Настройка брандмауэра для домена и трастов AD — Windows Server

• 09/08/2020
• Чтение занимает 4 мин

В этой статье

В этой статье описывается настройка брандмауэра для доменов и трастов Active Directory.

Применяется к:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер КБ:   179442

Примечание

Не все порты, перечисленные в таблицах, требуются во всех сценариях. Например, если брандмауэр разделяет членов и DCs, вам не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что клиенты не используют LDAP с SSL/TLS, вам не нужно открывать порты 636 и 3269.

Дополнительные сведения

Примечание

Два контроллера домена находятся в одном лесу или два контроллера домена находятся в отдельном лесу. Кроме того, доверия в лесу Windows server 2003 или более поздние версии.

Порты NETBIOS Windows NT перечисленные для Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настраиваются доверительные отношения к доменам, которые поддерживают только связь на основе NETBIOS. Примерами являются Windows NT операционные системы или сторонние контроллеры домена, основанные на Samba.

Дополнительные сведения о том, как определить порты серверов RPC, используемые службами RPC LSA, см. в.

Windows Сервер 2008 и более поздние версии

Windows Более новые версии сервера 2008 Windows Server увеличили динамический диапазон клиентских портов для исходяющих подключений. Новый порт запуска по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон порта RPC в брандмауэрах. Это изменение было сделано в соответствии с рекомендациями управления номерами, заданными в Интернете (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена Windows Server 2003, контроллеров доменов на основе сервера Windows 2000 или устаревших клиентов, где динамический диапазон портов по умолчанию составляет от 1025 до 5000.

Дополнительные сведения о динамическом изменении диапазона портов в Windows Server 2012 и Windows Server 2012 R2 см.:

Порты NETBIOS, указанные в Windows NT, также необходимы для Windows 2000 и Server 2003, когда настроены доверительные отношения к доменам, которые поддерживают только связь на основе NETBIOS. Примерами являются Windows NT операционные системы или сторонние контроллеры домена, основанные на Samba.

(*) Сведения о том, как определить порты серверов RPC, используемые службами RPC LSA, см. в.

(**) Для работы доверия этот порт не требуется, он используется только для создания доверия.

Примечание

Внешнее доверие 123/UDP необходимо только в том случае, если вы вручную Windows службу времени для синхронизации с сервером во внешнем доверии.

Active Directory

Клиент Microsoft LDAP использует icMP-инг, когда запрос LDAP ожидается в течение продолжительного времени и ожидает ответа. Он отправляет запросы на ping, чтобы убедиться, что сервер по-прежнему находится в сети. Если он не получает ответы на запросы ping, он сбой запроса LDAP с LDAP_TIMEOUT.

Кроме того Windows перенаправление использует сообщения ICMP Ping для проверки того, что IP-адрес сервера разрешен службой DNS перед подключением и когда сервер расположен с помощью DFS. Чтобы свести к минимуму трафик ICMP, можно использовать следующее правило брандмауэра:

<any> ICMP -> DC IP addr = allow

В отличие от уровня протокола TCP и уровня протокола UDP, у ICMP нет номера порта. Это связано с тем, что ICMP непосредственно находится на уровне IP.

По умолчанию серверы Windows Server 2003 и Windows 2000 Сервер DNS используют эфемерные клиентские порты при запросе других DNS-серверов. Однако это поведение может быть изменено определенным параметром реестра. Или можно установить доверие через обязательный туннель с точкой на точку (PPTP). Это ограничивает количество портов, которые должен открыть брандмауэр. Для PPTP необходимо включить следующие порты.

Кроме того, необходимо включить ПРОТОКОЛ IP 47 (GRE).

Примечание

При добавлении разрешений к ресурсу в доверяемом домене для пользователей доверенного домена существуют некоторые различия между поведением Windows 2000 и Windows NT 4.0. Если компьютер не может отображать список пользователей удаленного домена, рассмотрите следующее поведение:

• Windows NT 4.0 пытается разрешить вручную введите имена, обратившись в PDC для домена удаленного пользователя (UDP 138). Если это сообщение не удается, Windows NT компьютер на основе 4.0 связался со своим PDC, а затем запросит разрешение имени.
• Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения над UDP 138. Однако они не полагаются на использование собственного PDC. Убедитесь, что все серверы Windows 2000 и серверы членов на Windows Server 2003, которые будут предоставлять доступ к ресурсам, будут подключены к удаленному PDC на основе UDP 138.

Справочные материалы

Обзор службы и требования к сетевому порту для Windows — это ценный ресурс с описанием необходимых сетевых портов, протоколов и служб, используемых клиентской и серверной операционными системами Майкрософт, серверными программами и их субкомпонентами в системе Microsoft Windows Server. Администраторы и специалисты по поддержке могут использовать статью в качестве дорожной карты для определения портов и протоколов операционных систем и программ Майкрософт для подключения к сети в сегментной сети.

Не следует использовать сведения о порте в обзоре службы и требования к сетевому порту для Windows для настройки Windows брандмауэра. Сведения о настройке брандмауэра Windows см. в Windows брандмауэра с расширенным обеспечением безопасности.

Использование Xbox и PS4 при подключении через Keenetic – Keenetic

Xbox

При подключении через маршрутизатор для успешного соединения консоли Xbox с сетевым сервисом Xbox Live требуется, чтобы маршрутизатором не блокировались порты, которые используются этой службой.

Обычно для Xbox достаточно, чтобы в Keenetic был установлен компонент системы UPnP, который позволяет автоматически настраивать необходимые правила NAT и межсетевого экрана. Проверить, установлен ли этот компонент, можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов». В этом случае игровая приставка сама себе пробрасывает нужные порты. Кроме того, производитель приводит список портов, которые не должны блокироваться:

Порт 88 (UDP)
Порт 3074 (UDP и TCP)
Порт 53 (UDP и TCP)
Порт 80 (TCP)
Порт 500 (UDP)
Порт 3544 (UDP)
Порт 4500 (UDP)

Если вам не удается пользоваться чатом с помощью видеосеанса Kinect, следует открыть порт 1863 (UDP и TCP).

Нужно заметить, что приведенный список — это порты, необходимые для работы в обоих направлениях (для исходящего и входящего трафика), которые не должны блокироваться межсетевым экраном (firewall), это не значит, что все эти порты необходимо пробрасывать в NAT. Фактически «Открытый NAT» должен появиться на приставке при пробросе только 

Если у вас есть две и более консоли Xbox, в настройках приставки, на экране Параметры сети:
1. Выберите Дополнительные настройки
2. Выберите Выбор альтернативных портов
3. Выберите Вручную
4. В меню Выберите порт поставьте один из вариантов из списка
5. Используйте этот порт для открытия NAT на второй консоли.

Настроить проброс портов можно по инструкции «Переадресация портов».

Сетевая служба Xbox проверяет доступность портов и по результатам этой проверки показывает тип NAT по своей классификации. Описание типов NAT представлено на сайте https://support.xbox.com/ru-RU/xbox-one/networking/nat-error-solution и https://portforward.com/nat-types/

NOTE: Важно! Тип NAT «Открытый» возможен только при наличии публичного «белого» IP-адреса от провайдера. 

Служба Xbox в Windows 10

Вышеописанные порты и UPnP также актуальны в этом случае, но если с отрытыми портами тип NAT всё равно определяется ка «Умеренный», или служба показывает ошибку Teredo, попробуйте выполнить действия из следующей инструкции: https://support.xbox.com/ru-RU/xbox-on-windows/social/troubleshoot-party-chat

В частности, могут помочь следующие команды, выполненные в командной строке Windows от имени администратора:

netsh interface teredo set state disable
netsh interface teredo set state type=default

При подключении через маршрутизатор PS4 всегда будет показывать «NAT type 2», потому что используется такая классификация подключений у Sony. «NAT type 2» означает лишь то, что приставка подключена к Интернету через межсетевой экран (Firewall) или маршрутизатор и не более того. Чтобы получить «NAT type 1», нужно кабель провайдера подключить непосредственно в приставку PS4. Но и с «NAT type 2», с правильно открытыми портами, возможности играть не должны никак отличаться. Чтобы просто получить «NAT type 2», не должен блокироваться трафик приставки по портам:

TCP: 80, 443, 1935, 3478-3480
UDP: 3074, 3478-3479

Обычно приставка сама открывает нужные порты по UPnP, однако если этого не происходит, нужно вручную настроить правила проброса портов, открыть в NAT необходимо:

TCP: 1935,3478-3480
UDP: 3074,3478-3479

Настроить проброс портов можно по инструкции «Переадресация портов».

Дополнительная информация представлена на сайте: http://manuals.playstation.net/document/ru/ps4/settings/nw_test.html

TIP: Советы:

1. Если переадресация портов по какой-то причине не заработала, обратитесь к статье «Что делать, если не работает переадресация портов?».

2. Подключитесь к интерфейсу командной строки (CLI) интернет-центра и выполните команды:

ip nat udp-port-preserve
system configuration save

3. В некоторых случаях может требоваться открыть порты вручную для конкретных игр. Перечень таких портов можно найти на портале https://portforward.com/

Порт Вейл — Трансферы 88/89

Текущие проекты развития объектов портовой инфраструктуры

Площадка № 1:

— по причалам №№1, 2, 3, 4: работы не проводились в соответствии с графиком производства строительных работ.

