По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье мы рассмотрим некоторые протоколы, такие как NTP, syslog и SNMP. Все они используются для мониторинга "работоспособности" вашей сети. При правильной настройке они могут быть очень полезны...если они не работают, может быть действительно трудно выяснить, когда в сети произошло определенное событие и что его вызвало. Syslog и SNMP используются для мониторинга сети, NTP используется для обеспечения того, чтобы наша регистрационная информация имела правильное время и дату.
Мы начнем с NTP - это не очень сложный протокол, но есть несколько вещей, которые могут пойти не так:
Фильтрация трафика NTP: списки доступа могут блокировать трафик NTP.
Проблемы аутентификации NTP: NTP поддерживает аутентификацию, клиент и сервер должны использовать одинаковые настройки.
Слишком большое временное смещение: если временное смещение между клиентом и сервером слишком велико, для синхронизации потребуется очень много времени.
Stratum level слишком высокий: Stratum level составляет от 1 (лучший) до 15 (худший). Stratum level 16 считается непригодным.
Фильтр источника NTP-сервера: NTP-серверы можно настроить так, чтобы разрешать только клиентам с определенных IP-адресов.
Давайте разберем эти вопросы. Мы будем использовать два маршрутизатора для этого:
Урок 1
R1 будет нашим NTP-клиентом, а R2 будет NTP-сервером. Есть две полезные команды, с которых мы должны начать:
Команды говорят нам, что R1 имеет адрес 192.168.12.2, настроенный как сервер NTP, и в настоящее время он не синхронизирован. Давайте проверим, получает ли R1 пакеты NTP, это лучше всего сделать с помощью отладки:
Эта отладка говорит нам, что R1 отправляет NTP-пакеты, но мы ничего не получаем от NTP-сервера. Убедитесь, что NTP-сервер разрешен для прохождения:
R1 использует UDP-порт 123, убедитесь, что он не заблокирован:
R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip access-group NO_TIME in
После удаления списка доступа, NTP сможет использовать пакеты NTP с сервера:
Вот конечный результат:
Часы теперь синхронизированы. Другая проблема, которую вы можете обнаружить с помощью debugging NTP, - это несоответствие аутентификации:
R1(config)#ntp server 192.168.12.2 key 1
R1(config)#ntp authentication-key 1 md5 MY_KEY
Мы настроим R1 так, чтобы он принимал только NTP-пакеты от NTP-сервера, которые аутентифицированы с определенным ключом. Сервер NTP, однако, не использует никакой формы аутентификации. Мы можем найти эту ошибку с помощью следующей отладки:
Это расскажет нам о:
Убедитесь, что ваши настройки аутентификации NTP совпадают с обеих сторон. Когда разница во времени / дате между сервером NTP и клиентом велика, синхронизация займет много времени. Прямо сейчас часы выглядят так:
Установка часов на NTP-клиенте на что-то близкое к NTP-серверу значительно ускорит процесс синхронизации:
R1#clock set 18:00:00 30 January 2015
Через несколько минут часы на клиенте NTP должны быть синхронизированы.
Еще одна проблема с NTP заключается в том, что stratum level ограничен, мы можем использовать значения от 1 (лучший) до 15 (худший). Если у сервера NTP есть stratum level 15, то клиент NTP не сможет синхронизировать, так как 16 считается недостижимым.
Отладка пакетов NTP на клиенте покажет это:
R1 никогда не сможет синхронизировать себя, поскольку NTP-сервер объявляет себя как stratum -уровень 15. Вы можете исправить это, установив более низкое значение stratum - уровня NTP на своем NTP-сервере:
R2(config)#ntp master 2
Мы изменяем его на значение 2 уровня. Это позволяет R1 синхронизировать себя:
И последнее, но не менее важное: NTP-серверы могут быть настроены так, чтобы разрешать NTP-клиентам только с определенных IP-адресов:
Например, мы настрою его, чтобы разрешить только IP-адрес 1.1.1.1:
R2(config)#ntp access-group serve 1
R2(config)#access-list 1 permit 1.1.1.1
R2(config)#ip route 1.1.1.1 255.255.255.255 192.168.12.1
В этом случае нам нужно убедиться, что NTP-клиент получает свои NTP-пакеты с правильного IP-адреса:
R1(config)#interface loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255
R1(config)#ntp source loopback0
Команда NTP source скажет R1 использовать IP-адрес 1.1.1.1 из своего loopback интерфейса в качестве источника своих пакетов NTP.
