По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Gzip – один из самых популярных алгоритмов сжатия, который позволяет сократить размер файла, но при этом сохранить исходный файловый режим, владельца объекта и отметку времени. Gzip является отсылкой к формату файлов .gz и утилите gzip, используемой для сжатия и распаковки файлов. В данной статье мы покажем, как использовать команду gzip. Синтаксис команды gzip Общий синтаксис команды gzip выглядит следующим образом: gzip [ПАРАМЕТР]... [ФАЙЛ]... Gzip сжимает отдельные файлы и создает сжатый файл для каждого заданного файла в отдельности. По определению имя файла, который был сжат с помощью Gzip, должно оканчиваться на .gz или .z. Если вам необходимо сжать несколько файлов или каталогов в один файл, то для начала вам нужно создать архив Tar, а затем уже сжать файл с разрешением .tar с помощью Gzip. Файл, оканчивающийся на .tar.gz или .tgz, представляет собой архив Tar, сжатый с помощью Gzip. Как правило, Gzip используют для сжатия текстовых файлов, архивов Tar и веб-страниц. Не нужно использовать Gzip для сжатия изображений, аудиофайлов, PDF-документов и других файлов в двоичном формате, поскольку они уже являются сжатыми. gzip может сжимать только обычные файлы. символические ссылки он игнорирует. Сжатие файлов с помощью gzip Для того, чтобы сжать один файл, вызовите команду gzip, за которой следует имя файла: gzip имя_файла gzip создаст файл с именем имя_файла.gz, а исходный файл удалит. По умолчанию gzip сохраняет в сжатом файле временную метку, файловый режим, владельца объекта и имя исходного файла. Сохранение исходного файла Если вы хотите, чтобы исходный файл был сохранен, воспользуйтесь параметром –k: gzip -k имя_файла Есть еще один вариант сохранить исходный файл – воспользоваться параметром -c, который сообщает gzip о необходимости записи в стандартный вывод и перенаправлении вывода в файл: gzip -c имя_файла > имя_файла.gz Подробный вывод Если вы хотите увидеть процент уменьшения размера файла и имена обрабатываемых файлов, тогда воспользуйтесь параметром -v: gzip -v имя_файла имя_файла: 7.5% -- replaced with имя_файла.gz Сжатие нескольких файлов В качестве аргументов команде вы можете передать несколько файлов. Например, чтобы сжать файлы с именами file1, file2, file3, вам необходимо выполнить следующую команду: gzip file1 file2 file3 После чего приведенная выше команда создаст три сжатых файла: file1.gz, file2.gz, file3.gz. Сжатие всех файлов в каталоге Для того, чтобы сжать все файлы в каталоге, воспользуйтесь параметром -r: gzip -r имя_каталога gzip рекурсивно пройдет через всю структуру каталогов и произведет сжатие всех файлов в каталоге и его подкаталогах. Изменение уровня сжатия gzip дает возможность указать уровень сжатия, его диапазон - от 1 до 9. -1 или --fast означает самую высокую скорость сжатия с минимальной степенью сжатия, -9 или --best - самую низкую скорость с максимальной степенью. По умолчанию уровень сжатия равен -6. Например, чтобы установить максимальный уровень сжатия, вам необходимо запустить следующую команду: gzip -9 имя_файла Сжатие – это задача, интенсивно использующая ЦП. Соответственно, чем выше уровень сжатия, тем больше времени занимает процесс. Использование стандартного ввода Для того, чтобы создать файл расширения .gz из стандартного ввода, вам необходимо передать вывод команды gzip. Например, чтобы сжать резервную копию базы данных MySQL, вам необходимо запустить следующую команду: mysqldump имя_базы_данных | gzip -c > имя_базы_данных.sql.gz Вывод команда mysqldump послужит вводом для gzip. Распаковка файлов с помощью gzip Для того, чтобы распаковать файл с расширением .gz, воспользуйтесь параметром -d: gzip -d имя_файла.gz Есть также еще одна команда, которую вы можете использовать для распаковки файла Gzip, - это gunzip. Эта команда по сути является альтернативным вариантом команды gzip -d: gunzip имя_файла.gz Сохранение сжатого файла Здесь, как и при сжатии файла, для того, чтобы показать gzip, что входной файл (в данном случае это сжатый файл) нужно сохранить, необходимо воспользоваться параметром -k: gzip -dk имя_файла.gz Распаковка нескольких файлов Для