По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Здравствуй дорогой друг! В этой статье мы хотим рассказать про базовую настройку отслеживания статического маршрута Static Route Tracking, используя IP SLA. В современной сетевой среде избыточность является одним из наиболее важных аспектов, будь то на стороне локальной сети LAN или на стороне глобальной сети WAN. В этой статье мы рассмотрим избыточность WAN с несколькими каналами WAN, оканчивающимися на одном маршрутизаторе. Лучший и самый простой способ достижения избыточности WAN на устройствах Cisco - это использовать надежные резервные статические маршруты с отслеживанием IP SLA. IP SLA - это функция, включенная в программное обеспечение Cisco IOS, которая позволяет администраторам анализировать уровни обслуживания для IP приложений и сервисов, проверять QoS на соответствие параметрам, и помогать обнаруживать и локализовать неисправности. IP SLA использует технологию активного мониторинга трафика (когда тестовые пакеты добавляются в активное соединение) для мониторинга непрерывного трафика в сети. Маршрутизаторы Cisco предоставляют собой так называемые IP SLA Responder'ы, которые обеспечивают точность измеренных данных в сети. IP SLA собирает информацию об задержке, джиттере, потере пакетов, их пути, последовательности отправки и многого другого. С IP SLA маршрутизаторы и коммутаторы выполняют периодические измерения. Количество и тип доступных измерений огромны, и в этой статье мы рассмотрим только функцию ICMP ECHO. Сам по себе IP SLA - очень большая тема для обсуждения. Настройка Рассмотрим следующую схему с двумя провайдерами. На рисунке наше устройство Cisco подключено к двум каналам WAN - ISP1 и ISP2. Наиболее распространенная настройка, которую мы используем в повседневной жизни, - это настройка маршрутов по умолчанию на маршрутизаторе Cisco, указывающих на соответствующие IP-адреса следующего хопа (next-hop), как показано ниже: R1(config)# ip route 0.0.0.0 0.0.0.0 2.2.2.2 R1(config)# ip route 0.0.0.0 0.0.0.0 3.3.3.3 10 Как вы могли заметить административное расстояние для дополнительного маршрута, указывающего на ISP2, увеличено до 10, чтобы он стал резервным каналом. Вышеуказанная конфигурация с двумя плавающими статическими маршрутами частично выполняет наше требование, поскольку она будет работать только в сценарии, когда интерфейсы маршрутизаторов, подключенные к каналу WAN, находятся в состоянии UP/UP или DOWN/DOWN. Но во многих ситуациях мы видим, что, хотя линки остаются работоспособными, но мы не можем достичь шлюза, это обычно происходит, когда проблема находится на стороне провайдера. В таких случаях IP SLA становится лучшим другом инженера. Используя IP SLA, Cisco IOS получает возможность использовать эхо-запросы ICMP для идентификации, когда канал WAN отключается на удаленном конце, и, следовательно, позволяет инициировать резервное соединение с альтернативного порта. IP SLA настроен на пинг цели, такой как общедоступный IP-адрес или адрес в корпоративной сети, или ваш IP-адрес следующего хопа на маршрутизаторе ISP. Пинги маршрутизируются только с основного интерфейса. Пример конфигурации IP SLA для генерации пинга icmp, нацеленного на IP-адрес следующего перехода ISP1: R1(config)# ip sla 1 R1(config)# icmp-echo 2.2.2.2 source-interface FastEthernet0/0 R1(config)# timeout 1000 R1(config)# threshold 2 R1(config)# frequency 3 R1(config)# ip sla schedule 1 life forever start-time now Обратите внимание, что команды Cisco IP SLA меняются в зависимости от версии IOS, и чтобы узнать точную команду для вашей версии IOS, проверьте документацию Cisco. Вышеприведенные команды предназначены для IOS 12.4(4) T, 15.(0)1M и более поздних выпусков. Приведенная выше конфигурация определяет и запускает IP SLA. ICMP-echo отправляет эхо-пакет ICMP на IP следующего хопа 2.2.2.2 каждые 3 секунды, как определено параметром “frequency”. “Timeout” устанавливает время (в миллисекундах), в течение которого операция SLA Cisco IOS IP ожидает ответа от своего пакета запроса. “Threshold” устанавливает порог, который генерирует событие реакции и хранит хронологическую информацию для операции SLA Cisco IOS IP. После определения операции IP SLA наш следующий шаг - определить объект, который отслеживает SLA. Это можно сделать с помощью IOS Track Object, как показано ниже: R1(config)# track 1 ip sla 1 reachability Приведенная выше команда создает трек, который будет отслеживать состояние операции IP SLA. Если от IP-адреса следующего хопа нет откликов на пинг, трек отключится и начнет работать, когда SLA начнет снова получать пинг-ответ. Чтобы проверить состояние трека, используйте команду show track, как показано ниже: R1# show track Track 1 IP SLA 1 reachability Reachability is Down 1 change, last change 00:03:19 Latest operation return code: Unknown Последним шагом в конфигурации надежного статического маршрута IP SLA является добавление оператора отслеживания к маршрутам по умолчанию, указывающим на маршрутизаторы ISP, как показано ниже: R1(config)# ip route 0.0.0.0 0.0.0.0 2.2.2.2 track 1 R1(config)# ip route 0.0.0.0 0.0.0.0 3.3.3.3 10 Добавив после адрес ключевое слово track и его номер, мы указываем, что только если состояние настроенного трека будет Up. Следовательно, если статус трека Down, то вторичный маршрут будет использоваться для пересылки всего трафика. Готово! Мы успешно настроили автопереключение между двумя провайдерами при помощи IP SLA с icmp-echo
