Wir analysieren weiterhin die Aufgaben des Netzwerkmoduls der WorldSkills-Meisterschaft in der Kompetenz „Netzwerk- und Systemadministration“.

Die folgenden Aufgaben werden im Artikel behandelt:

1. Erstellen Sie auf ALLEN Geräten virtuelle Schnittstellen, Subschnittstellen und Schleifenschnittstellen. Weisen Sie IP-Adressen entsprechend der Topologie zu.
   
   
   • Aktivieren Sie den SLAAC-Mechanismus für die Ausgabe von IPv6-Adressen im MNG-Netzwerk auf der RTR1-Router-Schnittstelle.
   • Auf virtuellen Schnittstellen in VLAN 100 (MNG) auf den Switches SW1, SW2, SW3 wird der automatische IPv6-Konfigurationsmodus aktiviert.
   • Auf ALLEN Geräten (außer PC1 und WEB) werden verbindungslokale Adressen manuell zugewiesen.
   • Deaktivieren Sie auf ALLEN Switches ALLE Ports, die nicht im Job verwendet werden, und übertragen Sie sie in VLAN 99.
   • Aktivieren Sie am SW1-Schalter die Sperre für 1 Minute, falls innerhalb von 30 Sekunden eine doppelte falsche Passworteingabe erfolgt.
2. Alle Geräte müssen für die Steuerung von SSH Version 2 zugänglich sein.

Die Netzwerktopologie auf physikalischer Ebene ist in der folgenden Abbildung dargestellt:



Die Netzwerktopologie auf der Datenverbindungsschicht ist in der folgenden Abbildung dargestellt:



Die Netzwerktopologie auf Netzwerkebene ist in der folgenden Abbildung dargestellt:



Ein Beispiel für die Lösung aller Aufgaben kann im Videoformat angezeigt werden.

Das Folgende ist eine vorläufige Konfiguration der Schalter:


Konfigurieren der IPv6-Adressierung, Aktivieren des SLAAC-Mechanismus:


Konfigurieren von SSH Version 2:

Voreinstellung

Bevor Sie die oben genannten Aufgaben ausführen, sollten Sie die Grundschaltung der SW1-SW3-Schalter einrichten, da es in Zukunft bequemer sein wird, deren Einstellungen zu überprüfen. Die Switching-Konfiguration wird im nächsten Artikel ausführlich beschrieben, es werden jedoch vorerst nur Einstellungen definiert.

Der erste Schritt besteht darin, vlan'y mit den Nummern 99, 100 und 300 auf allen Switches zu erstellen:

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

Der nächste Schritt besteht darin, die g0 / 1-Schnittstelle in vlan Nummer 300 in SW1 zu übersetzen:

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

Die Schnittstellen f0 / 1-2, f0 / 5-6, die auf andere Switches gerichtet sind, sollten in den Trunk-Modus geschaltet werden:

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

Auf dem Schalter SW2 im Amtsleitungsmodus gibt es f0 / 1-4-Schnittstellen:

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

Auf dem SW3-Switch im Trunk-Modus befinden sich die Schnittstellen f0 / 3-6, g0 / 1:

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

Zu diesem Zeitpunkt ermöglichen die Switch-Einstellungen den Austausch von markierten Paketen, die zur Ausführung der Aufgaben erforderlich sind.

1. Erstellen Sie auf ALLEN Geräten virtuelle Schnittstellen, Subschnittstellen und Schleifenschnittstellen. Weisen Sie IP-Adressen entsprechend der Topologie zu.