— по мачте поста мониторинга разливов нефти: работы не проводились в соответствии с графиком производства строительных работ.

— по наружным сетям электроснабжения и наружного освещения:

     а) выполнялись работы по молниезащите сооружений на площадке №1.

— по блочным комплексным трансформаторным подстанциям БКТП-1 и БКТП-2: работы не проводились в соответствии с графиком производства строительных работ.

— по хранилищу средств морспецподразделения: работы не проводились в соответствии с графиком производства строительных работ.

— по наружным сетям водопровода и канализации: работы не проводились в соответствии с графиком производства строительных работ.

— по наружным сетям связи и сигнализации: работы не проводились в соответствии с графиком производства строительных работ.

— по мачте высотой 28 метров для размещения антенны УКВ связи: работы не проводились в соответствии с графиком производства строительных работ.

— по бытовому корпусу: работы не проводились в соответствии с графиком производства строительных работ.

— по комплексной насосной станции перекачки нефтесодержащих сточных вод от обмыва бонов: работы не проводились в соответствии с графиком производства строительных работ.

— по комплексной насосной станции дождевых стоков: работы не проводились в соответствии с графиком производства строительных работ.

— по административному корпусу:

     А) выполнялись работы по устройству индивидуального теплового пункта;

     Б) выполнялись работы по устройству водоснабжения и канализации здания;

     В) выполнялись работы по устройству отопления и вентиляции;

     Г) выполнялись работы по устройству электрооборудования и электроосвещения здания;

     Д) работы по устройству систем радиофикации, электрочасофикации, телевидения приостановлены в соответствии с графиком производства строительных работ;

     Е) выполнялись работы по устройству сетей связи и автоматики.

— по ремонтной мастерской: работы не проводились в соответствии с графиком производства строительных работ.

— по зданию мареографа: работы не проводились в соответствии с графиком производства строительных работ.

— по караульному помещению:

     А) выполнялись работы по устройству водоснабжения и канализации;

     Б) работы по устройству полов и внутренние отделочные работы приостановлены в соответствии с графиком производства строительных работ;

     В) работы по устройству систем сигнализации, оповещения, электрочасофикации приостановлены в соответствии с графиком производства строительных работ;

      Г) выполнялись работы по устройству отопления и вентиляции;

     Д) выполнялись работы по устройству индивидуального теплового пункта;

— по гаражу: работы не проводились в соответствии с графиком производства строительных работ.

— по очистным сооружениям дождевых и нефтесодержащих сточных вод: работы не проводились в соответствии с графиком производства строительных работ.

— по очистным сооружениям бытовых сточных вод: работы не проводились в соответствии с графиком производства строительных работ.

— по производственному зданию очистных сооружений нефтесодержащих сточных вод: работы не проводились в соответствии с графиком производства строительных работ.

— по насосной станции очистных сооружений нефтесодержащих сточных вод: работы не проводились в соответствии с графиком производства строительных работ.

— по комплексной насосной станции бытовых стоков: работы не проводились в соответствии с графиком производства строительных работ.

— по комплексной насосной станции перекачки нефтесодержащих сточных вод с судна-сборщика: работы не проводились в соответствии с графиком производства строительных работ.

— по производственному зданию: работы не проводились в соответствии с графиком производства строительных работ.

— по станции биологической очистки: работы не проводились в соответствии с графиком производства строительных работ.

— по метеостанции: работы не проводились в соответствии с графиком производства строительных работ.

— по котельной с резервуаром дизельного топлива:

     А) работы по монтажу тепломеханического оборудования приостановлены в соответствии с графиком производства строительных работ;

— по установке обезвоживания осадков: работы не проводились в соответствии с графиком производства строительных работ.

— по зданию столовой:

     А) выполнялись работы по устройству индивидуального теплового пункта;

     Б) выполнялись работы по устройству отопления и вентиляции;

     В) выполнялись работы по устройству автоматизации ИТП;

     Г) выполнялись работы по устройству водоснабжения и канализации;

     Д) выполнялись работы по монтажу электрооборудования;

     Е) выполнялись работы по устройству сетей связи и автоматики.

— по противорадиационному укрытию: работы не проводились в соответствии с графиком производства строительных работ.

-по насосной станции II подъема питьевого водоснабжения: работы не проводились в соответствии с графиком производства строительных работ.

— по тепловым сетям: работы не проводились в соответствии с графиком производства строительных работ.

— по насосной станции пожаротушения с морским водозабором: работы не проводились в соответствии с графиком производства строительных работ.

— по резервуарам запаса воды: работы не проводились в соответствии с графиком производства строительных работ.

Площадка № 2:

— по зданию инсинератора:

     А) выполнялись работы по монтажу электрооборудования;

     Б) выполнялись работы по устройству технологических трубопроводов;

     В) выполнялись работы по устройству сетей связи;

     Г) выполнялись работы по устройству электроосвещения;

     Д) работы по устройству водопровода и канализации приостановлены в соответствии с графиком производства строительных работ.

— по расходному складу топлива при инсинераторе:

     А) работы по устройству плиты пола и опор под резервуары приостановлены в соответствии с графиком производства строительных работ;

     Б) выполнялись работы по устройству фундаментов трассы технологических трубопроводов;

     В) выполнялись работы по монтажу металлоконструкций эстакады инженерных коммуникаций;

     Г) выполнялись работы по устройству площадки сливоналивных устройств;

     Д) выполнялись работы по монтажу технологического оборудования и трубопроводов.

— наружные сети водопровода и канализации:

Настройка режима магистрального соединения 802.1Q между коммутаторами Catalyst 3550/3560/3750 и Catalyst, поддерживающими программное обеспечение IOS

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройки
      Схема сети
      Конфигурации
Проверка
      Пример выходных данных команды show
Устранение неполадок
Дополнительные сведения

Этот документ предлагает пример конфигурации режима магистрального соединения IEEE 802.1Q (dot1q) между коммутатором Cisco Catalyst 3550/3560/3750, поддерживающим программное обеспечение Cisco IOS®,и коммутатором серии Catalyst 6500/6000 или Catalyst 4500/4000, поддерживающим программное обеспечение Cisco IOS. С помощью магистрального соединения осуществляется трафик между двумя устройствами из нескольких сетей VLAN через двухточечное соединение.

Существуют два способа применения режима магистрального соединения Ethernet.

• Протокол сетевого соединения между коммутаторами (ISL) – собственный протокол Cisco

• 802.1Q – стандарт IEEE

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию.

• Сведения о режиме магистрального соединения IEEE 802.1Q

• Сведения по конфигурации коммутаторов серии Catalyst 3560 и Catalyst 6500/6000 с использованием интерфейса командной строки (CLI).

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.

• Коммутатор Catalyst 3560 с программным обеспечением Cisco IOS® версии 12.2(25)SEA

• Коммутатор Catalyst 6509 с программным обеспечением Cisco IOS® версии 12.1(26)E1

Конфигурацию коммутатора Catalyst 3560, содержащуюся в этом документе, также можно использовать для коммутатора серии Catalyst 3550/3750 с программным обеспечением Cisco IOS. Конфигурацию коммутатора Catalyst 6500/6000, содержащуюся в этом документе, также можно использовать для коммутатора серии Catalyst 4500/4000 с программным обеспечением Cisco IOS.

Примечание. См. в этом документе информацию для изучения методов режима магистрального соединения, поддерживающихся различными коммутаторами Catalyst.

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Примечание. В данном документе рассматриваются только примеры файлов конфигурации для коммутаторов, а также результаты выполнения соответствующих команд show. Дополнительные сведения о настройке магистрали 802.1Q между коммутаторами Catalyst см. в следующем документе:

Теоретические сведения

Режим магистрального соединения IEEE 802.1Q использует внутреннюю систему тегов. Устройство магистрального соединения устанавливает тег размером 4 байта, чтобы найти магистрали VLAN, которым принадлежит кадр, а затем перерассчитывает контрольную последовательность кадров (FCS). Дополнительные сведения см. в следующих документах:

Примечание. Здесь содержатся несколько важных замечаний, которые следует иметь в виду во время настройки:

• Любой интерфейс Ethernet на коммутаторе серии Catalyst 3550/3560/3750 может поддерживать инкапсуляцию 802.1Q и ISL. По умолчанию интерфейс Ethernet на коммутаторе Catalyst 3550 является портом уровня 2 (L2).

• Любой порт Ethernet на коммутаторе серии Catalyst 6500/6000 поддерживает инкапсуляцию 802.1Q или ISL.

• По умолчанию коммутатор серии Catalyst 4500 с программным обеспечением Cisco IOS поддерживает режимы магистрального соединения ISL и 802.1Q. Поддерживаются все интерфейсы, за исключением блокирующих портов Gigabit на модулях WS-X4418-GB и WS-X4412-2GB-T. Эти порты не поддерживают ISL и поддерживают только магистральное соединение 802.1q. Порты 3-18 являются блокирующими портами Gigabit в модуле WS-X4418-GB. Порты 1-12 являются блокирующими портами Gigabit в модуле WS-X4412-2GB-T.

