По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Telnet - это протокол прикладного уровня в модели TCP / IP. Этот протокол позволяет устройству (клиенту Telnet) подключаться к удаленному хосту (серверу Telnet), используя TCP в качестве протокола транспортного уровня. Обычно сервер Telnet прослушивает соединения Telnet на TCP-порту 23.
Устройство, на котором работает VRP, может функционировать как клиент Telnet и сервер Telnet. Например, вы можете войти в систему и использовать его в качестве клиента Telnet для подключения к другому устройству через Telnet. На рисунке 1 показан такой сценарий, в котором R1 функционирует как сервер Telnet и клиент Telnet для ПК и R2 соответственно.
Вход в устройство через Telnet
Чтобы войти в устройство с ПК под управлением операционной системы Windows, выберите "Пуск"> "Выполнить" и выполните команду telnet ip-address. Например, чтобы войти в устройство с IP-адресом 10.137.217.177, введите команду telnet 10.137.217.177 и нажмите OK (рис. 2).
В появившемся диалоговом окне входа в систему введите имя пользователя и пароль. Если аутентификация прошла успешно, отобразится приглашение командной строки <Huawei>.
Управление файлами
VRP использует файловую систему для управления всеми файлами и каталогами на устройстве.
Базовые концепции
Файловая система VRP используется для создания, удаления, изменения, копирования и отображения файлов и каталогов, которые хранятся во внешнем хранилище устройства, которое для маршрутизаторов Huawei представляет собой флэш-память и SD-карты, а для коммутаторов Huawei - флэш-память и CF-карты. Некоторые устройства также используют внешние USB-диски в качестве дополнительных устройств хранения.
На внешнем запоминающем устройстве могут храниться файлы различных типов, включая файл конфигурации, файл системного программного обеспечения, файл лицензии и файл исправления (patch). Файл системного программного обеспечения является файлом операционной системы VRP и должен храниться в формате .cc в корневом каталоге внешнего запоминающего устройства. Содержимое этого файла загружается в память устройства и запускается при включении устройства.
Резервное копирование файла конфигурации
В некоторых сценариях, таких как обновление системы, может потребоваться создать резервную копию файла конфигурации устройства в определенной папке на внешнем запоминающем устройстве. В следующем примере описан процесс резервного копирования, предполагая, что вы уже вошли в R1 через ПК (рис. 3).
Задание файла для резервного копирования
Команда dir [/all] [filename | directory] отображает файлы по указанному пути. all указывает,что отображаются все файлы и каталоги в текущем пути, включая любые файлы в корзине. filename указывает файл. Directory задает каталог.
Чтобы проверить файлы и каталоги в корневом каталоге флэш-памяти R1, выполните следующую команду:
В этом примере будет создана резервная копия файла конфигурации vrpcfg.zip размером 1351 байт.
Создание каталога
Запустите команду mkdir directory, чтобы создать каталог. directory определяет имя создаваемого каталога (включая путь к нему). Чтобы создать каталог backup в корневом каталоге (root) флэш-памяти устройства, выполните следующую команду:
Копирование и переименование файла конфигурации
Запустите команду copy source-filename destination-filename, чтобы скопировать файл. source-filename (имя-источника) указывает путь и имя исходного файла. destination-filename (имя-назначения) указывает путь и имя файла назначения.
Чтобы скопировать файл конфигурации vrpcfg.zip в каталог backup и переименовать файл в vrpcfgbak.zip, выполните следующую команду:
Проверьте, что файл был скопирован.
Выполните команду cd directory, чтобы изменить текущий рабочий каталог. Чтобы проверить, было ли успешно выполнено резервное копирование файла конфигурации, выполните следующие команды:
Выходные данные команды показывают, что каталог backup содержит файл vrpcfgbak.zip, что означает, что файл конфигурации vrpcfg.zip был скопирован.
