Избранная запись

Программа для системных администраторов Alladmin

0409020180028

Для работы системным администратором я написал себе программу, прошу оценить.

Программа Alladmin призвана помочь одному или группе системных администраторов организовать хаос в учете парка серверов и наложить на данную информацию функционал.
Данная программа использует уже существующие инструменты такие как Putty, Microsoft Remoute Desktop и прочее.
За более подробной информацией о данной программе прошу перейти по этой ссылке.

Со всеми вопросами обращайтесь по email fil-23@ya.ru.

или skype: filfil-23

 

 

 

sysadmins.ru

HP FlexFabric 5700 Switch Series настройка IP адреса управления и SSH доступа

Тут будем настраивать SSH доступ к коммутатору 5700

Настраиваем IP адрес на Manage порту.
Для этого в ходим в режим system-view

<HPE>system-view

Далее переходим в режим настройки интерфейса управление Manage interface

[HPE]interface M-GigabitEthernet 0/0/0

Выставляем IP адрес на интерфейсе управления.

[HPE-M-GigabitEthernet0/0/0]ip address 192.168.1.24 255.255.255.0

Выставили, проверяем ping’ом, пингуем новый IP адрес, не пингуется.
Чтобы пинговался, нужно выставить маршрут по умолчанию. Для этого переходим в режим system-view

[HPE-M-GigabitEthernet0/0/0]quit
[HPE]ip route-static 0.0.0.0 0 192.168.1.1

Пинги пошли.
Теперь попробуем подключиться по SSH к данному устройству, подключение отсутсвует, т.к. сервер SSH не запущен. Запускаем.

[HPE]ssh server enable

Теперь подключение есть. Но у нас нету логина и пароля. Создаем.
Сначала генерируем новый локальный ключ.

[HPE]public-key local create rsa
The local key pair already exists.
Confirm to replace it? [Y/N]:y
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..
Create the key pair successfully.

Создадим локального пользователя

[HPE]local-user admin

Укажем сервис на котором данный пользователь будет «работать»

[HPE-luser-manage-admin]service-type ssh

Устанавливаем пароль для данного пользователя

[HPE-luser-manage-admin]password simple p@$$W0rD

Указываем режим входа и тип аутентификации для SSH

[HPE-luser-manage-admin]quit
[HPE]ssh user admin service-type stelnet authentication-type password

Но доступ через SSH еще не работает т.к. линии доступа не настроены. Настраиваем.
Указываем VTY линии которые мы хотим настроить для SSH

[HPE]line vty 0 4

Указываем режим аутентификации.

[HPE-line-vty0-4]authentication-mode scheme

Настраиваем уровень доступа, возьмем самый наивысший.

[HPE-line-vty0-4]user-role network-admin

Указываем поддерживаемый протокол для пользовательских линий

[HPE-line-vty0-4]protocol inbound ssh

Ограничим время SSH сессии в 10 минут

[HPE-line-vty0-4]idle-timeout 600

Всё, доступ работает. Не забываем сохранять конфигу save

HP FlexFabric 5700 Switch Series настройка стэка (IRF)

Данная статья носит ознакомительных характер и не претендует на высокие знания в области HP коммутаторов. Все настройки и догадки выстроены на основе официальной документации hp57хх

Нам пришло оборудование: два 42 портовых HP коммутатора 5700, с двумя SFPQ+ портами на каждом.
Первая наша задача это собрать из данных коммутаторов единый стэк, в технологии HP это называется IRF fabric (IRF пространство).
Стэк — это соединение двух или более физических коммутаторов в единый логический коммутатор, для увеличения количества портов, а так же для управляемости.

При первом включении он пытается получить адрес по DHCP и как то сам сконфигурироваться, для отмены сего действия нажимаем CTR+Z и идем далее.

Первое что меня встречает это надпись вида

HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 1 airflow direction is not preferred on slot 1, please check it.
HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 2 airflow direction is not preferred on slot 1, please check it.

Не сильно углублялся в данную тематику, но кажется что на передней и задней стороне коммутатор стоят датчики тепла и если поток в задней части холоднее чем в передней то надо поменять направления потока воздуха. Но по факту, когда я сменил эти настройки, ни чего не изменилось кроме исчезновения предупреждения.
И так, для начала посмотрим что там установлено, для этого зайдем в режим System view (по аналогии configure terminal у Cisco)

system-view

Далее смотрим настройки fan.

[HPE]display fan

Slot 1:
Fan 1:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port
Fan 2:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port

Посмотрели? Меняем:

fan prefer-direction slot 1 port-to-power

Смотрим что поменялось

[HPE]display fan
Slot 1:
Fan 1:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 2:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power

Изменился параметр Prefer Airflow Direction.

Назначение идентификатора участника каждому устройству группы IRF

Нам требуется объединить два коммутатора в единый стек. В документации это называется IRF Domain. Объединять я буду через интерфейсы QSFP+.
Первый наш шаг заходим в режим system view (если мы еще не в нем).

<HPE>system-view

Смотрим текущие настройки IRF (на первом и втором коммутаторе)
Первый

[HPE]display irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 disable disable

Второй

[HPE]display irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 disable disable

Как видим, оба участника имеют одинаковый MemberID. Данное обстоятельство не позволяет формировать IRF link, поэтому зададим на втором коммутаторе MemberID = 2.

[HPE]irf member 1 renumber 2

Смотрим результат

[HPE]display irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 2 disable disable

Изменения вступят в силу только после перезагрузки устройства. Сохраняем текущую конфигурацию на обоих коммутаторах.

[HPE]save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.

Перезагружаем второй коммутатор. Для этого выйдем на уровень ниже

[HPE]return
reboot

Настройка приоритезации в группе IRF.

Данная настройка будет влиять на выбора мастера группы IRF если основной мастер «потерялся».
У кого выше приоритет, тот и будет мастером.
При потере основного мастера, смена мастера происходит не сразу.
По умолчанию на всех коммутаторах приоритет стоит =1.
Меняем на втором коммутаторе на 2.

<HPE>system-view
[HPE]irf member 2 priority 2
The device is not in the current IRF.

Как понятно из сообщения, устройство не является членом IRF.

Построение физических интефейсов в IRF порты.

Немного теории. Следуя из мануалов HP устройства имеют два виртуальных IRF порта, называемые n/1 и n/2, где n это member-id. А 1 и 2 созданы для «кольцевания», т.е. 1 — это образно говоря исходящий порт, а 2- это входящий порт. Еще проще говоря два коммутатор должны втыкаться кросированно из первого IRF порта во второй IRF порт. Т.е. первый IRF порт коммутатор должен втыкаться во второй IRF порт второго коммутатора. А вот если мы хотим подключить еще и третий коммутатор, то первый IRF порт второго коммутатора подключаем ко второму IRF порту третьего коммутатора, ну а чтобы вообще все красиво было и в кольцо, то первый IRF порт третьего коммутатора подключаем во второй IRF порт первого коммутатора.
Внимание: нельзя включать оба IRF порта одного устройства в IRF порта другого устройства. Т.е. 1/1 к 2/2 можно , а вот еще добавить 1/2 к 2/1 уже нельзя.
Тезисы:
По умолчанию ни один физический порт не привязан к IRF порту
На один IRF порт может быть назначено до 4х физических интерфейсов.

Для настройки должны выполняться следующие условия:
Настраиваемые порты IRF должны быть выключены.

Для работы возьмем сразу группу интрейфейсов. У нас это SFPQ+ 41 и 42 порт
На первом коммутаторе

[HPE]interface range FortyGigE 1/0/41 to FortyGigE 1/0/42

На втором коммутаторе

[HPE]interface range FortyGigE 2/0/41 to FortyGigE 2/0/42

Выключаем их

[HPE-if-range]shutdown

На первом коммутаторе выходим на уровень выше и заходим в режим IRF указывая первым параметром member-id вторым port-number. Т.е. настраиваем IRF n/1.

[HPE-if-range]quit
[HPE]irf-port 1/1

Добавляем наши SFPQ+ порты в IRF порт n/1 на первом коммутаторе

[HPE-irf-port1/1]port group interface FortyGigE 1/0/41
You must perform the following tasks for a successful IRF setup:
Save the configuration after completing IRF configuration.
Execute the "irf-port-configuration active" command to activate the IRF ports.
[HPE-irf-port1/1]port group interface FortyGigE 1/0/42

На втором коммутаторе уже делаем настройку «принимающего» порта IRF n/2

[HPE-if-range]quit
[HPE]irf-port 2/2
[HPE-irf-port2/2]port group interface FortyGigE 2/0/41
You must perform the following tasks for a successful IRF setup:
Save the configuration after completing IRF configuration.
Execute the "irf-port-configuration active" command to activate the IRF ports.
[HPE-irf-port2/2]port group interface FortyGigE 2/0/42

Включаем интерфейсы на первом коммутаторе

[HPE-irf-port1/1]quit
[HPE]interface range FortyGigE 1/0/41 to FortyGigE 1/0/42
[HPE-if-range]undo shutdown

На втором коммутаторе

[HPE-irf-port1/1]quit
[HPE]interface range FortyGigE 2/0/41 to FortyGigE 2/0/42
[HPE-if-range]undo shutdown

После включения сразу появиться сообщение вида на первом

[HPE-if-range]%Jan 12 22:56:06:483 2011 HPE IFNET/3/PHY_UPDOWN: FortyGigE1/0/41 link status is up.
%Jan 12 22:56:06:484 2011 HPE IFNET/5/LINK_UPDOWN: Line protocol on the interface FortyGigE1/0/41 is up.
%Jan 12 22:56:06:494 2011 HPE IFNET/3/PHY_UPDOWN: FortyGigE1/0/42 link status is up.
%Jan 12 22:56:06:496 2011 HPE IFNET/5/LINK_UPDOWN: Line protocol on the interface FortyGigE1/0/42 is up.
%Jan 12 22:56:06:523 2011 HPE LLDP/6/LLDP_CREATE_NEIGHBOR: Nearest bridge agent new neighbor created on Port FortyGigE1/0/42 (IfIndex 42), Chassis ID is ec9b-8bc7-75d3, Port ID is FortyGigE2/0/42.

%Jan 12 22:56:07:690 2011 HPE LLDP/6/LLDP_CREATE_NEIGHBOR: Nearest bridge agent new neighbor created on Port FortyGigE1/0/41 (IfIndex 41), Chassis ID is ec9b-8bc7-75d3, Port ID is FortyGigE2/0/41..

На втором

[HPE]%Jan 12 22:55:17:965 2011 HPE IFNET/3/PHY_UPDOWN: FortyGigE2/0/41 link status is up.
%Jan 12 22:55:17:967 2011 HPE IFNET/5/LINK_UPDOWN: Line protocol on the interface FortyGigE2/0/41 is up.
%Jan 12 22:55:18:028 2011 HPE LLDP/6/LLDP_CREATE_NEIGHBOR: Nearest bridge agent new neighbor created on Port FortyGigE2/0/41 (IfIndex 246), Chassis ID is ec9b-8bc6-183e, Port ID is FortyGigE1/0/41.

%Jan 12 22:55:18:058 2011 HPE IFNET/3/PHY_UPDOWN: FortyGigE2/0/42 link status is up.
%Jan 12 22:55:18:060 2011 HPE IFNET/5/LINK_UPDOWN: Line protocol on the interface FortyGigE2/0/42 is up.
%Jan 12 22:55:19:824 2011 HPE LLDP/6/LLDP_CREATE_NEIGHBOR: Nearest bridge agent new neighbor created on Port FortyGigE2/0/42 (IfIndex 247), Chassis ID is ec9b-8bc6-183e, Port ID is FortyGigE1/0/42.

Т.е. линки поднялись.
Сохраняем наши изменения и активируем наши настройки IRF портов на обоих коммутаторах.
Вот ту вышел косямба, я только не понял из за чего. Толи из за того что я сначала активировал на первом потом на втором, то ли может быть еще из за чего ни будь. Во всяком случае надо попробовать сначала активировать на первом и подождать. Должен перезагрузиться второй, т.е. подчиненный, мастер не перезагружается.

[HPE-if-range]quit
[HPE]save
[HPE]irf-port-configuration active

Стэк нормального курильщика

[HPE]display irf
MemberID    Role    Priority  CPU-Mac         Description
 *+1        Master  1         00e0-fc0f-8c02  ---
   2        Standby 1         00e0-fc0f-8c03  ---
--------------------------------------------------
 * indicates the device is the master.
 + indicates the device through which the user logs in.

 The bridge MAC of the IRF is: ec9b-8bc6-183e
 Auto upgrade                : yes
 Mac persistent              : always
 Domain ID                   : 0
 IRF mode                    : normal


[HPE]display irf topolog
                              Topology Info
 -------------------------------------------------------------------------
               IRF-Port1                IRF-Port2
 MemberID    Link       neighbor      Link       neighbor    Belong To
 2           DIS        ---           UP         1           00e0-fc0f-8c02
 1           UP         2             DIS        ---         00e0-fc0f-8c02

Настройка постоянства MAC IRF структуры

По умолчанию IRF fabirc использует мак адрес мастера для IRF-моста, LACP например использует данный MAC для идентификации структуры IRF. Поэтому может возникнуть ситуация когда мастер уходит, выбирается другой мастер и соответственно произойдет смена МАК адреса моста IRF, что приведет к кратковременному нарушению трафика, чтобы этого не произошло или произошло, есть несколько режимов:
irf mac-address persistent timer — МАК адрес моста остается неизменным в течении 6 минут, на случай если оборудование было переазгружено, отключено и т.д., а потом вернулось обратно в рабочее состояние.
irf mac-address persistent always— МАК адрес моста не изменяется после того как уходит владелец. Но тут есть нюанс, если данный мак будет использоваться в другой сети IRF (потому что данное устройство стало там мастером), то трафик не будет ходить. В нашем случае это не страшно.
undo irf mac-address persistent — моментальная смена МАК адреса моста после ухода владельца.

В официально документации есть еще и рекомендации когда какой режим выбирать.
В нашем случае подходит режим irf mac-address persistent always. Делаем

<HPE>system-view
[HPE]irf mac-address persistent always

В этой статье все.
По итогу мы имеем стэк из двух коммутаторов соединенный двумя DAC кабелями через SFPQ+ порты. Общая скорость должна быть 80 Гигабит/c.
Так же есть авто-балансировка загрузки IRF линков по МАК адресам + отказоустойчивая схема, т.е. если один из IRF линков рвется, то весь трафик переключается на резервный канал.

Установка Confluence на Linux

При установке определимся с параметрами:

Операционная система: CentOS Linux release 7.5.1804 (Core)

Версия confluence: Confluence 6.12

База данных: MySQL 7.5

Дополнительные требования к софту вы сможете найти по этой ссылке  https://confluence.atlassian.com/doc/supported-platforms-207488198.html

    1. Устанавливаем OS Centos 7
    2. Устанавливаем wget
    3. yum install wget
    4. Скачать пакет java. Политика Oracle изменилась поэтому приходится качать данный пакет по «особому»
    5. wget --no-cookies --no-check-certificate --header "Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com%2F; oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u131-b11/d54c1d3a095b4ff2b6607d096fa80163/jdk-8u131-linux-x64.rpm"
    6. Делаем пакет java исполняемым
    7. chmod u+x jdk-8u131-linux-x64.rpm
    8. Устанавливаем пакет java
    9. sudo yum localinstall jdk-8u131-linux-x64.rpm
    10. Проверяем версию java
    11. #java -version
      java version "1.8.0_131"
      Java(TM) SE Runtime Environment (build 1.8.0_131-b11)
      Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)
    12. Редактируем конфигурационный файл profile, указываем пути расположения java.
    13. sudo vi /etc/profile

      Добавляем строки

      export JAVA_HOME=/usr/java/jdk1.8.0_131
      export JAVA_PATH=$JAVA_HOME
    14. Добавляем в firewall правила и перезагружаем firewall
    15. sudo firewall-cmd --permanent --add-port=5432/tcp
      sudo firewall-cmd --permanent --add-port=8090/tcp
      sudo firewall-cmd --permanent --add-port=80/tcp
      sudo firewall-cmd --permanent --add-port=443/tcp
      sudo firewall-cmd --reload
    16. Добавляем пользователя confluence
    17. useradd confluence
      passwd confluence
      su confluence
      cd /home/confluence
    18. Редактируем файл sudoers
    19. chmod 700 /etc/sudoers
      vi /etc/sudoers

      Добавляем строку

      confluence    ALL=(ALL)       ALL
    20. Возвращаем настройки файла
    21. chmod 400 /etc/sudoers
    22. Скачиваем confluence 6.12.1
    23. wget https://www.atlassian.com/software/confluence/downloads/binary/atlassian-confluence-6.12.1.tar.gz
    24. Делаем пакет confluence 6.12.1 исполняемым
    25. chmod u+wrx atlassian-confluence-6.12.1.tar.gz
    26. Разархивируем confluence 6.12.1
    27. tar -xzf atlassian-confluence-6.12.1.tar.gz
    28. Переименовываем папку
    29. mv atlassian-confluence-6.12.1 atlassian-confluence
    30. Создаем папку confluence_data в той же директории где лежит архив confluence
    31. mkdir confluence_data
    32. Выставляем пользователя и группу confluence на все папки и файлы
    33. chown -R confluence.confluence atlassian-confluence
    34. Редактируем файл конфигурации, указывая путь confluence
    35. vi ./atlassian-confluence/confluence/WEB-INF/classes/confluence-init.properties

      Добавляем строку

      confluence.home=/home/confluence/confluence_data/
    36. Т.к. confluence не поддерживает БД mariadb то устанавливаем MySQL
    37. sudo yum localinstall https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
      yum install mysql-community-server
    38. Устанавливаем автозапуск MySQL
    39. sudo systemctl enable mysqld
    40. Запускаем MySQL
    41. sudo systemctl start mysqld
    42. Проверяем статус MySQL
    43. sudo systemctl status mysqld
    44. Проверяем статус MySQL
    45. sudo systemctl status mysqld
    46. Получаем пароль MySQL
    47. sudo grep 'temporary password' /var/log/mysqld.log
    48. Открываем для редактирования конфигурационный файл MySQL
    49. vi /etc/my.cnf
    50. Добавляем в my.cnf следующие строки
    51. character-set-server=utf8
      collation-server=utf8_bin
      default-storage-engine=INNODB
      max_allowed_packet=256M
      innodb_log_file_size=2GB
      transaction-isolation=READ-COMMITTED
      binlog_format=row
    52. Перезапускаем MySQL
    53. systemctl stop mysqld
      sudo systemctl start mysqld
    54. Заходим в MySQL
    55. mysql -u root -p
    56. Меняем пароль root для MySQL
    57. SET PASSWORD = PASSWORD('your_new_password');
    58. Создаем базу для Confluence
    59. CREATE DATABASE confluence CHARACTER SET utf8 COLLATE utf8_bin;
    60. Создаем пользователя с правами на доступ к базе Confluence
    61. GRANT ALL PRIVILEGES ON confluence.* TO 'confluenceuser'@'localhost' IDENTIFIED BY 'your_new_password';
    62. Выходим из CLI MySQL
    63. exit
    64. Открываем файл на редактирование
    65. vi /home/confluence/atlassian-confluence/conf/server.xml
    66. Если мы хотим чтобы нас редиректело на 443 порт, то бишь на HTTPS то меняем
    67.         <Connector port="8090" connectionTimeout="20000" redirectPort="8443"
                         maxThreads="48" minSpareThreads="10"
                         enableLookups="false" acceptCount="10" debug="0" URIEncoding="UTF-8"
                         protocol="org.apache.coyote.http11.Http11NioProtocol"/>

      на

              <Connector port="8090" connectionTimeout="20000" redirectPort="443"
                         maxThreads="48" minSpareThreads="10"
                         enableLookups="false" acceptCount="10" debug="0" URIEncoding="UTF-8"
                         protocol="org.apache.coyote.http11.Http11NioProtocol"/>

      Прикручиваем сертификат, указываем путь к сертификату и кодовое слово. Этот пункт нужен если у вас имеется собственный сертефикат

      <!--
              <Connector port="8443" maxHttpHeaderSize="8192"
                         maxThreads="150" minSpareThreads="25"
                         protocol="org.apache.coyote.http11.Http11Nio2Protocol"
                         enableLookups="false" disableUploadTimeout="true"
                         acceptCount="100" scheme="https" secure="true"
                         clientAuth="false" sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1.2" SSLEnabled="true"
                         URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"/>

      -->

      на

              <Connector port="443" maxHttpHeaderSize="8192"
                         maxThreads="150" minSpareThreads="25"
                         protocol="org.apache.coyote.http11.Http11NioProtocol"
                         enableLookups="false" disableUploadTimeout="true"
                         acceptCount="100" scheme="https" secure="true"
                         clientAuth="false" sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1.2" SSLEnabled="true"
                         URIEncoding="UTF-8" keystorePass="ssdfwSDFwSwegHJUyFfgHrhrDDFgbdDdrdFgheewssWWWw"
              keystoreFile="/home/confluence/certificate/mycert.com.pfx"/>
    68. Требуется ODBC драйвер для confluence и MySQL. для этого воспользуйтесь данной ссылкой https://confluence.atlassian.com/doc/database-jdbc-drivers-171742.html
    69. Извлеките все файлы из архива. И разместите файлы mysql-connector-java-5.1.47.jar и mysql-connector-java-5.1.47-bin.jar в директории /confluence/WEB-INF/lib/
    70. Запускаем confluence
    71. cd /home/confluence/atlassian-confluence/bin/
      ./start-confluence.sh
    72. Заходим в браузер через HTTPS и следуем пунктам

     

Программа: Ротация окон.

Написал маленькую программу которая предназначена для поочерёдной смены окон приложения.

150820181456

Т.е. предположим у вас запущено два приложения и вам требуется поочередно отображать их на экране компьютера, с заданным интервалом.

Для этого запускаем данную программу, вписываем PIDы необходимых (и уже запущенных) программ, выставляем интервал ротации и нажимаем кнопку «Старт/Стоп»

Сама программа.

Исходники.

Brocade настройка

Предварительные действия

Очистим текущую конфигурацию устройства, для этого в привилегированном режиме выполним команду

ICX7450-48 Router#erase startup-config

Устройство перезагрузится.
Посмотрим текущую конфигурацию командой

ICX7450-48 Router#show running-config

Переходим в режим configure terminal

ICX7450-48 Router#;enable
ICX7450-48 Router#configure terminal

Посмотрим состояние интерфейсов

ICX7450-48 Router(config)#show interfaces brief

Как видно первый и второй порт находятся в режиме UP

Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/1/1 Up Forward Full 1G None No 1 0 609c.9f29.9460
1/1/2 Up Forward Full 1G None No 1 0 609c.9f29.9461
1/1/3 Down None None None None No 1 0 609c.9f29.9462
1/1/4 Down None None None None No 1 0 609c.9f29.9463

Настройка IP адреса VLAN

Принцип такой. IP вешается на интерфейс VE (Virtual port). А на VLAN уже «вешается» сам интерфейс VE
Возьмем дефолтный VLAN1 и назначим ему адрес.

ICX7450-48 Router(config)#vlan 200
ICX7450-48 Router(config-vlan-200)#router-interface ve 1
ICX7450-48 Router(config-vlan-1)#interface ve 1
ICX7450-48 Router(config-vif-1)#ip address 192.168.1.1/24

Еще пример, создадим vlan 1600, дадим ему имя ROSTELEKOM, назначим данный VLAN на второй порт второго юнита первого маршрутизатора и назначим ему IP адреса.

7450-48-core(config)#vlan 1600 name ROSTELEKOM
7450-48-core(config-vlan-1600)#tagged ethernet 1/2/2
7450-48-core(config-vlan-1600)#router-interface  ve 1600
7450-48-core(config-vlan-1600)#interface ve 1600
7450-48-core(config-vif-1600)#ip address 192.168.255.13/30

Сохраним настройки

ICX7450-48 Router(config)#write memory

Настройка IP адреса порта

Если порт находится в VLAN у которого назначен VE интерфейс (с IP адресом), то невозможно назначить порту IP адрес.
Для назначения порту IP адреса

ICX7450-48 Router(config)#interface ethernet 1/1/7
ICX7450-48 Router(config-if-e1000-1/1/7)#ip address 192.168.4.1/24

Настройка подключения SSH

Для подключения к коммутатору через SSH требуется сделать следующие настройки
— Для начала генерируем SDA и RSA ключи

ICX7450-48 Router(config)#crypto key generate

— Создаем локального пользователя с указанием уровня доступа 0

ICX7450-48 Router(config)#username admin privilege 0 password p@$$w0rd

Установим метод проверки подлинности. Аутентификация по логину из локальных настроек.

ICX7450-48 Router(config)#aaa authentication login default local

— Сохраним настройки

ICX7450-48 Router(config)#write memory

Настройка подключения через WEB

Разрешим web доступ на определенном порту/VLAN

ICX7450-48 Router(config)#web-management enable ethernet 1/1/9

Создадим ssl сертификат

ICX7450-48 Router(config)#crypto-ssl certificate generate

Создадим пользователя

ICX7450-48 Router(config)#username admin privilege 0 password p@$$w0rd
ICX7450-48 Router(config)#aaa authentication login default local
ICX7450-48 Router(config)#aaa authentication web-server default local

Настройка LAG

В режиме конфигурированния введем команду создания LAG, его имя, укажем что он динамический и сразу переместимся в режим настройки LAG

ICX7450-48 Router(config)#lag LAG1 dynamic

Укажем какие порты мы будем использовать для агрегирования.

ICX7450-48 Router(config-lag-LAG1)#ports ethernet 1/1/47 ethernet 1/1/48

Укажем какой порт является Primary

ICX7450-48 Router(config-lag-LAG1)#primary-port 1/1/47

Запустим наш LAG

ICX7450-48 Router(config-lag-LAG1)#deploy
LAG LAG1 deployed successfully!

Посмотрим наш LAG

ICX7450-48 Router(config-lag-LAG1)#show lag
Total number of LAGs: 1
Total number of deployed LAGs: 1
Total number of trunks created:1 (255 available)
LACP System Priority / ID: 1 / 609c.9f29.9460
LACP Long timeout: 120, default: 120
LACP Short timeout: 3, default: 3

=== LAG "LAG1" ID 1 (dynamic Deployed) ===
LAG Configuration:
Ports: e 1/1/47 to 1/1/48
Port Count: 2
Primary Port: 1/1/47
Trunk Type: hash-based
LACP Key: 20001
Deployment: HW Trunk ID 1
Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/1/47 Down None None None 1 No 1 0 609c.9f29.9460
1/1/48 Down None None None 1 No 1 0 609c.9f29.9460

Port [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/1/47 1 1 20001 Yes S Agg Syn No No Def No Dwn
1/1/48 1 1 20001 Yes S Agg Syn No No Def No Dwn

Partner Info and PDU Statistics
Port Partner Partner LACP LACP
System ID Key Rx Count Tx Count
1/1/47 1-0000.0000.0000 46 0 0
1/1/48 1-0000.0000.0000 47 0 0

Тоже самое следуем проделать на втором коммутаторе.

Маршрутизация Manual

Добавление маршрута: сеть доставки, маска сети. IP адрес следующего прыжка.

ICX7450-48 Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.4.1

Просмотр маршрутов

ICX7450-48 Router(config)#show ip route

Пример конфигурации Route1

interface ethernet 1/1/7
route-only
ip address 192.168.4.1 255.255.255.0

interface ethernet 1/1/9
route-only
ip address 192.168.5.1 255.255.255.0

ip route 192.168.6.0/24 192.168.4.2

Пример конфигурации Route2

interface ethernet 1/1/7
route-only
ip address 192.168.4.2 255.255.255.0

interface ethernet 1/1/11
route-only
ip address 192.168.6.2 255.255.255.0

ip route 192.168.5.0/24 192.168.4.1

Просмотрим таблицу маршрутизации Router2

ICX7450-48 Router(config)#show ip route
Total number of IP routes: 3
Type Codes - B:BGP D:Connected O:OSPF R:RIP S:Static; Cost - Dist/Metric
BGP Codes - i:iBGP e:eBGP
OSPF Codes - i:Inter Area 1:External Type 1 2:External Type 2
Destination Gateway Port Cost Type Uptime
1 192.168.4.0/24 DIRECT e 1/1/7 0/0 D 45m32s
2 192.168.5.0/24 192.168.4.1 e 1/1/7 1/1 S 6m40s
3 192.168.6.0/24 DIRECT e 1/1/11 0/0 D 42m41s

Маршрутизация OSFP

Нужно включить и настроить зону OSPF

ICX7450-48 Router(config)#router ospf
ICX7450-48 Router(config-ospf-router)#area 0

Требуется запустить протокол маршрутизации на порту где требуется маршрутизация

ICX7450-48 Router(config-if-e1000-1/1/7)#ip ospf area 0

Пример конфигурации Router1

router ospf
area 0

interface ethernet 1/1/7
route-only
ip address 192.168.4.1 255.255.255.0
ip ospf area 0

interface ethernet 1/1/9
route-only
ip address 192.168.5.1 255.255.255.0
ip ospf area 0

Пример конфигурации Router2

router ospf
area 0

interface ethernet 1/1/7
route-only
ip address 192.168.4.2 255.255.255.0
ip ospf area 0

interface ethernet 1/1/11
route-only
ip address 192.168.6.2 255.255.255.0
ip ospf area 0

Маршрутизация BGP

Разрешаем протокол маршртизации BGP (на первом и втором маршрутизаторе)

ICX7450-48 Router(config)#router bgp

Конфигурируем AS

1 ICX7450-48 Router(config-bgp-router)#local-as 100
2 ICX7450-48 Router(config-bgp-router)#local-as 200

Указываем соседей адреса соседних маршрутизаторов с указанием их AS

1 ICX7450-48 Router(config-bgp-router)#neighbor 192.168.4.2 remote-as 200
2 ICX7450-48 Router(config-bgp-router)#neighbor 192.168.4.1 remote-as 100

Указываем какие сети будем транслировать

1 ICX7450-48 Router(config-bgp-router)#network 192.168.5.0 255.255.255.0
2 ICX7450-48 Router(config-bgp-router)#network 192.168.6.0 255.255.255.0

Настройка SNMP

Включаем SNMP, задаем community (логин), указываем уровень доступа, чтение ro или запись rw

ICX7450-48 Router(config)#snmp-server community unpublic ro

CriptoPro или как перенести ключ на другой ПК без флешки и рутокена

Разберем проблему, когда нужно перенести ключ доступа банк-клиента или другого приложения из CryptoPro на другую систему, но не имеется дисковода, USB порта, диска, рутокена, вообще одним словом ни чего кроме сети.
Перво на перво запустим редактор реестра. REGEDIT.EXE и перейдем по следующему пути
HLKM->SOFTWARE->Если у вас 64-битная то Wow6432Node -> Crypto Pro -> Settings -> Users
Вот тут момент, у вас несколько пользователей в системе, и у каждого могут быть ключи, но у активного пользователя (т.е. из под которого вы сейчас смотрите И у которого сейчас находятся эти ключи) есть на против контейнера указатель с возможностью развернуть эту ветку.
Разворачиваем ветку, там контейнер Keys, вот в нем лежат все ключи этого пользователя.
Выбираем нужный нам контейнер с ключем, правой кнопкой мышки — экспортировать, сохраняем REG файл.
Любым доступным способом переносим данный REG файл на нужный нам ПК.
На нужном нам ПК, открываем редактор реестра, заходим по такому же пути (почти), заметим что номер контейнера будет другой (ведь другой ПК уже). Запоминаем название контейнера, это понадобится для замены в REG файле.
На присланном REG файле правой кнопкой мыши -> изменить. Откроется блокнот, в первых строках содержится путь до контейнера, меняем этот путь на текущий путь текущего пользователя или просто меняем только контейнер пользователя.
Сохраняем, запускаем. Изменения внесены, теперь надо добавить это дело в CryptoPro.
Запускаем CryptoPro -> Сервис -> Просмотреть сертификаты в контейнере -> Обзор -> Выбираем наш сертификат -> Далее -> Установить -> Готово

Cisco Ironport просмотр Spam Quarantine конечному пользователю

Задача, дать пользователю доступ для просмотра писем помещенный в спам карантин IronPort’а.
Перейдем в панель настроек Spam Quarantine, Monitor -> Spam Quarantine -> Spam Quarantine (Quarantine Name).
Проверьте установлен ли флажок на Enable End-User Quarantine Access
101920052016
Укажите в пункте Do not display message bodies to end-users until message is released стоит ли отображать тело сообщения или нет перед освобождением сообщения из карантина. Если флажок установлен, то пользователи не смогут просматривать тело сообщения через страницу Spam IronPort.
В пункте End-User Authentication: укажите метод аутентификации пользователя, для просмотра своего карантина.
Обратите внимание, что вы можете разрешить доступ конечных пользователей в карантин IronPort Spam, без включения проверки подлинности. В этом случае пользователи могут получить доступ в карантин по ссылке, включенной в сообщение уведомления и система не будет пытаться выполнить проверку подлинности пользователя. Если вы хотите обеспечить доступ конечных пользователей без аутентификации, выберите пункт None в меню метода аутентификация конечного пользователя.

Mailbox Authentication: Для случая, когда нет каталога LDAP. Есть возможность проверки почтового адреса пользователя и пароля, основываясь на стандартах IMAP или POP протоколах, в зависимости как настроен ваш сервер на котором лежит почтовый ящик. При входе в веб-интерфейс, пользователь вводит свой полный адрес электронной почты и пароль почтового ящика. IronPort Spam будет использовать данный логин\пароль чтобы попытаться войти на сервер почтовых ящиков в качестве этого пользователя. Если вход будет успешный, то пользователь проходит проверку подлинности IronPort Spam. Сам же IronPort Spam немедленно выходит из системы не внося ни каких изменений в почтовый ящик пользователя. Использование проверки подлинности почтовых ящиков хорошо подходит для мест, которые не работают с каталогом LDAP, но проверка подлинности почтовых ящиков не может представлять пользователю с сообщениями, которые могут быть связаны для сообщений электронной почты псевдонима.

Сохраните и зафиксируйте настройки.

Asterisk autoprovision Yealink логотип ч.2

В этой части поговорим о загрузке собственного логотипа в телефонный аппарат с помощью autoprovision. Для этого нам понадобится программа для создания *.dob файлов.
В следующей таблице перечислены поддерживаемый формат файла логотипа, разрешение и общий размер файла для каждой модели телефона:

Phone Model Logo File Format Resolution Total File Size
SIP-T28P .dob <=236*82 2 gray svale <=100К
SIP-T26P/T22P .dob <=132*64 2 gray svale <=100К
SIP-T21P/T19P .dob <=132*64 2 gray svale <=200К
SIP-T42G/T31P .dob <=192*64 2 gray svale <=100К
SIP-T23G .dob <=132*64 2 gray svale <=100К

У нас модель телефона T23G, будем делать свой логотип под нее.
Откроем редактор PAINT, выставим границы изображения в размере 132 на 64. Нанесем свой рисунок. В панели управления, выберем пункт Файл, далее выберем пункт сохранить как …. Из предложенных типов файлов, выберем Монохромный рисунок (*.bmp;*.dib)
Переходим в папку со скаченным архивом, запускаем приложение PictureExDemo.exe. В появившемся окне, для выбора нашего нового логотипа, нажмем кнопку Add. После загрузки логотипа в программу, нам понадобиться преобразовать его в .dob файл, для этого следует нажать кнопку Convert. С конвертированное изображение появится в папке adv, которая лежит в том же месте где и сама программа конвертации.
Загрузим конвертированный логотип на TFTP сервер, в нашем случае в директорию /srv/tftp/.
Теперь требуется внести изменения в глобальный конфигурационный файл
Параметр phone_setting.lcd_logo.mode определят вид отображения логотипа.
0 — IP-телефон не может отобразить логотип.
1 — Отображать системный логотип (надпись Yealink)
2 — Отображать пользовательский логотип
Нам подходить режим 2:

phone_setting.lcd_logo.mode = 2

Параметр lcd_logo.url указывает телефонному аппарату URL путь к файлу логотипа.

lcd_logo.url = tftp://192.168.120.200/mylogo.dob

Сохраняем, перезапустим телефонный аппарат, если все правильно то логотип будет отображаться.

Asterisk autoprovision Yealink ч.1

Задача, настроить на сервер Asterisk, autoprovision для телефонов Yealink в моем случае это будет модель T23G.
Перво на перво нам понадобятся знания о том что из себя представляет конфигурационный файлы, для этого обратимся к официальной источниками и данным:
Ссылка на офф.сайт
— Конфигурационные файлы с официального сервера или не с официального
— Инструкция с официального сайта.

Файл с название Common.cfg содержит общие настройки для всех телефонных аппаратом, например такие как Часовой пояс, NTP сервер, и прочее.
Файл с названием MAC.cfg содержит настройки для каждого отдельно взятого телефонного аппарата. Вместо MAC — вписывается mac адрес телефонного аппарат. В данном файле содержатся такие настройки как: логин, пароль, номер линии и прочее.

Autoprovision для данного вендера работает на различных протоколах передачи данных (таких как HTTP, FTP, HTTPS), мы будем использовать TFTP. Для начала нам потребуется установить TFTP сервер. Устанавливать будем на ту же машину на которой у нас крутится сервер Asterisk, под управлением Ubuntu 14.04. Установка:

sudo apt-get install openbsd-inetd tftpd tftp

После этого уже можно использовать TFTP сервер, но лучше проверить файл.

sudo nano /etc/inetd.conf

В этом файле найдем строку вида.

tftp        dgram   udp wait    nobody  /usr/sbin/tcpd  /usr/sbin/in.tftpd /srv/tftp

Тут указано, что файлы для загрузки будут находится в директории /srv/tftp, если вас это не устраивает, измените последний параметр.
Так же следует на папку, где будут лежать файлы изменить права доступа

udo chown -R nobody /srv/tftp

Перезапустим службу inetd

sudo /etc/init.d/openbsd-inetd restart

Проверим работу TFTP сервера. Для начала установим TFTP клиент, чтобы можно было подключаться к TFTP северу. Для установки TFTP клиента выполните в терминале команду:

sudo apt-get install tftp

Теперь создадим на сервере в директории /srv/tftp какой-нибудь файл, например, myfile. Для создания файла myfile и записи в него текста «This is my file» выполните в терминале команду:

echo This is my file > /srv/tftp/myfile

Теперь мы можем запустить TFTP клиент командой tftp. Команда tftp принимает в качестве параметра IP адрес сервера. Если вы запускаете клиент на локальном компьютере, то укажите IP адрес 127.0.0.1, если же на удаленном компьютере, то укажите IP адрес сервера.

tftp 127.0.0.1

Когда клиент запустится, вы попадете в режим ввода команд для клиента TFTP. Выполните команду get myfile, которая означает получить файл с именем myfile с сервера.

tftp> get myfile

В случае, если вы все сделали правильно, файл myfile загрузится с TFTP сервера. Для выхода из TFTP клиента введите команду quit.

Так же для Autoprovision требуется DHCP сервер с включенной опцией 66 и внесенным в неё параметром адреса TFTP сервера.

TFTP сервер установлен, DHCP настроен, теперь можно заняться Autoprovision.
Переименуем файл Common.cfg в y000000000044.cfg, загрузим его на сервер в директорию /srv/tftp/ и внесем изменения.

sudo nano y000000000044.cfg

Укажем адрес сервера Auto provision (tftp)

auto_provision.server.url = 192.168.120.200

Больше пока ни чего не надо.

Переименуем файл MAC.cfg в мак адрес вашего телефонного аппарата 001565abcdef.cfg, загрузим его на сервер в директорию /srv/tftp/ и внесем изменения.

sudo nano 001565abcdef.cfg

Параметр указывает отключаем или включаем учетную запись, в нашем случае включаем.

account.1.enable = 1

Указывает имя отображаемое на дисплее

account.1.auth_name = 4201

Указывает имя авторизации (login)

account.1.user_name = 4201

Указывает пароль пользователя

account.1.password = pass4201

Указываем адрес SIP сервера

account.1.sip_server.1.address = 192.168.120.200

Сохраняем данные.
Можно запускать телефонный аппарат, если все сделано правильно, то он подхватит конфигурационные файлы.

Ссылка 1