По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Для начальной настройки маршрутизатора (здесь и далее в качестве примера взяты устройства компании Cisco) нужно выполнить следующие шаги в режиме конфигурации роутера, перейти к которому можно командой configure terminal:
1. Задаем название устройства
Router(config)# hostname
2. Задаем пароль для входа в привилегированный режим.
Router(config)# enable secret password
3. Задаем пароль на подключение через консоль.
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
4. Задаем пароль для удаленного доступа по Telnet / SSH.
Router(config-line)# line vty 0 4
Router(config-line)# password password
Router(config-line)# login
Router(config-line)# transport input {ssh | telnet}
5. Шифруем все пароли введенные на устройстве.
Router(config-line)# exit
Router(config)# service password-encryption
6. Задаем баннер, который будет выводится при подключении к устройству. В данном баннере обычно указывается правовая информация о последствиях несанкционированного подключения
Router(config)# banner motd delimiter message delimiter
7. Сохраняем конфигурацию.
Router(config)# end
Router# copy running-config startup-config
Пример базовой настройки маршрутизатора
В данном руководстве на маршрутизаторе R1 из топологии ниже будет сделана первичная конфигурация:
Чтобы настроить маршрутизатор вводим следующие команды:
Router> enable
Router# configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
Router(config)# hostname R1
R1(config)#
Все методы доступа к настройкам маршрутизатора должны быть защищены. Привилегированный режим EXEC дает пользователю полный доступ к устройству и его настройкам. Поэтому нужно надёжно защитить доступ к этому режиму.
Следующие команды позволяют защитить доступ к пользовательскому и привилегированному режимам EXEC, включает Telnet/SSH и шифрует все пароли в конфигурации.
R1(config)# enable secret class
R1(config)#
R1(config)# line console 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)#
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# transport input ssh telnet
R1(config-line)# exit
R1(config)#
R1(config)# service password-encryption
R1(config)#
Далее сконфигурируем баннер Message of the Day. Обычно такой баннер включает в себя юридическое уведомление предупреждающее пользователей о том, что доступ к устройству разрешен только авторизованным лицам. Данный тип баннера конфигурируется следующим образом:
R1(config)# banner motd #
Enter TEXT message. End with a new line and the #
***********************************************
WARNING: Unauthorized access is prohibited!
***********************************************
#
R1(config)#
Настройка интерфейсов маршрутизатора
На данный момент на нашем роутере выполнена первичная настройка. Так как без настроек интерфейсов роутеры не будут доступны для других устройств, далее сконфигурируем его интерфейсы. На маршрутизаторах компании Cisco бывают разные интерфейсы. Например, маршрутизатор Cisco ISR 4321 оснащен двумя гигабитными интерфейсами.
GigabitEthernet 0/0/0
GigabitEthernet 0/0/1
Для настройки интерфейсов маршрутизатора нужно ввести следующие команды:
Router(config)# interface type-and-number
Router(config-if)# description description-text
Router(config-if)# ip address ipv4-address subnet-mask
Router(config-if)# ipv6 address ipv6-address/prefix-length
Router(config-if)# no shutdown
Как только порт включиться, на консоли выведется соответствующее сообщение.
Несмотря на то, что команда description не требуется для включения интерфейса, все же рекомендуется ее использовать. Это может быть полезно при устранении неполадок в производственных сетях, предоставляя информацию о типе подключенной сети. Например, если интерфейс подключается к поставщику услуг или провайдеру услуг, команда description будет полезна для ввода внешнего соединения и контактной информации. Длина текста description составляет 240 символов.
Команда no shutdown используется для включения интерфейса, это похоже на включение питания на интерфейсе. Также маршрутизатор следует подключить к другому устройству, чтобы установилась связь на физическом уровне.
Пример настройки интерфейсов на маршрутизаторе
В данном примере на маршрутизаторе R1 включим непосредственно подключенные порты.
Для настройки портов на R1 введите следующие команды:
R1> enable
R1# configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
R1(config)# interface gigabitEthernet 0/0/0
R1(config-if)# description Link to LAN
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:10::1/64
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
*Aug 1 01:43:53.435: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down
*Aug 1 01:43:56.447: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
*Aug 1 01:43:57.447: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
R1(config)#
R1(config)#
R1(config)# interface gigabitEthernet 0/0/1
R1(config-if)# description Link to R2
R1(config-if)# ip address 209.165.200.225 255.255.255.252
R1(config-if)# ipv6 address 2001:db8:feed:224::1/64
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
*Aug 1 01:46:29.170: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to down
*Aug 1 01:46:32.171: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
*Aug 1 01:46:33.171: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1, changed state to up
R1(config)#
Информационные сообщения говорят нам, что оба порта включены.