Передача файлов
TFTP
Trivial File Transfer Protocol (TFTP) - это простой протокол прикладного уровня в модели TCP / IP, используемый для передачи файлов. Он использует UDP в качестве протокола транспортного уровня с портом 69.
TFTP работает в модели клиент/сервер. Маршрутизаторы и коммутаторы Huawei работают только как клиенты TFTP. На рис. 4 ПК функционирует как сервер TFTP, а маршрутизатор - как клиент TFTP. TFTP используется для передачи файла системного программного обеспечения VRP с ПК на маршрутизатор.
Команда tftp tftp-server {get / put} source-filename [destination-filename] настраивает TFTP для передачи файлов. tftp-server задает IP-адрес сервера TFTP. get указывает, что файл должен быть загружен с сервера TFTP на клиент TFTP. put указывает, что файл должен быть загружен с клиента TFTP на сервер TFTP. source-filename указывается имя файла-источника. destination-filename указывает имя файла назначения. Чтобы загрузить файл системного программного обеспечения VRP devicesoft.cc с компьютера на маршрутизатор выполните следующую команду:
TFTP прост в реализации и использовании, но не обеспечивает никакой безопасности (например, он не проверяет учетные данные пользователя или не шифрует данные). Любой желающий может загружать или скачивать файлы на серверы TFTP или с них, что делает TFTP подходящим для передачи файлов только в защищенных сетевых средах. Для повышения безопасности используйте FTP или SFTP.
FTP
Подобно TFTP, протокол передачи файлов (FTP) является протоколом прикладного уровня в модели TCP / IP. Он использует TCP в качестве протокола транспортного уровня с портом 21. Маршрутизаторы и коммутаторы Huawei, на которых работает VRP, могут функционировать как FTP-серверы, а также как FTP-клиенты. По сравнению с TFTP FTP более безопасен, так как для установки FTP-соединения требуются учетные данные пользователя. Кроме того, FTP позволяет удалять файлы, а также создавать и удалять каталоги файлов на FTP-сервере.
На рисунке 5 ПК функционирует как FTP-сервер, а маршрутизатор - как FTP-клиент. FTP используется для передачи файла системного программного обеспечения VRP с ПК на маршрутизатор. Запустите команду ftp host-ip [port-number], чтобы создать FTP-соединение. hostip указывает IP-адрес FTP-сервера. port-number указывает номер порта FTP-сервера. По умолчанию используется TCP-порт 21.
Запустите команду dir, чтобы проверить список файлов на FTP-сервере.
Подобно TFTP, FTP использует ключевые слова get и put: get в команде get source-filename [destination-filename] указывает, что файл должен быть загружен с FTP-сервера на FTP-клиент, и put в команде put source-filename [destinationfilename] указывает, что файл должен быть загружен с FTP-клиента на FTP-сервер.
В этом примере команда get vrpsoft.cc devicesoft.cc запускается для загрузки файла программного обеспечения системы VRP vrpsoft.cc с FTP-сервера (ПК) на FTP-клиент (маршрутизатор) и переименования файла devicesoft.cc.
FTP передает данные в виде открытого текста. Для повышения безопасности используйте Secure File Transfer Protocol (SFTP) для передачи файлов. SFTP шифрует данные и защищает целостность передаваемых данных.
Удаление файла
Возможно, вам придется время от времени удалять файлы, чтобы освободить место для хранения. Для этого выполните команду delete [/unreserved] [/force] filename. /unreserved указывает, что файл, подлежащий удалению, не может быть восстановлен. / force указывает, что для удаления указанного файла подтверждение не требуется. filename указывает имя файла, подлежащего удалению.
Если параметр / unreserved не настроен, файл, подлежащий удалению, перемещается в корзину и может быть восстановлен с помощью команды undelete. Файл по-прежнему будет занимать место для хранения внутри корзины. Команда reset recycle-bin удаляет все файлы в корзине. После удаления файлов из корзины они не могут быть восстановлены.
