воскресенье, 5 января 2020 г.

Базовая настройка коммутатора Cisco Catalyst

В этой статье я хочу вас познакомить с настройками, с которыми сталкивается любой сетевой инженер, это базовые настройки устройства. Более конкретно рассмотрим базовую настройку коммутатора Cisco Catalyst. В моем примере это Cisco Catalyst 2950, однако базовые настройки для коммутаторов различных платформ одинаковы.
Собираем топологию, как на рисунке.

 


Для этого нам понадобится rollover-консольный кабель. Подключаем один конец rollover-консольного кабеля к консольному порту RJ-45 на коммутаторе. Другой конец кабеля подключаем к последовательному COM-порту на компьютере. Если на компьютере отсутствует последовательный COM-порт, то вам понадобиться USB–Serial (DB9) переходник. При использовании USB–Serial (DB9) переходника для подключения rollover-консольного кабеля может потребоваться установка драйвера. Его можно скачать с сайта производителя USB–Serial (DB9) переходника. Также нам понадобится знать номер COM-порта для того, чтобы выполнить подключение, его можно посмотреть через Диспетчер устройств после подключения переходника.



Самый лучший переходник USB–Serial (DB9), которым мне довелось пользоваться, это PL2303 фирмы Prolific Technology Inc. Для этого переходника доступны драйвера для всех популярных операционных систем.



Запускаем программу эмуляции терминала — PuTTy. Указываем номер COM-порта, указываем настройки подключения как на рисунке и нажимаем на кнопку Open.



Также необходимо соединить компьютер обычным прямым (straight-through) патч-кордом с портом FastEthernet 0/1 коммутатора, как показано на рисунке.

Итак начнем, включаем питание. Устройство выполняет Power-On-Self-Test (POST) — самотестирование, после чего идет загрузка операционной системы Cisco IOS. В моем случае устройство сброшено к заводским настройкам и на нем нет файла начальной конфигурации (startup-config). При загрузке вы должны увидеть что-то такое:
C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(14)AZ, RELEASE SOFTWARE (fc2)
Compiled Tue 14-Oct-03 17:14 by antonino
WS-C2950T-48-SI starting...
Base ethernet MAC Address: 00:15:63:68:c7:40
Xmodem file system is available.
Initializing Flash...
flashfs[0]: 327 files, 5 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 7741440
flashfs[0]: Bytes used: 5649920
flashfs[0]: Bytes available: 2091520
flashfs[0]: flashfs fsck took 7 seconds.
...done initializing flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
Loading "flash:/c2950-i6k2l2q4-mz.121-22.EA14.bin"...#############################
File "flash:/c2950-i6k2l2q4-mz.121-22.EA14.bin" uncompressed and installed, entry point: 0x80010000
executing...

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA14, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by cisco Systems, Inc.
Compiled Tue 26-Oct-10 10:35 by nburra
Image text-base: 0x80010000, data-base: 0x80680000

Initializing flashfs...
flashfs[1]: 327 files, 5 directories
flashfs[1]: 0 orphaned files, 0 orphaned directories
flashfs[1]: Total bytes: 7741440
flashfs[1]: Bytes used: 5649920
flashfs[1]: Bytes available: 2091520
flashfs[1]: flashfs fsck took 7 seconds.
flashfs[1]: Initialization complete.
Done initializing flashfs.
POST: System Board Test : Passed
POST: Ethernet Controller Test : Passed
ASIC Initialization Passed

POST: FRONT-END LOOPBACK TEST : Passed
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco WS-C2950T-48-SI (RC32300) processor (revision G0) with 19911K bytes of memory.
Processor board ID FHK0937X0UQ
Last reset from system-reset
Running Standard Image
48 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:15:63:68:C7:40
Motherboard assembly number: 73-9102-04
Power supply part number: 34-0965-01
Motherboard serial number: FOC093717VY
Power supply serial number: DAB0934EE5X
Model revision number: G0
Motherboard revision number: A0
Model number: WS-C2950T-48-SI
System serial number: FHK0937X0UQ
CLEI Code Number: CNMRU002RC
Top Assembly Part Number: 800-24111-03
Top Assembly Revision Number: A0
Version ID: N/A

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:
00:00:19: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan
00:00:23: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA14, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by cisco Systems, Inc.
Compiled Tue 26-Oct-10 10:35 by nburra
00:00:23: %SNMP-5-COLDSTART: SNMP agent on host Switch is undergoing a cold start
00:00:27: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
00:00:27: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
00:00:28: %LINK-3-UPDOWN: Interface FastEthernet0/48, changed state to up
00:00:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
00:00:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up
00:00:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/48, changed state to up
00:00:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

Если загрузка прошла штатно, то вы должны увидеть приглашение в конфигурационный диалог, мы здесь отвечаем no, потому что будем сами все настраивать.
% Please answer 'yes' or 'no'.
Would you like to enter the initial configuration dialog? [yes/no]:  no

Press RETURN to get started!

Switch>

Собственно после этого мы попадаем в командную строку, где и будем выполнять базовую настройку.
Далее нужно убедиться в том, что коммутатор действительно сброшен к заводским настройкам:
Switch>enable
Switch#show startup-config
startup-config is not present
Switch#

Изначально мы попадаем в пользовательский режим user EXEC. Он имеет ограниченные возможности. Этот режим выглядит таким образом:
Switch>

Переключаемся в привилегированный режим privileged EXEC, для этого нужно ввести команду:

Switch>enable
Switch#

Переключаемся в режим глобальной конфигурации, для этого вводим команду:
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#

Необходимо задать имя устройству:
Switch(config)#hostname switch-floor-1
switch-floor-1(config)#
Здесь мы указали имя коммутатору switch-floor-1. Рекомендую задавать имя для устройства логично, чтобы потом не перепутать и было через время очевидно, что это за устройство и где оно находится.

Обязательно задаем пароль на привилегированный EXEC режим:
switch-floor-1(config)#enable secret class
switch-floor-1(config)#

Запрещаем нежелательный поиск в DNS:
switch-floor-1(config)#no ip domain-lookup
switch-floor-1(config)#

Задаем баннероное сообщение MOTD, которое будет выводиться перед входом в систему:
switch-floor-1(config)#banner motd #
Enter TEXT message.  End with the character '#'.
Unauthorized access is strictly prohibited.#
switch-floor-1(config)#
Обратите внимание, что здесь открывающий символ для сообщения это # (решетка), соответственно нужно обязательно баннерное сообщение заканчивать этим знаком # (решетка).

Проверяем настройки доступа. Для этого переключаемся между режимами:
switch-floor-1(config)#exit
switch-floor-1#exit
01:19:48: %SYS-5-CONFIG_I: Configured from console by consoleexit

switch-floor-1 con0 is now available

Press RETURN to get started.

Unauthorized access is strictly prohibited.
switch-floor-1>en
Password:class
switch-floor-1#
Примечание. Пароль не будет отображаться на экране во время ввода.

