我们将继续在“网络和系统管理”能力方面分析WorldSkills冠军赛网络模块的任务。

本文将考虑以下任务：

1. 在所有设备上，创建虚拟接口，子接口和循环接口。 根据拓扑分配IP地址。
   
   
   • 在RTR1路由器接口的MNG网络中启用SLAAC机制发布IPv6地址；
   • 在交换机SW1，SW2，SW3的VLAN 100（MNG）中的虚拟接口上，启用IPv6自动配置模式；
   • 在所有设备（PC1和WEB除外）上手动分配链接本地地址；
   • 在所有交换机上，禁用作业中未使用的所有端口，并将其传输到VLAN 99；
   • 如果在30秒内两次输入错误密码，请在SW1开关上启用锁定1分钟。
2. 必须可以访问所有设备以进行SSH版本2控制。

下图显示了物理级别的网络拓扑：



下图显示了数据链路层的网络拓扑：



下图显示了网络级别的网络拓扑：



解决所有任务的示例可以以视频格式查看。

以下是交换机的初步配置：


配置IPv6寻址，启用SLAAC机制：


配置SSH版本2：

预设值

在完成上述任务之前，应该在SW1-SW3开关上配置基本开关，因为将来可以更方便地检查它们的设置。 切换配置将在下一篇文章中详细介绍，但目前仅定义设置。

第一步是在所有交换机上创建编号为99、100和300的vlan'y：

SW1(config)#vlan 99 SW1(config-vlan)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#vlan 300 SW1(config-vlan)#exit 

下一步是将VLAN v300中的g0 / 1接口转换为SW1：

 SW1(config)#interface gigabitEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 300 SW1(config-if)#exit 

面向其他交换机的接口f0 / 1-2，f0 / 5-6必须切换为中继模式：

 SW1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/5-6 SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exit 

在中继模式下的交换机SW2上，将存在f0 / 1-4接口：

 SW2(config)#interface range fastEthernet 0/1-4 SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#exit 

在中继模式下的SW3交换机上，将存在接口f0 / 3-6，g0 / 1：

 SW3(config)#interface range fastEthernet 0/3-6, gigabitEthernet 0/1 SW3(config-if-range)#switchport trunk encapsulation dot1q SW3(config-if-range)#switchport mode trunk SW3(config-if-range)#exit 

在此阶段，交换机设置将允许交换标记的数据包，这是完成任务所必需的。

1.在所有设备上，创建虚拟接口，子接口和环路接口。 根据拓扑分配IP地址。

BR1路由器将是第一个配置的路由器。 根据L3拓扑，在这里您需要配置一个环回接口，编号为101：

 //  loopback BR1(config)#interface loopback 101 //  ipv4- BR1(config-if)#ip address 2.2.2.2 255.255.255.255 //  ipv6   BR1(config-if)#ipv6 enable //  ipv6- BR1(config-if)#ipv6 address 2001:B:A::1/64 //      BR1(config-if)#exit BR1(config)# 

要检查已创建接口的状态，可以使用show ipv6 interface brief命令：

 BR1#show ipv6 interface brief ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- ... BR1# 

在这里您可以看到环回处于活动状态，其状态为UP 。 如果您在下面查看，则可以看到两个IPv6地址，尽管仅使用一个命令来设置IPv6地址。 事实是， FE80::2D0:97FF:FE94:5022是使用ipv6 enable命令在接口上启用ipv6时分配的链接本地地址。

要查看IPv4地址，可以使用类似的命令：

 BR1#show ip interface brief ... Loopback101 2.2.2.2 YES manual up up ... BR1# 

对于BR1，您应该立即配置g0 / 0接口，在这里您只需要设置IPv6地址：

 //      BR1(config)#interface gigabitEthernet 0/0 //   BR1(config-if)#no shutdown BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:B:C::1/64 BR1(config-if)#exit BR1(config)# 

您可以使用相同的show ipv6 interface brief命令检查设置：

 BR1#show ipv6 interface brief GigabitEthernet0/0 [up/up] FE80::290:CFF:FE9D:4624 //link-local  2001:B:C::1 //IPv6- ... Loopback101 [up/up] FE80::2D0:97FF:FE94:5022 //link-local  2001:B:A::1 //IPv6- 

接下来，将配置ISP路由器。 在这里，在工作中将配置编号为0的环回，但此外，最好配置地址为30.30.30.1的g0 / 0接口，因为在后续任务中将不再赘述配置这些接口的原因。 首先，配置编号为0的环回：

 ISP(config)#interface loopback 0 ISP(config-if)#ip address 8.8.8.8 255.255.255.255 ISP(config-if)#ipv6 enable ISP(config-if)#ipv6 address 2001:A:C::1/64 ISP(config-if)#exit ISP(config)# 

使用show ipv6 interface brief命令，可以验证show ipv6 interface brief是否正确。 然后配置了g0 / 0接口：

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.1 255.255.255.252 BR1(config-if)#exit BR1(config)# 

