По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Сетевые устройства могут работать в режимах, которые подразделяются на три большие категории.
Первая и основная категория- это передача данных (плоскость данных, data plane). Это режим работы коммутатора по передаче кадров, генерируемых устройствами, подключенными к коммутатору. Другими словами, передача данных является основным режимом работы коммутатора.
Во-вторых, управление передачей данных относится к настройкам и процессам, которые управляют и изменяют выбор, сделанный передающим уровнем коммутатора. Системный администратор может контролировать, какие интерфейсы включены и отключены, какие порты работают с какой скоростью, как связующее дерево блокирует некоторые порты, чтобы предотвратить циклы, и так далее. Так же важной частью этой статьи является управление устройством, осуществляемое через плоскость наблюдения (management plane). Плоскость наблюдения - это управление самим устройством, а не управление тем, что делает устройство. В частности, в этой статье рассматриваются самые основные функции управления, которые могут быть настроены в коммутаторе Cisco. В первом разделе статьи рассматривается настройки различных видов безопасности входа в систему. Во втором разделе показано, как настроить параметры IPv4 на коммутаторе, чтобы им можно было управлять удаленно. В последнем разделе рассматриваются практические вопросов, которые могут немного облегчить жизнь системного администратора.
Защита коммутатора через CLI
По умолчанию коммутатор Cisco Catalyst позволяет любому пользователю подключиться к консольному порту, получить доступ к пользовательскому режиму, а затем перейти в привилегированный режим без какой-либо защиты. Эти настройки заданы в сетевых устройствах Cisco по умолчанию и, если у вас есть физический доступ к устройству, то вы спокойно можете подключиться к устройству через консольный порт или USB, используя соответствующий кабель и соответственно производить различные настройки.
Однако не всегда имеется физический доступ к коммутатору и тогда необходимо иметь доступ к устройствам для удаленного управления, и первым шагом в этом процессе является обеспечение безопасности коммутатора так, чтобы только соответствующие пользователи могли получить доступ к интерфейсу командной строки коммутатора (CLI).
Настройка парольного доступа к коммутатору Cisco
В данной части рассматривается настройка безопасности входа для коммутатора Cisco Catalyst.
Защита CLI включает защиту доступа в привилегированный режим, поскольку из этого режима злоумышленник может перезагрузить коммутатор или изменить конфигурацию.
Защита пользовательского режима также важна, поскольку злоумышленники могут видеть настройки коммутатора, получить настройки сети и находить новые способы атаки на сеть.
Особенно важно, что бы все протоколы удаленного доступа и управления, чтобы IP-настройки коммутатора были настроены и работали.
Для того чтобы получить удаленный доступ по протоколам Telnet и Secure Shell (SSH) к коммутатору, необходимо на коммутаторе настроить IP-адресацию.
Чуть позже будет показано, как настроить IPv4-адресацию на коммутаторе.
В первой части статьи будут рассмотрены следующие вопросы защиты входа:
Защита пользовательского режима и привилегированного режима с помощью простых паролей;
Защита доступа в пользовательский режим с использованием локальной базы данных;
Защита доступа в пользовательский режим с помощью внешних серверов аутентификации;
Защита удаленного доступа с помощью Secure Shell (SSH);
Защита пользовательского и привилегированного режима с помощью простых паролей.
Получить полный доступ к коммутатору Cisco можно только через консольный порт.
В этом случае, настройки по умолчанию, позволяют получить доступ сначала к режиму пользователя, а затем можно перейти в привилегированный режим без использования паролей.
А вот по протоколам удаленного доступа Telnet или SSH получить доступ даже к режиму пользователя невозможно.
Настройки по умолчанию идут у совершенно нового коммутатора, но в производственной среде необходимо обеспечить безопасный доступ через консоль, а также включить удаленный вход через Telnet и/или SSH, чтобы была возможность подключаться ко всем коммутаторам в локальной сети.
Можно организовать доступ к сетевому оборудованию с использованием одного общего пароля.
Этот метод позволяет подключиться к оборудованию, используя только пароль - без ввода имени пользователя - с одним паролем для входа через консольный порт и другим паролем для входа по протоколу Telnet. Пользователи, подключающиеся через консольный порт, должны ввести пароль консоли, который был предварительно настроен в режиме конфигурации. Пользователи, подключающиеся через протокол Telnet, должны ввести пароль от Telnet, также называемый паролем vty, так называемый, потому что это режим конфигурации терминальных линий (vty). На рисунке 1 представлены варианты использования паролей с точки зрения пользователя, подключающегося к коммутатору.
