По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Так как технология VoIP базируется на технологии IP и использует Интернет, она так же наследует все её уязвимости. Последствия этих атак, умноженные на уязвимости, которые следуют из особенностей архитектуры сетей VoIP, заставляют задуматься о способах усиления защиты и тщательном анализе существующей сети IP . Более того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать появление новых уязвимостей. Риски и уязвимости, наследованные из IP сетей. Плохой дизайн сети Неправильно спроектированная сеть может повлечь за собой большое количество проблем, связанных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сетях. Межсетевые экраны, к примеру, являются уязвимым местом в сети, по причине того, что для правильного функционирования VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставлять открытыми ранее используемые порты даже после завершения вызовов. Уязвимые IP АТС и шлюзы Если злоумышленник получает доступ к шлюзу или АТС, он так же получает доступ к захвату целых сессий (по сути – возможность прослушать вызов), узнать параметры вызова и сети. Таким образом, на безопасность АТС необходимо обратить наибольшее внимание. Убытки от таких вторжений могут достигать значительных сумм. Атаки с повторением пакетов Атака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приёмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать для подмены пакетов (спуфинга) и получения доступа в сеть. К примеру, даже при условии зашифрованных данных, существует возможность повторения пакета с логином и паролем пользователем пользователя, и, таким образом, получения доступа в сеть. Риски и уязвимости, характерные для VoIP сетей Подмена и маскировка пакетов Использование подменных пакетов с неправильным IP-адресом источника могут использоваться для следующих целей: Перенаправление пакетов в другую сеть или систему Перехват трафика и атака «man-in-the-middle» (рисунок ниже) Маскировка под доверенное устройство - «Перенос ответственности» за атаку на другое устройство Фаззинг(Fuzzing) - Нагрузка системы пакетами с не полностью корректной информацией , что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы Сканирование на предмет возможных уязвимостей - Сканирование портов может дать злоумышленнику начальные данные для проведения полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. При нахождении уязвимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб. Низкая надежность по сравнению с традиционными сетям - Для достижения качественной связи, пакетам, содержащим голосовую и видео нагрузку присваивается высокий приоритет в механизмах качества обслуживания QoS (качества обслуживания). Однако, надежность VoIP и сетей передачи данных стремится к 99,9%, что ниже чем степени надежности в традиционных телефонных сетях, у которых данный параметр стремится к 99,999%. Конечно, разница не столь велика, однако за год эта разница выливается в дополнительные 8.7 часа, во время которых система не работает. Но необходимо понимать, что далеко не каждому предприятию это может повредить. Атаки DDoS(Distributed Denial of Service) - Атаки DoS и DDoS происходят когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). Атака из нескольких мест используется с помощью «зомби» - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребностями злоумышленника. Успешной такая атака считается в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании для конечных пользователей. VoIP системы особенно уязвимы для таких атак, т.к они имеют высокий приоритет в технологии обеспечения качества обслуживания QoS, и для нарушения их работы требуется меньшее количество трафика нежели для обычных сетей передачи данных. Примером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установления вызова, которая так же имеет название SIP CANCEL DoS атака. CID спуфинг - Один из типов атак с подменой пакетов построен на манипуляциях с идентификатором звонящего (Caller ID или CID), который используется для идентификации звонящего до ответа. Злоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоваться для осуществления различных действий, вредящих сети или владельцу