Der BR1-Router wird als erster konfiguriert. Gemäß der L3-Topologie müssen Sie hier eine Schnittstelle vom Schleifentyp konfigurieren. Es handelt sich um einen Loopback unter der Nummer 101:

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

Um den Status der erstellten Schnittstelle zu überprüfen, können Sie den Befehl show ipv6 interface brief :

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

Hier können Sie sehen, dass Loopback aktiv ist, sein Status ist UP . Wenn Sie unten nachsehen, sehen Sie zwei IPv6-Adressen, obwohl nur ein Befehl zum Festlegen der IPv6-Adresse verwendet wurde. Tatsache ist, dass FE80::2D0:97FF:FE94:5022 die FE80::2D0:97FF:FE94:5022 Adresse ist, die zugewiesen wird, wenn ipv6 auf der Schnittstelle mit dem Befehl ipv6 enable .

Zum Anzeigen der IPv4-Adresse wird ein ähnlicher Befehl verwendet:

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

Für BR1 sollten Sie sofort die g0 / 0-Schnittstelle konfigurieren. Hier müssen Sie nur die IPv6-Adresse festlegen:

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

Sie können die Einstellungen mit demselben Befehl show ipv6 interface brief überprüfen:

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

Als nächstes wird der ISP-Router konfiguriert. Hier wird im Job ein Loopback mit der Nummer 0 konfiguriert. Zusätzlich ist es jedoch vorzuziehen, die g0 / 0-Schnittstelle zu konfigurieren, auf der sich die Adresse 30.30.30.1 befinden soll, da in nachfolgenden Aufgaben nichts über die Konfiguration dieser Schnittstellen gesagt wird. Zunächst wird Loopback mit der Nummer 0 konfiguriert:

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

Mit dem Befehl show ipv6 interface brief können Sie überprüfen, ob die show ipv6 interface brief korrekt sind. Dann wird die g0 / 0-Schnittstelle konfiguriert:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Als nächstes wird RTR1 konfiguriert. Hier müssen Sie auch einen Loopback mit der Nummer 100 erstellen:

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

Auch auf RTR1 müssen 2 virtuelle Subschnittstellen für vlan'ov mit den Nummern 100 und 300 erstellt werden. Sie können dies wie folgt tun.

Aktivieren Sie zunächst die physische Schnittstelle g0 / 1 mit dem Befehl no shutdown:

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

Anschließend werden Subschnittstellen mit den Nummern 100 und 300 erstellt und konfiguriert:

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

Die Subschnittstellennummer kann von der VLAN'A-Nummer abweichen, in der sie funktioniert. Der Einfachheit halber ist es jedoch besser, die Subinterface-Nummer zu verwenden, die mit der VLAN'A-Nummer übereinstimmt. Geben Sie beim Festlegen des Kapselungstyps beim Einrichten der Subschnittstelle die Nummer an, die der Anzahl der vlan'a entspricht. Nach dem encapsulation dot1Q 300 die encapsulation dot1Q 300 nur Pakete von vlan'a mit der Nummer 300 weiter.

Das Finale in dieser Aufgabe ist der RTR2-Router. Die Verbindung zwischen SW1 und RTR2 sollte sich im Zugriffsmodus befinden. Die Switch-Schnittstelle leitet nur Pakete, die für VLAN'A Nummer 300 bestimmt sind, an RTR2 weiter. Dies wird in der Aufgabe in der L2-Topologie angegeben. Daher wird auf RTR2 nur die physische Schnittstelle konfiguriert, ohne dass Subschnittstellen erstellt werden:

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

Dann wird die g0 / 0-Schnittstelle konfiguriert:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Damit ist die Konfiguration der Router-Schnittstellen für die aktuelle Aufgabe abgeschlossen. Die verbleibenden Schnittstellen werden konfiguriert, sobald die folgenden Aufgaben abgeschlossen sind.

a. Aktivieren Sie den SLAAC-Mechanismus, um IPv6-Adressen im MNG-Netzwerk auf der RTR1-Router-Schnittstelle auszugeben

SLAAC ist standardmäßig aktiviert. Sie müssen lediglich das IPv6-Routing aktivieren. Sie können dies mit dem folgenden Befehl tun:

