Continuamos a analisar as tarefas do módulo Rede do campeonato WorldSkills na competência "Administração de redes e sistemas".

As seguintes tarefas serão consideradas no artigo:

1. Em TODOS os dispositivos, crie interfaces virtuais, subinterfaces e interfaces de loop. Atribua endereços IP de acordo com a topologia.
   
   
   • Habilite o mecanismo SLAAC para emitir endereços IPv6 na rede MNG na interface do roteador RTR1;
   • Nas interfaces virtuais da VLAN 100 (MNG) nos comutadores SW1, SW2, SW3, ative o modo de configuração automática do IPv6;
   • Em TODOS os dispositivos (exceto PC1 e WEB), atribua manualmente endereços de link local;
   • Em TODOS os comutadores, desative TODAS as portas que não são usadas no trabalho e transfira para a VLAN 99;
   • No comutador SW1, ative o bloqueio por 1 minuto no caso de uma entrada incorreta dupla de senha em 30 segundos;
2. Todos os dispositivos devem estar acessíveis para o controle SSH versão 2.

A topologia de rede no nível físico é apresentada no diagrama a seguir:



A topologia de rede na camada de enlace de dados é apresentada no diagrama a seguir:



A topologia de rede no nível da rede é apresentada no diagrama a seguir:



Um exemplo de solução de todas as tarefas pode ser visualizado no formato de vídeo.

A seguir, é apresentada uma configuração preliminar dos comutadores:


Configurando o endereçamento IPv6, ativando o mecanismo SLAAC:


Configurando o SSH versão 2:

Predefinição

Antes de concluir as tarefas acima, você deve configurar a comutação básica nos comutadores SW1-SW3, pois será mais conveniente verificar suas configurações no futuro. A configuração da comutação será descrita em detalhes no próximo artigo, mas, por enquanto, apenas as configurações serão definidas.

O primeiro passo é criar vlan'y com os números 99, 100 e 300 em todos os comutadores:

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

A próxima etapa é converter a interface g0 / 1 para SW1 no número da vlan 300:

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

As interfaces f0 / 1-2, f0 / 5-6, voltadas para outros comutadores, devem ser comutadas para o modo tronco:

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

No comutador SW2 no modo de tronco, haverá interfaces f0 / 1-4:

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

No comutador SW3 no modo tronco, haverá interfaces f0 / 3-6, g0 / 1:

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

Nesta fase, as configurações do switch permitirão a troca de pacotes marcados, necessários para concluir as tarefas.

1. Em TODOS os dispositivos, crie interfaces virtuais, subinterfaces e interfaces de loop. Atribua endereços IP de acordo com a topologia.

O roteador BR1 será o primeiro a configurar. De acordo com a topologia L3, aqui você precisa configurar uma interface do tipo loop, que é loopback, sob o número 101:

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

Para verificar o status da interface criada, você pode usar o comando show ipv6 interface brief :

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

Aqui você pode ver que o loopback está ativo, seu status é UP . Se você olhar abaixo, poderá ver dois endereços IPv6, embora apenas um comando tenha sido usado para definir o endereço IPv6. O fato é que FE80::2D0:97FF:FE94:5022 é o endereço local do link designado quando o ipv6 é ativado na interface com o comando ipv6 enable .

E para visualizar o endereço IPv4, um comando semelhante é usado:

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

Para o BR1, você deve configurar imediatamente a interface g0 / 0, aqui você só precisa definir o endereço IPv6:

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

Você pode verificar as configurações com o mesmo comando show ipv6 interface brief :

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

Em seguida, o roteador ISP será configurado. Aqui, no trabalho, o loopback com o número 0 será configurado, mas, além disso, é preferível configurar a interface g0 / 0 na qual o endereço 30.30.30.1 deve estar, pelo motivo de que nas tarefas subseqüentes nada será dito sobre a configuração dessas interfaces. Primeiro, o loopback com o número 0 está configurado:

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

Usando o comando show ipv6 interface brief , você pode verificar se as show ipv6 interface brief da show ipv6 interface brief estão corretas. Em seguida, a interface g0 / 0 está configurada:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Em seguida, o RTR1 será configurado. Aqui você também precisa criar um loopback no número 100:

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

Também no RTR1, é necessário criar 2 subinterfaces virtuais para vlan'ov com os números 100 e 300. Você pode fazer isso da seguinte maneira.