того, чтобы распаковать несколько файлов одновременно, вам необходимо передать имена файлов в gzip в качестве аргументов: gzip -d file1.gz file2.gz file3.gz Распаковка всех файлов в каталоге Для того, чтобы gzip рекурсивно распаковал все файлы в заданном каталоге, необходимо воспользоваться параметрами -d и -r: gzip -dr имя_каталога Перечень содержимого сжатого файла Для того, чтобы посмотреть статистику данных сжатого файла, воспользуйтесь параметром -l: gzip -l имя_файла Вывод покажет имя несжатого файла, размер сжатого и несжатого файла, а также степень сжатия: compressed uncompressed ratio uncompressed_name 130 107 7.5% имя_файла Чтобы получить больше информации, добавьте параметр -v: gzip -lv имя_файла method crc date time compressed uncompressed ratio uncompressed_name defla a9b9e776 Sep 3 21:20 130 107 7.5% имя_файла Заключение С помощью Gzip вы можете уменьшить размер определенного файла - команда gzip позволяет сжимать и распаковывать файлы.
img
В этой статье рассматривается OSPF и все проблемы, которые могут возникнуть с этим протоколом. OSPF отличается от EIGRP протоколом состояния канала, но общим для них является то, что оба протокола маршрутизации устанавливают соседство до обмена информацией о маршрутизации. В случае OSPF мы обмениваемся LSA (объявление о состоянии канала), чтобы создать LSDB (база данных о состоянии канала). Наилучшая информация из LSDB будет скопирована в таблицу маршрутизации. В этой части мы начнем с устранения неполадок соседей OSPF. Как только у нас есть рабочее соседство OSPF, мы рассмотрим другие проблемы, такие как отсутствующие маршруты. Full просмотр соседства OSPF При просмотре соседства OSPF, мы видим, что оно сообщает нам Full. Необходимо больше информации для понимания состояния Full. Если смежность соседства OSPF не полная, мы рассматриваем одно из следующих состояний: Соседей нет вообще Оно "залипло" в ATTEMPT. Оно "залипло" в INIT. Оно "залипло" в 2-WAY. Оно "залипло" в EXSTART/EXCHANGE. Оно "залипло" в LOADING. Давайте начнем и рассмотрим разные ситуации, которые могут возникнуть с соседством OSPF! Видео: протокол OSPF (Open Shortest Path First) за 8 минут Урок 1 у нас есть 2 маршрутизатора Мы начнем со сценариев, когда OSPF вообще не имеет соседства. В приведенном выше примере у нас есть 2 маршрутизатора. нет никакого OSPF соседства Как вы можете видеть, у нас нет никакого OSPF соседства, что может быть не так? show ip ospf interface show ip ospf interface Можно было просто посмотреть на текущую конфигурацию и выяснить, что не так, но мы не ищем простых путей. Мы используем другие полезные команды OSPF. Сначала используем команду show ip ospf interface. Мы видим, что OSPF не включен на интерфейсе FastEthernet 0/0 R1, но он работает на R2. Кто-то допустил ошибку с командой network и набрал неверный сетевой адрес Кто-то допустил ошибку с командой network и набрал неверный сетевой адрес ... простая ошибка, но такие вещи случаются. R1(config)#router ospf 1 R1(config-router)#no network 192.168.21.0 0.0.0.255 area 0 R1(config-router)#network 192.168.12.0 0.0.0.255 area 0 Настройка правильного сетевого адреса и обратной маски устраняет эту ошибку. Настройка правильного сетевого адреса Проблема решена. Соседство OSPF установлено. Это было легкое начало... Итог урока: проверьте правильность настройки сетевого адреса, обратной маски и области. Урок 2 2 маршрутизатора, но проблема другая Очередная проблема. Схема аналогичная: 2 маршрутизатора, но проблема другая. нет никакого соседства OSPF Как вы видите, нет никакого соседства OSPF. Протокол OSPF был включен на интерфейсе обоих маршрутизаторов Протокол OSPF был включен на интерфейсе обоих маршрутизаторов, поэтому мы знаем, что был использован правильный тип сети. Однако если вы внимательно посмотрите на R1, то увидите, что на нем написано "No Hellos (Пассивный интерфейс)". Если вы настроите пассивный интерфейс, то сеть на интерфейсе все равно будет объявлена, но она не будет отправлять приветственные пакеты OSPF. Таким образом, невозможно создать соседство OSPF. невозможно создать соседство OSPF Вот она проблема. R1(config)#router ospf 1 R1(config-router) #no passive-interface Fe0/0 Удалим пассивный интерфейс. Удалим пассивный интерфейс Соседство OSPF работает. Проблема устранена! Итог урока: проверьте, что OSPF отправляет приветственные пакеты на интерфейс, поскольку, в противном случае, вы не сможете создать соседство. Урок 3 те же маршрутизаторы, другая проблема Следующий сценарий с теми же маршрутизаторами, но другая проблема. R1 показывает, что наш сосед OSPF находится в состоянии INIT R2 ничего не показывает Интересно... R1 показывает, что наш сосед OSPF находится в состоянии INIT, а R2 ничего не показывает. OSPF был правильно настроен на обоих интерфейсах OSPF был правильно настроен на обоих интерфейсах Как мы видим, в примере выше OSPF был правильно настроен на обоих интерфейсах. Поскольку R1 показывает состояние INIT, мы можем сделать вывод, что он получает что-то от R2. R2 ничего не показывает, поэтому, вероятно, ничего не получает от R1. OSPF использует пакеты приветствия для установления соседства OSPF, и они отправляются с использованием многоадресного адреса 224.0.0.5. можем ли мы пропинговать адрес многоадресной рассылки можем ли мы пропинговать адрес многоадресной рассылки Рекомендуется проверить, можем ли мы пропинговать адрес многоадресной рассылки, который OSPF использует для пакетов приветствия. Мы видим, что R1 и R2 оба не получают ответа. Отправка эхо-запросов друг другу проходят без проблем Отправка эхо-запросов друг другу проходят без проблем Отправка эхо-запросов друг другу проходят без проблем. Так что может вызвать проблемы с отправкой и получением многоадресного трафика OSPF? Как насчет списка доступа? на R2 имеется входящий список доступа на R2 имеется входящий список доступа Мы что-то нашли. И это то, что на R2 имеется входящий список доступа с именем BLOCKSTUFF. в нижней части access-list имеется данный запрет Список доступа разрешает только TCP, UDP и ICMP трафик. OSPF не использует TCP или UDP, и он удаляется этим списком доступа из-за deny any. Мы этого не видим в верхнем листинге, но в нижней части access-list имеется данный запрет. R2(config)#ip access-list extended BLOCKSTUFF R2(config-ext-nacl)#5 permit ospf any any проведем коррекцию Проведем коррекцию access-list, чтобы был разрешен трафик OSPF. теперь она отображается как Full Проблема решена, теперь она отображается как Full. теперь можно пинговать адрес многоадресной рассылки 224.0.0.5 OSPF теперь можно пинговать адрес многоадресной рассылки 224.0.0.5 OSPF Ну что, теперь можно пинговать адрес многоадресной рассылки 224.0.0.5 OSPF. Мы видим ответ с другой стороны. Итог урока: не блокируйте многоадресные адреса OSPF 224.0.0.5 и 224.0.0.6 (DR / BDR). Урок 4 от же сценарий, другая проблема Это еще не все! Тот же сценарий, другая проблема: Соседство OSPF отсутствует, но мы видим, что OSPF был включен на интерфейсе Соседство OSPF отсутствует, но мы видим, что OSPF был включен на интерфейсе Соседство OSPF отсутствует, но мы видим, что OSPF был включен на интерфейсе Соседство OSPF отсутствует, но мы видим, что OSPF был включен на интерфейсе Соседство OSPF отсутствует, но мы видим, что OSPF был включен на интерфейсе. Пинг на адреса многоадресной рассылки проходит Пинг на адреса многоадресной рассылки проходит Пинг на адреса многоадресной рассылки проходит, так что это уже хорошо. Это хороший момент для включения отладки, чтобы узнать, что происходит: что происходит за кулисами Это очень полезная отладка, которая позволяет увидеть, что происходит за кулисами. сбросим процесс OSPF Мы сбросим процесс OSPF, чтобы ускорить отладку. Имейте в виду, что вы также можете сбросить только одно соседство OSPF. Это лучшая идея, если это применяется в производственной сети (сети предприятия или организации). R1 говорит, что он получил пакет Теперь нам есть с чем работать. R1 говорит, что он получил пакет hello, но у нас есть несоответствующие параметры hello. R означает то, что мы получили, а C - что мы настроили. Как мы видим, существует несоответствие в маске подсети. R1 настроен с маской подсети 255.255.255.0, в то время как R2 имеет маску подсети 255.255.255.128. OSPF будет сравнивать маску подсети только в том случае, если вы используете широковещательный тип сети. show ip ospf interface show ip ospf interface Можно использовать команду show ip ospf interface для проверки типа сети, и видно, что она является broadcast. Здесь мы видим, что R2 имеет другую маску подсети Здесь мы видим, что R2 имеет другую маску подсети Здесь мы видим, что R2 имеет другую маску подсети. Необходимо это исправить! R2(config)#interface Fe0/0 R2(config-if)#ip address 192.168.12.2 255.255.255.0 Достаточно просто... соседство OSPF работает соседство OSPF работает Теперь мы видим, соседство OSPF работает. Итог урока: проверьте правильность использования одинаковых масок подсетей на маршрутизаторах, которые напрямую связаны друг с другом. Урок 5 Та же топология, и у нас очередная проблема с пакетами hello Давайте продолжим, но уже со следующей ошибкой. Та же топология, и у нас очередная проблема с пакетами hello. Сразу перейдем к отладочной части: проблема похожа на наш последний сценарий Эта проблема похожа на наш последний сценарий. Есть часть параметров, которые должны совпадать в hello-пакете, чтобы создать соседство OSPF. dead-interval на R1 сконфигурирован на 24 секунды, а на R2 - на 11 секунд. hello-interval сконфигурирован на 10 секунд на R2 и 6 секунд на R1. Поменяем настройки параметров: R1(config)#interface Fe0/0 R1(config-if)#ip ospf hello-interval 10 R1(config-if)#ip ospf dead-interval 11 Нам нужно изменить это на уровне интерфейса. Введенные команды с новыми параметрами Введенные команды с новыми параметрами решают нашу проблему. Соседство OSPF работает. Урок 6 Топология Еще одна проблема, с которой нам, возможно, придется столкнуться, это аутентификация. OSPF предлагает 3 метода аутентификации: без аутентификации Plaintext MD5 аутентификация нет соседей OSPF нет соседей OSPF Как мы видим, у нас нет соседей OSPF. Давайте используем debug: Debug ip ospf adj Debug ip ospf adj поможет нам решить эти неполадки. Видно, что мы получаем пакет с аутентификацией типа 2, а используется тип 0. Вот что это значит: Type 0: нет аутентификации. Type 1: plaintext аутентификация. Type 2: MD5 аутентификация. Соответственно - R1 сконфигурирован без аутентификации, а R2 сконфигурирован на использование аутентификации MD5. R2 сконфигурирован на использование аутентификации MD5 Мы также можем посмотреть информацию OSPF для каждого интерфейса, чтобы увидеть, включена ли аутентификация или нет. включена ли аутентификация или нет Это то, что настроено на интерфейсе R2. R1(config)#interface FastEthernet0/0 R1(config-if)#ip ospf authentication message-digest R1(config-if)#ip ospf message-digest-key 1 md5 MYKEY Мы копируем и вставляем его в R1. копируем и вставляем его в R1 Проблема устранена! Если вам интересно, вот что вы увидите, когда задан неправильный пароль на одном из маршрутизаторов: R1(config)#interface FastEthernet0/0 R1(config-if)#no ip ospf message-digest-key 1 md5 MYKEY R1(config-if)#ip ospf message-digest-key 1 md5 WRONGKEY Сначала мы поменяем ключ: отладчик говорит нам, что мы используем неправильный ключ Наш отладчик говорит нам, что мы используем неправильный ключ между нашими маршрутизаторами. Извлеченный урок: убедитесь, что вы используете один и тот же тип аутентификации OSPF и пароль между маршрутизаторами. Урок 7 Тот же сценарий Что еще может пойти не так? Кажется, что нет никаких проблем, связанных с соседством OSPF! Тот же сценарий, теперь другая проблема: Соседство отсутствует OSPF Соседство отсутствует OSPF OSPF-соседство отсутствует. есть несоответствие в номере области На одном из наших маршрутизаторов появилось сообщение. Оно не требует объяснений, похоже, у нас есть несоответствие в номере области. R1 настроен для области 1, а R2 настроен для области 0 R1 настроен для области 1, а R2 настроен для области 0 R1 настроен для области 1, а R2 настроен для области 0. Исправляем: network R1(config)#router ospf 1 R1(config-router)#no network 192.168.12.0 0.0.0.255 area 1 R1(config-router)#network 192.168.12.0 0.0.0.255 area 0 Мы используем команду network, чтобы задать правильный номер области. network Ура, все работает! Итог урока: убедитесь, что ваши маршрутизаторы OSPF согласовывают один и тот же номер области. Урок 8 а этот раз R1 и R2 находятся в одной зоне 1 Рисунок выше слегка отличается от предыдущего. На этот раз R1 и R2 находятся в одной зоне 1. нет соседей нет соседей Вот так сюрприз... нет соседей! Запускаем отладку: Запускаем отладку Очень интересно! Существует несоответствие в опции stub/transit area. OSPF имеет различные типы областей, и оба маршрута должны согласовываться с типом области (stub, nssa, totally stub и totally nssa). R1, по-видимому, настроен на использование normal area R1, по-видимому, настроен на использование normal area. R2, похоже, настроен на использование stub area R2, похоже, настроен на использование stub area. Несоответствие в типе области означает, что мы не можем установить соседство OSPF. R2 имеет команду area 1 stub На листинге выше мы видим, что R2 имеет команду area 1 stub. Удалим ее. R2(config)#router ospf 1 R2(config-router)#no area 1 stub Изменим область 1 на normal area для R2. Изменим область 1 на normal area для R2 Изменим область 1 на normal area для R2 Итог урока: убедитесь, что ваши маршрутизаторы OSPF используют один и тот же тип области. Урок 9 Очередная ситуация с неполадками с OSPF Очередная ситуация с неполадками в OSPF, которая на первый взгляд кажется очень запутанной. Давайте посмотрим на конфигурацию OSPF обоих маршрутизаторов: посмотрим на конфигурацию OSPF обоих маршрутизаторов посмотрим на конфигурацию OSPF обоих маршрутизаторов Это простая конфигурация. таблица соседства OSPF не пустая таблица соседства OSPF не пустая У нас таблица соседства OSPF не пустая, но оба маршрутизатора "застряли" в состоянии 2WAY. Помимо поиска нужного нам слова "FULL", следует обратить внимание на две вещи, отображаемые командой show: Оба маршрутизатора показывают друг друга как DROTHER. Приоритет для обоих маршрутизаторов равен 0. В multi-access сети, такой как Ethernet, OSPF будет выполнять выборы DR/BDR, если тип сети broadcast или non-broadcast. Проверяем тип сети: Оба интерфейса настроены для типа сети broadcast Оба интерфейса настроены для типа сети broadcast Оба интерфейса настроены для типа сети broadcast. Это значение по умолчанию для интерфейсов Ethernet. Это означает, что у нас есть выборы DR/BDR, но оба маршрутизатора настроены на приоритет 0, а это означает, что они не будут участвовать в выборах DR/BDR. По этой причине они застряли в состоянии 2WAY. Необходимо это исправить: R1(config)#interface fastEthernet 0/0 R1(config-if)#ip ospf priority 1 Мы изменим приоритет на одном из маршрутизаторов. Мы видим, что R1 был выбран для DR Мы видим, что R1 был выбран для DR Все работает. Мы видим, что R1 был выбран для DR, потому что он имеет приоритет 1. Итог урока: Типы широковещательной и не вещательной сети требуют выбора DR/BDR. Убедитесь, что один из маршрутизаторов выбран. В следующей статье мы разберем еще 8 уроков траблшутинга OSPF.
img
В одной из предыдущих статей мы рассматривали межсетевой экран ASA и порядок его первоначальной настройки. Но ничего не стоит на месте и в какой-то момент Cisco купила компанию Sourcefire за баснословные миллиарды "Даларов". Зачем? Ну, во-первых, у Sourcefire был один из лучших в то время на рынке IPS-ов и еще был ряд интересных продуктов, которые Cisco успешно забрала себе в портфолио, например – Advanced Malware Protection, который по сути своей является End Point Detection & Response решением. Зачем? А чтобы можно было вовремя реагировать на угрозы и проводить расследования. Ну да ладно, мы таки FirePower настраивать собрались. Первоначально Firepower выступал в качестве дополнительного модуля (виртуального в случае 5506-5555 и физического в случае 5585) к ASA. Что есть этот модуль? Этот модуль – отдельный и самобытный кусок ПО, доставшийся от Sourcefire. Отсюда следует забавный вывод: для управления этим модулем требовалась отдельная консоль управления (в идеале). А еще, логика обработки пакетов была довольной необычной, но так как экран работал с относительно небольшими скоростями, было принято решение о выносе модуля FirePower в качестве отдельного, уже не относящегося к межсетевому экрану ASA и назвали это чудо FirePower Threat Defense – где в базе используется ASA, а сверху прилеплен NGFW функционал. Новые FirePower-ы имеют огромную производительность – подробнее смотрите в даташитах. Кратко о наших баранах или общие рекомендации Вариации настройки платформы Firepower Threat Defense всего два (а если рассматривать ASA + FirePower сервисы, то аж три, или даже четыре – такой вот коленкор): FirePower Management Center (FMC) – централизованное управления политиками, устройствами и событиями. Обладает автоматизацией, что упрощает настройку. FirePower Device Manager (FDM) – является простым автономным решением для стандартных настроек правил обеспечения безопасности. Мы же рассмотрим самую медленную, но самую богатую (по функционалу) вариацию – средство централизованного управления FMC. Она обладает многопользовательской настройкой, более продвинутым реагированием на угрозы, такой прям мини-SIEM. Также предусмотрено наследование политик (централизованный пуш конфигурации на устройства), что упрощает настройку. Перейдем непосредственно к первоначальной настройке FMC. Настройки будем рассматривать для IPS/IDS (комплексы средств для предотвращения и обнаружения угроз в локальную сеть). Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций: Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) — так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента. Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем (IDS). В дальнейшем потребуется периодически тюнинговать правила. Большинство настроек IPS установлены с расчетом на типичные сети. В определённых случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело. Но тут есть такая штука как NGIPS – система снимает профиль трафика и может сама под него подстраиваться, включая нужные правила и отключая ненужные. Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть. Настройте вы его уже наконец – часть 1 Итак, приступим к настройке платформы Сisco FirePower: Устанавливаем Необходимое ПО: Его можно найти в вашем комплекте поставки, либо можете скачать с официального сайта cisco.com (при наличии у вас сервисного контракта). ПО понадобится следующее: FirePower Management Center (поддерживает ESXi и KVM) и образ для вашей железяки или же образ виртуального Firepower-а, который американцы прозвали NGFWv. Подключаем кабели (согласно указанной ниже схеме и что неприменимо к виртуалке). Console port – консольный порт Management port – для подключения и настройки сети Logical Device Management – для настройки логических устройств (можно настраивать как 1, так и все интерфейсы сразу) Поместите FMC в сеть управления логическими устройствами. Для обновлений FTD и FMC требуется подключение к интернету. Если оборудование не новое (было кем-то использовано), необходимо стереть текущую конфигурацию следующими командами (выделены «жирным»): Firepower-chass Firepower-chassis # connect local-mgmt Firepower-chassis(local-mgmt)# erase configuration Подключитесь к последовательному консольному порту, используя эмулятор терминала. Firepower 9300 включает последовательный консольный кабель RS-232 – RJ-45. Вам может понадобиться использовать кабель последовательного интерфейса USB от стороннего производителя для подключения. Используйте следующие серийные параметры: 9600 baud 8 data bits No parity 1 stop bit При появлении запроса войдите в систему с именем пользователя admin и паролем cisco123. Вводим только то, что выделено «жирным». Когда появится запрос о подтверждении конфигурации, подтверждаете – просто наберите yes. Настройте вы его уже наконец – часть 2 Далее нам необходимо произвести настройки, используя браузер. Обращаю внимание, что не каждый браузер подойдет! Настраивать можно только с управляющего компьютера, IP-адрес которого попадаем в диапазон, который указывали в конфигурации. Заходим в браузер и в поисковую строку (строку ввода URL) вводим следующее: https://адрес_железки Вводим имя пользователя admin и новый пароль для входа в дальнейшем. Осуществляем процедуру входа в систему. Настраиваем NTP соединение. Оно нужно нам для синхронизации времени на всех устройствах. От этого зависит как стабильность, так и сама работа в принципе. Заходим непосредственно в настройки и выбираем параметр использования NTP-сервера. В правом нижнем углу выберите «Add» NTP Server (обязательное поле для заполнения) должен включать IP-адрес или имя host-сервера, Authentication Key – идентификатор от NTP-сервера. Если не знаете этот ключ, можете найти его поискав через поисковик (ntp.keys). Также можно получить его (при условии, что файла ntp.keys нет), прописав команду в консоли управления ntp-keygen -M, затем поискав тот же самый файл, вы найдете его в директории. Нажимаем «Add» и добавляем наш NTP-сервер. Сохраняем изменения. Заходим во вкладку «Current Time», затем «Time Zone» и выбираем свой часовой пояс из списка и после сохраняем настройки. Настройте вы его уже наконец – часть 3. Настройка базового функционала. Настроим интерфейсы. Для этого переходим в саму вкладку «Interfaces», расположенную у рамки окна в черной полосе. Нажимаем «Edit» для интерфейса, который собираемся настроить. Открываем порт для работы галочкой напротив «Enable». В строке «Type» выбираем назначение интерфейса (мы будем передавать данные, поэтому выбираем пункт «data-sharing». Остальные данные заполнять не обязательно. Скажу, что там настраивается Скорость передачи, авто согласование и режим дуплекса соответственно. Лучше оставить данные параметры не настроенными, система сама перестроится для работы. Перейдем непосредственно к настройке IPS (политика обнаружения вторжений). Выбираем пункт Policies > Access Control > Intrusion Далее жмем Сreate Policy (справа кнопка) И в появившемся окне заполняем имя (Name) (обязательный параметр). Если вы не обладаете достаточными знаниями для детальной настройки IPS, воспользуйтесь рекомендуемыми фильтрами. Пункт Base Policy, в нем выбираем Maximum Detection (максимальная защита). Создаем и применяем изменения с помощью кнопки Create and Edit Policy. IPS тут умен, гораздо умнее автора этой статьи. В ходе эксплуатации вы это заметите. А именно, что при использовании максимальной степени защиты (Maximum Detection) программное обеспечение предложит вам исключить правила, которые не нужны и просто на «холостую» тратят ресурсы вашего устройства защиты. Такие рекомендации она делает по результатам статистики. Она хранится в Policies > Access Control > Intrusion > Firepower Recommendations > Generate Recommendations Таким образом, система адаптируется индивидуально для вашей сети. Настроим обнаружение вирусов и зараженных файлов. Но для более адекватной работы сети, рекомендуется создать DNS «ловушку» (следующий пункт), которая покажет, на какое именно устройство пришел вредоносный файл. Если «ловушку» не создавать, то информация о зараженном файле появится в общем хранилище и определить, какое из устройств получило этот вредоносный файл (код), не представится возможным. Переходим по пути: Policies > Access Control > Malware & File. Создаем новую политику, даем ей название. Затем добавляем правило (Add Rule). Заполнить рекомендуется так, как указано на изображении. Это общепринятое правило с максимальной степенью защиты. Нажимаем Save. Теперь настроим DNS «ловушку». Objects > Object Management. Отыскиваем в левой колонке Sinkhole. Далее нажимаем Add Sinkhole Заполняем таблицу. При заполнении обратите внимание на то, что данные, указанные в IPv4/6 не должны быть в вашей сети. После настройки нажимаем Save. Далее переходим в настройку DNS политики (Policies > Access Control > DNS). Выбираем Add DNS Policy, добавляем название и сохраняем. Нас автоматически переводит в это правило. Мы видим, 2 раздела (белый и черный листы. Нам необходимо создать и настроить своё правило. Для этого нажимаем Add DNS Rule и появляется новое окно. Заполняем его как на изображении. В нем мы добавляем все возможные правила, рекомендуемые компанией Cisco. Выбираем все файлы и нажимаем Add to Rule. И непосредственно здесь мы можем применить свою DNS «ловушку». Для этого в пункте Action выбираем Sinkhole. Напротив откроется новый пункт, в котором мы выбираем наш DNS «ловушку». Теперь мы сможем видеть, на какое устройства пришел вредоносный файл (код). На этом первоначальные настройки произведены. Далее производится более детальная настройка исходя из ваших потребностей.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59