 RTR1(config-subif)#ipv6 unicast-routing 

Ohne diesen Befehl fungiert das Gerät als Host. Mit anderen Worten, dank des oben genannten Befehls können zusätzliche IPv6-Funktionen verwendet werden, einschließlich der Ausgabe von IPv6-Adressen, der Konfiguration des Routings und mehr.

b. Aktivieren Sie auf den virtuellen Schnittstellen in VLAN 100 (MNG) auf den Switches SW1, SW2, SW3 den IPv6-Autokonfigurationsmodus

Aus der L3-Topologie ist ersichtlich, dass die Switches mit dem VLAN 100-Netzwerk verbunden sind. Dies bedeutet, dass Sie virtuelle Schnittstellen auf den Switches erstellen und erst dann die IPv6-Adressen festlegen müssen, die dort standardmäßig empfangen werden sollen. Die Erstkonfiguration wurde genau so vorgenommen, dass die Switches Standardadressen von RTR1 empfangen konnten. Sie können diese Aufgabe mit der folgenden Befehlsliste ausführen, die für alle drei Schalter geeignet ist:

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

Sie können mit demselben Befehl show ipv6 interface brief überprüfen:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

Zusätzlich zur verbindungslokalen Adresse wurde eine von RTR1 empfangene IPv6-Adresse angezeigt. Diese Aufgabe wurde erfolgreich abgeschlossen, und auf den anderen Schaltern müssen dieselben Befehle geschrieben werden.

s Auf ALLEN Geräten (außer PC1 und WEB) werden verbindungslokale Adressen manuell zugewiesen

Dreißigstellige IPv6-Adressen gefallen Administratoren nicht, daher können Sie Link-Local manuell ändern und die Länge auf den Mindestwert reduzieren. In den Aufgaben wird nichts darüber gesagt, welche Adressen zu wählen sind, daher wird hier freie Wahl gestellt.

Beispielsweise müssen Sie auf dem Schalter SW1 die verbindungslokale Adresse fe80 :: 10 einstellen. Sie können dies mit dem folgenden Befehl aus dem Konfigurationsmodus der ausgewählten Schnittstelle tun:

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

Jetzt sieht die Adressierung viel attraktiver aus:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

Zusätzlich zur verbindungslokalen Adresse hat sich auch die empfangene IPv6-Adresse geändert, da die Adresse basierend auf der verbindungslokalen Adresse ausgegeben wird.

Auf dem Switch SW1 mussten Sie nur die verbindungslokale Adresse auf einer Schnittstelle einstellen. Beim RTR1-Router müssen Sie weitere Einstellungen vornehmen. Sie müssen verbindungslokal auf zwei Subschnittstellen (Loopback) festlegen. In den nächsten Einstellungen wird die Tunnel 100-Schnittstelle weiterhin angezeigt.

Um unnötiges Schreiben von Befehlen zu vermeiden, können Sie auf allen Schnittstellen gleichzeitig dieselbe verbindungslokale Adresse festlegen. Dies kann mithilfe des Schlüsselworts range gefolgt von einer Auflistung aller Schnittstellen:

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

Bei der Überprüfung der Schnittstellen wird festgestellt, dass die verbindungslokalen Adressen auf allen ausgewählten Schnittstellen geändert wurden:

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

Alle anderen Geräte werden auf die gleiche Weise konfiguriert.

d. Deaktivieren Sie auf ALLEN Switches ALLE Ports, die nicht im Job verwendet werden, und übertragen Sie sie in VLAN 99

Die Hauptidee ist die gleiche Methode, um mehrere Schnittstellen für die Konfiguration mit dem Befehl range auszuwählen. Erst dann sollten Sie den Übertragungsbefehl in das gewünschte vlan schreiben und dann die Schnittstellen ausschalten. Beispielsweise werden am Schalter SW1 gemäß der Topologie von L1 die Ports f0 / 3-4, f0 / 7-8, f0 / 11-24 und g0 / 2 ausgeschaltet. In diesem Beispiel lautet die Einstellung wie folgt:

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

Wenn Sie die Einstellungen mit einem bereits bekannten Befehl überprüfen, sollten Sie darauf achten, dass alle nicht verwendeten Ports einen administrativen Ausfallstatus haben und benachrichtigen, dass der Port deaktiviert ist:

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

Um zu sehen, in welchem ​​VLAN sich der Port befindet, können Sie einen anderen Befehl verwenden:

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

Alle nicht verwendeten Schnittstellen sollten hier sein. Es ist erwähnenswert, dass es nicht möglich ist, Schnittstellen in vlan zu übersetzen, wenn ein solches vlan nicht erstellt wird. Zu diesem Zweck wurden in der Ersteinrichtung alle für die Arbeit erforderlichen vlan'y erstellt.

e. Aktivieren Sie am SW1-Schalter die Sperre für 1 Minute, wenn innerhalb von 30 Sekunden eine doppelte falsche Passworteingabe erfolgt

Sie können dies mit dem folgenden Befehl tun:

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

Sie können diese Einstellungen auch wie folgt überprüfen:

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

Wenn verständlich erklärt wird, dass nach zwei erfolglosen Versuchen innerhalb von 30 oder weniger Sekunden die Anmeldung für 60 Sekunden blockiert wird.

2. Alle Geräte müssen für die Protokollverwaltung von SSH Version 2 zugänglich sein.

Damit Geräte über SSH Version 2 verfügbar sind, müssen Sie zuerst das Gerät konfigurieren. Zu Informationszwecken werden daher zuerst Geräte mit Werkseinstellungen konfiguriert.

Sie können die Pannenversion wie folgt ändern:

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

Das System fordert Sie auf, RSA-Schlüssel für den Zustand von SSH Version 2 zu erstellen. Nach den Anweisungen eines intelligenten Systems können Sie RSA-Schlüssel mit dem folgenden Befehl erstellen:

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

Das System lässt die Ausführung des Befehls nicht zu, da der Hostname nicht geändert wurde. Nach dem Ändern des Hostnamens müssen Sie den Befehl zur Schlüsselgenerierung erneut schreiben:

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

Jetzt erlaubt das System das Erstellen von RSA-Schlüsseln nicht, da kein Domänenname vorhanden ist. Nach der Installation des Domänennamens können RSA-Schlüssel erstellt werden. RSA-Schlüssel müssen mindestens 768 Bit lang sein, damit SSH Version 2 funktioniert:

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

Als Ergebnis stellt sich heraus, dass Sie Folgendes benötigen, damit SSHv2 funktioniert:

1. Hostnamen ändern;
2. Domainnamen ändern;
3. Generieren Sie RSA-Schlüssel.

Im letzten Artikel wurden die Einstellungen zum Ändern des Hostnamens und des Domänennamens auf allen Geräten angegeben. Wenn Sie also weiterhin die aktuellen Geräte konfigurieren, müssen Sie nur RSA-Schlüssel generieren:

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

SSH Version 2 ist aktiv, aber das Gerät ist noch nicht vollständig konfiguriert. Der letzte Schritt besteht darin, die virtuellen Konsolen zu konfigurieren:

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

Im letzten Artikel wurde das AAA-Modell konfiguriert, bei dem die Authentifizierung auf virtuellen Konsolen mithilfe einer lokalen Datenbank festgelegt wurde und der Benutzer nach der Authentifizierung sofort in den privilegierten Modus wechseln musste. Die einfachste SSH-Integritätsprüfung besteht darin, eine Verbindung zu Ihrer eigenen Hardware herzustellen. Auf RTR1 gibt es einen Loopback mit der IP-Adresse 1.1.1.1. Sie können versuchen, eine Verbindung zu dieser Adresse herzustellen:

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

Nach dem Schalter -l wird der Benutzername des vorhandenen Benutzers und anschließend das Kennwort eingegeben. Nach der Authentifizierung wird sofort in den privilegierten Modus gewechselt, was bedeutet, dass SSH korrekt konfiguriert ist.