По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В наших материалах по Cisco, посвященных конфигурации сетевых устройств мы часто встречаемся со стандартными листами (списками) контроля доступа. А теперь поговорим о расширенных. Расширенные листы могут также фильтровать трафик по следующим параметрам:
IP-адреса - фильтрация на основе IP-адреса источника и адреса назначения;
Порты - фильтрация на основе порта источника / порта назначения;
Тип протокола TCP/IP - протоколы TCP, UDP, IP и так далее;
Что делать?
Для начала необходимо создать лист. Сделаем это с помощью команды:
access list NUMBER permit|deny IP_PROTOCOL SOURCE_ADDRESS WILDCARD_MASK [PROTOCOL_INFORMATION] DESTINATION_ADDRESS WILDCARD_MASK PROTOCOL_INFORMATION
Синтаксис команды следующий:
NUMBER - номер листа;
PERMIT/DENY - разрешение или запрет трафика;
SOURCE/DESTINATION ADDRESS - адреса источника и назначения;
WILDCARD_MASK - обратная маска;
PROTOCOL_INFORMATION - название или номер протокола TCP, UDP, IP и так далее;
Кстати, для расчета wildcard (обратной) маски, вы можете воспользоваться нашим калькулятором подсетей:
Калькулятор подсетей
Следующим шагом необходимо применить наш свежесозданный лист на интерфейс и его направление (на вход или выход):
ip access-group NUMBER out
Параметры in и out определяют направление, на котором будет применен лист контроля доступа
Для нумерации расширенных листов контроля доступа необходимо использовать следующую нумерацию: со 100 до 199 и с 2000 до 2699
Пример настройки (сценарий №1)
В топологии указанной ниже, нам нужно разрешить пользователям из подсети 10.0.0.0/24 доступ к серверу S2 (адрес 192.168.0.1), но не к серверу S1 (адрес 172.16.0.1/24).
Для начала, напишем ACL и разрешим доступ к серверу S2. Сделаем это мы следующей командой:
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.0.1 0.0.0.0
Данная команда разрешает весь трафик из подсети 10.0.0.0 на хост 192.168.1.0. Затем, запретим доступ к серверу S1:
access-list 100 deny ip 10.0.0.0 0.0.0.255 172.16.0.1 0.0.0.0
Наконец, применим данные листы контроля доступа на интерфейсе R1:
int fa0/0
ip access-group 100 in
Пример настройки (сценарий №2)
Приведем иной пример использования расширенных листов контроля доступа: У нас снова есть сеть 10.0.0.0/24 и сервер S1, который слушает порт 80. Нам нужно разрешить пользователям доступ к веб-ресурсам на данном сервере, но также необходимо запретить какой-либо другой доступ, к примеру Telnet.
Для начала, нам нужно разрешить трафик из пользовательской подсети к веб-серверу на порту 80, что выполняется командой
access-list 100 permit tcp 10.0.0.0 0.0.0.255 172.16.0.1 0.0.0.0 eq 80
Используя ключевое слово TCP, мы можем фильтровать пакеты по портам источника и назначения. В примере выше, мы разрешили путь трафику из подсети 10.0.0.0 на хост 172.16.0.1 на порт 80 (веб-порт).
Теперь нужно запретить Telnet трафик из подсети 10.0.0.0 в подсеть 172.16.0.1. Для этого нужен еще один аксес-лист, на этот раз с запрещающим выражением:
access-list 100 deny tcp 10.0.0.0 0.0.0.255 172.16.0.1 0.0.0.0 eq 23
Далее, применим его на интерфейс с помощью следующих команд:
int fa0/0
ip access-group 100 in
Как мы уже описывали в предыдущей статье, в конце каждого листа всегда есть всезапрещающее правило. После применения первого правила, весь остальной трафик ходить не будет.
Эту статью нам прислал один из наших читателей – речь пойдет о настройке SIP – транка в от IP – АТС Asterisk к провайдеру Ростелеком. Инструкция подойдет для связки с в рамках услуги «Новая телефония».