Проверка настроек портов
Для проверки настроек портов используются несколько команд. Самыми полезные из них это команды show ip interface brief и show ipv6 interface brief.
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 192.168.10.1 YES manual up up
GigabitEthernet0/0/1 209.165.200.225 YES manual up up
Vlan1 unassigned YES unset administratively down down
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::201:C9FF:FE89:4501
2001:DB8:ACAD:10::1
GigabitEthernet0/0/1 [up/up]
FE80::201:C9FF:FE89:4502
2001:DB8:FEED:224::1
Vlan1 [administratively down/down]
unassigned
R1#
От проблем и неполадок не застраховано ничто и IP-АТС Asterisk – не исключение. Неправильная конфигурация, неудачное обновление, неполадки в сети, сбой у провайдера - всё это может тем или иным образом сказываться на работе Вашей системы IP-телефонии. Для того, чтобы решить эти проблемы или хотя бы найти правильный путь, в сторону которого следует “копать”, нужно собственно, услышать показания “пациента”, то есть – нашего сервера IP-АТС Asterisk. Говоря простым языком – нужно снять логи. А с помощью модуля FreePBX, о котором мы хотим рассказать в данной статье, сделать это будет ещё проще.
Итак, для того чтобы решить проблему нам нужна информация. Но слишком большое количество информации может быть так же бесполезно, как и её отсутствие. В данной статье мы покажем, как собрать полезную и краткую информацию.
Где Asterisk хранит логи?
Чтобы знать что “лечить”, нужно знать где искать. Информация, которую мы ищем содержится во множестве лог-файлов, которые хранит сервер.
Важно! Обратите внимание, что в зависимости от используемого дистрибутива Linux, расположение лог-файлов у Вас может быть другим.
Расположение
Описание
/var/log/asterisk/fail2ban
Журнал событий модуля fail2ban
/var/log/asterisk/freepbx.log
Журнал событий модулей FreePBX
/var/log/asterisk/freepbx_security.log
Журнал событий безопасности
/var/log/asterisk/full
Журнал событий Asterisk каждого уровня. Обычно используется для поиска трассировок старых звонков
/var/log/dmesg
Журнал событий уровня ядра
/var/log/httpd/access_log
Журнал событий доступа к Apache
/var/log/httpd/error_log
Журнал ошибок web сервера Apache
/var/log/messages
Системный журнал событий Linux
/var/log/yum.log
Журнал действий, выполненных через yum
Названия файлов могут быть дополнены информацией о дате, за которую создан файл, указанную после (.) или (-)
Фильтрация
Некоторые из этих файлов могут содержать тысячи записей, поэтому, если Вы знаете, какое событие ищете, то отфильтруйте лог по данному событию или хотя бы сократите его, например, оставьте только информацию за определённое время.
Чтобы найти нужную информацию, используйте утилиту grep, которая позволяет искать определённые шаблоны или части слов в большом количестве записей.
grep 10987 /var/log/asterisk/full
В примере выше мы ищем совпадение записей по числам 10987 в полном журнале событий Asterisk
Если Вы хотите попросить помощи на общедоступных площадках, например, на форуме, то рекомендуем удалить или изменить всю приватную/ секретную информацию, которую может содержать лог, такую как номера телефонов, публичные IP-адреса, ваш account ID у провайдера, пароли и т.д.
Модуль Support FreePBX
В версии 13 и 14 FreePBX, в модуле System Admin есть очень полезная секция - Support. Для того, чтобы попасть в неё необходимо перейти по следующему пути из дашборда кликнуть на вкладку Admin → System Admin → Support , перед Вами откроются доступные опции данной секции:
На этой странице, Вы можете скачать ZIP – файл, который будет содержать отчёт с необходимой системной информацией и логи для дальнейшего исследования или же для отправки в техническую поддержку.
Для включения информации в отчёт используйте кнопки Yes/No. Рассмотрим каждый пункт, который можно включить в отчёт:
FreePBX Versions - Список всех установленных модулей и их версии
System Information - Информация об операционной системе
Asterisk Logs - Журналы событий Asterisk за последние 24 часа
Firewall Setting - Вывод текущих настроек ip-tables
ASTDB Dump - Полный дамп ASTBD (Не путать с MySQL)
License Information - Информация о лицензировании и статусе сервера
Dialplan - Полный дайл-план, созданный FreePBX (включая кастомные файлы _custom)
SIP Settings - Настройки SIP (Может содержать секретную информацию)
PJSIP Settings - Настройки PJSIP (Может содержать секретную информацию)
IAX Settings - Настройки IAX (Может содержать секретную информацию)
Как только Вы выбрали какую информацию хотите включить в отчёт, нажмите кнопку Download и сохраните ZIP файл на свой компьютер.