  Примечание. Порт является блокирующим, если соединение на задней панели перегружено (превышение подписки).

• Главное различие между платформами Catalyst 6500/6000 и Catalyst 4500 состоит в конфигурации интерфейса по умолчанию. Коммутатор Catalyst 6500/6000 с ПО Cisco IOS обладает интерфейсами в режиме завершения работы, являющимися маршрутизируемыми портами по умолчанию уровня 3 (L3). У коммутатора Catalyst 4500/4000 с программным обеспечением Cisco IOS включены все интерфейсы. Эти интерфейсы являются коммутационными портами по умолчанию уровня 2 (L2).

• При использовании инкапсуляции 802.1Q в интерфейсе магистрального соединения на коммутаторах Catalyst 3750 кадры с недопустимо маленькой величиной прослеживаются в выходных данных команды show interface, так как допустимые инкапсулированные пакеты 802.1Q размером 61-64 байта с q-тегом коммутатор Catalyst 3750 считает неполномерными кадрами, даже если такие пакеты пересылаются правильно. Для получения более подробной информации см. идентификатор ошибки CSCec14238 Cisco (только для зарегистрированных клиентов).

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание.  Для поиска дополнительных сведений о командах, используемых в данном разделе, воспользуйтесь Средством поиска команд (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая настройка сети.

Примечание. Интерфейс Gigabit Ethernet на Catalyst 3560 является интерфейсом Ethernet с согласованным потоком 10/100/1000 Мбит/сек. Поэтому в следующей схеме сети гигабитный порт коммутатора Catalyst 3560 подключен к порту Fast Ethernet (100 Мбит/с) коммутатора Catalyst 6500.

Конфигурации

В данном документе используются следующие конфигурации.

!--- Примечание. В данном примере показан процесс создания сетей VLAN 1 и VLAN 2 !--- и установка режима магистрального протокола VLAN (VTP) для прозрачности. Используйте !--- сеть в качестве основы и задайте соответствующий режим VTP. Дополнительные сведения !--- см. в Настройка сетей VLAN.


 version 12.2 
 no service pad 
 service timestamps debug uptime 
 service timestamps log uptime 
 no service password-encryption 
 ! 
 hostname 3560 
 ! 
!--- Это используемый в данном примере пароль для привилегированного режима.

 enable password mysecret
 ! 
 ip subnet-zero  
 ! 
 vtp mode transparent
 ! 
!--- VLAN 2 создана. Она видна только во время установки режима VTP !--- в transparent. 
 vlan 2
 !

 ! 
!--- Интерфейс Gigabit Ethernet на Catalyst 3560 является согласованным интерфейсом !--- Ethernet 10/100/1000 Мбит/сек. Поэтому гигабитный порт на !--- Catalyst 3560 подключен к порту Fast Ethernet на коммутаторе Catalyst 6500. !--- Настройка магистрального соединения на интерфейсе Gigabit Ethernet 0/1.

 interface GigabitEthernet0/1 
!--- Настройте инкапсуляцию магистрального соединения как dot1q. !--- Дополнительные сведения см в Настройка сетей VLAN.

 switchport trunk encapsulation dot1q 
!--- Включите магистральное соединение на интерфейсе.

 switchport mode trunk 
 no ip address 
 snmp trap link-status 
 !
 !
!--- Интерфейсы Gigabit Ethernet 0/2 через 0/5 помещены в VLAN 1. !--- Чтобы настроить интерфейс как порт L2 , !--- см. раздел Настройка интерфейсов Ethernet  !--- документа Настройка характеристик интерфейса. Все порты L2 размещены !--- в VLAN 1 по умолчанию.

 interface GigabitEthernet0/2 
 switchport mode access
 no ip address 
 snmp trap link-status 
 ! 
 interface GigabitEthernet0/3
 switchport mode access
 no ip address 
 snmp trap link-status 
 !
 !
 interface GigabitEthernet0/4 
 switchport mode access 
 no ip address 
 snmp trap link-status 
 ! 
 interface GigabitEthernet0/5 
 switchport mode access 
 no ip address 
 snmp trap link-status 
 ! 
 !
!--- Интерфейсы Gigabit Ethernet 0/2 – 0/12 помещены в VLAN 2.

 interface GigabitEthernet0/6 
 switchport access vlan 2 
 switchport mode access
 no ip address 
 snmp trap link-status 
 ! 
 !--- Выходные данные подавлены.

 ! 
 interface GigabitEthernet0/12 
 switchport access vlan 2 
 switchport mode access 
 no ip address 
 snmp trap link-status 
 ! 
 interface Vlan1
!--- Данный IP-адрес используется для управления.

 ip address 10.1.1.1 255.255.255.0 
 ! 
 ip classless 
 ip http server 
 ! 
 ! 
 line con 0 
 transport input none 
 line vty 0 4 
!--- Это используемый в данном примере пароль для привилегированного режима.

 password mysecret
 login 
 line vty 5 15 
 login 
 ! 
 end

!--- Примечание. В данном примере показан процесс создания сетей VLAN 1 и VLAN 2 !--- и установка прозрачного режима VTP. Используйте сеть в качестве основы и задайте VTP в !--- соответствующем режиме. Дополнительные сведения см. в документе Настройка сетей VLAN.


 Current configuration : 4812 bytes
 version 12.1 
 service timestamps debug uptime 
 service timestamps log uptime 
 no service password-encryption 
 ! 
 hostname Cat6500 
 ! 
 vtp mode transparent
 ip subnet-zero
 !
 !
 mls flow ip destination 
 mls flow ipx destination 
 !
!--- Это используемый в данном примере пароль для привилегированного режима.

 enable password mysecret
 ! 
 redundancy 
 mode rpr-plus
 main-cpu 
 auto-sync running-config
 auto-sync standard 
  
 ! 
 ! 
!---Включает VLAN 2.

 vlan 2
 !
 !

 
 interface GigabitEthernet1/1 
 no ip address 
 shutdown 
 ! 
 interface GigabitEthernet1/2 
 no ip address 
 shutdown 
 ! 
!--- Интерфейс Gigabit Ethernet на Catalyst 3560 является согласованным интерфейсом !--- Ethernet 10/100/1000 Мбит/сек. Поэтому гигабитный порт на Catalyst 3560 !--- подключен к порту Fast Ethernet на коммутаторе Catalyst 6500.

 interface FastEthernet3/1 
 no ip address 
!--- Необходимо выполнить команду switchport, !--- без ключевых слов, чтобы настроить интерфейс как порт L2 для !--- коммутатора серии Catalyst 6500 под управлением ПО Cisco. !--- На коммутаторе серии Catalyst 4500 под управлением ПО Cisco все порты являются портами L2 !--- по умолчанию. Поэтому если нет изменений в настройках по умолчанию, !--- то нет необходимости выполнять команду switchport. !--- Дополнительные сведения см. в Настройки интерфейсов Ethernet второго уровня !--- коммутатора серии Catalyst 4500 под управлением ПО Cisco.


 switchport 
!--- Настройте инкапсуляцию магистрального соединения как dot1q. !--- Дополнительные сведения о магистральном соединении см. !--- Настройка портов LAN для коммутации второго уровня для коммутаторов серии Catalyst 6500 !--- запускающего ПО Cisco IOS, или Настройка интерфейсов Ethernet второго уровня !--- для коммутатора Catalyst 4500/4000 под управлением ПО Cisco IOS.

 switchport trunk encapsulation dot1q 

!--- Включите магистральное соединение на интерфейсе.


 switchport mode trunk 
 ! 
!--- Настройка интерфейса Fast Ethernet 3/2 – 3/24 в режиме доступа. !--- Все порты доступа настроены в VLAN 1 по умолчанию. !--- Дополнительные сведения см. в Настройка портов LAN для коммутации второго уровня !--- для коммутатора Catalyst 6500 под управлением ПО Cisco IOS или !--- Настройка интерфейсов Ethernet второго уровня для коммутатора серии Catalyst 4500/4000 !--- под управлением ПО Cisco IOS.

 interface FastEthernet3/2
 no ip address
 switchport
 switchport mode access
 ! 
 
!--- Выходные данные подавлены.

 !
 interface FastEthernet3/24
 no ip address 
 switchport 
 switchport mode access
 !
!--- Интерфейсы Gigabit Ethernet 3/25 – 3/48 помещены в VLAN 2. !--- Дополнительные сведения см. в Настройка портов LAN для коммутации второго уровня !--- для коммутатора Catalyst 6500 под управлением ПО Cisco IOS или !--- Настройка интерфейсов Ethernet второго уровня для коммутатора серии Catalyst 4500/4000 !--- под управлением ПО Cisco IOS.

 interface FastEthernet3/25
 no ip address 
 switchport 
 switchport access vlan 2 
 switchport mode access 
 ! 
  
!--- Выходные данные команды подавлены.

