Geekly articles weekly

La solution des tâches WorldSkills du module Réseau dans la compétence de "CCA". Partie 1 - Configuration de base

Le mouvement WorldSkills vise à fournir aux participants des compétences principalement pratiques qui sont en demande sur le marché du travail moderne. La compétence «Network and System Administration» comprend trois modules: Network, Windows, Linux. Les tâches varient d'un championnat à l'autre, les conditions de conduite changent, mais la structure des tâches reste pour l'essentiel inchangée.

L'îlot réseau sera le premier en raison de sa simplicité par rapport aux îles Linux et Windows.

Les tâches suivantes seront prises en compte dans l'article:

  1. Nommez TOUS les appareils en fonction de la topologie
  2. Attribuer le nom de domaine wsrvuz19.ru à TOUS les appareils
  3. Créer l'utilisateur wsrvuz19 avec TOUS les mots de passe Cisco sur TOUS les appareils
    • Le mot de passe utilisateur doit être stocké dans la configuration suite à la fonction de hachage.
    • L'utilisateur doit avoir le niveau de privilège maximum.
  4. Pour TOUS les appareils, implémentez le modèle AAA.

    • L'authentification sur la console distante doit être effectuée à l'aide de la base de données locale (sauf pour RTR1 et RTR2)
    • Une fois l'authentification réussie, lors de la connexion à partir de la console distante, l'utilisateur doit immédiatement entrer dans le mode avec le niveau de privilège maximal.
    • Configurez le besoin d'authentification sur la console locale.
    • Une fois l'authentification réussie sur la console locale, l'utilisateur doit entrer dans le mode avec le niveau de privilège minimum.
    • Sur BR1, une fois l'authentification réussie sur la console locale, l'utilisateur doit entrer dans le mode avec le niveau de privilège maximal
  5. Sur TOUS les appareils, définissez le mot de passe wsr pour passer en mode privilégié.
    • Le mot de passe doit être stocké dans la configuration PAS à la suite de la fonction de hachage.
    • Définissez le mode dans lequel tous les mots de passe de la configuration sont stockés sous forme cryptée.

La topologie du réseau au niveau physique est présentée dans le diagramme suivant:



Si les informations sont plus faciles à percevoir au format vidéo, la solution complète à ces tâches peut être trouvée dans la vidéo suivante:



1. Définissez les noms de TOUS les appareils en fonction de la topologie


Pour définir le nom du périphérique (nom d'hôte), il est nécessaire d'entrer la commande de hostname SW1 partir du mode de configuration globale, où au lieu de SW1, il est nécessaire d'écrire le nom de l'équipement donné dans les tâches.

Vous pouvez même vérifier visuellement les paramètres - au lieu du commutateur prédéfini , il est devenu SW1 :

 Switch(config)# hostname SW1 SW1(config)#

Après avoir effectué des réglages, la tâche principale consiste à enregistrer la configuration.

Vous pouvez le faire à partir du mode de configuration globale avec la commande do write :

 SW1(config)# do write Building configuration... Compressed configuration from 2142 bytes to 1161 bytes[OK]

Ou en mode privilégié avec la commande d' write :

 SW1# write Building configuration... Compressed configuration from 2142 bytes to 1161 bytes[OK]

2. Attribuez le nom de domaine wsrvuz19.ru à TOUS les appareils


Vous pouvez définir le nom de domaine par défaut wsrvuz19.ru à partir du mode de configuration globale à l'aide de la commande ip domain-name wsrvuz19.ru .

La vérification est effectuée avec la commande récapitulative do show hosts du mode de configuration globale:

 SW1(config)# ip domain-name wsrvuz19.ru SW1(config)# do show hosts summary Name lookup view: Global Default domain is wsrvuz19.ru ...

3. Créez un utilisateur wsrvuz19 sur TOUS les appareils avec le mot de passe Cisco


Il est nécessaire de créer un tel utilisateur afin qu'il possède le niveau maximum de privilèges, et le mot de passe est stocké comme une fonction de hachage. Toutes ces conditions sont prises en compte par le username wsrvuz19 privilege 15 secret cisco command.

Ici:

username wsrvuz19 - nom d'utilisateur;
privilege 15 - niveau de privilège (0 - niveau minimum, 15 - niveau maximum);
secret cisco - stockage d'un mot de passe sous la forme d'une fonction de hachage MD5.

La commande show running-config vous permet de vérifier les paramètres de la configuration actuelle, où vous pouvez trouver la ligne avec l'utilisateur ajouté et vous assurer que le mot de passe est stocké sous forme cryptée:

 SW1(config)# username wsrvuz19 privilege 15 secret cisco SW1(config)# do show running-config ... username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4. ...