На этой странице, Вы также можете установить ssh, ключи, которые позволят сотрудникам технической поддержки Sangoma подключиться к Вашей системе без необходимости разглашать всякие пароли.
В одном из прошлых статей мы рассмотрели способы фильтрации маршрутов для динамического протокола маршрутизации EIGRP. Следует отметить, что EIGRP проприетарная разработка Cisco, но уже открыта другим производителям. OSPF же протокол открытого стандарта и поддерживается всем вендорами сетевого оборудования. Предполагается, что читатель знаком с данным протоколом маршрутизации и имеет знания на уровне CCNA.
OSPF тоже поддерживает фильтрацию маршрутов, но в отличии от EIGRP, где фильтрацию можно делать на любом маршрутизаторе, здесь она возможна только на пограничных роутерах, которые называются ABR (Area Border Router) и ASBR (Autonomous System Boundary Router). Причиной этому является логика анонсирования маршрутов в протоколе OSPF. Не вдаваясь в подробности скажу, что здесь маршруты объявляются с помощью LSA (Link State Advertisement). Существует 11 типов LSA, но рассматривать их мы не будем. По ходу статьи рассмотрим только Type 3 LSA и Type 5 LSA.
LSA третьего типа создаются пограничными роутерами, которые подключены к магистральной области (backbone area) и минимум одной немагистральной. Type 3 LSA также называются Summary LSA. С помощью данного типа LSA ABR анонсирует сети из одной области в другую. В таблице базы данных OSPF они отображается как Summary Net Link States:
Фильтрация LSA третьего типа говорит маршрутизатору не анонсировать сети из одной области в другую, тем самым закрывая доступ к сетям, которые не должны отображаться в других областях.
Видео: протокол OSPF (Open Shortest Path First) за 8 минут
Для настройки фильтрации применяется команда area area-num filter-list prefix prefix-list-name {in | out} в интерфейсе конфигурации OSPF. Как видно, здесь применяются списки префиксов или prefix-list, о которых мы говорили в предыдущей статье. Маршрут не анонсируется если попадает под действие deny в списке префиксов.
Камнем преткновения в данной команде являются ключевые слова in и out. Эти параметры определяют направление фильтрации в зависимости от номера области, указанного в команде area are-num filter. А работают они следующим образом:
Если прописано слово in, то маршрутизатор предотвращает попадание указанных сетей в область, номер которого указан в команде.
Если прописано слово out, то маршрутизатор фильтрует номера сетей, исходящих из области, номер которого указан в команде.
Схематически это выглядит так:
Команда area 0 filter-list in отфильтрует все LSA третьего типа (из областей 1 и 2), и они не попадут в area 0. Но в area 2 маршруты в area 1 попадут, так как нет команд вроде area 2 filter-list in или area 1 filter-list out. Вторая же команда: area 2 filter-list out отфильтрует все маршруты из области 2. В данном примере маршрутная информация из второй области не попадёт ни в одну из областей.
В нашей топологии, показанной на рисунке, имеются две точки фильтрации, то есть два пограничных маршрутизатора:
При чем каждый из этих маршрутизаторов будет фильтровать разные сети. Также мы здесь используем обе ключевых слова in и out. На ABR1 напишем следующие prefix-list-ы:
ip prefix-list FILTER-INTO-AREA-34 seq 5 deny 10.16.3.0/24
ip prefix-list FILTER-INTO-AREA-34 seq 10 permit 0.0.0.0/0 le 32
А на ABR2
ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24
ip prefix-list FILTER-OUT-OF-AREA-0 seq 10 permit 0.0.0.0/0 le 32
Теперь проверив таблицу маршрутизации на R3, увидим, что маршрут до сети 10.16.3.0 отсутствует:
Теперь поясним, что мы сказали маршрутизатору. В конфигурации ABR1 первый prefix-list с действием deny совпадет только с маршрутом, который начинается на 10.16.3.0, а длина префикса равна 24. Второй же префикс соответствует всем остальным маршрутам. А командой area 34 filter-list prefix FILTER-INTO-AREA-34 in сказали отфильтровать все сети, которые поступают в 34 область. Поэтому в базе OSPF маршрута в сеть 10.16.3 через R1 не будет.