 ! 
 interface FastEthernet3/48
 no ip address 
 switchport 
 switchport access vlan 2 
 switchport mode access 
 ! 
 ! 
 interface Vlan1 
!--- Данный IP-адрес используется для управления.

 ip address 10.1.1.2 255.255.255.0 
 ! 
 !
 ip classless 
 no ip http server 
 ! 
 ! 
 ip classless
 ip http server
 ! 
 line con 0 
 exec-timeout 0 0 
 transport input none 
 line vty 0 4 
!--- Это используемый в данном примере пароль для привилегированного режима.

 password mysecret
 login 
 
 ! 
 end 

Примечание. Невозможно создать интерфейс в несуществующей VLAN до тех пор, пока не будет создана сеть VLAN в базе данных VLAN. Дополнительные сведения см. в разделе Создание или изменение Ethernet VLAN документа Настройка сетей VLAN.

В этом разделе приведена информация о способах проверки настроенной конфигурации.

Средство Интерпретатор выходных данных (OIT) (только для зарегистрированных клиентов) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

В коммутаторах Catalyst 3550/3560/3750/6500/4500 используйте следующие команды:

Пример выходных данных команды «show»

Коммутатор Catalyst 3560

• show interfaces interface_type module/port trunk – эта команда отображает конфигурацию магистрали на интерфейсе вместе с номерами VLAN, трафик которых переносится по магистрали.

  3560# show interface gigabitethernet 0/1 trunk
   
  Port      Mode         Encapsulation  Status        Native vlan
  Gi0/1     on           802.1q         trunking      1
   
  Port      Vlans allowed on trunk
  Gi0/1     1 4094
   
  Port      Vlans allowed and active in management domain
  Gi0/1     1-2
   
  Port      Vlans in spanning tree forwarding state and not pruned
  Gi0/1     1-2

• show interfaces interface_type module/port switchport – эта команда отображает конфигурацию коммутируемого порта интерфейса.

  На экране установите флажки Operational Mode и Operational Trunking Encapsulation.

  3560# show interface gigabitethernet 0/1 switchport
  Name: Gi0/1
  Switchport: Enabled
  Administrative Mode: trunk
  Operational Mode: trunk
  Administrative Trunking Encapsulation: dot1q
  Operational Trunking Encapsulation: dot1q
  Negotiation of Trunking: On
  Access Mode VLAN: 1 (default)
  Trunking Native Mode VLAN: 1 (default)
  Voice VLAN: none
  Administrative private-vlan host-association: none 
  Administrative private-vlan mapping: none 
  Administrative private-vlan trunk native VLAN: none
  Administrative private-vlan trunk encapsulation: dot1q
  Administrative private-vlan trunk normal VLANs: none
  Administrative private-vlan trunk private VLANs: none
  Operational private-vlan: none
  Trunking VLANs Enabled: ALL
  Pruning VLANs Enabled: 2-1001
  Capture Mode Disabled
  Capture VLANs Allowed: ALL  
  Protected: false
  Unknown unicast blocked: disabled
  Unknown multicast blocked: disabled
  Appliance trust : none 

• show vlan – эта команда предоставляет сведения о сетях VLAN и портах, принадлежащих определенной сети VLAN.

  3560# show vlan
   
  VLAN Name                             Status    Ports
  ---- -------------------------------- --------- -------------------------------
  1    default                          active    Gi0/2, Gi0/3, Gi0/4, Gi0/5
  2    VLAN0002                         active    Gi0/6, Gi0/7, Gi0/8, Gi0/9
                                                              Gi0/10, Gi0/11, Gi0/12
  
  1002 fddi-default                     act/unsup
  1003 token-ring-default               act/unsup
  1004 fddinet-default                  act/unsup
  1005 trnet-default                    act/unsup
  !--- Выходные данные команды подавлены.
  
  

  Примечание. Порты, отображенные в выходных данных, являются только портами доступа. Порты, настроенные в качестве магистрали и находящиеся в состоянии «нет соединения», также отображаются в выходных данных команды show vlan.

• show vtp status – эта команда отображает общую информацию об управлении домена VTP, состоянии и счетчиках.

  3560# show vtp status
  VTP Version : 2 
  Configuration Revision : 0 
  Maximum VLANs supported locally : 1005 
  Number of existing VLANs : 6 
  VTP Operating Mode : Transparent      
  VTP Domain Name : 
  VTP Pruning Mode : Disabled 
  VTP V2 Mode : Disabled 
  VTP Traps Generation : Disabled 
  MD5 digest : 0x4A 0x55 0x17 0x84 0xDB 0x99 0x3F 0xD1 
  Configuration last modified by 10.1.1.1 at 0-0-00 00:00:00
  
  3560# ping 10.1.1.2 
  Type escape sequence to abort. 
  Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: 
  !!!!! 
  Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms 
  3560#

Коммутатор Catalyst 6500

• show interfaces interface_type module/port trunk – эта команда отображает конфигурацию магистрали на интерфейсе вместе с номерами VLAN, трафик которых переносится по магистрали.

  Cat6500# show interfaces fastethernet 3/1 trunk
   
  Port      Mode         Encapsulation  Status        Native vlan
  Fa3/1     on           802.1q         trunking      1
   
  Port      Vlans allowed on trunk
  Fa3/1     1 4094
   
  Port      Vlans allowed and active in management domain
  Fa3/1     1-2
   
  Port      Vlans in spanning tree forwarding state and not pruned
  Fa3/1     1-2

• show interfaces interface_type module/port switchport – эта команда отображает конфигурацию коммутируемого порта интерфейса.

  На экране установите флажки Operational Mode и Operational Trunking Encapsulation.

  cat6500# show interface fastethernet 3/1 switchport 
  Name: Fa3/1
  Switchport: Enabled
  Administrative Mode: trunk
  Operational Mode: trunk
  Administrative Trunking Encapsulation: dot1q
  Operational Trunking Encapsulation: dot1q
  Negotiation of Trunking: On
  Access Mode VLAN: 1 (default)
  Trunking Native Mode VLAN: 1 (default)
  Voice VLAN: none
  Administrative private-vlan host-association: none 
  Administrative private-vlan mapping: none 
  Administrative private-vlan trunk native VLAN: none
  Administrative private-vlan trunk encapsulation: dot1q
  Administrative private-vlan trunk normal VLANs: none
  Administrative private-vlan trunk private VLANs: none
  Operational private-vlan: none
  Trunking VLANs Enabled: ALL
  Pruning VLANs Enabled: 2-1001
  Capture Mode Disabled
  Capture VLANs Allowed: ALL

• show vlan – эта команда предоставляет сведения о сетях VLAN и портах, принадлежащих определенной сети VLAN.

  Cat6500# show vlan
   
  VLAN Name                             Status    Ports
  ---- -------------------------------- --------- -------------------------------
  1    default                          active    Fa3/2, Fa3/3, Fa3/4, Fa3/5
                                                  Fa3/6, Fa3/7, Fa3/8, Fa3/9
                                                  Fa3/10, Fa3/11, Fa3/12, Fa3/13
                                                  Fa3/14, Fa3/15, Fa3/16, Fa3/17
                                                  Fa3/18, Fa3/19, Fa3/20, Fa3/21
                                                  Fa3/22, Fa3/23, Fa3/24
  2    VLAN0002                         active    Fa3/25, Fa3/26, Fa3/27, Fa3/28
                                                  Fa3/29, Fa3/30, Fa3/31, Fa3/32
                                                  Fa3/33, Fa3/34, Fa3/35, Fa3/36
                                                  Fa3/37, Fa3/38, Fa3/39, Fa3/40
                                                  Fa3/41, Fa3/42, Fa3/43, Fa3/44
                                                  Fa3/45, Fa3/46, Fa3/47, Fa3/48
  1002 fddi-default                      act/unsup
  1003 token-ring-default                act/unsup
  1004 fddinet-default                   act/unsup
  1005 trnet-default                     act/unsup
  
  !--- Выходные данные команды подавлены.
  
  

  Примечание. Функцию «отобразить» имеют только порты, настроенные в качестве немагистрального порта доступа уровня 2. Порты, настроенные в качестве магистрали и находящиеся в состоянии «нет соединения», также отображаются в выходных данных команды show vlan. Для получения более подробных сведений см. раздел Настройка интерфейсов LAN для коммутирования уровня 2 документа Настройка портов LAN для коммутирования уровня 2.

• show vtp status – эта команда отображает общие сведения об управляющем домене, состоянии и счетчиках VTP.

  Cat6500# show vtp status
  VTP Version                     : 2
  Configuration Revision          : 0
  Maximum VLANs supported locally : 1005
  Number of existing VLANs        : 6
  VTP Operating Mode              : Transparent
  VTP Domain Name                 :
  VTP Pruning Mode                : Disabled
  VTP V2 Mode                     : Disabled
  VTP Traps Generation            : Disabled
  MD5 digest                      : 0xBF 0x86 0x94 0x45 0xFC 0xDF 0xB5 0x70
  Configuration last modified by 10.1.1.2 at 0-0-00 00:00:00

• ping

  Cat6500# ping 10.1.1.1
   
  Type escape sequence to abort.
  Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
  !!!!!
  Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Для этой конфигурации отсутствуют сведения об устранении неполадок. Для ознакомления с распространенными проблемами режима магистрального соединения и конфигурации 802.1Q см. раздел Распространенные ошибки документа Магистральное соединение между коммутаторами серий Catalyst 4500/4000, 5500/5000 и 6500/6000, использующих инкапсуляцию 802.1Q, с ПО Cisco CatOS.