Чтобы окончательно удалить файл, например abcd.zip, выполните следующие операции:
Настройка файла запуска системы
Файлы запуска включают файл системного программного обеспечения и другие файлы, загруженные с внешнего запоминающего устройства в память для запуска устройства. Перед установкой следующего файла запуска выполните команду display startup, чтобы проверить файлы запуска, используемые для следующего запуска (next startup).
Вывод команды показывает, что файл системного программного обеспечения software.cc будет использоваться для следующего запуска устройства. Команда startup system-software system-file устанавливает файл системного программного обеспечения для следующего запуска. system-file указывает файл. Чтобы использовать файл devicesoft.cc для следующего запуска, выполните следующую команду:
Чтобы проверить, вступил ли этот параметр в силу, выполните команду display startup
Вывод команды показывает, что файл системного программного обеспечения для следующего запуска был установлен в devicesoft.cc.
Если вы только думаете о том, чтобы заняться информационной безопасностью, вам не помешает знать эти аббревиатуры. Мы также поговорим о том что это, каковы их задачи и в чем их отличия.
Отличия IPS от IDS
IPS – Intrusion Prevention System, а IDS – Intrusion Detection System. То есть, первый помогает предотвращать вторжения, а второй помогает их обнаруживать. Но что интересно – они используют ну очень похожие технологии.
При всей похожести названий и технологий, это два абсолютно разных инструмента, которые используются в очень разных местах, разными людьми и выполняют очень разные задачи. /
Когда мы говорим про IPS/, то первое что приходит на ум – функционал фаервола, или межсетевого экрана – в нем всегда есть определенное количество правил: десятки, сотни, тысячи и иже с ними – в зависимости от требований. Большинство этих правил – разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила – все остальное запретить. Как вы наверное догадались, такой функционал реализуется с помощью ACL (листов контроля доступа).То есть, если трафик или его источник неизвестен – МСЭ его просто дропнет и все.
IPS в свою очередь повторяет историю про определенное количество правил – только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. Так что когда появляется пакет, IPS рассматривает свои правила свеху вниз, пытаясь найти причины дропнуть этот пакет. В конце каждого списка правил стоит скрытое «пропускать все остальное, что не попадает под критерии выше». Таким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.
То есть МСЭ и IPS – устройства контроля. Они обычно находятся на периметре сети и следятпропускают только то, что соответствует политикам безопасности. И самой логичной причиной использования IPS является наличие огромного количества известных атак в сети Интернет – и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновляться, чтобы вас не могли взломать с помощью новомодного, но уже известного производителям ИБ средства.
Что такое UTM?
Очевидная мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM – Unified Threat Management, где IPS уже встроен в МСЭ. Более того, сейчас в одно устройство очень часто помещается гигантское количество функций для обеспечения безопасности – IPS/IDS, защита DNS, защита от угроз нулевого дня (с облачной песочницей), возможность осуществления URL фильтрации и многое другое. В случае Cisco и их МСЭ ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок – вы получите только функционал stateful firewall-а и возможность смотреть в приложения, то есть распаковывать пакет до 7 уровня. А дополнительные возможности, вроде описанных выше – становятся доступными только после покупки подписок.
Опять же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, которая защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.Очень часто из-за высокой нагрузки или специфической задачи данные решения требуется разносить по отдельным устройствам. Опять же – если у вас на периметре будет стоять только одно UTM – устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.
Что такое IDS?
Если IPS – это определенно средство контроля, то IDS это средство для повышения видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обстоят дела с точки зрения защищенности. Можно сравнить IDS с анализатором протоколов (всем известный Wireshark) – только в этом случае анализ направлен на оценку состояния безопасности.
В руках аналитика по ИБ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:
Нарушения политик безопасности – например системы или пользователи, которые запускают приложения, запрещенные политиками компании
Признаки заражения систем вирусами или троянами, которые начинают пытаться захватить полный или частичный контроль для дальнейшего заражения и атак
Работающее шпионское ПО или кейлоггеры, «сливающие» информацию без уведомления пользователя
Некорректно работающие фаерволы или их политики, некорректные настройки и т.д – все, что может повлиять на производительность и целостность сети
Работающие сканеры портов, «левые» службы DNS и DHCP, внезапные средства для подключения к удаленному рабочему столу и пр.