接下来，将配置RTR1。 在这里，您还需要创建编号为100的环回：

 BR1(config)#interface loopback 100 BR1(config-if)#ip address 1.1.1.1 255.255.255.255 BR1(config-if)#ipv6 enable BR1(config-if)#ipv6 address 2001:A:B::1/64 BR1(config-if)#exit BR1(config)# 

同样在RTR1上，有必要为vlan'ov创建2个虚拟子接口，编号为100和300。您可以按以下步骤进行操作。

首先，使用no shutdown命令启用物理接口g0 / 1：

 RTR1(config)#interface gigabitEthernet 0/1 RTR1(config-if)#no shutdown RTR1(config-if)#exit 

然后创建并配置编号为100和300的子接口：

 //     100      RTR1(config)#interface gigabitEthernet 0/1.100 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 100 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:100::1/64 RTR1(config-subif)#exit //     300      RTR1(config)#interface gigabitEthernet 0/1.300 //    dot1q   vlan'a 100 RTR1(config-subif)#encapsulation dot1Q 300 RTR1(config-subif)#ipv6 enable RTR1(config-subif)#ipv6 address 2001:300::2/64 RTR1(config-subif)#exit 

子接口编号可能与将在其中工作的VLAN编号不同，但为方便起见，最好使用与VLAN编号匹配的子接口编号。 如果在设置子接口时设置封装类型，请指定与vlan'a数量匹配的数字。 因此，在执行encapsulation dot1Q 300子接口将仅传递编号为300的vlan'a数据包。

该任务的最后一个将是RTR2路由器。 SW1和RTR2之间的连接应处于访问模式，交换机接口将仅将发往vlan'a编号300的数据包传递到RTR2，这在L2拓扑的任务中已说明。 因此，将仅在RTR2上配置物理接口，而不创建子接口：

 RTR2(config)#interface gigabitEthernet 0/1 RTR2(config-if)#no shutdown RTR2(config-if)#ipv6 enable RTR2(config-if)#ipv6 address 2001:300::3/64 RTR2(config-if)#exit RTR2(config)# 

然后配置了g0 / 0接口：

 BR1(config)#interface gigabitEthernet 0/0 BR1(config-if)#no shutdown BR1(config-if)#ip address 30.30.30.2 255.255.255.252 BR1(config-if)#exit BR1(config)# 

这样就完成了当前任务的路由器接口的配置。 完成以下任务后，将立即配置其余接口。

一个 启用S​​LAAC机制以在RTR1路由器接口的MNG网络中发布IPv6地址

默认情况下启用SLAAC。 唯一要做的就是启用IPv6路由。 您可以使用以下命令执行此操作：

 RTR1(config-subif)#ipv6 unicast-routing 

没有此命令，设备将充当主机。 换句话说，借助上述命令，可以使用其他ipv6功能，包括发布ipv6地址，配置路由等。

b。 在交换机SW1，SW2，SW3的VLAN 100（MNG）中的虚拟接口上，启用IPv6自动配置模式

从L3拓扑可以看出，交换机已连接到VLAN 100网络，这意味着您需要在交换机上创建虚拟接口，然后才默认设置要在此处接收的IPv6地址。 精确地进行了初始配置，以便交换机可以从RTR1接收默认地址。 您可以使用以下适用于所有三个开关的命令列表来完成此任务：

 //    SW1(config)#interface vlan 100 SW1(config-if)#ipv6 enable //  ipv6   SW1(config-if)#ipv6 address autoconfig SW1(config-if)#exit 

您可以使用相同的show ipv6 interface brief命令进行检查：

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::A8BB:CCFF:FE80:C000 // link-local  2001:100::A8BB:CCFF:FE80:C000 //  IPv6- 

除了本地链接地址之外，还出现了从RTR1接收到的ipv6地址。 该任务已成功完成，在其他交换机上，有必要编写相同的命令。

s 在所有设备（PC1和WEB除外）上手动分配链接本地地址

三十位数的ipv6地址不能令管理员满意，因此您可以手动更改本地链接，将其长度减小到最小值。 在分配中没有提及要选择哪个地址，因此在此提供了自由选择的权利。

例如，在交换机SW1上，必须设置链接本地地址fe80 :: 10。 您可以从所选接口的配置模式中使用以下命令来执行此操作：

 //     vlan 100 SW1(config)#interface vlan 100 //   link-local  SW1(config-if)#ipv6 address fe80::10 link-local SW1(config-if)#exit 

现在寻址看起来更具吸引力：

 SW1#show ipv6 interface brief ... Vlan100 [up/up] FE80::10 //link-local c 2001:100::10 //IPv6- 

除了链接本地地址以外，接收到的IPv6地址也已更改，因为该地址是根据链接本地地址发布的。

在交换机SW1上，您只需要在一个接口上设置本地链接地址。 对于RTR1路由器，您需要进行更多设置-您需要在两个子接口上设置环回本地链接，在环回时，并且在下一个设置中仍将出现隧道100接口。