Проект нефтяного терминала «Порт бухта Север» прошел государственную экспертизу

Главгосэкспертиза России выдала положительное заключение по итогам рассмотрения проектной документации и результатов инженерных изысканий на строительство объектов первой очереди терминала на восточном берегу Енисейского залива.

Крупнейший нефтяной терминал «Порт бухта Север» строится на базе расширяемого морского порта Диксон на Таймыре. Проект дает старт развитию нового, неосвоенного перспективного кластера месторождений Таймырской нефтегазовой провинции. Терминал предназначен для перегрузки на танкеры и дальнейшей транспортировки нефти с Пайяхской группы месторождений по Северному морскому пути в порты России, Европы и стран Азиатско-Тихоокеанского региона. 

Работы пройдут в три этапа. На первом построят причал портофлота и причалы для выгрузки строительных грузов мощностью 0,88 млн тонн нефти в год. Также, согласно проектной документации, одобренной экспертами Главгосэкспертизы России, на первом этапе выполнят берегоукрепление территории терминала, построят контрольно-пропускной пункт, эстакады для досмотра автотранспорта, ремонтно-механические мастерские, площадки для хранения генеральных грузов и заправки погрузчиков, установят трансформаторные подстанции, водомерный узел, эстакаду для инженерных сетей и иные вспомогательные здания и сооружения.

На втором этапе соорудят технологические причалы и объекты терминала для отгрузки 26,1 млн тонн нефти в год. Также в ходе этапа выполнят обустройство участка мойки и площадки обслуживания бонов, построят открытый склад для контейнеров с оборудованием и проложат технологический трубопровод. На территории терминала разместят буферную емкость дизельного топлива, блок системы измерений количества и качества нефти, насосную станцию откачки, комплекс конденсации и рассеивания, нагнетательную установку и другие базовые производственные объекты.

На третьем этапе обустроят акваторию порта, установят средства навигационного оборудования и соорудят объекты системы обеспечения безопасности мореплавания.

Общая длина вводимого причального фронта терминала «Порт бухта Север» составит 1 275,9 м. Объем перевалки нефти через морской терминал «Порт бухта Север» планируется довести до 30 млн тонн в год с использованием инфраструктуры первой очереди. Параллельно с подготовкой к строительству первой очереди компания «Восток Ойл» в марте 2021 года приступила к проектирование второй и третьей очереди морского терминала «Порт бухта Север», предусматривающие поэтапный выход на общий объем перевалки нефти до 100 млн тонн в год к 2030 году.

Генеральный проектировщик – АО «ЛЕНМОРНИИПРОЕКТ». Заказчик строительства – ООО «Восток Ойл».

Фото: ТАСС

Как заменить P2P порт на IP камерах Foscam, настройка DDNS, Real IP

Замена P2P порта на IP камерах Foscam, настройка DDNS, Real IP

1. Установка программы «Equipment Search Tool» и плагинов.

2. Замена P2P порта на IP камере Foscam.

3. Настройка доступа к камере Foscam через DDNS.

4. Настройка доступа к камере Foscam через Real IP.

1. Установка программы «Equipment Search Tool» и плагинов.

Для доступа к WEB-интерфейсу камеры Foscam, Вы должны подключиться к тому же Wi-Fi роутеру к которому подключена камера Foscam, далее нужно скачать программу «Equipment Search Tool», для Windows, для MAC_OS

Запускаем скаченный файл Equipment Search Tool, в открывшемся окне отобразится ip-адрес камеры, после этого два раза кликаем по указанному адресу.

Через открывшийся браузер переходим по указанному адресу в WEB-интерфейс камеры. Для корректной работы плагинов, вход в WEB-интерфейс камеры желательно осуществлять через браузер «Mozilla Firefox» в Windows или «Safari» в Mac OS. Устанавливаем плагины.

Повторно входим в браузер через Equipment Search Tool, вводим пароль и логин которые были введены при добавлении камеры на телефоне в приложении Foscam. Если камера не была добавлена ранее, заполняем пароль и логин. Для этого в поле «Username/Имя пользователя» вводим «admin», поле «Password/Пароль» оставляем пустым.

В поле «New username» вводим имя пользователя, в поле «New password» придумываем и вводим пароль который должен содержать не менее 6 символов и состоять из цифр и букв латинского алфавита. В поле «Confirm the password» повторно вводим придуманный пароль.

Введите UserName/Логин и Password/Пароль от камеры и нажмите кнопку «Login».

2. Замена P2P порта на IP камере Foscam. Для смены Р2Р порта перейдите в меню Settings (1) => Network (2) => P2P (3). В поле (4) измените значение цифрового порта в диапозоне (1024-49151). Далее нажмите кнопку «Save» (5), камера сохранит настройки и через 10-20 секунд будет готова к работе.

3. Настройка доступа к камере Foscam через DDNS. Для настройки доступа к камере через DDNS, в web-интерфейсе камеры перейдите в Settings (1) => Network (2) => DDNS (3). Установите флажок «Enable DDNS» (4). Нажмите кнопку «Save» (5) для сохранения настроек.

Установите в камере автополучение ip-адреса от роутера. Перейдите в меню Settings (1) => Network (2) => IP Configuration (3). Установите флажок в строке «Obtain IP From DHCP». Нажмите кнопку «Save» (5) для сохранения настроек.

Для смены порта перейдите в меню Settings (1) => Network (2) => Port (3). В строке HTTP Port (4) смените порт 88 на любой другой из диапозона (1024-49151). Нажмите кнопку «Save» (5) для сохранения настроек.

Настройка роутера TP-Link. Выполните вход в web-интерфейс Вашего роутера (1). Заполните поля Login/Password (2) и нажмите кнопку «Вход» (3).

Зарезервируйте для камеры локальный ip-адрес. Для этого перейдите в меню DHCP (1) => Address Reservation (2). Заполните поля в графе (3). MAC address — камеры находится на обороте камеры. Reserved IP Address — можно указать любой свободный ip-адрес (который не занят другими подключенными устройствами). Status — «Enabled». Нажмите кнопку «Save» (4) для сохранения настроек.

Для перенаправления порта на камеру перейдите в меню Forwarding (1) => Virtual Servers (2). Заполните поля в графе (3). Service Port — Внешний порт для доступа к камере (указываем такой же как и Internal port). Internal Port — внутренний порт для перенаправление на камеру (указываем номер порта который назначили для камеры) IP Address — внтренний ip-адрес, который зарезервирован для камеры. Protocol Status — «Enabled». Нажмите кнопку «Save» (4) для сохранения настроек.

Для проверки работы порта перейдите на сайт. Перейдите в раздел «Проверка порта». В поле «Порт» укажите номер порта (порт который задали камере) и нажимаем кнопку «Проверить». Если все настройки сделаны верно — получим сообщение «Порт открыт». Если настройки неверны — «Порт закрыт».

Запустите программу «Equipment Search Tool», которая покажет ip-адрес и порт для доступа к web-интерфейсу камеры. Выполните вход в меню камеры и перейдите в закладку Settings (1) => Status (2) => Device Status (3). В строке DDNS Status нажмите на ссылку для доступа к камере через DDNS.

4. Настройка доступа к камере Foscam через Real IP. Для доступа к камере через Real IP, необходимо выполнить следующие настройки. Перейдите в меню Settings (1) => Network (2) => IP Configuration (3). Установите флажок в строке «Obtain IP From DHCP». Нажмите кнопку «Save» (5) для сохранения настроек.

Для смены порта перейдите в меню Settings (1) => Network (2) => Port (3). В строке HTTP Port (4) смените порт 88 на любой другой из диапозона (1024-49151). Нажмите кнопку «Save» (5) для сохранения настроек.

Настройка роутера TP-Link. Выполните вход в web-интерфейс Вашего роутера (1). Заполните поля Login/Password (2) и нажмите кнопку «Вход» (3).

Зарезервируйте для камеры локальный ip-адрес. Для этого перейдите в меню DHCP (1) => Address Reservation (2). Заполните поля в графе (3). MAC address — камеры находится на обороте камеры. Reserved IP Address — можно указать любой свободный ip-адрес (который не занят другими подключенными устройствами). Status — «Enabled». Нажмите кнопку «Save» (4) для сохранения настроек.

Для перенаправления порта на камеру перейдите в меню Forwarding (1) => Virtual Servers (2). Заполните поля в графе (3). Service Port — Внешний порт для доступа к камере (указываем такой же как и Internal port). Internal Port — внутренний порт для перенаправление на камеру (указываем номер порта который назначили для камеры) IP Address — внтренний ip-адрес, который зарезервирован для камеры. Protocol Status — «Enabled». Нажмите кнопку «Save» (4) для сохранения настроек.