Это самые распространенные ошибки NTP.
Урок 2
Давайте продолжим, посмотрев на syslog.
Наиболее распространенная проблема с системным журналом - это отсутствие информации о регистрации. По умолчанию ведение журнала включено только для консоли, а не для внешних серверов системного журнала.
Есть одна команда, которую вы можете использовать для проверки ее конфигурации:
Это говорит нам, что системный журнал включен для консоли вплоть до уровня отладки. Если вы не видите всего на консоли, то кто-то, возможно, изменил уровень ведения журнала на более низкое значение. Вот варианты:
Уровень отладки - самое высокое значение (7), поэтому он покажет все сообщения системного журнала. Если вы не видите все сообщения, убедитесь, что они установлены на уровне отладки для консоли.
По умолчанию информация системного журнала не отправляется на внешний сервер. Вы должны это настроить самостоятельно:
R1(config)#logging host 192.168.12.2
Это приведет к отправке регистрационной информации для всех уровней серьезности на внешний сервер по адресу 192.168.12.2. Убедитесь, что этот трафик не заблокирован, syslog использует UDP-порт 514.
Другая распространенная ошибка - сообщения системного журнала не отображаются в сеансах telnet или SSH. Вы можете включить это с помощью команды terminal monitor.
Урок 3
Следующий протокол, который мы обсудим, - это SNMP версии 2c и 3. Перед тем, как погрузиться в конфигурацию SNMP, убедитесь, что ваш NMS (сервер сетевого управления) может связаться с вашим устройством (агент SNMP). SNMP использует UDP-порт 161 для сообщений и UDP-порт 162 для прерываний и информирования. Убедитесь, что этот трафик разрешен.
Когда дело доходит до SNMPv2c, есть несколько общих проблем:
Неправильная community-string: community-string похожа на пароль, который используется для того, чтобы NMS могла читать или записывать данные на сетевое устройство. Если он не совпадает, SNMP не будет работать.
Ошибки списка доступа: списки доступа могут определять, какой NMS разрешено использовать community-string. Убедитесь, что вы используете правильный IP-адрес.
Перемешивание индексов: при добавлении новых интерфейсов к сетевому устройству номера интерфейсов могут больше не совпадать.
Ловушки не отправлены: если вы хотите отправить SNMP-ловушки (или сообщения), то вам нужно будет настроить это, это не делается автоматически.
Вот соответствующие команды SNMPv2c, которые вы должны проверить в случае, если SNMP не работает:
R1(config)#snmp-server community MY_COMMUNITY ro 1
R1(config)#access-list 1 permit host 192.168.1.1
Выше мы настроили сообщество под названием MY_COMMUNITY с доступом только для чтения. Мы используем access-list 1, чтобы определить, какому устройству разрешено использовать это сообщество. Убедитесь, что в списке доступа указаны правильные операторы разрешений. Следующая команда гарантирует, что индекс интерфейса остается прежним:
R1(config)#snmp-server ifindex persist
И если вы хотите отправлять SNMP-ловушки, настройте его следующим образом:
R1(config)#snmp-server enable traps eigrp
R1(config)#snmp-server host 192.168.1.1 traps version 2c MY_COMMUNITY
Это активирует ловушки SNMP для EIGRP и будет отправлено в NMS на IP-адрес 192.168.1.1 с использованием сообщества "MY_COMMUNITY". Если вы не укажете, какие ловушки вы хотите, он включит все ловушки.
SNMPv3 сильно отличается от версии 2, в безопасность и аутентификацию внесено много изменений. При поиске и устранении неисправностей SNMPv3 необходимо учитывать несколько моментов, связанных с SNMPv3:
Вложенность: с помощью SNMPv3 мы создаем пользователей, которые вложены в группы. Группы вложены в представления, которые предоставляют доступ к определенным MIBs на сетевом устройстве. Убедитесь, что ваш пользователь находится в правильной группе и что представление имеет правильные разрешения на просмотр.
Уровень безопасности: SNMPv3 поддерживает разные уровни безопасности, они должны совпадать на сетевом устройстве и NMS:
noAuthNoPriv
authNoPriv
authPriv
Параметры безопасности: SNMPv3 предлагает несколько алгоритмов хеширования и шифрования. Убедитесь, что вы настроили одинаковые алгоритмы на сетевом устройстве и NMS.
Конфигурация представлений: в представлении мы настраиваем объекты, к которым NMS разрешен доступ, убедитесь, что вы настроили правильные объекты.
Ниже приеден пример конфигурации того, что мы обсуждали:
Router(config)#snmp-server user MY_USER MY_GROUP v3 auth md5 MY_PASSWORD
priv aes 128 MY_PASSWORD
Сначала мы настраиваем пользователя с именем MY_USER, который принадлежит группе с именем MY_GROUP. Мы используем версию 3 SNMP. Для аутентификации этого пользователя мы используем MD5 и пароль "MY_PASSWORD". Для шифрования мы используем 128-битный AES и тот же пароль. Убедитесь, что на сетевом устройстве и NMS все одинаково ...
Теперь мы настраиваем группу:
Router(config)#snmp-server group MY_GROUP v3 priv read MY_VIEW access 1
Router(config)#access-list 1 permit host 192.168.1.1
Группа называется MY_GROUP, и мы используем уровень безопасности authPriv. Мы также присоединяем группу к представлению под названием MY_VIEW. Мы также используем список доступа, только NMS, использующая IP-адрес 192.168.1.1, может использовать эту группу. Давайте настроим view:
Router(config)#snmp-server view MY_VIEW system included
Router(config)#snmp-server view MY_VIEW cisco included
Это представление позволяет NMS получать доступ только к объектам в системной группе MIB-II и ко всем объектам в корпоративной MIB Cisco. Убедитесь, что вы добавили все объекты, к которым вам нужен доступ.
Информация о пользователе не отображается в конфигурации, если вы хотите увидеть пользователей, вам нужно использовать другую команду:
Эта команда показывает нам нашу учетную запись пользователя, ее алгоритмы аутентификации и шифрования и сообщает, к какой группе она принадлежит.
В этой серии статей мы рассмотрим поиск и устранение неисправностей NAT (трансляции сетевых адресов) / PAT (трансляции адресов портов), DHCP и FHRP (протоколы избыточности при первом переходе).
NAT/PAT может быть проблемным, и не потому, что настройка несколько сложна (хотя и в этом тоже могут быть проблемы). Но в основном потому, что мы можем столкнуться с проблемами маршрутизации, так как мы периодически меняем IP-адреса. Во второй части этой серии мы рассмотрим наиболее распространенные проблемы DHCP и, наконец, закончим серию статей некоторыми проблемами FHRP.
Урок 1
В этом сценарии у нас есть 3 устройства. Маршрутизатор с левой стороны называется "Хост", и он представляет компьютер из нашей локальной сети. Предполагается, что устройство с правой стороны - это какой-то веб-сервер - это то, что мы пытаемся найти в Интернете. В середине мы видим наш маршрутизатор, который настроен для NAT и/или PAT.
Пользователи из нашей локальной сети жалуются на то, что они ничего не могут найти в Интернете. Они подтвердили, что их IP-адрес и шлюз по умолчанию в порядке. Давайте изучим маршрутизатор NAT:
Хорошая идея, чтобы проверить, может ли маршрутизатор NAT достичь веб-сервера, попробовав простой пинг. Если это не работает, вы, по крайней мере, знаете, что у вас есть проблемы с маршрутизацией или, что веб-сервер не работает (или, возможно, просто блокирует ICMP-трафик).
Поскольку это веб-сервер, лучше попробовать подключиться к TCP-порту 80. Вы видите, что это работает, так что маршрутизация между маршрутизатором NAT и веб-сервером + подключение к TCP-порту не является проблемой.
Мы можем использовать команду show ip nat translations, чтобы увидеть, происходит ли что-нибудь. Мы видим, что NAT-маршрутизатор что-то транслирует, но если вы посмотрите внимательно, то увидите, что это выглядит не совсем правильно. Внешние локальные и глобальные IP-адреса ссылаются ко внутреннему IP-адресу. Давайте посмотрим на конфигурацию ...
show ip nat statistics - хорошая команда для проверки вашей конфигурации. Вы можете видеть, что внутренние и внешние интерфейсы поменялись местами. FastEthernet 0/0 должен быть inside, а FastEthernet 1/0 должен быть outside.
NAT(config)#interface fastEthernet 0/0
NAT(config-if)#ip nat inside
NAT(config)#interface fastEthernet 1/0
NAT(config-if)#ip nat outside
Введем команды, которые позволяют исправить настройки, чтобы у нас были правильные внутренние и внешние интерфейсы.
Трафик с хоста на веб-сервер теперь работает!
Вот как должна выглядеть таблица трансляции NAT. Внутренний локальный IP-адрес - наш внутренний хост. Внутренний глобальный IP-адрес - это то, что мы настроили на внешней стороне нашего маршрутизатора NAT (FastEthernet 1/0). Внешний локальный и глобальный IP-адрес - наш веб-сервер ... проблема решена!
Итог урока: убедитесь, что у вас имеются правильные внутренние и внешние интерфейсы.
Урок 2
Та же топология, другая проблема! Опять пользователи нашей локальной сети жалуются, что они не могут связаться с веб-сервером. Давайте проверим наш маршрутизатор NAT:
NAT#show ip nat translations
Сначала мы проверим, транслирует ли маршрутизатор что-либо. Как видите, тихо ничего не происходит!
Мы убедились, что внутренний и внешний интерфейсы были настроены правильно. Однако никаких трансляций не происходит. Внутренний источник был определен с помощью списка доступа 1. Давайте поближе рассмотрим этот ACL:
Ааа, смотрите ... кажется, кто-то испортил ACL! Устраним эту неполадку:
NAT(config)#no access-list 1
NAT(config)#access-list 1 permit 192.168.12.0 0.0.0.255
Мы создадим ACL так, чтобы он соответствовал 192.168.12.0/24.
Теперь мы можем связаться с веб-сервером с нашего хоста.
Мы видим Hits, если просмотреть NAT statistics.
И я вижу трансляцию ... проблема решена!
Итог урока: убедитесь, что вы используете правильный список доступа, соответствующий вашим внутренним хостам.
Теперь почитатей продожение статьи про устранение неисправностей с DHCP.
Для того, чтобы стать полноценным администратором Asterisk, вам необходимо уметь администрировать операционную систему IP – АТС. О том, как заботиться о своем Asterisk установленном на CentOS расскажем дальше.
Сменить SSH порт
Подключение и управление операционной системой CentOS осуществляется по протоколу SSH (Secure Shell), который позволяет безопасно производить операции на ОС удаленно. По умолчанию, протокол SSH работает на 22 порту. Чтобы подключиться к серверу IP – АТС, откройте программу SSH – клиент Putty, и в поле, указанном красным, введите IP – адрес или доменное имя вашего Asterisk
Мы рекомендуем сохранить подключение в программе. Для этого, в поле, выделенном оранжевым, укажите имя для подключения и нажмите Save
В целях повышения безопасности, вы можете его изменить следующим образом:
Входим в режим редактирования демона SSH
[root@localhost ~]# nano /etc/ssh/sshd_config
Ищем строчку, которая содержит запись #Port 22. Обычно она находится под текстовым баннером:
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
Уберите символ # (решетку) в начале строчки и укажите номер порта, который вам необходим. Например, 7022
Port 7022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
Сохраните изменения. После успешного сохранения, выполните рестарт демона SSH:
[root@localhost ~]# /etc/init.d/sshd restart
Управление дисковым пространством
Если на вашем Asterisk включен функционал записи телефонных разговоров, то вам необходимо отслеживать свободное дисковое пространство. Мы рекомендуем прибегать в этом вопросе к автоматизации – написанию скриптов, которые будут удалять записи, старше определенного срока автоматически. Итак, перейдем к просмотру свободного дискового пространства.
Команда du выводит размер файлов и папок в директории, в которой вы находитесь на текущий момент:
[root@localhost ~]# du
1240 ./.mozilla/firefox/5r4h2uwt.default/gmp-gmpopenh264/1.5.3
1244 ./.mozilla/firefox/5r4h2uwt.default/gmp-gmpopenh264
4 ./.mozilla/firefox/5r4h2uwt.default/healthreport
Более удобным для человеческого восприятия является команда с флагом -h du -h, которая указывает размер файлов и папок в текущей директории с указанием приставки (K – килобайт, М – мегабайт и так далее.)
[root@localhost ~]# du -h
1.3M ./.mozilla/firefox/5r4h2uwt.default/gmp-gmpopenh264/1.5.3
1.3M ./.mozilla/firefox/5r4h2uwt.default/gmp-gmpopenh264
4.0K ./.mozilla/firefox/5r4h2uwt.default/healthreport
Наиболее «тяжелой» с точки зрения занимаемого пространства директорией в файловой структуре Asterisk является папка /var/spool/asterisk/, в которой находятся файлы голосовой почты, системы записи, факсы и так далее. Если мы хотим узнать размер папки, в которой мы храним файлы системы записи, то добавляем к конструкции du -h флаг s:
[root@localhost asterisk]# du -sh /var/spool/asterisk/monitor/
111M /var/spool/asterisk/monitor/
Отлично, с этим разобрались. Теперь нам надо научиться понимать размер наших дисков. Это гораздо проще – укажите команду df - h и система выведет все диски, с указанием свободного пространства, общего объема и процентной загрузки:
[root@localhost asterisk]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 146G 4.8G 134G 4% /
tmpfs 498M 72K 498M 1% /dev/shm
/dev/sda1 283M 25M 244M 10% /boot
Нужные команды файловой системы
Перечислим важные команды, которые пригодятся Вам в процессе администрирования вашего Asterisk:
ls - вывод списка файлов и папок в текущей директории
ls -l – более подробная модификация указанной выше команды. Помимо прочего, команда выводит в консоль права на файл и его владельца.
cd /var/spool/asterisk/monitor/ - сделать папку с записями телефонных разговоров текущей директорией.
cd .. - вернуться на одну папку назад по файловой иерархии
cd ../.. - вернуться на две директории обратно
cp index.php /var - скопировать файл index.php в директорию /var
cp index.php /var - переместить файл index.php в директорию /var
Время и настройка NTP
Для синхронизации серверного времени по протоколу NTP, выполните следующие команды:
service ntpd stop
ntpdate pool.ntp.org
service ntpd start
service httpd restart
Устанавливаем временную зоны сервера:
Подключитесь пользователем root к серверу и выполните команду date. Система укажет Вам текущую дату, время и временную зону.
[root@localhost ~]# date
echo date("D M j G:i:s T Y");
Измените текущую директорию с помощью команды cd /usr/share/zoneinfo. Далее выберите наиболее подходящий регион. Например, если вы из Самары, то перейдите в папку /Europe/Samara
Далее нужно создать линк настройки /etc/localtime. В случае с Самарой, команда будет такой: ln -sf /usr/share/zoneinfo/Europe/Samara /etc/localtime
Установим переменную ZONE в файле /etc/sysconfig/clock на Europe/Samara. Выполните следующие команды:
[root@localhost ~]# vim /etc/sysconfig/clock
В открывшемся файле для редактирования через vim нажмите клавишу «o» на клавиатуре. Стрелками сотрите содержимое файла и вставьте нужную временную зону, в нашем примере будет так : ZONE=Europe/Samara. Сохраните изменения нажав :x! и затем клавишу Enter.
Установите аппаратное время сервера командой /sbin/hwclock --systohc
Просмотр крупных файлов
tail /home/log.txt - вывод последних 10 строчек указанного файла. В данном случае файл /home/log.txt
tail -f /home/log.txt - вывод последних 10 строчек указанного файла. Если в файл будет динамически добавлены новые строки, это отразится в выводе команды в реальном времени
tail –n 100 /home/log.txt - вывод последних 100 строчек указанного файла.
tail –n 100 /home/log.txt > result.txt - данная команда запишет 100 последних строчек файла /home/log.txt в файл result.txt