img
Сразу перейду к делу. Пользователями FreePBX 14 замечен крайне серьёзный баг в утилите fail2ban. Версия fail2ban, на которой замечен баг - 0.8.14-11 и ниже. Проверить можно командой rpm -qa | grep fail2ban: fail2ban-fpbx-0.8.14-11.sng7.noarch Данный баг заключается в том, что после установки чистой FreePBX Distro 14 сервис fail2ban хоть и в активном статусе, однако никаких “тюрем" (jails) он не подгружает и их количество = 0. Проверить можно командой fail2ban-client status, если Ваш сервер подвержен багу, то Вы увидите: [root@merionlab]# fail2ban-client status Status |- Number of jail: 0 `- Jail list: Это значит, что например, максимальное число попыток ввода пароля для доступа к вэб-интерфейсу FreePBX или попыток регистрации SIP-клиента с неверным паролем - не ограничено, а IP-адрес, с которого приходят эти запросы не блокируется. Естественно, что модуль Intrusion Detection во FreePBX также не будет работать. "Тюрьмы" или jails - это такие секции в файле /etc/fail2ban/jail.local, в которых указано, логи какого сервиса необходимо мониторить, чтобы выявлять и блокировать несанкционированные попытки доступа к этому сервису, а также такие параметры как время блокировки, максимальное число попыток и действие, которое необходимо предпринять в случае выявления. Например, вот секция [asterisk-iptables]: [asterisk-iptables] enabled = true filter = asterisk-security action = iptables-allports[name=SIP, protocol=all] sendmail[name=SIP, dest=none@yourpbx.com, sender=none@yourpbx.com] logpath = /var/log/asterisk/fail2ban maxretry = 5 bantime = 1800 В ней указано, что нужно мониторить лог /var/log/asterisk/fail2ban, искать в нём 5 попыток неуспешной регистрации (например SIP телефон пытается зарегистрироваться с неверным паролем) и банить IP-адрес на 30 минут. Ну и ещё можно отправку по email настроить о данном факте. По умолчанию, в файле /etc/fail2ban/jail.local должно быть 7 таких секций - [apache-tcpwrapper], [recidive], [ssh-iptables], [apache-badbots], [pbx-gui], [asterisk-iptables], [vsftpd-iptables]. В каждой указан путь к логам соответствующего сервиса. Решение Итак, есть два решения данной проблемы. Первое – остановить сервис fail2ban командой systemctl stop fail2ban и внести следующие изменения в файл /usr/lib/systemd/system/fail2ban.service: [Unit] Description=Fail2Ban Service After=httpd.service [Service] Type=forking ExecStartPre=/bin/mkdir -p /var/run/fail2ban ExecStart=/usr/bin/fail2ban-client -x start ExecStop=/usr/bin/fail2ban-client stop ExecReload=/usr/bin/fail2ban-client reload PIDFile=/var/run/fail2ban/fail2ban.pid Restart=always [Install] WantedBy=default.target Затем запустить сервсис fail2ban командой systemctl start fail2ban и сделать так, чтобы сервис включался после ребута автоматически systemctl enable fail2ban. И вторая – обновить сам fail2ban. Для этого вводим следующие команды: yum install sangoma-devel yum update Проверяем версию fail2ban после обновления - rpm -qa | grep fail2ban: fail2ban-fpbx-0.8.14-75.sng7.noarch После данных действий, команда fail2ban-client status должна отобразить верное количество jails и fail2ban с Intrusion Detection должны вновь встать на стражу Вашего сервера: [root@merionlab]# fail2ban-client status Status |- Number of jail: 7 `- Jail list: apache-tcpwrapper, recidive, ssh-iptables, apache-badbots, pbx-gui, asterisk-iptables, vsftpd-iptables Чтобы случайно не заблокировать свой адрес и игнорировать любые неуспешные попытки доступа к серверу с адресов, находящихся в локальной сети или других доверенных адресов, внесите их или всю доверенную подсеть в секцию [DEFAULT] в поле ignoreip в том же файле /etc/fail2ban/jail.local
img