Для проверки работы порта перейдите на сайт. Перейдите в раздел «Проверка порта». В поле «Порт» укажите номер порта (порт который задали камере) и нажимаем кнопку «Проверить». Если все настройки сделаны верно — получим сообщение «Порт открыт». Если настройки неверны — «Порт закрыт».

Для удаленного доступа к камере откройте браузер (Mozilla Firefox), в строке адреса введите (Ваш IP адрес:порт который открыли в роутере). Если Вы не знаете ваш IP-адрес перейдите на сайт.

UDP 88 — Информация о протоколе порта и предупреждение!

Ищете информацию о протоколе UDP 88 ? На этой странице будет предпринята попытка предоставить вам как можно больше информации о порте UDP-порта 88.

UDP-порт 88 может использовать определенный протокол для связи в зависимости от приложения. Протокол — это набор формализованных правил, объясняющих, как данные передаются по сети. Думайте об этом как о языке, на котором говорят между компьютерами, чтобы помочь им общаться более эффективно.

HTTP, например, определяет формат связи между интернет-браузерами и веб-сайтами. Другой пример — протокол IMAP, который определяет связь между почтовыми серверами IMAP и клиентами, или, наконец, протокол SSL, который устанавливает формат, используемый для зашифрованной связи.

Порт UDP 88

Вот что мы знаем о протоколе UDP Port 88 . Если у вас есть информация о UDP-порту 88, которая не отражена на этой странице, просто оставьте комментарий, и мы обновим нашу информацию.

ПОРТ 88 — Информация

Дополнительное примечание: UDP-порт 88 использует протокол дейтаграмм, протокол связи для сетевого уровня, транспортного уровня и уровня сеанса. Этот протокол при использовании через ПОРТ 88 делает возможным передачу сообщения дейтаграммы с одного компьютера в приложение, работающее на другом компьютере. Как и TCP (протокол управления передачей), UDP используется с IP (Интернет-протоколом), но в отличие от TCP на порту 88, порт 88 UDP не требует установления соединения и не гарантирует надежной связи; Приложение, получившее сообщение через порт 88, должно обработать любые ошибки и проверить правильность доставки.

Поскольку порт 88 протокола UDP был помечен как вирус (красный цвет), это не означает, что вирус использует порт 88, это означает, что троянец или вирус использовали этот порт в прошлом для связи.

UDP 88 — Заявление об ограничении ответственности

Мы делаем все возможное, чтобы предоставить вам точную информацию о PORT 88 и прилагаем все усилия, чтобы наша база данных постоянно обновлялась. Это бесплатный сервис, точность которого не гарантируется. Мы делаем все возможное, чтобы исправить любые ошибки, и приветствуем отзывы!

Kerberos и брандмауэры | Университет ИТ

Используемые порты

Kerberos — это в первую очередь протокол UDP, хотя для больших билетов Kerberos он возвращается к TCP.Для этого может потребоваться специальная настройка брандмауэров, чтобы разрешить UDP-ответ от сервера Kerberos (KDC). Клиенты Kerberos должны отправлять пакеты UDP и TCP на порт 88 и получать ответы от серверов Kerberos.

Пакеты UDP могут не требовать специального правила, если ваш брандмауэр поддерживает отслеживание UDP-соединений, поскольку пакет от сервера Kerberos будет приходить вскоре после запроса от клиента.

Системы, которые разрешают вход в систему Kerberos через rlogin, должны принимать входящие TCP-соединения через порт 2105.Это может быть ограничено хостами, с которых будут приходить пользователи. Обычно этот порт ограничивают только IP-адресами Стэнфордского университета.

Системы, которые разрешают команды Kerberos rsh (и, следовательно, rcp), должны принимать входящие TCP-соединения через порт 544. Это может быть ограничено хостами, с которых будут приходить пользователи. Обычно этот порт ограничивают только IP-адресами Стэнфордского университета.

Есть одна очень неприятная проблема с Kerberos rsh и, следовательно, с rcp. При подключении к системе с помощью Kerberos rsh удаленная система должна открыть соединение с клиентской системой.Это обратное соединение может быть на любом из широкого диапазона портов. Следовательно, чтобы разрешить Kerberos rsh из системы, система, в которой выполняется rsh или rcp, должна разрешать TCP-соединения с TCP-портами между 32000 и 65535, из любой системы, для которой поддерживается rsh или rcp, и с источником порт между 1 и 1023. Точно так же система, на которой запущен сервер rsh, должна иметь возможность открывать исходящее TCP-соединение с портом назначения от 32000 до 65535 в клиентской системе (хотя обычно исходящие TCP-соединения не ограничиваются брандмауэрами, и, следовательно, это часто не требует специального правила).

Подводя итог, брандмауэр должен разрешать для всех клиентов Kerberos:

• Порт назначения 88 UDP, исходящий к Kerberos KDC
• Порт назначения 88 TCP, исходящий к Kerberos KDC
• Исходный порт 88 UDP, входящий от Kerberos KDC

Серверам, предоставляющим дополнительные услуги Kerberized, потребуется:

• Порт назначения 544 Входящий TCP (rsh / rcp)
• Порт назначения 2105 Входящий TCP (rlogin)
• Порт источника 1-1023, порт назначения 32000-65525 Исходящий TCP (rsh / rcp)

И системам за брандмауэром, которые будут клиентами rsh или rcp, потребуется:

• Порт источника 1-1023, порт назначения 32000-65525 Входящий TCP (rsh / rcp)

Основными центрами распространения ключей Stanford Kerberos являются:

    krb5auth2.stanford.edu
    krb5auth3.stanford.edu
    krb5auth4.stanford.edu
 

Обратите внимание, что, хотя мы стараемся не изменять IP-адреса этих серверов, нам может потребоваться это в рамках реструктуризации сети. По возможности не следует предполагать, что IP-адреса останутся статичными, и следует помнить, что они могут измениться.

В кампусе есть и другие серверы Kerberos, которые могут использоваться для некоторых целей, например, серверы для областей CS.STANFORD.EDU и SLAC.STANFORD.EDU Kerberos, а также серверы для среды Active Directory Windows.Вы можете упростить правила брандмауэра и просто разрешить UDP-пакеты порта 88 Kerberos со всех IP-адресов Стэнфорда (если ваш брандмауэр не поддерживает отслеживание UDP-соединений и вам необходимо добавить правила UDP).

NAT и устранение проблем

Kerberos дополнительно поддерживает привязку билета Kerberos к определенному IP-адресу. Это сделано для того, чтобы злоумышленникам было сложнее украсть билеты Kerberos и использовать их в другой системе. Однако эта мера безопасности нарушается при любом преобразовании адресов, и степень защиты очень ограничена.

Stanford отключает эту функцию Kerberos и сообщает клиенту всегда получать безадресные билеты. Многие реализации Kerberos либо всегда получают билеты без адреса, либо делают это по умолчанию. Конечно, в системах, которые будут поддерживать трансляцию адресов, вы должны добавить:

    noaddresses = правда 

в раздел [libdefaults] вашего /etc/krb5.conf.

В системе UNIX вы можете проверить, имеют ли ваши билеты Kerberos адреса, связанные с ними, запустив klist -a .

tcp port и библиотека поиска портов udp, поиск портов tcp udp

Инструменты для анонса ping порта [Новости 2009-10-26]

Мы обнаружили, что инструментальный пинг на некоторый настраиваемый порт на сервере может быть полезен, потому что это показывает время принятия соединения, которое связано со статистикой загрузки сервера. Обычный пинг проходит нормально во всех случаях, когда сетевая карта жива, а когда сервер зависает — пинг продолжает работать. В этом случае пинг будет продолжаться только в том случае, если программное обеспечение работает.

Scan hosts и инструмент диапазона IP-адресов! [Новости 2009-10-12]

Итак, это «Сканер портов диапазона IP» в левом меню.Этот инструмент создан для проверки одного номера порта, но на всем диапазоне ip (не на одном сервере). Он был протестирован на Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9, но результат может быть не совсем верным, во время тестов было обнаружено, что он верен не менее чем на 88%.

! [Новости 2009-10-04]

Инструмент выпущен, он вызывает в левом меню «Проверить все открытые порты». Он был протестирован в Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9 и работает хорошо, но не работает в Koncueror brwoser.Качество сканирования связано с браузером пользователя и настройками интернет-провайдера, во время тестирования было обнаружено, что инструмент показывает больше портов как «открытых», которые на самом деле открыты, но нет другого способа проверить порт из браузера.

[Новости 2009-09-28]

У нас уже есть инструмент, который можно использовать для сканирования ограниченного количества портов (сканирование идет с нашего сервера). Как мы узнаем, как разрешить нашим пользователям сканировать неограниченное количество (до 49000) портов сервера за один запрос — это будет очень полезно для исследования проблем безопасности собственного сервера, или просто найдите, какие порты остаются открытыми во время какой-либо внешней (сетевой) или внутренней (связанной с сервером) проблемы.

• Библиотека назначения номеров портов IANA (база данных) — Управление по присвоению номеров в Интернете (IANA) отвечает за поддержание официальных назначений номеров портов для конкретных целей.
• Библиотека назначения номеров портов WIKI (база данных) — Хорошо известная библиотека портов Википедии
• Библиотека Gasmy, Beta Library — хорошо известные вручную созданные базы данных портов.

• Хорошо известные порты от 0 до 1023.
• Зарегистрированные порты от 1024 до 49151.
• Динамические и / или частные порты — это порты с 49152 по 65535.

Серверы печати HP Jetdirect — номера портов HP Jetdirect для соединений TCP / IP (UDP)

• 20 и 21 порт TCP для FTP.Эти порты можно использовать для файлов FTP непосредственно на серверах печати Jetdirect. HP Jetdirect прослушивает TCP-порт 20 на предмет запросов на FTP-соединение. Порт 21 — это порт управления, который Jetdirect будет прослушивать для первоначального подключения. После установления соединения в активном режиме FTP соединение для передачи данных будет выполнено через порт 20. Одновременно могут быть активны до трех одновременных сеансов FTP.

• 23 TCP-порт для Telnet. Этот порт можно использовать для удаленной настройки устройства HP Jetdirect, когда нет других методов настройки, или его можно использовать для проверки текущей конфигурации.

• 25 SMTP-порт для электронной почты. Новые принтеры и многофункциональные устройства HP имеют возможность отправлять оповещения по электронной почте прямо с устройства.

• 53 порта UDP и TCP для DNS. Позволяет устройствам MFP разрешать имена хостов для использования с функциями цифровой отправки.

• 67 и 68 портов TCP для DHCPv4 и BOOTP (они используют одни и те же порты клиента и сервера). Порт 67 — это сервер BOOTP, а порт 68 — клиент BOOTP.

• 69 TCP-порт для TFTP. Этот порт используется для настройки и обновления микропрограммы Jetdirect.

• 80 TCP-порт для HTTP для EWS (встроенный веб-сервер). Устройства HP Jetdirect имеют встроенную веб-страницу во встроенном ПО, доступ к которой можно получить через этот порт. Страница встроенного веб-сервера позволяет пользователю настраивать HP Jetdirect с помощью поддерживаемого браузера.

• 88 TCP и UDP для Kerberos. Используется устройствами HP LaserJet MFP для проверки подлинности Kerberos (если настроена).

• 161 UDP-порт SNMP. К этому порту может получить доступ любая утилита управления SNMP. HP Jetadmin и HP Web Jetadmin используют SNMP для настройки и запроса состояния устройств HP Jetdirect.

• 162 Порт UDP для отправки ловушек SNMP. Этот порт можно использовать, когда сеть настроена для сбора информации о ловушках. Многие утилиты управления SNMP можно настроить для перехвата ловушек. IP-адрес назначения прерывания SNMP Jetdirect и этот номер порта можно настроить с помощью Web Jetadmin или Telnet.

• 280 UDP / TCP порт для управления HTTP. Используется встроенной веб-службой и печатью IPP.

• 389 TCP-порт для LDAP. Позволяет устройствам MFP выполнять поиск адресов.

• 427 Порт UDP для SLP (Service Location Protocol). Новые устройства HP Jetdirect используют тип пакета SLP (Service Location Protocol) для рекламы своих услуг. Некоторые служебные программы HP используют многоадресную рассылку и SLP для автоматического обнаружения и автоматической установки принтера в сети.

• 443 TCP-порт для SSL. При включении SSL / TLS обеспечивает конфиденциальность, целостность данных и аутентификацию для связи между веб-браузером и веб-сервером Jetdirect. Хотя порты 80, 280 или 631 продолжают использовать IPP (протокол Интернет-печати), другие небезопасные соединения игнорируются.

• 514 Порт UDP для системного журнала. Позволяет Jetdirect подключаться к серверу системного журнала.

• 515 TCP-порт для LPD. Этот порт можно использовать при печати с LPD (например, из UNIX®)) или с помощью монитора порта LPR Microsoft®). В то время как порт 515 является портом прослушивания или назначения, порты TCP 721-731 являются исходными портами на хост-машине.

• 547 UDP для DHCPv6.

• 631 порт TCP для IPP. IPP — это реализация протокола Интернет-печати, доступная на устройствах HP Jetdirect, которая может использоваться для печати на основе CUPS или Windows Internet Printing (например, порт принтера — http: // printservername / printername /).

• 636 TCP-порт для LDAP через SSL. Позволяет устройствам MFP выполнять поиск адресов с серверами LDAP, которым требуется соединение SSL.

• 1230 TCP для NTP (сетевой протокол времени)

• 1782 TCP-порт для Jetsend. HP внедрила запатентованный процесс, в котором документы или цифровые изображения могут быть отправлены по сети на принтер для автоматической печати. Для этого требуется проприетарное программное обеспечение Jetsend с новыми устройствами HP Jetdirect.

• TCP-порт 1783 и 1784 для управления цифровой отправкой.Используется программным обеспечением HP Digital Send для связи между сервером DSS и устройством MFP.

• 2049 UDP для WJA NFS. Порт NFS, используемый HP Web Jetadmin для загрузки шрифтов и макросов на устройства.

• 3702 UDP для WS-Discovery.

• 5353 Порт UDP для Bonjour (mDNS). Bonjour обычно используется для разрешения IP-адресов и имен, где обычный DNS-сервер недоступен.

• Порт TCP 9100 используется для печати. Номера портов 9101 и 9102 предназначены для параллельных портов 2 и 3 на трехпортовых внешних серверах печати HP Jetdirect.

• 9280 TCP для сканирования с помощью встроенного веб-сервера (9281 и 9282 для параллельных портов 2 и 3 многопортовых серверов печати). При подключении к устройству с возможностью сканирования встроенный веб-сервер позволяет пользователю удаленно сканировать документы.

• 9290 TCP для необработанного сканирования на периферийные устройства со спецификациями IEEE 1284.4. На трех портах HP Jetdirects портами сканирования являются 9290, 9291 и 9292. (При подключении к порту прямого сканирования шлюз сканирования отправляет обратно «00», если соединение со службой сканирования периферийного устройства было успешным, «01», если кто-то другой использует его, и «02», если какая-то другая ошибка, например, поддерживаемое периферийное устройство не подключено.Порты 9220, 9221 и 9222 являются стандартными портами шлюза сканирования, которые в настоящее время могут использоваться только на периферийных устройствах 1284.4.)

• 34861 и 34862 UDP для WJA. Используется HP Web Jetadmin для загрузки шрифтов и макросов на устройства.

порт назначения (Приложения) | Руководство пользователя политик безопасности для устройств безопасности

Синтаксис

 порт назначения  идентификатор порта ;
 

Уровень иерархии

 [приложение редактирования приложений  имя-приложения ],
[редактировать приложения application  application-name  term  term-name ]
 

Описание

Укажите порт назначения TCP или UDP номер.

Опции

идентификатор порта — диапазон портов. Вы можете использовать числовое значение или одно текстовых синонимов, перечисленных в таблице 1.

Требуемый уровень привилегий Система

— для просмотра этого заявления в комплектации.

— К добавить этот оператор в конфигурацию.

изменено в выпуске ОС Junos 8.5.

Хорошо известные порты SCTP, TCP и UDP, от 0 до 999

Хорошо известные порты назначаются IANA в диапазоне от 0 до 1023.

VMware Horizon 7 версии 7.8

Об этом руководстве

В этом документе перечислены требования к портам для связи между различными компонентами и серверами в развертывании VMware Horizon 7. Этот документ применим ко всем версиям Horizon 7, начиная с 7.0.

Рисунок 1: Сетевые порты Horizon 7 со всеми типами подключения и всеми протоколами отображения

На рис. 1 показаны три различных типа клиентских подключений, а также все протоколы отображения.В этом документе показаны различные подмножества этой диаграммы.

Каждое подмножество рисунка 1 фокусируется на конкретном типе соединения и использовании протокола отображения.

Встроенные диаграммы (и те, что в pdf) являются версиями разрешения экрана. Если требуется более высокое разрешение и возможность масштабирования, например, для печати в виде плаката, щелкните нужную диаграмму, используя онлайн-версию этого документа в формате HTML5. Откроется версия с высоким разрешением, которую можно сохранить, открыть в средстве просмотра изображений и распечатать.

Этот документ также содержит таблицы, в которых перечислены все возможные порты от исходного компонента до конечных компонентов. Это не означает, что все эти порты обязательно должны быть открыты. Если протокол компонента или дисплея не используется, то связанные с ним порты можно не указывать. Например:

Показанные порты являются портами назначения. Источник и место назначения указывают направление инициирования трафика.

Horizon UDP являются двунаправленными. Межсетевые экраны с отслеживанием состояния должны быть настроены для приема дейтаграмм ответов UDP.

Таблицы и диаграммы Horizon 7 включают подключения к следующим продуктам, семействам продуктов и компонентам:

Клиентские подключения

Сетевые порты для соединений между клиентом (Horizon Client или браузером) и различными компонентами Horizon 7 различаются в зависимости от того, являются ли соединения внутренними, внешними или туннелированными.

