Содержание раздела
Приложение А. Назначение контактов разъёмов кабеля
Для SMG-2016, 3016
Назначение контактов разъемов RJ-48 для подключения потоков E1 E1 Line 0..15 соответствует спецификации ISO/IEC 10173 и приведено в таблице ниже.
Таблица А1 – Назначение контактов разъемов RJ-48 для подключения потоков E1
№ контакта (Pin) | Назначение | Нумерация контактов |
1 | RCV from network (tip) | |
2 | RCV from network (ring) | |
3 | RCV shield | |
4 | ХМТ tip | |
5 | XMT ring | |
6 | ХМТ shield | |
7 | He используется | |
8 | He используется |
Назначение контактов разъема RJ-45 консольного порта Console приведено в таблице ниже.
Таблица А2 – Назначение контактов разъемов RJ-45 консольного порта
№ контакта (Pin) | Назначение | Нумерация контактов |
1 | He используется | |
2 | He используется | |
3 | TX | |
4 | He используется | |
5 | GND | |
6 | RX | |
7 | He используется | |
8 | He используется |
Назначение контактов разъемов RJ-45 для подключения внешнего источника синхронизации Sync.0/Sync.1 приведено в таблице ниже.
Таблица А3 – Назначение контактов разъемов RJ-45 для подключения внешнего источника синхронизации
№ контакта (Pin) | Назначение | Нумерация контактов |
1 | Sync A1 | |
2 | Sync B2 | |
3 | He используется | |
4 | Sync A | |
5 | Sync B | |
6 | He используется | |
7 | He используется | |
8 | He используется |
1 Контакты 1 и 4 электрически соединены между собой внутри устройства
2 Контакты 2 и 5 электрически соединены между собой внутри устройства
Для SMG-1016M
E1 Line 0..7 E1 E1 Line 8..15
Рисунок 31 – Назначение контактов разъемов E1 Line
Контакты ПРМ предназначены для приема сигнала из канала в устройство;
Контакты ПРД предназначены для передачи сигнала из устройства в канал;
Контакты Синхр предназначены для синхронизации устройства от внешних источников (входное сопротивление 120 Ом).
Console
Рисунок 32 – Назначение контактов разъема Console
Рисунок 33 – Схема кабеля для подключения к ПОРТ1, ПОРТ2
Таблицы соответствия цвета провода и контакта разъема E1 Line
Таблица А4 – Соответствие цвета провода и контакта разъема E1 Line (кабель NENSHI NSPC-7019-18)
Цвет провода | Контакт разъема | Цвет провода | Контакт разъема |
Бело-голубой | 1 | Черно-голубой | 10 |
Голубой | 19 | Голубой | 28 |
Бело-оранжевый | 2 | Черно-оранжевый | 11 |
Оранжевый | 20 | Оранжевый | 29 |
Бело-зеленый | 3 | Черно-зеленый | 12 |
Зеленый | 21 | Зеленый | 30 |
Бело-коричневый | 4 | Черно-коричневый | 13 |
Коричневый | 22 | Коричневый | 31 |
Фиолетовый | 5 | Желто-голубой | 14 |
Серый | 23 | Голубой | 32 |
Красно-голубой | 6 | Желто-оранжевый | 15 |
Голубой | 24 | Оранжевый | 33 |
Красно-оранжевый | 7 | Желто-зеленый | 16 |
Оранжевый | 25 | Зеленый | 34 |
Красно-зеленый | 8 | Желто-коричневый | 17 |
Зеленый | 26 | Коричневый | 35 |
Красно-коричневый | 9 | Желто-серый | 18 |
Коричневый | 27 | Серый | 36 |
Таблица А5 – Соответствие цвета провода и контакта разъема E1 Line (кабель HANDIAN UTP 18PR)
Цвет провода | Контакт разъема | Цвет провода | Контакт разъема |
Бело-голубой | 1 | Красно-серый | 10 |
Голубой | 19 | Серый | 28 |
Бело-оранжевый | 2 | Черно-голубой | 11 |
Оранжевый | 20 | Голубой | 29 |
Бело-зеленый | 3 | Черно-оранжевый | 12 |
Зеленый | 21 | Оранжевый | 30 |
Бело-коричневый | 4 | Черно-зеленый | 13 |
Коричневый | 22 | Зеленый | 31 |
Фиолетово-серый | 5 | Черно-коричневый | 14 |
Серый | 23 | Коричневый | 32 |
Красно-голубой | 6 | Черно-серый | 15 |
Голубой | 24 | Серый | 33 |
Красно-оранжевый | 7 | Желто-голубой | 16 |
Оранжевый | 25 | Голубой | 34 |
Красно-зеленый | 8 | Желто-оранжевый | 17 |
Зеленый | 26 | Оранжевый | 35 |
Красно-коричневый | 9 | Желто-зеленый | 18 |
Коричневый | 27 | Зеленый | 36 |
Приложение Б. Резервное обновление встроенного ПО
Резервное обновление встроенного ПО устройства через RS-232
В случае, когда не удается обновить ПО через Web-конфигуратор или консоль (Telnet, SSH), существует возможность резервного обновления ПО через RS-232.
Для того чтобы обновить встроенное ПО устройства, необходимы следующие программы:
- Программа терминалов (например, TERATERM);
- Программа TFTP-сервера.