Итак:
IDS и IPS смогут замечать и предотвращать как автоматизированные вторжения, так и преднамеренные – но вместе они дают вам большую ценность, а именно – большую видимость и
Что же купить?
Если вы небольшая организация, мы бы посоветовали смотреть в сторону наборов «все-в-одном», а именно UTM решений. Опять же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможностями контроля IPS. /
На всякий случай – IPS это не то, что один раз настроил и забыл. IPS систему нужно постоянно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. Если же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний – то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.
А если говорить про IDS, то важна не «крутость» и объем собираемых данных, а вид и удобство пользования системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) – будь то системный администратор или аналитик.
Мы написали эту статью исключительно с целью общего понимания что такое IDS, IPS и UTM – конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать для начала очень кратко – чтобы дальше можно было уже глубже погружаться в подобные материи. И не забывайте, что существует огромное количество бесплатных IPS/IDS решений – каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение для более глубого понимания механизмов работы.
Доброго времени суток, уважаемый читатель! Сегодня постараемся дать ответ на очень частый у системных администраторов вопрос: как выбрать правильный VoIP шлюз для подключения Asterisk? Какой нужен шлюз для конкретной конфигурации и как выбрать между FXO, FXS, BRI и PRI. Разбираться будем на примере следующих сценариев:
Подключение IP – АТС Asterisk к ТфОП
На примере ISDN линии
Подключение через аналоговую линию
Подключение аналоговых устройств к Asterisk
Подключение обычной АТС и Asterisk к ISDN и аналоговой линии одновременно
Подключение обычной АТС к SIP - провайдеру
Подключение IP – АТС Asterisk к ТфОП
В данном примере у нас есть IP – АТС Asterisk и устойчивое желание подключить ее к ТфОП (Телефонная сеть общего пользования). Разберем два случая: подключение через ISDN и через обычный аналог.
На примере ISDN линии
Для начала разберемся с терминологией. ISDN (Integrated Services Digital Network) – цифровая сеть с интеграцией услуг (позволяет использование телефон, факса, обмен данными и прочие) имеет два типа подключения: BRI и PRI:
PRI (primary rate interface) – интерфейс первичного уровня. В России и Европе представлен потоком Е1, который имеет 32 канала, в котором 30 отведены на передачу голосу, а 2 остальных это сигнальные каналы. В России Е1 так же именуется ИКМ-30 (импульсно – кодовая модуляция, 30 каналов передачи). В США данный тип называется Т1.
Для простоты, обозначим, что Е1 PRI позволяет совершать 30 одновременных вызовов.
BRI (basic rate interface) – интерфейс базовой скорости. Основное различие состоит в том, что BRI предоставляет всего 3 канала, 2 из которых предназначены для передачи данных со скоростью 64 кбит/с, а 3 канал существует для передачи сигнальной информации. Для более простого понимания, запомним, что BRI позволяет совершать 2 одновременных вызова.
На выбор того, или иного подключения может повлиять количество одновременных вызовов у вас в организации. Например, вы совершаете максимум 6 одновременных вызовов. В данном случае вам нужно 3 BRI линии, и, соответственно для подключения к ним 3 портовый BRI шлюз. В другом примере, если вы совершаете максимум 28 одновременных вызовов, то рассмотрите PRI линию и соответствующий к ней PRI шлюз.
Интерфейс ISDN образуется всегда образуется между двумя типами оборудования:
TE (Terminal Equipment) – терминальное оборудование пользователя. Это может быть компьютер, рабочая станция, телефонные аппараты, ISDN – совместимый маршрутизатор и прочее совместимое оборудование, которое может быть установлено у конечных пользователей.
