По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Учишься азам VoIP? Cisco Packet Tracer это отличное решение, в рамках которого ты сможешь попрактиковать свои навыки перед продакшном, подготовиться к экзаменам или просто поймать фан, делая то, чего не можешь сделать на работе (STP петли, широковещательные штормы и прочие радости). Итак, спешим показать способ, как собрать базовую лабу для тренировки своих VoIP (Voice over IP) навыков. Погнали. Наполняем лабу железом В явном виде тебе понадобится L3 девайс (у нас будет маршрутизатор 2811), L2 (коммутатор 2950) и телефончики, которых мы добавим 3 штуки (модели 7960). Перетаскивай все это дело в рабочее поле и соединяй патч – кордом, как показано на скриншоте: Отлично. Нажми 2 раза на IP – телефон и перейди во вкладку GUI, как показано на скриншоте ниже: Наш телефон ругается на то, что у него нет питания. Не проблема, подключим к нему блок питания. Переходим в раздел Physical и обращаем внимание на адаптер питания, который выделен красным на скриншоте ниже: Перетаскиваем его прямо к разъему под питание. Должно получиться примерно вот так: Как только мы включили питание на телефонах, у нас поднялись линки – обратите внимание на зеленые точки от телефонов до свича: На этапе подготовки нашей среды работы все. Переходим к конфигурации. Настройка оборудования Начинаем с маршрутизатора. Открываем его консоль, поднимаем интерфейс и присвоим IP – адрес: en conf t interface FastEthernet 0/0 ip address 192.168.0.1 255.255.255.0 no shutdown Поднимаем DHCP сервер на маршрутизаторе для IP – телефонов: en conf t ip dhcp pool voice network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 exit Теперь нужно дать дополнительную команду для опции 150. Она позволяет подтягивать и автоматически подтягивать прошивки для телефонов с TFTP сервера. Выполняем: en conf t ip dhcp pool voice option 150 ip 192.168.0.1 Время поднастроить классические VoIP параметры, такие как: max-dn - максимально – возможное количество поддерживаемых DN (Directory Numbers). Номеров, другими словами; max-ephones - максимальное количество телефонных аппаратов. Сделаем по количеству DN’ов; ip source-address - откуда наш роутер будет принимать звонки (запросы) от SCCP девайсов; auto assign - присвоение линий в автоматическом режиме; en conf t telephony-service max-dn 15 max-ephones 15 ip source-address 192.168.0.1 port 3100 auto assign 1 to 19 Балдеж. Двигаемся к настройке свича (коммутатор). Нам нужно только включить поддержку VoIP на интерфейсах (голосовой VLAN): en conf t interface range FastEthernet 0/1 - FastEthernet 0/3 switchport mode access switchport voice vlan 1 exit Дело за малым. Присвоим телефонные номера нашим аппаратам: en conf t ephone-dn 1 number 11111 exit ephone-dn 2 number 2222 exit ephone-dn 3 number 3333 exit Готово. Можно звонить. Попробуем позвонить с 1111 на 2222: Продолжайте практиковать свои навыки в VoIP в сетях Cisco :)
img
Всем привет! Сегодня в статье мы расскажем про настройку Point-to-Point GRE VPN туннелей на оборудовании Cisco и о том, как сделать их защищенными при помощи IPsec. Generic Routing Encapsulation (GRE) - это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать широкий спектр протоколов сетевого уровня в point-to-point каналах. Туннель GRE используется, когда пакеты должны быть отправлены из одной сети в другую через Интернет или незащищенную сеть. В GRE виртуальный туннель создается между двумя конечными точками (маршрутизаторами Cisco), а пакеты отправляются через туннель GRE. Важно отметить, что пакеты, проходящие внутри туннеля GRE, не шифруются, поскольку GRE не шифрует туннель, а инкапсулирует его с заголовком GRE. Если требуется защита данных, IPSec должен быть настроен для обеспечения конфиденциальности данных - тогда GRE-туннель преобразуется в безопасный VPN-туннель GRE. На приведенной ниже схеме показана процедура инкапсуляции простого незащищенного пакета GRE, проходящего через маршрутизатор и входящего в туннельный интерфейс: Хотя многие могут подумать, что туннель GRE IPSec между двумя маршрутизаторами похож на VPN-соединение IPSec между сайтами, это не так. Основное