Внутреннее соединение

Внутреннее соединение обычно используется во внутренней сети. Первоначальная аутентификация выполняется на сервере подключений Horizon, а затем клиент Horizon подключается непосредственно к агенту Horizon, работающему на виртуальном рабочем столе или хосте RDS.

В следующей таблице перечислены сетевые порты для внутренних подключений клиентского устройства к компонентам Horizon 7.На схемах, следующих за таблицей, показаны сетевые порты для внутренних подключений по протоколам отображения.

Примечания:

С помощью протокола отображения VMware Blast можно настроить такие функции, как перенаправление USB и перенаправление клиентского диска, для отправки трафика побочного канала через порты Blast Extreme.См .:

Рисунок 2: Внутреннее соединение, показывающее все протоколы дисплея

Рисунок 3: Blast Extreme Внутреннее соединение

Рисунок 4: Внутреннее соединение PCoIP

Рисунок 5: Внутреннее соединение для доступа к HTML

Внешнее подключение

Внешнее соединение обеспечивает безопасный доступ к ресурсам Horizon 7 из внешней сети.Шлюз унифицированного доступа (UAG) или сервер безопасности (SS) обеспечивает безопасные пограничные службы. Все коммуникации от клиента будут осуществляться с этим пограничным устройством, которое затем связывается с внутренними ресурсами.

В следующей таблице перечислены сетевые порты для внешних подключений клиентского устройства к компонентам Horizon 7. На схемах, следующих за таблицей, показаны сетевые порты для внешних подключений с разбивкой по протоколу отображения, все с Unified Access Gateway.

Примечания:

Blast Secure Gateway на Unified Gateway может динамически адаптироваться к условиям сети, таким как изменяющаяся скорость и потеря пакетов. В Unified Access Gateway вы можете настроить порты, используемые протоколом Blast.

• По умолчанию Blast Extreme использует стандартные порты TCP 8443 и UDP 8443.
• Однако порт 443 также можно настроить для Blast TCP.
• Конфигурация порта задается с помощью свойства внешнего URL-адреса Unified Access Gateway Blast. См. Параметры конфигурации внешних URL-адресов Blast TCP и UDP.

Если вы настроили Unified Access Gateway для использования режима IPv4 и IPv6, тогда Blast TCP / UDP должен быть установлен на порт 443. Вы можете включить Unified Access Gateway в качестве моста для клиентов IPv6 Horizon для подключения к бэкэнду IPv4. Сервер соединений или среда агента. См. Раздел Поддержка шлюза унифицированного доступа для IPv4 и двойного режима IPv6 для инфраструктуры Horizon.

Рисунок 6: Внешнее соединение с отображением всех протоколов дисплея

Рисунок 7: Внешнее соединение Blast Extreme

Рисунок 8: Внешнее соединение PCoIP

Рисунок 9: Внешнее соединение для доступа к HTML

Туннельное соединение

Туннелированное соединение использует Horizon Connection Server для предоставления услуг шлюза.Трафик аутентификации и сеанса маршрутизируется через сервер подключений Horizon. Этот подход используется реже, потому что Unified Access Gateway может обеспечивать те же самые функции, но даже больше.

В следующей таблице перечислены сетевые порты для туннелируемых подключений от клиентского устройства к компонентам Horizon 7. На схемах, следующих за таблицей, показаны сетевые порты для туннелируемых соединений по протоколам отображения.

Рисунок 10: Туннельное соединение , показывающее все протоколы дисплея

Рисунок 11: Туннельное соединение Blast Extreme

Рисунок 12: Туннельное соединение PCoIP

Рисунок 13: Туннельное соединение для доступа к HTML

Виртуальный рабочий стол или хост RDS

В следующей таблице перечислены сетевые порты для подключений виртуального рабочего стола или узла RDS к другим компонентам Horizon 7.

* Показанные операции VMware vRealize для портов Horizon относятся к версии 6.2 и новее. См. Документацию по vRealize Operations for Horizon для более ранних версий.

Сервер подключений Horizon

В следующей таблице перечислены сетевые порты для подключений сервера Horizon Connection Server к другим компонентам Horizon 7.

Примечания:

требуются порты RPC между серверами соединений как внутри модуля, так и между модулями с облачной архитектурой модуля (CPA). Номера портов RPC динамически назначаются после первоначального взаимодействия с устройством сопоставления конечных точек RPC через TCP-порт 135. Дополнительные сведения о динамическом диапазоне портов см. В документации Microsoft Windows Server.

Единый шлюз доступа

В следующей таблице перечислены сетевые порты для подключений от Unified Access Gateway к другим компонентам Horizon 7.

Примечания:

С помощью протокола отображения VMware Blast можно настроить такие функции USB, как перенаправление USB и перенаправление клиентского диска, для отправки трафика побочного канала через порты Blast Extreme. См .:

Сервер регистрации

В следующей таблице перечислены сетевые порты для подключений от Horizon Enrollment Server.

Коннектор Horizon Cloud

Horizon Cloud Connector — это виртуальное устройство, которое соединяет сервер соединений в модуле с облачной службой VMware. Коннектор Horizon Cloud требуется при использовании лицензий на подписку Horizon 7 и облачных сервисов Horizon. В следующей таблице перечислены сетевые порты для подключений из Horizon Cloud Connector.

Примечания:

Региональный экземпляр устанавливается при создании учетной записи, как описано в разделе «Развертывание и подключение к Horizon Cloud для Microsoft Azure и Horizon Pods».

— Если ваша организация не рекомендует использовать подстановочные знаки в допустимых именах DNS, вы можете указать DigiCert конкретные имена для запросов CRL центра сертификации или OCSP. На момент написания конкретных имен DNS, необходимых для проверки сертификата, были:

Эти DNS-имена определены DigiCert и могут быть изменены.Инструкции о том, как получить определенные имена, требуемые для ваших сертификатов, см. В статье 79859 базы знаний VMware (KB).

vCenter Server и View Composer

В следующей таблице перечислены сетевые порты для подключений от vCenter Server и View Composer к другим компонентам Horizon 7.

Сервер JMP

В следующей таблице перечислены сетевые порты для подключений от сервера JMP к другим компонентам Horizon 7.

Сервер безопасности

В следующей таблице перечислены сетевые порты для подключений сервера безопасности Horizon 7 к другим компонентам Horizon 7.На схемах, следующих за таблицей, показаны сетевые порты для внешних подключений при использовании сервера безопасности по протоколу отображения.

Рисунок 14: Внешнее соединение с отображением всех протоколов дисплея (с использованием сервера безопасности)

Рисунок 15: Blast Extreme External Connection (с использованием сервера безопасности)

Рисунок 16: Внешнее соединение PCoIP (с использованием сервера безопасности)

Рисунок 17: Внешнее соединение для доступа к HTML (с использованием сервера безопасности)

Workspace ONE Access

В следующей таблице перечислены сетевые порты для подключений Workspace ONE Access (ранее VMware Identity Manager) к другим компонентам Horizon 7.

Диспетчер томов приложений

В следующей таблице перечислены сетевые порты для подключений из App Volumes Manager к другим компонентам Horizon 7.

vRealize Operations для Horizon

В следующей таблице перечислены сетевые порты для подключений vRealize Operations for Horizon к другим компонентам Horizon 7.

Управление

В следующей таблице перечислены сетевые порты для административных консолей, используемых в Horizon 7 Enterprise Edition.

Отображение диаграмм, зависящих от протокола

На следующих схемах показаны сетевые порты для подключений по протоколу отображения (Blast Extreme или PCoIP) и для клиентских подключений HTML Access.

Рисунок 18: Соединения Blast Extreme

Рисунок 19: Соединения PCoIP

Рисунок 20: HTML-соединения для доступа

Резюме и дополнительные ресурсы

Дополнительные ресурсы

Для Horizon 8 см. Сетевые порты в VMware Horizon.

Журнал изменений

В это руководство были внесены следующие обновления.

Об авторе и соавторах

Грэм Гордон (Graeme Gordon), старший специалист по вычислительной технике для конечных пользователей, технический маркетинг EUC, VMware, написал этот документ и создал прилагаемые схемы сетевых портов.

Следующие люди поделились своими знаниями и помогли с рецензированием:

• Марк Бенсон, старший инженер, технический директор EUC, VMware
• Пол Грин, штатный инженер, отдел исследований и разработок виртуальных рабочих мест, VMware
• Раму Панаяппан, директор отдела исследований и разработок виртуальных рабочих мест, VMware
• Майк Оливер, штатный инженер, отдел исследований и разработок виртуальных рабочих мест, VMware
• Эндрю Джевитт, штатный инженер, отдел исследований и разработок виртуальных рабочих мест, VMware
• Рик Терлеп, старший архитектор EUC, технический маркетинг EUC, VMware
• Джим Яник, старший менеджер, технический маркетинг EUC, VMware
• Фрэнк Андерсон, выпускники VMware

Чтобы прокомментировать этот документ, свяжитесь с отделом технического маркетинга VMware для конечных пользователей по адресу euc_tech_content_feedback @ vmware.com.

Теги фильтра