По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Почитатей первую часть статьи про траблшутинг NAT/PAT на Cisco.
В этой части мы рассмотрим проблемы DHCP.
Урок 1
Вот новый сценарий, позвольте мне сначала объяснить его:
Зеленая зона - это наша локальная сеть, так что это наш NAT inside.
Красная область - это Интернет, поэтому это наш NAT outside.
Предполагается, что хост - это компьютер с шлюзом по умолчанию 192.168.12.2.
Наш маршрутизатор NAT подключен к маршрутизатору ISP.
Маршрутизатор ISP назначил нам подсеть 172.16.1.0 / 24, которую мы собираемся использовать для трансляции NAT.
BGP был настроен между NAT и маршрутизатором ISP для доступа к сети 192.168.34.0/24.
Предполагается, что веб-сервер прослушивает TCP-порт 80 и использует 192.168.34.3 в качестве шлюза по умолчанию.
Однако пользователи нашей локальной сети жалуются на то, что не могут подключиться к веб-серверу. Давайте проверим нашу конфигурацию NAT:
Мы можем убедиться, что трансляция работает:
Inside local IP-адрес нашего хоста.
Inside global находится один из IP-адресов из нашей подсети 172.16.1.0/24.
Outside local and global IP-адрес нашего веб-сервера
Эта трансляция выглядит хорошо, потому что все IP-адреса верные.
Мы видим, что маршрутизатор NAT научился достигать сети 192.168.34.0 / 24 через BGP.
Наш NAT-маршрутизатор может подключаться к веб-серверу, поэтому проблема с подключением отсутствует. Однако следует помнить одну важную вещь. Пакет IP, который производит маршрутизатор NAT, выглядит следующим образом:
IP-адрес получателя является нашим веб-сервером, и с ним нет проблем. Исходный IP-адрес - 192.168.23.2, и поскольку мы получили ответ, мы знаем, что маршрутизатор ISP знает, как достичь подсети 192.168.23.0 / 24. Это важно, поскольку подсеть 192.168.23.0 / 24 напрямую подключена к маршрутизатору ISP.
Однако, если мы отправляем эхо-запрос с хост-устройства, он преобразуется из-за NAT в IP-адрес в подсети 172.16.1.0/24. Пакет IP будет выглядеть так:
Вот что происходит, когда этот IP-пакет покидает маршрутизатор NAT и отправляется маршрутизатору ISP:
Маршрутизатор ISP получает IP-пакет и проверяет свою таблицу маршрутизации, знает ли он, куда отправлять трафик для сети 192.168.34.0 / 24.
Сеть 192.168.34.0/24 напрямую подключена к маршрутизатору ISP, поэтому она выполняет запрос ARP для MAC-адреса веб-сервера, получает ответ ARP и может пересылать IP-пакет на веб-сервер.
Веб-сервер хочет ответить, и он создает новый IP-пакет с IP-адресом назначения 172.16.1.
Поскольку веб-сервер имеет маршрутизатор ISP в качестве шлюза по умолчанию, он отправит IP-пакет маршрутизатору ISP.
Маршрутизатор ISP должен выполнить поиск в таблице маршрутизации, чтобы узнать, знает ли он, где находится сеть 172.16.1.0 / 24.
Маршрутизатор ISP не знает, где находится 172.16.1.0 / 24, и отбросит IP-пакет.
Если бы это была настоящая производственная сеть, у нас не было бы доступа к маршрутизатору ISP. Так как это эмуляция сети и устройств, к которой у нас есть доступ, поэтому давайте сделаем отладку!
ISP#debug ip packet 1
IP packet debugging is on for access list 1
ISP#conf t
ISP(config)#access-list 1 permit host 192.168.34.4
Сначала включим отладку IP-пакетов и используем список доступа, который соответствует IP-адресу веб-сервера.
Следующим шагом является то, что мы будем генерировать некоторый трафик с хост-устройства.
