понедельник, 4 января 2016 г.

Агрегация сетевых адаптеров в Windows Server 2012 (NIC Teaming)


PS E:\> Get-NetAdapter

PS E:\> New-NetLbfoTeam -Name Team01 -TeamMembers 12,13 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm TransportPorts

TeamMembers можно указать как с помощью ifIndex, так и с помощью имени (например, -TeamMembers Ethernet,'Ethernet 2')

TeamingMode указываем один из трех параметров: SwitchIndependent распределять трафик независимо от настроек свитча (либо разных свитчей), Lacp (динамически с помощью этого протокола) или Static (необходима конфигурация портов на свитче).

LoadBalancingAlgorithm алгоритм балансировки: TransportPorts технология хэширования (на основании хэша из IP, MAC, Port и их связок), HyperVPort виртуальный свитч распределяет каждой ВМ отдельный NIC, IPAddresses на основании IP-адреса, MacAddresses на основании MAC адреса.
С текущими группами портов, их настройками и состоянием можно познакомится при помощи команды:

Get-NetLbfoTeam

Удалить группу можно командой:

Remove-NetLbfoTeam -Name Team01

Более подробно об этом, а также "ка это делать в GUI" можно прочитать в статье:
http://habrahabr.ru/company/microsoft/blog/162509/

Взято с http://vam.in.ua/index.php/it/25-ms-powershell/125-nic-teaming-server2012.html

powershell удаленный запуск приложения

powershell удаленный запуск приложения

Запуск интерактивного сеанса

Чтобы запустить интерактивный сеанс с одним удаленным компьютером, используйте командлет Enter-PSSession. Например, чтобы запустить интерактивный сеанс с удаленным компьютером Server01, введите:
enter-pssession Server01
В командной строке отобразится имя компьютера, к которому вы подключены. В дальнейшем все команды, введенные в командной строке, будут запускаться на удаленном компьютере, а результаты отобразятся на локальном компьютере.
Чтобы завершить интерактивный сеанс, введите:
exit-pssession

Выполнение удаленной команды

Чтобы выполнить любую команду на одном или нескольких удаленных компьютерах, используйте командлет Invoke-Command. Например, чтобы выполнить команду Get-UICulture на удаленных компьютерах Server01 и Server02, введите:

invoke-command -computername Server01, Server02 {get-UICulture}
Выходные данные будут возвращены на ваш компьютер.
Чтобы запустить сценарий на одном или нескольких удаленных компьютерах, используйте параметр FilePath командлета Invoke-Command. Сценарий должен быть включен или доступен для локального компьютера. Результаты будут возвращены на локальный компьютер.
Например, следующая команда выполняет сценарий DiskCollect.ps1 на удаленных компьютерах Server01 и Server02.
invoke-command -computername Server01, Server02 -filepath c:\Scripts\DiskCollect.ps1

Установка постоянного подключения
Чтобы выполнить ряд связанных команд с общими данными, создайте сеанс на удаленном компьютере, а затем используйте командлет Invoke-Command для выполнения команд в созданном сеансе. Чтобы создать удаленный сеанс, используйте командлет New-PSSession.
Например, следующая команда создает удаленный сеанс на компьютере Server01 и другой удаленный сеанс на компьютере Server02. Она сохраняет объекты сеанса в переменной $s.
$s = new-pssession -computername Server01, Server02
После установки сеансов в них можно выполнить любую команду. Так как сеансы являются постоянными, вы можете собирать данные в одной команде и использовать их в последующей.
Например, следующая команда выполняет команду Get-Hotfix в сеансах в переменной $s и сохраняет результаты в переменной $h. Переменная $h создается в каждом сеансе в $s, но она не существует в локальном сеансе.
invoke-command -session $s {$h = get-hotfix}
Теперь данные в переменной $h можно использовать в последующих командах, таких как следующая. Результаты отобразятся на локальном компьютере.

invoke-command -session $s {$h | where {$_.installedby -ne "NTAUTHORITY\SYSTEM"}



Всё взято с https://technet.microsoft.com/ru-ru/library/dd819505.aspx

воскресенье, 3 января 2016 г.

HYPER-V SERVER 2012 R2 настройка и подключение без домена

Весь процесс установки занимает несколько минут и оканчивается стандартным приглашением для администратора. После задания пароля открывается синее меню.

1. Задаем необходимые параметры — имя, сетевые адреса, включаем RDP и автообновления.
Создаем нового пользователя с правами администратора.
2.Включаем все правила фаервола, затем можно будет из более удобной консоли их все настроить и лишние выключить.
 Netsh advfirewall firewall set rule all new enable=yes
(или откл вообще netsh advfirewall set allprofiles state off
или Set-NetFirewallProfile –Profile * -Enabled False )

3. На клиенте mmc.exe, добавляем оснастку управления локальными политиками, указываем айпи hyper-v server
Computer Configuration -> Administrative Templates -> System -> Device Installation  и включить настройку Allow remote access to the PnP interface (Конфигурация компьютера-Административные шаблоны-Система-Установка устройств включить Разрешить удаленный доступ к устройствам Plug and Play)

4. В PowerShell на  hyper-v server
Set-ExecutionPolicy RemoteSigned
Configure-SMRemoting.exe –Enable

5. Берем флешку и записываем на нее Total Commander и HVRemote. Вставляем в сервер и с помощью командной строки создаем на диске С: папку и копируем туда.
Дальше нам понадобится утилита HVRemote. Запускаем на гипервизоре консоль, идем в папку, где лежит утилита и выполняем команду:

cscript hvremote.wsf /add:имя_администратора

"Если домена нет, нужно будет выполнить следующие шаги:
• Создать на сервере и на клиенте аккаунт с помощью net user
• Дать этому пользователю доступ cscript hvremote.wsf /add:accountname ***
• На клиенте разрешить анонимный доступ к DCOM cscript hvremote.wsf /anondcom:grant"

Настройка клиента Windows 8 для управления сервером Hyper-V

1.Установите инструментарий управления Hyper-V: Hyper-V Management Tools в разделе Programs and Features панели управления.windows 8 установка hyper-v managment tools
 Установить   RSAT (remote system administration tools)
RSAT для Windows 8 работает только с Windows 2012
RSAT для Windows 7 Sp1 работает только с Windows 2008 R2 SP1


2.Создайте новую учетную запись пользователя с таким же именем и паролем, как и на Windows Server 2012 с ролью Hyper-V (hypervusr). Добавьте пользователя в группу локальных администраторов (Administrators)

3.В консоли управления компонентами откройте свойства компьютера. Перейдите на вкладку COM Security и в разделе Access Permissions нажмите кнопку Edit Limits. Проверьте, что для ANONYMOUS LOGON разрешены удаленные подключения (Remote Access – Allow). Добавьте нового пользователя и также предоставьте ему права удаленного подключения (Remote Access – Allow).

4.Сохраним учетные данные для доступа к серверу, выполнив с правами администратора команду:
cmdkey /add:hyper-v-server-name /user:hypervusr /pass:parol_polzovatelya_hypervusr

5. В PowerShell на клиенте : Set-Item WSMan:\localhost\Client\TrustedHosts -Value <RemoteServerName> -Concatenate, где RemoteServerName это имя Hyper-V server который хотите админить


пятница, 20 марта 2015 г.

CISCO начальная настройка маршрутизатора + PPPOE + NAT+ ACL

Создаем пользователя:

Router(config)# username vash_user privilege 15 ​secret super_password

где, vash_user  - имя пользователя super_password - Ваш  пароль.

Задаем имя хоста:

Router(config)# hostname Cisco

Задаем пароль на привилегированный режим -

Cisco(config)# enable password vash_password

Активируем шифрование паролей в конфигурационном файле

Cisco(config)# service password-encryption

Устанавливаем время на маршрутизаторе
Cisco(config)# clock set 14:00:00 31 oct 2015

Временную зону
Cisco(config)# clock timezone MSK +3

Указываем имя домена (необходимо для генерации ключа)
Cisco(config)# ip domain name test.local

Активируем протокол ААА (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь) и указываем тип авторизации

Cisco(config)# aaa new-model
Cisco(config)# aaa authentication login default local
Cisco(config)# aaa authorization exec default local  

Задаем dns-сервера
Cisco(config)# no ip domain lookup
Cisco(config)# ip name-server 212.12.0.2
Cisco(config)# ip name-server 8.8.8.8

Задаем сервер ntp
Router(config)# ntp server 204.123.2.72

Генерируем RSA ключ (необходимо будет выбрать размер ключа)
Cisco(config)# crypto key generate rsa



(Иногдабывает глюк: включается ssh v.1 и никак не включить v.2, выглядит это примерно так:

cisco(config)#ip ssh version 2

Please create RSA keys (of atleast 768 bits size) to enable SSH v2

Обнуляем все имеющиеся ключи:

cisco(config)#crypto key zeroize rsa

Генерируем новые:

cisco(config)#crypto key generate rsa

Включаем долгожданный SSH v.2:

cisco(config)#ip ssh version 2)Разрешаем компьютерам внутренней сети заходить на Cisco по SSH

cisco(config)#access-list 23 permit 192.168.1.0 0.0.0.255

Входим в режим конфигурирования терминальных линий с 0 по 4

 cisco(config)# line vty 0 4

Указываем средой доступа через сеть по умолчанию SSH

cisco(config-line)# transport input ssh

Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
cisco(config-line)# logging synchronous

Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут

cisco(config-line)# exec-timeout 60 0

Привязываем группу доступа, созданную на шаге 9, к терминальной линии

cisco(config-line)# access-class 23 in

Выходим из режима конфигурирования терминальных линий

 cisco(config-line)# exit

Настройка порта, подключенного к локальной сети

Cisco(config)# interface    FastEthernet0/1
Cisco(config-if)#ip address 192.168.1.1 255.255.255.0
Cisco(config-if)#ip nat inside
Cisco(config-if)#no shutdown
Cisco(config-if)#exit

Настройка порта, подключенного к сети провайдера

interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1

Так как к провайдеру подключаемся черезе PPPOE настроим виртуальный интерфейс Dialer0,  ip получаем по DHCP от провайдера (ip address negotiated), включаем NAT, указываем размер mtu, тип инкапсуляции (ppp), авторизации (ppp authentication pap callin), задаем параметры авторизации - логин и пароль

Cisco(config-if)#interface Dialer0
Cisco(config-if)#ip address negotiated
Cisco(config-if)#ip nat outside
Cisco(config-if)#ip mtu 1492
Cisco(config-if)#encapsulation ppp
Cisco(config-if)#dialer pool 1
Cisco(config-if)#ppp authentication pap callin
Cisco(config-if)#ppp chap hostname xxxx

Cisco(config-if)#ppp chap password xxxx

Cisco(config-if)#ip tcp adjust-mss 1452
Cisco(config-if)#exit

Назначаем маршрут по умолчанию.
Cisco(config)#ip route 0.0.0.0 0.0.0.0 Dialer0
Настраиваем NAT

Cisco(config)#ip nat inside source list 100 interface Dialer0 overload
Cisco(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255
Пробросим порт на внутреннюю машину
Cisco(config)#ip nat inside source static tcp 192.168.1.50 1433 interface Dialer0 1433

Отключаем управление через SDM CDP для безопасности
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)#no ip redirects
Cisco(config)#no ip unreachables
Cisco(config)#no ip proxy-arp
Cisco(config)#no ip mrout-cache
Cisco(config)#no cdp run

no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.

Осталось навесить списки доступа ACL

четверг, 12 марта 2015 г.

Настройка SSH в Cisco.(взято с http://habrahabr.ru/ )

Входим в привилегированный режим
1. cisco> enable
Устанавливаем точное время для генерации ключа
2. cisco# clock set 07:20:00 28 Aug 2014
Входим в режим конфигурирования
3. cisco# configure terminal
Указываем имя домена (необходимо для генерации ключа)
4. cisco(config)# ip domain name test.local
Генерируем RSA ключ (необходимо будет выбрать размер ключа)
5. cisco(config)# crypto key generate rsa
Активируем шифрование паролей в конфигурационном файле
6. cisco(config)# service password-encryption
Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
8. cisco(config)# aaa new-model
Разрешаем компьютерам внутренней сети заходить на Cisco по SSH
9. cisco(config)#access-list 23 permit 192.168.0.0 0.0.0.255
Входим в режим конфигурирования терминальных линий с 0 по 4
10. cisco(config)# line vty 0 4
Указываем средой доступа через сеть по умолчанию SSH
11. cisco(config-line)# transport input ssh
Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. cisco(config-line)# logging synchronous
Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. cisco(config-line)# exec-timeout 60 0
Привязываем группу доступа, созданную на шаге 9, к терминальной линии
14.cisco(config-line)# access-class 23 in
Выходим из режима конфигурирования терминальных линий
15. cisco(config-line)# exit
Выходим из режима конфигурирования
16. cisco(config)# exit
Сохраняем конфигурационный файл в энергонезависимую память
17. cisco# copy running-config startup-config

среда, 23 июля 2014 г.

Как посмотреть загрузку сетевого интерфейса в FreeBSD.

Чтобы посмотреть насколько в данный момент загружен канал:

systat -ifstat n

n - количество времени в секундах, через которое данные будут обновляться.

Очень часто бывает полезным узнать, куда и как расходуется трафик.
Данная утилита позволяет в удобной форме наблюдать за расходом трафика

cd /usr/ports/net-mgmt/iftop

make install clean

rehash

Далее запускаем утилиту командой:

iftop