По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Умение настраивать VLAN (Virtual Local Area Network) или виртуальные локальные сети - одно из самых базовых умений, которым должен обладать системный администратор. Сегментирование сети с помощью VLAN-ов строго необходимо для PCI, HIPAA и прочих стандартов безопасности, и, кроме того, это помогает сохранять “чистоту” и порядок в больших сетях. Настройка VLAN-ов на маршрутизаторах MikroTik не является сложной задачей, подробнее о шагах настройки вы можете прочесть ниже.
Дизайн VLAN в организации
Первым шагом в сегментировании сети должен быть не настройка маршрутизатора, а понимание будущей схемы в целом - предпочтительно нарисовать схему на листе бумаги, использовать ПО наподобие Microsoft Visio и т.д. К тому же, если ваша сеть должна соответствовать стандартам безопасности, которые были перечислены выше, то практически не нужно ничего придумывать - в описании стандартов есть подробные инструкции что и как должно быть сегментировано. Однако, чаще всего, сегментирование происходит для общей оптимизации сети - и тут необходимо будет что-то придумать самому. На наш взгляд, проще всего отразить структуру организации в схеме VLAN-ов. Каждый департамент должен находится в собственном VLAN-е, т.к каждый департамент обладает своими собственными уникальными функциями, и, скорее всего, различными правами доступа. Также в отдельные VLAN-ы необходимо поместить сервера и дисковые хранилища.
Для серверов и хранилищ рекомендуется использовать отдельные коммутаторы, но, для маленьких компаний это часто невозможно из-за лимитированного бюджета.
К тому же, с помощью таких инструментов как Torch или NetFlow можно будет контролировать и мониторить трафик каждого департамента. Гостевая сеть также должна быть помещена в отдельный VLAN, который будет полностью изолирован от внутренней сети. Беспроводные сети также должны находится в своем VLAN, таким образом весь трафик мессенджеров, обновлений мобильных приложений и т.д будет полностью отделен от основной сети.
Транковые протоколы VLAN
В нашем сценарии у нас есть только один роутер, и создадим VLAN-ы для HR (192.168.105.0/24), бухгалтерии (192.168.155.0/24) и гостевую сеть (192.168.1.175.0/24). Если у вас получится создать три VLAN-а, то, очевидно, получится создать и сто - в нашем примере мы описываем создание только трех VLAN-ов для простоты и прозрачности примера. IP-адреса для каждого VLAN-а также были выбраны случайным образом - для вашей организации, скорее всего, адресация будет иной. В нашем случае, маршрутизатор подключен к коммутатору по интерфейсу ether2, с 802.1q транком между ними - эта схема также известна под именем “роутер на палке” (router on a stick). Мы не будем углубляться в детали касаемо свитча - это может быть Cisco, HP и т.д - потому что 802.1q транки одинаковы практически на всех платформах - если у вас какой-нибудь необычный свитч, то вам стоит просто обратиться к документации и прочесть, как выполняется конфигурация транкового порта. Наш маршрутизатор также обладает подключением к WAN на порту ether1 - все пользователи в VLAN-ах будут использовать его для доступа к интернету.
Создание VLAN-ов на MikroTik
Сперва необходимо создать VLAN-ы на маршрутизаторе и назначить их на интерфейс ether2. После этого, интерфейс ether2 будет автоматически настроен как 802.1q транк и не будет доступен для трафика без тэгов, что означает, что до конца настройки этот линк будет “лежать” - поэтому строго рекомендуется выполнять эти действия во в нерабочее время.
/interface vlan
add comment="HR" interface=ether2 name="VLAN 105 - HR" vlan-id=105
add comment="Accounting" interface=ether2 name="VLAN 155 - Accounting" vlan-id=155
add comment="Guests" interface=ether2 name="VLAN 180 - Guests" vlan-id=180
Крайне рекомендуется всегда давать понятные имена интерфейсам и писать комментарии - в дальнейшем это может сильно облегчить администрирование сети и обучение новых системных администраторов. Как мы упомянули выше, создание VLAN-ов и назначение их на физический порт ether2 автоматически изменит тип инкапсуляции на 802.1q, но вы нигде этого не увидите - даже если выведете всю информацию об интерфейсе.
Назначаем IP-адреса
Далее, необходимо назначить сетевые адреса, чтобы VLAN интерфейсы могли работать как шлюзы:
/ip address
add address=192.168.105.1/24 comment="HR Gateway" interface="VLAN 105 - HR"
add address=192.168.155.1/24 comment="Accounting Gateway" interface="VLAN 155 - Accounting"
add address=192.168.180.1/24 comment="Guests Gateway" interface="VLAN 180 - Guests"
На всякий случай, еще раз обращу ваше внимание на то, как важно комментировать интерфейсы для удобства в дальнейшем. На данном моменте у нас уже настроены VLAN-ы и у них назначены сетевые адреса. Если у вас не используется DHCP, а используется статическая адресация - на этом настройка VLAN в общем-то закончена. Следующим шагом (этот шаг, соответственно, опционален) является настройка DHCP на VLAN интерфейсах, для того чтобы клиенты внутри каждого VLAN могли автоматически получить динамический IP-адрес.
DHCP для VLAN
Для начала, необходимо установить адресные пулы для каждого из VLAN-ов:
/ip pool
add name=HR ranges=192.168.105.2-192.168.105.254
add name=Accounting ranges=192.168.155.2-192.168.155.254
add name=Guests ranges=192.168.180.2-192.168.180.254
Далее, настраиваем DHCP с опциями для DNS и шлюзов:
/ip dhcp-server network
add address=192.168.105.0/24 comment="HR Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.105.1
add address=192.168.155.0/24 comment="Accounting Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.155.1
add address=192.168.180.0/24 comment="Guest Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.180.1
В данном случае мы используем DNS сервис от Google.
Далее, добавляем ранее настроенные пулы на VLAN интерфейсы:
/ip dhcp-server
add address-pool=HR disabled=no interface="VLAN 105 - HR" name=HR
add address-pool=Accounting disabled=no interface="VLAN 155 - Accounting" name=Accounting
add address-pool=Guests disabled=no interface="VLAN 180 - Guests" name=Guests
Адресные пулы соответствуют настроенным сетям, и именно такие DHCP опции как шлюз и DNS присваиваются конкретной DHCP инстанции. Смысл присвоения DHCP для каждого VLAN в том, чтобы у вас была возможность контролировать сроки выдачи адреса (lease times), опции и т.д для каждого сегмента сети, что дает большой простор для оптимизации и контроля DHCP в вашей организации.
Настройка VLAN на коммутаторе
На данном этапе настройки вам необходимо будет назначить порты доступа на ваших свитчах на конкретные VLAN-ы, и клиенты, которые будут подключены к этим портам будут находится в их VLAN и получать соответствующие IP-адреса по DHCP. Теперь уже вам решать, какие VLAN будут полностью изолированы друг от друга, а какие смогут “общаться” - осталось только настроить соответствующие правила на фаерволле. Как правило, мы разрешаем доступ только абсолютно необходимого трафика в VLAN - если разрешить весь трафик, тогда теряется смысл сегментирования.
Всем привет! Сегодня в статье рассмотрим установку MySQL Server на CentOS 7. MySQL – популярная реляционная СУБД с открытым кодом, и, её популярность означает огромное количество информации в интернете и большое количество хорошо документированных библиотек. MySQL поддерживает множество стандартных функций, присущих СУБД – репликацию, триггеры и прочие.
В большинстве дистрибутивов по умолчанию присутствуют репозитории, в которых есть нужный нам пакет MySQL – однако, на примере CentOS 7 Minimal я хотел бы показать процесс добавления официального YUM репозитория от Oracle, в котором всегда доступна последняя версия.
Процесс установки
Предварительно нам необходимо установить wget чтобы скачивать файлы – для этого выполните команду yum install wget.
Далее, для начала процесса установки необходимо зайти на сайт MySQL по следующему линку: http://dev.mysql.com/downloads/repo/yum/ , выбрать необходимый дистрибутив (в нашем случае - Red Hat Enterprise Linux 7 / Oracle Linux 7) и нажать Download. Ссылка для скачивания может быть получена без регистрации, для этого нужно найти слова «No thanks, just start my download»
Скопируем адрес ссылки и выполним команду wget с этим адресом:
wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
Без каких-либо модификаторов команда wget скачает файл в каталог, в котором вы находитесь в данный момент, далее необходимо выполнить команду rpm –Uvh mysql57-community-release-el7-11.noarch.rpm - для более простого ввода имени пакета воспользуйтесь табуляцией (нажать Tab).
Теперь подключен официальный репозиторий Oracle, настала очередь установки непосредственно самого MySQL сервера:
yum –y install mysql-community-server
Процесс скачивания и установки пакета займёт какое-то время.
Далее необходимо разрешить автозапуск демона MySQL при загрузке:
/usr/bin/systemctl enable mysqld
И запустить сам MySQL сервер:
/usr/bin/systemctl start mysqld
Настройка безопасности
После старта сервера, необходимо настроить политики безопасности – для этого служит скрипт mysql_secure_installation - но предварительно нам понадобится случайно сгенерированный пароль для root – его можно выяснить с помощью команды grep 'temporary password' /var/log/mysqld.log. Пример на скриншоте ниже:
Далее нужно ввести команду /usr/bin/mysql_secure_installation и вам будет предложено ввести данный пароль на рут, поменять его на нечто вроде E+FW4tz8$?/7$dCm и ответить на несколько вопросов:
Set root password? [Y/n] Y - установка пароля на root;
Remove anonymous users? [Y/n] Y - удаление анонимных пользователей;
Disallow root login remotely? [Y/n] Y - запрет удаленного логина;
Remove test database and access to it? [Y/n] Y - удаление тестовых баз данных и доступа к ним;
Reload privilege tables now? [Y/n] Y - перезагрузка привилегированных таблиц;
Очень советую пароль придумать максимально сложный – кроме того, по дефолту, у вас не получится поставить простой пароль.
Создание тестовой базы данных и манипуляции с пользователями
Когда вам понадобится дать доступ какому-нибудь приложению доступ к вашей БД, ни в коем случае нельзя этого делать от пользователя root – для каждого приложения должен быть создан свой пользователь. Для создания, сначала необходимо зайти в MySQL от имени администратора с помощью команды mysql -u root -p mysql . Далее я приведу пример создания БД testdb и открытия полного доступа к этой БД для пользователя testuser (имя пользователя и пароль соответственно необходимо скорректировать относительно вашей непосредственной задачи):
create database testdb;
grant all on appdb.* to 'testuser'@'localhost' identified by 'password';
quit
Для проверки доступа нужно использовать команду mysql -u testuser -p -h localhost testdb , а для выводы всех имеющихся БД – команду SHOW DATABASES;
Рассмотрим пример создания пользователя для MySQL и просмотра списка всех пользователей. MySQL содержит информацию о пользователях в своей собственной базе данных под названием mysql, внутри которой информация о пользователях находится в виде таблицы под названием user. Если вы хотите вывести весь список пользователей, то необходимо выполнить следующую команду:
SELECT User, Host, Password FROM mysql.user;
Это стандартный MySQL синтаксис. Давайте разберемся с ним:
SELECT - запрос информации;
User, Host, Password - конкретизация полей, из которых информация должна быть извлечена. В данном случае мы ищем информацию о пользователе, хостнейме и зашифрованном пароле;
FROM mysql.user - запрашиваем информацию мы из БД mysql и таблицы user;
; - точка с запятой означают конец команды, в MySQL все запросы должны кончаться точкой с запятой;
В данной статье речь пойдёт о способах и алгоритмах настройки VoIP шлюза для осуществления звонков с офисных телефонных аппаратов, имеющихся в офисе, через сеть IP.
В настоящее время подавляющее большинство современных компаний имеют телефонную связь. Какие-то компании уже открыли для себя преимущества, открывающиеся благодаря VoIP телефонии, каким-то только предстоит это сделать. Очень распространена ситуация, когда в компании уже имеются средства традиционной (аналоговой или цифровой) телефонной связи и переоснащение всего офиса новыми IP телефонами получается довольно дорогостоящим. В таких ситуациях на помощь приходят межсетевые VoIP шлюзы.
Межсетевой шлюз VoIP – это устройство предназначенное для сопряжения сетей традиционной телефонии с пакетной сетью передачи данных, в качестве которой выступает Интернет. Такое сопряжение достигается благодаря аппаратным и программным возможностям шлюзов, а именно преобразованием трафика из одного типа сетей в другой. Аппаратное исполнение VoIP шлюза различается по типу телефонного стыка, на цифровые (E1/T1, ISDN) и аналоговые (FXO, FXS).
Организовать телефонную связь через голосовой шлюз предлагают провайдеры IP телефонии, которые предоставляют услуги связи по протоколу SIP через сеть Интернет.
При такой схеме реализации создаётся, так называемый, SIP - транк (trunk), являющийся по сути телефонной линией, которая устанавливается через сеть Интернет по средствам протокола SIP. SIP провайдер, при помощи данного протокола, даёт компании - клиенту множество голосовых каналов.
После заключения договора с оператором VoIP, остаётся только настроить голосовой шлюз, это является основной и самой объёмной работой на пути к обеспечению компании качественной IP телефонией.
Рассмотрим настройку подключения аналогового телефона к пакетной сети на простейшем примере, когда в офисе имеется всего один аналоговый телефонный аппарат и голосовой шлюз компании AddPac. По командной консоли устройства AddPac очень напоминают Cisco, поэтому, конфигурация приведённая ниже отлично подойдёт для понимания процесса настройки.
Сперва следует настройка сетевых параметров шлюза и маршрутизации.
Gateway# configure terminal
Gateway(config)#interface FastEthernet 0/0
Gateway(config-if)# ip address 192.168.0.11 255.255.255.0
Gateway(config-if)# exit
Gateway(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.1
Далее настройка диал-пиров (dial-peer) и маршрутов. Диал-пиры определяют параметры, направление и участников соединения. В нашем случае, необходимо настраивать диал-пиры в два направления, в сторону аналогового порта и в сторону SIP провайдера.
Диал-пир в сторону аналогового порта:
Gateway(config)# dial-peer voice 0 pots
Gateway(config-dialpeer-pots-0)#destination-pattern [ID, выданный SIP провайдером]
Gateway(config-dialpeer-pots-0)#port 0/0
Gateway(config-dialpeer-pots-0)#exit
Gateway(config)# dial-peer voice 1 pots
Gateway(config-dialpeer-pots-1)#destination-pattern [ID, выданный SIP провайдером]
Gateway (config-dialpeer-pots-1)#port 1/0
Gateway(config-dialpeer-pots-1)#exit
Создание диал-пира в сторону SIP провайдера:
Gateway(config)#dial-peer voice 100 VoIP
Gateway(config-dialpeer-VoIP-100)#destination-pattern T
Данная команда означает что этот dial-peer будет соответствовать любому номеру
Gateway(config-dialpeer-VoIP-100)#session target sip-server
Команда, указывающая адрес SIP-сервера.
Gateway(config-dialpeer-VoIP-100)#session protocol sip
Команда, указывающая шлюзу по какому протоколу устанавливать соединение, в данном случае SIP
Gateway(config-dialpeer-VoIP-100)#voice-class codec 0
Настройка приоритизации используемых кодеков
Gateway(config-vclass-codec#0)# codec preference 1 g711alaw
Gateway(config-vclass-codec#0)# codec preference 2 g729
Gateway(config-dialpeer-VoIP-100)# no vad
Команда, включающая принудительное подавление тишины
Gateway(config-dialpeer-VoIP-100)#exit
Настройка SIP UA (User Agent) для подключения к поставщику услуг
Gateway(config)# sip-ua
Gateway(config-sip-ua)# sip-username [ID, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-password ******* [Password, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-server [адрес SIP-сервера]
Gateway(config-sip-ua)# srv enable
Команда, позволяющая серверу определять местоположение (имя хоста и номер порта) для определенных служб. Является стандартом DNS Service Record
Gateway(config-sip-ua)#register e164
Команда для отдельной регистрации телефонных портов на сервере. Позволяет настраивать маршрутизацию звонков индивидуально для каждого порта.
Gateway(config-sip-ua)#exit
Router#write
После проведённых действий можно звонить с аналогового аппарата, имеющегося в офисе на любые телефонные номера через SIP провайдера. Входящие звонки извне будут поступать на порт 0/0 или 1/0, в случае недоступности первого.
Конфигурация, приведённая выше является простейшим примером. В реальности же включается дополнительный функционал и опции, например настройка переадресации или удержания звонка, телефонная сеть офиса может быть выделена в отдельный VLAN, а голосовой трафик иметь множество механизмов приоритизации.
Специалисты нашей компании имеют большой опыт в настройке и устранении проблем VoIP шлюзов. Если Вы решили модернизировать старую или с нуля разворачиваете телефонную сеть для своего офиса – доверьте это дело высококвалифицированным сотрудникам нашей компании.