Базовая настройка linux worldskills

[Из песочницы] Решение заданий WorldSkills модуля Network в компетенции «СиСА». Часть 1 — Базовая настройка

Движение WorldSkills направлено на получение участниками преимущественно практических навыков, востребованных на современном рынке труда. Компетенция «Сетевое и системное администрирование» состоит из трех модулей: Network, Windows, Linux. Задания меняются от чемпионата к чемпионату, меняются условия проведения, однако структура заданий по большей части остается неизменной.

Остров Network будет первым ввиду своей простоты относительно островов Linux и Windows.

В статье будут рассмотрены следующие задания:

1. Задайте имена ВСЕХ устройств в соответствии с топологией
2. Назначьте для ВСЕХ устройств доменное имя wsrvuz19.ru
3. Создайте на ВСЕХ устройствах пользователя wsrvuz19 с паролем cisco
   • Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
   • Пользователь должен обладать максимальным уровнем привилегий.
4. Для ВСЕХ устройств реализуйте модель AAA.
   • Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных (кроме устройства RTR1 и RTR2)
   • После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.
   • Настройте необходимость аутентификации на локальной консоли.
   • При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
   • На BR1 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
   • Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
   • Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.

Топология сети на физическом уровне представлена на следующей схеме:

1. Задайте имена ВСЕХ устройств в соответствии с топологией

Чтобы задать имя устройства (hostname) необходимо из режима глобальный конфигурации ввести команду `hostname SW1`, где вместо SW1 необходимо написать название оборудования, данное в заданиях.

Проверить настройку можно даже наглядно — вместо предустановленного Switch стало SW1:
«`xml
Switch(config)# hostname SW1
SW1(config)#
«`
Главной задача после проведения любых настроек заключается в сохранении конфигурации.

Сделать это можно из режима глобальной конфигурации командой `do write`:
«`xml
SW1(config)# do write
Building configuration…
Compressed configuration from 2142 bytes to 1161 bytes[OK]
«`
Или из привилегированного режима командой `write`:
«`xml
SW1# write
Building configuration…
Compressed configuration from 2142 bytes to 1161 bytes[OK]
«`

2. Назначьте для ВСЕХ устройств доменное имя wsrvuz19.ru

Задать доменное имя wsrvuz19.ru по умолчанию можно из режима глобальной конфигурации командой `ip domain-name wsrvuz19.ru`.

Проверка осуществляется командой do show hosts summary из режима глобальной конфигурации:
«`xml
SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
…
«`

3. Создайте на ВСЕХ устройствах пользователя wsrvuz19 с паролем cisco

Необходимо создать такого пользователя, чтобы он обладал максимальным уровнем привилегий, а пароль хранился в виде хэш-функции. Все эти условия учитываются командой `username cisco privilege 15 secret cisco`.

`username cisco` — имя пользователя;
`privilege 15` — уровнень привилений (0 — минимальный уровень, 15 — максимальный уровень);
`secret cisco` — хранение пароля в виде MD5 хэш-функции.

Команда show `running-config` позволяет проверить настройки текущей конфигурации, где можно найти строку с добавленным пользователем и убедиться в том, что пароль хранится в зашифрованном виде:
«`xml
SW1(config)# username cisco privilege 15 secret cisco
SW1(config)# do show running-config
…
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
…
«`

4. Для ВСЕХ устройств реализуйте модель AAA

Модель AAA — система аутентификации, авторизации и учета событий. Чтобы выполнить это задание, первым делом необходимо включить модель ААА и указать, что аутентификация будет производиться с использованием локальной базы данных:
«`xml
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
«`

a. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных (кроме устройства RTR1 и RTR2)

В заданиях определяются два вида консолей: локальная и удаленная. Удаленная консоль позволяет реализовывать удаленные подключения, например, по протоколам SSH или Telnet.

Чтобы выполнить это задание необходимо ввести следующие команды:
«`xml
SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#
«`
Командой `line vty 0 4` производится переход к настройке линий виртуальных терминалов c 0 по 4.

Команда `login authentication default` включает режим аутентификации по умолчанию на вирутальной консоли, а режим по умолчанию был задан в прошлом задании командой `aaa authentication login default local`.

Выход из режима настройки удаленной консоли выполняется с помощью команды `exit`.

Надежной проверкой будет тестовое подключение по протоколу Telnet с одного устройства на другое. Стоит учитывать, что для этого должна быть настроена базовая коммутация и ip-адресация на выбранном оборудовании.
«`xml
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>
«`

b. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий

Для решения такой задачи необходимо снова перейти к настройке линий виртуальных терминалов и задать уровень привилегий командой `privilege level 15`, где 15 — снова максимальный уровень, а 0 — минимальный уровень привилегий:
«`xml
SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#
«`
Проверкой будет служить решение из прошлого подпункта — удаленное подключение по Telnet:
«`xml
SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#
«`
После аутентификации пользователь сразу попадает в привилегированный режим, минуя непривилегированный, значит, задание выполнено корректно.

c-d. Настройте необходимость на локальной консоли и при успешной аутентификации пользователь должен попадать в режим с минимальным уровнем привилегий

Структура команд в этих заданиях совпадает с ранее решенными заданиями 4.a и 4.b. Команда `line vty 0 4` заменяется на `console 0`:
«`xml
SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#
«`
Как уже было сказано, минимальынй уровень привилегий определяется числом 0. Проверку можно произвести следующим образом:
«`xml
SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>
«`
После аутентификации пользователь попадает в непривилегированный режим, как и сказано в заданиях.

e. На BR1 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий

Настройка локальной консоли на BR1 будет иметь следующий вид:
«`xml
BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#
«`
Проверка осуществляется тем же способом, что и в предыдущем пункте:
«`xml
BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#
«`
После аутентификацие происходит перехов в привилегированный режим.

5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим

В заданиях сказано, что пароль на привилегированный режим должен храниться стандартно в открытом виде, но при этом режим шифрования всех паролей не будет позволять посмотреть пароль в открытом виде. Для установки пароля на вход в привилегированный режим нужно использовать команду `enable password wsr`. Используя ключевое слово `password`, определяется вид, в котором будет храниться пароль. Если при создании пользователя пароль должен быть зашифрован, то ключевым словом было слово `secret`, а для хранения в откртом виде используется `password`.

Проверить настройки можно из просмотра текущей конфигуации:
«`xml
SW1(config)# enable password wsr
SW1(config)# do show running-config
…
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
…
«`
Видно, что пароль пользователя хранится в зашифрованном виде, а пароль на вход в привилегированный режим хранится в открытом виде, как и сказано в заданиях.
Для того, чтобы все пароли хранились в зашифрованном виде, следуюет использовать команду `service password-encryption`. Просмотр текущей конфигурации будет выглядеть теперь следующим образом:
«`xml
SW1(config)# do show running-config
…
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
…
«`
Пароль больше не доступен для просмотра в открытом виде.

Источник

Решение заданий WorldSkills модуля Network в компетенции «СиСА». Часть 2 — Базовая настройка

Продолжаем разбор заданий модуля Network чемпионата WorldSkills в компетенции «Сетевое и системное администрирование».

В статье будут рассмотрены следующие задания:

На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с топологией.

• Включите механизм SLAAC для выдачи IPv6-адресов в сети MNG на интерфейсе маршрутизатора RTR1;
• На виртуальных интерфейсах в ВЛВС 100 (MNG) на коммутаторах SW1, SW2, SW3 включите режим автоконфигурации IPv6;
• На ВСЕХ устройствах (кроме PC1 и WEB) вручную назначьте link-local адреса;
• На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые в задании порты и переведите в VLAN 99;
• На коммутаторе SW1 включите блокировку на 1 минуту в случае двукратного неправильного ввода пароля в течение 30 секунд;

Все устройства должны быть доступны для управления по протоколу SSH версии 2.

Топология сети на физическом уровне представлена на следующей схеме:

Топология сети на канальном уровне представлена на следующей схеме:

Топология сети на сетевом уровне представлена на следующей схеме:

Пример решения всех заданий, можно посмотреть в видео формате.

Ниже представлена предварительная настройка коммутаторов:

Настройка IPv6 адресации, включение механизма SLAAC:

Настройка SSH версии 2:

Предварительная настройка

Перед выполнением вышеуказанных заданий стоит настроить базовую коммутацию на коммутаторах SW1-SW3, так как будет удобнее проверять в дальнейшем их настройки. Настройка коммутации будет подбробно описана в следующей статье, а пока будут определены лишь настройки.

Первым делом необходимо создать vlan’ы с номерами 99, 100 и 300 на всех коммутаторах:

Следующим шагом будет перевод интерфейса g0/1 на SW1 в vlan с номером 300:

Интерфейсы f0/1-2, f0/5-6, которые смотрят в сторону других коммутаторов, следует перевести в режим trunk:

На комммутаторе SW2 в режиме trunk будут интерфейсы f0/1-4:

На комммутаторе SW3 в режиме trunk будут интерфейсы f0/3-6, g0/1:

На данном этапе настройки коммутаторов будут позволять обмениваться тегированными пакетами, что потребуется для выполнения заданий.

1. На ВСЕХ устройствах создайте виртуальные интерфейсы, подынтерфейсы и интерфейсы типа петля. Назначьте IP-адреса в соответствии с топологией.

Первым будет настраиваться маршрутизатор BR1. Согласно топологии L3 здесь необходимо настроить интерфейс типа петля, он же loopback, под номером 101:

Чтобы проверить состояние созданного интерфейса можно использовать команду show ipv6 interface brief :

Здесь видно, что loopback активен, его состояние UP. Если посмотреть ниже, то можно увидеть два IPv6-адреса, хотя была использована только одна команда для установки IPv6-адреса. Дело в том, что FE80::2D0:97FF:FE94:5022 — это link-local адрес, который присваивается при включении ipv6 на интерфейсе командой ipv6 enable .

А для просмотра IPv4-адреса используется похожая команда:

Для BR1 сразу же стоит настроить интерфейс g0/0, здесь необходимо просто задать IPv6-адрес:

Проверять настройки можно той же командой show ipv6 interface brief :

Далее будет настроен маршрутизатор ISP. Здесь по заданию будет настроен loopback c номером 0, но кроме этого предпочтительнее настроить интерфейс g0/0, на котором должен быть адрес 30.30.30.1, по той причине, что в последующих заданиях ничего не будет сказано о настройке этих интерфейсов. Сначала настраивается loopback с номером 0:

Командой show ipv6 interface brief можно убедиться в правильности настойки интерфейса. Затем настраивается интерфейс g0/0:

Далее будет настроен маршрутизатор RTR1. Здесь так же нужно создать loopback под номером 100:

Также на RTR1 необходимо создать 2 виртуальных подынтерфейса для vlan’ов с номерами 100 и 300. Сделать это можно следующим образом.

Для начала следует включить физический интерфейс g0/1 командой no shutdown:

Затем создаются и настраиваются подынтерфейсы с номерами 100 и 300:

Номер подынтерфейса может отличаться от номера vlan’a, в котором он будет работать, но для удобства лучше использовать номер подынтерфейса, совпадающий с номером vlan’a. В случае установки типа инкапсуляции при настройке подынтерфейса, следует указывать номер, совпадающий с номером vlan’a. Так после команды encapsulation dot1Q 300 подынтерфейс будет пропускать только пакеты vlan’a с номером 300.

Заключительным в этом задании будет маршрутизатор RTR2. Соединение между SW1 и RTR2 должно быть в режиме access, интерфейс коммутатора будет пропускать в сторону RTR2 только пакеты, предназначенные для vlan’a с номером 300, об этом сказано в задании на топологии L2. Следовательно на маршрутизаторе RTR2 будет настраиваться только физический интерфейс без создания подынтерфейсов:

Затем настраивается интерфейс g0/0:

На этом настройка интерфейсов маршрутизаторов по текущему заданию закончена. Настройка остальных интерфейсов будет осуществлена уже по мере выполнения следующих заданий.

a. Включите механизм SLAAC для выдачи IPv6-адресов в сети MNG на интерфейсе маршрутизатора RTR1

Механизм SLAAC включен по умолчанию. Единственное, что нужно сделать — это включить IPv6 маршрутизацию. Сделать это можно следующей командой:

Без этой команды оборудование выполняет роль хоста. Другими словами, благодаря вышеупомянутой команде, появляется возможность использовать дополнительные функции ipv6, в том числе выдавать ipv6-адреса, настраивать маршрутизацию и прочее.

b. На виртуальных интерфейсах в ВЛВС 100 (MNG) на коммутаторах SW1, SW2, SW3 включите режим автоконфигурации IPv6

Из топологии L3 видно, что коммутаторы подключены к сети VLAN 100. Это значит, что на коммутаторах необходимо создать виртуальные интерфесы, а уже затем назначить там получение ipv6-адресов по умолчанию. Первоначальная настройка была сделана именно для того, чтобы коммутаторы смогли получить от RTR1 адреса по умолчанию. Выполнить это задание можно следующим перечнем команд, подходящих для всех трех коммутаторов:

Проверить можно все той же командой show ipv6 interface brief :

Кроме link-local адреса появился ipv6-адрес, полученный от RTR1. Данное задание успешно выполнено, а на остальных коммутаторах необходимо написать те же самые команды.