отличие состоит в том, что туннели GRE позволяют multicast пакетам проходить через туннель, тогда как IPSec VPN не поддерживает multicast пакеты. В больших сетях, где необходимы протоколы маршрутизации, такие как OSPF, EIGRP, туннели GRE - ваш лучший выбор. По этой причине, а также из-за того, что туннели GRE гораздо проще в настройке, инженеры предпочитают использовать GRE, а не IPSec VPN. В этой статье объясняется, как создавать простые незащищенные (unprotected) и безопасные (IPSec encrypted) туннели GRE между конечными точками. Мы объясним все необходимые шаги для создания и проверки туннеля GRE (незащищенного и защищенного) и настройки маршрутизации между двумя сетями. Создание Cisco GRE туннеля Туннель GRE использует интерфейс «туннель» - логический интерфейс, настроенный на маршрутизаторе с IP-адресом, где пакеты инкапсулируются и декапсулируются при входе или выходе из туннеля GRE. Первым шагом является создание нашего туннельного интерфейса на R1: R1(config)# interface Tunnel0 R1(config-if)# ip address 172.16.0.1 255.255.255.0 R1(config-if)# ip mtu 1400 R1(config-if)# ip tcp adjust-mss 1360 R1(config-if)# tunnel source 1.1.1.10 R1(config-if)# tunnel destination 2.2.2.10 Все туннельные интерфейсы участвующих маршрутизаторов всегда должны быть настроены с IP-адресом, который не используется где-либо еще в сети. Каждому туннельному интерфейсу назначается IP-адрес в той же сети, что и другим туннельным интерфейсам. В нашем примере оба туннельных интерфейса являются частью сети 172.16.0.0/24. Поскольку GRE является протоколом инкапсуляции, мы устанавливаем максимальную единицу передачи (MTU - Maximum Transfer Unit) до 1400 байт, а максимальный размер сегмента (MSS - Maximum Segment Size) - до 1360 байт. Поскольку большинство транспортных MTU имеют размер 1500 байт и у нас есть дополнительные издержки из-за GRE, мы должны уменьшить MTU для учета дополнительных служебных данных. Установка 1400 является обычной практикой и гарантирует, что ненужная фрагментация пакетов будет сведена к минимуму. В заключение мы определяем туннельный источник, который является публичным IP-адресом R1, и пункт назначения - публичный IP-адрес R2. Как только мы завершим настройку R1, маршрутизатор подтвердит создание туннеля и сообщит о его состоянии: R1# *May 21 16:33:27.321: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up Поскольку интерфейс Tunnel 0 является логическим интерфейсом, он останется включенным, даже если туннель GRE не настроен или не подключен на другом конце. Далее мы должны создать интерфейс Tunnel 0 на R2: R2(config)# interface Tunnel0 R2(config-if)# ip address 172.16.0.2 255.255.255.0 R2(config-if)# ip mtu 1400 R2(config-if)# ip tcp adjust-mss 1360 R2(config-if)# tunnel source 2.2.2.10 R2(config-if)# tunnel destination 1.1.1.10 Интерфейс туннеля R2 настроен с соответствующим IP-адресом источника и назначения туннеля. Как и в случае с R1, маршрутизатор R2 сообщит нам, что интерфейс Tunnel0 работает: R2# *May 21 16:45:30.442: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up Маршрутизация сетей через туннель GRE На этом этапе обе конечные точки туннеля готовы и могут «видеть» друг друга. Echo icmp от одного конца подтвердит это: R1# ping 172.16.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms R1# Опять же, этот результат означает, что две конечные точки туннеля могут видеть друг друга. Рабочие станции в любой сети по-прежнему не смогут достичь другой стороны, если на каждой конечной точке не установлен статический маршрут: R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.0.2 На R1 мы добавляем статический маршрут к удаленной сети 192.168.2.0/24 через 172.16.0.2, который является другим концом нашего туннеля GRE. Когда R1 получает пакет для сети 192.168.2.0, он теперь знает, что следующим переходом является 172.16.0.2, и поэтому отправит его через туннель. Та же конфигурация должна быть повторена для R2: R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.0.1 Теперь обе сети могут свободно общаться друг с другом через туннель GRE. Защита туннеля GRE с помощью IPSec Как упоминалось ранее, GRE является