Обеспечим возможность удаленного управления коммутатором, для этого необходимо настроить IP-адрес на Switch Virtual Interface (SVI). Перейдем в режим глобальной конфигурации и далее в SVI:
switch-floor-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch-floor-1(config)#interface vlan1    1
switch-floor-1(config-if)#ip address 192.168.1.2 255.255.255.0
switch-floor-1(config-if)#no shutdown
switch-floor-1(config-if)#exit
03:21:33: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
03:21:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
switch-floor-1(config)#

Ограничим доступ к консольному порту. Конфигурация по умолчанию разрешает все консольные подключения без пароля:
switch-floor-1(config)#line console 0
switch-floor-1(config-line)#password cisco
switch-floor-1(config-line)#login
switch-floor-1(config-line)#exit
switch-floor-1(config)#

Настроим линии Virtual Teletype (VTY) для коммутатора, чтобы разрешить удаленный доступ по протоколу Telnet. Если вы не настроите пароль VTY, то не сможете обращаться к коммутатору по протоколу Telnet:
switch-floor-1(config)#line vty 0 4
switch-floor-1(config-line)#password cisco
switch-floor-1(config-line)#login
switch-floor-1(config-line)#end
switch-floor-1#
03:28:46: %SYS-5-CONFIG_I: Configured from console by console
Здесь мы задаем пароль для пяти одновременных подключений, в Cisco IOS диапазон указывается через пробел.

Далее настроим IP-адрес на компьютере:
Выберите Просмотр состояния сети и задач > Изменение параметров адаптера
Правой кнопкой мыши щелкните Подключение по локальной сети и выберите Свойства
Выберите Протокол Интернета версии 4 (TCP/IPv4), затем Свойства вводим IP-адрес 192.168.1.10 и нажмите OK

Должно получиться как-то так:




Теперь посмотрим настройки коммутатора:
switch-floor-1#show running-config
Building configuration...

Current configuration : 2094 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname switch-floor-1
!
enable secret 5 $1$8NIH$TK/0Mc5cBcDQ20tshY0dS.
!
ip subnet-zero
!
no ip domain-lookup
ip ssh time-out 120
ip ssh authentication-retries 3
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface FastEthernet0/25
!
interface FastEthernet0/26
!
interface FastEthernet0/27
!
interface FastEthernet0/28
!
interface FastEthernet0/29
!
interface FastEthernet0/30
!
interface FastEthernet0/31
!
interface FastEthernet0/32
!
interface FastEthernet0/33
!
interface FastEthernet0/34
!
interface FastEthernet0/35
!
interface FastEthernet0/36
!
interface FastEthernet0/37
!
interface FastEthernet0/38
!
interface FastEthernet0/39
!
interface FastEthernet0/40
!
interface FastEthernet0/41
!
interface FastEthernet0/42
!
interface FastEthernet0/43
!
interface FastEthernet0/44
!
interface FastEthernet0/45
!
interface FastEthernet0/46
!
interface FastEthernet0/47
!
interface FastEthernet0/48
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip http server
banner motd ^C
Unauthorized access is strictly prohibited.^C
!
line con 0
password cisco
login
line vty 0 4
password cisco
login
line vty 5 15
login
!
!
end

switch-floor-1#

Проверяем состояние интерфейса управления SVI. Состояние интерфейса VLAN 1 должно быть up/up, что указывает на то, что он активен, и ему должен быть назначен IP-адрес. Обратите внимание, что состояние порта коммутатора FastEthernet0/1 — тоже up, так как к нему подключен компьютер. Поскольку все порты коммутатора изначально принадлежат VLAN 1 по умолчанию, вы можете взаимодействовать с коммутатором по IP-адресу, который был назначен для VLAN 1.
switch-floor-1#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
Vlan1                      192.168.1.2     YES manual up                    up
FastEthernet0/1            unassigned      YES unset  up                    up
FastEthernet0/2            unassigned      YES unset  down                  down
FastEthernet0/3            unassigned      YES unset  down                  down
FastEthernet0/4            unassigned      YES unset  down                  down
FastEthernet0/5            unassigned      YES unset  down                  down
FastEthernet0/6            unassigned      YES unset  down                  down
FastEthernet0/7            unassigned      YES unset  down                  down
FastEthernet0/8            unassigned      YES unset  down                  down
FastEthernet0/9            unassigned      YES unset  down                  down
FastEthernet0/10           unassigned      YES unset  down                  down
FastEthernet0/11           unassigned      YES unset  down                  down
FastEthernet0/12           unassigned      YES unset  down                  down
FastEthernet0/13           unassigned      YES unset  down                  down
FastEthernet0/14           unassigned      YES unset  down                  down
FastEthernet0/15           unassigned      YES unset  down                  down
FastEthernet0/16           unassigned      YES unset  down                  down
FastEthernet0/17           unassigned      YES unset  down                  down
FastEthernet0/18           unassigned      YES unset  down                  down
FastEthernet0/19           unassigned      YES unset  down                  down
FastEthernet0/20           unassigned      YES unset  down                  down
FastEthernet0/21           unassigned      YES unset  down                  down
FastEthernet0/22           unassigned      YES unset  down                  down
FastEthernet0/23           unassigned      YES unset  down                  down
FastEthernet0/24           unassigned      YES unset  down                  down
FastEthernet0/25           unassigned      YES unset  down                  down
FastEthernet0/26           unassigned      YES unset  down                  down
FastEthernet0/27           unassigned      YES unset  down                  down
FastEthernet0/28           unassigned      YES unset  down                  down
FastEthernet0/29           unassigned      YES unset  down                  down
FastEthernet0/30           unassigned      YES unset  down                  down
FastEthernet0/31           unassigned      YES unset  down                  down
FastEthernet0/32           unassigned      YES unset  down                  down
FastEthernet0/33           unassigned      YES unset  down                  down
FastEthernet0/34           unassigned      YES unset  down                  down
FastEthernet0/35           unassigned      YES unset  down                  down
FastEthernet0/36           unassigned      YES unset  down                  down
FastEthernet0/37           unassigned      YES unset  down                  down
FastEthernet0/38           unassigned      YES unset  down                  down
FastEthernet0/39           unassigned      YES unset  down                  down
FastEthernet0/40           unassigned      YES unset  down                  down
FastEthernet0/41           unassigned      YES unset  down                  down
FastEthernet0/42           unassigned      YES unset  down                  down
FastEthernet0/43           unassigned      YES unset  down                  down
FastEthernet0/44           unassigned      YES unset  down                  down
FastEthernet0/45           unassigned      YES unset  down                  down
FastEthernet0/46           unassigned      YES unset  down                  down
FastEthernet0/47           unassigned      YES unset  down                  down
FastEthernet0/48           unassigned      YES unset  down                  down
GigabitEthernet0/1         unassigned      YES unset  down                  down
GigabitEthernet0/2         unassigned      YES unset  down                  down
switch-floor-1#

Протестируем подключение между компьютером и коммутатором. Открываем окно командной строки (cmd.exe) на компьютере. В командной строке пишем команду ipconfig для того, чтобы посмотерть сведения об IP-адресе.



Там же в командной строке вводим команду ping, которая используется для проверки подключения.



Обратите внимание, что первый тест прошел неудачно, мы видим сообщение Request timed out. Это связано с тем, что отработал протокол ARP, который используется для получения неизвестного MAC-адреса получателя по известному IP-адресу. Второй тест прошел успешно, поскольку MAC-адрес получателя уже был в ARP-кеше компьютера.
Теперь проверим удаленное подлючение с компьютера на коммутатор через сеть с помощью Telnet. Для этого на комьютере запустим PuTTy и в строке Host Name (or IP address) вводим IP-адрес 192.168.1.2, который был назначен на VLAN 1 коммутатора. Выбираем протокол Telnet для подключения, оставляем порт 23 по умолчанию и нажимаем Open.

 




Ну что ж, осталось сохранить настройки коммутатора:
switch-floor-1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
switch-floor-1#

А если вам необходимо наоборот удалить сохраненные настройки и сбросить настройки коммутатора к заводским, то воспользуйтесь следующими командами:
switch-floor-1#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
switch-floor-1#
06:48:31: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvramreload                  
switch-floor-1#reload
Proceed with reload? [confirm]

06:48:46: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.
Автор: Admi0n на 14:50 0 коммент.

10 полезных «IP» команд для настройки сетевых интерфейсов для Linux



Как настроить статический IP-адрес Интернет-протокола (IPv4)?
Чтобы настроить статический IP-адрес, необходимо обновить или отредактировать файл конфигурации сети, чтобы назначить статический IP-адрес системе. Вы должны быть суперпользователем, используйте команду su (switch user) из терминала или командной строки.

Для RHEL / CentOS / Fedora

Откройте и отредактируйте файл конфигурации сети для (eth0 или eth1), используя ваш любимый редактор. Например, для назначения IP-адреса интерфейсу eth0 выполните команду следующим образом:

[root@tecmint ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

Пример вывода:

DEVICE="eth0"
BOOTPROTO=static
ONBOOT=yes
TYPE="Ethernet"
IPADDR=192.168.50.2
NAME="System eth0"
HWADDR=00:0C:29:28:FD:4C
GATEWAY=192.168.50.1

Для Ubuntu / Debian / Linux Mint

Присвойте статический IP-адрес файлу конфигурации редактирования интерфейса eth0 в файле  /etc/network/interfaces для внесения постоянных изменений, как показано ниже:

auto eth0
iface eth0 inet static
address 192.168.50.2
netmask 255.255.255.0
gateway 192.168.50.1

Затем перезапустите сетевые службы после ввода всех данных, используя следующую команду:

# /etc/init.d/networking restart


Если вы не привилегирован пользователь:

$ sudo /etc/init.d/networking restart

1. Как назначить IP-адрес определенному интерфейсу?

Следующая команда используется для назначения IP-адреса конкретному интерфейсу (eth1):

# ip addr add 192.168.50.5 dev eth1


Если вы не привилегирован пользователь:

$ sudo ip addr add 192.168.50.5 dev eth1


Примечание. К сожалению, все эти настройки будут потеряны после перезагрузки системы.


2. Как проверить IP-адрес?

Чтобы получить информацию о ваших сетевых интерфейсах, такую ​​как IP-адрес, информация о MAC-адресе, используйте следующую команду, как показано ниже:

# ip addr show

Если вы не привилегирован пользователь:

$ sudo ip addr show

Пример вывода:

1: lo: mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:0c:29:28:fd:4c brd ff:ff:ff:ff:ff:ff
inet 192.168.50.2/24 brd 192.168.50.255 scope global eth0
inet6 fe80::20c:29ff:fe28:fd4c/64 scope link
valid_lft forever preferred_lft forever
3: eth1: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:0c:29:28:fd:56 brd ff:ff:ff:ff:ff:ff
inet 192.168.50.5/24 scope global eth1
inet6 fe80::20c:29ff:fe28:fd56/64 scope link
valid_lft forever preferred_lft forever

3. Как удалить IP-адрес?

Следующая команда удалит назначенный IP-адрес из данного интерфейса (eth1):

# ip addr del 192.168.50.5/24 dev eth1

Если вы не привилегирован пользователь:

$ sudo ip addr del 192.168.50.5/24 dev eth1
 
4. Как включить сетевой интерфейс?

Флаг «up» вместе с именем интерфейса (eth1) включает сетевой интерфейс. Например, следующая команда активирует сетевой интерфейс eth1:

# ip link set eth1 up

 Если вы не привилегирован пользователь:

$ sudo ip link set eth1 up

5. Как отключить сетевой интерфейс?

Флаг «down» с именем интерфейса (eth1) отключает сетевой интерфейс. Например, следующая команда деактивирует сетевой интерфейс eth1:

# ip link set eth1 down

Если вы не привилегирован пользователь:

$ sudo ip link set eth1 down

6. Как можно проверить таблицу маршрутизации?

Введите следующую команду, чтобы проверить информацию из таблицы маршрутизации системы:

# ip route show

Если вы не привилегирован пользователь:

$ sudo ip route show

Пример вывода:

10.10.20.0/24 via 192.168.50.100 dev eth0
192.168.160.0/24 dev eth1 proto kernel scope link src 192.168.160.130 metric 1
192.168.50.0/24 dev eth0 proto kernel scope link src 192.168.50.2
169.254.0.0/16 dev eth0 scope link metric 1002
default via 192.168.50.1 dev eth0 proto static

7. Как добавить статический маршрут?
Зачем вам нужно добавлять Static или Manual маршруты? Всё потому, что трафик не должен проходить через шлюз по умолчанию. Нам нужно добавить статические маршруты для прохождения трафика, то есть для оптимизации способа маршрутизации трафика к месту назначения:

# ip route add 10.10.20.0/24 via 192.168.50.100 dev eth0

Если вы не привилегирован пользователь:

$ sudo ip route add 10.10.20.0/24 via 192.168.50.100 dev eth0

8. Как убрать статический маршрут?

Чтобы удалить назначенный статический маршрут, просто введите следующую команду:

# ip route del 10.10.20.0/24

Если вы не привилегирован пользователь:

$ sudo ip route del 10.10.20.0/24

9. Как добавить постоянные статические маршруты?

Все вышеперечисленные маршруты будут потеряны после перезагрузки системы. Чтобы добавить постоянный статический маршрут, отредактируйте файл /etc/sysconfig/network-scripts/route-eth0 (мы сохраняем статический маршрут для eth0, добавляем следующие строки и сохраняем изменения). По умолчанию не нужно создавать файл route-eth0.
Для RHEL / CentOS / Fedora

# vi /etc/sysconfig/network-scripts/route-eth0
10.10.20.0/24 via 192.168.50.100 dev eth0

Для Ubuntu/Debian/Linux Mint

Откройте файл /etc/network/interfaces и в конце добавьте постоянные статические маршруты. IP-адреса могут отличаться в вашей среде:

$ sudo vi /etc/network/interfaces

auto eth0
iface eth0 inet static
address 192.168.50.2
netmask 255.255.255.0
gateway 192.168.50.100
#########{Static Route}###########
up ip route add 10.10.20.0/24 via 192.168.50.100 dev eth0

Затем перезапустите сетевые службы после ввода всех данных, используя следующую команду:

# /etc/init.d/network restart

Если вы не привилегирован пользователь:

$ sudo /etc/init.d/network restart

10. Как добавить шлюз по умолчанию?

Шлюз по умолчанию может быть указан глобально или же в конфигурационном файле для конкретного интерфейса. Преимущество шлюза по умолчанию — если в системе присутствует несколько сетевых карт. Вы можете добавить шлюз по умолчанию, как показано ниже:

# ip route add default via 192.168.50.100

Если вы не привилегирован пользователь:

$ sudo ip route add default via 192.168.50.100
Автор: Admi0n на 13:49 0 коммент.

воскресенье, 29 декабря 2019 г.

Fix bash: /etc/profile.d/vte.sh: No such file or directory - Ubuntu Linux


Автор: Admi0n на 17:39 0 коммент.

среда, 21 августа 2019 г.

Установка Zabbix 4.0 из репозитория на Ubuntu 18.04

    1. Обновляем наш Ubuntu Server 18.04

      sudo apt update && sudo apt dist-upgrade -y

    2. Открываем страницу загрузки Zabbix

      https://www.zabbix.com/download

    3. Выбираем параметры установки

      • Zabbix version : Zabbix 4.0 LTS
      • OS Distribution : Ubuntu
      • OS Versio : 18.04 (Bionic)
      • Database : PostgreSQL
        Страница загрузки автоматом выведет нам все необходимые команды

    4. Устанавливаем репозиторий

      cd /tmp
wget https://repo.zabbix.com/zabbix/4.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.0-2+bionic_all.deb
sudo dpkg -i zabbix-release_4.0-2+bionic_all.deb
sudo apt update

    5. Устанавливаем сервер, веб-интерфейс и агент и zabbix-get

      • sudo apt -y install zabbix-server-pgsql zabbix-frontend-php php-pgsql zabbix-agent zabbix-get

    6. Создаём базу данных

      • sudo -u postgres createuser --pwprompt zabbix
      Вводим пароль который будет у БД
      • sudo -u postgres createdb -O zabbix zabbix

    7. Импортируем начальную схему и данные

      • zcat /usr/share/doc/zabbix-server-pgsql*/create.sql.gz | sudo -u zabbix psql zabbix

    8. Настраиваем пароль БД в Zabbix

      • sudo nano /etc/zabbix/zabbix_server.conf
      • DBPassword=Указываем_ваш_пароль
      Указываем пароль который задавали в шаге 6. Для того чтобы сохранить изсенения нажимаем Ctrl+O, чтобы выйти Ctrl+X

    9. Настраиваем PHP

      • sudo nano /etc/php/7.2/apache2/php.ini
      Ищем строку # date.timezone = . Её надо раскомментировать и казать свою временную зону. Если не помните наизусть, подсмотреть можно тут: Список поддерживаемых временных зон. Так же чтобы сохранить изменения нажимаем Ctrl+O, чтобы выйти Ctrl+X
      Перезапускаем apache2
      • sudo service apache2 restart

    10. Запускаем процессы сервера и агента

      • sudo systemctl restart zabbix-server zabbix-agent apache2
      • sudo systemctl enable zabbix-server zabbix-agent apache2

  • Настройка веб-интерфейса Zabbix

    1. Переходим в веб интерфейс Zabbix

      http://<адрес вашего сервера>/zabbix
      Если вдруг вы уже забыли айпишник, его можно посмотреть вбив в терминал команды ip address show или ifconfig
      Установка Zappix 4.0 - Welcome to Zabbix
      Welcome to Zabbix

    2.  Проверяем предварительные требования

      Установка Zappix 4.0 - Check of pre-requisites
      Check of pre-requisites

    3. Настраиваем подключение к СУБД

      Установка Zappix 4.0 - Configure DB connection
      Configure DB connection
      В поле Password указывается пароль который мы задали пользователю zabbix в предыдущем разделе в шаге 6.

    4. Настройка связи с сервером

      Установка Zappix 4.0 - Zabbix server details
      Zabbix server details
      Zabbix login screenВ нашем случае и сервер и фронтенд находятся на одном сервере, поэтому оставляем всё как есть. В Name можно указать имя нашей инсталяции

    5. Проверяем суммарную информацию

      Заббикс выведет окно где можно прочитать все данные что мы уже указали

    6. Завершаем установку веб-интерфейса

      Нажимаем Finish и видим логинскрин:
      Установка Zappix 4.0 - Zabbix login screen

    7. Zabbix 4.0 логин и пароль по умолчанию

      Admin / zabbix
      Авторизуемся в системе.
Автор: Admi0n на 00:46 0 коммент.

понедельник, 19 августа 2019 г.

Mikrotik два провайдера - резервирование


Автор: Admi0n на 20:43 0 коммент.

воскресенье, 18 августа 2019 г.

VoIP - FXO и FXS в чем разница

В процессе нашей работы, часто приходится сталкиваться с ситуациями, когда заказчик, при переходе от аналоговой телефонии (ТФОП – Телефонная Сеть Общего Пользования) к VoIP не может отказаться от имеющегося у него аналогового оборудования. Это могут быть как аналоговые телефоны, факсимильные и модемные устройства так и вся аналоговая АТС. Причины могут быть абсолютно разные, но решение всегда одно - поставить специальные шлюзы c FXS/FXO интерфейсами, с помощью которых можно "подружить" аналоговый мир и мир IP.
Как можно догадаться FXS/FXO интерфейсы (или порты) - это аналоговый мир и одно не может существовать без другого. Что же это за интерфейсы и как они работают - читайте в этой статье.

Предыстория

Традиционная аналоговая телефонная сеть – это совокупность технических сооружений и аналоговых линий связи, обеспечивающих возможность осуществления телефонных соединений по средствам аналоговых телефонных аппаратов. Подключение к телефонной сети общего пользования (POTS – Plain Old Telephone Service) - это услуга, которую предоставляет местная телефонная компания из своих центральных офисов (CO – Central Office) для домашних или офисных абонентов. Подключение осуществляется с помощью электрических проводов, состоящих из двух медных жил. Чтобы увеличить расстояние, на которое может быть передан сигнал и уменьшить электромагнитные помехи, жилы скручиваются вместе, такой метод называется «витая пара».

Интерфейс FXS

Медные провода протягиваются до помещений конечных абонентов (квартиры и жилые дома – для домашних абонентов, офисные здания и комнаты – для офисных абонентов) и заканчиваются в виде телефонной розетки в стене, как правило, с разъёмом стандарта RJ-11 (У кого то может быть ещё остались советские РТШК).

FXS розетка в стене
И это, дорогие друзья, и есть тот самый интерфейс или порт FXS – Foreign eXchange Subscriber / Station, по которому местная телефонная компания предоставляет сервис POTS. В данный порт должны подключаться оконечные абонентские устройства, такие как телефон, факс или модем. Буква ”S”- (Subscriber - абонент) в аббревиатуре FXS как бы подсказывает, что данный интерфейс будет ожидать подключения именно от абонентcкого устройства.
Основные функции, которые обеспечивает FXS порт это:
  • Зуммер - непрерывный сигнал, который Вы слышите, когда снимаете трубку, означающий, что телефонная станция готова принимать номер. В англоязычной литературе – Dial Tone;
  • ток заряда батареи питания линии
  • Напряжение линии - постоянное напряжение аналоговой телефонной линии, необходимое для осуществления звонка;
Итак, запомните – к FXS всегда подключаем абонентские оконечные устройства, это то, что мы получаем от провайдера телефонной связи.
Интерфейс FXO
Устройства FXO – Foreign eXchange Office - это устройства, которые получают сервис POTS, то есть это оконечные устройства – телефоны, факсы модемы и так далее. Эти устройства также имеют разъём стандарта RJ-11 и ожидают подключения со стороны телефонной станции (CO – Central Office), о чем свидетельствует буква «O» - Office в аббревиатуре FXO.
Данный интерфейс обеспечивает функции определения поднятия трубки (on-hook/off-hook), то есть факт замыкания цепи, которая в свою очередь вызывает отправку Dial Tone со стороны телефонной станции.
Итак, запомните – к FXO всегда подключаем линию от провайдера телефонной связи.
А теперь, закрепим усвоенное.
  • FXS порт – это наша домашняя (или офисная) телефонная розетка, которую нам предоставляет провайдер телефонных услуг. К ней мы подключаем абонентские аппараты (телефоны, факсы и прочие)
  • FXO порт – это разъем на нашем телефоне, его мы всегда подключаем к FXS, то есть к телефонной станции провайдера услуг POTS.

Схема подключения аналогового телефона к FXS розетке  
Кстати, важно отметить, что нельзя подключить FXO устройство к другому FXO устройству, ну и FXS к FXS. Например, если вы напрямую соедините два телефона (FXO), то вы не сможете позвонить с одного на другой.
Аналоговые УАТС и FXS/FXO
Если в офисе используется старая аналоговая учрежденческая АТС (УАТС), то это немного меняет картину. УАТС должна иметь оба типа интерфейсов, как FXS, так и FXO.
Линии от провайдера телефонных услуг (FXS), должны подключаться к FXO интерфейсам аналоговой УАТС, обеспечивая Dial Tone и напряжение линии, а сами оконечные устройства – телефонные аппараты, как устройства FXO, должны подключаться к FXS интерфейсам аналоговой УАТС и обеспечивать определения снятия трубки.

Подключение FXS и FXO интерфейсов к IP – АТС
 
VoIP и FXS/FXO
Как я уже писал в начале статьи, для того, чтобы «подружить» аналоговый мир и мир IP, необходимо использовать VoIP шлюзы. Однако то, какой именно использовать шлюз FXO или FXS – зависит от ситуации. Как правило ситуаций всего две:
Пример №1
У нас есть медные линии от местной телефонной компании, но отказываться мы от них не хотим. Планируем поставить в качестве офисной телефонной станции IP-АТС Asterisk.
В этом случае нам нужен FXO шлюз. Медные линии от провайдера (FXS) мы подключаем в FXO порты шлюза, а к Ethernet портам шлюза подключается IP-АТС Asterisk. FXO шлюз производит преобразование аналоговых сигналов от аналоговой станции нашей местной телефонной компании в цифровые сигналы, которые понимает IP-АТС Asterisk. Схема такая:

Схема подключения Asterisk к аналоговому провайдеру
 
Пример №2
У нас есть аналоговые телефоны и факс, отказываться от них мы не хотим. Однако отказались от старой аналоговой АТС и перешли на IP-АТС Asterisk
В этом случае, нам нужен FXS шлюз. Наши аналоговые телефоны – это аппараты FXO, поэтому их мы подключаем к FXS портам шлюза, а к Ethernet порту подключаем IP-АТС Asterisk. FXS шлюз осуществляет преобразование аналоговых сигналов от аналоговых телефонов в цифровые сигналы, которые понимает Asterisk. Схема примерно такая:

Схема подключения аналоговых телефонов к IP – АТС Asterisk через FXS шлюз
На этом всё, друзья. Искренне надеюсь, что данная статья поможет вам разобраться в разнице между FXS и FXO интерфейсами и пригодится в ваших проектах :)
Автор: Admi0n на 17:49 0 коммент.

понедельник, 12 августа 2019 г.

Настройка Wi-Fi роуминга в MikroTik CAPsMAN

Что такое Wi-Fi роуминг

Wi-Fi роуминг позволяет клиенту перемещаться от одной Wi-Fi точки к другой без обрыва соединения. При этом потери передаваемых данных минимальны или вообще отсутствуют (бесшовный роуминг). В оборудовании MikroTik роуминг реализуется с помощью системы CAPsMAN.
Wi-Fi роуминг MikroTik CAPsMAN
Система CAPsMAN предназначена для централизованного управления несколькими Wi-Fi точками доступа MikroTik. С ее помощью можно настроить для Wi-Fi точек одно имя сети, пароль для подключения и реализовать роуминг. После внесения изменений в настройки CAPsMAN, они автоматически применяются ко всем Wi-Fi точкам.
CAPsMAN настраивается на любом роутере MikroTik. Т.е. роутер выступает в роли контроллера, а Wi-Fi точки подключаются к нему и получают настройки. Поэтому вам не нужно дополнительно покупать аппаратный контроллер.
У каждого производителя Wi-Fi роуминг реализован по-своему. Поэтому нельзя организовать бесшовную сеть, используя Wi-Fi точки разных производителей.
Полноценный бесшовный роуминг с отсутствием потерь передаваемых данных есть только в очень дорогом оборудовании с применением аппаратных контроллеров. В дом, кафе или гостиницу такое оборудование могут позволить себе очень немногие.
В недорогих решениях, как у MikroTik, роуминг происходит с небольшими задержками и потерями данных. Например, при разговоре по Skype или Viber при переходе от точки к точке на 1-2 секунды может залагать звук. Если вы качаете файл с сайта, не поддерживающего докачку, то при переходе произойдет обрыв, и закачку придется выполнить заново. При просмотре видео с Youtube переключение будет незаметно, поскольку данные кэшируются. При серфинге в браузере переключение так же незаметно.
Еще бывают ситуации, когда клиентское устройство подключается к одной Wi-Fi точке и никак не хочет переключаться на другую, даже если стоять возле нее. В этом случае можно настроить принудительное сбрасывание клиента с точки в зависимости от уровня сигнала. Однако при таком сбросе, если вы разговариваете по Skype или Viber, произойдет завершение звонка и нужно будет перезвонить.
Поэтому для организаций, которым очень важно высокое качество VoIP телефонии c постоянным перемещением между Wi-Fi точками, роуминг от MikroTik не подойдет. Для больших складов, по территории которых активно перемещаются с Wi-Fi терминалами сбора данных (сканерами штрих-кода), роуминг от MikroTik я тоже не рекомендую.
Для домашнего использования, кафе или небольшой гостиницы, описанные недостатки роуминга MikroTik не существенны. Поэтому оборудование MikroTik позволит вам создать единую Wi-Fi сеть за небольшие деньги.
В этой статье мы расскажем, как на роутере MikroTik настроить систему CAPsMAN и подключить к ней Wi-Fi точки для организации роуминга.


Требования к оборудованию

На оборудовании MikroTik должна быть установлена операционная система RouterOS Level4 не ниже версии v6.23.
Если у вас старая версия RouterOS, обновите ее до последней. Как это сделать, описано в статье Как обновить MikroTik RouterOS.
Мы будем использовать двухдиапазонные устройства с поддержкой ac стандарта: роутер hAP ac и точку доступа wAP ac.
Двухдиапазонный роутер MikroTik hAP ac и точка доступа wAP ac


Активация пакета wireless-cm2

Перед настройкой, необходимо убедиться, что на всех устройствах используется пакет wireless-cm2.
Внимание! Начиная с RouterOS 6.37, пакет называется просто wireless.

Откройте меню System - Packages. В списке пакетов wireless-cm2 должен быть активным. Если он выделен серым цветом, а активен пакет wireless-fp или wireless-rep, тогда выберите wireless-cm2 и нажмите кнопку Enable. После этого перезагрузите устройство через меню System - Reboot.
Активация пакета wireless-cm2
Если у вас в списке вообще нет пакета wireless-cm2, тогда его нужно установить. Для этого скачайте с официального сайта Extra packages для вашего роутера и распакуйте архив. Далее в Winbox откройте меню Files и перетяните туда файл wireless-cm2. После копирования перезагрузите роутер и активируйте пакет wireless-cm2.


Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.
Сначала активируем CAPsMAN:
  1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
  2. Нажмите кнопку Manager.
  3. В появившемся окне поставьте галочку Enable.
  4. Нажмите кнопку OK.
Активация MikroTik CAPsMAN

Выполняем настройку Wi-Fi канала:
  1. Перейдите на вкладку Channels.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
  4. В поле Frequency укажите частоту, на которой будет работать Wi-Fi точка. К сожалению, нет выпадающего списка с частотами и частоту нужно прописать вручную. Подсмотреть список частот можете здесь или через меню Wireless - вкладка Interfaces - откройте настройки необходимого интерфейса, например, wlan1 - перейдите на вкладку Wireless и в выпадающем списке Frequency посмотрите частоты. Если не указать частоту, то она будет выбираться автоматически. Мы указали частоту 2412 Mhz.
  5. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
  6. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
  7. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
  8. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
  9. Нажмите кнопку OK.
Настройка канала 2,4ГГц в MikroTik CAPsMAN

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.
Настройка канала 5ГГц в MikroTik CAPsMAN

В итоге получаем два канала: channel2 и channel5.
Список каналов в MikroTik CAPsMAN

Настраиваем пароль для подключения к Wi-Fi сети:
  1. Перейдите на вкладку Security Cfg.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
  4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
  5. В Encryption выберите алгоритм aes ccm.
  6. В списке Group Encryption выберите алгоритм aes ccm.
  7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
  8. Нажмите кнопку OK.
Настройка безопасности Security Cfg. в MikroTik CAPsMAN

Настраиваем режим обработки данных Datapaths:
  1. Перейдите на вкладку Datapaths
  2. Нажмите синий плюсик.
  3. В поле Name оставляем имя без изменения datapath1.
  4. В списке Bridge выберите бридж интерфейс.
  5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.
    В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.
    В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
  6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
  7. Нажмите OK.
Настройка режима обработки данных Datapaths в MikroTik CAPsMAN

Создаем новую конфигурацию для частоты 2,4ГГц.
  1. Перейдите на вкладку Configurations.
  2. Нажмите синий плюсик.
  3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
  4. В списке Mode выберите режим работы ap - точка доступа.
  5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
  6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.
Создание новой конфигурации для частоты 2,4ГГц в MikroTik CAPsMAN

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.
Выбор канала 2,4ГГц

Перейдите на вкладку Datapath и выберите datapath1.
Выбор профиля Datapath

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.
Выбор профиля безопасности

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.
Создание новой конфигурации для частоты 5ГГц в MikroTik CAPsMAN

Выбор канала 5ГГц

Выбор профиля Datapath

Выбор профиля безопасности

В итоге получаем две конфигурации для 2,4 и 5ГГц.
Список конфигураций

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.
  1. Откройте вкладку Provisioning.
  2. Нажмите синий плюсик.
  3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
  4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
  5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
  6. Нажмите OK.
Настройка развертывания Provisioning для частоты 2,4ГГц

Добавьте второе правило развертывания для частоты 5ГГц.
  1. Нажмите синий плюсик.
  2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
  3. В списке Action выберите create enabled.
  4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
  5. Нажмите OK.
Настройка развертывания Provisioning для частоты 5ГГц

Добавляем правила Firewall в роутере

В последних прошивках в конфигурации по умолчанию Firewall блокирует трафик CAPsMAN. Поэтому нужно добавить в Firewall правила, которые разрешат прохождение трафика CAPsMAN.
Откройте в роутере меню New Terminal и выполните следующие команды:
# Добавляем в фаервол правило разблокировки трафика CAPsMAN
/ip firewall filter add action=accept chain=input dst-address-type=local src-address-type=local comment="UnblockCapsman" disabled=no

# Перемещаем в фаерволе правило UnblockCapsman вверх выше остальных правил
/ip firewall filter move [find comment="UnblockCapsman"] 1

В настройках менеджера CAPsMAN может быть ограничена его работа на определенных интерфейсах. Нужно включить CAPsMAN на всех интерфейсах сети, и запретить на любом интерфейсе, на котором вы не хотите слушать CAPsMAN, например, на входящем WAN порту ether1:
/caps-man manager interface
remove [find where interface=bridge and forbid=no]
set [find default=yes] forbid=no
add forbid=yes interface=ether1


Добавляем Wi-Fi интерфейсы роутера в контроллер

Наш роутер имеет встроенный Wi-Fi, поэтому его беспроводные интерфейсы необходимо добавить в контроллер CAPsMAN.
  1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.
    CAP настройка Wi-Fi интерфейсов
     
  2. Поставьте галочку Enabled.
  3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
  4. В списке Discovery Interfaces выберите бридж интерфейс.
  5. Нажмите OK.
Добавляем Wi-Fi интерфейсы роутера в контроллер MikroTik CAPsMAN
В поле CAPsMAN Addresses мы не указываем IP адрес контроллера, поскольку наш роутер и Wi-Fi точка физически находятся в одном сегменте сети и найдут контроллер по MAC адресу. Т.е. они будут работать на уровне Layer 2.
Если ваши устройства физически находятся в разных сегментах сети, то указывайте IP адрес контроллера и ничего не указывайте в поле Discovery Interfaces. Ваши устройства будут работать на уровне Layer 3.

После этого произойдет автоматическая настройка и запуск интерфейсов wlan1 на 2,4ГГц и wlan2 на 5ГГц.
Автоматическая настройка и запуск интерфейсов в MikroTik CAPsMAN

В меню CAPsMAN на вкладке Interfaces автоматически создадутся два новых интерфейса cap1 и cap2.
Новые интерфейсы CAPsMAN


Добавляем Wi-Fi точку в контроллер

Зайдите через программу Winbox в настройки Wi-Fi точки в меню Quick Set, выберите режим CAP и согласитесь с изменениями. После этого режим CAP автоматически поменяется на Ethernet - это нормально.
Выбор режима CAP для Wi-Fi точки доступа MikroTik

Если программа Winbox не находит вашу Wi-Fi точку, тогда подключитесь ноутбуком или смартфоном к устройству по Wi-Fi. После этого введите в браузере адрес 192.168.88.1, и вы попадете в Web-интерфейс настройки точки доступа. Откройте меню Quick Set, выберите режим CAP и нажмите кнопку Apply Configuration. После этого Winbox должен увидеть устройство, и можно приступать к настройке.
Выбор режима CAP через Web-интерфейс

Перед настройкой проверьте, что у точки доступа в меню System - Packages активирован пакет wireless-cm2 и версия RouterOS совпадает с версией, установленной на роутере.
Проверка активации пакета wireless-cm2

Добавляем правила Firewall в точке доступа

В последних прошивках в конфигурации по умолчанию Firewall блокирует трафик CAPsMAN. Поэтому нужно добавить в Firewall правила, которые разрешат прохождение трафика CAPsMAN.
Откройте в точке доступа меню New Terminal и выполните следующие команды:
# Добавляем в фаервол правило разблокировки трафика CAPsMAN
/ip firewall filter add action=accept chain=input dst-address-type=local src-address-type=local comment="UnblockCapsman" disabled=no

# Перемещаем в фаерволе правило UnblockCapsman вверх выше остальных правил
/ip firewall filter move [find comment="UnblockCapsman"] 1

Приступаем к настройке Wi-Fi интерфейсов:
  1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.
    CAP настройка Wi-Fi интерфейсов точки доступа
     
  2. В появившемся окне поставьте галочку Enabled.
  3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
  4. В списке Discovery Interfaces выберите бридж интерфейс.
  5. Нажмите OK.
Добавляем Wi-Fi интерфейсы точки доступа в контроллер MikroTik CapsMan

После этого Wi-Fi точка автоматически получит настройки и запустит интерфейсы wlan1 на 2,4ГГц и wlan2 на 5ГГц.
Автоматическая настройка и запуск интерфейсов точки доступа в MikroTik CAPsMAN

Теперь откройте настройки роутера, и перейдите в меню CAPsMAN на вкладку Interfaces. Здесь автоматически создались еще два новых интерфейса точки доступа cap3 и cap4.
Новые интерфейсы точки доступа в контроллере MikroTik CAPsMAN

Изменяем идентификатор роутера и точки доступа

Чтобы было удобно отслеживать, к какому устройству подключился клиент, переименуем их идентификаторы.
  1. В настройках роутера перейдите в меню CAPsMAN на вкладку Remote CAP.
  2. Откройте двойным щелчком мыши необходимое устройство.
  3. Нажмите кнопку Set Identity.
  4. В поле Identity укажите необходимое имя. Для роутера мы указали имя router, а для точки - ap1.
  5. Нажмите кнопку Set Identity.
  6. Нажмите кнопку OK.
Переименование идентификатора роутера и точки доступа

Проверяем работу роуминга

Подключитесь смартфоном или планшетом к Wi-Fi сети mikrotik2 на 2,4ГГц или mikrotik5 на 5ГГц.
В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Registration Table. Здесь видно, что наш планшет подключился к интерфейсу cap2 на 5ГГц.
Проверка работы роуминга MikroTik CAPsMAN

Чтобы понять, какому устройству принадлежит интерфейс cap2, перейдите на вкладку Radio и посмотрите. Здесь видно, что cap2 принадлежит роутеру router.
Определяем, к какому устройству подключился клиент

Далее возьмите планшет и перейдите с ним к Wi-Fi точке. Произойдет автоматическое переключение, и на вкладке Registration Table название интерфейса поменяется на сap4 - это интерфейс точки доступа ap1.
Автоматический роуминг MikroTik CAPsMAN

Если роутер и точка доступа находятся рядом, то переключение может не произойти. Нужно, чтобы они были достаточно удалены друг от друга. На открытом пространстве без преград расстояние между точками лучше делать около 35 метров, чтобы они не глушили друг друга. При наличии стен расстояние можно уменьшить.
На этом настройка роуминга MikroTik завершена. Далее мы рассмотрим частные способы расширенной настройки.

Настройка сбрасывания клиентов с плохим уровнем сигнала

Бывают ситуации, когда клиентское устройство подключается к одной Wi-Fi точке и никак не хочет переключаться на другую, даже если стоять возле нее. В этом случае можно настроить принудительное сбрасывание клиента с точки в зависимости от уровня сигнала. Однако при таком сбросе, если вы разговариваете по Skype или Viber, произойдет завершение звонка и нужно будет перезвонить. Я этой настройкой не пользуюсь, поскольку мне не нравятся такие обрывы связи. Но если вам это необходимо, то приступайте к настройке.
  1. В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Access List.
  2. Нажмите синий плюсик.
  3. Укажите уровень, при котором сбрасывать клиента с Wi-Fi точки. На картинке видно, что клиент с уровнем сигнала -85 dBm и хуже (-120 dBm), будет сбрасываться с точки. Обратите внимание, что необходимый уровень сбрасывания прописывается справа! Поиграйтесь с уровнями от -75 до -85 (т.е. -120..-75, -120..-80, -120..-85), чтобы выбрать оптимальный для вас.
  4. В списке Action выберите reject.
  5. Нажмите кнопку OK.
Настройка сбрасывания клиентов с плохим уровнем сигнала в MikroTik CapsMan

Настройка гостевой Wi-Fi сети

Если вы предоставляете в кафе или гостинице бесплатный доступ к Wi-Fi для гостей, то вам может потребоваться в целях безопасности разделить сеть организации и гостевую сеть. Иначе гости смогут получить доступ к вашим серверам, рабочим компьютерам или принтерам. Далее мы расскажем, как создать отдельную гостевую Wi-Fi сеть, изолировать ее, и ограничить скорость для посетителей.
Первым делом создадим бридж интерфейс, который будет использоваться для Wi-Fi сети с бесплатным доступом к интернету.
  1. В настройках роутера откройте меню Bridge.
  2. Перейдите на вкладку Bridge и нажмите синий плюсик.
  3. В поле Name введите имя интерфейса bridge-free.
  4. Нажмите кнопку OK.
Создаем отдельный бридж для гостевой сети

Настроим IP адресацию новой сети. Она должна отличаться от адресации основной сети. По умолчанию сеть роутера MikroTik имеет IP адреса 192.168.88.1 - 192.168.88.254. Поэтому мы решили создать новую сеть с адресным пространством 192.168.1.1 - 192.168.1.254.
  1. Откройте меню IP - Addreses.
  2. Нажмите синий плюсик.
  3. В поле Address введите IP адрес бридж интерфейса и маску 192.168.1.1/24
  4. В поле Network введите адрес сети 192.168.1.0
  5. В списке Interface выберите бридж интерфейс bridge-free.
  6. Нажмите OK.
Настройка адресации бриджа

Настраиваем DHCP Server, который будет автоматически назначать IP адреса клиентам.
  1. Откройте меню IP - DHCP Server.
  2. На вкладке DHCP нажмите кнопку DHCP Setup.
Настройка DHCP сервера для гостевой сети

В появившемся окне выберите интерфейс bridge-free и нажмите кнопку Next.
Выбор интерфейса для DHCP сервера

Ничего не меняем, жмем Next.
Выбор IP адреса DHCP сервера

Опять Next.
Выбор шлюза для DHCP сервера

Снова Next.
Диапазон IP адресов для DHCP сервера

Предпоследний Next.
Адреса DNS серверов для DHCP сервера

И последний Next.
Время аренды IP адреса

Готово. Жмем OK.
Настройка DHCP сервера успешно завершена

Теперь необходимо настроить CAPsMAN, чтобы он создал на устройствах виртуальные Wi-Fi интерфейсы.
Откройте меню CAPsMAN, перейдите на вкладку Security Cfg. и нажмите синий плюсик.
Добавляем открытую настройку безопасности

Здесь мы указываем параметры безопасности сети. Поскольку наша сеть будет без пароля, достаточно указать имя профиля безопасности security-free и нажать кнопку OK.
Указываем имя профиля безопасности

Перейдите на вкладку Datapaths и нажмите синий плюсик. Укажите имя datapath-free и выберите бридж интерфейс bridge-free. Нажмите кнопку OK. Параметр local forwarding мы не указываем, чтобы гостевые устройства не общались друг с другом в сети.
Настройка Datapaths для гостевой сети

Перейдите на вкладку Configurations и нажмите синий плюсик, чтобы создать новую конфигурацию открытой сети.
Добавляем конфигурацию для гостевой сети в MikroTik CapsMan

Сначала создадим конфигурацию для частоты 2,4ГГц.
  1. На вкладке Wireless укажите название конфигурации cfr2free.
  2. В списке Mode выберите режим работы ap - точка доступа.
  3. В поле SSID укажите название бесплатной Wi-Fi точки, например, mikrotik2free.
  4. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.
Добавление конфигурации гостевой сети для частоты 2,4ГГц в MikroTik CapsMan

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.
Выбор канала 2,4ГГц для гостевой сети в MikroTik CapsMan

Перейдите на вкладку Datapath и выберите datapath-free.
Выбор профиля Datapath для гостевой сети в MikroTik CapsMan

Перейдите на вкладку Security, укажите наш профиль безопасности security-free и нажмите кнопку OK.
Выбор открытого профиля безопасности для гостевой сети в MikroTik CapsMan

По аналогии добавьте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.
Добавление конфигурации гостевой сети для частоты 5ГГц в MikroTik CapsMan

Выбор канала 5ГГц для гостевой сети в MikroTik CapsMan

Выбор профиля Datapath для гостевой сети в MikroTik CapsMan

Выбор открытого профиля безопасности для гостевой сети в MikroTik CapsMan


В итоге список всех конфигураций выглядит так.
Список конфигураций в MikroTik CapsMan

Теперь добавим созданные конфигурации cfg2free и cfg5free в параметры развертывания Provisioning. Перейдите на вкладку Provisioning и откройте настройки развертывания для частоты 2,4Ггц.
Добавляем параметры развертывания Provisioning для гостевой сети в MikroTik CapsMan

В списке Slave Configuration укажите конфигурацию cfg2free и нажмите кнопку OK.
Выбираем конфигурацию на 2,4ГГц для гостевой сети

Теперь откройте настройки развертывания для частоты 5Ггц. В списке Slave Configuration укажите конфигурацию cfg5free и нажмите кнопку OK.
Выбираем конфигурацию на 5ГГц для гостевой сети

Далее необходимо обновить настройки наших точек. Перейдите на вкладку Remote CAP, выделите все устройства с помощью клавиши Shift на клавиатуре, и нажмите кнопку Provision.
Обновляем настройки точек доступа в MikroTik CapsMan

Теперь откройте меню Wireless и на вкладке Interfaces вы увидите, что на роутере под основными Wi-Fi интерфейсами создались виртуальные интерфейсы, которые будут использоваться для подключения к открытой сети без пароля. Такие же интерфейсы создались и на нашей точке Wap.
Отображение виртуальных интерфейсов гостевой сети

В меню CAPsMAN на вкладке Interfaces также видно новые виртуальные интерфейсы. Они находятся под основными.
Новые интерфейсы гостевой сети в MikroTik CapsMan

Запрещаем клиентам гостевой сети доступ к сети администрации

Запретим клиентам доступ из одной сети в другую.
  1. Откройте меню IP - Routes.
  2. Перейдите на вкладку Rules.
  3. Нажмите синий плюсик.
  4. В поле Src. Address введите подсеть 192.168.88.0/24
  5. В поле Dst. Address введите открытую подсеть 192.168.1.0/24
  6. В списке Action выберите drop.
  7. Нажмите OK.
Этим правилом мы запретили доступ из гостевой подсети 192.168.1.0/24 в административную подсеть 192.168.88.0/24.
Запрещаем клиентам гостевой сети доступ к сети администрации

Теперь добавим еще одно правило, чтобы запретить доступ из административной подсети 192.168.88.0/24 в гостевую подсеть 192.168.1.0/24, т.е наоборот.
  1. Нажмите синий плюсик.
  2. В поле Src. Address введите подсеть 192.168.1.0/24
  3. В поле Dst. Address введите открытую подсеть 192.168.88.0/24
  4. В списке Action выберите drop.
  5. Нажмите OK.
Запрещаем клиентам административной сети доступ в гостевую сеть

Ограничиваем скорость в гостевой Wi-Fi сети

Чтобы гости не заняли весь канал интернета, и сотрудникам организации было комфортно работать, необходимо настроить ограничения скорости для каждого клиента гостевой сети.
Допустим у нас есть входной интернет канал 100 Мбит/с. Для внутренней сети кафе достаточно минимальной скорости 20 Мбит/с. Остальные 80 Мбит/с мы выделим для гостевой сети. Каждому гостю сделаем ограничение скорости в 2 Мбит/с.
Перед настройкой необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Обычно это проявляется так: скорость загрузки не срабатывает, а скорость отдачи работает. Поэтому fasttrack необходимо отключить, либо применить для подсети, в которой не будут действовать ограничения скорости.
  1. Откройте меню IP - Firewall.
  2. На вкладке Filter Rules выберите правило fasttrack connection.
  3. Нажмите красный крестик Disable, чтобы деактивировать правило.
Правило fasttrack connection в фаерволе MikroTik

Но мы не будем его деактивировать, а применим для внутренней сети администрации 192.168.88.0/24, в которой не будут действовать ограничения.
  1. Сделайте двойной щелчок по правилу, чтобы открыть его настройки.
  2. В поле Src. Address укажите сеть 192.168.88.0/24
  3. Нажмите кнопку OK.
Настройка fasttrack на определенную подсеть

Теперь приступаем к настройке ограничений скорости для гостевой подсети 192.168.1.0/24.
Добавим pcq очередь на загрузку с ограничением 2 Мбит/с.
  1. Откройте меню Queues.
  2. Перейдите на вкладку Queue Types.
  3. Нажмите синий плюсик.
  4. В поле Type Name укажите название очереди на загрузку pcq-download-2M.
  5. В списке Kind выберите pcq.
  6. В поле Rate укажите ограничение скорости на загрузку 2M (2 Мбит/с).
  7. Проверьте, что напротив Dst. Address стоит галочка.
  8. Нажмите кнопку OK.
Настройка pcq очереди на загрузку с ограничением 2 Мбит/с

Добавим pcq очередь на отдачу с ограничением 2 Мбит/с.
  1. Нажмите синий плюсик.
  2. В поле Type Name укажите название очереди на загрузку pcq-upload-2M.
  3. В списке Kind выберите pcq.
  4. В поле Rate укажите ограничение скорости на отдачу 2M (2 Мбит/с).
  5. Поставьте галочку напротив Src. Address.
  6. Уберите галочку напротив Dst. Address.
  7. Нажмите кнопку OK.
Настройка pcq очереди на отдачу с ограничением 2 Мбит/с

Теперь добавим правило с ограничениями скоростей.
  1. Перейдите на вкладку Simple Queues.
  2. Нажмите синий плюсик.
  3. В поле Name укажите название правила queue-free-limit-2M.
  4. В поле Target укажите нашу открытую подсеть 192.168.1.0/24
  5. В поле Max Limit в колонке Target Upload укажите максимальную скорость отдачи 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
  6. В поле Max Limit в колонке Target Download укажите максимальную скорость загрузки 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
    Настройка ограничения скорости в гостевой Wi-Fi сети
     
  7. Перейдите на вкладку Advanced.
  8. В списке Queue Type в колонке Target Upload выберите pcq-upload-2M.
  9. В списке Queue Type в колонке Target Download выберите pcq-download-2M.
  10. Нажмите кнопку OK.
Выбор pcq очередей для открытой Wi-Fi сети

Теперь подключитесь к открытой Wi-Fi сети mikrotik2free или mikrotik5free, и проверьте скорость с помощью сайта www.speedtest.net или аналогичного мобильного приложения.
Проверка скорости загрузки и отдачи в гостевой Wi-Fi сети


Автор: Admi0n на 21:37 0 коммент.
Подписаться на: Сообщения (Atom)