Это то, что будет производить маршрутизатор ISP. Он говорит нам, что понятия не имеет, куда отправить IP-пакет для 172.16.1.1 to...it является не маршрутизируемым и будет отброшен.
Так как же мы решим эту проблему? ISP-маршрутизатор требует сеть 172.16.1.0 /24 в таблице маршрутизации. Поскольку мы уже запустили BGP мы можем использовать его для объявления этой сети с нашего маршрутизатора NAT:
NAT(config)#ip route 172.16.1.0 255.255.255.0 null 0
NAT(config)#router bgp 1
NAT(config-router)#network 172.16.1.0 mask 255.255.255.0
Сначала мы создадим статическое правило, которое указывает сеть 172.16.1.0 / 24 на интерфейс null0. Мы делаю это потому, что невозможно объявлять то, чего у тебя нет. Следующий шаг-объявить эту сеть в BGP.
Пинг прошел проблема решена!
Итог урока: убедитесь, что ваши маршрутизаторы знают, как связаться с translated сетями.
Урок 2
Начнем с простого сценария. Маршрутизатор с левой стороны - это наш DHCP-клиент, а маршрутизатор с правой стороны - это наш DHCP-сервер. Клиент, однако, не получает никаких IP-адресов ... что может быть не так?
Сначала мы проверим, включен ли интерфейс на клиенте DHCP и настроен ли он для DHCP. И это действительно так.
Мы также должны убедиться, что интерфейс на сервере DHCP включен/включен и что у него есть IP-адрес. Пока все выглядит хорошо...
Если мы хотим быть абсолютно уверенным, что проблема не в клиенте, нам надо применить отладку командой debug dhcp detail, чтобы посмотреть, отправляет ли клиент DHCP сообщения об обнаружении DHCP.
Мы видим некоторые отладочные выходные данные, как показано выше. Это говорит о том, что наш DHCP-клиент отправляет сообщения DHCP Discover. Клиент, скорее всего, не является источником этой проблемы.
DHCPServer#show ip dhcp pool
Мы будем использовать команду show ip dhcp pool, чтобы проверить, существует ли пул DHCP. Вы видите, что у нас есть пул DHCP с именем "MYPOOL", и он настроен для подсети 192.168.12.0 / 24. Пока все выглядит хорошо.
Мы можем использовать команду show ip dhcp server statistics, чтобы узнать, что делает сервер DHCP. Вы видите, что он ничего не делает ... что это может значить?
Эта команда не часто применяется. show ip sockets показывает нам, на каких портах роутер слушает. Как вы видите, он не прослушивает никакие порты ... если мы не видим здесь порт 67 (DHCP), это означает, что служба DHCP отключена.
DHCPServer(config)#service dhcp
Включим сервис.
Так-то лучше! Теперь мы видим, что маршрутизатор прослушивает порт 67, это означает, что служба DHCP активна.
Как только служба DHCP будет запущена, вы увидите, что клиент получает IP-адрес через DHCP ... проблема решена!
Итог урока: если все в порядке, убедитесь, что служба DHCP работает.
Урок 3
Взгляните на сценарий выше. У нас есть 3 маршрутизатора; маршрутизатор на левой стороне настроен как DHCP-клиент для своего интерфейса FastEthernet0/0. Маршрутизатор с правой стороны настроен как DHCP-сервер. Помните, что DHCP-сообщения об обнаружении от клиентов транслируются, а не пересылаются маршрутизаторами. Вот почему нам требуется команда ip helper на маршрутизаторе в середине, именуемым как relay. Проблема в этом сценарии заключается в том, что клиент не получает IP-адреса через DHCP
Сначала мы проверим, что интерфейс настроен для DHCP. Мы определим это с помощью команды show ip interface brief.
DHCPClient(config)#interface fastEthernet 0/0
DHCPClient(config-if)#shutdown
DHCPClient(config-if)#no shutdown
Мы будем переводить интерфейс в режимы up и down для проверки, будет ли он отправлять сообщение DHCP Discover.
Мы видим, что сообщения DHCP Discover принимаются на DHCP-сервере. Это означает, что маршрутизатор в середине был настроен с IP helper, в противном случае мы даже не получили бы эти сообщения. Сообщения с предложениями DHCP отправлены, но мы не видим сообщений DHCPACK (Acknowledgment). Это дает нам понять, что что-то происходит...
DHCPServer#debug ip dhcp server packet
Включим отладку, чтобы увидеть, что происходит.
Мы видим, что наш DHCP-сервер пытается достичь IP-адреса 192.168.12.2, это интерфейс FastEthernet0/0 нашего маршрутизатора в середине. Знает ли DHCP-сервер, как добраться до этого IP-адреса?
Как вы можете видеть, его нет в таблице маршрутизации, это означает, что IP-пакеты с назначением 192.168.12.2 будут отброшены.
Чтобы доказать это, мы можем включить отладку
Здесь видим, что IP-адрес назначения 192.168.12.2 не является маршрутизируемым, и в результате IP-пакет будет отброшен. Давайте исправим эту проблему.
DHCPServer(config)#ip route 192.168.12.0 255.255.255.0 192.168.23.2
Мы добавим этот статический маршрут, чтобы исправить нашу проблему с подключением.
Через некоторое время вы должны увидеть, что клиент получает IP-адрес через DHCP.
Если вы оставили "debug ip dhcp server packet" включенным, вы увидите весь процесс DHCP:
DHCP Discover
DHCP Offer
DHCP Request
DHCP ACK
Вот и все ... проблема решена!
Итог урока: если вы используете IP helper, убедитесь, что DHCP-сервер знает, как связаться с подсетью, в которой находится клиент.
3 часть статьи про FHRP траблшутинг на Cisco доступна по ссылке.
Начало 2019 года продолжило тренд на массовые утечки учетных данных. Если вы еще не знаете, то буквально в январе в сети была обнаружена крупнейшая база, содержащая более 773 миллионов уникальных email адресов и более 21 миллиона уникальных паролей. По оценкам специалистов, эта база была сформирована благодаря порядка 2000 известным взломам различных ресурсов, но источники около 140 миллионов email адресов и примерно 10 миллионов паролей – не удалось отнести ни к одной зафиксированной утечке. До недавнего времени, это была самая большая утечка учетных данных, когда-либо происходившая в Интернете. Данная база получила название Collection #1. По информации от человека ее обнаружевшего, количество строк в ней равняется 2,692,818,238, а весит она 87.18Gb.
Человека, который рассказал широкой общественности о данной проблеме, зовут Трой Хант (Troy Hunt). Он создатель ресурса Have I Been Pwned? (HIBP) и мы хотим, чтобы о нем узнало как можно большее количество людей!
Ресурс, созданный Троем, позволяет узнать – скомпрометирован ли адрес Вашей электронной почты, другими словами – замечен ли он в каких-либо известных утечках или нет. Просто введите адрес своей электронной поты в строку поиска и посмотрите, что ответит сайт!
Если ответ будет такой – поздравляем! Ваш email не замечен ни в одной известной утечке, пока… Почитайте советы о том как усилить безопасность.
А если после ввода своего адреса Вы увидите на экране такое:
То это значит, что пароль от вашего аккаунта, который зарегистрирован на данный почтовый ящик, на одном из взломанных ресурсов, может быть известен кому-то ещё кроме Вас, и что его необходимо срочно сменить. Кстати, в случае компрометации, сервис также покажет, в утечке на каком именно ресурсе был замечен Ваш email, а также время когда это произошло. В нашем примере таких утечек 5:
Кто-то может сказать - "Ну и что, что меня взломали, я например уже не давно пользуюсь этим аккаунтом". Опасность тут в том, что многие люди используют один и тот же пароль на всех ресурсах, а это значит, что если скомпрометирован один, то могут быть скомпрометированы все. Если Вы используете разные пароли на разных ресурсах - Вы восхитительны! Только делайте их сложными и устойчивыми к взлому. В этом Вам может помочь наш генератор устойчивых паролей.