На втором же маршрутизаторе пошли другим путём. Первый команда ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24 совпадет с маршрутами, который начинается на 10.16.2.0 и 10.16.3.0, так как указан /23. На языке списка префиксов означает взять адреса, которые могут соответствовать маске 255.255.254.0, а длина префикса адреса равна 24. А командой area 0 out сказали отфильтровать все LSA 3 типа, которые исходят из области 0. На первый взгляд кажется сложным, но если присмотреться, то все станет ясно.
Фильтрация маршрутов в OSPF через distribute-list
Фильтрация LSA третьего типа не всегда помогает. Представим ситуацию, когда в какой-то области 50 маршрутизаторов, а нам нужно чтобы маршрутная информация не попала в таблицу только 10 роутеров. В таком случае фильтрация по LSA не поможет, так как он фильтрует маршрут исходящий или входящий в область, в нашем случае маршрут не попадёт ни на один маршрутизатор, что противоречит поставленной задаче.
Для таких случаев предусмотрена функция distribute-list. Она просто не добавляет указанный маршрут в таблицу маршрутизации, но в базе OSPF маршрут до сети будет.
В отличии от настройки distribute-list в EIGRP, в OSPF нужно учесть следующие аспекты:
Команда distribute-list требует указания параметров in | out, но только при применении in фильтрация будет работать.
Для фильтрации команда может использовать ACL, prefix-list или route-map.
Можно также добавить параметр interface interface-type-number, чтобы применить фильтрацию для конкретного интерфейса.
Внесем некоторые изменения в конфигурацию маршрутизатора R3, чтобы отфильтровать маршрут до сети 10.16.1.0:
Как видно на выводе, до применения prefix-list-а, в таблице маршрутизации есть маршрут до сети 10.16.1.0. Но после внесения изменений маршрут исчезает из таблицы, но вывод команды show ip ospf database | i 10.16.1.0 показывает, что в базе OSPF данный маршрут существует.
Фильтрация маршрутов на ASBR
Как уже было сказано в начале материала, ASBR это маршрутизатор, который стоит между двумя разными автономными системами. Именно он генерирует LSA пятого типа, которые включают в себя маршруты в сети, находящиеся вне домена OSPF.
Топология сети показана ниже:
Конфигурацию всех устройств из этой статьи можно скачать в архиве по ссылке ниже.
Скачать конфиги тестовой лаборатории
Как видно из рисунка, у нас есть два разных домена динамической маршрутизации. На роутере ASBR настроена редистрибюция маршрутов, то есть маршруты из одно домена маршрутизации попадают во второй. Нам нужно отфильтровать маршруты таким образом, чтобы сети 172.16.101.0/24 и 172.16.102.0/25 не попали в домен EIGRP. Все остальные, включая сети точка-точка, должны быть видны для пользователей в сети EIGRP.
Для фильтрации Cisco IOS нам дает всего один инструмент route-map. О них мы подробно рассказывали в статье и фильтрации маршрутов в EIGRP.
Можно пойти двумя путями. Либо запрещаем указанные маршруты, в конце добавляем route-map с действием permit, который разрешит все остальные, либо разрешаем указанным в списке префиксов маршруты, а все остальное запрещаем (имейте ввиду, что в конце любого route-map имеется явный запрет deny).
Покажем второй вариант, а первый можете протестировать сами и поделиться результатом.
Для начала создаем списки префиксов с разрешёнными сетями:
ip prefix-list match-area0-permit seq 5 permit 172.16.14.0/30
ip prefix-list match-area0-permit seq 10 permit 172.16.18.0/30
ip prefix-list match-area0-permit seq 15 permit 172.16.8.1/32
ip prefix-list match-area0-permit seq 20 permit 172.16.4.1/32
ip prefix-list match-area0-permit seq 25 permit 172.16.48.0/25
ip prefix-list match-area0-permit seq 30 permit 172.16.49.0/25
ip prefix-list match-area3-permit seq 5 permit 172.16.103.0/24 ge 26 le 26
Еще раз отметим, что фильтрация LSA Type 5 делается только на ASBR маршрутизаторе. До внесения изменений на маршрутизаторе R1 видны сети до 101.0 и 102.0:
Применим изменения на ASBR:
Проверим таблицу маршрутизации R1 еще раз:
Как видим, маршруты в сеть 101.0 и 102.0 исчезли из таблицы.
На этом, пожалуй, завершим это материал. Он и так оказался достаточно большим и сложным. Удачи в экспериментах!