Настройка
Подключаемся к консоли сервера по SSH и в файле /etc/asterisk/sip.conf указываем следующие параметры:
register => (логин:пароль@имя домена/логин)
[rtk]
dtmfmode = rfc2833
type = friend
trunkname = rtk
disallow = all
allow = alaw:20
allow = ulaw:20
host = имя домена
nat = force_rport,comedia
insecure = invite,port (данный параметр необходим для входящих вызовов)
defaultuser =логин
fromuser =логин
username =логин
secret =пароль
fromdomain=имя домена
canreinvite=no
context = контекст в extensions.conf
qualify = 300
registersip=yes
В более старших версиях параметр nat нужно указывать следующим образом:
nat=no или nat=yes
В этой статье рассмотрим как решить следующие неисправности:
Вам не удаётся включить виртуальную машину
При включении виртуальной машины происходит сбой
Вы видите ошибку:
An unexpected error was received from the ESX host while powering on VM .
Reason: Cannot open the disk disk_name or one of the snapshot disks it depends on.
Где причина одна из следующего:
Reason: Failed to lock the file.
Reason: The parent virtual disk has been modified since the child was created.
Reason: The destination file system does not support large files.
Reason: Could not open/create change tracking file.
Reason: Cannot allocate memory.
Reason: The file specified is not a virtual disk.
Reason: Insufficient permission to access file.
Решение
Ошибка №1: не удалось заблокировать файл.
Ошибка «не удалось заблокировать файл» означает, что файл открывается другим процессом и используемый Вами процесс не может открыть файл должным образом.
Это обычно происходит, если Вы:
Пытаетесь запустить вторую виртуальную машину, используя тот же .vmx файл конфигурации виртуальной машины.
Включаете виртуальную машину с подключенными дисками с помощью утилиты vmware-mount.
Пытаетесь включить виртуальную машину через пользовательский интерфейс во время операции снимка.
Пытаетесь добавить виртуальный диск к виртуальной машине, которая уже используется.
Ошибка №2: Родительский виртуальный диск был изменен с момента создания дочернего диска
Данная ошибка возникает, когда снимки находятся в плохом состоянии, либо из-за ручного вмешательства, либо из-за сбоя системы.
Ошибка №3: целевая файловая система не поддерживает большие файлы
Данная проблема возникает, если размер блока целевого хранилища данных не поддерживает VMDK такого же размера, как исходный.
Чтобы устранить данную проблему, убедитесь, что целевое хранилище данных отформатировано с размером блока, достаточным для поддержки файла VMDK исходной машины.
Ошибка №4: не удалось открыть или создать файл отслеживания изменений
Эта проблема может возникнуть, если файл filename-ctk.vmdk был создан ранее и не был очищен.
Ошибка №5: не удается выделить память
Данная проблема может возникнуть, если в модуле VMFS не хватает места в куче.
Ошибка №6: указанный файл не является виртуальным диском
Данная проблема может возникнуть, если файл дескриптора .vmdk поврежден или отсутствует. Чтобы решить данную проблему, создайте новый файл дескриптора .vmdk для этого диска, а затем отмените регистрацию и заново зарегистрируйте виртуальную машину. Это гарантирует, что клиент vSphere определит правильный размер диска и виртуальная машина включится правильно.
Ошибка №7: недостаточно прав для доступа к файлу
Данная проблема обычно наблюдается в виртуальных машинах, расположенных на хранилищах данных NFS. Данная проблема может возникнуть из-за проблем с разрешениями в хранилище данных NFS.
Чтобы решить данную проблему, убедитесь, что хост имеет правильные разрешения на чтение / запись для доступа к экспорту NFS. Если в массиве хранения установлен параметр "Нет корневого квадрата" (No Root Squash), убедитесь, что данная опция включена, или обратитесь к администратору хранилища.