Помимо этого, на ресурсе Троя можно также узнать скомпрометирован ли Ваш пароль, настроить уведомления о новых утечках и автоматической проверке Вашего email на предмет наличия в них, проверить есть ли скомпрометированные почтовые адреса в Вашем домене и даже - автоматизировать процесс проверки скомпрометированных учетных данных с помощью API!
Важно отметить, что HIBP не ставит соответствие email’а и пароля. Поэтому если Вы найдете скомпрометированный почтовый ящик, то не сможете узнать пароль от него и наоборот.
PS: Кстати, как оказалось потом, Collection #1 это лишь верхушка айсберга. В конце января 2019 года были обнаружены базы Collection #2-#5, а также AP MYR&ZABYGOR #2 и ANTIPUBLIC #1 общим весом 964,23 GB. После фильтрации дубликатов, исследователи пришли к выводу, что эти базы содержат объем данных, более чем в 3 раза превосходящий Collection #1. Это порядка 25 миллиардов записей email/пароль. Надеемся, то в скором времени и эта утечка появится на HIBP.
Привет! Недавно мы рассказывали про то как подружить телефоны Cisco с IP-АТС Asterisk на примере телефона Cisco 7811. Там мы рассматривали базовую конфигурацию, так что теперь затронем дополнительную, но важную функцию – отображение пропущенных звонков. Также вместе с этим включим журнал звонков, который будет показывать исходящие и принятые вызовы.
Конфигурация
Возьмем наш рабочий XML файл конфигурации (SEP[MAC_ADDRESS].cnf.xml) который лежит у нас на TFTP сервере. Для того чтобы наш телефон начал отображать пропущенные звонки нужно внести следующие изменения.
Во-первых, нужно добавить строчку lineIndex="1" в тег line button в той линии, на которой необходимо включить отображение пропущенных:
<line button="1" lineIndex="1">
Далее в конец нужно добавить сточки для добавления сервиса:
<phoneServices>
<provisioning>0</provisioning>
<phoneService type="1" category="0">
<name>Missed Calls</name>
<url>Application:Cisco/MissedCalls</url>
<vendor></vendor>
<version></version>
</phoneService>
</phoneServices>
И наконец необходимо добавить строчку для включения логирования пропущенных звонков перед тегом <commonProfile>:
<missedCallLoggingOption>1</missedCallLoggingOption>
1 включает логирование на линии, 0 – выключает. Если у нас на телефоне несколько линий, то для них все необходимо указать в этой строке. Например, если у нас три линии и нам нужно включить логирование на 1й и на 3й, то мы в теге укажем 101.
После этого перезагружаем телефон, он у нас должно скачать новый файл конфигурации, и после этого можно пробовать тестировать отображение пропущенных звонков.
При пропущенном звонке он будет отображаться на экране телефона:
Все пропущенные звонки можно посмотреть, нажав на появившуюся кнопку “Недавние”
Вот такими манипуляциями можно заставить отображать пропущенные звонки на телефоне Cisco 7811 при подключении к Asterisk.
А как теперь включить отображение всех остальных звонков и получить рабочий журнал? Все просто – добавляем следующие сточки в конфиг в раздел phoneServices
</phoneService>
<phoneService type="1" category="0">
<name>Received Calls</name>
<url>Application:Cisco/ReceivedCalls</url>
<vendor></vendor>
<version></version>
</phoneService>
<phoneService type="1" category="0">
<name>Placed Calls</name>
<url>Application:Cisco/PlacedCalls</url>
<vendor></vendor>
<version></version>
</phoneService>
Готово! Таким образом мы получили абсолютно рабочий журнал вызовов на телефоне Cisco 7811