Последовательность действий при обновлении устройства:
- Подключиться к порту Ethernet устройства;
- Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства;
- Запустить терминальную программу;
- Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком;
- Запустить на компьютере программу TFTP сервера и указать путь к папке smg_files, в ней создать папку smg, в которую поместить файлы SMG_kernel, SMG_initrd (компьютер, на котором запущен TFTP сервер и устройство должны находиться в одной сети);
Включить устройство и в окне терминальной программы остановить загрузку путем введения команды
stop:
U-Boot 2009.06 (Feb 09 2010 – 20:57:21) CPU: AMCC PowerPC 460GT Rev. A at 800 MHz (PLB=200, OPB=100, EBC=100 MHz) Security/Kasumi support Bootstrap Option B – Boot ROM Location EBC (16 bits) 32 kB I-Cache 32 kB D-Cache Board: SMG-1016Mv2 board, AMCC PPC460GT Glacier based, 2*PCIe, Rev. FF I2C: ready DRAM: 512 MB SDRAM test phase 1: SDRAM test phase 2: SDRAM test passed. Ok! FLASH: 64 MB NAND: 128 MiB DTT: 1 FAILED INIT Net: ppc_4xx_eth0, ppc_4xx_eth1 Type run flash_nfs to mount root filesystem over NFS Autobooting in 3 seconds, press 'stop' for stop =>
Ввести
set ipaddr <IP-адрес устройства>
<ENTER>:set ipaddr 192.168.2.2
Ввести
set netmask <сетевая маска устройства>
<ENTER>:set netmask 255.255.255.0
Ввести
set serverip <IP-адрес компьютера, на котором запущен tftp сервер>
<ENTER>:set serverip 192.168.2.5
Ввести
mii si
<ENTER> для активации сетевого интерфейса:=> mii si Init switch 0: ..Ok! Init switch 1: ..Ok! Init phy 1: ..Ok! Init phy 2: ..Ok! =>
Обновить ядро Linux командой
run flash_kern
:=> run flash_kern About preceeding transfer (eth0): - Sent packet number 0 - Received packet number 0 - Handled packet number 0 ENET Speed is 1000 Mbps – FULL duplex connection (EMAC0) Using ppc_4xx_eth0 device TFTP from server 192.168.2.5; our IP address is 192.168.2.2 Filename ' smg/SMG_kernel'. Load address: 0x400000 Loading: ################################################################# ################################### done Bytes transferred = 1455525 (1635a5 hex) Un-Protected 15 sectors ............... done Erased 15 sectors Copy to Flash... 9....8....7....6....5....4....3....2....1....done =>
Обновить файловую систему командой
run flash_initrd
:=> run flash_initrd Using ppc_4xx_eth0 device TFTP from server 192.168.2.5; our IP address is 192.168.2.2 Filename ' smg/SMG_initrd'. Load address: 0x400000 Loading: ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# done Bytes transferred = 25430113 (1840861 hex) Erase Flash Sectors 56-183 in Bank # 2 Un-Protected 256 sectors ........................................................... done Erased 256 sectors Copy to Flash... 9....8....7....6....5....4....3....2....1....done =>
- Запустить устройство командой
run bootcmd
.
Резервное обновление встроенного ПО устройства с USB-Flash накопителя
В случае, когда остальные способы обновления ПО недоступны, существует возможность обновления ПО при помощи USB-flash накопителя.
Для того чтобы обновить встроенное ПО устройства при помощи USB-flash, необходимо следующие:
USB-flash накопитель;
Программа терминалов (например, TERATERM).
Последовательность действий при обновлении устройства:
Скопировать файл ПО в корневую директорию USB-flash накопителя;
Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства, либо установить соединение с устройством по протоколу Telnet/SSH;
Запустить терминальную программу;
Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком (в случае соединения по RS-232);
Включить устройство и дождаться его загрузки;
После загрузки подключится в терминальном режиме по протоколу Telnet/SSH либо по RS-323;
В режиме CLI ввести команду: firmware update <file-name> usb;
В случае если режим CLI недоступен, обновление возможно в режиме shell, для этого нужно ввести в режиме shell: /usr/local/scripts/get_firmware <file-name> usb. Где
<file-name>
– наименование файла ПО;Дождаться завершения обновления ПО и перезапустить устройство.
Приложение В. Взаимодействие устройства с системами мониторинга
Для возможности отслеживания в реальном времени аварийных ситуаций, возникающих на устройстве необходимо настроить работу с системой мониторинга.
Отсутствие каких-либо аварий считается нормальной работой, при возникновении аварийного события состояние устройства меняется на аварийное, при нормализации всех текущих аварий восстанавливается нормальное рабочее состояние.
Возможные индикации состояния устройства:
световая индикация на лицевой панели – светодиод Alarm (индикация светодиода Alarm описана в меню 1.6.0. Описание изделий SMG (SIGTRAN) раздел «Световая индикация»),
индикация самой критичной аварии в шапке web-конфигуратора (более подробная информация приведена в журнале работы),
передача событий об авариях в систему мониторинга по протоколу SNMP (trap, inform).
События, по которым генерируются аварийные состояния, делятся на безусловные и опциональные:
Безусловные – аварии, выдача индикации о которых не конфигурируется, к ним относятся:
CONFIG – критическая авария, авария файла конфигурации;
MEGACO-MODULE – критическая авария, авария программного модуля H.248/Megaco, отвечающего за работу IP-телефонии;
MGCР-MODULE – критическая авария, авария программного модуля MGCP, отвечающего за работу IP-телефонии;
SM-VP DEVICE – авария, неисправность IP-субмодуля SM-VP;
SYNC – авария при пропадании источника синхронизации либо предупреждение при работе от низкоприоритетного источника синхронизации;
PM-POWER-STATE – предупреждение об отсутствии напряжения на выходе одного из установленных блоков питания.
Опциональные – аварии, выдача индикации о которых конфигурируется соответствующими настройками, к ним относятся:
STREAM – критическая авария, поток Е1 не в работе;
STREAM-REMOTE – предупреждение, удаленная авария потока Е1;
STREAM-SLIP – предупреждение, на потоке проскальзывания.
Данные аварии конфигурируются в настройке физических параметров потоков Е1 (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Мониторинг потоков Е1»).
По умолчанию индикация об опциональных авариях отключена, то есть при взаимодействии с системами мониторинга необходимо сконфигурировать индикацию аварий по всем включенным в работу потокам Е1.
Для взаимодействия с системой мониторинга по протоколу SNMP на устройстве необходимо включить протокол SNMP и настроить выдачу сообщений SNMP TRAP или INFORM на IP-адрес сервера мониторинга.
Настройка параметров через web-конфигуратор
- Настройка индикации опциональных аварий при конфигурировании потока Е1 (меню «Потоки E1/Физические параметры», см. меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Настройка физических параметров»).