为了避免不必要的命令编写，可以一次在所有接口上设置相同的本地链接地址。 可以使用range关键字，然后列出所有接口：

 //      RTR1(config)#interface range gigabitEthernet 0/1.100, gigabitEthernet 0/1.300, loopback 100 //   link-local  RTR1(config-if)#ipv6 address fe80::1 link-local RTR1(config-if)#exit 

检查接口时，可能会看到所有选定接口上的本地链接地址已更改：

 RTR1#show ipv6 interface brief gigabitEthernet 0/1.100 [up/up] FE80::1 2001:100::1 gigabitEthernet 0/1.300 [up/up] FE80::1 2001:300::2 Loopback100 [up/up] FE80::1 2001:A:B::1 

所有其他设备的配置方式相同。

d。 在所有交换机上，禁用作业中未使用的所有端口，并将其传输到VLAN 99

主要思想是使用range命令选择多个接口进行配置的相同方法，只有这样，您才应将transfer命令写入所需的VLAN，然后关闭接口。 例如，在交换机SW1处，根据L1的拓扑，端口f0 / 3-4，f0 / 7-8，f0 / 11-24和g0 / 2将被关闭。 对于此示例，设置如下：

 //     SW1(config)#interface range fastEthernet 0/3-4, fastEthernet 0/7-8, fastEthernet 0/11-24, gigabitEthernet 0/2 //   access   SW1(config-if-range)#switchport mode access //   VLAN 99  SW1(config-if-range)#switchport access vlan 99 //   SW1(config-if-range)#shutdown SW1(config-if-range)#exit 

使用已知命令检查设置，值得注意的是所有未使用的端口都应处于管理性关闭状态，并通知端口已关闭：

 SW1#show ip interface brief Interface IP-Address OK? Method Status Protocol ... fastEthernet 0/3 unassigned YES unset administratively down down 

要查看端口所在的VLAN，可以使用另一个命令：

 SW1#show ip vlan ... 99 VLAN0099 active Fa0/3, Fa0/4, Fa0/7, Fa0/8 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/2 ... 

所有未使用的接口都应该在这里。 值得注意的是，如果未创建接口，则无法将接口转换为接口。 为此，在初始设置中创建了所有工作所需的VLAN。

e。 如果在30秒内两次输入错误密码，请在SW1开关上启用锁定1分钟

您可以使用以下命令执行此操作：

 //   60; : 2;  : 30 SW1#login block-for 60 attempts 2 within 30 

您还可以如下检查这些设置：

 SW1#show login ... If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. ... 

可以理解的是，在30秒或更短的时间内两次尝试失败后，登录将被阻止60秒。

2.必须可访问所有设备以进行SSH版本2协议管理。

为了使设备可以通过SSH版本2使用，必须首先配置设备，以便出于参考目的，将首先配置具有出厂设置的设备。

您可以按以下方式更改打孔版本：

 //   SSH  2 Router(config)#ip ssh version 2 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)# 

系统要求为SSH版本2的运行状况创建RSA密钥。根据智能系统的建议，可以使用以下命令创建RSA密钥：

 //  RSA  Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)# 

由于主机名尚未更改，系统不允许执行该命令。 更改主机名后，您需要再次编写密钥生成命令：

 Router(config)#hostname R1 R1(config)#crypto key generate rsa % Please define a domain-name first. R1(config)# 

现在，由于缺少域名，系统不允许创建RSA密钥。 并且在安装域名之后，将可以创建RSA密钥。 RSA密钥的长度必须至少为768位，SSH版本2才能运行：

 R1(config)#ip domain-name wsrvuz19.ru R1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

结果，要使SSHv2正常工作，您需要：

1. 更改主机名；
2. 更改域名；
3. 生成RSA密钥。

在上一篇文章中，给出了用于更改所有设备上的主机名和域名的设置，因此，继续配置当前设备，您只需要生成RSA密钥：

 RTR1(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 

SSH版本2处于活动状态，但设备尚未完全配置。 最后一步是配置虚拟控制台：

 //      R1(config)#line vty 0 4 //       SSH RTR1(config-line)#transport input ssh RTR1(config-line)#exit 

在上一篇文章中，配置了AAA模型，其中使用本地数据库在虚拟控制台上设置了身份验证，并且用户必须在身份验证后立即进入特权模式。 最简单的SSH健康检查是尝试连接到您自己的硬件。 在RTR1上，存在一个IP地址为1.1.1.1的环回，您可以尝试连接到该地址：

 //  ssh RTR1(config)#do ssh -l wsrvuz19 1.1.1.1 Password: RTR1# 

在-l开关之后，输入现有用户的用户名，然后输入密码。 身份验证后，它将立即切换到特权模式，这意味着SSH配置正确。