Как видно из рисунка 1, на коммутаторах Cisco стоит защита привилегированного режима (enable) с помощью еще одного общего пароля, задаваемый командой enable password. Системный администратор, подключающийся к CLI коммутатора попадает в режим пользователя и далее, вводит команду enable.
Эта команда запрашивает у пользователя пароль входа в привилегированный режим; если пользователь вводит правильный пароль, IOS перемещает пользователя в привилегированный режим.
Пример 1. Пример входа в коммутатор из консоли, когда пароль консоли и пароль привилегированного режима были заранее установлены. Предварительно пользователь запустил эмулятор терминала, физически подключил ноутбук к консольному кабелю, а затем нажал клавишу Enter, чтобы войти в коммутатор.
(User now presses enter now to start the process. This line of text does not appear.)
User Access Verification
Password: cisco
Switch> enable
Password: cisco
Switch#
В примере показаны пароли в открытом виде, как если бы они были набраны в обычном текстовом редакторе (cisco), а также команда enable, которая перемещает пользователя из пользовательского режима в привилегированный режим (enable). В реальности же IOS скрывает пароли при вводе, чтобы никто не смог увидеть их.
Чтобы настроить общие пароли для консоли, Telnet и привилегированного режима (enable), необходимо ввести несколько команд. На рис. 2 показан порядок задания всех трех паролей.
На рисунке 2 показаны два ПК, пытающиеся получить доступ к режиму управления устройством. Один из ПК подключен посредством консольного кабеля, соединяющейся через линию console 0, а другой посредством Telnet, соединяющейся через терминальную линию vty 0 15. Оба компьютера не имеют Логинов, пароль для консоли и Telnet -cisco. Пользовательский режим получает доступ к привилегированному режиму (enable) с помощью ввода команды "enable secret cisco". Для настройки этих паролей не надо прилагать много усилий. Все делается легко. Во-первых, конфигурация консоли и пароля vty устанавливает пароль на основе контекста: для консоли (строка con 0) и для линий vty для пароля Telnet (строка vty 0 15). Затем в режиме консоли и режиме vty, соответственно вводим команды:
login
password <пароль задаваемый пользователем>
Настроенный пароль привилегированного режима, показанный в правой части рисунка, применяется ко всем пользователям, независимо от того, подключаются ли они к пользовательскому режиму через консоль, Telnet или иным образом. Команда для настройки enable password является командой глобальной конфигурации: enable secret <пароль пользователя>.
В старых версиях, для задания пароля на привилегированный режим, использовалась команда password. В современных IOS применяется два режима задания пароля: password и secret.
Рекомендуется использовать команду secret, так как она наиболее безопасна по сравнению с password.
Для правильной настройки защиты коммутатора Cisco паролями необходимо следовать по шагам, указанным ниже:
Шаг 1. Задайте пароль на привилегированный режим командой enable secret password-value
Шаг 2. Задайте пароль на доступ по консоли
Используйте команду line con 0 для входа режим конфигурирования консоли;
Используйте команду liassword liassword-value для задания пароля на консольный режим;
Используйте команду login для запроса пароля при входе по консоли;
Шаг 3. Задайте пароль на терминальные подключения vty (Telnet)
Используйте команду line vty 0 15 для входа режим конфигурирования терминальных линий. В данном примере настройки будут применены ко всем 16 терминальным линиям;
Используйте команду liassword liassword-value для задания пароля на режим vty;
Используйте команду login для запроса пароля при входе по Telnet
В Примере 2 показан процесс настройки, согласно вышеописанным шагам, а также установка пароля enable secret. Строки, которые начинаются с ! - это строки комментариев. Они предназначены для комментирования назначения команд.
! Enter global configuration mode, set the enable password, and also set the hostname (just because it makes sense to do so)
Switch# configure terminal
Switch(config)# enable secret cisco
Switch#(config)# line console 0
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# exit
Switch#(config)# line vty 0 15
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# end
Switch#
Пример 3 показывает результирующую конфигурацию в коммутаторе, выводимой командой show running-config. Выделенный текст показывает новую конфигурацию. Часть листинга было удалено, что бы сконцентрировать ваше внимание на настройке пароля.
