По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Сетевое оборудование вендора Mikrotik является весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). Соотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.
Но спустя какое-то время беззаботного пользования, пользователи начинают жаловаться. Администратор, открыв Winbox, переходит в раздел System → Resources и видит, что загрузка процессора 100%:
Не стоит волноваться. У нас есть решение. Все настройки и «траблшутинг» будем осуществлять с помощью Winbox.
Настройка Firewall в Mikrotik
Первым делом давайте проверим службу, которая больше всего «отъедает» ресурсов процессор. Для этого, перейдем в раздел Tools → Profile:
Как видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. Давайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. Для этого воспользуемся утилитой Tools → Torch:
Мы видим большое количество пакетов с различных IP – адресов на 53 порт. Наш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально используя ресурсы процессора и повышая температуру.
Эту проблему надо решать. Судя по снятому дампу, пакеты приходят с частотой 10-20 секунд с одного IP – адреса. Добавим в наш Firewall два правила:
Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.
Переходим к настройке. В разделе IP → Firewall → Filter Rules создаем первое правило нажав на значок «+». Во кладке General указываем следующие параметры:
Chain = input - обрабатываем приходящие пакеты
Protocol = UDP - нас интересуют пакеты, у которых в качестве транспорта используется UDP
Dst. Port = 53 - портом назначения должен быть 53 порт, то есть DNS служба
In. Interface = ether1 - проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.
Переходим во вкладку Action:
Action = add src to address list - в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
Address List = dns spoofing - указываем имя листа, в который добавляем IP
Timeout = 01:00:00 - добавляем на 1 час
Нажимаем Apply и OK. Настроим второе правило, так же нажав на «+»:
Как видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Нажимаем на вкладку Advanced:
Src. Address List= dns spoofing - указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе
Переходим во вкладку Action:
Action = drop - если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.
После того, как оба правила стали активны переходи во вкладку IP → Firewall → Address Lists:
Как видно, адреса стали добавляться в список на 1 час. Теперь давайте проверим загрузку процессора:
Теперь загрузка процессора в пределах нормы. Проблема решена.
Сетевой гигант не может не заметить происходящее в мире, и, в связи с этим, Cisco решила смягчить свои условия выдачи временных версий продуктов, вплоть до очень щедрых 90 дней. В статье я хочу описать все возможные продукты от Cisco, которыми можно начать сейчас пользоваться или задуматься о покупке - ведь кризис это не только тяжелое и несчастливое время, но и шанс что-то поменять. У Cisco есть несколько спецпредложений по двум основным направлениям: безопасность и коллаборейшн. Важный нюанс: те предложения, которые будут описаны ниже актуальны только для России.
Что можно попробовать из продуктов инфосек от Cisco
Первое и самое главное - Cisco AnyConnect
Так как весь мир стремительно переходит на удаленку, вопросы обеспечения безопасного удаленного доступа выходят на первый план. Итак, что может предложить Cisco? В первую очередь - это щедрое предложение Cisco AnyConnect (AC это, наверное, самый популярный VPN клиент в мире).
Если у вас уже есть Cisco ASA, но вы не покупали лицензии на AnyConnect, а тут вдруг вам резко приспичило, у вас есть возможность самостоятельно получить их для вашей ASA на ресурсе cisco.com/go/license . Для этого нужно пройти по ссылке, войти в ваш аккаунт и выбрать на лицензионном портале All Licenses. Далее выбрать пункт Demo and Evaluation, Security и наконец AnyConnect Plus/Apex(ASA) Demo License and Emergency COVID-19 License
Далее введите серийный номер вашего устройства и количество пользователей.
Важно: сначала уточните аппаратный максимум по кол-ву VPN подключений на вашем устройстве. К примеру для популярной ASA5506-X этот показатель равен 50 юзерам.
Далее указываете ваш почтовый адрес, нажимаете Submit и вуаля - вам на почту приходит ключ лицензии. Соответственно, если у вас несколько устройств, операцию можно повторить несколько раз.
