Общие вопросы по работе Интернета и сетей?

Question

[BadCats]

Возможно это не совсем правильно, но есть несколько мелких вопросов (и достаточно глупых)), поэтому решил объединить их в одну тему:
(Сразу извиняюсь за кашу в голове и возможный бред - никак для себя не могу сложить общую картину. Постарался разбить вопросы на подпункты, что бы можно было отвечать коротко на каждый из них)
1) Домен сайта и домен организации (например, предприятия/учебного заведения, управляемого,допустим, Active Directory) - это одно и то же?
1.1. Например, есть доменное имя, домен сайта и домен организации - это разные вещи? Например, с доменном организации все более-менее понятно - например, AD - позволяет управлять парком машин с помощью груповых политик, если машина входит в домен, например в локальной сети.
1.2. Может ли машина управляться доменом находясь в другой сети и общаться с домен-контроллером первой сети? 1.3.Доменное имя - это же по-сути запись в DNS-таблицах? ведь сайт может быть и без доменного имени?
1.4.Если сайт хостится на сервере организации Х с собсвтенным доменом, влияет ли это на его доменное имя или это отдельно настраивается в DNS?
1.5. пересекаются ли вообще понятия "домен" - в смысле управления (напрмер AD) и домен сайта (не доменное имя - т.е. что означает домен сайта - что он принадлежит парку машин организации X?)
2) Никак не могу разобраться с работой масок для подсетей:
Например, если основной шлюз (gateway) - имеет адресс 192.168.100.2 , а машине присваиваеться статический ип (кончено, сеть DHCP, но возьмем для абстракного примера) - 192.168.90.10 -какая должна быть маска и почему? Ну, т.е. , условно, если у машины и сетевого устройства - адреса одинаковые 192.168.х.х и 192.168.х.х - маска будет 255.255.0.0 - где т.к. к меня х - 0 - будет означать весь диапазаон - т.е. 255 адресных пространств по 255 адрессов (ну 0 и 256 - зарезервированы, кончено). Вот на примере адресов 192.168.100.2 и 192.168.90.10 - получается, что подсеть 90.х ведь больше чем 100.х ? и как вообще gateway может быть в более мелкой подсети (на 10), (кончено, глобально они оба ноходятся в 192.168.х.х , но относительно друг-друга - машина находится в более большей сети, чем шлюз?) чем устройство, которому оно выдает сеть?
3) Из проблемы 2 - есть ли какие то упражнения/ уроки что бы набить руку на проектировани сетей в теоретическом плане? Я имею ввиду, например не Cisco Packet Tracer - это больше уже инструмент проектирования сети/симулятор. Мне нужен скорее мануал про расчет сетей (даже не мануал, а именно тренажер/практические задачи), их влложенность, взаимодействие. Конечно, я читал про класовую и бескласовую адресацию, но вот в голове пазл не собирается.
4) Active Directory - разработан MS и как я понимаю, по сути явлается де-факто стандартом для Windows машин?
4.1.Какие есть аналоги?
4.2.Есть ли что-то типо стандарта OSI - от мира управления и построения домена - как OSI является более абстрактным стандартом на основе которого можно оценивать другие стеки технологий, напрмер TCP\IP
4.3 Чисто в теории можно написать свою систему управления доменом (или другой иерархической струкутурой парка машин) или это чисто проприетарные понятия и что можно почитать об этом?

Answer 1

[Drno]

1)
1.1 По приницпу - да. Только для сайта используется(покупается) общеизвесный домен, и доступ к нему могут получить по идее все (если допустим вы сайт сделаете), а для AD можно использовать любой придуманный домен, т.к. дальше вашей локальной сети он обычно не идёт.
1.2 Впринципе да, при правильных сетевых настройках, но так никто не делает. Разве что внутри VPN
1.3 Да, это запись в DNS. Сайту ненужно доменное имя для работы. Это сделано для удобства пользователей
1.4 Это можно настроить по отдельности, нет не влияет. Это вообще разные вещи\сервисы
1.5 Обычно нет(99%)

2)
Вот они и будут маршрутизироваться исходя из сети 192.168.х.х и для того чтобы они друг друга видели должна быть маска 255.255.0.0
Логика тут такая - маска 255.255.255.0 ограничивает сеть 254 возможными(активными) адресами. При маске 255.255.0.0 активных адресов уже может быть 65534... При маске /24 у Вас активна только последняя "ячейка" При маске /16 последние две
Для вашего примера, если я правильно смотрю, достаточно /18 маски 255.255.192.0

spoiler

Адрес : 192.168.90.10 11000000.10101000.01 011010.00001010
Маска : 255.255.192.0 (18) 11111111.11111111.11 000000.00000000
Wildcard: 0.0.63.255 00000000.00000000.00 111111.11111111
Сеть : 192.168.64.0/18 11000000.10101000.01 000000.00000000
Хост(min): 192.168.64.1 11000000.10101000.01 000000.00000001
Хост(max): 192.168.127.254 11000000.10101000.01 111111.11111110
Broadcast: 192.168.127.255 11000000.10101000.01 111111.11111111
Хостов в сети: 16382 класс C, Интранет

https://www.ispreview.ru/ipcalc.html

3) Без понятия. Учился "находу"
4) Да
4.1 Да аналог по сути один - Samba (Linux)
Судя по хабру список такой - FreeIPA, Samba4, UCS, OpenLDAP, 389 Directory Server
4.2 Без понятия
4.3 Можно, изучите вышеперечисленный софт, посмотрите что он умеет. Только зачем?

Comments

[BadCats]

Огромное спасибо! Очень информтивно.

[BadCats]

Если я правильно понял, логика такая: 192.168.100.2 и 192.168.90.10
сначала берем маску 255.255.0.0 -это мы как бы в сети 192.168.х.х
тут 255*255 адресов, что для нас много - ведь нам нужно только перекрытие сетей 90 и 100 -т.е. мне нужен остаток от 255,
который будет начинаться до 90 и остаток я получаю вычетом маски 192 из 255 - и получаю wildcard mask - 63. Получается, что бы правильно посчитать маску,
я должен найти нужный wildcard mask - который идет как степень двойки-1 - для каждого разряда маски каждые 2^8 - я меняю разряд маски на следующий)- /30 - это 2^2-1 , /29 - 2^3 -1 и.т.д. и так получаю свои /18 (что есть стразу 2^8 -т.е /32-8 =/24 - т.к. мне нужно перескочить разряд - скрайнего правого на мои 90 и 100 и потом еще с /24 вычитаю опять степени 2, пока не 2^n - не будет меньше границы моей сети - т.е. 90 - мне нужно 64-1 = 2^6 - /24-6=/18 - получаю wildcard mask 0.0.63.255 и вычитаю ее с 192.168.255.255 - и получаю маску 192.168.192.0) и нужную маску - и применяя имено ее, получаю минимальную по размерам сеть, в которой оба хоста будут видеть друг-друга?

[Drno]

BadCats, я не вдавался в эти подробности, я считаю калькулятором) насколько я знаю Ваша маска не заработает, она должна идти 255.255.*.* окончания могут быть 128,192,224,240,248,252,255 - соответственно третье значение должно быть какое то из этих.

Answer 2

[Alexey Dmitriev]

1. Нет, не одно и тоже. Но имена могут быть одинаковыми.
1.1. Нет, не одно и тоже. Но имена могут быть одинаковыми.
1.2. Да, если есть доступ к контроллеру домена - маршрутизация сетей или VPN.
1.3. В общем и целом - да это DNS запись. Сайт может быть доступен и по ip адресу.
1.4. При совпадении имен домена сайта и домена AD - да влияет и накладывает ограничения - например будет затруднительно сделать сайт, например domain.ru внутри организации при наличии домена AD domain.ru.
1.5. Слово домен обозначает определенную область. Домен сайта - это имя домена сайта. Домен Active Directory - это имя домена AD.
2. Маска подсети ограничивает количество ip адресов, которые могут использоваться в одной ФИЗИЧЕСКОЙ сети, например подключены к одному коммутатору\стеку коммутаторов.В вашем примере используются адреса из подсетей 192.168.100.x и 192.168.90.x - это значит что ваша подсеть должна накрывать все подсети начиная с 192.168.90 и заканчивая 192.168.100 - какая должна быть маска - посчитайте сами в онлайн калькуляторе.
3. Да есть книги, описывающие TCP-IP v4 - там все описывается. Без теории и понимания - как все работает - никакие упражнения не помогут.
4. Да.
4.1 Аналоги чего? Directory сервисов или систем управления компьютерами?

Тут я понял, что вопросы становятся совсем странными и решил остановиться. Гуглите - все ищется легко.

Comments

[BadCats]

Насчет 4 -

.Какие есть аналоги?

- аналоги AD - технологги управляющие доменом, но по-другому как-то? ну вот, скажем AD - основана, на одних протоколах (LDAP вроде?) - есть ли другие продукты, использующие другие подходы/протоколы, возможно от других компаний? Просто вопрос ради нитереса.

Есть ли что-то типо стандарта OSI - от мира управления и построения домена

- в плане, общее описание на каких технологиях/ протоколах это все работает / как и кем стандартизировано/ какие общепринятые практики есть при разработке таких систем.

