ؛
   • على كافة مفاتيح التبديل ، قم بتعطيل كافة المنافذ غير المستخدمة في المهمة ونقلها إلى VLAN 99 ؛
   • على مفتاح SW1 ، قم بتمكين القفل لمدة دقيقة واحدة في حالة إدخال كلمة مرور غير صحيحة مزدوجة خلال 30 ثانية ؛
2. يجب أن تكون جميع الأجهزة قابلة للوصول لعنصر تحكم الإصدار 2 من SSH.

يتم تقديم طوبولوجيا الشبكة على المستوى المادي في المخطط التالي:



يتم تقديم طبولوجيا الشبكة في طبقة ارتباط البيانات في الرسم التخطيطي التالي:



يتم تقديم طوبولوجيا الشبكة على مستوى الشبكة في المخطط التالي:



يمكن عرض مثال لحل جميع المهام بتنسيق الفيديو.

فيما يلي تكوين أولي للمفاتيح:


تكوين عنونة IPv6 ، وتمكين آلية SLAAC:


تكوين SSH الإصدار 2:

مسبقا

قبل إكمال المهام المذكورة أعلاه ، يجدر إعداد التبديل الأساسي على مفاتيح SW1-SW3 ، حيث سيكون أكثر ملاءمة للتحقق من إعداداتها في المستقبل. سيتم وصف تكوين التبديل بالتفصيل في المقالة التالية ، ولكن الآن سيتم تحديد الإعدادات فقط.

الخطوة الأولى هي إنشاء شبكة محلية ظاهرية بالأرقام 99 و 100 و 300 على جميع المحولات:

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

الخطوة التالية هي ترجمة واجهة g0 / 1 إلى SW1 في رقم شبكة محلية ظاهرية 300:

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

يجب تبديل واجهات f0 / 1-2 ، f0 / 5-6 ، التي تتطلع إلى رموز التبديل الأخرى ، إلى وضع الجذع:

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

عند التبديل SW2 في وضع الجذع ، سيكون هناك واجهات f0 / 1-4:

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

على مفتاح SW3 في وضع الصندوق ، ستكون هناك واجهات f0 / 3-6 ، g0 / 1:

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

في هذه المرحلة ، سوف تسمح إعدادات التبديل بتبديل الحزم المعلمة ، والتي ستكون مطلوبة لإكمال المهام.

1. على جميع الأجهزة ، قم بإنشاء واجهات افتراضية ، واجهات فرعية ، وواجهات حلقة. تعيين عناوين IP وفقا لطوبولوجيا.

سيكون جهاز توجيه BR1 أول من يتم تكوينه. وفقًا لطوبولوجيا L3 ، هنا تحتاج إلى تكوين واجهة نوع حلقة ، فهي عبارة عن نسخة احتياطية ، تحت الرقم 101:

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

للتحقق من حالة الواجهة التي تم إنشاؤها ، يمكنك استخدام الأمر show ipv6 interface brief :

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

هنا يمكنك رؤية أن الاسترجاع نشط وحالته UP . إذا نظرت أدناه ، يمكنك رؤية عنوانين IPv6 ، على الرغم من أنه تم استخدام أمر واحد فقط لتعيين عنوان IPv6. الحقيقة هي أن FE80::2D0:97FF:FE94:5022 هو عنوان الارتباط المحلي الذي تم تعيينه عند تمكين ipv6 على الواجهة باستخدام أمر ipv6 enable .

ولعرض عنوان IPv4 ، يتم استخدام أمر مشابه:

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

بالنسبة إلى BR1 ، يجب عليك تهيئة واجهة g0 / 0 على الفور ، وهنا تحتاج فقط إلى تعيين عنوان IPv6:

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

يمكنك التحقق من الإعدادات بنفس الأمر show ipv6 interface brief :

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

بعد ذلك ، سيتم تكوين جهاز توجيه مزود خدمة الإنترنت. هنا ، على الوظيفة ، سيتم تكوين الاسترجاع بالرقم 0 ، لكن بالإضافة إلى ذلك ، من الأفضل تهيئة واجهة g0 / 0 التي يجب أن يكون العنوان 30.30.30.1 فيها ، لسبب أنه لن يتم قول شيء في المهام اللاحقة حول تكوين هذه الواجهات. أولاً ، يتم تكوين الاسترجاع بالرقم 0:

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

باستخدام الأمر show ipv6 interface brief ، يمكنك التحقق من صحة show ipv6 interface brief . ثم يتم تكوين واجهة g0 / 0:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

بعد ذلك ، سيتم تكوين RTR1. هنا تحتاج أيضًا إلى إنشاء استرجاع بالرقم 100:

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

أيضًا على RTR1 ، من الضروري إنشاء واجهات فرعية افتراضية لـ vlan'ov برقمين 100 و 300. يمكنك القيام بذلك على النحو التالي.

