По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет всем! В сегодняшней статье хотим рассказать о том, как защитить исходящие маршруты во FreePBX списком паролей. Мы покажем, как создать множество PIN-кодов, которые необходимо будет набрать прежде чем открылась возможность совершения вызова через тот или иной исходящий маршрут.
Как можно догадаться, для этих целей во FreePBX существует специальный модуль - PIN Sets, о нём и поговорим.
Обзор
Модуль PIN Sets позволяет создавать группы и привязывать к ним список определённых паролей (нас самом деле - PIN-кодов). Затем, через модуль Outbound Route можно сократить пользование исходящим маршрутом только до определённой группы. Получается такое расширение функций поля Route Password в настройках исходящего маршрута только вместо одного PIN-кода мы теперь можем ввести много разных.
Например, мы можем создать группу ”Sales” (Продавцы) и задать в ней 3 PIN-кода, один для руководителя отдела продаж, и ещё два для менеджеров, а затем каждому сообщить свой PIN. Потом назначить данную группу на определённый маршрут и каждый раз, когда кто-то захочет сделать внешний вызов через этот маршрут, ему будет предложено сначала ввести PIN.
Настройка
Перейдём к настройке. Модуль PIN Sets располагается в разделе Settings:
Описание модуля говорит нам, что он используется для управления PIN-кодами для доступа к “запрещённым фичам” таким как Outbound Routes (исходящие маршруты). Но на самом деле, кроме как в модуле Outbound Route функционал PIN Sets больше нигде применить нельзя.
Существует коммерческая реализация данного модуля – PIN Sets Pro. Она позволяет создавать наборы PIN-кодов индивидуально для внутренних номеров, а также строит отчёты по использованию данных PINов.
Для того, чтобы создать новую группу кликаем Add Pinset:
Перед нами открывается окно с параметрами для добавления новой группы:
Описание каждого параметра модуля:
PIN Set Description - Описание для данной группы;
Record In CDR - Параметр, отвечающий за то, записывать ли PIN-коды данной группы в CDR;
PIN List - Собственно, сами PIN коды, которые можно будет набрать прежде чем звонить через маршрут. Можно вводить несколько PIN-кодов, записывая их в линию;
После создания новой группы нажимаем Submit и Apply Config. А затем отправляемся в модуль Outbound Route, выбираем из списка маршрут, который нужно защитить и открываем его настройки. Предварительно, необходимо убедиться, что на вкладке Route Settings в поле Route Password не стоит никакого пароля.
Переходим на вкладку Additional Settings и в поле PIN Sets выбираем только что созданную группу.
Теперь, чтобы можно было воспользоваться маршрутом 79012345678 и позвонить во вне, абоненту нужно будет набрать либо PIN-код 48151 либо 62342 как настроено в PIN Sets.
Каждому исходящему маршруту может быть назначена только одна группа PIN Set. Если Вы хотите разрешить ещё одной группе пользоваться тем же маршрутом, не внося пароли из неё в первую группу, просто продублируйте маршрут и назначьте ему новую группу PIN Set.
3-уровневая иерархическая модель Cisco нацелена на построение надежной, масштабируемой и высокопроизводительной сетевой конструкции. Этот высокоэффективный сетевой иерархический подход обеспечивает экономичный, модульный, структурированный и простой метод (обеспечивает несложный и единообразный проект) для удовлетворения существующих и будущих потребностей роста сети. Каждый из уровней имеет свои особенности и функциональность, что еще больше упрощает сети.
Что же заставляет нас переходить к использованию 3-уровневневого иерархического подхода, представлены ниже -
Масштабируемость (Scalability) - эффективно приспосабливается к будущему росту сети;
Простота управления и устранения неполадок - эффективное управление и простота в устранении причины сбоя;
Более простая и структурированная фильтрация и принудительное применение политик - проще создавать фильтры/политики и применять их в сети;
Избыточность и отказоустойчивость - в сети могут происходить сбои/простои устройств, и она должна продолжать предоставлять услуги с той же производительностью, в случае выхода из строя основного устройства;
Высокая производительность - иерархическая архитектура для поддержки высокой пропускной способности и высокой производительности базовой активной инфраструктуры;
Модульность - обеспечивает гибкость в проектировании сети и облегчает простое внедрение и устранение неполадок.