Для индикации аварий LOS, AIS на потоке Е1 необходимо установить флаг «Индикация Alarm».Для индикации аварии RAI необходимо установить флаг «Индикация Remote Alarm».Для индикации о проскальзываниях (SLIP) на потоке необходимо поставить флаг «Индикация SLIP» и настроить таймер обнаружения SLIP. - Включение протокола SNMP производится в меню «Настройки TCP/IP/Сетевые интерфейсы» (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Сетевые параметры»).
Для настройки необходимо установить флаг «Использовать SNMP». - Настройка выдачи SNMP трапов производится в меню «Сетевые сервисы/SNMP» (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Настройки SNMP»).
Для настройки необходимо указать тип SNMP сообщения (TRAPv1, TRAPv2, INFORM), пароль (Community), IP-адрес и порт приемника трапов SNMP.
После настройки и применения конфигурации необходимо перезапустить SNMP-агента, нажав на кнопку «Перезапустить SNMPd».
Приложение Г. Управление и мониторинг по протоколу SNMP
Шлюз поддерживает мониторинг и конфигурирование при помощи протокола SNMP (Simple Network Management Protocol).
Реализованы следующий функции мониторинга:
сбор общей информации об устройстве, показаниях датчиков, установленном ПО;
состояние потоков Е1 и их каналов;
состояние VoIP субмодулей и их каналов.
Реализованы следующие функции управления:
обновление программного обеспечения устройства;
сохранение текущей конфигурации;
перезагрузка устройства.
В таблицах с описанием OID в колонке “запросы” будет принят следующий формат описания:
Get – значение объекта или дерева можно прочитать, отправив GetRequest;
Set – значение объекта можно установить, отправив SetRequest (обратите внимание, при установке значения через SET к OID следует привести к виду “OID.0”);
{} – имя объекта или OID;
N – в команде используется числовой параметр типа integer;
U – в команде используется числовой параметр типа unsigned integer;
S – в команде используется строковый параметр;
A – в команде используется IP-адрес (обратите внимание, некоторые команды, принимающие как аргумент IP-адрес, используют строковый тип данных “s”).
Таблица Г1 – Примеры команд
Описание запроса | Команда |
Get {} | snmpwalk -v2c -c public -m +ELTEX-SMG $ip_smg activeCallCount |
Get {}.x | snmpwalk -v2c -c public -m +ELTEX-SMG $ip_smg pmExist.1 snmpwalk -v2c -c public -m +ELTEX-SMG $ip_smg pmExist.2 и т.д. |
Set {} N | snmpset -v2c -c public -m +ELTEX-SMG $ip_smg \ smgSyslogTracesCalls.0 i 60 |
Set {} 1 | snmpset -v2c -c private -m +ELTEX-SMG $ip_smg smgReboot.0 i 1 |
Set {} U | snmpset -v2c -c public -m +ELTEX-SMG $ip_smg \ getGroupUserByID.0 u 2 |
Set {} S | snmpset -v2c -c private -m +ELTEX-SMG $ip_smg \ smgUpdateFw.0 s "smg1016m_firmware_3.8.0.1966.bin 192.0.2.2" |
Set {} "NULL" | snmpset -v2c -c private -m +ELTEX-SMG $ip_smg \ getUserByNumber.0 s "NULL" |
Set {} A | snmpset -v2c -c private -m +ELTEX-SMG $ip_smg \ smgSyslogTracesAddress.0 a 192.0.2.44 |
Примеры выполнения запросов
Нижеприведённые запросы эквивалентны. На примере запроса объекта activeCallsCount
, который отображает число текущих вызовов на SMG.
$ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 activeCallCount ELTEX-SMG::activeCallCount.0 = INTEGER: 22 $ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 smg.42.1 ELTEX-SMG::activeCallCount.0 = INTEGER: 22 $ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 1.3.6.1.4.1.35265.1.29.42.1 ELTEX-SMG::activeCallCount.0 = INTEGER: 22 $ snmpwalk -v2c -c public 192.0.2.1 1.3.6.1.4.1.35265.1.29.42.1 SNMPv2-SMI::enterprises.35265.1.29.42.1.0 = INTEGER: 22
Описание OID из MIB ELTEX-SMG
Таблица Г2 – Общая информация и датчики
Имя | OID | Запросы | Описание |
smg | 1.3.6.1.4.1.35265.1.29 | Get {} | Корневой объект для дерева OID |
smgDevName | 1.3.6.1.4.1.35265.1.29.1 | Get {} | Имя устройства |
smgDevType | 1.3.6.1.4.1.35265.1.29.2 | Get {} | Тип устройства (всегда 29) |
smgFwVersion | 1.3.6.1.4.1.35265.1.29.3 | Get {} | Версия ПО |
smgEth0 | 1.3.6.1.4.1.35265.1.29.4 | Get {} | IP-адрес основного интерфейса |
smgUptime | 1.3.6.1.4.1.35265.1.29.5 | Get {} | Время работы ПО |
smgUpdateFw | 1.3.6.1.4.1.35265.1.29.25 | Set {} S | Обновление ПО. Для этого следует сделать запрос Set с параметрами (разделить пробелом):
|
smgReboot | 1.3.6.1.4.1.35265.1.29.27 | Set {} 1 | Перезагрузка оборудования |
smgSave | 1.3.6.1.4.1.35265.1.29.29 | Set {} 1 | Сохранение конфигурации |
smgFreeSpace | 1.3.6.1.4.1.35265.1.29.32 | Get {} | Свободное место на встроенной флэш-памяти |
smgFreeRam | 1.3.6.1.4.1.35265.1.29.33 | Get {} | Количество свободной оперативной памяти |
smgMonitoring | 1.3.6.1.4.1.35265.1.29.35 | Get {} | Отображение датчиков температуры и скорости вращения вентиляторов, корневой объект |
smgTemperature1 | 1.3.6.1.4.1.35265.1.29.35.1 | Get {} | Температурный датчик 1 |
