По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Первая часть статьи доступна по ссылке: Базовая настройка коммутатора Cisco - часть 1
Защита доступа в пользовательском режиме с помощью локальных имен пользователей и паролей
Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable.
Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3.
На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local."
На рисунке в Пользовательском режиме используется две команды:
1- username ulanbaby secret box
2- username landy secret box
Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль. Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username <имя пользователя> secret <пароль>. Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local. По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему."
Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей.
Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля:
Шаг 1. В режиме глобальной конфигурации используйте команду username <имя пользователя > secret <пароль>, чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора.
Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора:
используйте команду line con 0 для входа в режим конфигурации консоли.
используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей.
(необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.
Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора:
1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15).
2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей.
3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.
При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен.
В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности.
Защита доступа в пользовательском режиме с помощью внешних серверов аутентификации
В конце примера 4 показано одно из многочисленных улучшений безопасности, когда требуется, чтобы каждый пользователь входил под своим собственным именем пользователя. Также в конце примера показано, как пользователь входит в режим конфигурации (configure terminal), а затем сразу же покидает его (end). Обратите внимание, что при выходе пользователя из режима конфигурации коммутатор генерирует сообщение журнала (log). Если пользователь вошел в систему с именем пользователя, сообщение журнала (log) идентифицирует это имя пользователя; В примере сгенерировано сообщение журнала по имени "ulanbaby".
Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены.
Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее.
Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы.
Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора.
При использовании AAA-сервера для аутентификации коммутатор (или маршрутизатор) просто отправляет сообщение на AAA-сервер, спрашивая, разрешены ли имя пользователя и пароль, и AAA-сервер отвечает.
На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны.
На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему.
Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети.
Настройка защищенного удаленного доступа по SSHl
До сих пор мы рассматривали доступ к коммутатору по консоли и Telnet, в основном игнорируя SSH. У Telnet есть один серьезный недостаток: все данные в сеансе Telnet передаются в открытом виде, включая обмен паролями. Таким образом, любой, кто может перехватывать сообщения между Пользователем и коммутатором (man-in-the-middle attack), может видеть пароли. SSH шифрует все данные, передаваемые между SSH-клиентом и сервером, защищая данные и пароли.
SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.)
Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH.
На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе.
На рисунке показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показан листинг настройки SSH. Для настройки SSH на рисунке, отображаются команды:
hostname sw-1 (задает имя коммутатору)
ip domain-name testing.com (команда использует полное доменное имя sw-1.testing.com)
crypto key generate rsa.
Для локальной конфигурации имени пользователя (например, Telnet) отображаются следующие команд:
username ulanbaby secret box
username landy secret man
line vty 0 15
login local
IOS использует три команды: две для конфигурации SSH, а также одну команду для создания ключей шифрования SSH. Сервер SSH использует полное доменное имя коммутатора в качестве входных данных для создания этого ключа. Коммутатор создает полное доменное имя из имени хоста и доменного имени коммутатора. Рисунок 5 начинается с установки обоих значений (на тот случай, если они еще не настроены). Затем третья команда, команда crypto key generate rsa, генерирует ключи шифрования SSH. IOS по умолчанию использует SSH-сервер. Кроме того, IOS по умолчанию разрешает SSH-соединения по vty.
Просмотр настроек в режиме конфигурации, шаг за шагом, может быть особенно полезен при настройке SSH. Обратите внимание, в частности, что в этом примере команда crypto key запрашивает у пользователя модуль ключа; вы также можете добавить параметр modulus modulus-value в конец команды crypto key, чтобы добавить этот параметр в команду. В примере 5 показан порядок настройки ssh ( такие же команды, что и на рис. 5) Ключ шифрования является последним шагом.
Ранее упоминалось, что одним полезным значением по умолчанию было то, что коммутатор по умолчанию поддерживает как SSH, так и Telnet на линиях vty. Однако, поскольку Telnet не безопасный протокол передачи данных, то вы можете отключить Telnet, чтобы обеспечить более жесткую политику безопасности.
Для управления тем, какие протоколы коммутатор поддерживает на своих линиях vty, используйте подкоманду transport input {all | none / telnet / ssh} vty в режиме vty со следующими опциями:
transport input all or transport input telnet ssh поддержка как Telnet, так и SSH
transport input none: не поддерживается ни один протокол
transport input telnet: поддержка только Telnet
transport input ssh: поддержка только SSH
В завершении этой части статьи о SSH, расписана пошаговая инструкция настройки коммутатора Cisco для поддержки SSH с использованием локальных имен пользователей. (Поддержка SSH в IOS может быть настроена несколькими способами; эта пошаговая инструкция показывает один простой способ ее настройки.)
Процесс, показанный здесь, заканчивается инструкцией настройки локального имени пользователя на линиях vty, как было обсуждено ранее в первой части данной серии статей.
Шаг 1. Настройте коммутатор так, чтобы он генерировал совпадающую пару открытых и закрытых ключей для шифрования:
если еще не настроено, задайте командой hostnamename имя для этого коммутатора в режиме глобальной конфигурации.
Если еще не настроено, задайте командой ip domain-namename доменное имя для коммутатора в режиме глобальной конфигурации.
Используйте команду crypto key generate rsa в режиме глобальной конфигурации (или команду crypto key generate RSA modulus modulus-value, чтобы избежать запроса модуля ключа) для генерации ключей. (Используйте по крайней мере 768-битный ключ для поддержки SSH версии 2.)
Шаг 2. (Необязательно) используйте команду ip ssh version 2 в режиме глобальной конфигурации, чтобы переопределить значение по умолчанию для поддержки обеих версий протокола удаленного доступа SSH 1 и 2, так что бы разрешены были только соединения SSHv2.
Шаг 3. (Необязательно) если вы еще не настроили нужный параметр, задайте на линии vty для работы по SSH и Telnet.:
используйте команду transport input ssh в режиме конфигурации линий vty, чтобы разрешить только SSH.
используйте команду transport input all (по умолчанию) или команду transport input telnet ssh в режиме конфигурации линий vty, чтобы разрешить как SSH, так и Telnet.
Шаг 4. Используйте различные команды в режиме конфигурации линий vty для настройки локальной аутентификации имени пользователя, как описано ранее в этой статье.
На маршрутизаторах Cisco часто по умолчанию настроен параметр transport input none. Поэтому необходимо добавить подкоманду transport input line для включения Telnet и / или SSH в маршрутизаторе.
Для просмотра информации о состояния SSH на коммутаторе используются две команды. Во-первых, команда show ip ssh выводит информацию о состоянии самого SSH-сервера. Затем команда show ssh выводит информацию о каждом клиенте SSH, подключенном в данный момент к коммутатору. В пример 6 показаны примеры работы каждой из команд, причем пользователь ULANBABY в данный момент подключен к коммутатору.
Коммуникационная платформа Elastix обладает богатым функционалом и привлекательным интерфейсом. В сегодняшней статье мы пошагово разберем процесс настройки внутренних номеров (Extensions) на Elastix версии 4.0 и зарегистрируем программный «open – source» телефон MicroSIP
Настройка на Elastix
Переходим в web – интерфейс Elastix. Для этого введите IP – адрес АТС в браузере. Откроется окно авторизации. Введите логин и пароль администратора и нажмите Submit:
Попадаем в интерфейс администратора IP – АТС. В левом меню навигации переходим в раздел PBX → PBX Configuration, где выбираем раздел настройке Extension, как показано на рисунке ниже (выделено красным):
Мы будем подключать софтфон по протоколу SIP, поэтому, выбираем Generic SIP Device и нажимаем Submit:
Для работы телефона достаточно создать только 3 реквизита, а именно:
User Extension - внутренний номер абонента
Display Name - отображаемое имя для абонента
secret - пароль. Создается автоматически
После заполнения данных полей, нажмите Submit, а затем Apply Config. Этого достаточно для работы софтфона, и если вы хотите сразу перейти к настройке самого программного телефона, нажмите на ссылку ниже, а мы пока рассмотрим все возможные опции в разделе Extensions:
Настройка MicroSIP
Разберем каждую опцию подробно. Начнем с раздела опций внутреннего номера (Extension Options):
CID Num Alias - CallerID, который будет отражаться на телефонах вызываемых абонентов, в качестве определяемого номера. Эта опция может быть полезна в следующей ситуации: например, существует общий номер для сотрудников бухгалтерии (ринг группа). При звонках со своих внутренних номеров на другие экстеншены, у вызываемого абонента будет отражаться привычный номер ринг – группы, на который он обычно звонит для связи с Бухгалтерией.
SIP Alias - используется при прямых SIP – звонках. Например, staff@merionet.ru.
Outbound CID - исходящий CallerID (как правило, при внешних звонка через транк, провайдер так или иначе будет перекрывать CID).
Asterisk Dial Options - перечень опций, передаваемых через команду Dial(). В нашем примере мы имеем значение tr. Здесь «t» означает возможность трансфера звонка вызываемым абонентом, а опция «r», генерирует гудок вызывающему абоненту при звонке.
Ring Time - время звонка в секундах, перед отправкой вызова на голосовую почту.
Call Forward Ring Time - время звонка в секундах, перед отправкой вызова на указанное направление недоступностей вида «не ответ» или «недоступность».
Outbound Concurrency Limit - максимальное количество одновременных исходящих от пользователя вызовов.
Call Waiting - данная опция позволяет получать параллельный во время разговора вызов по тому же каналу.
Internal Auto Answer - если данное значение выставлено на Intercom, то будет происходить автоматический ответ на входящий вызов.
Call Waiting - при включении данной опции, звонящему, будет предложено проговорить свое имя, после чего, звонок продолжится. Вызываемый абонент возьмет трубку и ему будет озвучено имя звонящего, и так же система спросит, ответить ли на этот звонок или нет.
Pinless Dialing - если на исходящих маршрутах существует пин – код, то при включении этой опции, пользователю не потребуется его вводить.
Emergency CID - при звонках через маршрут, который обозначен как «Аварийный» (Emergency Route), данный CallerID будет передаваться в сторону SIP – провайдеру превалируя над всеми правилами по изменению CID.
Queue State Detection - если данный внутренний номер состоит в одной из очередей, то при опциях Use State и Ignore State (использовать или игнорировать состояние соответственно), данный номер будет вызваниваться в зависимости от состояния доступности, или нет.
Перейдем к небольшому разделу Assigned DID/CID:
DID Description - описание для DID (Direct Inward Dialing). По факту, DID это набранный внешним абонентом номер, при вызове которого звонок будет маршрутизирован на конкретный внутренний номер. Например, вы можете написать «Support»
Add Inbound DID - входящий DID для этого внутреннего номера. При звонках на него вызов пробросится сразу на экстеншен.
Add Inbound CID - CallerID, вызовы с которого, будут маршрутизироваться на внутренний номер .
Теперь рассмотрим служебные опции настройки подключаемого устройства:
dtmfmode - метод передачи DTMF сигналов. Как правило, это RFC 2833
canreinvite - при включении данной опции будут поддерживаться re-invite по протоколу SIP
context - контекст обработки вызова. Советуем здесь оставить from-internal, если вы не создаете кастомные контексты.
host - здесь можно указать IP – адрес, с которого будет подключаться устройство. Советуем оставить dynamic.
- метод передачи DTMF сигналов. Как правило, это RFC 2833
trustrpid - доверять ли идентификатору RPID (Remote-Party-ID)
sendrpid - должен ли Asterisk отправлять RPID на это устройство
type - выберите тип устройства. Как правило, для конечных телефонных аппаратов используется friend
nat - выберите опцию трансляции сетевых адресов. Рекомендуем оставить RFC 3581
port - оставьте стандартный SIP – порт 5060
qualify - при включенной данной опции, Asterisk посылает сообщения, в которых опрашивает состояние устройства
qualifyfreq - частоты отправки сообщений qualify. Указывается в секундах.
transport - транспортный протокол для передачи данных.
avpf - видео/аудио профиль для передачи данных WebRTC
icesupport - включить или выключить поддержку ICE (Interactive Connectivity Establishment), который позволяет корректную работу пользователей, находящихся за фаерволом.
dtlsenable - использовать ли для этого устройства безопасный транспортный протокол DTLS (Datagram Transport Layer Security)
dtlsverify - совершать ли проверку сертификата DTLS у данного устройства
dtlssetup - на каких направлениях вызова использовать DTLS – входящих, исходящих или сразу обоих.
encryption - использовать ли шифрование по протокол SRTP
dial - как вызвать это устройство. В нашей примере, это SIP/111, то есть набор через SIP канал номера 111.
mailbox - ящик голосовой почты для устройства
deny - подсеть, с которой запрещен доступ к данному устройству
permit - подсеть, с которой разрешен доступ к данному устройству
Теперь давайте рассмотрим раздел Recording Optoins:
Inbound External Calls - записывать ли входящие из города на этот внутренний номер
Outbound External Calls - записывать ли исходящие в города с этого внутреннего номера
Inbound Internal Calls - записывать ли входящие с других внутренних номеров на этот номер
Outbound Internal Calls - записывать ли исходящие звонки с этого внутреннего номера на другие внутренние номера
On Demand Recording - разрешить ли запись по требованию на этом телефоне. Запись сохраняется, если пользователь произведет набор сервисного кода *1
Record Priority Policy - приоритет записи разговоров. Например, если произошел разговор между двумя внутренними телефонными аппаратами, и у одного из них параметр, равен 20, а у другого 10, тот, у которого параметр выше сможет сохранить запись разговора, а тот, у которого ниже – нет.
Теперь разберемся с голосовой почтой:
Status - включить или выключить голосовую почту.
Voicemail Password - пароль доступа к голосовой почте. Пароль должен содержать только цифры
Email Address - адрес электронной почты, куда будут отправляться голосовые сообщения.
Email Attachment - отправлять ли аудио голосовой почты в формате вложения в электронном письме
Play CID -озвучивать ли абоненту, который собирается прослушать голосовую почту, номер звонящего.
Play Envelope - озвучивать ли абоненту при прослушивании голосовой почты дату и время звонка
Delete Voicemail - удалять ли звуковой файл с сервера после отправки его по электронной почте.
И наконец, разберем важный пункт, который называется Optional Destinations, который отвечает за маршрутизацию вызова при таких обстоятельствах как «не ответ», «занято» и «недоступен»:
No Answer - куда отправлять вызов, если абонент не ответил на звонок
Busy - куда отправлять вызов, если абонент занят разговором
Not Reachable - куда отправлять вызов, если телефонный аппарат абонента недоступен
Настройка MicroSIP
Итак, после того, как мы создали учетную запись для внутреннего номера, перейдем к настройке программного телефона. Переходим по пути Меню → Добавить аккаунт
SIP сервер - IP – адрес Elastix
Пользователь - внутренний номер созданного абонента
Домен - так же указываем IP Эластикса
Логин - еще раз указываем внутренний номер абонента
Пароль - копируем пароль из поля secret
Нажимаем «Сохранить». Как видим, наш софтфон зарегистрировался и находится в статусе «Онлайн»:
В данной статье будет произведено краткое описание софтфона Zoiper. Zoiper – это IP-софтфон, который можно скачать и установить на следующие платформы: Windows, Linux, Mac и мобильные IOS и Android. Мы рассмотрим установку на самую распространенную ОС – Windows 7.
Ниже приведены ключевые функции и особенности:
Опция
Zoiper программный телефон
SIP + IAX протоколы
+
IAX2 протоколы
+
Доступные кодеки
GSM, ulaw, alaw, speex, ilbc, Zoiper BIZ (коммерческая версия) поддерживает G.729
STUN сервер для каждого аккаунта
+
Изменяемое количество линий
+
Компенсация эхо
+
Шифрование паролей
+
Адресная книга
+
Поддержка DTMF тонов
+
Специальные кнопки
Кнопка удержания вызова, кнопка перевода вызова, кнопка быстрого набора, цифровые клавиши, «ползунки» для управления громкостью микрофона и динамика, кнопка «История»
Установка
Далее перейдем к установке данного софтфона: для этого кликните на ссылку ниже, она ведёт на официальный сайт вендора, на страницу загрузки
https://www.zoiper.com/en/voip-softphone/download/zoiper3
После клика на иконку вашей платформы, появится предложение купить коммерческую версию – можно смело отказываться и выбирать «Free»
Скачается установочный файл, и появится всем хорошо знакомое диалоговое окно установки. Для проформы опишу установочные шаги:
Нужно кликнуть Next
Принять лицензионное соглашение
Выбрать опции установки (добавление ярлыка на рабочий стол, в поле быстрого запуска, автозапуск вместе с загрузкой системы)
Выбрать директорию установки – можно оставить директорию по умолчанию
Нажать Next
Выбрать пользователя, для которого устанавливается софтфон (All Users или Current User)
Нажать Next
Далее начнется процесс установки, после чего нужно нажать Finish и запустить софтфон
Ниже указан интерфейс софтфона сразу после установки:
Далее необходимо начать настройку софтфона с регистрации аккаунта – нажимаем на вкладку Settings и выбираем Create a new account . В соответствии со скриншотом ниже выбираем тип аккаунта – SIP и нажимаем NEXT.
Далее заполняем требуемую информацию – логин, пароль и адрес вашей АТС и снова нажимаем NEXT. Ниже указан пример заполнения
Далее Zoiper автоматически укажет имя аккаунта в соответствии с введёнными данными, нажимаем NEXT и пройдет некоторое время, прежде чем аккаунт станет активным (естественно, если все поля были заполнены верно)
В конце появится следующее окно:
Если всё будет в порядке – в интерфейсе программы будет гореть надпись Online и Registered. Для набора номера необходимо перейти во вкладку Dialpad и набрать требуемый номер.