Primeiro, ative a interface física g0 / 1 com o comando no shutdown:

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

Subinterfaces com os números 100 e 300 são criadas e configuradas:

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

O número da subinterface pode diferir do número da vlan'a em que funcionará, mas, por conveniência, é melhor usar o número da subinterface que corresponde ao número da vlan'a. No caso de definir o tipo de encapsulamento ao configurar a subinterface, especifique o número que corresponde ao número de vlan'a. Portanto, após o encapsulation dot1Q 300 subinterface passará apenas pacotes de vlan'a com o número 300.

O final desta tarefa será o roteador RTR2. A conexão entre SW1 e RTR2 deve estar no modo de acesso, a interface do comutador passará apenas pacotes destinados à vlan'a número 300 em direção ao RTR2, conforme indicado na tarefa na topologia L2. Portanto, apenas a interface física será configurada no RTR2 sem criar subinterfaces:

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

Em seguida, a interface g0 / 0 está configurada:

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

Isso completa a configuração das interfaces do roteador para a tarefa atual. As interfaces restantes serão configuradas assim que as tarefas a seguir forem concluídas.

a. Habilite o mecanismo SLAAC para emitir endereços IPv6 na rede MNG na interface do roteador RTR1

SLAAC está ativado por padrão. A única coisa a fazer é ativar o roteamento IPv6. Você pode fazer isso com o seguinte comando:

 RTR1(config-subif)#ipv6 unicast-routing 

Sem esse comando, o equipamento atua como um host. Em outras palavras, graças ao comando mencionado acima, torna-se possível usar funções adicionais do ipv6, incluindo a emissão de endereços ipv6, a configuração de roteamento e muito mais.

b. Nas interfaces virtuais da VLAN 100 (MNG) nos comutadores SW1, SW2, SW3, ative o modo de configuração automática do IPv6

Pode-se observar pela topologia L3 que os comutadores estão conectados à rede VLAN 100. Isso significa que você precisa criar interfaces virtuais nos comutadores e somente então definir lá para receber endereços IPv6 padrão. A configuração inicial foi feita precisamente para que os comutadores pudessem receber endereços padrão do RTR1. Você pode concluir esta tarefa com a seguinte lista de comandos adequados para todas as três opções:

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

Você pode verificar com o mesmo comando show ipv6 interface brief :

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

Além do endereço local do link, um endereço IPv6 recebido do RTR1 apareceu. Esta tarefa foi concluída com êxito e, nos outros comutadores, é necessário escrever os mesmos comandos.

s Em TODOS os dispositivos (exceto PC1 e WEB), atribua manualmente endereços de link local

Os endereços IPv6 de trinta dígitos não agradam aos administradores; portanto, você pode alterar manualmente o link-local, reduzindo seu tamanho ao valor mínimo. Nada é dito nas designações sobre quais endereços escolher, portanto, a livre escolha é fornecida aqui.

Por exemplo, no comutador SW1, você deve definir o endereço local do link fe80 :: 10. Você pode fazer isso com o seguinte comando no modo de configuração da interface selecionada:

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

Agora, o endereçamento parece muito mais atraente:

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

Além do endereço local do link, o endereço IPv6 recebido também foi alterado, pois o endereço é emitido com base no endereço local do link.

No comutador SW1, você só precisava definir o endereço local do link em uma interface. Com o roteador RTR1, é necessário fazer mais configurações - é necessário definir o link-local em duas subinterfaces, no loopback e nas próximas configurações a interface do túnel 100 ainda aparecerá.