smgTemperature2 | 1.3.6.1.4.1.35265.1.29.35.2 | Get {} | Температурный датчик 2 |
smgFan0 | 1.3.6.1.4.1.35265.1.29.35.3 | Get {} | Датчик оборотов вентилятора 1 |
smgFan1 | 1.3.6.1.4.1.35265.1.29.35.4 | Get {} | Датчик оборотов вентилятора 2 |
smgFan2 | 1.3.6.1.4.1.35265.1.29.35.5 | Get {} | Датчик оборотов вентилятора 3 |
smgFan3 | 1.3.6.1.4.1.35265.1.29.35.6 | Get {} | Датчик оборотов вентилятора 4 |
smgPowerModuleTable | 1.3.6.1.4.1.35265.1.29.36 | Get {} | Информация о состоянии блоков питания, корневой объект. Для дочерних объектов указывается номер БП: 1 или 2 |
smgPowerModuleEntry | 1.3.6.1.4.1.35265.1.29.36.1 | Get {} | см. smgPowerModuleTable |
pmExist | 1.3.6.1.4.1.35265.1.29.36.1.2.x | Get {}.x | Установлен ли БП 1 - установлен |
pmPower | 1.3.6.1.4.1.35265.1.29.36.1.3.x | Get {}.x | Подаётся ли питание на БП 1 - подаётся |
pmType | 1.3.6.1.4.1.35265.1.29.36.1.4.x | Get {}.x | Тип установленного БП 1 - PM100-48/12 |
smgCpuLoadTable | 1.3.6.1.4.1.35265.1.29.37 | Get {} | Загрузка CPU, корневой объект. Показывает процент загрузки процессора по типам задач. Для дочерних объектов указывается номер процессора: SMG1016M - 1 |
smgCpuLoadEntry | 1.3.6.1.4.1.35265.1.29.37.1 | Get {} | см. smgCpuLoadTable |
cpuUsr | 1.3.6.1.4.1.35265.1.29.37.1.2.x | Get {}.x | % CPU, приложения пользователя |
cpuSys | 1.3.6.1.4.1.35265.1.29.37.1.3.x | Get {}.x | % CPU, приложения ядра |
cpuNic | 1.3.6.1.4.1.35265.1.29.37.1.4.x | Get {}.x | % CPU, приложения с изменённым приоритетом |
cpuIdle | 1.3.6.1.4.1.35265.1.29.37.1.5.x | Get {}.x | % CPU, нахождение в простое |
cpuIo | 1.3.6.1.4.1.35265.1.29.37.1.6.x | Get {}.x | % CPU, операции ввода-вывода |
cpuIrq | 1.3.6.1.4.1.35265.1.29.37.1.7.x | Get {}.x | % CPU, обработка аппаратных прерываний |
cpuSirq | 1.3.6.1.4.1.35265.1.29.37.1.8.x | Get {}.x | % CPU, обработка программных прерываний |
cpuUsage | 1.3.6.1.4.1.35265.1.29.37.1.9.x | Get {}.x | % CPU, общее использование |
Таблица Г3 – Настройки syslog
Имя | OID | Запросы | Описание |
smgSyslog | 1.3.6.1.4.1.35265.1.29.34 | Get {} | Настройки syslog, корневой объект |
smgSyslogTraces | 1.3.6.1.4.1.35265.1.29.34.1 | Get {} | Настройки трассировок в syslog, корневой объект |
smgSyslogTracesAddress | 1.3.6.1.4.1.35265.1.29.34.1.1 | Get {} Set {} S | IP-адрес сервера syslog для приёма трассировок |
smgSyslogTracesPort | 1.3.6.1.4.1.35265.1.29.34.1.2 | Get {} Set {} N | Порт сервера syslog для приёма трассировок |
smgSyslogTracesAlarms | 1.3.6.1.4.1.35265.1.29.34.1.3 | Get {} Set {} N | Уровень трассировки аварий 1-99 - включить трассировку; |
smgSyslogTracesCalls | 1.3.6.1.4.1.35265.1.29.34.1.4 | Get {} Set {} N | Уровень трассировки вызовов 1-99 - включить трассировку; |
smgSyslogTracesRTP | 1.3.6.1.4.1.35265.1.29.34.1.8 | Get {} Set {} N | Уровень трассировки RTP 1-99 - включить трассировку; |
smgSyslogTracesMSP | 1.3.6.1.4.1.35265.1.29.34.1.9 | Get {} Set {} N | Уровень трассировки команд голосовых субмодулей 1-99 - включить трассировку; |
smgSyslogTracesRowStatus | 1.3.6.1.4.1.35265.1.29.34.1.11 | Get {} Set {} i 1 | Применить изменения в конфигурации трассировок |
smgSyslogHistory | 1.3.6.1.4.1.35265.1.29.34.2 | Get {} | Настройки логирования истории команд в syslog, корневой объект |
smgSyslogHistoryAddress | 1.3.6.1.4.1.35265.1.29.34.2.1 | Get {} Set {} S | IP-адрес сервера syslog для приёма истории команд |
smgSyslogHistoryPort | 1.3.6.1.4.1.35265.1.29.34.2.2 | Get {} Set {} N | Порт сервера syslog для приёма истории команд |
smgSyslogHistoryLVL | 1.3.6.1.4.1.35265.1.29.34.2.3 | Get {} Set {} N | Уровень детализации логов 0 - отключить логирование; |
smgSyslogHistoryRowStatus | 1.3.6.1.4.1.35265.1.29.34.2.4 | Get {} Set {} i 1 | Применить изменения в логировании истории команд |
smgSyslogConfig | 1.3.6.1.4.1.35265.1.29.34.3 | Get {} | Настройки системного журнала |
smgSyslogConfigLogsEnabled | 1.3.6.1.4.1.35265.1.29.34.3.1 | Get {} Set {} N | Включить ведение логов 1 - включить; |
smgSyslogConfigSendToServer | 1.3.6.1.4.1.35265.1.29.34.3.2 | Get {} Set {} N | Отправлять сообщения на сервер syslog 1 - включить; |
smgSyslogConfigAddress | 1.3.6.1.4.1.35265.1.29.34.3.3 | Get {} Set {} S | IP-адрес сервера syslog |
smgSyslogConfigPort | 1.3.6.1.4.1.35265.1.29.34.3.4 | Get {} Set {} N | Порт сервера syslog |
smgSyslogConfigRowStatus | 1.3.6.1.4.1.35265.1.29.34.3.5 | Get {} Set {} i 1 | Применить изменения в настройках системного журнала |
Таблица Г4 – Мониторинг потоков Е1
Имя | OID | Запросы | Описание |
eOneLineInfoPhyState | 1.3.6.1.4.1.35265.1.29.7.1.2 1.3.6.1.4.1.35265.1.29.7.1.2.x | Get {} Get {}.x | Физическое состояние потока Е1. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) Состояния потока: 0 — поток отключен; |
eOneLineInfoRemAlarm | 1.3.6.1.4.1.35265.1.29.7.1.3 1.3.6.1.4.1.35265.1.29.7.1.3.x | Get {} Get {}.x | Наличие на потоке сигнала RAI - ошибка на удалённой стороне. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) 0 — нормальное состояние; |
eOneLineInfoRemAlarmTS16 | 1.3.6.1.4.1.35265.1.29.7.1.4 1.3.6.1.4.1.35265.1.29.7.1.4.x | Get {} Get {}.x | Наличие на потоке сигнала RAI16 - ошибка на удалённой стороне по 16 канальному интервалу. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) 0 — нормальное состояние; |
eOneLineStateAlarm | 1.3.6.1.4.1.35265.1.29.7.1.5 1.3.6.1.4.1.35265.1.29.7.1.5.x | Get {} Get {}.x | Состояние аварий на потоке. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) 0 — аварий нет или поток выключен; |
eOneLineStatePhyWork | 1.3.6.1.4.1.35265.1.29.7.1.6 1.3.6.1.4.1.35265.1.29.7.1.6.x | Get {} Get {}.x | Состояние физического линка на потоке (приём сигнала). Для получения состояния конкретного потока надо дополнить OID его номером (0..15) 0 — нет сигнала; |
eOneLinkState | 1.3.6.1.4.1.35265.1.29.7.1.7 1.3.6.1.4.1.35265.1.29.7.1.7.x | Get {} Get {}.x | Общее состояние линка. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) 0 — поток не работает; |
eOneStatistTimer | 1.3.6.1.4.1.35265.1.29.7.1.9 1.3.6.1.4.1.35265.1.29.7.1.9.x | Get {} Get {}.x | Время сбора статистики, секунды. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneSlipUp | 1.3.6.1.4.1.35265.1.29.7.1.10 1.3.6.1.4.1.35265.1.29.7.1.10.x | Get {} Get {}.x | Проскальзывания (повтор фрейма). Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneSlipDown | 1.3.6.1.4.1.35265.1.29.7.1.11 1.3.6.1.4.1.35265.1.29.7.1.11.x | Get {} Get {}.x | Проскальзывания (потеря фрейма). Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneBERCount | 1.3.6.1.4.1.35265.1.29.7.1.12 1.3.6.1.4.1.35265.1.29.7.1.12.x | Get {} Get {}.x | Битовые ошибки. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneCVC | 1.3.6.1.4.1.35265.1.29.7.1.13 1.3.6.1.4.1.35265.1.29.7.1.13.x | Get {} Get {}.x | Ошибки сбоя сигнала. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneCEC | 1.3.6.1.4.1.35265.1.29.7.1.14 1.3.6.1.4.1.35265.1.29.7.1.14.x | Get {} Get {}.x | Счётчик ошибок CRC/PRBS. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneRxCount | 1.3.6.1.4.1.35265.1.29.7.1.16 1.3.6.1.4.1.35265.1.29.7.1.16.x | Get {} Get {}.x | Принято байт. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneTxCount | 1.3.6.1.4.1.35265.1.29.7.1.17 1.3.6.1.4.1.35265.1.29.7.1.17.x | Get {} Get {}.x | Передано байт. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneRxLow | 1.3.6.1.4.1.35265.1.29.7.1.18 1.3.6.1.4.1.35265.1.29.7.1.18.x | Get {} Get {}.x | Принято коротких пакетов. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneRxBig | 1.3.6.1.4.1.35265.1.29.7.1.19 1.3.6.1.4.1.35265.1.29.7.1.19.x | Get {} Get {}.x | Принято длинных пакетов. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneRxOvfl | 1.3.6.1.4.1.35265.1.29.7.1.20 1.3.6.1.4.1.35265.1.29.7.1.20.x | Get {} Get {}.x | Переполнение приёмника. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneRxCRC | 1.3.6.1.4.1.35265.1.29.7.1.21 | Get {} Get {}.x | Ошибки CRC. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
eOneTxUrun | 1.3.6.1.4.1.35265.1.29.7.1.22 | Get {} Get {}.x | Сбои передачи. Для получения состояния конкретного потока надо дополнить OID его номером (0..15) |
Поддержка OID MIB-2 (1.3.6.1.2.1)
SMG поддерживает следующие ветки MIB-2:
system (1.3.6.1.2.1.1) – общая информация о системе;
interfaces (1.3.6.1.2.1.2) – информация о сетевых интерфейсов;
snmp (1.3.6.1.2.1.11) – информация о работе SNMP.
Приложение Д. Обеспечение функций СОРМ
Программно-аппаратные средства устройства позволяют выполнить технические требования к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на электронных АТС, утвержденные приказом Госкомсвязи России от 20.04.1999 №70 и приказом Минкомсвязи России №268 от 19.11.2012. Организация каналов передачи данных (КПД) между SMG и ПУ СОРМ для передачи управляющей информации и информации о контролируемых соединениях предусматривает вариант, представленный на рисунке ниже.
Рисунок 34 – Схема подключения SMG к ПУ СОРМ
Медиашлюз SMG позволяет организовать один поток E1 до пульта СОРМ спецслужб. Один поток Е1 СОРМ содержит 28 разговорных каналов (КСЛ – контрольно соединительных линий) для прослушивания контролируемых абонентов.
При совмещенном контроле в разговорный канал потока СОРМ замешивается звуковой трафик от абонентов А и Б. Смешивание звуковых потоков происходит при помощи трехсторонней конференции на VoIP-субмодуле. Один субмодуль VoIP поддерживает 27 трехсторонних конференций. Таким образом, для обеспечения возможности перехвата одновременно по всем каналам потока Е1 необходимо, чтобы на шлюзе было установлено не менее 2 субмодулей VoIP (SM-VP-M300).
Для обеспечения работы СОРМ полностью резервируется один субмодуль SM-VP-M300. Прочие вызовы через него ходить не будут.
Расчет необходимого числа субмодулей при использовании СОРМ
При использовании шлюза для коммутации сетей TDM и VoIP, количество субмодулей определяется необходимым количеством каналов для обслуживания вызовов. Вызов между двумя VoIP-интерфейсами или SIP-абонентами задействует два канала субмодуля VoIP.
Данные о количестве VoIP-каналов, поддерживаемых субмодулем в зависимости от типа кодека, приведены в меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Основные технические параметры».
При расчете необходимо учитывать, что количество свободных каналов при 28 одновременных перехватах будет ограничено, данное ограничение приведено в таблице ниже. Например, при использовании кодека G.711 для передачи голоса на три субмодуля VoIP останутся свободны всего 108 каналов.
Таблица Д1 – Количество свободных каналов при использовании СОРМ для различных кодеков
Кодек/время пакетизации | Количество свободных каналов при использовании 3х субмодулей VoIP и занятии всех 28 каналов в потоке СОРМ |
---|---|
G.711 (A/U) / 20-60 | 108 |
G.711 (A/U) / 10 | 76 |
G.729 A / 20-80 | 48 |
G.729 A / 10 | 42 |
G.723.1 (6.3 Kbps, 5.3 Kbps) | 42 |
G.726 / 20 | 66 |
G.726 / 10 | 60 |
Т.38 | 38 |
Логика работы постановки на контроль и перехватов вызовов СОРМ
Шлюз работает только в качестве транзитного узла связи.
ПУ СОРМ подключается по потоку Е1 и, при необходимости, по TCP/IP.
Первоначально с ПУ СОРМ подается команда старта технических средств СОРМ. Затем происходит закрепление групп КСЛ (канальных интервалов потока Е1 для прослушки вызовов) для совмещенного (в одном КИ слышны оба абонента) или раздельного (один абонент в одном КИ, второй в другом) контроля. Одна группа КСЛ используется либо только для совмещенного, либо только для раздельного контроля.
Далее идет «постановка абонента на контроль» (команда №5). Закрепление на контроль идет в формате Е.164:
- междугородные российские номера <7>+<код города>+<номер телефона>;
- международные номера <код страны>+<код города>+<номер телефона>;
Параметры принятые в команде анализируются на корректность: соответствие типа объекта (абонент сети по полному/неполному номеру или пучок каналов) и признака номера (абонент России, абонент другой страны), номера группы КСЛ с типом контроля (совмещенный/раздельный), указанной длины номера с количеством цифр в номере.
Имени пучка каналов соответствует имя сервера приложений (AS).
Соответствие типа контроля и признака номера следующее:
- тип объекта «абонент сети по полному/неполному номеру» может иметь признак «абонент России», «абонент другой страны»;
- тип объекта «пучок каналов» ставится на контроль без признака номера телефона.
После этого идет сравнение полученного номера, типа и признака с префиксами CdPN нулевого плана нумерации. Признак префикса определяется по параметру «направление/объект»:
- междугородная связь – абонент России;
- международная связь – абонент другой страны.
Если подходящий абонент/префикс найден, то даем подтверждение команды и заносим номер и его параметры в БД СОРМ. Иначе отклоняем выполнение команды с указанием кода ошибки, по причине которой не произошла постановка на контроль.
На этом постановка на контроль закончена. Начиная со следующего вызова будет осуществляться «перехват вызовов» контролируемого абонента.
При поступлении вызова производится сверка номеров CgPN, CdPN и Redirecting PN (при соответствующей настройке) с БД СОРМ. Если номер стоит на контроле — выделяем для него КСЛ в соответствии с типом контроля и выдаем на ПУ информацию об этапах установления соединения (41-43).
Методика настройки медиашлюза SMG для сдачи протокола СОРМ в соответствии с Приказом Минкомсвязи РФ от 19.11.2012 №268
Постановка на контроль – получение от ПУ СОРМ команды №5 с номером абонента, который необходимо контролировать, а также его параметров контроля. При наличии номера в конфигурации его номер и параметры контроля заносятся во внутреннюю базу данных устройства, при этом на ПУ СОРМ будет отправлено подтверждение успешного выполнения команды. Если номер отсутствует в конфигурации или какие-либо параметры в команде №5 были заданы неверно, на ПУ СОРМ будет отправлено сообщение о невыполнении данной команды.
Перехват вызова – передача ПУ СОРМ сообщений обо всех этапах установления соединения абонента, поставленного на контроль (занесенного во внутреннюю базу данных устройства).
Для успешной сдачи функции оперативно-розыскных мероприятий необходимо произвести следующие действия:
- Убедиться, что в шлюзе установлено не менее двух субмодулей SM-VP-M300. Количество установленных субмодулей можно посмотреть в web-конфигураторе в меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел Мониторинг VoIP субмодулей;
- Обновить ПО на версию не менее V.1.3.0.ххх;
- Установить лицензию СОРМ;
- Организовать поток Е1 между медиашлюзом SMG и ПУ СОРМ Спецслужб:
- расшить поток Е1;
- в конфигурации шлюза включить поток;
- в конфигурации шлюза на потоке выбрать протокол СОРМ;
- в конфигурации шлюза на потоке СОРМ выбрать спецификацию RUS Приказ №268;
- при необходимости настроить модификаторы и установить их в настройках данного потока;
- убедиться, что на каналах 1 и 2 установлен режим работы канала «DTE», сообщить сотрудникам спецслужб, что они должны установить на своем оборудовании режим «DCE»;
- убедиться, что на потоке нет увеличения счетчиков положительных и отрицательных слипов (настроена синхронизация между SMG и пультом СОРМ)
После выбора протокола СОРМ на одном из потоков необходимо произвести перезапуск ПО.
- В плане нумерации настроить отбор вызовов в соответствии с требованиями Приказа Минкомсвязи РФ от 19.11.2012 №268.
В Приказе Минкомсвязи РФ от 19.11.2012 №268 описан формат номеров, в котором абоненты должны закрепляться на контроль, и требования к выдаче номеров А и Б в сообщениях о перехвате вызовов абонентов.
Междугородные абоненты закрепляются на контроль и передаются в сообщениях перехвата в формате 11 цифр с префиксом 7 в начале номера.
Международные абоненты закрепляются на контроль и передаются в сообщениях перехвата без префикса выхода на международную сеть (без префикса 810). - В настройках групп линий ОКС-7 добавьте необходимо количество групп линий ОКС-7 по количеству взаимодействующих пар точек доступа подсистем ISUP и задайте значения их кодов. Речевая информация передаваемая по каналам между этими точками впоследствии будет отправляться на пульт СОРМ.
- При необходимости модифицировать номера, принимаемые в сообщениях от пульта СОРМ либо передаваемые в сторону пульта СОРМ, необходимо настроить "Модификаторы". Данные "Модификаторы" нужно установить на поток Е1, сконфигурированный для работы по протоколу СОРМ.
В настройках потока Е1 с настроенной сигнализацией M2UA установите группы линий ОКС-7 и задайте нумерацию каналов CIC.
СОРМ-ирование осуществляется только на для потоков с сигнализацией M2UA.
Обозначения и коды аварий
При возникновении аварий потока Е1 (потеря сигнала (LOS), удаленная авария (RAI)) и аварии на пульт СОРМ будет отправлено сообщение №1 с соответствующим кодом аварии.
Таблица Д2 – Обозначения и коды аварий
Код (Dec) | Код (Hex) | Описание |
---|---|---|
01 | 01 | авария потока Е1 потеря сигнала (LOS) |
02 | 02 | удаленная авария потока Е1 (RAI) |
Причины отказа приёма и невыполнения команд
Таблица Д3 – Причины отказа приёма команд, отправляемые в сообщении 7, определенные в Приказе Минкомсвязи РФ от 19.11.2012 №268
Код (Dec) | Код (Hex) | Описание |
---|---|---|
0 | 00H | Команда принята к исполнению |
1 | 01H | Команда отвергнута в связи с некорректно заданным форматом команды или некорректно заданными с пункта управления СОРМ параметрами команды |
2 | 02H | Команда отвергнута в связи с заданием команды до запуска технических средств СОРМ |
Таблица Д4 – Причины невыполнения команд, отправляемые в сообщении 8, определенные в Приказе Минкомсвязи РФ от 19.11.2012 №268
Код (Dec) | Код (Hex) | Описание |
---|---|---|
0 | 00H | Команда выполнена успешно |
1 | 01H | Команда не выполнена |
3 | 03H | Команда не выполнена в связи с неправильным паролем |
5 | 05H | Команда не выполнена в связи с неправильным «номером технических средств СОРМ» |
7 | 07H | Команда не выполнена, так как технические средства СОРМ запущены |
Таблица Д5 – Нестандартные причины отказа приёма и невыполнения команд, отправляемые в сообщениях 7 и 8, определенные в SMG
Код (Dec) | Код (Hex) | Описание |
---|---|---|
16 | 10H | Команда не принята: неверная длина (или неверное количество знаков в номере) |
17 | 11H | Ошибка параметра/параметров |
18 | 12H | Неверный типа объекта |
19 | 13H | Неверный тип номера |
20 | 14H | Неверная категория |
21 | 15H | Ошибка приоритета |
22 | 16H | Команда не принята: СОРМ уже стартовал |
23 | 17H | Команда не принята: СОРМ не запущен |
24 | 18H | Команда не принята: неверный номер СОРМ |
25 | 19H | Неверная длина номера |
32 | 20H | Не задан ни номер ни транк при постановке на контроль |
33 | 21H | Прервано по команде ПУ |
37 | 25H | Транк-группа не задана |
48 | 30H | Группа определена другим типом |
49 | 31H | Таблица объектов переполнена, мониторинг не начат |
50 | 32H | В указанной группе нет такой КСЛ |
51 | 33H | Объект уже задан |
52 | 34H | Неверный номер объекта |
53 | 35H | Номер вызова не найден (в ответах на команды 7 и 8) |
54 | 36H | Номер уже задан |
55 | 37H | Номер объекта не подходит для команды |
56 | 38H | Неверный типа объекта или неверный тип номера |
57 | 39H | Вывод уже завершен (ответ на команду остановить вывод) |
58 | 3AH | КСЛ-а уже закреплена |
59 | 3BH | Совпадает номер |
61 | 3DH | Неверный номер объекта (при подключении к соединению, при отсоединении) |
62 | 3EH | Неверный номер группы КСЛ (нет такой группы, группа занята) |
63 | 3FH | Неверный номер КСЛ-а |
64 | 40H | КСЛ не совпадает (неверная КСЛ) |
65 | 41H | Ошибка команды |
68 | 44H | Количество цифр не совпадает |
71 | 47H | Не задан номер транка для объекта типа «транк» |
72 | 48H | Задан и номер объекта, и номер транка |
73 | 49H | Не найден транк с таким номером |
74 | 4AH | Такой транк уже контролируется |
75 | 4BH | Общее количество контролируемых транков достигло 10 |
76 | 4CH | Номер транка не совпадает с ранее заданным |
78 | 4EH | Задан номер транка не для того типа объекта |
83 | 53H | Не найден ни номер, ни направление |
84 | 54H | Порт не локальный |
85 | 55H | Признак номера неверен |
86 | 56H | Неверный тип объекта для локального порта |
87 | 57H | Передан неподходящий признак номера для данного номера |
95 | 5FH | Ни одна КСЛ не была выбрана (нет КСЛ, соответствующих запросу) |
97 | 61H | ДВО не заданы |
115 | 73H | Ошибка выделения КСЛ |
Приложение Е. Рекомендации по безопасности
При установке и настройке SMG следует уделить внимание настройкам безопасности – организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации.
Организация доступа подразумевает:
смену стандартных паролей на web и CLI;
создание ограниченных учётных записей для отдельных видов настроек и мониторинга;
настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;
настройку статического брандмауэра, ограничивающих доступ к интерфейсам сигнализации и управления только доверенными узлами;
настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов.
Применение SMG в публичной сети нежелательно без использования дополнительных средств защиты, таких как пограничный контроллер сессий (SBC), межсетевой экран (firewall) и т.п.
Смена паролей на web и CLI
Смена паролей для учетных записей admin/root является обязательной для обеспечения безопасности устройства.
Смена паролей производится через меню «Пользователи: Управление».
Смена пароля web для учётной записи admin производится в блоке «Установить пароль администратора веб-интерфейса».
Смена пароля CLI для учётной записи admin производится в блоке «Установить пароль администратора для telnet и ssh». Более подробную информацию по настройке можно найти в разделе меню «Управление».
Смена пароля для учетной записи root производится через shell. Для того чтобы изменить пароль нужно подключиться к SMG через ssh/console и выполнить следующие команды:
SMG2016>
SMG2016> sh (выход из режима cli в режим shell)
/home/admin #
/home/admin #
/home/admin # passwd root (команда для смены пароля root)
Changing password for root
New password: (ввести новый пароль)
Retype password: (повторить новый пароль)
Password for root changed by root
/home/admin #
/home/admin #
/home/admin # save
tar: removing leading '/' from member names
***Saved successful
New image 0
Restored successful
/home/admin #
Создание ограниченных учётных записей
Создание ограниченных учётных записей для web производится через меню «Пользователи: Управление».
В блоке «Пользователи веб-интерфейса» нажать «Добавить»;
Задать имя и пароль пользователя;
Выбрать разрешения доступа.
Для CLI создание ограниченных учётных записей не поддерживается. Более подробную информацию по настройке можно найти в разделе «Управление».
Ограничение доступа к интерфейсам сигнализации и управления
Настройка ограничений производится в меню «Настройки TCP/IP -> «Сетевые интерфейсы».
Зайти в настройки сетевого интерфейса.
В блоке «Сервисы» отключить все неиспользуемые на интерфейсе протоколы управления и сигнализации.
Для интерфейса управления рекомендуется разрешать доступ только к web-интерфейсу и ssh
Более подробную информацию по настройке можно найти в разделе Сетевые интерфейсы.
Доступ к устройству по протоколу telnet должен быть запрещен через публичный IP-адрес.
Управление должно быть разрешено НЕ через публичные адреса. Если все-таки используется управление через публичный IP, то необходимо обязательно использовать список разрешенных IP-адресов — нужно внести в белый список адрес, с которого будет разрешено подключение. Для всех остальных доступ должен быть запрещен.
СМЕНА СТАНДАРТНЫХ ПОРТОВ ДЛЯ ДОСТУПА К УСТРОЙСТВУ
Настройка производится в меню «Настройки TCP/IP» -> «Сетевые параметры»
Сменить стандартные (22 для ssh и 23 для telnet) порты доступа к устройству по протоколам ssh/telnet
Стандартный порт для доступа к устройству через web (по протоколу http) можно изменить через CLI. Для этого необходимо подключиться к SMG через ssh/console и выполнить следующие команды:
SMG2016>
SMG2016> config
Entering configuration mode.
SMG2016-[CONFIG]> network
Entering Network mode.
SMG2016-[CONFIG]-NETWORK>
PORT Number in the range 1-65535
SMG2016-[CONFIG]-NETWORK> set settings web (указать необходимый порт в диапазоне 1-65535)
Для доступа к web-интефейсу рекомендуется использовать протокол HTTPS. Настроить его работу можно в разделе «Безопасность» → «Настройка SSL/TLS». В настройках SSL/TLS «Протокол взаимодействия с web-конфигуратором» должен быть выбран режим «только HTTPS». Также возможно использование авторизации через PAM/RADIUS. Более подробную информацию по настройке можно найти в разделе Настройка SSL/TLS.
НАСТРОЙКА СПИСКА РАЗРЕШЕННЫХ IP-АДРЕСОВ
Настройка производится в меню «Безопасность» -> «Список разрешенных IP адресов».
Внести в белый список адреса, с которых разрешен доступ к устройству через web-конфигуратор и по протоколам telnet/ssh;
Включить опцию «Доступ только для разрешенных IP адресов»;
Нажать кнопки «Применить» и «Подтвердить».
Более подробную информацию по настройке можно найти в разделе Список разрешенных IP-адресов.
Настройка статического брандмауэра
Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил.
Настройка производится в меню «Безопасность» -> «Статический брандмауэр».
Зайти в настройки брандмауэра;
Создать профиль брандмауэра, нажав кнопку «Добавить»;
Задать имя профиля, нажать «Далее»;
Задать правила фильтрации для входящего и исходящего трафика. При этом надо помнить, что если входящий или исходящий пакет не попал ни под одно правило фильтрации, то для него применяется действие «Accept» (разрешить прохождение пакета). Поэтому, если требуется разрешить доступ лишь некоторым узлам и запретить всем прочим, то необходимо конфигурировать профиль брандмауэра так, чтобы последним правилом было правило с типом источника и назначение «Любое» и действием «Reject» или «Drop» (отбросить пакет с уведомлением по ICMP или отбросить без уведомления);
В блоке «Интерфейс» выбрать сетевые интерфейсы, для которых будет применяться фильтрация;
Нажать кнопку «Сохранить», расположенную под списком интерфейсов;
Нажать кнопку «Применить», расположенную вверху страницы;
Нажать кнопку «Сохранить», расположенную над таблицами фильтров.
Более подробную информацию по настройке можно найти в разделе Статический брандмауэр.
Настройка динамического брандмауэра
Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP адреса динамический брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов.
Настройка производится в меню «Безопасность» -> «Динамический брандмауэр».
Зайти в настройки брандмауэра;
Внести в белый список адреса доверенных узлов и подсетей;
Поставить флажок «Включить»;
Нажать кнопку «Применить».
Более подробную информацию по настройке можно найти в разделе Динамический брандмауэр.
Не рекомендуется для сигнализации SIP использовать стандартный порт 5060.
Необходимо периодически проверять информацию в разделе «Безопасность» → «Журнал заблокированных адресов». В нем отображается список заблокированных динамическим брандмауэром адресов, с которых была произведена неудачная попытка получения доступа к устройству.
Рекомендуется периодически менять пароли для доступа к устройству через web/ssh. Политика смены паролей должна определяться вашей службой безопасности.
Рекомендуется использовать актуальную версию ПО: https://eltex-co.ru/support/downloads/.