Switch# show running-config
!
Building configuration...
Current configuration: 1333 bytes
!
version 12.2
!
enable secret 5 $1$OwtI$A58c2XgqWyDNeDnv51mNR.
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
! Several lines have been omitted here - in particular, lines for
! FastEthernet interfaces 0/3 through 0/23.
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login
!
line vty 5 15
password cisco
login
В следующей статье рассмотрим тему защиты доступа в пользовательском режиме с помощью локальных имен пользователей и паролей.
Допустим, Вы решили обзавестись IP телефонией для своего офиса. Вы закупили необходимое количество телефонов, настроили voice VLAN, DHCP, TFTP серверы и определились с номерным планом. Однако, прежде чем Ваш IP Phone зазвонит, ему еще предстоит пройти процедуру загрузки, так называемый Bootup или Startup process, которому и будет посвящена данная статья.
В качестве примера будет рассмотрен процесс загрузки Cisco IP Phone под управлением Cisco CallManager. Понимание данного процесса даст более полное представление о работе телефонов Cisco и IP телефонии в целом, а также поможет в оперативном траблшутинге неисправностей.
Итак, пусть имеется некая сеть, содержащая: сервер с Cisco CallManager, сервер DHCP, сервер TFTP, коммутатор с поддержкой PoE (Power over Ethernet) и Cisco IP Phone, как показано на рисунке ниже.
Допустим, что наш коммутатор и телефон поддерживают протокол PoE. Тогда, сразу после того, как телефон будет подключен к одному из Ethernet портов, коммутатор отреагирует специальным сигналом FLP (Fast Link Pulse), который определяет, имеет ли подключенное устройство питание.
Возвращение FLP в форме петли (loopback) на порт коммутатора, к которому недавно было подключено новое устройство, сигнализирует о том, что на данный порт необходимо незамедлительно подать питание. Таким образом, IP Phone по протоколу PoE 802.3af получает питание в 48 Вольт.
Cisco IP Phone имеет встроенную, энергонезависимую Flash-память, в которой хранится образ прошивки и начальные пользовательские настройки. В процессе начальной загрузки телефон, загружая из Flash-памяти образ прошивки, инициализирует своё программное обеспечение и аппаратные средства.
Как только телефон получил питание и прошел POST (Power-on self-test) для проверки базовой функциональности, коммутатор, по проприетарному протоколу CDP (Cisco Discovery Protocol), отправляет на телефон информацию о том, какой voice VLAN необходимо использовать.
Затем, IP Phone отправляет на широковещательный адрес 255.255.255.255 запрос DHCPDISCOVER, в свою очередь DHCP сервер возвращает ответ DHCPOFFER, который содержит следующую информацию:
Свободный IP адрес
Маска подсети
Адрес шлюза по умолчанию (Default Gateway)
Адрес DNS (Domain Name System) сервера. (опционально)
Адрес TFTP (Trivial File Transfer Protocol) сервера, на котором хранится файл конфигурации для телефонов.
Адрес TFTP сервера задается при конфигурировании DHCP по средствам, так называемой опции 150 (option 150). Синтаксис команды приведен ниже:
option 150 ip 'TFTP server IP address'
После того как телефон с помощью option 150 получил адрес TFTP сервера, он скачивает конфигурационный файл, содержащий параметры для подключения к CallManager.
Если телефон был зарегистрирован на CallManager’е вручную, то он начинает проверять файл .cnf.xml, который определяет какую версию программного обеспечения должны использовать все телефоны, зарегистрированные в данном CallManager’е. Если обнаруживается, что загруженный образ не соответствует общепринятому, то телефон вновь обращается на TFTP сервер для получения корректного образа, хранящегося там в формате .bin.
После обращения к TFTP, загрузив новый образ, телефон инициирует установление TCP соединения с CallManager’ом. Данное соединение открывает возможность использования функционала Cisco IP Phone в полной степени.
Как видите, с того момента как наш IP Phone был подключен в один из портов коммутатора и до того момента, когда мы можем совершать звонки, он проходит еще множество всевозможных этапов загрузки, большинство из которых, конечный пользователь даже не заметит.
Кто такой DevOps-инженер, чем он занимается в мире IT-разработки и как им стать
В этой статье мы познакомим вас с популярной профессией DevOps-инженера и расскажем, что он делает, как им стать, где искать работу и – самое главное – сколько можно зарабатывать. В отличие от некоторых модных карьерных направлений, которые появляются и исчезают, DevOps — это область, которая была и будет востребованной. Согласно прогнозам, к концу 2023 года рынок DevOps вырастет до невероятных $10.3 млрд, так что получение должности DevOps-инженера — это ваш первый шаг к долгосрочной карьере.
Если вам нужна работа, сочетающая технологии и творческий подход, то должность DevOps-инженера — это для вас! В этой статье расскажем, как стартовать в этой сфере и что о ней следует знать.
Кто такой DevOps-инженер
Это специалист, на чьих плечах лежит ответственность за совершенствование и автоматизацию процессов разработки и эксплуатации программного обеспечения. Проще говоря, это методология, объединяющая разработку (Dev) и эксплуатацию (Ops) в разработке программного обеспечения с акцентом на скорость и качество. Задача DevOps-инженера состоит в том, чтобы наладить коммуникацию и сотрудничество между этими двумя направлениями.
Что делает DevOps-инженер
DevOps-инженер отвечает за создание инструментов, улучшающих процессы разработки, повышение производительности, надежности и безопасности программных продуктов. Ключевые области занятости devops-инженера включают в себя:
автоматизацию развертывания и масштабирования систем,
управление инфраструктурой как кодом (IaC),
непрерывную поставку и интеграцию (CI/CD),
мониторинг и логирование,
управление конфигурацией и изменениями,
работу с облачными платформами и микросервисной архитектурой.
Где работать DevOps-инженеру
DevOps-инженеры востребованы в различных сферах и отраслях. Они могут работать как в крупных корпорациях, так и в стартапах, где процессы разработки носят более гибкий и динамичный характер. DevOps-подход активно внедряется в современных IT-компаниях, разработчиками облачных решений, а также в корпоративных IT-отделах.
Профессионал в этой области может работать как в операционных подразделениях, так и в команде разработки ПО.
Необходимые навыки для DevOps-инженера
Помните, что DevOps — это не просто набор инструментов или название должности. Это группа скиллов, в которой особое внимание уделяется командной работе, коммуникации и автоматизации. Рассказываем подробнее о каждом из них:
навыки программирования: специалист должен обладать опытом в программировании на языках, таких как Python, Ruby, Go, Java, Rust, C и C++. Проще говоря, он должен уметь писать код, который автоматизирует процессы разработки и операционной работы.
Навыки работы с системами контроля версий: DevOps-инженер должен знать, как работать с системами контроля версий, такими как Git. Он также отвечает за управление конфигурацией серверов и инфраструктуры.
Навыки работы с облачными технологиями: специалист должен уметь работать с AWS, Azure или Google Cloud. Он должен уметь настраивать инфраструктуру в облаке и управлять ресурсами.
Навыки автоматизации: DevOps-инженеру требуется автоматизировать процессы разработки и операционной работы. Он должен знать, как настроить CI/CD-пайплайны, тестирование и деплоймент.
Навыки мониторинга и логирования. DevOps-инженер должен уметь анализировать логи и метрики, чтобы быстро реагировать на проблемы.
Навыки коммуникации. Специалист должен уметь общаться с разработчиками, тестировщиками и операторами. Он должен быть готов к сотрудничеству, давать понятные ТЗ и уметь объяснять сложные технические вопросы простым языком.
В рамках DevOps вы будете участвовать во всем цикле разработки ПО — от планирования до внедрения. Как правило, работа в качестве DevOps начинается с должности начального уровня, например, релиз-менеджера или младшего инженера. По мере накопления опыта внедрения инструментов и процессов, можно вырасти: и стать DevOps-инженером, архитектором или системным инженером.
Чтобы построить карьеру в качестве DevOps, вам потребуется техническое образование в области информатики или информационных технологий, а также понимание Linux, веб-разработки и Java. Поскольку DevOps охватывает весь жизненный цикл программного обеспечения, вместо того чтобы сосредоточиться на одной области, инженеры DevOps работают над оптимизацией каждого этапа процесса. Это означает, что они будут решать множество задач в день, попутно находя точки роста для продукта.
Плюсы и минусы профессии DevOps-инженера
Поскольку 86% организаций считают необходимым быстро разрабатывать новое программное обеспечение, вклад DevOps в компанию очень большой. Давайте рассмотрим, какие плюсы у этой работы есть для вас как для сотрудника:
Высокий спрос на рынке труда: инженеры востребованы во многих компаниях, в том числе и зарубежных. Именно поэтому DevOps стала такой популярной методологией разработки во всем мире.
Высокая зарплата: DevOps-инженеры могут получать от 70 до 600 тысяч рублей — доход всегда растет вместе с умениями и опытом.
Большой выбор инструментов: DevOps-инженеры могут использовать широкий спектр инструментов для автоматизации и управления процессами.
Быстрый рост в карьере: при условии постоянного обучения и оттачивания технических скиллов DevOps-инженер может продвигаться по карьерной лестнице, не сидя годами на одной зарплате.
К тому же, эта роль предполагает работу с другими техническими специалистами, фреймворками, языками программирования, так что вы получите глубокое понимание экосистемы DevOps — и это тоже поможет росту в долгосрочной перспективе.
Минусы:
Высокие требования к знаниям и навыкам. DevOps-инженеру необходимо постоянно обучаться и развиваться, чтобы оставаться востребованным.
Большая ответственность. DevOps-инженер отвечает за автоматизацию процессов разработки и операционной работы, что может повлечь за собой серьезные последствия в случае ошибки или сбоя..
Необходимость быстрого реагирования. Специалист должен быть готов к быстрому реагированию на изменения в проекте или системе, чтобы ничего не «рухнуло».
Высокая конкуренция. Чтобы получить работу DevOps-инженером, понадобится подтвердить свои технические навыки и софт-скиллы. Поможет и обучение в техническом вузе или на профильных курсах.
Овертаймы или необходимость работать ночью. В некоторых случаях DevOps-инженер может столкнуться с тем, что ему придется выходить в ночные смены, чтобы обеспечить бесперебойную работу системы, либо задерживаться на работе. Такие моменты можно обсудить с руководством и договориться о дополнительной оплате.
DevOps-инженер: зарплата и вакансии
Зарплата DevOps-инженера в России может значительно варьироваться в зависимости от опыта работы, компании, региона и других факторов. По данным HeadHunter, средняя зарплата DevOps-инженера в России составляет около 130 000 — 150 000 рублей в месяц. В Москве и Санкт-Петербурге зарплаты могут быть выше и составлять от 150 000 до 200 000 рублей в месяц.
Учитывайте, что зарплата может зависеть от уровня опыта и квалификации. Новички в этой области могут начинать с зарплаты 70 000 — 80 000 рублей в месяц, тогда как опытные DevOps-инженеры могут зарабатывать более 250 000 рублей в месяц.
Как стать DevOps-инженером с нуля
Будущее профессии DevOps-инженера выглядит блестящим. Возможно, после прочтения статьи вам показалось, что нужно обладать огромным количеством навыков для обучения этой профессии. Но это не так: начать карьеру DevOps-инженера с нуля можно и даже нужно! Важно выбирать учебные программы, которые охватывают не только основы DevOps, но и практику применения современных инструментов автоматизации, управления конфигурацией и работы с облачными платформами.
У нас есть курс «DevOps-инженер с нуля», где вы научитесь использовать инструменты и методы DevOps для автоматизации тестирования, сборки и развертывания кода, управления инфраструктурой и ускорения процесса доставки продуктов в продакшн.
Что в итоге
У IT-компаний, которые наращивают скорость и эффективность DevOps, сочетая его с другими технологиями, есть потенциал стать лидерами — как в плане технологий, так и в плане доверия клиентов.
DevOps-инженер способен повысить качество выпускаемого ПО, улучшить его безопасность и наладить отношения с пользователями. Карьерные возможности, высокие зарплаты и постоянно растущий рынок труда делают профессию привлекательной для тех, кто стремится растить свои навыки в IT.
Помните, что единственный способ продвинуться в любой карьере — постоянно быть в курсе последних тенденций и технологий в этой области. Это не только поможет вам быть в курсе новостей сферы, но и поможет получить лучшую работу и зарплату.