предприятия. Кроме того, в VoIP сетях нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Это позволяет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр «private» у сервисного провайдера. Заключение - Использование IP-телефонии приносит огромное количество пользы для любой организации – решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. Однако, любая организация, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усилия для увеличения степени информационной безопасности в сети. Были перечислены лишь некоторые методы атак, но необходимо понимать, что часто используются комбинации атак и практически ежедневно разрабатываются новые атаки. Но понятно уже сейчас, что за данной технологией будущее и она вряд ли уступит пальму первенства другой технологии в обозримом будущем.
img
Задача: Организовать многоканальный номер, который будут обслуживать несколько операторов, с возможностью просмотра статистики и прослушивания записей разговоров в спорных ситуациях. Многоканальный номер подается оператором в SIP-транке. Операторы будут подключаться или с помощью sip-клиента на ПК (с использованием гарнитуры), или с помощью отдельного стационарного телефона. $dbName_ecom = "to-www_ecom"; $GoodID = "5552350028"; mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение "); mysql_select_db($dbName_ecom) or die(mysql_error()); $query_ecom = "SELECT `model`, `itemimage1`, `price`, `discount`, `url`, `preview115`, `vendor`, `vendorCode` FROM `items` WHERE itemid = '$GoodID';"; $res_ecom=mysql_query($query_ecom) or die(mysql_error()); $row_ecom = mysql_fetch_array($res_ecom); echo 'Кстати, купить '.$row_ecom['vendor'].' '.$row_ecom['vendorCode'].' можно в нашем магазине Merion Shop по ссылке ниже. С настройкой поможем 🔧 Купить '.$row_ecom['model'].''.number_format(intval($row_ecom['price']) * (1 - (intval($row_ecom['discount'])) / 100), 0, ',', ' ').' ₽'; $dbName = "to-www_02"; mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение "); mysql_select_db($dbName) or die(mysql_error()); Учитывая все вышеперечисленное, принято решение установить ip-АТС, которая "из коробки" поддерживает работу по протоколу SIP и запись разговоров. Можно было бы настроить Asterisk, например, на базе FreePBX или Elastiks, но учитывая цену необходимого системного блока, а так же трудозатраты, остановились на аппаратной реализации. Под наши нужды вполне подошла младшая модель линейки ip-АТС производителя Grandstream UCM6202. Общий набор оборудования под этот небольшой проект: IP-АТС Grandstream UCM6202 Два телефона Fanvil X2C телефон для контакт-центра (без трубки) Две гарнитуры Fanvil HT201 - Headset - HD моно гарнитура для телефонов Настройка Grandstream UCM6202 Подключение к устройству Для подключения к АТС с последней версией прошивки, разъем WAN устройства необходимо подключить к роутеру, который раздает адреса по DHCP. Так же к этой сети должен быть подключен Ваш ПК, с которого Вы собираетесь производить настройку. На лицевой панели АТС есть маленький ЖК-дисплей состояния, на котором отображается текущее состояние устройства. На этом экране можно увидеть ip-адрес, который получило устройство и по которому можно подключиться к нему. Учетные данные для подключения: login: admin password: <указан на нижней стороне устройства на наклейке со штрих-кодом> Смена пароля Для удобства (и безопасности), после первого входа этот пароль можно сменить, сделать это довольно просто. Для этого в левой панели выбрать раздел "Обслуживание/Пользовательское управление", в появившемся справа списке выбрать необходимую учетную запись (в данном случае, она будет единственной) и нажать в этой строчке на пиктограмму "редактировать": На открывшейся странице вводим старый пароль, отмечаем галочку "сменить пароль" и вводим новый пароль: После выполнения нужных действий необходимо нажать на кнопку "сохранить" вверху справа. Так же, чтобы изменения вступили в силу, необходимо нажать на кнопку "Применить изменения" (она появляется только в случае, когда настройки еще не применены). Добавление внутренних номеров (абонентов) В Asterisk и ему подобных системах внутренние номера называются Extensions (или расширения). Для подключения абонентов необходимо добавить новые расширения и задать им параметры. Эта процедура выполняется в следующей форме ("Расширение/Транк Добавочные номера": Нажимаем кнопку "Добавить" и открывается следующая страница: На ней заполняем поля, отмеченные красной звездочкой. Основные, которые нам понадобятся для регистрации sip-телефонов (или sip-клиентов), находятся в разделе "Общие": "Добавочный номер", "Пароль SIP/IAX". В поле "Разрешение" указываем уровень доступа абонента к услугам связи. В системе несколько уровней доступа, минимальный "локальный", максимальный "международный". Эти же уровни назначаются исходящим маршрутам. Соответственно, если у маршрута уровень "локальный", его смогут использовать абоненты с любым уровнем, если уровень маршрута "национальный", для доступа к маршруту у абонента должен быть уровень "национальный" или выше. По-умолчанию, назначается уровень "Страна", который подразумевает отсутствие всяких ограничений, о чем выводится соответствующее предупреждение при сохранении настроек. В разделе "Пользовательские настройки" можно указать имя и фамилию, которые будут отображаться в истории вызовов и на экранах некоторых типов телефонов. Здесь же в поле "Пароль" указывается пароль для доступа к личному кабинету абонента, где он может просмотреть свою историю звонков и прослушать записи (если запись разговоров активирована). По окончании настройки необходимо сохранить внесенные изменения и применить настройки. Так же в станции есть возможность подключения до двух аналоговых телефонов. Для этого при создании внутреннего номера выбираем тип расширения "FXS-расширение". При создании здесь нужно указать порт FXS, через который будет подключаться телефон, в поле "Аналоговая станция". На вкладке "Среда" есть возможность тонкой настройки линии и параметров Flash, которые используются для перехода в режим удержания вызова: Добавление транков (линий от оператора связи) К станции можно подключить VoIP-транки, а так же аналоговые линии, используя два разъема FXO. Создание VoIP -транка Для создания SIP-транка перейдем в раздел "Расширение/Транк VoIP-транки": Нажимаем кнопку "Добавить SIP транк", появится форма: Поля для заполнения будут различаться в зависимости от того, какой тип транка выбран с регистрацией или без нее. Для настройки транка без регистрации - "Транк SIP (пир)", достаточно указать произвольное название в поле "Имя поставщика", ip-адрес или доменное имя удаленной станции в поле "Имя узла". Дополнительно можно указать номер CallerID, который будет подставляться при исходящих звонках с этого транка. Этот CallerID, указываемый в поле "Идентификатор вызывающего абонента", имеет низкий приоритет перед параметром в других разделах (например, в настройках внутреннего номера). Пояснение есть в подсказке в самом веб-интерфейсе. Создание аналогового транка (в нашем случае не используется) Переходим в раздел "Расширение/Транк Аналоговые транки". Нажав кнопку "Добавить", увидим следующую форму: Здесь задаем произвольное имя транка, указываем порты FXO, которые задействуем в данном транке. В разделе "Параметры тонового сигнала" в поле "Страна сигнала" следует выбрать Российскую Федерацию, чтобы сигналы КПВ, занятости и прочие звучали в привычной для нашей страны форме. Параметр "Схема идентификатора вызывающего абонента" влияет на определение номера звонящего, который выдает оператор в линию (если эта услуга подключена). Этот параметр следует уточнить у своего поставщика услуг, или подобрать опытным путем. В полях "Усиление приема" и "Усиление передачи" можно ввести значения от -13дБ до +12дБ. В большинстве случаев данные параметры можно оставить по-умолчанию. Параметр "Усиление приема" следует уменьшить, если при связи через эту линию вы слышите абонента слишком громко, и увеличить в противном случае. Параметр "Усиление передачи" влияет на слышимость для абонента на другой стороне, то есть, если он слышит Вас слишком тихо, параметр нужно увеличить, если слишком громко уменьшить. Добавление маршрутов Для того, чтобы осуществлять вызовы, в станции должны быть маршруты. Для начала создадим исходящий маршрут. После нажатия кнопки "Добавить", появляется следующая форма: Здесь необходимо указать название маршрута, задать шаблон для выхода на это направление и выбрать созданный ранее транк в разделе "Основной транк". В этом же разделе имеется возможность отрезать начальные цифры в набираемом номере, например, если внутренние абоненты набирают "9" для выхода на внешнюю линию. Для этого в поле "Ряд" необходимо указать количество цифр, которые нужно удалить. В поле "Добавление в начало" можно указать цифры, которые необходимо добавить в начало номера перед отправкой оператору. Указав уровень привилегии в разделе "Общие", можно ограничить доступ некоторым абонентам, если указать их уровень привилегий ниже, чем у транка. Особое внимание следует уделить полю "Шаблон", в котором задается шаблон символов, которые нужно набрать для выхода на этот маршрут. Если маршрут единственный, как в нашем случае, можно ограничиться комбинацией _x.. Здесь: _ - символ начала шаблона (обязательный); x - любая цифра от 0 до 9; . - любое количество любых возможных символов. Если в станции несколько транков и необходимо разграничить выходы на них, то в шаблонах необходимо обозначить символы для выхода на каждое направление. Правила задания шаблонов есть в подсказке в веб-интерфейсе. В общем случае, шаблоны соответствуют шаблонам Asterisk, информацию по которому можно найти в интернете. В дополнительных настройках есть возможность указать резервный транк, на который будет направляться вызов при неработоспособности основного, а так же задать маршрутизацию по времени. Для того, чтобы принять входящий вызов, необходимо настроить входящие маршруты. Как обычно, нажимаем кнопку "Добавить", открывается следующая форма: В поле "Транки" указывается транк, к которому будет применяться маршрут. Так как у нас создан только один транк, он здесь указан по-умолчанию. В поле "Шаблон" мы указываем те символы, которые ожидаем получить от оператора в качестве Б-номера (вызываемого номера, то есть того, который набрал внешний абонент). В нашем случае, у оператора приобретен один номер, в городе шестизначная нумерация, соответственно, мы указываем его в шаблоне: _294259 В этом случае, если оператор пришлет другой номер, вызов смаршрутизирован не будет. Мы так же могли бы указать шаблон < _x. >, в этом случае все вызовы, вне зависимости от Б-номера, будет проходить по указанному маршруту. Если мы приобретаем несколько номеров, то мы можем маршрутизировать каждый номер отдельно, создавая маршрут на каждый номер и указывая в нем в качестве шаблона необходимый Б-номер. Далее, в разделе "Режим по умолчанию", необходимо указать "Назначение по умолчанию" из выпадающего списка. Например, если выбрать параметр "Добавочный номер", то далее мы можем указать любой внутренний номер, существующий в станции: Если выбрать "Очереди", появится возможность выбрать созданную ранее очередь вызовов. В нашем случае необходимо организовать многоканальный номер. Вызов необходимо направить в очередь, где будет два оператора. Чтобы указать эту очередь в маршруте, она должна существовать. Создадим ее, а затем отредактируем входящий маршрут. Создание очереди вызовов Переходим в раздел "Опции вызова/Очередь вызовов" и нажимаем "Добавить": Отрывается форма основных параметров очереди: Здесь следующие поля для настройки: Расширение внутренний номер очереди. Система сама указывает номер, изменять его нет необходимости Стратегия определяет стратегию вызова операторов очереди. В нашем случае выбираем "Звонок всем": все телефоны, включенные в очередь, будут звонить одновременно. Описание всех стратегий есть во всплывающей подсказке. Имя название очереди, по которому мы сможем различать ее в других разделах настройки станции. Музыка при удержании если оставить по-умолчанию, при попадании в очередь звонящий слышит музыку. Есть так же возможность установить обычные гудки - сигнал контроля посылки вызова. Файлы для функции "Музыка при удержании" можно менять, добавлять и отключать по своему смотрению. Подробнее можно посмотреть в разделе "Настройки АТС / Музыка при удержании". В разделе "Приветственное сообщение" мы можем добавить голосовое приветствие, загрузив аудиофайл соответствующей кнопкой. Файл в формате mp3. Остальные параметры можно оставить по-умолчанию. Во вкладке "Агенты" приведен список доступных внутренних номеров, здесь необходимо выбрать номера, которые будут принимать звонки: Сохранив изменения, теперь мы можем отредактировать входящий маршрут, указав в назначении вновь созданную очередь вызовов. Сохранение записей разговоров Для сохранения записей разговоров в станцию устанавливается дополнительная память. Есть возможность подключить флеш-накопители SD или USB (на задней панели есть соответствующие порты). Устройство поддерживает объем памяти до 128Гб. Перед установкой накопителя его необходимо отформатировать в формате NTFS. После установки, накопитель должен отобразиться в панели состояния системы ("Состояние системы / Панель"), в разделе "Емкость памяти устройства": Чтобы выбрать устройство для хранения записей, необходимо перейти в раздел "Настройки АТС / Настройки хранения записей". По-умолчанию включена функция автоопределения, то есть, если установлено внешнее запоминающее устройство, оно будет выбрано автоматически. Запись разговоров можно настроить для разных категорий: Для внутренних номеров в разделе редактирования номера на вкладке "Функции" внизу есть параметр "Автоматическая запись": Для очереди вызовов так же есть данный параметр: Следует отметить, что если запись будет включена и для очереди вызовов, и для каждого участника данной очереди, записи будут дублироваться в детализации. Файлы аудио доступны для просмотра и прослушивания в разделе "CDR/Записи": Справа, напротив каждой записи, есть пиктограммы для прослушивания, скачивания или удаления записи. Данная форма доступна для администратора системы. При этом каждый пользователь системы (каждый абонент имеет учетную запись для входа в систему) может просматривать только свои записи: Для того, чтобы у одного сотрудника была возможность просматривать статистику и прослушивать записи всех операторов, создадим учетную запись в системе с такими правами. Переходим в раздел "Обслуживание/Пользовательское управление" и переходим на вкладку "Пользовательская привилегия": Нажав кнопку добавить, создадим новую привилегию "supervisor" и назначим ему три привилегии из доступного списка: Теперь перейдем в этом же раздела на вкладку "Информация о пользователе" и добавим нового пользователя, назначив ему вновь созданный уровень привилегий ("Пользовательская привилегия: supervisor") : После применения настроек, созданный пользователь сможет просматривать записи всех абонентов системы: На этом основная настройка системы окончена. Конфигурирование облегчается тем, что почти по всем параметрам имеется встроенные в веб-интерфейс подсказки, которые всплывают при поднесении курсора к соответствующему полю. Версия ПО устройства: 1.0.20.8 Версия программы: 1.0.20.17
img
Для устранения неполадок мы должны пройти путь от нижней части модели OSI к верхней. Для этого нам придется начать с протоколов, которые используются для коммутации. Будем думать о VLAN, транкинге, об агрегировании каналов и связующем дерева. Мы рассмотрим различные протоколы и различные сценарии, где "что-то работает" не так. Мы решим эти проблемы с помощью комбинации команд show и debug. Первая остановка ... проблемы с интерфейсом! Следующие статьи этого цикла: Траблшутинг STP (Spanning tree protocol) Устранение неисправностей EtherChannel Case #1 В этом примере мы имеем коммутатор в центре и два компьютера, которые подключены к нему. Каждый компьютер имеет свой IP-адрес, и они должны иметь возможность пинговать друг друга. Мы будем считать, что компьютеры настроены правильно и там нет никаких проблем. Интерфейс FastEthernet 0/1 находится в состоянии down. Это может указывать на проблему уровня 1, такую как неисправный кабель, неправильный кабель (кроссовер вместо прямого) или, возможно, нерабочая сетевая карта. Обратите внимание, что этот интерфейс работает в полудуплексном режиме. Если повезет, вы можете получить дуплексное сообщение через CDP, которое сообщит вам, что существует дуплексное несоответствие. Если вам не повезло, возможно, из-за этого ваш интерфейс переходит в состояние down. Имейте в виду, что гигабитный интерфейс не поддерживает halfduplex. SwitchA(config)#interface fa0/1 SwitchA(config-if)#duplex auto Изменим настройки интерфейса на duplex auto, чтобы коммутатор мог само настроиться. Может быть, нам повезет...но не в этот раз, пинг не работает. Интерфейс fa0 / 3, подключенный к хосту B, также не работает. После проверки кабелей и разъемов мы можем проверить ошибки дуплекса и скорости. Дуплекс включен в режим auto, так что это не является проблемой. Скорость была установлена на 10 Мбит, однако в то время как этот интерфейс является каналом Fast Ethernet (100 Мбит). SwitchA(config)#interface fa0/3 SwitchA(config-if)#speed auto Давайте переключим скорость на авто и посмотрим, что произойдет. Похоже, что несоответствие скорости привело к тому, что интерфейс перешел в состояние down. Изменение его на auto-speed возвращает интерфейс в состояние up. Это то, что мы искали. Интерфейсы, с которыми мы работаем, оба показывают состояние up/up. По крайней мере, теперь мы знаем, что нет никаких ошибок в кабеле, скорости или дуплексе. Теперь наш пинг проходит. Первый урок усвоен: Проверьте свои интерфейсы и посмотрите, отображаются ли они как up/up. Case #2 Та же топология, но здесь другая проблема. Хост A не может пропинговать хост B. Мы начнем с проверки интерфейсов: Состояние интерфейса FastEthernet0/3 выглядит нормально, но что-то не так с интерфейсом FastEthernet 0/1. Давайте изучим его подробнее: Так так, мы видим сообщение err-disabled. Это уже дает нам понять, что проблема, где здесь (по крайней мере, это означает, что мы на что-то наткнулись). Используйте команду show interfaces status err-disabled, чтобы узнать, почему интерфейс перешел в режим error-disabled. Это сообщит нам, что причина-безопасность порта. Мы можем посмотреть на конфигурацию безопасности порта, и мы видим, что только 1 MAC-адрес разрешен. Последний MAC-адрес, который виден на интерфейсе - 000с.2928.5c6c. Выше мы видим, что интерфейс был настроен для обеспечения безопасности на другой MAC-адрес. Именно по этой причине порт перешел в режим err-disabled. SwitchA(config)#interface fa0/1 SwitchA(config-if)#no switchport port-security Давайте уберем port security, чтобы решить эту проблему. SwitchA(config)#interface fa0/1 SwitchA(config-if)#shutdown SwitchA(config-if)#no shutdown Главное, что вы не должны забыть сделать - это после очистки настройки от port security ваш интерфейс все еще находится в режиме err-disabled. Вам нужно выполнить команды отключения и включения порта (shutdown и no shutdown), чтобы он снова заработал! Консоль сообщает нам, что интерфейс теперь включен. Как мы видим эхо-запрос проходит между компьютерами. Проблема решена! Урок 2 усвоен: проверьте, находится ли интерфейс в состоянии err-disabled, и если да, то: а) проверьте, почему это произошло, и Б) решите проблему. Case #3 Давайте продолжим с другой проблемой. Та же топология, но опять проблема. Эти два компьютера не "видят" друг друга. Интерфейсы выглядят хорошо, никаких ошибок здесь нет. И так мы видим, что port security отключена на этом коммутаторе. На данный момент мы, по крайней мере, знаем, что нет никаких проблем с интерфейсом и port security не фильтрует никакие MAC-адреса. В данный момент это хорошая идея, чтобы проверить информацию о VLAN. Вы можете использовать команду show vlan, чтобы быстро проверить, к какой VLAN принадлежат интерфейсы. Как вы можете видеть, наши интерфейсы находятся не в одной и той же VLAN. SwitchA(config)#interface fa0/3 SwitchA(config-if)#switchport access vlan 1 Мы переместим интерфейс fa0/3 обратно в VLAN 1. Теперь оба компьютера находятся в одной VLAN. Проблема решена! Урок 3 усвоен: убедитесь, что интерфейсы находится в нужной VLAN. Case #4 Пришло время для другой проблемы! Наши два компьютера не пингуюся между собой. Вы теперь знаете, как выглядит неудачный пинг, поэтому скрин не будет публиковаться снова. Интерфейсы не показывают никаких ошибок. Мы изучим настройку VLAN. Вы видите, что FastEthernet 0/1 находится в VLAN 10, но мы нигде не видим FastEthernet 0/3. Вот возможные причины: Что-то не так с интерфейсом. Мы проверили и убедились, что это не так, потому что он показывает состояние up/up, поэтому он кажется активным. Интерфейс не в режиме access port, а в режиме trunk. Быстрый взгляд на информацию о коммутаторе показывает нам, что нам нужно знать. Мы убедились, что интерфейс fa0/3 находится в режиме trunk, а native VLAN - 1. Это означает, что всякий раз, когда хост B отправляет трафик и не использует маркировку 802.1 Q, наш трафик заканчивается в VLAN 1. SwitchA(config)#interface fa0/3 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 10 Мы включим fa0/3 в режим доступа и убедимся, что он находится в VLAN 10. Оба интерфейса теперь активны в VLAN 10. Возможно, лучше проверить информацию на коммутаторе. Теперь я могу отправить пинг с хоста а на хост Б...проблема решена! Урок 4 усвоен: убедитесь, что интерфейс находится в нужном режиме (доступ или магистральный режим). Case #5 Те же два компьютера, тот же коммутатор. Однако этот сценарий немного интереснее. Компьютеры не могут пинговать друг друга, поэтому давайте пройдемся по нашему списку "возможных" ошибок: Интерфейсы выглядят хорошо, up/up-это очень хорошо. Оба интерфейса находятся в VLAN 10, так что это тоже хорошо. Просто чтобы быть уверенным...там нет port security. Это очень интересная ситуация. Интерфейсы работают (в состоянии up/up), мы находимся в одной VLAN, и нет никакой защиты портов. Что еще может быть причиной "перекрытия" трафика? Ага! Это может быть не то, о чем нам может прийти в голову, но мы же можем использовать VACLs (VLAN access-list), чтобы разрешить или запретить трафик в пределах VLAN. Если вы устраняете неполадки коммутаторов, то необходимо проверить эту настройку, если все остальное кажется вам нормальным. В этом случае есть VACL, подключенный к VLAN 10, давайте проверим его. Есть два порядковых номера ... 10 и 20. Порядковый номер 10 соответствует access-list 1, и его задача состоит в том, чтобы отбросить трафик. Давайте посмотрим, что это за access-list 1: Не смущайтесь из-за заявления о разрешении здесь. Использование оператора permit в access-list означает, что он будет "соответствовать" подсети 192.168.1.0/24. Наши два компьютера используют IP-адреса из этого диапазона. Если он соответствует этому access-list, то VLAN access-map отбросит трафик. SwitchA(config)# vlan access-map BLOCKSTUFF 10 SwitchA(config-access-map)# action forward Давайте изменим действие на "forward" и посмотрим, решит ли оно нашу проблему. Ну вот, все работает. Урок 5 усвоен: если все остальное кажется нормальным, убедитесь, что нет никакого VACL! Case #6 Давайте продолжим урок 6 с другой топологией. Теперь вы знаете, что нам нужно сначала проверить интерфейсы, а затем VLAN. В этом примере у нас есть те же два компьютера, но теперь у нас есть два коммутатора. Пинг от Хост А к Хосту Б не работает, так с чего начнем поиск? Сначала мы проверим интерфейс fa0/1 на коммутаторе 1. Интерфейс запущен и работает, это switchport, назначенный для VLAN 10. Пока все выглядит неплохо. Port security не включен, так что нам не нужно беспокоиться об этом. Давайте проверим то же самое на коммутаторе 2. Интерфейс работает, и он был назначен на VLAN 10. В данный момент мы видим, что интерфейсы, "смотрящие" к компьютерам выглядят хорошо. В этот момент Вы могли бы сделать две вещи: Подключите другой компьютер к коммутатору 1 и назначьте его во VLAN 10. Посмотрите, можно ли общаться между компьютерами во VLAN 10, когда они подключены к одному коммутатору. Сделайте то же самое на коммутаторе 2. Проверьте интерфейсы между коммутатором 1 и коммутатором 2. Мы сконцентрируем свое внимание на интерфейсах между коммутатором 1 и коммутатором 2, потому что там много чего может пойти не так! Интерфейсы не показывают никаких проблем, время проверить информацию о switchport. Коммутатор A находится в магистральном режиме и использует инкапсуляцию ISL. Коммутатор B также находится в магистральном режиме, но использует инкапсуляцию 802.1Q. Имейте в виду, что (в зависимости от модели коммутатора) административный режим по умолчанию может быть dynamic auto. Два интерфейса, которые оба работают в dynamic auto режиме, станут портом доступа (access). Лучше всего самостоятельно переключить интерфейс в магистральный режим. В нашем случае оба интерфейса магистральные, так что это хорошо, но у нас есть несоответствие