ICTSC 8 문제 해설[폭풍 제어 및 VSX]

6707 단어 networkJunipertech
ICTSC 8 질문 해설
ICTSC 8을 시작으로 일주일 이상 지났다.다들 안녕하세요?
나는 이번 블로그에서 자신이 한 문제에 대해 해설하고 반성하고 싶다.두 문제를 풀었기 때문에 한 문제씩 해설했다.
전통 국가 제일의 분쟁
旅の途中、酒場に訪れた。
        
        ドワーフ「お客さん、見ない顔だね。どこから来たんだい?」
        
        エイト「私は始まりの国のはずれよ。この人たちは私が異世界から呼んできたの」
        ドワーフ「ほーう。ここに壊れたスイッチがあって修理する当てを探しているんだが……。まぁおまえらじゃあ解決できないだろうな、ほら帰ってくれ」
        
        そう言い残すとドワーフは、店の奥に消えていった。
        
        エイト「キー! 悔しい。あんたたち絶対直してみせなさい!! 解決して見返してやりましょう」
 

     ## 注意事項
        - 2960B を再起動してはいけない。

        ## 達成すべき事項
        - 7 番ポートをリンクアップをさせ、原因を特定する
        - パスワードを `broken_port?` に変更する。
이 문제.우선 어떤 물리 토폴로지입니까? 아래와 같습니다.
2960B FE0/7에서 장애가 발생했습니다.
고장난 내용을 간단히 설명하자면 취약한 비밀번호(cisco)를 설정했는데 7번 포트로 돌파된 느낌이다.그럼 설명 좀 해주세요.
핵심 기술
폭풍 제어
ストーム制御は、物理NICの不良、ネットワーク構成のミス、DoS攻撃などにより発生するトラフィックストームの影響を制限して制御できる技術です。ストーム制御では、ポートからスイッチングバスを通過するトラフィックをモニターして、パケットがユニキャスト、マルチキャスト、ブロードキャストなのか判別します。次に、スイッチは1秒間に受信した特定のタイプのパケット数をカウントして、事前に定義されたストーム制御レベルのしきい値と、その測定結果を比較します。以下のいずれかを測定方法に使用。
이 기술을 사용하여 어느 정도의 데이터 패키지가 통과되면 shutdown이 되도록 설정했다.
그럼 구체적인 config를 살펴봅시다.
ena
 	terminal history size 0
 	conf t
 	 
 	hostname 2960-B
 	 
 	!KAT
 	enable sec cisco
 	vtp mode tran
 	 
 	!KAT
 	vlan 143
 	int fa0/7
 	switch access vlan 143
 	 
 	storm-control unicast level 0.0
 	storm-control action shutdown
 	exit
 	 
 	!internet
 	vlan 199
 	int range fa0/13 - 24
 	switch access vlan 199
 	exit
 	int fa0/15
 	switchport access vlan 199
 	 
 	!892J
 	vlan 199
 	int range fa0/8
 	switch access vlan 199
 	exit
 	int fa0/8
 	switch access vlan 199
 	exit
 	exit
 	 
 	write memo
 	 
 	 
 	conf t
 	int fa0/7
 	no storm-control unicast level 0.0
 	no storm-control action shutdown
 	exit
 	exit
빨간색 문자가 이번 포인트다.추적 제어 때문인지 바로 알지 못하도록 no에서 명령을 삭제했습니다.또 액션을 shutdown으로 바꿨기 때문에 포트가 올라갈 수 없습니다.포인트는 대충 이 정도죠?무슨 문제가 있으면 내가 처리할게.
그리고 이 문제는 또 하나의 요점이 있다.그게 비밀번호 변경이야.broken_port? 변경 지시.보통 cisco에서
지금 나오는 지령 후보.이것을 사용하지 않으면 비밀번호를 설정할 수 없습니다.잘못된 방법은 Ctrl+V입니다.
이상은 해설입니다.다음은 강평이다.
강평
그 결과 15개 팀 중 14개 팀이 기준점을 돌파했다.기본적으로 비밀번호가 변경되었습니다. 포트 7이 상승하면 기준점으로 사용합니다.다들 풀린 것 같아서 다행이다.
황폐한 나라의 3대 분쟁
トラフィックの問題を解決し、無事に服屋にたどり着くことができた。
        
