К каким типам записей изначально обращается маршрутизатор

Обновлено: 21.11.2024

Для MRA через Cisco Expressway требуются следующие компоненты. Это минимальные требования, и для некоторых отдельных функций MRA требуются более поздние версии программного обеспечения, которые указаны, если применимо, в соответствующей части руководства.

Версии инфраструктурных продуктов

Старая аутентификация (LDAP)

Старая аутентификация с системой единого входа

OAuth с обновлением

Обновление OAuth с системой единого входа

CUCM IM и P (необязательно)

Cisco Unity Connection (дополнительно)

Система единого входа SAML для всего кластера: 11,5(1)

Единый вход на узел: OpenAM: 8.6(2) SAML SSO: 10.0(1)

Рекомендации и требования по настройке

IP-адреса

Назначьте отдельные IP-адреса для Expressway-C и Expressway-E. Не используйте общий адрес для обоих элементов, так как брандмауэр не может их различить.

Домен сети

Идеальным сценарием для MRA является наличие одного домена с разделенной конфигурацией DNS, и это рекомендуемый подход. Это не всегда возможно, поэтому есть и другие подходы к различным альтернативным сценариям.

Один домен с разделенным DNS — рекомендуется

Двойной домен без разделения DNS

Начиная с X12.5, Cisco Expressway Series поддерживает случай, когда клиенты MRA используют внешний домен для поиска записи SRV _collab-edge и _cisco-uds. Запись SRV для того же внешнего домена не может быть разрешена Expressway-C. Обычно это происходит, когда разделенный DNS недоступен для внешнего домена. А до X12.5 для этого требовался субдомен точного определения или какой-либо другой обходной путь DNS на Expressway-C, чтобы удовлетворить требования клиента для разрешения записи _cisco-uds.

Ограничение: этот случай не поддерживается для узлов Unified CM, идентифицируемых по IP-адресам, только для полных доменных имен.

Эта функция также поддерживает дополнительный случай для развертываний MRA, которые разрешают доступ к Jabber только через MRA, даже если пользователи работают локально. В этом случае требуется только один домен, и обычно записи DNS являются общедоступными (хотя это не требуется, если доступ MRA запрещен для пользователей, находящихся за пределами предприятия). Изменение в X12.5 означает, что нет необходимости иметь запись DNS SRV _cisco-uds._tcp., доступную для Cisco Expressway-C или клиентов Jabber.

Один домен без разделения DNS

Развертывания, требующие, чтобы клиенты Jabber всегда подключались через MRA, также выигрывают от обновления X12.5, которое больше не требует, чтобы Expressway-C разрешал запись DNS SRV _cisco-uds. Таким образом, администраторам нужно только настроить запись DNS SRV _collab-edge, а клиенты Jabber, использующие обнаружение служб, смогут подключаться только через MRA.

URL-адрес веб-прокси Cisco Meeting Server и домен MRA не могут совпадать

Если вы используете и службу CMS Web Proxy, и MRA на одной и той же скоростной автомагистрали, следующим элементам конфигурации должны быть назначены разные значения для каждой службы. Если вы попытаетесь использовать то же значение, служба, которая была настроена первой, будет работать, а другая не сработает:

Домен(а) MRA. Домены, настроенные на Expressway и включенные для регистрации Unified CM

URL-ссылка веб-прокси CMS. Определяется в параметре Expressway «URI клиента гостевой учетной записи» на странице Expressway > Конфигурация > Унифицированные коммуникации > Cisco Meeting Server.

Записи SRV

В этом разделе приведены общедоступные (внешние) и локальные (внутренние) требования к DNS для MRA. Дополнительные сведения см. в Руководстве по планированию Cisco Jabber для вашей версии на странице Руководства по установке и обновлению Jabber.

Общедоступный DNS (внешние домены)

Общедоступный внешний DNS должен быть настроен с использованием _collab-edge._tls. записей SRV, чтобы конечные точки могли обнаруживать Expressway-E для использования для мобильного и удаленного доступа. Вам также потребуются служебные записи SIP для общего развертывания (не специально для MRA).

Таблица 2. Пример: Кластер из 2 систем Expressway-E

Локальный DNS (внутренние домены)

Хотя мы рекомендуем настроить локальный внутренний DNS с помощью _cisco-uds._tcp. Записи SRV, начиная с версии X12.5, это больше не является требованием.

Начиная с версии X8.8, если вы используете службы обмена мгновенными сообщениями и присутствия через MRA (или любую федерацию XMPP, которая использует соединения XCP TLS между Expressway-C и Expressway-E), вы должны создавать прямые и обратные записи DNS для каждой Expressway. -Э система. Это сделано для того, чтобы системы Expressway-C, подключающиеся к ним по протоколу TLS, могли разрешать полные доменные имена Expressway-E и проверять сертификаты Expressway-E. Это требование влияет только на внутренний интерфейс на стороне локальной сети и не распространяется на внешний IP-интерфейс.

Создайте внутренние записи DNS для прямого и обратного поиска для всех узлов унифицированных коммуникаций, используемых с MRA.Это позволяет Expressway-C находить узлы, когда вместо полных доменных имен используются IP-адреса или имена хостов.

Убедитесь, что записи SRV cisco-uds НЕ разрешаются за пределами внутренней сети, иначе клиент Jabber не начнет согласование MRA через Expressway-E.

Конфигурация брандмауэра

Убедитесь, что в брандмауэрах настроены соответствующие порты между вашей внутренней сетью (где находится Expressway-C) и демилитаризованной зоной (где расположена Expressway-E), а также между DMZ и общедоступным Интернетом.

Для получения дополнительной информации см. Руководство по настройке использования IP-порта Cisco Expressway для вашей версии на странице руководств по настройке серии Cisco Expressway.

Не используйте общий адрес для Expressway-E и Expressway-C, так как брандмауэр не может их различить. Если вы используете статический NAT для IP-адресации на Expressway-E, убедитесь, что любая операция NAT на Expressway-C не разрешается в тот же IP-адрес трафика. Мы не поддерживаем общие адреса NAT между Expressway-E и Expressway-C.

Зона обхода на Expressway-C указывает на Expressway-E через поле Peer address в зоне обхода, в котором указан адрес сервера Expressway-E.

Для развертываний с двумя сетевыми адаптерами вы можете указать адрес Expressway-E, используя полное доменное имя, которое преобразуется в IP-адрес внутреннего интерфейса. С разделенным DNS вы можете при желании использовать то же полное доменное имя, которое доступно в общедоступном DNS. Если вы не используете разделенный DNS, вы должны использовать другое полное доменное имя.

Для одной сетевой карты со статическим NAT (такое развертывание НЕ рекомендуется) необходимо указать адрес Expressway-E, используя полное доменное имя, которое разрешается в общедоступный IP-адрес. Это также означает, что внешний брандмауэр должен разрешать трафик от Expressway-C к внешнему полному доменному имени Expressway-E. Это называется отражением NAT и может поддерживаться не всеми типами брандмауэров.

Для получения дополнительной информации см. приложение "Расширенные сетевые развертывания" в Руководстве по развертыванию базовой конфигурации Expressway (Expressway-C с Expressway-E)

Ограничения пропускной способности

Максимальная скорость передачи данных сеанса для видеовызовов в регионе по умолчанию в Cisco Unified Communications Manager по умолчанию составляет 384 кбит/с. Пропускная способность вызовов по умолчанию на Expressway-C также по умолчанию составляет 384 кбит/с. Эти настройки могут быть слишком низкими для обеспечения ожидаемого качества видео для устройств, подключенных к MRA.

Служба обмена мгновенными сообщениями и присутствия

Если вы используете сервер IM&P более ранней версии, чем 11.5(1)SU3, убедитесь, что минимальная версия TLS для службы XMPP — 1.0 (в более новых установках Expressway по умолчанию используется TLS 1.2). Инструкции по настройке версий TLS и наборов шифров приведены в Руководстве администратора Expressway.

Убедитесь, что веб-служба Cisco AXL активна на издателях службы обмена мгновенными сообщениями и службы присутствия, которая обнаруживает другие узлы службы обмена мгновенными сообщениями и службы присутствия для удаленного доступа. Чтобы проверить это, выберите приложение Cisco Unified Serviceability и перейдите в Инструменты > Активация службы.

Если вы развертываете Mobile и Remote Access с несколькими кластерами службы обмена мгновенными сообщениями и Presence Service, вы должны настроить межкластерные одноранговые связи между кластерами, а агент межкластерной синхронизации (ICSA) должен быть активен на всех кластерах. Это гарантирует, что пользовательская база данных реплицируется между кластерами, что позволяет Expressway-C правильно направлять трафик XMPP.

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

DevOps, NetOps и NetSecOps. о боже! У этих ИТ-концепций есть свои отличия, но, в конце концов, они — одна семья. .

Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

Проект по внедрению программных роботов в голландском подразделении Teleperformance принят во всем мире

Объединение возможностей глобальной компании, предоставляющей технологические услуги, и поставщика технологий в области управления энергопотреблением и автоматизации направлено на создание .

Почти пятая часть компаний просят сотрудников вернуться в офис на полный рабочий день, так как в новых рабочих местах есть тихие зоны, Zoom.

Маршрутизаторы играют ключевую роль в любой сети. Если вы похожи на большинство сетевых инженеров, вы обычно проводите большую часть времени, работая с маршрутизаторами (в отличие от других сетевых устройств). В небольших сетях маршрутизаторы могут быть даже единственными устройствами, управляющими трафиком. Журналы маршрутизатора могут многое рассказать о вашей сети. В этом посте мы рассмотрим, как эффективно анализировать журналы маршрутизатора.

Маршрутизаторы: что это вообще такое?

Проще говоря, маршрутизатор — это сетевое устройство, управляющее сетевым трафиком. Он может пересылать пакеты с одного компьютера на другой и из одной сети в другую.

Хотя это звучит относительно просто, маршрутизаторы выполняют большую часть работы в сети, а иногда даже могут выполнять работу других устройств (например, коммутатора или брандмауэра). Таким образом, если у вас возникнут какие-либо проблемы с маршрутизатором, вы, вероятно, полностью потеряете связь между устройствами в вашей сети и Интернетом. Крайне важно как можно скорее выявлять и устранять проблемы, связанные с маршрутизатором.

Даже если проблема связана с другим устройством, поскольку маршрутизаторы играют центральную роль в сети, анализ журналов маршрутизаторов может помочь вам обнаружить проблему. А поскольку любое соединение в конечном итоге должно пройти через маршрутизатор, управление журналами маршрутизатора также помогает в криминалистическом анализе безопасности. Но со всем этим трафиком объем событий может быть ошеломляющим, и ими трудно управлять вручную. Выявить аномалии в объемах обычного трафика сложно.

Что могут рассказать журналы маршрутизатора

Всякий раз, когда вы сталкиваетесь с проблемами сети, вы, вероятно, можете найти причину в журналах маршрутизатора. В большинстве случаев вы обнаружите, что проблема связана с простой ошибкой конфигурации. Давайте рассмотрим несколько примеров:

  • Списки разрешений/запретов. Списки разрешений/запретов — это популярные механизмы, подобные брандмауэрам, встроенные в большинство маршрутизаторов, которые позволяют просто разрешать или запрещать трафик в зависимости от источника или получателя пакета. Например, возможно, вы забыли добавить в список новый IP-адрес. К сожалению, обнаружить это на зараженном компьютере может быть сложно (потому что может быть много причин, по которым соединение не работает). Однако просмотр журналов маршрутизатора может помочь вам определить, не был ли заблокирован конкретный компьютер, потому что его IP-адрес не указан в списке разрешенных маршрутизатора.
  • Фильтрация/правила на основе протокола. Многие маршрутизаторы также фильтруют трафик или применяют к нему специальные правила на основе протокола трафика. Например, обычной практикой безопасности является блокировка трафика ICMP. Но также обычной практикой является использование инструмента ping для проверки соединений. Если маршрутизатор блокирует ICMP-трафик, команда ping не будет выполнена, что может ввести вас в заблуждение, полагая, что система, которую вы пытаетесь протестировать, недоступна.
  • Защита ARP. Протокол разрешения адресов (ARP), который отвечает за сопоставление аппаратных адресов с IP-адресами, имеет решающее значение для правильной работы любой сети. К сожалению, поскольку ARP допускает спонтанный ответ, существуют атаки с подменой ARP. Некоторые маршрутизаторы реализуют различные механизмы для предотвращения этой формы атаки. Иногда эти механизмы также блокируют законные запросы. Опять же, лучше всего проанализировать журналы, чтобы увидеть, есть ли сообщение о срабатывании механизма защиты ARP
  • Соединение отклонено. Мы рассмотрели несколько примеров выше, но существует множество других причин, по которым соединения могут быть отклонены. Некоторые маршрутизаторы имеют больше встроенных механизмов безопасности по умолчанию, чем другие. Всякий раз, когда ваше соединение неправильно маршрутизируется, вы должны увидеть причину в журналах маршрутизатора.

Журналы доступа

Журналы трафика, проходящего через маршрутизатор, — это не единственные журналы, которые вы должны отслеживать. Вы также должны посмотреть на активность доступа самого маршрутизатора, особенно если вы подозреваете проблему с безопасностью. Антивирусное программное обеспечение и брандмауэры могут защитить вас от вредоносных программ и фишинга, но если кто-то получит доступ к вашему маршрутизатору, ущерб может быть нанесен всей компании или сети.

Для начала вам следует отслеживать успешные и неудачные попытки входа в систему. Почему вы также должны отслеживать успешные попытки?Потому что, если кто-то входит в систему в 3 часа ночи, когда вы уверены, что вы и ваша команда не в сети, это может означать, что неавторизованный пользователь получил ваши учетные данные. И вы должны отслеживать неудачные попытки по понятным причинам. Одна или две неудачные попытки могут означать, что кто-то просто забыл свой пароль или сделал опечатку. Но если вы видите больше неудачных попыток в течение более длительного периода времени, это может означать, что кто-то пытается угадать (или выполняет атаку грубой силы, чтобы обойти) учетные данные.

Вы также должны отслеживать попытки доступа, связанные с другими службами. Чем более многофункциональным является маршрутизатор, тем больше дополнительных услуг он предоставляет. Некоторые маршрутизаторы могут разрешать доступ по SSH, Telnet или VPN. Если вы не пользуетесь этими дополнительными услугами, о них можно легко забыть. Анализ всех возможных журналов доступа дает четкое представление о том, безопасен ли ваш маршрутизатор или он был взломан.

Простое управление журналом. (Это вещь.)

Как эффективно анализировать журналы маршрутизатора

Мы рассмотрели важность анализа журналов маршрутизатора. Теперь давайте обсудим, как это сделать эффективно.

Даже в небольших средах маршрутизаторы могут создавать огромное количество сообщений о событиях. Однако около 80% сообщений о событиях создаются с помощью обычного трафика. Например, создание нового соединения с одной машины на другую может привести к созданию большего количества журналов за одну секунду, чем вы сможете отследить. Таким образом, сбор и централизация сообщений журнала является ключевым моментом.

Агрегация журналов

В небольших сетях может быть только один маршрутизатор. Но в большинстве случаев из соображений высокой доступности и масштабируемости используется несколько маршрутизаторов, а это означает, что потребуется найти и проанализировать несколько наборов журналов. Чтобы сделать это еще более сложным, некоторые маршрутизаторы требуют специального программного обеспечения или доступны только из определенного сегмента сети. Вся эта сложность может усложнить устранение неполадок. Лучший способ обойти это — объединить журналы, чтобы вы могли легко анализировать и искать журналы, когда они вам нужны. Одна из возможностей — использовать системный журнал для отправки всех журналов с маршрутизаторов и других устройств в централизованный инструмент управления журналами. Это решает проблемы поиска разбросанных по вашей среде. Облачный инструмент агрегации журналов также хорошо масштабируется и может адаптироваться к внезапным всплескам объемов журналов, которые часто возникают при возникновении проблем. Этот подход также открывает новые возможности, которые мы рассмотрим далее.

Поиск в централизованных журналах

Объединение журналов с маршрутизаторов в одном месте позволяет лучше понять, что происходит в вашей сети. Однако централизация сама по себе является лишь частью решения. Еще нужно знать, что искать. Вот несколько советов, как сделать этот процесс более эффективным:

  • Ключевые события. Представьте, что вы забыли добавить IP-адрес в белый список маршрутизатора. С точки зрения маршрутизатора он автоматически блокирует трафик с этого IP-адреса. Вы не можете просто искать ошибки. Вам нужно сосредоточиться на ключевых событиях и искать эти конкретные события. Например, если есть проблема с ICMP-трафиком, вам нужно сначала отфильтровать журналы для ICMP-трафика, а затем выбрать период времени, соответствующий моменту возникновения проблемы. Или, если есть проблема на одном конкретном хосте, вы можете отфильтровать журналы по IP-адресу или MAC-адресу хоста.
  • Повторяющиеся поисковые запросы. Если вы заметили, что выполняете одни и те же поисковые запросы несколько раз, вы можете упростить поиск и устранение неполадок, сохранив поисковые запросы. Это позволит вам создать список наиболее распространенных поисковых запросов, присвоить им соответствующие имена и использовать эти пользовательские поисковые запросы для ускорения всего процесса отладки.
  • Упреждающие оповещения. Чтобы развить идею создания списка сохраненных поисковых запросов, если вы часто ищете события одного и того же типа, вы можете рассмотреть возможность превращения поиска в оповещение. Это избавляет вас от необходимости каждый раз выполнять один и тот же поиск и помогает быстро выявлять проблемы. Слишком много неудачных попыток входа? Тревога! Слишком много обновлений ARP? Внимание!

Выберите правильный инструмент управления журналом

Централизованное ведение журналов — отличный способ проанализировать журналы маршрутизатора и сократить время, затрачиваемое на устранение неполадок. Вы также можете ускорить устранение неполадок, сохранив результаты поиска и настроив упреждающие оповещения. Однако эти возможности сильно различаются в разных инструментах управления журналами. Поэтому важно также выбрать хороший инструмент управления журналами. Как определить, какой инструмент лучше?

Прежде всего, хороший инструмент управления журналами должен позволять объединять все ваши журналы — не только сетевые журналы, но и журналы приложений, служб и платформ. Например, SolarWinds® Papertrail™ объединяет журналы из большинства источников.

Агрегация журналов экономит ваше время, избавляя от необходимости искать журналы в разных системах, и позволяет централизованно искать журналы, чтобы просматривать события в контексте устройств, приложений и служб.Хороший инструмент журнала, такой как Papertrail, также предлагает функцию «живого хвоста», позволяющую просматривать сообщения о событиях по мере их записи в журнал. Эта возможность позволит вам устранять неполадки в режиме реального времени и поможет вам быстрее выявлять проблемы.

Интерактивная визуализация объема событий может быть полезна при попытке определить, когда и где возникла проблема. Используя типы диаграмм, вы можете быстро увидеть, когда объем событий начал увеличиваться, и определить тенденции. Это отлично подходит для быстрого сосредоточения усилий по устранению неполадок и понимания масштаба затронутых систем.

Нельзя пренебрегать важностью анализа журналов маршрутизатора, равно как и наличием хорошего инструмента для этой цели. Надеюсь, теперь вы знаете, как обращаться с журналами маршрутизатора и как выбрать лучший инструмент для работы.

Этот пост был написан Дэвидом Зиолковски. Дэвид имеет 10-летний опыт работы в качестве сетевого/системного инженера в начале, DevOps в промежутках между ними, а в последнее время — инженера по облачным технологиям. Он работал в ИТ-аутсорсинговой компании, исследовательском институте, телекоммуникационной компании, хостинговой компании и консалтинговой компании, так что он накопил много знаний с разных точек зрения. В настоящее время он помогает компаниям переходить на облачные технологии и/или перепроектировать их инфраструктуру, чтобы в большей степени использовать облачный подход.

Правильная настройка коммутатора Cisco означает, что ваша сеть может эффективно устанавливать соединения. В этом пошаговом руководстве мы рассмотрим настройку коммутаторов Cisco и рассмотрим некоторые часто задаваемые вопросы.

Когда мы думаем о соединении в сети, маршрутизатор, вероятно, является первым устройством, которое приходит на ум, но коммутаторы играют жизненно важную роль в обеспечении связи сетевых устройств.

Коммутаторы могут принимать входящий/исходящий трафик и направлять его к конечному пункту назначения. Cisco — один из самых известных поставщиков коммутаторов на рынке, и в этой статье мы рассмотрим, как настроить коммутаторы Cisco с помощью PuTTY и из командной строки.

Начало работы с командами коммутатора Cisco

Прежде чем мы начнем, узнайте, какое оборудование вы используете, запустите интерфейс командной строки и загрузите PuTTY.

Первый шаг — проверить, какое оборудование вы используете, прежде чем приступить к работе. Если вы используете коммутатор Cisco, вам необходимо знать, какая у вас модель. Вы также хотите проверить физическое состояние устройства и убедиться, что ни один из кабелей не поврежден. Вы можете включить маршрутизатор, чтобы убедиться, что освещение/индикаторы не повреждены.

Теперь, когда вы убедились, что устройство находится в рабочем состоянии, вы готовы приступить к настройке. В этом руководстве мы собираемся выполнить настройку коммутатора Cisco через интерфейс командной строки (CLI) с помощью клиента SSH/Telnet с открытым исходным кодом PuTTY (хотя вы можете использовать другой инструмент, если хотите). Если по какой-либо причине putty не подходит для вашей установки, вы можете получить аналогичные результаты с помощью альтернативы PuTTY.

1. Подключите коммутатор к PuTTY

Чтобы начать настройку, вы хотите подключить консоль коммутатора к PuTTY. Вы можете сделать это, выполнив следующие действия:

  1. Подключите коммутатор к PuTTY с помощью 9-контактного последовательного кабеля.
  2. Теперь откройте PuTTY, и появится окно конфигурации PuTTY. Перейдите к настройкам типа подключения и установите флажок «Последовательный» (показан ниже).
  3. Перейдите в раздел "Список категорий" слева и выберите параметр "Серийный номер".
  4. Когда отобразится страница параметров управления локальными последовательными линиями, введите COM-порт, к которому подключена ваша сеть, в поле Последовательная линия для подключения, например. COM1.
  5. Затем введите скорость цифровой передачи вашей модели коммутатора. Для управляемых коммутаторов серий 300 и 500 это 115 200.
  6. Перейдите к полю Биты данных и введите 8.
  7. Теперь перейдите в поле Stops bits и введите 1.
  8. Нажмите раскрывающееся меню "Четность" и выберите параметр "Нет".
  9. Перейдите в раскрывающееся меню "Управление потоком" и выберите параметр "Нет".

    10. Сохраните настройки и запустите интерфейс командной строки PuTTY

    Чтобы сохранить настройки PuTTY для следующего сеанса, выполните следующие действия:

    1. Выберите параметр «Сеанс» в списке «Категория» в левой части страницы.
    2. Перейдите в поле «Сохраненный сеанс» и введите имя для своих настроек, например Сравните.
    3. Нажмите кнопку "Сохранить", чтобы сохранить настройки.
    4. Нажмите кнопку "Открыть" в нижней части страницы, чтобы запустить интерфейс командной строки.

      5. В командной строке появится следующее сообщение:

      2. Войдите в привилегированный режим EXEC и задайте имя хоста для коммутатора

      Введите команду enable, чтобы войти в привилегированный режим EXEC (вам не нужен пароль на этом этапе, потому что вы находитесь в конфигурациях по умолчанию, в которых его нет!):

      Затем войдите в режим глобальной конфигурации и введите следующую команду:

      Вы можете упростить поиск коммутатора в сети, назначив ему имя хоста. Введите следующую команду, чтобы назначить имя хоста:

      3. Назначение пароля коммутатору

      После того, как вы назначите имя хоста, вы захотите создать пароль, чтобы контролировать, кто имеет доступ к привилегированному режиму EXEC (чтобы никто не мог войти в систему). Для назначения пароля администратора введите следующую команду:

      Не забудьте выбрать надежный пароль, чтобы его было сложнее подобрать.

      4. Настройте пароли Telnet и доступа к консоли

      Следующим шагом является настройка паролей для Telnet и доступа к консоли. Настройка паролей для них важна, потому что это делает ваш коммутатор более безопасным. Если кто-то без авторизации получит доступ через telnet, это подвергнет вашу сеть серьезному риску. Вы можете настроить пароли, введя следующие строки (см. верхний абзац для Telnet и нижний абзац для доступа к консоли).

      Телнет

      Консоль

      5. Настройка IP-адресов с доступом через Telnet

      Следующий шаг — решить, какие IP-адреса будут иметь доступ к Telnet, и добавить их с помощью интерфейса командной строки PuTTY. Чтобы выбрать разрешенные IP-адреса, введите следующую команду (замените перечисленные IP-адреса на IP-адреса компонентов, которым вы хотите предоставить разрешение):

      Вы также можете настроить списки управления доступом (ACL) вашей сети к линиям виртуального терминала (VTY). ACL гарантируют, что только администратор может подключиться к маршрутизатору через Telnet.

      6. Настройте IP-адрес управления сетью (или интерфейс управления)

      Далее вам нужно настроить IP-адрес управления сетью. Коммутаторы по умолчанию не имеют IP-адреса, а это означает, что вы не можете подключиться к ним с помощью Telnet или SSH. Чтобы решить эту проблему, вы можете выбрать виртуальную локальную сеть (VLAN) на коммутаторе и создать виртуальный интерфейс с IP-адресом. Вы можете сделать это, введя следующую команду:

      Новый IP-адрес управления находится в сети VLAN1, которую теперь будут использовать для подключения другие компьютеры.

      7. Назначьте коммутатору шлюз по умолчанию

      На этом этапе вы хотите назначить коммутатору шлюз по умолчанию. Шлюз по умолчанию — это, по сути, адрес маршрутизатора, с которым коммутатор будет обмениваться данными. Если вы не настроите шлюз по умолчанию, VLAN1 не сможет отправлять трафик в другую сеть. Чтобы назначить шлюз по умолчанию, введите команду ниже (измените IP-адрес на IP-адрес вашего маршрутизатора).

      8. Отключить неиспользуемые открытые порты

      Рекомендуется отключить все неиспользуемые открытые порты на коммутаторе. Киберпреступники часто используют незащищенные порты для взлома сети. Закрытие этих портов уменьшает количество точек входа в вашу сеть и делает ваш коммутатор более безопасным. Введите диапазон портов, которые вы хотите закрыть, введя следующую команду (вы должны изменить 0/25-48 на порты, которые вы хотите закрыть):

      9. Сохраните настройки конфигурации системы

      После того как вы закончили настройку маршрутизатора, пришло время сохранить конфигурацию вашей системы. Сохранение конфигурации гарантирует, что ваши настройки останутся прежними, когда вы откроете следующую сессию. Для сохранения введите следующую команду:

      Всегда не забывайте сохранять любые изменения настроек перед закрытием интерфейса командной строки.

      10. Настройте NetFlow для управления коммутатором Cisco (необязательно)

      Также рекомендуется использовать анализатор сетевого трафика для мониторинга сетевого трафика. Как устройство Cisco, ваш коммутатор будет использовать протокол связи NetFlow. Однако сначала его необходимо настроить. Вы можете настроить NetFlow, выполнив четыре шага ниже. Прежде чем мы начнем, войдите в режим глобальной конфигурации, выполнив следующую команду:

      Создать запись потока

      1. Первый шаг — создать запись потока (имя можно изменить). Вы можете сделать это, введя следующую команду:
      2. После того, как вы ввели предыдущую команду, вам необходимо установить адрес источника IPv4, адрес назначения IPv4, протокол iPv4, транспортный порт источника, транспортный порт назначения, IPv4 dos, интерфейс ввода и вывода интерфейса. Вы можете сделать это, введя следующую команду:
      3. Чтобы завершить настройку записи потока и определить тип данных, которые вы собираетесь собирать, введите следующие команды настройки коммутатора:

      Создайте средство экспорта потоков

      1. Теперь вы должны создать средство экспорта потоков для хранения информации, которую вы хотите экспортировать во внешний сетевой анализатор. Первым шагом является присвоение имени экспортеру потока:
      2. Введите IP-адрес сервера, на котором находится ваш сетевой анализатор (измените IP-адрес):
      3. Настройте интерфейс, через который вы хотите экспортировать пакеты:
      4. Настройте порт, который программный агент будет использовать для прослушивания сетевых пакетов:
      5. Установите тип данных протокола, которые вы собираетесь экспортировать, введя эту команду:
      6. Чтобы убедиться в отсутствии пропусков при отправке данных потока, введите следующую команду:

      Создать монитор потока

      Эти действия позволят создать статический IP-адрес, который можно проверить, перейдя из главного меню в пункт Конфигурация IP > Интерфейс IPv4.

      Нужно ли настраивать коммутатор Cisco, прежде чем он начнет работать?

      Нет. Типичный коммутатор Cisco готов к работе «из коробки». Однако вы можете изменить некоторые параметры, чтобы настроить его работу.

      Читайте также: