Kami terus menganalisis tugas-tugas modul Jaringan kejuaraan WorldSkills dalam kompetensi "Administrasi Jaringan dan Sistem".

Tugas-tugas berikut akan dipertimbangkan dalam artikel:

1. Pada SEMUA perangkat, buat antarmuka virtual, antarmuka, dan antarmuka loop. Tetapkan alamat IP sesuai dengan topologi.
   
   
   • Aktifkan mekanisme SLAAC untuk mengeluarkan alamat IPv6 di jaringan MNG pada antarmuka router RTR1;
   • Pada antarmuka virtual dalam VLAN 100 (MNG) pada sakelar SW1, SW2, SW3 memungkinkan mode konfigurasi otomatis IPv6;
   • Pada SEMUA perangkat (kecuali PC1 dan WEB) secara manual tetapkan alamat tautan-lokal;
   • Pada SEMUA sakelar, nonaktifkan SEMUA porta yang tidak digunakan dalam pekerjaan dan transfer ke VLAN 99;
   • Pada sakelar SW1, aktifkan kunci selama 1 menit jika ada entri kata sandi yang salah ganda dalam 30 detik;
2. Semua perangkat harus dapat diakses untuk kontrol SSH versi 2.

Topologi jaringan pada tingkat fisik disajikan dalam diagram berikut:



Topologi jaringan pada lapisan data link disajikan dalam diagram berikut:



Topologi jaringan di tingkat jaringan disajikan dalam diagram berikut:



Contoh penyelesaian semua tugas dapat dilihat dalam format video.

Berikut ini adalah konfigurasi awal sakelar:


Mengkonfigurasi pengalamatan IPv6, mengaktifkan mekanisme SLAAC:


Mengkonfigurasi SSH versi 2:

Preset

Sebelum menyelesaikan tugas-tugas di atas, ada baiknya mengatur peralihan dasar pada sakelar SW1-SW3, karena akan lebih mudah untuk memeriksa pengaturannya di masa mendatang. Beralih konfigurasi akan dijelaskan secara rinci di artikel berikutnya, tetapi untuk saat ini hanya pengaturan yang akan ditentukan.

Langkah pertama adalah membuat vlan'y dengan angka 99, 100 dan 300 di semua sakelar:

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

Langkah selanjutnya adalah menerjemahkan antarmuka g0 / 1 ke SW1 di vlan number 300:

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

Antarmuka f0 / 1-2, f0 / 5-6, yang menghadap ke sakelar lain, harus dialihkan ke mode trunk:

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

Pada sakelar SW2 dalam mode trunk akan ada antarmuka f0 / 1-4:

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

Pada sakelar SW3 dalam mode trunk akan ada antarmuka f0 / 3-6, g0 / 1:

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

Pada tahap ini, pengaturan switch akan memungkinkan pertukaran paket yang ditandai, yang akan diperlukan untuk menyelesaikan tugas.

1. Pada SEMUA perangkat, buat antarmuka virtual, antarmuka singkat, dan antarmuka loop. Tetapkan alamat IP sesuai dengan topologi.

Router BR1 akan menjadi yang pertama untuk dikonfigurasikan. Menurut topologi L3, di sini Anda perlu mengkonfigurasi antarmuka tipe loop, itu adalah loopback, di bawah angka 101:

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

Untuk memeriksa status antarmuka yang dibuat, Anda dapat menggunakan perintah show ipv6 interface brief :

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

Di sini Anda dapat melihat bahwa loopback aktif, statusnya adalah UP . Jika Anda melihat di bawah, Anda dapat melihat dua alamat IPv6, meskipun hanya satu perintah yang digunakan untuk mengatur alamat IPv6. Faktanya adalah bahwa FE80::2D0:97FF:FE94:5022 adalah alamat link-local yang ditugaskan ketika ipv6 diaktifkan pada antarmuka dengan perintah ipv6 enable .

Dan untuk melihat alamat IPv4, perintah serupa digunakan:

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

Untuk BR1, Anda harus segera mengkonfigurasi antarmuka g0 / 0, di sini Anda hanya perlu mengatur alamat IPv6:

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

Anda dapat memeriksa pengaturan dengan perintah show ipv6 interface brief sama:

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

Selanjutnya, router ISP akan dikonfigurasi. Di sini, pada pekerjaan, loopback dengan angka 0 akan dikonfigurasikan, tetapi selain itu, lebih baik untuk mengkonfigurasi antarmuka g0 / 0 di mana alamat 30.30.30.1 seharusnya, karena alasan bahwa dalam tugas-tugas berikutnya tidak ada yang akan dikatakan tentang mengkonfigurasi antarmuka ini. Pertama, loopback dengan angka 0 dikonfigurasi:

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

Menggunakan perintah show ipv6 interface brief , Anda dapat memverifikasi bahwa show ipv6 interface brief sudah benar. Kemudian antarmuka g0 / 0 dikonfigurasi:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Selanjutnya, RTR1 akan dikonfigurasi. Di sini Anda juga perlu membuat loopback di nomor 100:

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

Juga pada RTR1 perlu untuk membuat 2 subinterfaces virtual untuk vlan'ov dengan angka 100 dan 300. Anda dapat melakukan ini sebagai berikut.

Pertama, aktifkan antarmuka fisik g0 / 1 dengan perintah no shutdown:

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

Subinterfaces dengan angka 100 dan 300 kemudian dibuat dan dikonfigurasi:

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

Nomor subinterface mungkin berbeda dari nomor vlan di mana ia akan bekerja, tetapi untuk kenyamanan lebih baik menggunakan nomor subinterface yang cocok dengan nomor vlan'a. Dalam hal mengatur jenis enkapsulasi saat mengatur subinterface, tentukan nomor yang cocok dengan jumlah vlan'a. Jadi setelah encapsulation dot1Q 300 subinterface hanya akan melewatkan paket vlan'a dengan angka 300.

Final dalam penugasan ini adalah router RTR2. Koneksi antara SW1 dan RTR2 harus dalam mode akses, antarmuka saklar hanya akan melewatkan paket yang ditujukan untuk vlan'a nomor 300 menuju RTR2, ini dinyatakan dalam tugas pada topologi L2. Oleh karena itu, hanya antarmuka fisik yang akan dikonfigurasi pada RTR2 tanpa membuat subinterfaces:

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

Kemudian antarmuka g0 / 0 dikonfigurasi:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Ini melengkapi konfigurasi antarmuka router untuk tugas saat ini. Antarmuka yang tersisa akan dikonfigurasikan segera setelah tugas-tugas berikut selesai.

a. Aktifkan mekanisme SLAAC untuk mengeluarkan alamat IPv6 di jaringan MNG pada antarmuka router RTR1

SLAAC diaktifkan secara default. Satu-satunya hal yang harus dilakukan adalah mengaktifkan routing IPv6. Anda dapat melakukan ini dengan perintah berikut:

 RTR1(config-subif)#ipv6 unicast-routing 

Tanpa perintah ini, peralatan bertindak sebagai tuan rumah. Dengan kata lain, berkat perintah yang disebutkan di atas, dimungkinkan untuk menggunakan fungsi ipv6 tambahan, termasuk mengeluarkan alamat ipv6, mengkonfigurasi routing, dan banyak lagi.

b. Pada antarmuka virtual dalam VLAN 100 (MNG) pada sakelar SW1, SW2, SW3, aktifkan mode konfigurasi otomatis IPv6

Hal ini dapat dilihat dari topologi L3 bahwa switch terhubung ke jaringan VLAN 100. Ini berarti bahwa Anda perlu membuat antarmuka virtual pada switch, dan hanya kemudian ditetapkan di sana untuk menerima alamat ipv6 default. Konfigurasi awal dibuat dengan tepat sehingga switch dapat menerima alamat default dari RTR1. Anda dapat menyelesaikan tugas ini dengan daftar perintah berikut yang cocok untuk ketiga sakelar:

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

Anda dapat memeriksa dengan perintah show ipv6 interface brief sama:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

Selain alamat tautan-lokal, alamat ipv6 yang diterima dari RTR1 muncul. Tugas ini berhasil diselesaikan, dan di switch lain perlu untuk menulis perintah yang sama.

s Pada SEMUA perangkat (kecuali PC1 dan WEB) secara manual tetapkan alamat tautan-lokal

Alamat IPv6 tiga puluh digit tidak menyenangkan administrator, sehingga Anda dapat mengubah tautan lokal secara manual, mengurangi panjangnya ke nilai minimum. Tidak ada yang dikatakan dalam tugas tentang alamat mana yang harus dipilih, oleh karena itu pilihan gratis disediakan di sini.

Misalnya, pada sakelar SW1, Anda harus mengatur alamat link-local fe80 :: 10. Anda dapat melakukan ini dengan perintah berikut dari mode konfigurasi antarmuka yang dipilih:

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

Sekarang menangani terlihat jauh lebih menarik:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

Selain alamat tautan-lokal, alamat IPv6 yang diterima juga telah berubah, karena alamat tersebut dikeluarkan berdasarkan alamat tautan-lokal.

Pada sakelar SW1, Anda hanya perlu mengatur alamat tautan-lokal pada satu antarmuka. Dengan router RTR1, Anda perlu membuat lebih banyak pengaturan - Anda perlu mengatur tautan-lokal pada dua subinterfaces, pada loopback, dan pada pengaturan berikutnya antarmuka 100 terowongan masih akan muncul.

Untuk menghindari penulisan perintah yang tidak perlu, Anda dapat mengatur alamat tautan-lokal yang sama pada semua antarmuka sekaligus. Ini dapat dilakukan dengan menggunakan kata kunci range diikuti oleh daftar semua antarmuka:

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

Saat memeriksa antarmuka, dimungkinkan untuk melihat bahwa alamat tautan-lokal telah diubah pada semua antarmuka yang dipilih:

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

Semua perangkat lain dikonfigurasi dengan cara yang sama.

d. Pada SEMUA sakelar, nonaktifkan SEMUA porta yang tidak digunakan dalam pekerjaan dan transfer ke VLAN 99

Gagasan utama adalah cara yang sama untuk memilih beberapa antarmuka untuk konfigurasi menggunakan perintah range , dan hanya Anda yang harus menulis perintah transfer ke vlan yang diinginkan dan kemudian mematikan antarmuka. Misalnya, pada sakelar SW1, menurut topologi L1, porta f0 / 3-4, f0 / 7-8, f0 / 11-24 dan g0 / 2 akan dimatikan. Untuk contoh ini, pengaturannya adalah sebagai berikut:

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

Memeriksa pengaturan dengan perintah yang sudah diketahui, perlu memperhatikan bahwa semua port yang tidak digunakan harus memiliki status administratif , yang memberitahukan bahwa port dimatikan:

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

Untuk melihat di mana vlan port berada, Anda dapat menggunakan perintah lain:

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

Semua antarmuka yang tidak digunakan harus ada di sini. Perlu dicatat bahwa tidak akan mungkin untuk menerjemahkan antarmuka ke vlan jika vlan tersebut tidak dibuat. Untuk tujuan ini dalam pengaturan awal semua vlan'y yang diperlukan untuk pekerjaan dibuat.

e. Pada sakelar SW1, aktifkan kunci selama 1 menit jika entri kata sandi salah ganda dalam 30 detik

Anda dapat melakukan ini dengan perintah berikut:

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

Anda juga dapat memeriksa pengaturan ini sebagai berikut:

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

Jika dijelaskan dengan jelas bahwa setelah dua upaya yang gagal dalam waktu 30 detik atau kurang, login akan diblokir selama 60 detik.

2. Semua perangkat harus dapat diakses untuk manajemen protokol SSH versi 2.

Agar perangkat tersedia melalui SSH versi 2, Anda harus terlebih dahulu mengkonfigurasi peralatan, jadi untuk tujuan informasi, peralatan dengan pengaturan pabrik akan dikonfigurasikan terlebih dahulu.

Anda dapat mengubah versi tusukan sebagai berikut:

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

Sistem meminta untuk membuat kunci RSA untuk kesehatan SSH versi 2. Mengikuti saran dari sistem pintar, Anda dapat membuat kunci RSA dengan perintah berikut:

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

Sistem tidak mengizinkan perintah dieksekusi karena nama host belum diubah. Setelah mengubah nama host, Anda perlu menulis lagi perintah pembuatan kunci:

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

Sekarang sistem tidak memungkinkan membuat kunci RSA, karena kurangnya nama domain. Dan setelah menginstal nama domain, dimungkinkan untuk membuat kunci RSA. Kunci RSA harus memiliki panjang minimal 768 bit agar SSH versi 2 berfungsi:

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

Hasilnya adalah agar SSHv2 berfungsi, Anda perlu

1. Ubah nama host;
2. Ubah nama domain;
3. Hasilkan kunci RSA.

Di artikel terakhir, pengaturan untuk mengubah nama host dan nama domain pada semua perangkat diberikan, oleh karena itu, terus mengkonfigurasi perangkat saat ini, Anda hanya perlu membuat kunci RSA:

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

SSH versi 2 aktif, tetapi perangkat belum sepenuhnya dikonfigurasi. Langkah terakhir adalah mengonfigurasi konsol virtual:

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

Pada artikel terakhir, model AAA telah dikonfigurasi, di mana otentikasi ditetapkan pada konsol virtual menggunakan database lokal, dan pengguna harus segera masuk ke mode istimewa setelah otentikasi. Pemeriksaan kesehatan SSH yang paling sederhana adalah mencoba terhubung ke perangkat keras Anda sendiri. Pada RTR1 ada loopback dengan alamat ip 1.1.1.1, Anda dapat mencoba menghubungkan ke alamat ini:

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

Setelah -l beralih, nama pengguna dari pengguna yang ada dimasukkan, dan kemudian kata sandi. Setelah otentikasi, itu segera beralih ke mode istimewa, yang berarti bahwa SSH dikonfigurasi dengan benar.