”Здравствуйте, вы позвонили в компанию "Company Name", для соединения с отделом продаж – нажмите 1, если вы являетесь партнером нашей компании – нажмите 2, по вопросам технической поддержки – 3. Для соединения с оператором – оставайтесь на линии”. Наверное, сейчас уже ни одна компания не осталась без подобного сценария обработки входящих звонков. Короткие гудки в трубке, прежде чем Вам ответит сотрудник компании, в которую Вы пытаетесь дозвониться – теперь уже большая редкость. Всё это стало возможным с появлением цифровых АТС, а функционал, пример которого был приведен выше, называется IVR (Interactive Voice Response) в русской литературе – голосовое меню. В сегодняшней статье, мы рассмотрим функционал IVR на примере IP-АТС Asterisk и FreePBX 13. Основной функцией IVR – является маршрутизация входящих вызовов между департаментами компании, посредством обработки сигналов тонального набора, осуществляемых дозвонившимся клиентом, на своем телефоне. Тем самым, IVR позволяет распределить нагрузку на операторов кол-центра, т.к клиенту предоставляется возможность соединиться с интересующим его отделом и получить всю необходимую информацию, минуя первую линию операторов. Помимо данной функции, IVR может использоваться в рекламных и маркетинговых акциях, в целях получения статистической информации и даже в организации автономных голосовых порталов с распознаванием речи, где вообще не требуется присутствие оператора. В больших кол-центрах к организации IVR подходят серьёзно, учитываются все факторы вплоть до психологического. От того насколько грамотно подобран голос диктора, музыкальное сопровождение и информация сообщения, зависит расположение клиента, который дозвонился в компанию и его лояльность. Информация, которая сообщается в меню IVR должна быть изложена лаконично, дружелюбно и емко. Поэтому в первую очередь – необходимо написать текст IVR и его сценарий. Общая рекомендация – ограничиться несколькими опциями, т.е не стоит задавать слишком большое меню с 6 и более опциями, поскольку в нем попросту будет сложно ориентироваться. Пошаговое видео Настройка Перейдём к FreePBX 13 и рассмотрим какие варианты предлагает его функционал при настройке IVR. В первую очередь, с главной страницы перейдем по следующему пути Applications -> IVR. Нам предложат создать новое голосовое меню: Перед нами откроется страница добавления нового голосового меню IVR, нажимаем Add IVR Пройдёмся по основным пунктам: IVR Name – Имя голосового меню, тут все просто IVR Description – Опционально, можно добавить описание данного IVR, например IVR_Holiday – меню, которое будет слышать дозвонившийся по праздникам Announcement – Голосовое сообщение, которое будет слышать дозвонившийся. Именно данное сообщение будет направлять абонента (“нажмите 1, нажмите 2 и так далее”). Добавляется через System Recordings Enable Direct Dial – Данная опция позволяет абоненту набрать внутренний номер сотрудника (если он его знает) и напрямую соединиться с ним, не дожидаясь, пока это предложит IVR Timeout – Время, за которое абоненту предлагают выбрать опцию после сообщения. Если данное время истекло, то IVR отработает по timeout rules, которые описываются ниже Invalid Retries – Количество попыток, которые есть у абонента, чтобы ввести правильный номер опции, прежде чем абонента отправят на Invalid Destination Invalid Retry Recording – Сообщение, которое услышит абонент, после того как повторно введет неверный номер опции. Добавляется через System Recordings Append Announcement to Invalid – Опция, определяющая проигрывать ли основное сообщение IVR пользователю, который исчерпал все попытки ввода Return on Invalid – Данная опция контролирует процесс возврата звонка пользователя, исчерпавшего попытки ввода, в основное меню IVR из, так называемого под-меню (sub-IVR). Работает только если настроено данный IVR был настроен как sub-IVR для основного голосового меню Invalid Recording – Сообщение, которое будет проигрываться абоненту, после того как он исчерпает все попытки Invalid Retries. Добавляется через System Recordings Invalid Destination - Если пользователь исчерпал все попытки ввода, то он будет отправлен по данному пути. Это может быть, например, номер операторов или любое другое направление настроенное на АТС Timeout Retries – Как много раз пользователь может ждать времени, указанного в Timeout Timeout Retry Recording - Сообщение, которое услышит пользователь, достигший Timeout. Добавляется через System Recordings Append Announcement on Timeout - Опция, определяющая проигрывать ли основное сообщение IVR пользователю, который достиг Timeout. Добавляется через System Recordings Return on Timeout - Данная опция контролирует процесс возврата звонка пользователя, достигшего Timeout, в основное меню IVR из, так называемого под-меню (sub-IVR). Работает только если настроено данный IVR был настроен как sub-IVR для основного голосового меню Timeout Recording - Сообщение, которое услышит пользователь, исчерпавший Timeout Retries. Добавляется через System Recordings Timeout Destination - Если пользователь исчерпал все Timeout Retries, то он будет отправлен по данному пути. Return to IVR after VM – Опция, позволяющая пользователю вернуться в IVR после того как он был направлен на голосовую почту IVR Entries - Самая важная вкладка. Здесь мы настраиваем соответствие цифр тонального набора и направления звонка, т.е ту самую маршрутизацию вызова. На примере ниже, если абонент введет цифру 1, то попадет на группу обзвона ( Ring Group ) технической поддержки
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59