Die WorldSkills-Bewegung soll den Teilnehmern hauptsächlich praktische Fähigkeiten vermitteln, die auf dem modernen Arbeitsmarkt gefragt sind. Die Kompetenz „Netzwerk- und Systemadministration“ besteht aus drei Modulen: Netzwerk, Windows, Linux. Die Aufgaben variieren von Meisterschaft zu Meisterschaft, die Bedingungen für das Verhalten ändern sich, aber die Struktur der Aufgaben bleibt größtenteils unverändert.
Die Netzwerkinsel wird aufgrund ihrer Einfachheit in Bezug auf die Linux- und Windows-Inseln die erste sein.
Die folgenden Aufgaben werden im Artikel behandelt:
- Benennen Sie ALLE Geräte entsprechend der Topologie
- Weisen Sie den Domänennamen wsrvuz19.ru für ALLE Geräte zu
- Erstellen Sie den Benutzer wsrvuz19 mit ALLEM Cisco-Kennwort auf ALLEN Geräten
- Das Benutzerkennwort muss aufgrund der Hash-Funktion in der Konfiguration gespeichert werden.
- Der Benutzer muss über die maximale Berechtigungsstufe verfügen.
- Implementieren Sie für ALLE Geräte das AAA-Modell.
- Die Authentifizierung auf der Remote-Konsole muss über die lokale Datenbank erfolgen (außer RTR1 und RTR2).
- Nach erfolgreicher Authentifizierung muss der Benutzer beim Anmelden von der Remote-Konsole sofort in den Modus mit der maximalen Berechtigungsstufe wechseln.
- Konfigurieren Sie die Notwendigkeit der Authentifizierung auf der lokalen Konsole.
- Nach erfolgreicher Authentifizierung auf der lokalen Konsole muss der Benutzer den Modus mit der Mindestberechtigungsstufe aufrufen.
- Bei BR1 muss der Benutzer nach erfolgreicher Authentifizierung auf der lokalen Konsole in den Modus mit der maximalen Berechtigungsstufe wechseln
- Stellen Sie auf ALLEN Geräten das wsr-Kennwort so ein, dass der privilegierte Modus aktiviert wird.
- Das Passwort muss in der Konfiguration NICHT aufgrund der Hash-Funktion gespeichert werden.
- Legen Sie den Modus fest, in dem alle Kennwörter in der Konfiguration verschlüsselt gespeichert werden.
Die Netzwerktopologie auf physikalischer Ebene ist in der folgenden Abbildung dargestellt:
Wenn Informationen im Videoformat leichter zu erkennen sind, finden Sie die gesamte Lösung für diese Aufgaben im folgenden Video:
1. Legen Sie die Namen ALLER Geräte entsprechend der Topologie fest
Um den Gerätenamen (Hostname) festzulegen, muss der
hostname SW1 Befehl
hostname SW1 aus dem globalen Konfigurationsmodus eingegeben werden, wobei anstelle von
SW1 der Name des in den Aufgaben angegebenen Geräts geschrieben werden muss.
Sie können die Einstellungen sogar visuell überprüfen - anstelle des voreingestellten
Schalters wurde
SW1 :
Switch(config)# hostname SW1 SW1(config)#
Die Hauptaufgabe nach dem Vornehmen von Einstellungen besteht darin, die Konfiguration zu speichern.
Sie können dies im globalen Konfigurationsmodus mit dem Befehl
do write :
SW1(config)# do write Building configuration... Compressed configuration from 2142 bytes to 1161 bytes[OK]
Oder aus dem privilegierten Modus mit dem
write :
SW1# write Building configuration... Compressed configuration from 2142 bytes to 1161 bytes[OK]
2. Weisen Sie den Domänennamen wsrvuz19.ru für ALLE Geräte zu
Sie können den Standarddomänennamen wsrvuz19.ru im globalen Konfigurationsmodus mit dem
ip domain-name wsrvuz19.ru .
Die Überprüfung erfolgt mit dem Befehl do show hosts summary aus dem globalen Konfigurationsmodus:
SW1(config)# ip domain-name wsrvuz19.ru SW1(config)# do show hosts summary Name lookup view: Global Default domain is wsrvuz19.ru ...
3. Erstellen Sie auf ALLEN Geräten einen wsrvuz19-Benutzer mit dem Cisco-Kennwort
Es ist erforderlich, einen solchen Benutzer so zu erstellen, dass er über die maximale Berechtigungsstufe verfügt und das Kennwort als Hash-Funktion gespeichert wird. Alle diese Bedingungen werden durch den
username wsrvuz19 privilege 15 secret cisco Befehl
username wsrvuz19 privilege 15 secret cisco berücksichtigt.
Hier:
username wsrvuz19 - Benutzername;
privilege 15 - Privilegienstufe (0 - Mindeststufe, 15 - Höchststufe);
secret cisco - Speichern eines Passworts in Form einer MD5-Hash-Funktion.
Mit dem Befehl show
running-config können Sie die Einstellungen der aktuellen Konfiguration überprüfen. Dort finden Sie die Zeile mit dem hinzugefügten Benutzer und stellen sicher, dass das Kennwort in verschlüsselter Form gespeichert ist:
SW1(config)# username wsrvuz19 privilege 15 secret cisco SW1(config)# do show running-config ... username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4. ...
4. Implementieren Sie für ALLE Geräte das AAA-Modell
Das AAA-Modell ist ein Authentifizierungs-, Autorisierungs- und Ereignisabrechnungssystem. Um diese Aufgabe abzuschließen, müssen Sie zunächst das AAA-Modell aktivieren und angeben, dass die Authentifizierung mithilfe der lokalen Datenbank durchgeführt wird:
SW1(config)# aaa new-model SW1(config)# aaa authentication login default local
a. Die Authentifizierung auf der Remote-Konsole muss über die lokale Datenbank erfolgen (außer RTR1 und RTR2).