NR (Network Termination) – так называемое «сетевое окончание». Это конец линии, который подключается в ISDN коммутатор, завершая канал связи.
Теперь, когда мы обладаем необходимым «бэкграундом» для понимания принципов работы ISDN, схематично изобразим подключение Asterisk к ISDN через шлюз:
Вот небольшой список неплохих E1 PRI шлюзов:
Модель
Количество портов Е1
Примерная стоимость
Dinstar MTG200-1E1
1
1000 USD
Sangoma A101 1xE1
1
1500 USD
Yeastar NeoGate TE100
1
1050 USD
Beronet 1xE1, Box
1
1700 USD
Подключение через аналоговую линию
При подключении IP – АТС Asterisk через аналоговую линию все весьма тривиально – вам нужен обычный FXO шлюз. Одна аналоговая линия позволяет совершать 1 одновременный вызов. Схема соединения приведена ниже:
Ниже небольшой список совместимых с Asterisk FXO – шлюзов:
Модель
Количество FXO портов
Примерная стоимость
Dinstar DAG1000-4O
4
180 USD
Yeastar Neogate TA410
4
200 USD
D-Link DVG-7111S
1
50 USD
Grandstream GXW-4104
4
250 USD
Подключение аналоговых устройств к Asterisk
Теперь давайте разберем вариант, когда необходимо подключить аналоговое устройство к IP – АТС Asterisk. Это может быть простой аналоговый телефон или, например, факс. В данной конфигурации вам нужен FXS шлюз. Подключение одного устройства осуществляется в один порт FXS шлюза. Схема подключения приведена ниже:
Если вы находитесь в состоянии выбора FXS – шлюза, то обратите внимание на эти модели:
Модель
Количество FXS портов
Примерная стоимость
Audiocodes MP-114, 4FXS
4
600 USD
Dinstar DAG1000-4S
4
150 USD
Grandstream HT-704
4
120 USD
Yeastar Neogate TA800
8
230 USD
Подключение обычной АТС и Asterisk к ISDN и аналоговой линии одновременно
Рассмотрим весьма интересный сценарий: в нашем корпоративном контуре существует обычная офисная АТС и IP –АТС на базе Asterisk. К ТфОП они подключены через ISDN линию по интерфейсу E1 PRI.
В данном случае необходимо осуществить подключение обычной АТС по Е1 потоку до PRI шлюза, а так же, подключить IP – АТС по протоколу SIP к этому же шлюзу. Изобразим наглядно на схеме:
Подходящие для этой конфигурации модели:
Модель
Количество E1 портов
Примерная стоимость
Dinstar MTG200-2E1
2
1500 USD
Beronet 4xE1, Box
4
4300 USD
Теперь взглянем на подключение обычной АТС и IP – АТС Asterisk через аналог. Нам понадобится шлюз, оснащенный FXS и FXO портами. Учтите, что аналоговая линия позволяет совершать только 1 одновременный вызов, поэтому, выберите шлюз с достаточном количеством портов. Схема работы будет следующая:
Ну и конечно оборудование:
Модель
Количество FXO портов
Количество FXS портов
Примерная стоимость
Audiocodes MP-114, 2FXO/2FXS
2
2
650 USD
Dinstar DAG1000-4S4O
4
4
300 USD
Dinstar DAG2000-8S8O
8
8
500 USD
Подключение обычной АТС к SIP - провайдеру
Итак, осталось с разобраться с подключением обычной офисной АТС к SIP – провайдеру. В данном случае мы будем выбирать лишь как подключить АТС к шлюзу: через ISDN(PRI или BRI) или через аналог. За шлюзом у нас будет осуществляться подключение через сеть интернет по протоколу SIP. Соответственно, нужно также принять решение, будет это PRI – шлюз, или FXS – шлюз. Схема подключения АТС к SIP провайдеру через Е1 поток приведена ниже:
И соответственно схема для подключения АТС через аналог до шлюза: