W celu wyświetlenia przechwyconych pakietów należy wybrać uchwyt przechwytywany wyświetlacz przechwycony element menu danych lub naciśnij klawisz F10 lub naciśnij odpowiedni przycisk na pasku narzędzi. Otwiera okno oglądania pakietów:
Każda linia w tym oknie pasuje do jednego przechwyconego pakietu, pakiety znajdują się w kolejności, w jakiej zostały przechwycone (czyli w kolejności, w jakiej zostały przesłane w sieci). Aby przejść do zawartości zawartości pakietu, musisz wybrać pakiet i naciśnij Enter lub kliknij dwukrotnie opakowanie. W tym przypadku okno jest podzielone na 3 części:
Górne okno nadal wyświetla wszystkie pakiety. Średnie okno jest szczegółowymi informacjami o wybranym pakiecie. Niższa - zawartość wybranego pakietu w szesnastce.
Górne okno Wyświetla następujące informacje dla każdego pakietu:
Rama. - Numer pakietu szeregowego. Zaczyna się od 1.
Czas. - Czas przechwytywania pakietu. Ten parametr ma inne znaczenie, w zależności od opcji Opcje wyświetlacza:
Czas absolutny (system)
Czas przechwytywania pakietu
Czas między końcem przechwytywania poprzedniego pakietu a początkiem przechwytywania prądu
Src mac addr. - Mac - adres źródła. Może być wyświetlany zarówno w formie adresu MAC 6-bajtowego, jak i nazwy adresów monitora sieci (patrz klauzula 5)
DST Mac Addr. - Mac - adres odbiorcy. Może być wyświetlany zarówno w formie adresu MAC 6-bajtowego, jak i nazwy adresów monitora sieci (patrz klauzula 5)
Protokół Protokół na najwyższym poziomie, który był źródłem pakietu.
Opis. Podsumowanie zawartości protokołu
Src inny addr. Adres źródłowy na poziomie sieci (zwykle adres IP lub adres IPX). Typ jest określony w innym parametrze ADDR.
DST inny addr. Adres spotkania na poziomie sieci (zwykle adres IP lub adres IPX). Typ jest określony w innym parametrze ADDR.
Wpisz inny addr. Rodzaj adresu sieciowego (typ poziomu sieci używanego do transmisji protokołu). Określa typ wartości dwóch poprzednich pól.
Środkowe okno.jest głównym i zawiera szczegółowe informacje o pakiecie. Składa się z kilku sekcji. Górna sekcja - rama - zawiera ogólne informacje o pakiecie (nie zawarte w korpusie opakowania), takie jak czas, numer pakietu i jego rozmiar. Ilość z kompozycją reszty sekcji będzie zależała od liczby nagłówków protokołu różne poziomyktóre były używane w tworzeniu pakietu, który jest z przypisania komponentu opakowania i oprogramowania - źródła pakietu. Każda sekcja pasuje do protokołu, procedura lokalizacji sekcji jest kolejnością pozycji nagłówków w korpusie opakowania, czyli procedury przetwarzania pakietu. To z kolei odpowiada kolejności układu w 7-poziomowym modelu OSI.
Dolne okno.wyświetla zawartość korpusu pakietu w szesnastkach i jako znaki ASCII. Gdy sekcja jest wybrana w środkowym oknie, część pakietu odpowiadająca wybranej sekcji jest podświetlona w dolnym oknie.
Adresy tabeli.Monitor sieciowy.
Aby uprościć informacje o przeczytaniu pakietów i tworzenia filtrów (patrz rozdział 6), każdy adres komputerowy w sieci można mapować do nazwy symbolicznej, która zostanie wyświetlona w odpowiednich polach podczas przeglądania pakietów zamiast adresu MAC lub warstwy sieciowej Adres komputera. Informacje o tych nazwach znaków i adresy, które są mapowane są przechowywane w tabeli adresu monitora sieciowego. Możesz przeglądać i edytować tabelę adresową, wybierając element menu Wyświetlanie. Tabela adresów ma następującą formę:
Główne pola tabeli adresowej są symboliczną nazwą powiązaną z adresem i adresem adresu. Należy zauważyć, że adres może być zarówno fizyczna, jak i sieć, więc mogą być dwa adresy różnych typów dla każdej nazwy znakowej.
Tabela adresów tworzy się automatycznie podczas przechwytywania pakietów. Jednocześnie nazwy NetBIOS komputerów są używane jako nazwy symboliczne.
Domyślne wpisy tabel adresowe (oznaczone *). Ustawiają nazwy specjalnych adresów poziomu fizycznego. Na przykład, dla pakietów Ethernet transmisji, którego adres docelowy składa się z jednostek binarnych (FFFFFFFFFFFF) jest używany przez nadawanie nazwiska.
Aby dodać adres do tabeli, musisz kliknąć przycisk Dodaj .., po którym pojawi się okno dialogowe:
Instalowanie filtrów przechwytywania pakietów (Filtr przechwytywania)
Podczas rozwiązywania konkretnych zadań do analizy ruchu sieciowego zazwyczaj konieczne jest przechwytywanie wszystkich pakietów przesyłanych przez sieć (ich liczba może być bardzo duża!), Ale tylko pewne, czyli pakiety, które spełniają pewne warunki. Filtry do przechwytywania są zainstalowane dla tego (filtr wychwytujący - nie należy mylić z filtrami oglądania - filtr wyświetlacza!). Aby wyświetlić lub zmienić filtr przechwytywania, musisz wybrać menu Capture Filtr. Wyświetla wyświetlane pojawi się okno Aktualne filtr:
Filtrowanie przechwyconych pakietów jest możliwe na podstawie następujących kryteriów:
Typ protokołu.. Aby określić ten kryterium, musisz kliknąć dwukrotnie linię SAP / ETYPE \u003d ... Pojawi się okno dialogowe, które pozwala na zezwolenie lub wyłączenie przechwytywania pakietów konkretnego protokołu. Domyślnie wszystkie protokoły są dozwolone do przechwytywania (włączone protokoły):
Adres komputera. Aby określić ten kryterium, musisz kliknąć dwukrotnie linię par adresu. Pojawi się okno dialogowe, które pozwala zidentyfikować pary adresów, podczas przesyłania, które zostaną przechwycone pakiety. Ponadto można zdefiniować kierunek transmisji przechwyconych pakietów (kierunku) - dwustronnego lub tylko w kierunku z jednego adresu do drugiego. Nazwa * każda odpowiada dowolnym adresowi dowolnego typu. Domyślnie ten kryterium jest skonfigurowany do przechwytywania wszystkich pakietów we wszystkich kierunkach.<->KAŻDY).
Dopasowywanie szablonu pakietu (mecze wzorcowe). Umożliwia przechwytywanie pakietów, których zawartość odpowiada szablonowi. Szablon to dane binarne (HEX) lub ciąg znaków (ASCII) i przesunięcie w bajtach w stosunku do początku opakowania (od początku ramy). Pakiet zostanie schwytany, jeśli jego zawartość zgodnie z określonym przemieszczeniem odpowiada określonej sekwencji danych binarnych lub symbolicznych. Domyślnie szablon nie jest określony, czyli wszystkie pakiety pasują do szablonu.
Wszystkie trzy z powyższych kryteriów są łączone zgodnie z systemem logicznym "i" (i). Oznacza to, że pakiet zostanie schwytany, jeśli pasuje do wszystkich trzech kryteriów. W przypadku kryterium dopasowania wzoru można określić kilka warunków w połączeniu z logalną ekspresją. Na przykład, następny filtr jest przeznaczony do przechwytywania pakietów zawierających określone dane na przesunięciu 0x30 lub określonych danych na danych przemieszczenia 0x50 i nie zawierają określonych danych na przesunięciu 0x4.
6.3. Procedura wykonywania pracy
1. W wierszu polecenia wykonaj polecenie IPConfig / All. Wyświetlaj i nagrywanie nazwy, adres MAC (adres fizyczny) i adres IP komputera.
2. Wybierz interfejs do przechwytywania pakietów w menu Capture / Sieci.
3. Utwórz filtr zaprojektowany do przechwytywania pakietów przesyłanych między komputerem a wszystkimi innymi komputerami sieciowymi w obu kierunkach. Po wybraniu adresu komputera stół adresowy musi określić nazwę lokalną odpowiadającą fizycznym adresowi komputera. Zapisz filtr w pliku, którego nazwa pasuje do nazwy użytkownika za pomocą indeksu 1 (na przykład 281san1.cf).
4. Korzystanie z utworzonego filtra, przechwyć niewielką liczbę pakietów (100-200). Jednocześnie, po uruchomieniu przechwytywania pakietu konieczne jest zainicjowanie aktywności sieci komputera - na przykład uruchom przeglądarkę internetową, przeglądarkę, aby wyświetlić środowisko sieciowe, skontaktuj się z dyskiem sieciowym.
5. Przejdź do trybu podglądu przechwyconych pakietów.
6. Z całkowitej liczby pakietów (z wyjątkiem pierwszego i ostatniego pakietu) wybierz wiele pakietów, które mają inną strukturę (co najmniej 3). W oknie Podglądu środkowego otwórz sekcje ramki i Ethernet wyświetlają zawartość pól.
7. Jednorazowe i zorganizuj w formie tabeli po opakowaniach Informacje:
§ Źródło Źródło adresów MAC (adres źródłowy)
§ Adres MAC (adres docelowy)
§ Rodzaj protokołu najwyższego poziomu (typ Ethernet)
§ Całkowity rozmiar pakietu (całkowita długość ramek)
§ Rozmiar pola danych pakietu Ethernet (liczba pozostałych bajtów danych)
§ Procedura protokołów zagnieżdżenia. Na przykład dla Ethernet, IP, TCP, pakiet NBT
9. Utwórz filtr do przechwytywania pakietów, które nie zawierają pakietów IP. Aby to zrobić, wybierz ciąg SAP / ETYPE w oknie Przechowywać filtr i naciśnij przycisk Edytuj.
Wyłącz przechwytywanie pakietów IP i kliknij OK.
10. Pakiety przechwytywania (przechwytywanie co najmniej 3 pakietów), powtórz str. 7.
6.4. Pytania kontrolne.
1. Czy można przechwycić pakiet za pomocą monitora sieciowego, jeśli nie ma adresu MAC źródła, ani adres MAC miejsca docelowego jest adres MAC komputera, z którego wykonany jest przechwytywanie? Wyjaśnić.
2. Jaki jest adres MAC?
3. Jaki jest adres sieciowy?
4. Zapewnij krótki opis algorytmu przesyłania pakietów w sieci Ethernet.
5. Jakie pola jest nagłówek ramki Ethernet?
6. Jaki rozmiar ma nagłówek ramki Ethernet?
7. Po ukończeniu ukończenia przechwytywania, statystyki sieciowe - ramy i przechwycone statystyki - ramy mają te same wartości. Jaki wniosek można wykonać?
8. Jakie jest kapsułkowanie pakietów różnych poziomów?
Praca laboratoryjna 7.Skład stosu protokołu TCP / IP. Studiowanie ARP, IP, protokoły ICMP.
7.1. Wprowadzenie
Stos protokołu TCP / IP jest obecnie najbardziej popularnym narzędziem do organizowania sieci kompozytowych. Na podstawie tego stosu protokołów organizowany jest globalna sieć internetowa. Dlatego właśnie na przykładzie tego stosu jest wskazane, aby zbadać narzędzia warstwy sieciowej. Ta praca laboratoryjna zapewnia krótki opis stosu TCP / IP, przypisania i funkcji protokołu Passback IP, protokół z uprawnieniami ARP Adres Protocol, Internet ICMP Messaging Protocol.
7.2. Charakterystyka stosu protokołu TCP / IP
Stos TCP / IP definiuje 4 poziomy. Każdy z tych poziomów przenosi pewne obciążenie rozwiązania głównego zadania - organizacja jest niezawodna i
produktywna praca sieci kompozytowej, która jest zbudowana na podstawie różnych technologii sieciowych.
Druga generacja kluczowych centrów internetowych zyxel pojawiła się na rynku dwa lata temu i rozpoczęła się od trzech modeli poziomów górnych i środkowych. Później dołączyło do nich pięć kolejnych urządzeń, a teraz w serii jest więcej kilkunastu modyfikacji. Ponadto najnowsze początkujący nie są już dodatkowo, ale zastąpić wcześniej wydane urządzenia.
Z punktu widzenia platformy sprzętowej, Zyxel Keenetic Omni II i Keenetic Lite III nie różnią się od ich poprzedników. Są one również oparte na SOC Mediatek MT7620N, wyposażone w pamięć flash 8 MB i 64 MB pamięci RAM, przewód prowadzony przez 100 Mb / s i One-Band 802.11b / g / n Punkt dostępowy 300 Mbps. Port USB 2.0 jest obecny w modelu OMNI II, który jest pozbawiony Lite III, ale ten ostatni ma przełącznik trybu sprzętu. Od różnic zewnętrznych można zobaczyć zmodyfikowany projekt obudowy i opakowania, co oczywiście nie jest powodem aktualizacji.
Urządzenia te stoją na etapie powyżej najprostszej wersji Keenetic Start. Nie różni się od nich "gruczołu" i keenetic 4G III, co pozwala na użycie portu USB tylko dla modemów. Informacje więc w tym materiale mogą być odważnie przypisywane. Podsumowując cechy, można powiedzieć, że Lite III jest podstawowym modelem dla tych, którzy nie potrzebują portu USB, a Omni II będzie zainteresowany tymi, którzy planują używać nie tylko modemów, ale także napędy. Należy pamiętać, że obecność portu USB wciąż znacznie rozszerza zestaw zadań rozwiązanych przez router.
Wraz z wydaniem nowych produktów zbiegło się z poważną aktualizacją wbudowanego oprogramowania, którego system operacyjny otrzymał nowy rdzeń, który znacząco wpłynął na całe oprogramowanie układowe i zażądał znacznych wysiłków na wdrożenie. W momencie pisania artykułu nowe jądro zostało również wykorzystane w wersjach beta dla VIVA i dodatkowych modeli. Planuje się, że wszystkie urządzenia bieżące wytwarzanie otrzymają podobne aktualizacje.
Zawartość dostawy
W tym pokoleniu modeli producent nieco zmienił konstrukcję zewnętrznych okładek kartonów i użył jasnego pomarańczowego koloru na końcach. Reszta zmieniła się trochę - duże zdjęcie urządzenia z przodu, szczegółowe specyfikacje, zestaw dostawy, a także opis możliwości i skryptów użytkowania na tylnej stronie. W tym przypadku wszystkie teksty są w pełni zlokalizowane.
Przyciąga uwagę zdjęć smartfonów i logo sklepów z aplikacjami mobilnymi. Najwyraźniej firma zdecydowała się podążać za przykładem innych producentów i wydał specjalistyczne narzędzie do skonfigurowania routerów. Trudno powiedzieć, ile ta funkcja jest naprawdę potrzebna w praktyce, wiele będzie zależała od jakości i możliwości programu. Ale biorąc pod uwagę powszechne urządzenie mobilne, może być przydatne. Pamiętaj, aby zapoznać się z nim w odpowiedniej sekcji.
Zestaw dostawy routerów tego segmentu nie zmienił się przez długi czas, nie przekroczył tych modeli - routera, zewnętrznego kompaktowego zasilacza (9 do 0,6 A dla Lite III i 12 V 1 A dla OMNI II), Sieć patch-przewód, wystarczająco wolumetryczny podręcznik użytkownika, pokrywa gwarancyjna i niewielka ulotka reklamowa z opisem niektórych produktów firmy.
Wygląd
Urządzenia otrzymały te same obudowy, które jednak różnią się od dawnych pokoleń. W szczególności, nie zdejmowane anteny są teraz na bocznych końcach, więc z boku router nie jest dostarczany.
Rozmiar kadłubów zmniejszył się nieznacznie i stanowią 140 × 103 × 30 mm bez uwzględnienia kabli i anten. Czarny plastik jest używany ponownie. W tym samym czasie dolna w lewo błyszcząca, boki wykonane matowe, a na górnej okładce widzimy znany rysunek z falami i przewagą połysku.
Na dole urządzenia znajdują się dwie gumowe nogi i dwa otwory do złączy montażowych w dół. Na boku kończy się kratki wentylacyjne. Model Keenetic Lite III ma ukryty przycisk resetowania. Dodano do niego Omni II. Usb 2.0 Port i wielofunkcyjny przycisk. Na górnym panelu routerów znajduje się duży i wygodny przycisk połączenia klienta za pomocą technologii WPS i wyłącza punkt dostępu. Przypomnijmy, że funkcje przycisków można zmienić w ustawieniach.
Tył to pięć portów sieciowych i zasilania w przycisku zasilania. Kenetic Lite III Dodatkowo zapewnia przełącznik trybu sprzętu - główny, adapter, wzmacniacz, punkt dostępu. Nie ma tu żadnej anteny, więc nie mogą być trudności z kablami łączącymi i dostępem do przełącznika.
Pełne anten są instalowane na bocznych końcach. Ich mechanizm obrotowy zachwyca bardziej niezawodny w porównaniu z wcześniejszymi wdrożeniami. Długość anteny wynosi ponad piętnaście centymetrów, a kształt i projekt korpusu zewnętrznego również zmieniły się i stały się bardziej interesujące. Z pewnością nie ma wpływu na to, ale wciąż miło.
Wskaźniki układu znajdują się na przednim końcu. Mają zielony kolor blasku, są dość pouczające i nie podrażnione przez częste migające. Ale podczas mocowania ściany mogą nie być widoczne.
Z wyjątkiem kontynuacji korzystania z połysku, nie ma komentarzy do projektowania nowych produktów.
Konfiguracja sprzętu
Zgodnie z konfiguracją sprzętową model nie różni się od prekursorów. Są one oparte na popularnej platformie Mediatek MT7620N, wyposażone w 8 MB Flashpami, 64 MB pamięci RAM, mają zintegrowany procesor radiobalny z obsługą sieci 802.11b / g w zakresie 2,4 GHz o maksymalnej prędkości połączenia 300 Mb / s i przełącznik sieciowy na pięciu portach przewodowych Fast Ethernet 100 Mbps. Warto zauważyć, że używana jest tutaj wersja procesora 0206.
W modelu OMNI II znajduje się port USB 2.0 i dodatkowy przycisk, a Lite III charakteryzuje się przy użyciu przełącznika sprzętowego trybu pracy. Zauważ, że za pomocą trybu interfejsu sieciowego nie można zmienić działania tego urządzenia. W tym samym czasie model zapisuje cztery niezależne ustawienia ustawień (jeden dla każdego trybu) i może szybko przełączać się między nimi.
Funkcje i możliwości oprogramowania układowego
Produkty bieżącej serii Keenetic mają jednolite wbudowane oprogramowanie NDMS2, które wielokrotnie opisywaliśmy w naszych publikacjach. Różnice mogą dotyczyć innej konfiguracji sprzętowej, na przykład obecności portów USB lub dwukaspowy blok radiowy, a także dostępność niektórych pakietów. Ponieważ większość dodatkowych informacji można przypisać rozwiązaniom z serii.
Po włączeniu urządzenia automatycznie oferujesz pomoc dla użytkownika w konfigurowaniu dostępu do Internetu i innych podstawowych parametrów. Wykorzystuje bazę danych wbudowanych dostawców, co znacznie upraszcza proces. Istnieje również uruchomienie asystenta z interfejsu internetowego. Po przekazaniu kreatora router niezależnie sprawdza wydajność łączenia się z siecią oraz dostępność aktualizacji wbudowanego oprogramowania, a po zainstalowaniu rozdzielczości użytkownika.
Projekt interfejsu internetowego urządzenia można uznać za dość wygodne, choć oczywiście obfitość możliwości może być mylona z niezwykłym. Warto również zauważyć, że wygląda dobrze i na ekranach niskiej zgody, która dziś spotyka się coraz mniej. Nie ma komentarzy do reakcji interfejsu, a także do tłumaczenia. W tym przypadku warto rozważyć język języka rosyjskiego, ale angielski jest dodatkowy. Po raz kolejny przypomnij sobie, że oprogramowanie układowe dla tej serii jest tworzone przez krajowych programistów.
W porównaniu do wielu innych routerów prezentowanych na rynku, rozważane produkty mają kilka charakterystycznych różnic w oprogramowaniu. W szczególności, oprócz podtrzymywania połączeń IPOE, PPPOE, PPTP i L2TP, można użyć trybu klienta klienta Wi-Fi, aby połączyć się z Internetem (w routerach z portu USB), 802.1x i autoryzator szafki.
Obsługiwana jest jednoczesna regulacja różnych opcji połączenia, w tym przy użyciu wielu portów przewodowych, w celu wdrożenia funkcji rezerwacji. Moduł Ping Check pomaga jego skutecznemu użytkowaniu, co pozwala kontrolować wydajność kanałów komunikacyjnych. Zanotowamy również możliwość zmuszonego do wyłączania portu USB w trybie ręcznym lub automatycznym, co pozwala zwiększyć niezawodność pracy z modemami USB. W liście zgodności znajduje się wiele nowoczesnych modeli, w tym sieć czwartej generacji.
Jeśli dostawca jest wydawany przez nietrwałowy adres, możesz użyć dynamicznych klientów DNS, w tym krajowy Master DNS. Dostęp do lokalnych usług sieciowych jest wyposażony w konfigurowanie translacji adresowej i wsparcia UPnP. Dodatkowy poziom ochrony użytkownika, zwłaszcza ich urządzeń mobilnych, można wdrożyć dzięki wsparciu SKYDNS i Yandex.dns. Należy pamiętać, że teraz możesz użyć przypisania indywidualnych profili do klientów, aby korzystać z serwerów DNS od dostawcy.
W grupie sieciowej sieci można zmienić lokalny adres routera, a także skonfigurować serwer DHCP. W takim przypadku można utworzyć kilka segmentów sieci, dzieląc je z pasm adresów IP. Ta funkcja jest używana w szczególności w celu utrzymania sieci bezprzewodowej gościa. Tutaj możesz skonfigurować przekaźnik DHCP i wyłącz NAT.
Aby pracować z IPTV, protokół IGMP jest obsługiwany, alokacja portów prefiksów, technologii VLAN i istnieje również wbudowany serwer UDPXY.
Ustawienia punktu dostępu bezprzewodowego są standardowe. Istnieje wybór nazwy sieciowej, trybu ochrony, liczby i szerokości kanału, krajów, standardu i zasilania sygnału. Należy pamiętać, że ustawienia urządzenia fabrycznego obejmują indywidualną nazwę i hasło sieci określonej na naklejce. Nie zapomniałem o filtrze adresowym MAC, WPS i wdrożeniem sieci bezprzewodowej Gościa. Zwróć uwagę na brak harmonogramu pracy i wsparcie dla uwierzytelniania za pośrednictwem serwera RADIUS.
Oprócz wyżej wymienionych usług do filtrowania żądań DNS, istnieje programowalny filtr pakietu wejściowego w routerach, których tabele są zaprogramowane dla każdego interfejsu (w tym lokalnego) indywidualnie.
Dodatkowych pakietów, zainteresowanie jest serwerem VPN (PPTP), Alg dla niektórych popularnych protokołów, IPv6, moduł przechwytywania pakietu, obsługę dla NTFS i System plików HFS +, identyfikacja użytkownika dla plików dostępu do sieci, systemu pobierania plików transmisji, serwer DLNA, Wsparcie dla określonych modeli USB - modele. Wiele z nich jest istotne tylko za korzystanie z portu modeli USB, ale w szczególności serwer VPN ma zarówno Lite III. Należy pamiętać, że te obecne w klientach oprogramowania Firmware VPN mogą być również używane do łączenia się z pilotami, a nie tylko do Internetu.
Urządzenia opracowały narzędzia monitorujące i diagnostyczne, które umożliwiają wsparcie techniczne bardziej skuteczniejsze rozwiązywanie możliwych problemów. Oprócz rozszerzonej strony statusu, na której można znaleźć informacje o łączności, bieżącym ruchu, a także pobieranie procesora i pamięci RAM, można wyświetlić tabelę routingu, listę lokalnych klientów sieci, ich aktywne połączenia, dane na urządzeniach bezprzewodowych ( W tym prędkości połączenia), dyski USB i klienci VPN.
Dziennik zdarzeń systemu jest przechowywany w urządzeniu lub można go wysłać do zewnętrznego serwera Syslog. Nie podano specjalnych funkcji wyszukiwania lub instalacji filtrów. Nie ma informacji e-mail. W zaletach można nagrywać wysokie szczegóły zdarzeń.
Parametry systemu mają ustawienie czasu, resetowanie konfiguracji, ponowne uruchomienie, aktualizacja oprogramowania układowego i składnik instalacji. Oto również dostępny do wyboru trybu urządzenia (z wyjątkiem Lite III), działań przycisków na obudowie, pracy z plikami systemowymi (konfiguracją, dziennikiem i oprogramowaniem układowym), programowanie użytkownika i wskazując na ich prawa do usług.
Należy pamiętać, że teraz tryby pracy wykorzystują oddzielne indywidualne ustawienia, aw Lite III można zmienić według przełącznika sprzętowego.
W niektórych przypadkach, uzyskując dostęp do wsparcia technicznego, może być przydatne do utworzenia rozszerzonego raportu serwisowego i modułu przechwytywania pakietów sieciowych.
Port USB w linii keenetic jest używany do podłączenia napędów, modemów i drukarek. W pierwszym przypadku można użyć urządzeń z wieloma partycjami, a listę kompatybilnych systemów plików obejmuje wszystkie najpopularniejsze opcje, w tym FAT32, NTFS, EXT2, EXT3 i HFS +. Oprócz dostępu do protokołów SMB i FTP (w tym przez Internet), dyski mogą być używane do stania plików konturowych i transmisji treści multimedialnych do odbiorników DLNA.
W momencie pisania artykułu oficjalna lista kompatybilności z drukarkami składa się z prawie pięciuset modeli. W zależności od modelu, drukowanie za pomocą sieci systemu Windows lub za pomocą portu sieciowego może być obsługiwany. Z wyjątkiem drukowania możliwości MFP nie są obsługiwane.
Producent zwraca uwagę na dużą uwagę i pracując z modemem do sieci komórkowych - na liście zgodności znajduje się około czterdziestu modeli 4G i więcej niż osiemdziesiąt 2G GSM / 3G UMTS, nie zliczanie opcji dla sieci CDMA 3G. Co więcej, praca z nowoczesnymi urządzeniami prowadzona jest w najbardziej wydajnych trybach, co pozwala osiągnąć duże prędkości.
Jak wspomniano powyżej, producent przedstawił specjalne narzędzie keenetowe dla mobilnych urządzeń mobilnych Android i iOS dla początkowej konfiguracji routera.
Wbudowana jest interaktywna instrukcja, kod QR jest używany na obudowie, aby połączyć się z siecią bezprzewodową routera, istnieje funkcja lokalizacji do filtrowania wbudowanej listy dostawców na rozliczeniach i możliwość ręcznego ustawienia parametry. Szkoda, że \u200b\u200baktualna wersja nie jest zaimplementowana w celu skonfigurowania IPTV, zmieniając parametry Wi-Fi i brak funkcji monitorowania i diagnostyki. Z drugiej strony IPTV w wielu przypadkach będzie działać "wychodząc z pudełka", a sieć bezprzewodowa jest już skonfigurowana do trybu chronionego. W obecnej formie program może być przydatny dla początkujących użytkowników.
Występ
Routery dane są różne tylko związane z obecnością możliwości portu USB. Więc formalnie nie mógł przetestować wydajności w zadaniach routingu i bezprzewodowej dostępu w obu modelach, ale nadal zrobiliśmy to, chociaż nie spodziewali się dużych różnic. Testowanie przeprowadzono na naszym standardowym stojaku w benchmarkach syntetycznych.
Jeśli podążasz za naszymi publikacjami, możliwe jest, że podczas testowania poprzednika nie mieliśmy komentarzy z punktu widzenia prędkości routingu. Nowy, pomimo powodów aktualizacji oprogramowania układowego i wszystkie moduły wymienione powyżej, wykonywane nawet trochę lepiej w testach w pełnym dupleksie. Zgodnie z rozważaniem modeli można bezpiecznie zalecić do pracy przy prędkości do 100 Mbps włącznie z dowolnymi typami połączenia internetowego.
Zachowana jest skuteczność pracy z lokalną siecią dostawcy, która może być widoczna przy następnej pary wykresów.
Jak napisaliśmy wcześniej, te modele średniego poziomu otrzymywały w obecnej implementacji oprogramowania układowego serwera VPN działającego przez protokół PPTP. Pozwala to zorganizować bezpieczne zdalne połączenie z siecią domową i innymi użytecznymi scenariuszami. Aby przetestować wydajność w tym trybie, połączenie z routerem jest używane z boku komputera znajdującego się w segmencie zewnętrznym z klientem Windows Standard. Harmonogramy są podane na trzech scenariuszach (recepcja, transmisja i jednoczesne odbiór i transmisję, wszystkie w ośmiu strumieniach) wskaźniki.
Podczas pracy bez szyfrowania można uzyskać w tym zadaniu od 75 do 100 Mb / s. Korzystanie z MPPE128 zmniejsza szybkość pracy do 30-40 Mb / s. Jak widzimy, wdrożenie tej usługi na poziomie rozważanego poziomu, ma sens.
Wbudowany routery punkt dostępu bezprzewodowego działa przy maksymalnym tempie połączenia 300 Mb / s. Jednak wydajność tego scenariusza prawdopodobnie ogranicza się do portów przewodowych o prędkości 100 Mb / s. Routery dostrojono do maksymalnej wydajności z kanałem szyfrowania 40 MHz i WPA2-PSK. W badaniu zastosowano adapter TP-Link TL-WDN4800 (802.11n, 2,4 i 5 GHz, do 450 mbit / s) i dwie opcje umieszczania z nim komputera - cztery metry bezpośredniej widoczności i cztery metry przez jedną -VACant ściana. Wcześniej używany punkt w ośmiu metrach przez dwie ściany niestabilne spadły z listy ze względu na obecność silnych zakłóceń z dużej liczby sąsiednich urządzeń w paśmie 2,4 GHz.
W tej grupie testów widzimy oczekiwane wyniki - około 90 Mb / s, aby uzyskać maksymalną prędkość odbioru lub transmisji, a także około półtora razy więcej dla kompletnych trybów dupleksu. Należy pamiętać, że druga opcja umieszczania może wykazywać wyższe wyniki ze względu na większą odległość klienta ze środka domu i sąsiednich sieci.
Ostatnim testem dotyczy tylko modelu Omni II, ponieważ ma pracę wspierającą z napędami USB 2.0 w nim. Szybkość czytania i zapisu na podłączony dysk z systemami plików NTFS, FAT32, EXT3 i HFS + Duży plik o dużej objętości za pomocą protokołów SMB i FTP.
W tym teście, a także poprzednie, ogranicznik wystaje przewodowy port urządzenia o 100 Mb / s. Tak więc maksymalne wskaźniki stanowią około 10 MB / s. Pełny napęd sieciowy jest trudny do wywołania tej opcji, ale do tworzenia kopii zapasowej małych ilości danych, przeglądania wideo HD w telewizji i tworzenie serwera FTP, oczywiście będzie pomieścić. Zauważamy również, że w tym teście nowość zapinała swój poprzednik.
wnioski
Zaktualizowane modele zyxel Keenetic Omni II i keenetic Lite III centra internetowe, jak poprzedniki, pozostawili bardzo przyjemne wrażenie. Urządzenia opierają się na dobrze odpowiedniej platformie Mediatek odpowiedniej dla segmentu masowego i mają optymalne specyfikacje - przewodowe porty sieciowe na 100 Mb / s i bezprzewodowy punkt dostępowy 300 Mb / s. Model Omni II wyróżnia się obecnością portu USB, co pozwala na wdrożenie wielu dodatkowych scenariuszy, a Lite III jest interesujący dla przełącznika sprzętowego trybów pracy. Przypomnijmy zarówno o obecności roztworów Keenetic 4G III w składzie, w pobliżu charakterystyki do tych urządzeń.
Jeśli chodzi o wbudowane oprogramowanie, można zauważyć, że producent płaci mu jeszcze więcej uwagi niż platforma sprzętowa. Regularne aktualizacje z widokiem na całą linię pozwalają nie tylko poprawić kompatybilność z krajowymi dostawcami usług i rozszerzyć zestaw funkcji i możliwości, ale także zwiększenie wydajności. W przypadku niektórych kategorii użytkowników minus może zamykać oprogramowanie układowe i niemożność dodawania własnych modułów oprogramowania. Jednocześnie urządzenie rozpatrywane w tym artykule nie można wprowadzić programu wytwarzania przeszłości, w którym ta funkcja jest zapisana.
Nie ma komentarzy do szybkości pracy modeli. Mogą być używane bez żadnych kompromisów ze wszystkimi planami taryfowymi i opcjami łączenia kanałów do 100 Mbps włącznie. Testowanie wykazało, że jest to porty przewodowe, które często są ograniczone w tym przypadku. Nie należy jednak zapominać, że urządzenia Gigabit są zazwyczaj droższe.
Przeniesienie anten na boczne końce pozostawiono rozładunek panelu tylnego. Zalety napisują również przyciski regularne na ciele i możliwość mocowania routerów na ścianie. Tradycyjny minus jest stosowanie połysku.
Największa liczba wysypisk jest teraz rejestrowana przy użyciu portów rozpiętości. Teraz, kiedy wiemy o rozpiętościach (z poprzedniego artykułu) nadszedł czas, aby dowiedzieć się o urządzeniach Tap - kiedy i jak muszą być używane do nagrywania zrzutu i że jest on ogólnie.
Smoła jest redukcją " T.est. ZA.cances. P.ort. " ( W języku rosyjskim, takie urządzenie nazywa się " ruch drogowy". Jednak dla wygody wolałbym korzystać z obu opcji - zarówno angielskiej redukcji smoły, jak i opcji języka rosyjskojęzycznego - ok. Tłumacz.) Cel Tar - zapewnia dostęp do ruchu, który przechodzi przez pewien kanał komunikacyjny.
Podczas prawidłowego przechwytywania ruchu pakiet jest prawidłowo zaangażowany w bezpośrednią ścieżkę do uzyskania najbardziej dokładnego i niezawodnego zrzutu. Zwróć uwagę na słowo "prawo"! Tak, to jest to, co mam na myśli - nawet z smocią, możesz uzyskać niepoprawny wynik, jeśli jest źle go używać. Naturalnie przyjrzymy się na tych chwilach, ale na razie zobaczmy trochę więcej, jakie jest urządzenie, które jest używane.
Nie pomylisz, jeśli przedstawisz sobie łącznik jako mały pudełko, który jest zainstalowany w przerwie kabli i zapewnia dostęp do danych, które przechodzą. Z pewnością usłyszałeś termin "człowiek w środku" (człowiek w środku ") - to jest dokładnie, co daje smołę, i na poziomie fizycznym (warstwa 1). "Ustaw na szczelinę" oznacza, że \u200b\u200bjest to proces fizyczny - wyciągasz kabel z portu, powiedz, przełącznik, wstaw go do pakietu, a drugi opcjonalny kabel (nie zapomnij wziąć go za pomocą Ciebie!) Połącz pakiet z węzłem końcowym.
Nawiasem mówiąc, drugi opcjonalny kabel musi być "trzepotanie", ale ostatnio staje się coraz bardziej niezbędnym wymogiem, ponieważ pozostały już małe urządzenia sieciowe, które nie mogą samodzielnie zadbać (funkcja Auto MDI-X). Dlatego też bezpośredni kabel w większości przypadków zarobi normalnie.
Pracuj z TAR / Splitters
Spójrzmy, jak korzystać z kontenera w ogólnym przypadku. Od samego początku, jeśli zaczniesz wybierać, który nonsens jest potrzebny, znajdziesz wiele ich różnych typów dla różnych infrastruktury sieciowej. Pierwszy wybór jest optyka lub miedź. Łączniki optyczne Często nazywany " splitters.". Funkcjonalność smoły może być wystarczająco bogaty i skomplikowane, więc wybór konkretnego modelu może zająć dużo czasu i wysiłku, zwłaszcza jeśli nie masz wystarczającej ilości doświadczenia i wiedzy o tym, co dokładnie zwracają uwagę. Ale nie martw się - pomogę w tym w bieżącym artykule. Więc najpierw zobaczmy, co jest wspólne dla całej smoły, niezależnie od tego typu.
Wyłącz / Connect Network
Sprzęgacz musi być zainstalowany w przerwie linii fizycznej (jeśli nie mówimy o "wirtualnych pojemnikach", co niektórzy dostawcy rozwijają się za stosowanie w środowiskach wirtualnych, ale raczej nazwa marketingowa, w większym lub mniejszym stopniu). Instalacja w szczelinie oznacza, że \u200b\u200bbędzie musiał przetrwać co najmniej jeden poziom przerwania. Aby wyłączyć pakiet po przechwyceniu, będziesz musiał znosić drugi cykl. Nawiasem mówiąc, drugi pęknięcie linku jest jednym z powodów, dla których stale muszę kupić dla siebie nowe oddziały: od czasu do czasu, gdy moi klienci wolą po prostu kupować smoły i zostawić go zainstalowany, bez wyjmowania w ogóle po analizie . W ten sposób unikając konieczności ponownego złamania linku (a jednocześnie otrzymując stałe monitorowanie).
Pokrywa: Jeśli jesteś w poleceniu projektowania inżynierów sieci centrum danych, dodaj pojemnik na etapie projektowania i zainstaluj początkowo - Bardzo często jest to jedyny sposób na połączenie na kładce backbone, ponieważ z gwarancją 100% nikt nie pozwoli Ci zainstalować go później, łamanie tak ważnego i załadowanego łącza, zgodnie z którym dane są stale płynące. Koszt TAR w tym przypadku będzie dotyczył kolejności kosztów wysokiej klasy przełączników i routerów, a jednocześnie będzie bardzo przydatne, jeśli potrzebujesz kłopotów. A jeśli wybierzesz niezawodną, \u200b\u200bdobrze udowodnioną markę, nie będziesz musiał martwić się o dodatkowy punkt odmowy w systemie - łączniki tego zamówienia mają zbędne źródło zasilania, a także ochronę z wyjątkową energią elektryczną (tryb automatycznego obejścia) . Nic mnie mówi o profesjonalizmie zespołu inżynierów sieci więcej niż w tym momencie, gdy widzę kilka profesjonalnych łączników w miejscu już zainstalowanym w najbardziej krytycznych punktach w całej sieci.
Prawda w pakietach
Korzystanie z TAR jest jedynym sposobem na uzyskanie prawdziwego obrazu tego, co dzieje się w linku. Smoła eliminuje Możliwość utraty pakietu lub manipulacje W przypadku, gdy atakujący ma dostęp do sieci. Pamiętaj: PAN PAN może "ukryć" pakiety spowodowane uszczelnieniem lub po prostu z powodu przeciążenia. Natomiast absolutnie niemożliwe manipulować pasywnym rozdzielaczem pełnym dupleksem i prawie niemożliwe Wszystkie inne typy łączników. Oczywiście warto zauważyć, że istnieją zarówno "trudne" łączniki zarządzane z interfejsem internetowym lub CLI, a wszystko, co jest zarządzane, można manipulować. Ale - jeśli wybierzesz odpowiedni rodzaj pakietu, nikt nie będzie mógł ukryć swoich złośliwych pakietów od Ciebie. Dlatego najbardziej wykwalifikowani napastnicy próbują lub symulowane przez zwykłe, co nie powodują podejrzeń, ani ukrywają się w ogromnej liczbie pakietów tak, że są trudniejsze do zauważenia w tej masie.
Zachowanie z przerwami energii elektrycznej
Asystenci, którzy potrzebują pożywienia do pracy (prawie wszystkie "miedź", a także bardziej funkcjonalne optyczne z agregacją łączy), zwykle mają mechanizm ochronny do warstwy 1 (poziom fizyczny) do incydentów zasilania. Jest to coś w rodzaju przekaźnika, który zamyka się, gdy zasilanie jest zniknęły i łączy łącze obejście opakowania (włączony jest tryb obejściowy). Taki warsztat to kliknięcie - można nawet usłyszeć po włączeniu / wyłączeniu odżywienia.
 |
| Figa. 2 - Zachowanie z awarią zasilania |
Zazwyczaj czas reakcji zbiornika na zdarzenie zasilania zajmuje mniej niż sekundę. Ale - mimo to jest to dość nieprzyjemny fakt, ponieważ może to zadzwonić do bieżących sesji, a także rozpoczęcie każdej procedury konwergencji sieciowej. Jednak przy minimalnym stanie zapewni zwrot z pierwotnego stanu bez interwencji personelu. Należymy również pamiętać, że bez zasilania smoła przestanie wykonywać funkcję podstawową - i nie będziesz już widzieć ruchu w porcie monitorowania. W tym przypadku odzyskiwanie mocy na smoczu ponownie spowoduje klapkę / renxacja łącza.
Wskazówka: Jeśli musisz ponownie nakarmić gałąź miedzi, zrób to podczas Okno serwisowedługość co najmniej 5 minut, ponieważ łącze produkcyjne może być zbyt długie dla przeżycia związków.
Port wyjściowy (monitor) - tylko do transferu!
Linki wyjściowe łącznika zostały zaprojektowane do pracy tylko na transmisji, czyli, że nie będą one przyjmować żadnych pakietów przy wejściu. Dlatego urządzenie przechwytywania (lub ogólnie każde inne urządzenie, które zawiesza się w porcie monitora) nie może przesyłać pakietów do sieci, wpływając na inne połączenia.
 |
| Figa. 3 - Odrzucenie pakietu w porcie monitora |
Czasami jest ktoś, kto chce mieć na pokładzie pakietów wstrzykiwania w sieci. Najczęściej dotyczy to przypadku, gdy masz identyfikatory w porcie monitora i chcesz wysłać RST pakiety z niego jako reakcję na podejrzane połączenia. Ale to nie jest najlepsza opcja realizacji, w takiej sytuacji lepiej jest zainstalować inline-IPS w sieci.
Wskazówka: Wciąż sprawdź, czy łącznik bierze pakiety w porcie monitora. Niektórzy producenci oferują smołę (cóż, albo po prostu nazywają je tak), które nie wyrzucają pakietów przychodzących. Może to być zarówno w postaci oddzielnej funkcji, jak i umierającej, bez znamy. Moim zdaniem to lub bezużyteczne (IDS) lub po prostu szkodliwe ("Człowiek na boku" / "Człowiek w środku" przy użyciu zaprojektowanych pakietów).
Pełne łączniki dupleksowe
Możesz już zauważyć, że na rysunku 1 pakiet łączy się trochę inny niż port rozpiętości. Nie masz żadnego zagregowanego linku, ale dwa oddzielne. Zobaczmy ponownie:
Jak widać, pakiety w kierunku PC -\u003e przełącznik są przesyłane do jednego portu monitora, a najeżdżające pakiety znajdują się na drugim. Taki łącznik jest nazywany pełny dupleks - Każde miejsce docelowe komunikacji jest przekierowane do dedykowanego portu monitorowania. Oczywiście oznacza to na urządzeniu przechwytywania dwa porty Uzyskać pełny wysypisko. Ma swoje zalety, ale zwiększa cenę. (Warto zauważyć, że wiele przełączników może zrobić to samo z rozpiętością - przekierowanie wielokierunkowego ruchu do różnych portów - ok. Tłumacz.)
Przepustowość z pełnym dupleksem
Nagrywanie ruchu i przesyłanie dwóch portów oznacza, że \u200b\u200bnie będziesz miał przeciążenia linki: jeśli na przykład, łącze gigabitowe ma prędkość 1 GB / s, aby otrzymać i aż do transmisji, aw ilości 2 GB / s - Tarma przenosi 1 GB / s za pomocą każdego z portów. Dlatego krople mogą pojawić się tylko na samym urządzeniu przechwytywania.
Splitters.
Splitters to łączniki optyczne. Mogą pracować w ogóle bez jedzenia, po prostu przy użyciu elementów optycznych w projekcie, jak przezroczyste lustra. A jeśli martwisz się o wprowadzenie dodatkowego punktu montażu do systemu, rozdzielacz jest najlepszym rozwiązaniem.
Półprzezroczyste lustra odzwierciedlają część sygnału z kabla optycznego w kierunku w urządzeniu przechwytywania, podczas gdy pozostała część przechodzi do odbiorcy. Dla tego typu rozdzielacza nie potrzebuje części elektrycznej. Nowoczesne łuparki mogą działać na linkach o różnych prędkościach - nie trzeba kupować oddzielnego rozkładu do przechwytywania na 1 GBIT / C i oddzielone przez 10 GB / s.
Jeśli spojrzysz na rozdzielacz, widać charakterystykę "Wskaźnik podziału"to znaczy współczynnik lub współczynnik separacji. Jest to procent sygnału światła, który odzwierciedla lustro. Typowe wartości parametrów - 70/30 i 50/50 , co oznacza odpowiednio 70%, odbędzie się na głównym łączu i 30% w porcie monitora lub, dla drugiego przykładu, 50% każdego z portów. Niewielkie ostrzeżenie: Spotkałem inżynierów, którzy wolali używać rozbiórków o stosunku 90/10, bojąc się, że zbyt duży sygnał przejdzie do portu monitora i może uszkodzić główny kanał. I faktycznie teoretycznie może wystąpić na odległość przedłużoną odległością. Podejście 90/10 będzie wykluczyć taki rozwój wydarzeń, ale jednocześnie pozostały 10% prawie zawsze okazuje się nie wystarczy na urządzenie przechwytywania i nie może nawiązać połączenia. Osobiście wolę splittery o stosunku 70/30, i do tej pory nie mam z nimi problemu.
Poniższa cecha należy pamiętać, to rodzaj złącza optycznego rozdzielacza. Jest sporo ich gatunków, nie zawsze złącza na rozdzielaczu i na mapie przechwytywania pokrywają się. Najczęstszym jest teraz typ LC, stopniowo zastępuje starsze i uciążliwe złącza typu SC.
Prawidłowa instalacja splittera jest również problemem - jeśli go zainstalowałeś, główny link wzrósł i nadal pracował normalnie - to nie oznacza, że \u200b\u200bjuż otrzymujesz kopię ruchu w porcie monitora. Ponieważ splitter jest dość możliwy do ustalenia nieprawidłowo - tak że światło spadnie na lustro z odwrotnej strony, a zatem, nie zastanawiającą się w kierunku. Jeśli tak się stanie - odłączyć główny kabel łącza i zmień miejsca RX / TX po obu stronach. Cóż, oznacza to również, że lepiej jest zaplanować te operacje w oknie serwisowym co najmniej 15 minut trwania. W przeciwieństwie do kontenera miedzianego, którego instalację jest potrzebna minutę, może być konieczne ponowne połączenie i sprawdzenie. I znowu nie zapomnij o klasycznym ostrzeżeniu - Nigdy nie patrz Prawo do linku optycznego, aby sprawdzić dostępność sygnału - moc lasera jest wystarczająco duża, aby uszkodzić wizję!
Co ciekawe, splitter optyczny, w przeciwieństwie do osi miedzi, ma trzy porty, a nie cztery. Dzieje się tak, ponieważ używa jednego portu fizycznego dla obu kanałów monitorowych:
 |
| Rys.6 - schemat portu miedzi i optycznego |
Możesz użyć jednego zwykłego kabla optycznego dla obu portów monitorowych, na drugim końcu (z urządzenia przechwytywania) Oba złącza są podłączone do wejść kart, podczas gdy wyjścia kart pozostają niewykorzystane.
Problem naruszenia zamówienia pakietu
Jeśli używasz sprzęgacza pełno dupleksu, urządzenie przechwytywania musi mieć 2 darmowe porty sieciowe na jednej karcie sieciowej lub dwóch kart sieciowych. Następnie otrzymasz każdy z strumieni monitorowych do oddzielnego portu, a następnie istnieje potrzeba odbudowy z dwóch strumieni. To zadanie jest trudniejsze niż wydaje się na pierwszy rzut oka. Wielu sugeruje, że dwie zwykłe karty sieciowe są wystarczające i nie powinny być trudnościami. Ale w rzeczywistości wszystko wychodzi nieco inaczej. Problem polega na tym, że dwie karty sieciowe na jednym komputerze daleko od zawsze przesyłania przechwyconych pakietów do szybkiego przechwytywania:
 |
| Rys.7 - Naruszenie kolejności pakietów w NIC |
Jak widać, pakiety sieciowe z górnej karty są przesyłane do procesu przechwytywania szybciej niż od dołu. Dzieje się tak bardzo często - ponieważ zwykłe karty sieciowe wykorzystywane do podstawowej funkcjonalności sieci nie są początkowo zaprojektowane do spełnienia szczelin mikro lub nanosekundowych między pakietami. Stos sieciowy po prostu w jakiś sposób posortuje je i przesyłać bezpośrednio na uchwyce / analizie. Rezultat może być denerwujący:
| Rys. 8 - Złamane zamówienie pakietów w Wireshark |
Spójrz uważnie: Pakiet Numer 2 IS SYN, który przeleciał do zrzutu po Syn-ACK. W pakiecie Numer 3 jest "HTTP 200 OK", który poleciał wcześniej niż koniec uścisku dłoni i przed wysłaniem żądania GET. Negatywna tymczasowa luka jest wyświetlana między niektórymi pakietami, co jest prawidłowym znakiem naruszonej kolejności pakietów w wysypisku.
W podobnej sytuacji istnieje skuteczne rozwiązanie - użyj narzędzia wiersza poleceń reorderCap.exe.który jest zawarty w zestawie Wireshark i znajduje się w folderze instalacyjnym:
REILORDCAP "Wyłączenie próbki.pcapng" "Out of Order Pristred Readder.pcapng" 12 klatek, 3 na zamówienie
Wynik będzie wyglądał tak:
Jeśli chcesz natychmiast uniknąć tych kłopotów z niewłaściwym zamówieniem pakietu - jest tylko jedyny sposób: profesjonalna mapa przechwytywania Multiportów FPGA, która ponownie składa przepływ na pokładzie przed wysyłką na stosie. Jest to dokładnie sposób, w jaki używam podczas przechwytywania z pełno dupleksu. Mam w tym kilku urządzeń do przechwytywania, wśród nich - parę starej sieci generała S6040 19 "współczynnik formularza stojaka, w którym można umieścić do 4 kart do przechwytywania pełno dupleksu. Takie karty zamierzam wziąć pod uwagę więcej szczegółów w jednym z moich następnych postów.
Tar z przepływami agregacji
Tar z agregacją jest podłączony do głównego łącza w taki sam sposób jak kompletny dupleks:
Ale w przeciwieństwie do pełno dupleksu, mają tylko jeden port monitora wyjściowego. Oznacza to, że jest to coś w rodzaju portu obejmującego - taki łącznik połączy dwa strumienie w jednym przed wysłaniem karty przechwytywania. Dobre strony tego podejścia są następujące: W przypadku przechwytywania potrzebujesz tylko jednej karty i nie myśl o złamanym kolejności pakietów - zajmie to samo smoły.
Ale w takim podejściu są problemy. Oczywiście jest to problem przeciążenia portu monitora wyjściowego. Ogólnie rzecz biorąc, znowu o tym samym 1gbit / s przy recepcji, jak najwięcej do powrotu ... rozumiesz. Aby uniknąć tego problemu, możesz użyć smoły z portem wyjściowym, który ma większą prędkość niż suma portów wejściowych. Jako część - są kontenery, które są podłączone do komputera przez USB3. Na wejściu są one one połączone w taki sam sposób, jak wszystkie inne, a strumień wyjściowy jest przesyłany przez kabel USB3 (z max. Wskaźnik transmisji do 6GBIT / s, co jest wystarczające do monitorowania łącza Gigabitowego pełnego dupleksu z pełnym ładowaniem ).
Tarę z agregacją jest technicznie znacznie trudniejsza niż pełny dupleks kolegów, ponieważ są one znacznie droższe i zaczynają się od około 1000 euro. Najbardziej proste kontenery pełno dupleksu można znaleźć w kilkuset euro.
O tanich tar.
Praktycznie jestem pewien, że niektórzy z twoich głowy, gdy widzą przybliżone ceny łączników, myśląc - dlaczego jest tak drogi? Cóż ... To zależy od tego, co chcesz z TAR i gdzie ich używać. Istnieje okazja do znalezienia lub zbudowania połączenia przez kilka dolarów lub kupić opcję z agregacją przez kilka stu. Powodem jest tak niską cenę - w tym przypadku może być tylko kontener miedziany i tylko ograniczone 100 Mb / s. Również w takich pakietach brakuje większości funkcji. W moim doświadczeniu:
- podczas znikania odżywiania nie ma w nich mechanizmu obwodowego, które ogranicza się (zdecydowanie nie trzeba robić tego w centrum danych);
- pozwalają na wtryskiwanie pakietów do sieci.
Ponieważ instalacja smoła dodaje punkt odmowy do sieci roboczej, musisz mieć pewność, że istnieją mechanizmy ochrony, takie jak nadmiarowy zasilanie lub tryb obejścia (lub obie funkcje).
19 grudnia 2011 przez Henry Van Styn
w How-Tos
Przechwytywanie pakietów jest jednym z najpotężniejszych sposobów analizy procesów sieciowych. Możesz wiele się dowiedzieć o tym, co dzieje się w sieci przy użyciu przechwytywania i badań surowych danych przechodzących przez połączenia sieciowe. Nowoczesne narzędzia do analizy ruchu umożliwiają przechwytywanie, interpretację i opisy strumieni danych w stylu czytelnym dla człowieka.
tCPDump jest najważniejszym narzędziem do słuchania ruchu lub przyciągania, zapewnia wiele funkcji analizy i może nawet wyeksportować interpretowane pól pakietów do innych programów.
Jeśli uważasz, że narzędzia tacy jak TCPDump tracą swoją wartość wraz z pojawieniem się narzędzi graficznych Wireshark, pomyśl ponownie. Wireshark to doskonała aplikacja, ale nie w ogóle Universal Tool jest absolutnie dla wszystkich sytuacji. Jako uniwersalne lekkie rozwiązanie dla różnych zastosowań (takich jak UniCable Tools Cat, Mniej i Hexdump), TCPDump wygląda znacznie chłodniej. I najbardziej imponującą cechą jest łatwość obsługi. Jako styl zachowania wynika z podejścia do koncepcji "zespołów w jednej linii" dla szybkich odpowiedzi jednobiegowych. Ponadto można zastosować w sesji SSH bez użycia grafiki. Dzięki wsparciu umów składniowych linii poleceń (na przykład wydawanie danych przepływu wyjściowego do standardowej wyjścia, które można przekierować) TCPDump może być stosowany we wszystkich rodzajach przenośników do budowy ciekawych i przydatnych narzędzi.
W tym artykule rozważę kilka podstawowych zasad stosowania TCPDump i podstawy składni.
Podstawy
Zanim staniesz się mistrzem używania TCPDump, należy rozumieć niektóre fundamentalne pomysły. Po pierwsze, przechwytywanie pakietów jest procesem pasywnym, nie zmienia ruchu i nie nadaje nic w sieci. Po drugie, możesz przechwycić tylko takie pakiety, które dostaje system. Jeśli niektóre dwie hosty są wymieniane przez pakiety bezpośrednio, a ten ruch przekazuje komputer, nic nie zobaczysz, niezależnie od narzędzia obserwacyjnego. Po trzecie, możesz przechwycić tylko te pakiety, które są adresowane do systemu, jeśli interfejs sieciowy nie jest tłumaczony na tryb nieregularny.
Ponieważ zakłada się, że jesteś zainteresowany dużym niż tylko pakiety dla systemu, TCPDump przełoży pierwszy interfejs w systemie (jeśli określono inaczej nie zostanie określony) automatycznie do trybu nieregularnego. Ta operacja wymaga przywilejów superwera.
Anatomia dowodzenia TCPDump
Polecenie TCPDump składa się z dwóch części: opcji i wyrażeń filtrujących (Rysunek 1).
Rysunek 1. Przykład polecenia TCPDump
Wyrażenie filtra określa, które pakiety do przechwytywania, a opcje obejmują, które z nich pokazują na wyjściu, są również odpowiedzialne za zachowanie narzędzia.
Opcje
Po opcjach TCPDump następuje standardowe umowy wiersza poleceń, dlatego format opcji jest wartość flagi. Niektóre flagi nie mają znaczenia wartości parametru, ponieważ są one włączeni. Na przykład, dla -i podąża za nazwą interfejsu, a -N wyłącza rozdzielczość nazw przez DNS.
Strona ręczna Mężczyzna opisuje wiele opcji, ale istnieje wiele z nich, bez których nie jest konieczne:
I Interfejs: interfejs, na którym TCPDump będzie słuchał ruchu;
V, -VV, -VVV: Weryfikacja wyjścia;
P: Tryb cichy;
E: Nagłówki ramki na poziomie kanału drukowania (Ethernet);
N: Rozwiąż nazwy domeny hostów;
T: Nie drukuj tymczasowych tagów;
N: Nie rozwiąż żadnych nazw domen hostów;
S0 (lub -S 0): Maksymalne przechwytywanie, pakiety są całkowicie przechwytywane; W najnowszych wersjach TCPDump jest to domyślne zachowanie.
Żadna opcja nie jest obowiązkowa. Wartości zdefiniowane przez użytkownika zmieniają tylko domyślne zachowanie, w którym przechwytywanie w pierwszym interfejsie i wyjściu informacji o pakietach w jednej linii.
Wyrażenia filtra
Wyrażenia filtra Istnieją kryteria boolowskie (tak / nie), aby ocenić zbieg okoliczności pakietu z próbką. Wszystkie pakiety, które nie odpowiadają określonych warunkach, są ignorowane.
Składnia filtra pakietów jest potężna i przezroczysta. Na początku zawiera słowa kluczowe zwane "prymitywy", które są różnymi klasyfikatorami do pakietów, może być protokołem, adresem, portem lub kierunkiem. Mogą być połączone na łańcuchy za pomocą operatorów i / lub, zgrupowanych i w połączeniu z zasadami spadkowymi, posortowane przez ujemne.
Dzięki mówcom imion kryteriów, wyrażenia filtra zwykle wyglądają na "samozadowolenie" ich istotę projektowania, z tego powodu, są one bardzo łatwe do zaprojektowania i rozumienia. W pełni składnia jest opisana na stronie Man PCAP-Filter, niektóre przykłady są przedstawiane tutaj:
ARP jest prostym protokołem, służy do rozwiązania adresów IP na adresie MAC kart sieciowych. Jak widać powyżej, TCPDump opisuje te pakiety w sposób dość prymitywny. Z drugiej strony pakiety DNS zostaną opisane nieco inaczej:
| IP 10.0.0.2.50435\u003e 10.0.0.1.53: 19+ A? linuxjournal.com. (34) IP 10.0.0.1.53\u003e 10.0.0.2.50435: 19 1/0/0 A 76.74.252.198 (50) |
Początkowo może wydawać się niewystarczająco jasne, ale jako protokoły różnych poziomów działają, będą pełne znaczenia. DNS jest znacznie bardziej złożonym protokołem niż ARP, ale oprócz tego działa na wyższym poziomie. Oznacza to, że pakiety podstawowych protokołów są również wyświetlane w wyjściu. W przeciwieństwie do ARP, który nie jest prowadzony między różnymi segmentami sieci fizycznymi, DNS jest protokołem dla całego Internetu. Aby przejść do tych pakietów, poziom IP jest używany, UDP jest udział w transporcie. Dzięki temu protokół DNS na piątym poziomie (IP - trzeci poziom, UDP jest czwarty).
Informacje o poziomie UDP / IP zawierające adres i port źródła są wyświetlane po lewej stronie linii, specyficzne informacje DNS - po prawej stronie. Pomimo faktu, że składnia jest dość skompresowana, wystarczy określić podstawowe elementy DNS. Pierwszym pakietem jest żądanie adresu dla Linuxjournal.com, drugi pakiet jest odpowiedzią, która daje adres 76.74.252.198. Jest to typowa sekwencja dla prostych żądań DNS.
Wyświetl sekcję "Format wyjściowy" pomocy człowieka Pomoc dla TCPDump Aby uzyskać pełny opis wszystkich formatów wyjściowych zależnych od protokołów. Pakiety niektórych protokołów są widoczne w produkcji lepiej, inne gorsze, ale ważne informacje są zwykle łatwe.
Przechwyć wyjście do pliku
Oprócz zwykłego trybu z wyjściem informacji na konsoli (standardowe wyjście), TCPDump obsługuje również tryb wyjściowy do pliku. Tryb jest aktywowany przez opcję -W, która ustawia ścieżkę do pliku.
Podczas pisania do pliku TCPDump używa innego formatu niż podczas wyświetlania na ekranie. Jest to tak zwane surowe wyjście, nie wytwarza podstawowej analizy opakowania. Pliki te można następnie stosować w programach innych firm, takich jak Wirshark, ponieważ format rekordów do pliku odpowiada powszechnym formacie "PCAP" (taki plik może być złożony za pomocą opcji -R, aby wejść do TCPDump). Ta funkcja pozwala nam przechwycić pakiety na jednej maszynie i analizować do innego. Na przykład masz Wireshark na swoim laptopie. Nie musisz podłączać go do analizowanej sieci, aby skanować wcześniej przechwycony plik.
Analiza protokołu oparta na TCP
TCPDump jest analizatorem wsadowym, więc działa dobrze z protokołami opartymi na oddzielnym pakiecie, na przykład IP, UDP, DHCP, DNS i ICMP. Jeśli istnieje "strumień" lub sekwencja pakietów do ustalenia połączenia, TCPDump nie może bezpośrednio analizować tych strumieni i scenariuszy połączeń. Protokoły takie jak HTTP, SMTP i IMAP z punktu widzenia interakcji sieciowych są znacznie bardziej podobne do interaktywnych zastosowań niż protokoły "wsadowe".
TCP transparentnie obsługuje wszystkie części niskiego poziomu wymagane do sesji komunikacyjnych w ramach protokołów sesji. Istnieje kapsułkowanie danych zorientowanych na przepływ, w pakietach (segmenty), które mogą być już wysyłane przez sieć. Wszystkie takie szczegóły są ukryte poniżej poziomu aplikacji. Dlatego wymagane są dodatkowe etapy do przechwytywania pakietów protokołów, które są zorientowane na połączenia. Ponieważ każdy segment TCP jest dane poziomu aplikacji, informacje o tym nie mogą być używane bezpośrednio. Aby mieć sens, musisz w pełni przywrócić sesję TCP (strumień) z sekwencji poszczególnych pakietów. Ta funkcja TCPDump ma nie. Aby analizować protokoły sesji, możesz użyć tego, co nazywałem "sztuczkę z rzędami".
Sztuczka z ciągami
Zwykle podczas przechwytywania ruchu, mam na myśli cel analizy powodów niektórych błędów. Dane nie powinny być idealne do oglądania, aby zrozumieć powody każdej incydentów. W takich przypadkach prędkość zrozumienia jest najważniejsza niż reszta. Kolejną sztuczką jest jedną z moich ulubionych technik pracy z TCPDump. Działa, ponieważ:
TCP Segmen zazwyczaj przechodzą do porządku chronologicznego;
- protokoły tekstu na podstawie tekstu generują pakiety z obciążeniem tekstowym;
- dane otaczające obciążenie tekstowe (na przykład pakiety) nie jest tekstem;
- Układ UNIX mogą zapisać tekst z aplikacji wyjściowych binarnych;
- Jeśli uruchomisz TCPDump z opcją -W - generuje standardowe wyjście surowych informacji.
Podłączając wszystko razem, otrzymujemy narzędzie do przechwytywania danych sesji HTTP.
Ponadto musisz zrozumieć, że wyjście może zawierać pewną ilość śmieci. Możesz rozszerzyć niepotrzebne przy użyciu opcji narzędzia, co ogranicza długość wyjścia ciągu (patrz ciągłe ciągów).
Ta sztuczka działa całkiem dobrze dla dowolnych protokołów na podstawie tekstu.
Analiza HTTP i SMTP
Sztuczka z liniami z poprzedniej sekcji może pomóc uchwycić te sesje HTTP, pomimo braku wbudowanego analizatora wątków. Uzyskane dane mogą być "analizowane", a następnie wiele różnych sposobów.
Na przykład zniechęcasz, aby sprawdzić dostępność wszystkich witryn, w których nazwie jest "Davepc", w czasie rzeczywistym. Taka polecenie działające na zaporze pomoże (rozumie się, że interfejs wewnętrzny eth1):
Są to tylko dwa proste przykłady, aby zilustrować funkcje. Możesz iść do tej pory, na przykład, napisz skrypt na Perl dla głębszej analizy uzyskanych linii.
W ten sposób prawdziwa moc TCPDump jest objawiana w przypadkach, w których chcesz szybko uzyskać odpowiedzi na kilka pytań bez większego wysiłku. Jest to szczególnie ważne podczas debugowania aplikacji sieciowych.
Debugowanie routingu i połączenia VPN
TCPDump może pomóc podczas debugowania takich rzeczy jak połączenia VPN. Wszystko, czego potrzebujesz, to zrozumieć, które gospodarze, jakie pakiety pojawiają się, na których nie ma.
Weź standardowy schemat łączenia dwóch sieci za pomocą połączenia VPN. Sieć 10.0.50.0/24 i 192.168.5.0/24 (Rysunek 2).
Rysunek 2. Przykład topologii VPN
Jeśli działa poprawnie, gospodarze z różnych sieci powinni pingować się nawzajem. Jeśli odpowiedzi na pingies nie przyjdą (w tym przypadku, przypuśćmy, że nie pochodzą z D do hostessy A), możemy użyć TCPDump do wykrycia tam, co jest tracone.
Jeśli pakiety zapytań udają się do gospodarza z (Remote Gateway), ale nie na d, pokazuje, że sama połączenie VPN działa, ale istnieją problemy routingu. Jeśli host d otrzymuje żądania, ale nie ogranicza odpowiedzi, może to oznaczać, że protokół ICMP jest zablokowany. Jeśli odpowiedzi zostaną wysłane, ale nie docieraj do C, być może na d jest nieprawidłowo skonfigurowany przez bramę domyślną.
Przypominamy, że próby powtórzenia działań autora mogą prowadzić do utraty gwarancji sprzętu, a nawet do niepowodzenia. Materiał jest przeznaczony wyłącznie do celów informacyjnych. Jeśli zamierzasz odtworzyć działania opisane poniżej, zdecydowanie zalecamy starannie przeczytać artykuł do końca przynajmniej raz. 3DNews Edition nie ponosi żadnej odpowiedzialności za wszelkie możliwe konsekwencje.
⇡ Wprowadzenie
W komentarzach do jednego z pierwszych artykułów na temat alternatywnego oprogramowania układowego czytelnicy zapytali, czy nie było czegoś takiego dla routerów Zyxel. Czy oficjalne horror firmware jest dobre, czy entuzjasta nie są tak aktywne, ale przynajmniej nie ma więcej lub mniej przyzwoitej alternatywy dla markowych oprogramowania układowego. Cóż, oczywiście, oczywiście można pobrać kody oprogramowania układowego źródłowego, zmień go, ponownie montaż i wlać do routera. Ale jest też dla zwykłego użytkownika. Bardziej interesujący jest bardzo młody projekt naszych rodaków z nieskomplikowaną nazwą zyxel-keenetic-packages, powstała w głębi Forum Zyxmon. W takim przypadku pomysł jest znacznie łatwiejszy i bardziej elegancki. Nie jest wymagany od reflaracji routera, a wszystkie dodatkowe aplikacje są uruchamiane z napędem wymiennym - napędami flashowymi lub zewnętrznymi dyskami twardymi. Ponadto podczas odłączenia napędu urządzenie nadal działa jak gdyby nic się nie stało, ale, naturalnie, już bez żadnych "bułeczek". Cóż, w tym artykule rozważymy instalację i konfigurację zaktualizowanego klienta torrent transmisji, serwera DLNA i dostęp do sieci lokalnej z Internetu przez OpenVPN.
⇡ Przygotowanie
Aby rozpocząć, musimy sformatować dysk w EXT 2/3 lub NTFS. Jest lepiej, oczywiście, w EXT 2/3, chociaż niektóre zasoby naturalne twierdzą, że wszystko działa dobrze z NTFS. Programy, które mogą sformatować partycje do niezbędnej FS, całkiem wiele: na końcu, w końcu, na żywo Darmowe produkty paragonowe. Jeśli nagle musisz pilnie przeczytać dane w systemie Windows z takiej dysku, możesz użyć albo Ext2Read File Manager lub zainstalować sterownik EXT2FSD. Również w interfejsie internetowym routera musisz włączyć dostęp do dysku w sieci w "Aplikacje USB" → "Disk sieciowy".
Potrzebujemy również instalatora klienta SSH i bezpośrednio instalatora. Rozpakuj archiwum w dowolnym wygodnym miejscu. Teraz przejdźmy do naszej jazdy w sieci: Win + R, Keenetic, Enter. W folderze DISK_A1 będziesz musiał utworzyć katalog systemowy, aw nim jeden - pojemnik. Tego trzeba skopiować plik Ext_init.sh z archiwum. W ten sposób pełna ścieżka do niego będzie wyglądać jak keenetic Disk_A1 System bin ext_init.sh. Jednocześnie przydatne jest tworzenie folderu danych w korzeniu, gdzie wszystkie pliki zostaną złożone. Teraz musisz wyłączyć dysk z routera i ponownie połączyć. Po kilku minutach w dziennikach ("System" → "Log") pojawi się wpis:
dropbear działa w tle
Uruchom Putty, w polu Nazwa hosta, napęd [Chroniony e-mail]_Dress_ruuter oraz w systemie Windows → tłumaczenie, wybierz UTF-8 kodowanie i kliknij Otwórz. Wprowadzamy hasło - Zyxel (nie jest wyświetlany po ustawieniu) i naciśnij Enter. Zakończ instalację i natychmiast zaktualizuj system według poleceń:
Finish_install.sh.
aktualizacja OPKG.
upgrade Opkg.
⇡ Transmisja strojenia
Instalowanie nowych aplikacji jest wykonywane przez nazwę Name_name OPKG Install Command. W tej chwili liczba aplikacji portynowanych nie jest tak świetna - można oglądać ich listę. Zasadniczo główne niuanse ich instalacji są dobrze opisane w projekcie Vicky. Jednak pewne punkty będą zrozumiałe przez nieprzygotowanego użytkownika dotyczące ich konfiguracji. Więc będą pewne przykłady jasności. Po pierwsze, należy rozważyć instalację i konfigurację bardziej nowej wersji klienta przekładniowego Torrent niż ten wstępnie ustawiony w ramieniu oprogramowania układowego routera - 2.3 zamiast 1,93. Ustaw klient i edytor tekstu nano z zespołem:
OPKG Zainstaluj nano.
oPKG Install Transmission-Demon Transmission-Web
Tradycyjna wskazówka - zamiast ręcznie wpisując polecenia, po prostu skopiuj je stąd i kliknij prawym przyciskiem myszy w oknie Puttty. Domyślnie wszystkie nowe pliki do pobrania zostaną nagrane w folderze transmisji, czyli tak samo, jak domyślnie występuje wbudowany router Torrent-Client. Zamknij go, przechodząc do interfejsu internetowego routera w sekcji "Aplikacja USB" → "Torrents", usuwając pole wyboru "Włącz pola wyboru" Włącz klienta BitTorrent-Client "i kliknięcie" Zastosuj ". Edytuj ustawienia transmisji przez polecenie:
Nano /media/disk_a1/system/var/transmission/settings.json.
Wystarczy zmienić kilka linii woli:
"Peer-port": 52400
Wymagane uwierzytelnianie RPC: Prawda
RPC-Hasło: "Hasło"
RPC-Port: 9091
Nazwa użytkownika RPC: "Nazwa użytkownika"
Aby włączyć autoryzację dostępu do interfejsu sieci Web Transmission, należy zmienić wartość parametru wymaganego uwierzytelniania RPC z FALSE na true. Następnie zamiast nazwy użytkownika i hasła należy odpowiednio określić login i hasło. W porcie Peer-Port i RPC - musisz określić numery portów, które służą do łączenia się z innymi klientami i dostępem odpowiednio dostępu do interfejsu internetowego klienta. Inne parametry nie można zmienić. Zapisz plik i wyjdź - F2, Y, Enter. Dla transmisji Autorun, gdy router jest włączony, musisz zmienić nazwę jednego z skryptów:
MV /media/disk_a1/system/etc/init.d/ K90transmissiond /media/disk_a1/system/etc/init.d/s90transmissmentd
Konieczne jest prawidłowe poprawne:
Nano /media/disk_a1/system/etc/init.d/s90transmissmissmentd.
Na samym początku znajdują się dwie zmienne trn_port i trn_rpc_port. Jeśli zmieniłeś w Ustawienia.Json Peer-Port i RPC-Port, ich wartości muszą być podstawione w tych zmiennych. Będzie również konieczne, aby "zasięg" (usunąć # na początku linii) kolejne sześć poleceń iptables -a (lub d) wejścia -P TCP --dport $ trn_port (trn_rpc_port) -j akceptuje. Nie zapomnij zapisać pliku i uruchom transmisję. Pamiętaj tylko, że teraz jego panel sterowania będzie w języku angielskim.
/media/disk_a1/system/etc/init.d/s90transmissmissmissmissmissmissMissmissmentd.
⇡ Konfigurowanie serwera mediów DLNA
Bardziej przydatna usługa to minidlna. Dzięki swojej pomocy router pojawia się obsługa protokołu DLNA, dzięki czemu pliki multimedialne można oglądać, na przykład na telewizorze lub konsoli. Jest zainstalowany i skonfigurowany jest znacznie prostszy niż transmisja.
OPKG zainstaluj minidlnę.
nano /media/disk_a1/system/etc/minidlna.conf.
W pliku konfiguracyjnym należy zmienić parametry Media_dir, w którym chcesz określić foldery, w których przechowywane są pliki multimedialne. Możesz dodatkowo zainstalować filtr typu pliku - tylko audio (a), wideo (V) lub obrazy. Pamiętaj, że folder główny napędu wymiennego jest dostępny jako / Media / Disk_A1. Oto przykład ustawień.
Media_dir \u003d / Transmission / Disk_A1 / Transmission /
media_Dir \u003d / Media / Disk_A1 / Dane / Downloads
media_dir \u003d A, / Media / Disk_A1 / Data / Music_and_Audiobooks
media_Dir \u003d V, / Media / Disk_A1 / Data / Films_and_movies
media_dir \u003d P, / Media / Disk_A1 / Data / Zdjęcia
Pozostaje tylko rozpocząć serwer minidlna.
/media/disk_a1/system/etc/init.d/s50minidlna Start.
OprawaOpenVPN.
Pobierz dystrybucję OpenVPN na oficjalnej stronie, wybierając w sekcji Instalator Windows. Podczas instalacji zaznacz pola wyboru Wszystkie komponenty. Po raz ostatni użyjemy autoryzacji na kluczu statycznym, czyli tylko jedno połączenie VPN będzie dla nas dostępne. Kluczem do generowania wstępnego - z menu głównego w sekcji OpenVPN → Uruchom uruchomienie wygeneruj statyczny klucz OpenVPN. Gotowy klawisz jest w pliku C: Program Pliki OpenVPN Config Key.txt. Zmień nazwę go do Static.key i Kopiuj do dysku do folderu DISK_A1 SYSTEM. Teraz zainstaluj OpenVPN na routerze przez zespół:
OPKG Zainstaluj OpenVPN.
Utwórz plik konfiguracyjny:
Nano /media/disk_a1/system/etc/openvpn/openvpn.conf.
I włóż do niego następujące linie:
Port 1194.
proto UDP.
dev tun.
secret /media/disk_a1/system/var/static.key.
iFConfig 10.8.0.1 10.8.0.2.
kEEALIVE 10 120.
comp-lzo.
utrzymywać klucz.
trwałe.
Zapisz plik (F2, Y, ENTER). Następnie lekko poprowadzić skrypt startu:
Nano /media/disk_a1/system/etc/init.d/k11openvpn.
Konieczne jest dodanie reguł iptables na końcu sekcji startowych
Iptables -a Input -P UDP --dport 1194 -j Akceptuje
Iptables -d wejściowy -p Udp --dport 1194 -j Akceptuje
Zapiszemy ten skrypt, przemianowany na automatyczne uruchomienie i natychmiast uruchomić.
MV /media/disk_a1/system/etc/init.d/k11openvpn /media/disk_a1/system/etc/init.d/s11Openvpn.
/media/disk_a1/system/etc/init.d/s11Openvpn Start.
Utwórzmy teraz grupę zasad Firewall:
Nano /media/disk_a1/system/etc/firelewall.d/fw.sh.
Musisz skopiować następujące wiersze do tego pliku:
#! / bin / sh
iptables -i do przodu 1 --source 10.8.0.0.0.0 -j -j Akceptuje
iptables -i Forward -i Br0 -o Tun0 -J akceptuje
iptables -i do przodu -i tun0 -o br0 -j akceptuje
iptables -t nat -a POSTROUTING -O BR0 -J MASQUERADE
Po zapisaniu sprawiamy, że plik działa i natychmiast wykonujemy:
Chmod + x /media/disk_A1/system/etc/firelewall.d/fw.sh
/media/disk_a1/system/etc/firelewall.d/fw.sh.
Oczywiście musimy zarejestrować nazwę DDNS na naszym routerze. Przeczytaj więcej o rejestracji na przykładzie DyndNS jest zapisywany w sekcji "DDNS Setup". Przez interfejs internetowy routera, przejdź do sekcji "Internet" → "Nazwa domeny", włącz Tick "Użyj dynamicznych DNS", wypełnij odpowiednie pola i kliknij "Zastosuj". Nawiasem mówiąc, po włączeniu DDN, interfejs sieci Web Transmission będzie również dostępny dla Ciebie (http: // ddns__ruuter: RPC-Port), a jeśli umieścisz pole wyboru "Zezwalaj zdalnego dostępu" i określić "port TCP Konfigurator sieci Web ", a następnie router interfejsu internetowego. Podobnie, możesz otworzyć dostęp do plików na dysku FTP - Utwórz pole wyboru "Zezwalaj na dostęp z Internetu" w aplikacji "USB" → "Serwer FTP".
Na kliencie (na przykład na komputerze biurowym lub na laptopie), musisz również zainstalować OpenVPN, a jednocześnie skopiuj nasz klucz statyczny.key, który wygenerowaliśmy wcześniej, w folderze C: Program Program OpenVPN EASY-RSA Klucze (Cóż, lub gdzie jest dla Ciebie wygodne, tylko w ustawieniach klienta konieczne będzie zmienić ścieżkę do niego). Teraz w folderze C: Program Pliki OpenVPN Config, musisz utworzyć nowy plik tekstowy, włóż następujące linie do niego i zmień nazwę, na przykład, w router.ovpn. Należy pamiętać, że w drodze do pliku Secret.key musisz użyć precyzyjnie podwójnych warstw (), a nie pojedynczy ().
Remote ddns_iate_roter.
Dev tun.
IFConfig 10.8.0.2 10.8.0.1.
Secret "C: Pliki programów OpenVPN Easy-RSA Klucze Static.key"
Comp-lzo.
KEEALIVE 10120.
Ping-timer-rem
Trwałe.
Utrzymywać klucz.
Trasa 192.168.1.0 255.255.255.0.
Dzięki dwukrotnym kliknięciu do pliku OVPN tunel zostanie podniesiony do routera. Możesz uruchomić GUI OpenVPN i z menu głównego - pojawi się ikona w obszarze powiadomień, który również podniesie tunel. W takim przypadku kolor ikon zmieni się z czerwonym na zielono. Kolejnym dwukrotnym kliknięciem ikony pokaże okno z dziennikiem. Aby wyłączyć VPN, kliknij przycisk Odłącz. Po podłączeniu sieć domowa będzie dostępna i można na przykład skonfigurować pulpit zdalny (patrz sekcja "Dokładna konfiguracja"). Konieczne jest również śledzenie adresowania na zdalnym maszynie, w sieci domowej i wewnątrz tunelu VPN był inny. W naszym przykładzie użyliśmy podsieci 10.8.0.0 dla tunelu oraz w sieci domowej - 192.168.1.0. W razie potrzeby dostosuj adresy we wszystkich skryptach i plikach konfiguracyjnych w tej sekcji.
Wniosek
W tej chwili jest być może wszystkie aplikacje, które mają sens do powiedzenia. Oczywiście w repozytorium są inne pakiety w repozytorium, ale prawie użytkownik domu będzie chciał podnieść serwer internetowy na routerze, aby stać się obłudnie na niej lub, na przykład, przejmuj się innymi usługami DDNS lub zamontować kolejny dysk w sieci. Jeśli jednak chciał, ustawienie nie jest tak złożone. W końcu nie zostały zakazane w Google ani Yandex. Dla młodego projektu tak mała liczba pakietów jest normalnym zjawiskiem. Ponadto ich lista jest stopniowo uzupełniana, jednak zgodnie z autorem samego samego pakietów zyxel-keenetic-pack, nie ma zbyt wiele czasu. Tak więc entuzjastów, gotowi zbierać nowe pakiety i rozwijać projekt, wyraźnie nie przeszkadza. Wreszcie, po raz kolejny zalecamy zapoznanie się z Wiki i Forum, do których linki zostały przedstawione na początku artykułu. Pozwalamy zadeklarować i tradycyjnie życzyć udanych eksperymentów.
P.s