أولاً ، قم بتمكين الواجهة الفعلية g0 / 1 باستخدام أمر no shutdown:

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

ثم يتم إنشاء واجهات فرعية برقمين 100 و 300 وتكوينها:

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

قد يختلف رقم الواجهة البينية عن رقم الشبكة المحلية التي سيعمل بها ، ولكن من أجل الراحة ، من الأفضل استخدام رقم الواجهة البينية الذي يطابق رقم الشبكة المحلية الظاهرية. في حالة تعيين نوع التغليف عند إعداد الواجهة الفرعية ، حدد الرقم الذي يطابق عدد vlan'a. وبالتالي ، بعد encapsulation dot1Q 300 سوف تمر الواجهة الفرعية فقط بحزم vlan'a برقم 300.

سيكون النهائي في هذه المهمة هو جهاز التوجيه RTR2. يجب أن يكون الاتصال بين SW1 و RTR2 في وضع الوصول ، فتمرير واجهة التبديل فقط الحزم الموجهة إلى رقم vlan'a 300 نحو RTR2 ، وهذا مذكور في المهمة على طبولوجيا L2. لذلك ، سيتم تكوين الواجهة الفعلية فقط على RTR2 دون إنشاء واجهات فرعية:

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

ثم يتم تكوين واجهة g0 / 0:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

هذا يكمل تكوين واجهات جهاز التوجيه للمهمة الحالية. سيتم تكوين واجهات المتبقية بمجرد الانتهاء من المهام التالية.

أ. تمكين آلية SLAAC لإصدار عناوين IPv6 في شبكة MNG على واجهة جهاز التوجيه RTR1

يتم تمكين SLAAC افتراضيًا. الشيء الوحيد الذي يجب فعله هو تمكين توجيه IPv6. يمكنك القيام بذلك باستخدام الأمر التالي:

 RTR1(config-subif)#ipv6 unicast-routing 

بدون هذا الأمر ، تعمل المعدات كمضيف. بمعنى آخر ، بفضل الأمر المذكور أعلاه ، أصبح من الممكن استخدام وظائف ipv6 إضافية ، بما في ذلك إصدار عناوين ipv6 ، وتكوين التوجيه ، وأكثر من ذلك.

ب. على الواجهات الافتراضية في VLAN 100 (MNG) على المحولات SW1 و SW2 و SW3 ، قم بتمكين وضع التكوين التلقائي لـ IPv6

يمكن أن يرى من طوبولوجيا L3 أن المحولات متصلة بشبكة VLAN 100. هذا يعني أنك تحتاج إلى إنشاء واجهات افتراضية على المحولات ، ثم يتم تعيينها فقط لتلقي عناوين IPv6 الافتراضية. تم التكوين الأولي بدقة حتى تتمكن المحولات من استقبال العناوين الافتراضية من RTR1. يمكنك إكمال هذه المهمة بقائمة الأوامر التالية المناسبة لجميع رموز التبديل الثلاثة:

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

يمكنك التحقق من نفس الأمر show ipv6 interface brief :

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

بالإضافة إلى عنوان الرابط المحلي ، ظهر عنوان ipv6 الذي تم استلامه من RTR1. تم إكمال هذه المهمة بنجاح ، ومن الضروري على مفاتيح أخرى كتابة نفس الأوامر.

أ. على جميع الأجهزة (باستثناء PC1 و WEB) ، قم بتعيين عناوين الارتباط المحلية يدويًا

لا ترضي عناوين IPv6 المكونة من 30 رقمًا المسؤولين ، بحيث يمكنك تغيير الارتباط المحلي يدويًا ، مما يقلل طوله إلى الحد الأدنى للقيمة. لا يوجد ما يقال في الواجبات حول العناوين التي يجب اختيارها ، لذلك يتم توفير الاختيار المجاني هنا.

على سبيل المثال ، عند التبديل SW1 ، يجب عليك تعيين عنوان الرابط المحلي fe80 :: 10. يمكنك القيام بذلك باستخدام الأمر التالي من وضع التكوين الخاص بالواجهة المحددة:

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

يبدو الآن عنونة أكثر جاذبية:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

بالإضافة إلى عنوان الرابط المحلي ، تم تغيير عنوان IPv6 المستلم أيضًا ، حيث يتم إصدار العنوان بناءً على عنوان الرابط المحلي.

عند التبديل SW1 ، كان عليك فقط تعيين عنوان الرابط المحلي على واجهة واحدة. مع جهاز التوجيه RTR1 ، تحتاج إلى إجراء المزيد من الإعدادات - تحتاج إلى تعيين الارتباط المحلي على واجهات فرعية ، على الاسترجاع ، وفي الإعدادات التالية ستظل واجهة النفق 100 تظهر.

لتجنب كتابة الأوامر غير الضرورية ، يمكنك تعيين نفس عنوان الارتباط المحلي على جميع الواجهات في وقت واحد. يمكن القيام بذلك باستخدام الكلمة الأساسية range متبوعة بقائمة بجميع الواجهات:

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

عند التحقق من الواجهات ، سيكون من الممكن رؤية أنه تم تغيير عناوين الارتباط المحلية على جميع الواجهات المحددة:

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

يتم تكوين جميع الأجهزة الأخرى بنفس الطريقة.