Уровень ядра (внутренний уровень) | Core layer
Этот уровень также называется сетевым магистральным уровнем и отвечает за обеспечение быстрого транспорта между распределительными коммутаторами в пределах кампуса предприятия.
Станциями внутреннего уровня являются коммутаторы высокого класса и высокопроизводительные коммутаторы, имеющие модульный форм-фактор. Это полностью резервные устройства, поддерживающие расширенные функции коммутации уровня 3 и протоколы динамической маршрутизации. Основным здесь является сохранение конфигурации как можно более минимальной на уровне ядра.
Из-за очень высокой критичности этого слоя, проектирование его требует высокого уровня устойчивости для быстрого и плавного восстановления, после любого события сбоя сети в пределах блока ядра.
Ниже приведены основные характеристики внутреннего уровня -
Высокая производительность и сквозная коммутация;
Обеспечение надежности и отказоустойчивости;
Масштабируемый;
Избегание интенсивных манипуляций с пакетами ЦП, вызванных безопасностью, инспекцией, классификацией качества обслуживания (QoS) или другими процессами.
Вот некоторые модели коммутаторов Cisco, работающих на уровне ядра, являются Catalyst серии 9500/6800/6500 и nexus серии 7000.
Распределительный уровень | Distribution layer
Распределительный уровень расположен между уровнями доступа и ядра. Основная функция этого уровня - обеспечить маршрутизацию, фильтрацию и WAN-доступ, а также визуализировать связь между уровнями доступа и ядра. Кроме того, коммутаторы уровня распределения могут предоставлять восходящие службы для многих коммутаторов уровня доступа. Уровень распределения гарантирует, что пакеты маршрутизируются между подсетями и Inter/Intra VLAN в среде кампуса. Как стандартный подход, шлюзы по умолчанию для всех VLAN будут коммутаторами уровня распределения. На самом деле серверные устройства не должны быть напрямую подключены к распределительным коммутаторам. Этот подход обеспечивает экономию затрат на один порт за счет высокой плотности портов при менее дорогостоящих коммутаторах уровня доступа.
Основные функции распределительного уровня перечислены ниже -
Аккумулирование каналов LAN / WAN;
Контроль доступа и фильтрация, такие как ACLs и PBR;
Маршрутизация между локальными сетями и VLAN, а также между доменами маршрутизации;
Избыточность и балансировка нагрузки;
Суммирование подсетей и агрегирование маршрутов на границах / к уровню ядра;
Управление широковещательным доменом. Устройство уровня распределения действует как демаркационная точка между широковещательными доменами.
Основными моделями коммутаторов Cisco, работающих на распределительном уровне, являются Catalyst серии 6800/6500/4500/3850
Уровень доступа | Access layer
Этот уровень включает в себя коммутаторы уровня 2 и точки доступа, обеспечивающие подключение к рабочим станциям и серверам. На восходящих линиях связи устройства уровня доступа подключаются к распределительным коммутаторам. Мы можем управлять контролем доступа и политикой, создавать отдельные коллизионные домены и обеспечивать безопасность портов на уровне доступа. Коммутаторы уровня доступа обеспечивают доставку пакетов на конечные устройства.
Уровень доступа выполняет ряд функций, в том числе:
Коммутация уровня 2;
Высокая доступность;
Безопасность портов;
Классификация и маркировка QoS;
Граница доверия;
Списки контроля доступа (ACL);
Остовное дерево.
Основными моделями коммутаторов Cisco, работающих на уровне доступа, являются Catalyst серии 3850/3750/4500/3560/2960.