Para evitar a gravação desnecessária de comandos, você pode definir o mesmo endereço local do link em todas as interfaces ao mesmo tempo. Isso pode ser feito usando a palavra-chave range seguida de uma lista de todas as interfaces:

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

Ao verificar as interfaces, será possível ver que os endereços locais do link foram alterados em todas as interfaces selecionadas:

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

Todos os outros dispositivos estão configurados da mesma maneira.

d. Em todos os switches, desative todas as portas que não são usadas no trabalho e transfira para a VLAN 99

A idéia principal é a mesma maneira de selecionar várias interfaces para configuração usando o comando range , e somente então você deve gravar o comando de transferência na vlan desejada e depois desativar as interfaces. Por exemplo, no comutador SW1, de acordo com a topologia de L1, as portas f0 / 3-4, f0 / 7-8, f0 / 11-24 e g0 / 2 serão desativadas. Neste exemplo, a configuração será a seguinte:

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

Verificando as configurações com um comando já conhecido, vale a pena prestar atenção em que todas as portas não utilizadas devem ter um status administrativo inativo , notificando que a porta está desativada:

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

Para ver em qual vlan está a porta, você pode usar outro comando:

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

Todas as interfaces não utilizadas devem estar aqui. Vale ressaltar que não será possível converter interfaces em vlan se essa vlan não for criada. Para este propósito na configuração inicial, todos os vlan'y necessários para o trabalho foram criados.

e No comutador SW1, ative o bloqueio por 1 minuto no caso de uma entrada de senha incorreta dupla em 30 segundos

Você pode fazer isso com o seguinte comando:

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

Você também pode verificar essas configurações da seguinte maneira:

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

Onde é explicado de forma inteligível que, após duas tentativas malsucedidas em 30 ou menos segundos, o logon será bloqueado por 60 segundos.

2. Todos os dispositivos devem estar acessíveis para o gerenciamento de protocolo SSH versão 2.

Para que os dispositivos estejam disponíveis via SSH versão 2, você deve primeiro configurar o equipamento, para fins informativos, o equipamento com configurações de fábrica será configurado primeiro.

Você pode alterar a versão da punção da seguinte maneira:

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

O sistema pede para criar chaves RSA para a integridade do SSH versão 2. Seguindo o conselho de um sistema inteligente, você pode criar chaves RSA com o seguinte comando:

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

O sistema não permite que o comando seja executado porque o nome do host não foi alterado. Depois de alterar o nome do host, você precisa escrever o comando de geração de chave novamente:

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

Agora, o sistema não permite a criação de chaves RSA, devido à falta de um nome de domínio. E depois de instalar o nome do domínio, será possível criar chaves RSA. As chaves RSA devem ter pelo menos 768 bits para que o SSH versão 2 funcione:

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

Como resultado, acontece que, para o SSHv2 funcionar, você precisa:

1. Alterar nome do host;
2. Alterar nome de domínio;
3. Gere chaves RSA.

No último artigo, as configurações para alterar o nome do host e o nome de domínio em todos os dispositivos foram fornecidas, portanto, continuando a configurar os dispositivos atuais, você só precisa gerar chaves RSA:

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

O SSH versão 2 está ativo, mas o dispositivo ainda não está totalmente configurado. A etapa final será configurar os consoles virtuais:

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

No último artigo, o modelo AAA foi configurado, em que a autenticação era definida nos consoles virtuais usando um banco de dados local e o usuário precisava entrar no modo privilegiado imediatamente após a autenticação. A verificação de integridade mais simples do SSH está tentando se conectar ao seu próprio hardware. No RTR1, há um loopback com o endereço IP 1.1.1.1, você pode tentar se conectar a este endereço:

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

Após a opção -l , o nome de usuário do usuário existente é inserido e a senha. Após a autenticação, ele muda imediatamente para o modo privilegiado, o que significa que o SSH está configurado corretamente.