4. Pour TOUS les appareils, implémentez le modèle AAA


Le modèle AAA est un système d'authentification, d'autorisation et de comptabilité d'événements. Pour terminer cette tâche, la première étape consiste à activer le modèle AAA et à indiquer que l'authentification sera effectuée à l'aide de la base de données locale:

 SW1(config)# aaa new-model SW1(config)# aaa authentication login default local

a. L'authentification sur la console distante doit être effectuée à l'aide de la base de données locale (sauf pour RTR1 et RTR2)

Les tâches définissent deux types de consoles: locale et distante. La console distante vous permet d'implémenter des connexions distantes, par exemple, via les protocoles SSH ou Telnet.

Pour terminer cette tâche, vous devez entrer les commandes suivantes:

 SW1(config)# line vty 0 4 SW1(config-line)# login authentication default SW1(config-line)# exit SW1(config)#

La commande line vty 0 4 à la configuration des lignes de terminal virtuel de 0 à 4.

La commande login authentication default active le mode d' login authentication default sur la console virtuelle, et le mode par défaut a été défini dans la tâche précédente avec la commande aaa authentication login default local .

Pour quitter le mode de configuration de la console distante, utilisez la exit .

Un test fiable sera une connexion de test Telnet d'un appareil à un autre. Il convient de garder à l'esprit que pour cela, la commutation de base et l'adressage IP sur l'équipement sélectionné doivent être configurés.

 SW3#telnet 2001:100::10 User Access Verification Username: wsrvuz19 Password: SW1>

b. Après une authentification réussie, lors de la connexion à partir de la console distante, l'utilisateur doit immédiatement entrer dans le mode avec le niveau de privilège maximal

Pour résoudre ce problème, vous devez revenir à la configuration des lignes de terminal virtuel et définir le niveau de privilège avec la commande de privilege level 15 , où 15 est à nouveau le niveau maximum et 0 est le niveau minimum de privilèges:

 SW1(config)# line vty 0 4 SW1(config-line)# privilege level 15 SW1(config-line)# exit SW1(config)#

La solution du dernier paragraphe - connexion Telnet à distance servira de contrôle:

 SW3#telnet 2001:100::10 User Access Verification Username: wsrvuz19 Password: SW1#

Après l'authentification, l'utilisateur entre immédiatement en mode privilégié, contournant le mode non privilégié, ce qui signifie que la tâche est terminée correctement.

cd. Configurez le besoin sur la console locale et si l'authentification réussit, l'utilisateur doit entrer dans le mode avec le niveau de privilège minimum

La structure des équipes dans ces tâches coïncide avec les tâches 4.a et 4.b précédemment résolues. La commande line vty 0 4 est remplacée par la console 0 :

 SW1(config)# line console 0 SW1(config-line)# login authentication default SW1(config-line)# privilege level 0 SW1(config-line)# exit SW1(config)#

Comme déjà mentionné, le niveau de privilège minimum est déterminé par le nombre 0. La vérification peut être effectuée comme suit:

 SW1# exit User Access Verification Username: wsrvuz19 Password: SW1>

Après l'authentification, l'utilisateur entre en mode non privilégié, comme indiqué dans les tâches.

e. Sur BR1, une fois l'authentification réussie sur la console locale, l'utilisateur doit entrer dans le mode avec le niveau de privilège maximal

La configuration de la console locale sur BR1 ressemblera à ceci:

 BR1(config)# line console 0 BR1(config-line)# login authentication default BR1(config-line)# privilege level 15 BR1(config-line)# exit BR1(config)#

La vérification s'effectue de la même manière que dans le paragraphe précédent:

 BR1# exit User Access Verification Username: wsrvuz19 Password: BR1#

Après l'authentification, des transitions vers le mode privilégié se produisent.

5. Sur TOUS les appareils, définissez le mot de passe wsr pour passer en mode privilégié


Les tâches indiquent que le mot de passe pour le mode privilégié doit être stocké de manière standard sous forme claire, mais le mode de cryptage de tous les mots de passe ne vous permettra pas de voir le mot de passe sous forme claire. Pour définir un mot de passe pour enable password wsr mode privilégié, utilisez la enable password wsr . En utilisant le password clé de password , le type dans lequel le mot de passe sera stocké est déterminé. Si le mot de passe doit être chiffré lors de la création de l'utilisateur, le mot clé était secret et le password utilisé pour le stockage ouvert.

Vous pouvez vérifier les paramètres en affichant la configuration actuelle:

 SW1(config)# enable password wsr SW1(config)# do show running-config ... enable password wsr ! username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0 ...

On peut voir que le mot de passe utilisateur est stocké sous forme cryptée, et le mot de passe pour entrer en mode privilégié est stocké en clair, comme indiqué dans les tâches.
Pour que tous les mots de passe soient stockés sous forme cryptée, utilisez la commande de service password-encryption . L'affichage de la configuration actuelle ressemblera maintenant à ceci:

 SW1(config)# do show running-config ... enable password 7 03134819 ! username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0 ...

Le mot de passe n'est plus disponible pour la visualisation en texte clair.

Source: https://habr.com/ru/post/fr457286/

More articles:


All Articles