        エイト「さっそく服を買うわよ……ってお店が開いてないじゃない!」
        
        店の前で大声を出したせいか、中からやつれた顔のエルフが出てきた。
        
        エルフ「すいません。最近盗賊に魔法陣を乗っ取られて、お店のシステムが動かなくなったんです。今は盗賊の対策の真っ最中で、これが終わるまでお店は開けられません。魔法陣を安全に設定したいんですけど……」
        
        エイト「かわいそうに! 私たちが何とかしてあげましょう。安全にsshができればいいのかしらね?」
## 고려 사항
- 브라우저는 Firefox를 권장합니다.
- 작업을 해결하려면 지정된 URL에 액세스해야 합니다.
###기타
서버에 기본 게이트웨이를 설정할 때는 192.168.16.254/24를 사용합니다.
### 달성해야 할 사항
- 관리자 포트와 이외의 포트 두 개는 ssh를 사용할 수 있습니다.
- 어떻게 ssh를 가능하게 하는지 상세히 설명합니다.
핵심 기술
Flow-based forwarding 모드
packet-based forwarding 모드
이상 모드 전환의 문제입니다.구체적인 지령은 아래와 같다.Flow-based forwarding 모드에서 vsrx는 원래 방화벽이기 때문에 핑의 연결성을 확보하기 어렵다.따라서 vsrx를 공유기로 처리하기 위해 패키지-based forwarding 모드로 바꾸는 것이 문제입니다.정확한 대답을 위해 fxp0의 관리자 포트와 그 이외의 어떤 포트 ssh에서 완성할 수 있습니다.
delete security
set security forwarding-options family mpls mode packet-based
set security forwarding-options family inet6 mode packet-based
commit
exit
request system reboot
확인할 명령
show security flow status
나는 어쩔 수 없이 해야 할 일이 하나 있다.이 해답 방법은 최선의 해답이 아니다.(어른도 된다고 하지만 최선의 답은 아니다.)
이것에 관해서는 완전히 자신의 학습 부족이다.미안합니다.
문제 해설
구체적으로 해야 할 일은 주로 두 가지가 있다.
인터페이스에 주소 설정과 ssh를 허용하는 명령을 입력하십시오.
모드를 변경하고 다시 시작합니다.
그게 다야.
다음은 vsrx를 구축하는 구체적인 명령입니다.문제를 풀 때는 필요없지만 자주 사용하는 지령도 함께 실었다.
이번에는 vsrx가 오픈스테이크에 탑승한 상황입니다.오픈스테이크에서 vsrx를 잘 사용하려면 몇 가지 요점이 있습니다.
모드 변환
cli (명령할 수 있는 모드로 이동)
conf (cisco의 conf t와 같은 종류)
ping의 커뮤니케이션 보장
명령하다
conf
set interfaces fxp0 unit 0 family inet address 10.0.0.13/24
set system root-authentication plain-text-password
set routing-options static route 0.0.0.0/0 next-hop 10.0.0.254
commit
exit
ping 8.8.8.8
(commiit는 반드시 쳐야 합니다. 명령의 유효성 주의)
address10.0.0.13의 주소는 상응하는 것이다(openstack의 그것)
주소는 오픈스테이크에서 사용하니 신경 쓰지 마세요.
상기 명령은 관리자 포트에 주소를 추가합니다. 로그인할 때 비밀번호를 추가하지 않으면commiit를 진행할 때 주의를 받을 수 있습니다.그리고 static으로 서버에 연결합니다.루트의 비밀번호가 여기에 설정되어 있기 때문에 문제를 해결할 때 진행할 필요가 없습니다.
다음은 ssh 허가 설정과 새 사용자 생성입니다
set system login user katu class super-user
set system login user katu authentication plain-text-password
set system services ssh sshの有効化のコマンド