د. في كافة مفاتيح التبديل ، قم بتعطيل كافة المنافذ غير المستخدمة في المهمة ونقلها إلى VLAN 99

الفكرة الرئيسية هي بنفس الطريقة لتحديد عدة واجهات للتكوين باستخدام الأمر range ، وعندها فقط يجب عليك كتابة أمر النقل إلى الشبكة المحلية المرغوبة ثم إيقاف تشغيل الواجهات. على سبيل المثال ، عند التبديل SW1 ، وفقًا لطوبولوجيا L1 ، سيتم إيقاف تشغيل المنافذ f0 / 3-4 و f0 / 7-8 و f0 / 11-24 و g0 / 2. في هذا المثال ، سيكون الإعداد كما يلي:

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

عند التحقق من الإعدادات باستخدام أمر معروف بالفعل ، يجدر الانتباه إلى أن جميع المنافذ غير المستخدمة يجب أن يكون لها حالة إدارية ، مع العلم أن المنفذ قيد إيقاف التشغيل:

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

لمعرفة أي شبكة محلية ظاهرية في المنفذ ، يمكنك استخدام أمر آخر:

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

يجب أن تكون جميع الواجهات غير المستخدمة هنا. تجدر الإشارة إلى أنه لن يكون من الممكن ترجمة الواجهات إلى شبكة محلية ظاهرية إذا لم يتم إنشاء شبكة محلية ظاهرية. لهذا الغرض في الإعداد الأولي تم إنشاء جميع vlan'y اللازمة للعمل.

ه. على مفتاح SW1 ، قم بتمكين القفل لمدة دقيقة واحدة في حالة إدخال كلمة مرور غير صحيحة مزدوجة خلال 30 ثانية

يمكنك القيام بذلك باستخدام الأمر التالي:

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

يمكنك أيضًا التحقق من هذه الإعدادات على النحو التالي:

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

عندما يتم توضيح ذلك بوضوح ، بعد محاولتين فاشلتين في غضون 30 ثانية أو أقل ، سيتم حظر تسجيل الدخول لمدة 60 ثانية.

2. يجب أن تكون جميع الأجهزة قابلة للوصول لإدارة بروتوكول SSH الإصدار 2.

من أجل أن تكون الأجهزة متاحة عبر SSH الإصدار 2 ، يجب عليك أولاً تكوين الجهاز ، لذلك لأغراض إعلامية ، سيتم تكوين الجهاز مع إعدادات المصنع أولاً.

يمكنك تغيير نسخة البزل كما يلي:

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

يطلب النظام إنشاء مفاتيح RSA للحفاظ على سلامة إصدار SSH 2. بعد نصيحة النظام الذكي ، يمكنك إنشاء مفاتيح RSA باستخدام الأمر التالي:

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

لا يسمح النظام بتنفيذ الأمر لأنه لم يتم تغيير اسم المضيف. بعد تغيير اسم المضيف ، تحتاج إلى كتابة أمر إنشاء المفتاح مرة أخرى:

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

الآن لا يسمح النظام بإنشاء مفاتيح RSA ، بسبب عدم وجود اسم مجال. وبعد تثبيت اسم المجال ، سيكون من الممكن إنشاء مفاتيح RSA. يجب أن يكون طول مفاتيح RSA 768 بت على الأقل حتى يعمل الإصدار 2 من SSH:

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

نتيجة لذلك ، اتضح أنه لكي يعمل SSHv2 ، فأنت تحتاج إلى:

1. تغيير اسم المضيف ؛
2. تغيير اسم المجال ؛
3. توليد مفاتيح RSA.

في المقالة الأخيرة ، تم تقديم إعدادات تغيير اسم المضيف واسم المجال على جميع الأجهزة ، وبالتالي ، لمواصلة تكوين الأجهزة الحالية ، ما عليك سوى إنشاء مفاتيح RSA:

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

SSH الإصدار 2 نشط ، ولكن الجهاز لم يتم تكوينه بالكامل. ستكون الخطوة الأخيرة هي تكوين لوحات المفاتيح الافتراضية:

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

في المقالة الأخيرة ، تم تكوين نموذج AAA ، حيث تم تعيين المصادقة على وحدات تحكم افتراضية باستخدام قاعدة بيانات محلية ، وكان على المستخدم إدخال الوضع المميز فورًا بعد المصادقة. يحاول أبسط فحص صحة SSH الاتصال بالأجهزة الخاصة بك. على RTR1 يوجد استرجاع بعنوان IP 1.1.1.1 ، يمكنك محاولة الاتصال بهذا العنوان:

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

بعد رمز التبديل -l ، يتم إدخال اسم المستخدم للمستخدم الحالي ، ثم كلمة المرور. بعد المصادقة ، ينتقل على الفور إلى الوضع المميز ، مما يعني أن SSH قد تم تكوينه بشكل صحيح.