протокола инкапсуляции. SwitchA(config)#interface fa0/15 SwitchA(config-if)#switchport trunk encapsulation dot1q Мы изменим тип инкапсуляции, чтобы оба коммутатора использовали протокол 802.1Q. Проблема решена! И опять все работает. Урок 6 усвоен: убедитесь, что при настройке магистралей используется один и тот же протокол инкапсуляции. Case #7 Вот опять тот же сценарий. Сейчас рассмотрим еще кое-что, что важно проверить при решении проблем trunk. Предположим, мы проверили и убедились, что следующие элементы не вызывают никаких проблем: Интерфейсы (скорость/дуплекс). Безопасность портов. Конфигурация Switchport (назначение VLAN, интерфейс, настроенный в режиме доступа). К сожалению, эхо-запрос между компьютерами все еще не проходит. Давайте взглянем на интерфейсы fa0/15 на коммутаторах: Проверим, что оба интерфейса находятся в магистральном режиме и что мы используем один и тот же протокол инкапсуляции (802.1 Q). Здесь нет никаких проблем. Что-нибудь еще, что может пойти не так с этой магистральной связью? Да! Магистраль может быть работоспособной, но это не означает, что все VLAN разрешены по магистральному каналу связи. В приведенном выше примере вы видите, что разрешена только VLAN 20. SwitchA(config)#interface fa0/15 SwitchA(config-if)#switchport trunk allowed vlan all SwitchB(config)#interface fa0/15 SwitchB(config-if)#switchport trunk allowed vlan all Давайте позволим всем VLAN пройти магистраль. По магистральной линии может передаваться трафик VLAN 10 между двумя коммутаторами. В результате пинг идет между компьютерами....еще одна проблема решена! Урок 7 усвоен: всегда проверяйте, разрешает ли магистраль все VLAN или нет. Case #8 Вот вам новый сценарий. Два компьютера, имеют разные IP-адреса. Коммутатор - это многоуровневый коммутатор. Поскольку компьютеры находятся в разных подсетях, нам приходится беспокоиться о маршрутизации. Мы видим, что два компьютера не могут связаться друг с другом. С чего мы должны начать устранение неполадок? Это статья не о настройке windows, но нам нужно обратить внимание на наши хосты. Поскольку компьютеры должны "выйти из своей собственной подсети", мы должны проверить, что IP-адрес шлюза по умолчанию в порядке и доступен. Хост А может достичь шлюза по умолчанию, поэтому мы, по крайней мере, знаем, что хост А работает нормально. Вот IP-конфигурация хоста B. Давайте проверим доступность шлюза по умолчанию! Здесь тоже все работает. Мы знаем, что компьютеры рабочие, потому что они знают, как выйти из своей собственной подсети, и шлюз по умолчанию доступен. Пора проверить коммутатор. Как мы видим, что хост А находится в VLAN 10 и хост B находится в VLAN 20. Мы не проверяли, включены ли интерфейсы, потому что мы можем пинговать IP-адреса шлюза по умолчанию. Это говорит о том, что fa0/1 и fa0/3 работают, но мы не знаем, к какой VLAN они принадлежат. Были сконфигурированы два интерфейса SVI. Это IP-адреса, которые компьютеры используют в качестве шлюза по умолчанию. Так почему же наш коммутатор не маршрутизирует трафик? Наличие IP-адресов на интерфейсах не означает автоматическую маршрутизацию трафика. Для этого нам потребуется таблица маршрутизации. Этот коммутатор не имеет SwitchA(config)#ip routing Давайте включим маршрутизацию на этом коммутаторе. Давайте сделаем так, чтобы это выглядело получше. Теперь коммутатор знает, куда перенаправлять IP-пакеты на этом коммутаторе. Вот так...теперь два компьютера могут достучаться друг до друга! Проблема решена! Урок 8 усвоен: если вы используете многоуровневый коммутатор для маршрутизации interVLAN, убедитесь, что интерфейсы SVI настроены правильно и что маршрутизация включена. Мы рассмотрели наиболее распространенные ошибки, которые могут произойти с нашими интерфейсами, VLAN, транками и проблемами маршрутизации при использовании многоуровневых коммутаторов. В следующей статье мы рассмотрим связующее дерево. Spanning-tree-довольно надежный протокол, но есть ряд вещей, которые могут пойти не так, как, вы ожидаете. Кроме того, из-за неправильной настройки могут произойти некоторые странные вещи...давайте рассмотрим траблшутинг STP в следующей статье.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59