с. На ВСЕХ устройствах (кроме PC1 и WEB) вручную назначьте link-local адреса

Тридцатизначные ipv6-адреса не доставляют удовольствия администраторам, поэтому есть возможность изменить вручную link-local, сократив его длину до минимального значения. В заданиях ничего не сказано о том, какие именно выбирать адреса, поэтому здесь предоставляется свободный выбор.

Например, на коммутаторе SW1 необходимо задать link-local адрес fe80::10. Сделать это можно следующей командой из режима конфигурирования выбранного интерфейса:

Теперь адресация выглядить намного привлекательнее:

Кроме link-local адреса поменялся и полученный IPv6-адрес, так как адрес выдается на основе link-local адреса.

На коммутаторе SW1 необходимо было задать только на одном интерфейсе link-local адрес. С маршрутизатором RTR1, нужно произвести больше настроек — необходимо задать link-local на двух подынтерфейсах, на loopback’е, а в последующих настройках ещё появится интефейс tunnel 100.

Чтобы избежать лишнего написания команд, можно задать один и тот же link-local адрес на всех интерфейсах сразу. Сделать это можно с помощью ключевого слова range с последующим перечислением всех интерфейсов:

При проверке интерфейсов можно будет увидеть, что на всех выбранных интерфейсах были изменены link-local адреса:

Все остальные устройства настраиваются аналогичным способом

d. На ВСЕХ коммутаторах отключите ВСЕ неиспользуемые в задании порты и переведите в VLAN 99

Основная идея заключается в том же способе выбора нескольких интерфейсов для конфигурирования с помощью команды range , а уже затем следует писать команды перевода в нужный vlan и последующего выключения интерфейсов. Например, у коммутатора SW1, согласно топологии L1, будут выключены порты f0/3-4, f0/7-8, f0/11-24 и g0/2. Для этого примера настройка будет следующая:

Проверяя настройки уже известной командой, стоит обратить внимание, что у всех неиспользуемых портов должен быть статус administratively down, оповещающий о том, что порт выключен:

Чтобы посмотреть, в каком vlan’е находится порт можно использовать другую команду:

Здесь должны быть все неиспользуемые интерфейсы. Стоит отметить, что перевести интерфейсы в vlan не удастся, если такой vlan не создан. Именно для этого в первоначальной настройке создавались все необходимые для работы vlan’ы.

e. На коммутаторе SW1 включите блокировку на 1 минуту в случае двукратного неправильного ввода пароля в течение 30 секунд

Сделать это можно следующей командой:

Также можно проверить эти настройки следующим образом:

Где доходчиво объяснено, что после двух неудачных попыток в течение 30 или менее секунд, возможность входа будет заблокирована на 60 секунд.

2. Все устройства должны быть доступны для управления по протоколу SSH версии 2

Чтобы устройства были доступны по SSH версии 2, необходимо предварительно настроить оборудование, поэтому в целях информативности сначала будет настраиваться оборудование с заводскими настройками.

Изменить версию прокола можно следующим образом:

Система просит создать RSA ключи для работоспособности SSH версии 2. Следуя совету умной системы, создать ключи RSA можно следующей командой:

Система не позволяет выполнить команду по причине того, что не изменен hostname. После изменения hostname нужно написать команду генерации ключей ещё раз:

Теперь система не позволяет создать ключи RSA, по причине отсутсвия доменного имени. И уже после установки доменного имени появится возможность создать ключи RSA. Длина ключей RSA должна быть не менее 768 бит для работоспособности SSH версии 2:

В итоге получается, что для работоспособности SSHv2 необходимо:

1. Изменить hostname;
2. Изменить доменное имя;
3. Сгенерировать ключи RSA.

В прошлой статье была приведена настройка изменения hostname и доменного имени на всех устройстах, поэтому, продолжая настройку текущих устройств, необходимо только сгенерировать ключи RSA:

SSH версии 2 активен, но устройста ещё не настроены полностью. Заключительным этапом будет настройка виртуальных консолей:

В прошлой статье была настроена модель ААА, где на виртуальных консолях была задана аутентификация с использованием локальной базы данных, и пользователь после аутентификации должен был попадать сразу в привилегированный режим. Самая простая проверка работоспособности SSH — попытка подключиться на свое же оборудование. На RTR1 есть loopback c ip-адресом 1.1.1.1, можно попробовать подключиться по этому адресу:

После ключа -l вводится логин существующего пользователя, а затем пароль. После аутентификации происходит переход сразу в привилегированный режим, а это значит, что SSH настроен корректно.

Источник