протоколом инкапсуляции и не выполняет шифрование. Создание туннеля GRE точка-точка без какого-либо шифрования чрезвычайно рискованно, поскольку конфиденциальные данные могут быть легко извлечены из туннеля и просмотрены другими. Для этого мы используем IPSec для добавления уровня шифрования и защиты туннеля GRE. Это обеспечивает нам необходимое шифрование военного уровня и спокойствие. Наш пример ниже охватывает режим туннеля GRE IPSec. Настройка шифрования IPSec для туннеля GRE (GRE over IPSec) Шифрование IPSec включает в себя два этапа для каждого маршрутизатора. Эти шаги: Настройка ISAKMP (ISAKMP Phase 1) Настройка IPSec (ISAKMP Phase 2) Настройка ISAKMP (ISAKMP Phase 1) IKE существует только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношения SA (ISAKMP SA) с партнером. Для начала, мы начнем работать над R1. Первым шагом является настройка политики ISAKMP Phase 1: R1(config)# crypto isakmp policy 1 R1(config-isakmp)# encr 3des R1(config-isakmp)# hash md5 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 2 R1(config-isakmp)# lifetime 86400 Приведенные выше команды определяют следующее (в указанном порядке): 3DES - метод шифрования, который будет использоваться на этапе 1 Phase 1 MD5 - алгоритм хеширования Authentication pre-share - использование предварительного общего ключа в качестве метода проверки подлинности Group 2 - группа Диффи-Хеллмана, которая будет использоваться 86400 - время жизни ключа сеанса. Выражается в килобайтах или в секундах. Значение установлено по умолчанию. Далее мы собираемся определить Pre Shared Key (PSK) для аутентификации с партнером R1, 2.2.2.10: R1(config)# crypto isakmp key merionet address 2.2.2.10 PSK ключ партнера установлен на merionet. Этот ключ будет использоваться для всех переговоров ISAKMP с партнером 2.2.2.10 (R2). Создание IPSec Transform (ISAKMP Phase 2 policy) Теперь нам нужно создать набор преобразований, используемый для защиты наших данных. Мы назвали это TS: R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R1(cfg-crypto-trans)# mode transport Вышеуказанные команды определяют следующее: SP-3DES - метод шифрования MD5 - алгоритм хеширования Установите IPSec в транспортный режим. Наконец, мы создаем профиль IPSec для соединения ранее определенной конфигурации ISAKMP и IPSec. Мы назвали наш профиль IPSec protect-gre: R1(config)# crypto ipsec profile protect-gre R1(ipsec-profile)# set security-association lifetime seconds 86400 R1(ipsec-profile)# set transform-set TS Теперь мы готовы применить шифрование IPSec к интерфейсу туннеля: R1(config)# interface Tunnel 0 R1(config-if)# tunnel protection ipsec profile protect-gre Ну и наконец пришло время применить ту же конфигурацию на R2: R2(config)# crypto isakmp policy 1 R2(config-isakmp)# encr 3des R2(config-isakmp)# hash md5 R2(config-isakmp)# authentication pre-share R2(config-isakmp)# group 2 R2(config-isakmp)# lifetime 86400 R2(config)# crypto isakmp key merionet address 1.1.1.10 R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R2(cfg-crypto-trans)# mode transport R2(config)# crypto ipsec profile protect-gre R2(ipsec-profile)# set security-association lifetime seconds 86400 R2(ipsec-profile)# set transform-set TS R2(config)# interface Tunnel 0 R2(config-if)# tunnel protection ipsec profile protect-gre Проверка GRE over IPSec туннеля Наконец, наш туннель был зашифрован с помощью IPSec, предоставляя нам столь необходимый уровень безопасности. Чтобы проверить и проверить это, все, что требуется, это попинговать другой конец и заставить туннель VPN IPSec подойти и начать шифрование/дешифрование наших данных: R1# ping 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms Используя команду show crypto session, мы можем быстро убедиться, что шифрование установлено и выполняет свою работу: R1# show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 2.2.2.10 port 500 IKE SA: local 1.1.1.10/500 remote 2.2.2.10/500 Active IPSEC FLOW: permit 47 host 1.1.1.10 host 2.2.2.10 Active SAs: 2, origin: crypto map Поздравляю! Мы только что успешно создали Point-to-point GRE over IPSec VPN туннель между двумя маршрутизаторами Cisco.
