Движение WorldSkills направлено на получение участниками преимущественно практических навыков, востребованных на современном рынке труда. Компетенция «Сетевое и системное администрирование» состоит из трех модулей: Network, Windows, Linux. Задания меняются от чемпионата к чемпионату, меняются условия проведения, однако структура заданий по большей части остается неизменной.

Остров Network будет первым ввиду своей простоты относительно островов Linux и Windows.

В статье будут рассмотрены следующие задания:

1. Задайте имена ВСЕХ устройств в соответствии с топологией
2. Назначьте для ВСЕХ устройств доменное имя wsrvuz19.ru
3. Создайте на ВСЕХ устройствах пользователя wsrvuz19 с паролем cisco
   
   • Пароль пользователя должен храниться в конфигурации в виде результата хэш-функции.
   • Пользователь должен обладать максимальным уровнем привилегий.
4. Для ВСЕХ устройств реализуйте модель AAA.
   
   
   • Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных (кроме устройства RTR1 и RTR2)
   • После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий.
   • Настройте необходимость аутентификации на локальной консоли.
   • При успешной аутентификации на локальной консоли пользователь должен попадать в режим с минимальным уровнем привилегий.
   • На BR1 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий
5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим.
   
   • Пароль должен храниться в конфигурации НЕ в виде результата хэш-функции.
   • Настройте режим, при котором все пароли в конфигурации хранятся в зашифрованном виде.

Топология сети на физическом уровне представлена на следующей схеме:

1. Задайте имена ВСЕХ устройств в соответствии с топологией

Чтобы задать имя устройства (hostname) необходимо из режима глобальный конфигурации ввести команду hostname SW1, где вместо SW1 необходимо написать название оборудования, данное в заданиях.

Проверить настройку можно даже наглядно — вместо предустановленного Switch стало SW1:

Switch(config)# hostname SW1
SW1(config)#

Главной задача после проведения любых настроек заключается в сохранении конфигурации.

Сделать это можно из режима глобальной конфигурации командой do write:

SW1(config)# do write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]

Или из привилегированного режима командой write:

SW1# write
Building configuration...
Compressed configuration from 2142 bytes to 1161 bytes[OK]

2. Назначьте для ВСЕХ устройств доменное имя wsrvuz19.ru

Задать доменное имя wsrvuz19.ru по умолчанию можно из режима глобальной конфигурации командой ip domain-name wsrvuz19.ru.

Проверка осуществляется командой do show hosts summary из режима глобальной конфигурации:

SW1(config)# ip domain-name wsrvuz19.ru
SW1(config)# do show hosts summary
Name lookup view: Global
Default domain is wsrvuz19.ru
...

3. Создайте на ВСЕХ устройствах пользователя wsrvuz19 с паролем cisco

Необходимо создать такого пользователя, чтобы он обладал максимальным уровнем привилегий, а пароль хранился в виде хэш-функции. Все эти условия учитываются командой username wsrvuz19 privilege 15 secret cisco.

Здесь:

username wsrvuz19 — имя пользователя;
privilege 15 — уровнень привилений (0 — минимальный уровень, 15 — максимальный уровень);
secret cisco — хранение пароля в виде MD5 хэш-функции.

Команда show running-config позволяет проверить настройки текущей конфигурации, где можно найти строку с добавленным пользователем и убедиться в том, что пароль хранится в зашифрованном виде:

SW1(config)# username wsrvuz19 privilege 15 secret cisco
SW1(config)# do show running-config
...
username wsrvuz19 privilege 15 secret 5 $1$EFRK$RNvRqTPt5wbB9sCjlBaf4.
...

4. Для ВСЕХ устройств реализуйте модель AAA

Модель AAA — система аутентификации, авторизации и учета событий. Чтобы выполнить это задание, первым делом необходимо включить модель ААА и указать, что аутентификация будет производиться с использованием локальной базы данных:

SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local

a. Аутентификация на удаленной консоли должна производиться с использованием локальной базы данных (кроме устройства RTR1 и RTR2)

В заданиях определяются два вида консолей: локальная и удаленная. Удаленная консоль позволяет реализовывать удаленные подключения, например, по протоколам SSH или Telnet.

Чтобы выполнить это задание необходимо ввести следующие команды:

SW1(config)# line vty 0 4
SW1(config-line)# login authentication default
SW1(config-line)# exit
SW1(config)#

Командой line vty 0 4 производится переход к настройке линий виртуальных терминалов c 0 по 4.

Команда login authentication default включает режим аутентификации по умолчанию на вирутальной консоли, а режим по умолчанию был задан в прошлом задании командой aaa authentication login default local.

Выход из режима настройки удаленной консоли выполняется с помощью команды exit.

Надежной проверкой будет тестовое подключение по протоколу Telnet с одного устройства на другое. Стоит учитывать, что для этого должна быть настроена базовая коммутация и ip-адресация на выбранном оборудовании.

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1>

b. После успешной аутентификации при входе с удаленной консоли пользователь сразу должен попадать в режим с максимальным уровнем привилегий

Для решения такой задачи необходимо снова перейти к настройке линий виртуальных терминалов и задать уровень привилегий командой privilege level 15, где 15 — снова максимальный уровень, а 0 — минимальный уровень привилегий:

SW1(config)# line vty 0 4
SW1(config-line)# privilege level 15
SW1(config-line)# exit
SW1(config)#

Проверкой будет служить решение из прошлого подпункта — удаленное подключение по Telnet:

SW3#telnet 2001:100::10
User Access Verification
Username: wsrvuz19
Password:
SW1#

После аутентификации пользователь сразу попадает в привилегированный режим, минуя непривилегированный, значит, задание выполнено корректно.

c-d. Настройте необходимость на локальной консоли и при успешной аутентификации пользователь должен попадать в режим с минимальным уровнем привилегий

Структура команд в этих заданиях совпадает с ранее решенными заданиями 4.a и 4.b. Команда line vty 0 4 заменяется на console 0:

SW1(config)# line console 0
SW1(config-line)# login authentication default
SW1(config-line)# privilege level 0
SW1(config-line)# exit
SW1(config)#

Как уже было сказано, минимальынй уровень привилегий определяется числом 0. Проверку можно произвести следующим образом:

SW1# exit
User Access Verification
Username: wsrvuz19
Password:
SW1>

После аутентификации пользователь попадает в непривилегированный режим, как и сказано в заданиях.

e. На BR1 при успешной аутентификации на локальной консоли пользователь должен попадать в режим с максимальным уровнем привилегий

Настройка локальной консоли на BR1 будет иметь следующий вид:

BR1(config)# line console 0
BR1(config-line)# login authentication default
BR1(config-line)# privilege level 15
BR1(config-line)# exit
BR1(config)#

Проверка осуществляется тем же способом, что и в предыдущем пункте:

BR1# exit
User Access Verification
Username: wsrvuz19
Password:
BR1#

После аутентификацие происходит перехов в привилегированный режим.

5. На ВСЕХ устройствах установите пароль wsr на вход в привилегированный режим

В заданиях сказано, что пароль на привилегированный режим должен храниться стандартно в открытом виде, но при этом режим шифрования всех паролей не будет позволять посмотреть пароль в открытом виде. Для установки пароля на вход в привилегированный режим нужно использовать команду enable password wsr. Используя ключевое слово password, определяется вид, в котором будет храниться пароль. Если при создании пользователя пароль должен быть зашифрован, то ключевым словом было слово secret, а для хранения в откртом виде используется password.

Проверить настройки можно из просмотра текущей конфигуации:

SW1(config)# enable password wsr
SW1(config)# do show running-config
...
enable password wsr
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Видно, что пароль пользователя хранится в зашифрованном виде, а пароль на вход в привилегированный режим хранится в открытом виде, как и сказано в заданиях.
Для того, чтобы все пароли хранились в зашифрованном виде, следуюет использовать команду service password-encryption. Просмотр текущей конфигурации будет выглядеть теперь следующим образом:

SW1(config)# do show running-config
...
enable password 7 03134819
!
username wsrvuz19 privilege 15 secret 5 $1$5I66$TB48YmLoCk9be4jSAH85O0
...

Пароль больше не доступен для просмотра в открытом виде.