На вашем устройстве переходите в режим конфигурации путем ввода conf t и применяете ключ (5 октетов) путем ввода команды activation key %ваш полученный ключ%.
Если хочется чувствовать себя в безопасности даже без VPN и корпоративных средств защиты - Cisco Umbrella
Следующее предложение - это DNS сервис от Cisco, но с очень толстым и богатым функционалом аналитики сверху. Если говорить очень просто, то Umbrella не даст вам зайти на заведомо вредоносный сайт или обратиться к командному центру через DNS вирусу-шифровальщику. Процесс настройки в базовом случае очень прост и заключается либо в смене DNS на вашем домен-контроллере или маршрутизаторе. Кроме того, Umbrella также можно использовать в виде модуля AnyConnect - таким образом, ваши пользователи всегда будут под защитой. Для получения достаточно зайти по ссылке https://signup.umbrella.com/
Важно: не забудьте поставить галочку "I confirm that this account is for business purposes."
После этого вам придет ссылка на активацию 14-дневного триала, но вы можете запросить его продление на 90 дней путем отправки письма на security-request@cisco.com - там вам быстро ответят на русском языке.
Надоел Скайп или хочу узнать что такое Cisco Webex
Cisco Webex Meetings - это широко известная платформа для веб-конференций, и ее сейчас также можно получить в виде триала на 90 дней! Но процедура для России выглядит менее автоматизированной - для получения триала вам нужно обратиться к вашему аккаунт-менеджеру в Cisco (или к партнеру Cisco, у которого есть специализация по Collaboration) и запросить триал.
Процесс настройки крайне прост и не займет много времени, а удовольствия вы получите море. На этом все, надеюсь было полезно и интересно.
Привет! В этой статье мы рассмотрим Partitions и Calling Search Space (CSS) в Cisco Unified Communications Manager (CUCM) , которые являются частью механизма Class of Control и применяются при разграничении доступов.
/p>
Partitions можно рассматривать как набор маршрутов, паттернов, номеров DN, каждый из которых может принадлежать к определенным разделам. CSS же представляет собой упорядоченный список Partitions. Чтобы совершить вызов Partition вызываемой стороны должен принадлежать CSS вызывающей стороны.
При попытке выполнить вызов CUCM просматривает CSS вызывающей стороны и проверяет, принадлежит ли вызываемая сторона Partition’у в CSS. Если это так, вызов направляется в Translation Pattern. Если нет, то вызов отклоняется или Translation Pattern игнорируется. Подробнее про маршрутизацию и Translation Pattern’ы можно прочить в наших статьях.
Можно назначить разные CSS IP-телефонам, номерам DN, переадресации всех вызовов (Call Forwarding All – CFA), переадресации без ответа (Call Forwarding No Answer - CFNA), переадресации вызовов в случае занятости (Call Forwarding Busy - CFB), шлюзов и паттернам Translation Pattern.
Разделы и CSS облегчают маршрутизацию вызовов, поскольку они делят план маршрутизации на логические подмножества на основе организации, местоположения и/или типа вызова.
Чтобы лучше понять, как все это работает, рассмотрим пример.
Пример использования Partitions и CSS
Этот пример иллюстрирует, как можно разграничить маршрутизацию звонка между пользователями в пределах организации.
Допустим, у нас имеется три группы пользователей:
Стажеры (могут звонить только на внутренние номера)
Работники (могут звонить на внутренние номера и совершать междугородние звонки)
Руководство (могут звонить на внутренние номера, совершать междугородние и международные звонки)
Для каждого направления необходимо иметь Partition:
Внутренние номера –Partition_1
Междугородние звонки – Partition_2
Международные звонки – Partition_3
Эти разделы отражают все возможные направления звонков. Все телефоны (номера DN) мы поместим в раздел Partition_1 (внутренние номера).
На шлюзе сконфигурировано два паттерна Route Patterns:
Все звонки кроме международных (поместим в раздел Partition_2)
Международные звонки (поместим в раздел Partition_3)
На основании этих ограничений создаем три CSS:
CSS1 содержит разделы: Partition_1
CSS2 содержит разделы: Partition_1, Partition_2
CSS3 содержит разделы: Partition_1, Partition_2, Partition_3
Настраиваем телефоны:
На телефонах стажеров указываем CSS1
На телефонах работников указываем CSS2
На телефонах руководства указываем CSS3
Теперь совершим тестовые звонки с заданными настройками.
Тест 1: Звонок с телефона стажера
Набран внутренний номер:
Вызываемый абонент: Partition_1
Разделы CSS вызывающего абонента: Partition_1
Результат: Вызов выполнится (раздел Partition_1 включен в CSS)
Набран междугородний номер:
Вызываемый абонент: Partition_2
Разделы CSS вызывающего абонента: Partition_1
Результат: Вызов не выполнится (раздел Partition_2 не включен в CSS)
Набран международный номер:
Вызываемый абонент: Partition_3
Разделы CSS вызывающего абонента: Partition_1
Результат: Вызов не выполнится (раздел Partition_3 не включен в CSS)
Тест 2: Звонок с телефона работника
Набран внутренний номер:
Вызываемый абонент: Partition_1
Разделы CSS вызывающего абонента: Partition_1, Partition_2
Результат: Вызов выполнится (раздел Partition_1 включен в CSS)
Набран междугородний номер:
Вызываемый абонент: Partition_2
Разделы CSS вызывающего абонента: Partition_1, Partition_2
Результат: Вызов выполнится (раздел Partition_2 включен в CSS)
Набран международный номер:
Вызываемый абонент: Partition_3
Разделы CSS вызывающего абонента: Partition_1, Partition_2
Результат: Вызов не выполнится (раздел Partition_3 не включен в CSS)
Тест 3: Звонок с телефона руководства
Набран внутренний номер:
Вызываемый абонент: Partition_1
Разделы CSS вызывающего абонента: Partition_1, Partition_2, Partition_3
Результат: Вызов выполнится (раздел Partition_1 включен в CSS)
Набран междугородний номер:
Вызываемый абонент: Partition_2
Разделы CSS вызывающего абонента: Partition_1, Partition_2, Partition_3
Результат: Вызов выполнится (раздел Partition_2 включен в CSS)
Набран международный номер:
Вызываемый абонент: Partition_3
Разделы CSS вызывающего абонента: Partition_1, Partition_2, Partition_3
Результат: Вызов выполнится (раздел Partition_3 включен в CSS)
Таким образом, получается, что вызовы совершать можно, только если раздел Partition вызываемого абонента находится в CSS вызывающего.
Настройка
Начнем с настройки Partitions. В Cisco Call Manager Administration переходим во вкладку Call Routing → Class of Control → Partition и нажимаем Add New. Здесь в поле Name указываем название для раздела и нажимаем Save.
Теперь перейдем к созданию CSS. Для этого выберем вкладку Call Routing → Class of Control → Calling Search Space. Тут указываем имя в поле Name, из поля Available Partitions перенесем в поле Selected Partitions разделы, которые должен содержать CSS. Перенос осуществляется при помощи стрелочек. После чего нажимаем кнопку Save для сохранения.
После того как мы создали CSS и Partitions на наших серверах, применим их к устройствам. Рассмотрим это на примере настройки телефона. Для этого выбираем телефон, который мы хотим настроить во вкладке Device → Phone. В его настройках выбираем желаемую линию и нажимаем на нее, например Line [1] . В открывшемся окне в строке Route Partition в выпадающем списке выбираем раздел для этой линии. После этого нажимаем Save и возвращаемся назад.
Теперь нам осталось применить к телефону CSS. Здесь, в настройках телефона в поле Device Information находим строчку Calling Search Space и в выпадающем меню выбираем созданный ранее CSS. Затем сохраняем и применяем настройки.
Аналогично мы можем настраивать Partitions и CSS на других устройствах, паттернах и номерах.