img
Если вы планируете перейти на CentOS 8 с CentOS 7, возможно, вам придется пропустить это, потому что CentOS 8 уходит. Если вы уже используете его, вам следует подумать о переходе на CentOS Stream 8 с CentOS Linux 8. CentOS (сокращение от Community ENTerprise Operating System) - это клон системы Red Hat Enterprise Linux (RHEL). CentOS широко известна своей стабильностью и надежностью и является популярным выбором для многих провайдеров веб-хостинга. Кроме того, это шлюз для людей, которые хотят изучать RHEL бесплатно. Однако разработчики CentOS объявили, что они переключают свое внимание на CentOS Stream. Согласно официальному объявлению, CentOS Linux 8, как перестройка RHEL 8, завершится в конце 2021 года. CentOS Stream продолжится после этой даты, выступая в качестве ответвления (разработки) Red Hat Enterprise Linux. Другими словами, CentOS Stream будет скользящей предварительной версией (то есть бета-версией). Таким образом, CentOS Stream не будет повторной сборкой выпуска RHEL. Это промежуточное звено, которое будет находиться между Fedora и RHEL. Проще говоря, это больше не Fedora - RHEL - CentOS, а Fedora - CentOS - RHEL. С января 2022 года RHEL будет базироваться на CentOS, а не наоборот. Вы по-прежнему можете использовать CentOS 8 и отправлять патчи до 31 декабря 2021 года. Но CentOS 8 будет завершена рано в это же время в следующем году, и CentOS 9 не будет. Пользователи CentOS 7 не должны паниковать. CentOS 7 продлится до конца своей жизни в 2024 году. Миграция на CentOS Stream 8 с CentOS Linux 8 Прежде всего, на всякий случай сделайте резервную копию важных данных. Обновите CentOS 8 до последней доступной версии с помощью команды: $ sudo dnf update После обновления системы перезагрузите ее. Проверьте текущую версию CentOS 8 с помощью команды: $ cat /etc/redhat-release CentOS Linux release 8.3.2011 Затем включите репозиторий CentOS Stream с помощью команды: $ sudo dnf install centos-release-stream Получите примерно такой ответ Last metadata expiration check: 0:35:27 ago on Wednesday 09 December 2020 12:44:07 PM IST. Dependencies resolved. ========================================================================= Package Arch Version Repo Size ========================================================================= Installing: centos-release-stream x86_64 8.1-1.1911.0.7.el8 extras 11 k Transaction Summary ========================================================================= Install 1 Package Total download size: 11 k Installed size: 6.6 k Is this ok [y/N]: y Downloading Packages: centos-release-stream-8.1-1.1911.0.7.el8 17 kB/s | 11 kB 00:00 ------------------------------------------------------------------------- Total 5.9 kB/s | 11 kB 00:01 Running transaction check Transaction check succeeded. Running transaction test Transaction test succeeded. Running transaction Preparing : 1/1 Installing : centos-release-stream-8.1-1.1911.0.7.el8.x86_ 1/1 Verifying : centos-release-stream-8.1-1.1911.0.7.el8.x86_ 1/1 Installed: centos-release-stream-8.1-1.1911.0.7.el8.x86_64 Complete! Наконец, выполните следующую команду, чтобы перенести CentOS Linux 8 на CentOS Stream 8: $ sudo dnf distro-sync Команда distro-sync выполнит необходимые обновления, откатит или оставит выбранные установленные пакеты, чтобы они соответствовали последней версии, доступной из любого включенного репозитория. Если пакет не указан, учитываются все установленные пакеты. Введите Y и нажмите ENTER, чтобы начать переход на CentOS Stream 8: Пример вывода CentOS-Stream - AppStream 521 kB/s | 6.3 MB 00:12 CentOS-Stream - Base 304 kB/s | 2.3 MB 00:07 CentOS-Stream - Extras 5.1 kB/s | 7.0 kB 00:01 Last metadata expiration check: 0:00:01 ago on Wednesday 09 December 2020 01:22:28 PM IST. Dependencies resolved. ======================================================================================================================================== Package Architecture Version Repository Size ======================================================================================================================================== Installing: centos-stream-release noarch 8.4-1.el8 Stream-BaseOS 21 k replacing centos-linux-release.noarch 8.3-1.2011.el8 replacing centos-release-stream.x86_64 8.1-1.1911.0.7.el8 Upgrading: NetworkManager x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 2.5 M NetworkManager-libnm x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 1.8 M NetworkManager-team x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 142 k NetworkManager-tui x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 322 k avahi-glib x86_64 0.7-20.el8 Stream-BaseOS 14 k avahi-libs x86_64 0.7-20.el8 Stream-BaseOS 62 k bind-export-libs x86_64 32:9.11.20-6.el8 . . . . baseos 57 k python3-subscription-manager-rhsm x86_64 1.28.5-1.el8 Stream-BaseOS 362 k subscription-manager x86_64 1.28.5-1.el8 Stream-BaseOS 1.1 M subscription-manager-rhsm-certificates x86_64 1.28.5-1.el8 Stream-BaseOS 258 k usermode x86_64 1.113-1.el8 baseos 202 k Transaction Summary ======================================================================================================================================== Install 9 Packages Upgrade 107 Packages Total download size: 205 M Is this ok [y/N]: y Это займет некоторое время, в зависимости от скорости вашего интернета. После завершения миграции CentOS Stream 8 выполните следующую команду для проверки: $ cat /etc/redhat-release CentOS Stream release 8 Если вам нужен свежий ISO-образ CentOS Stream, вы можете получить его на официальной странице.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59