Чисто в теории можно написать свою систему управления доменом

- тяжелее всего объяснить что имею ввиду, но примерно следующее: какой должен быть roadmap знаний и технологий, что бы напрмер на python или <подставьте_свой_ЯП> - написать ситсему, которая бы смогла управлять машинами, очень условно приблеженно к функционалу AD (конечно, это корпоративный и старый продукт, но я ОЧЕЕНЬ условно имею ввиду). Еще пример: вот хочу я обращаться к машинам , допустим локальная сеть на 3 компа. При таких размерах сети у меня варианты использовать ARP и NetBIOS. Вот, мысленно увеличивая сеть, какие-бы протоколы Вы могли бы дописать? Нагуглил LDAP->X.500->......- какой примерный стек технологий вообще используется для управления доменом? (Да, я знаю что есть гугл и википедия, но там просто перечисление всех протоколов и их работы, а вот такой заковыристый в плане формулировки вопрос можно задть только человеку (а вот когда на него ответят, он же проиндексируется поисковиками и ситуация будет исправлена) ))

Answer 3

[paran0id]

4.1 - был такой Novell NetWare, это ближе всего, также можно использовать linux+samba в качестве контроллера домена, а ещё есть другие способы централизованного управления, авторизации и прочего.
4.2 - вообще не понял
4.3 - см. 4.1, можно

Answer 4

[res2001]

1. Вещи это разные, но взаимосвязанные. Домен сайта - это просто запись в DNSе и веб сервер настроенный на это имя. Домен AD - это целый комплекс решений, в которые в т.ч. входит и DNS и может быть веб сервер.
Но сайты обычно используются внешними по отношению к организации пользователями, а домен предприятия - внутренними. Поэтому лучше их разделять и вообще делать так, чтоб инфраструктура обслуживающая обе сущности не пересекалась друг с другом. Делать это полезно в т.ч. и с точки зрения безопасности сети. При этом имя внутреннего и внешнего домена вполне может быть одно и то же, но это не обязательно.
2. Маска нужна для того, что бы tcp/ip мог понять отправляется ли пакет в другую сеть, не доступную на прямую, или же он уходит соседу по своей сети. Если пакет отправляется в другую сеть, то включается маршрутизация, обычно это заключается в том, что реально пакет уходит на шлюз по умолчанию, а там уже разруливается по нужным направлениям. Делается это так:

if ((remoteIP & mask) != (selfIP & mask)) {
  пакет предназначен для другой сети, идем на маршрутизацию
} else {
  пакет для своей сети - можно отправлять сразу
}

Где:
remoteIP - IP назначения,
selfIP - свой IP,
mask - маска своей сети.
Используется операция побитового И.
Для совершения подобной проверки маска и IP адреса преобразуются в 4-ёх байтовое беззнаковое целое (просто 4 октета IP адреса "склеиваются" вместе в двоичном представлении и составляют это 4-ёх байтовое целое) и уже над этими числами производятся операции.
Из подобного применения маски видно, что она не обязательно должна быть 255 или 0. Возможны любые значения, которые может принимать 4 байтовое беззнаковое целое, где старшие биты единицы, а младшие нули. Например допустимы значения: 0, 128, 192, 224, 240, 248, 252, 254, 255 (тут я указываю значения для одного октета в маске). Чтоб было понятнее переведите все эти числа в двоичную систему.
3. Классовой адресации уже в реальности нет (это "уже" длится уже долго, я не успел застать классовую адресацию :)). Про нее еще пишут в книгах, но в жизни ее нет. Везде где вы встретите маску в настройках IP - классовой адресации нет.
В принципе, все задачи по разделению сетей и определению масок можно решить основываясь на том, как используется маска сети (см.п.2).
4. Для виндовых машин фактический стандарт управления доменом - AD. По понятным причинам - предоставляется производителем винды.
Но есть и аналоги. Из платных у Novell есть соответствующий продукт, которые то же умеет в виндовые GPO и т.п.
Жаль, что сама Novell уже не существует и похоже "пошла по рукам", но ее продукты используются до сих пор. Некоторые продукты Novell опережали конкурентов на года.
В основе AD лежит служба каталогов (посмотрите определение в вики). Есть открытый стандарт для подобных служб - LDAP. Есть открытые и проприетарные решения, реализующие службу каталогов. Как служба каталогов AD не единственная и далеко не лучшая. Кстати, на сколько я знаю, именно в Novell была разработана первая служба каталогов, когда еще AD даже в проекте не было.
Но AD это не только служба каталогов, это еще и механизмы управления раб.станциями, пользователями и т.д. и т.п. И вот это все в совокупности делает AD не заменимой вещью для управления виндовой сетью.