set system services ssh root-login allow
이렇게 해서 카투라는 사용자를 만들었고 ssh의 허가를 받았다.
vsrx를 공유기로 사용하는 명령
delete security
set security forwarding-options family mpls mode packet-based
set security forwarding-options family inet6 mode packet-based
commit
exit
request system reboot
확인된 명령
show security flow status
호스트 이름 설정
set system host-name vSRX-1
관리자 포트 이외의 포트에서 ssh를 진행하는 방법
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.13/24
대충 이런 느낌이에요.나는 본래 문제를 강평하고 싶었지만 대답 수가 0이기 때문에 구축 과정에서 발생하는 여러 가지 문제를 대체했다.
구축 중의 고장
우선 오픈스테이크 위에 vsrx를 올려 오픈스테이크와 vsrx를 접촉한 적이 없기 때문에 1부터 구축했다.
인스턴스를 만들면 위의 이미지처럼 느껴집니다.
내부 핵 공황이 발생하고 있다.4GB 미만의 메모리가 인스턴스를 만들었기 때문입니다.4GB 이상이어야 합니다.
다음에 ssh로 소통하고 싶어요.근데 vsrx는 아무리 설정해도 안돼.상태는 핑이 통과할 수 있을 것 같은데 ssh가 안돼요.다른 운영위원들이 확정한 이유다.
SSH 연결이 설정되었으나 열쇠를 교환하는 곳에서 정지되었습니다. 아마도 MTU 때문일 것입니다
1500byte ping을 vSRX의 Flating IP에 드랍
VXLAN 오버헤드라고 생각하지만 MTU를 조정해야 합니다.
이런 답변을 받았습니다.그래서 저는 MTU를 조정하고 관리자 포트의 MTU를 1450으로 바꾸고 싶은데 관리자 포트는 MTU를 바꿀 수 없기 때문에 다른 포트 ssh에서 두 개의 Flow-based forwarding 모드인 Packet-based forwarding 모드를 알고 싶습니다.그리고 지-0/0/0부터 ssh를 시작하기 위해 순조롭게 완성했습니다.따라서 검증 환경에서 관리자 포트는 ssh를 진행할 수 없고 다른 포트에서만 ssh를 할 수 있다는 수수께끼 같은 환경이 형성되었다.
다음 문제는 오픈스테이크가 vsrx에서 새로 만든 포트를 모른다는 것입니다.결과적으로 오픈스테이크의 포트 필터가 작동하고 있기 때문일 수 있습니다.이를 감안하여 다음과 같은 순서에 따라 구축하였다.
Openstack 만들기 실례
인터페이스는 반드시 두 개 이상을 추가해야 한다.
둘째, 외부를 소통시키기 위해(ssh)
IP 인증
인스턴스 시작
ge-0/0/0에 주소 추가
대외적 소통성 을 확인 하다
ssh 라이센스 명령
g-0/0/0의 mutu를 1450으로 바꾸다
할 수 있다
주의는 반드시 이 순서에 따라야 한다.또한 첫 번째 인터페이스는 관리 인터페이스 fxp0을 수여받기 때문에 두 번째 인터페이스에 소통성을 확보할 수 있는 주소를 추가해야 한다.그리고 오픈스틱 측에서 추가 NIC를 식별하고 싶을 때 실례를 멈추고 시작합니다.
vsrx는 주소를 추가하는 순서가 있기 때문에 이 순서에 따라 진행해야 합니다.
이 근처에 시간이 없어요. 검증이 끝났어요.나는 이 구축 과정을 문제로 삼고 싶어서 이번 문제로 바뀌었다.
감상
이번에는 문제를 내지 못했지만 cisco와 vsrx로 IPsec를 붙이는 문제를 제기하려고 노력했지만 시간이 없어서 문제를 내지 못했습니다.죄송합니다. 다중 공급업체를 기대하는 문제입니다.
전체적인 소감입니다.나는 누군가가 이번 네트워크 시스템의 문제가 매우 적다고 생각한다고 생각한다.그 점에 관해서 나는 매우 미안하다.운영위원 중 인터넷 문제를 만드는 사람이 줄어 문제 수가 줄었다.
질문과 더 좋은 답을 알고 있는 사람이 자신의 트위터에 연락할 수 있다면 감사하겠습니다.

좋은 웹페이지 즐겨찾기