Cisco CUBE (Cisco Unified Border Element) - контролер граничных сессий (SBC) от компании Cisco. В статье мы поговорим о том, как настроить так называемый SIP Forking, который позволяет отправить SIP сигнализацию на несколько устройств сразу.
В примере мы покажем, как настроить SIP Forking на CUBE для записи видео – звонков, например, для последующего анализа системой записи.
Что мы имеем
Интегрированное приложение Cisco Unified Border Element (далее CUBE) является частью программного обеспечения маршрутизатора CISCO2911, параметры которого приведены ниже:
Cisco CISCO2911/K9 (revision 1.0) with 483328K/40960K bytes of memory.
Processor board ID ABCDEFAAAAA
3 Gigabit Ethernet interfaces
6 Serial interfaces
1 terminal line
2 Channelized E1/PRI ports
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
32K bytes of USB token usbtoken0 (Read/Write)
255744K bytes of ATA System CompactFlash 0 (Read/Write)
Prerequisites
Перед началом нужно выполнить следующие условия:
маршрутизатор сконфигурирован в качестве CUBE;
версия Cisco IOS 15.2(1) или выше;
видео – звонок устанавливается по схеме SIP-to-SIP;
используется адресация версии IPv4;
ключевые составляющие вызова проходят через CUBE, включая SIP – сигнализацию и медиа - потоки;
в рамках устанавливаемого видео – вызова не происходит транскодирования с высокой нагрузкой;
не используется SRTP (Secure Real-time Transport Protocol);
Схема следующая:
Настройка
Для настройки CUBE необходимо подключится к серверу по протоколу Telnet и ввести следующие логин и пароль:
UserName: merionet
Password: ******
Переходим в режим конфигурации:
enable
configure terminal
У нас 192.168.0.2 – IP – адрес системы записи, а 192.168.0.3 - адрес CUCM. В разделе voice service voip, необходимо добавить IP – адрес системы записи и CUCM в список «доверенных» IP – адресов и указать прочие опции, как указано ниже:
voice service voip
ip address trusted list
ipv4 192.168.0.2 255.255.255.255
ipv4 192.168.0.3 255.255.255.255
address-hiding
mode border-element
media flow-around
allow-connections sip to sip
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
sip
asymmetric payload full
early-offer forced
midcall-signaling passthru
g729 annexb-all
video screening
Создаем media profile recorder, в котором необходимо указать тэг dial – peer, который смотрит в сторону системы записи. Помимо этого, необходимо создать профиль для записи видео с опциями, которые указаны ниже. Оба профиля записи указываются в настройке media class:
media profile recorder 100
media-recording 114
!
media profile video 455
monitor-ref-frames
h264-packetization-mode 0
ref-frame-req rtcp retransmit-interval 50 retransmit-count 4
ref-frame-req sip-info
!
media class 3
recorder profile 100
video profile 455
Теперь, на входящем и исходящем dial – peer указываем созданный ранее media class:
dial-peer voice 123 voip
destination-pattern 114
rtp payload-type cisco-codec-video-h264 112
session protocol sipv2
session target ipv4:192.168.0.2
voice-class sip options-keepalive
voice-class codec 1 offer-all
media-class 3
dtmf-relay rtp-nte
no vad
!
dial-peer voice 124 voip
destination-pattern 1402$ // маршрут в сторону PBX
rtp payload-type cisco-codec-video-h264 112
session protocol sipv2
session target ipv4:192.168.0.3
session transport tcp
voice-class codec 1 offer-all
voice-class sip options-keepalive up-interval 100 down-interval 50 retry 6
voice-class sip bind control source-interface GigabitEthernet0/1
voice-class sip bind media source-interface GigabitEthernet0/1
media-class 3
dtmf-relay rtp-nte
no vad
Сохраняем конфигурацию:
copy running-config startup-config