Die Aufgaben definieren zwei Arten von Konsolen: lokal und remote. Über die Remote-Konsole können Sie Remote-Verbindungen beispielsweise über die Protokolle SSH oder Telnet implementieren.
Um diese Aufgabe abzuschließen, müssen Sie die folgenden Befehle eingeben:
SW1(config)# line vty 0 4 SW1(config-line)# login authentication default SW1(config-line)# exit SW1(config)#
Der Befehl
line vty 0 4 mit der Konfiguration der virtuellen Terminalleitungen von 0 bis 4 fort.
Der
login authentication default die
login authentication default den
login authentication default auf der virtuellen Konsole, und der Standardmodus wurde in der vorherigen Aufgabe mit dem
aaa authentication login default local bei der
aaa authentication login default local .
Verwenden Sie den
exit , um den Konfigurationsmodus der Remote-Konsole zu beenden.
Ein zuverlässiger Test ist eine Telnet-Testverbindung von einem Gerät zum anderen. Es ist zu beachten, dass hierfür die Grundvermittlung und IP-Adressierung des ausgewählten Geräts konfiguriert werden muss.
SW3#telnet 2001:100::10 User Access Verification Username: wsrvuz19 Password: SW1>
b. Nach erfolgreicher Authentifizierung muss der Benutzer beim Anmelden von der Remote-Konsole sofort in den Modus mit der maximalen Berechtigungsstufe wechseln
Um dieses Problem zu lösen, müssen Sie zur Konfiguration der virtuellen Terminalleitungen zurückkehren und die Berechtigungsstufe mit dem Befehl
privilege level 15 festlegen, wobei 15 wiederum die maximale Ebene und 0 die minimale Berechtigungsstufe ist:
SW1(config)# line vty 0 4 SW1(config-line)# privilege level 15 SW1(config-line)# exit SW1(config)#
Die Lösung aus dem letzten Unterabschnitt - Remote-Telnet-Verbindung dient als Überprüfung:
SW3#telnet 2001:100::10 User Access Verification Username: wsrvuz19 Password: SW1#
Nach der Authentifizierung wechselt der Benutzer sofort in den privilegierten Modus und umgeht den nicht privilegierten Modus. Dies bedeutet, dass die Aufgabe korrekt ausgeführt wird.
cd. Konfigurieren Sie die Anforderung auf der lokalen Konsole. Wenn die Authentifizierung erfolgreich ist, muss der Benutzer den Modus mit der Mindestberechtigungsstufe aufrufen
Die Struktur der Teams in diesen Aufgaben stimmt mit den zuvor gelösten Aufgaben 4.a und 4.b überein. Der Befehl
line vty 0 4 wird durch
console 0 :
SW1(config)# line console 0 SW1(config-line)# login authentication default SW1(config-line)# privilege level 0 SW1(config-line)# exit SW1(config)#
Wie bereits erwähnt, wird die Mindestberechtigungsstufe durch die Nummer 0 bestimmt. Die Prüfung kann wie folgt durchgeführt werden:
SW1# exit User Access Verification Username: wsrvuz19 Password: SW1>
Nach der Authentifizierung wechselt der Benutzer in den nicht privilegierten Modus, wie in den Aufgaben angegeben.
e. Bei BR1 muss der Benutzer nach erfolgreicher Authentifizierung auf der lokalen Konsole in den Modus mit der maximalen Berechtigungsstufe wechseln
Das Einrichten der lokalen Konsole auf BR1 sieht folgendermaßen aus:
BR1(config)# line console 0 BR1(config-line)# login authentication default BR1(config-line)# privilege level 15 BR1(config-line)# exit BR1(config)#
Die Überprüfung erfolgt auf die gleiche Weise wie im vorherigen Absatz:
BR1# exit User Access Verification Username: wsrvuz19 Password: BR1#
Nach der Authentifizierung treten Übergänge in den privilegierten Modus auf.
5. Stellen Sie auf ALLEN Geräten das wsr-Kennwort so ein, dass der privilegierte Modus aktiviert wird
Die Aufgaben besagen, dass das Kennwort für den privilegierten Modus standardmäßig in klarer Form gespeichert werden sollte, aber der Verschlüsselungsmodus aller Kennwörter ermöglicht es Ihnen nicht, das Kennwort in klarer Form anzuzeigen. Verwenden Sie den
enable password wsr um ein Kennwort für den privilegierten Modus
enable password wsr . Mit dem Schlüsselwort
password wird der Typ bestimmt, in dem das Passwort gespeichert wird. Wenn das Kennwort beim Erstellen des Benutzers verschlüsselt werden muss, war das Schlüsselwort
secret , und das
password für den offenen Speicher verwendet.
Sie können die Einstellungen überprüfen, indem Sie die aktuelle Konfiguration anzeigen:
SW1(config)# enable password wsr SW1(config)# do show running-config ... enable password wsr ! username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0 ...
Es ist ersichtlich, dass das Benutzerkennwort in verschlüsselter Form gespeichert ist und das Kennwort zum Aufrufen des privilegierten Modus im Klartext gespeichert ist, wie in den Aufgaben angegeben.
Verwenden Sie den Befehl
service password-encryption , damit alle Kennwörter verschlüsselt gespeichert werden. Das Anzeigen der aktuellen Konfiguration sieht nun folgendermaßen aus:
SW1(config)# do show running-config ... enable password 7 03134819 ! username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0 ...
Das Passwort kann nicht mehr im Klartext angezeigt werden.