Ответы пользователя по тегу Сетевое администрирование
  • Начинающий системный администратор. Вопрос по построению сети?

    @Akina
    Сетевой и системный админ, SQL-программист.
    1. Собственный сервер - скорее да, чем нет. На Windows - 33/67 (альтернативы - Linux и NAS). AD - точно нет.
    2. Коммутатор, разделяющий сеть на изолированные сегменты с помощью VLAN. При необходимости ограниченного или контролируемого доступа из сегмента в сегмент - маршрутизация Микротиком.
    3. См. п. 1.
    4. Видео - есть. Полезных - нет.

    Дополнительно. Организация надёжного резервного копирования, и в первую очередь баз 1С, на независимый носитель - критично обязательно.
    Ответ написан
    Комментировать
  • Как правильно настроить мост на Mikrotik?

    @Akina
    Сетевой и системный админ, SQL-программист.
    SNR-SFP-W35-3 1000BASE-X 3km, 6dB TX 1310nm/RX 1550nm - это одномодовый свисток. Одноглазый, кстати.
    ML-SG-2DFM-31LD 1.25G SFP 1310nm 2KM DDM - это многомодовый свисток. Вообще двуглазый.

    Они говорят на разных языках. Работают на разном волокне. И никогда друг друга не поймут.

    Mission impossible.
    Ответ написан
  • Принцип работы с vlan?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Или же есть какие-то регламенты или негласные правила при создании вланов на сети?

    Есть неписанные правила, которые никто не обязан соблюдать. У каждого они свои. Вот, скажем. мой наборчик:

    0. Структура VLAN должна формироваться до создания сети. Любые изменения на уже существующей архитектуре будут достаточно проблемны и болезненны, особенно если сеть 24*7.

    1. Default VLAN (он же VLANID = 1) не должен использоваться в сети. Мягкий вариант - в данном VLAN нет ни одного порта, жёсткий - все порты Forbidden.

    Исключения:
    а) в сети вообще не используются VLAN;
    б) имеется оборудование, которое (вопреки документации) не работает правильно без включения транковых портов в default VLAN - например, DES-3028P.

    2. Сходные по назначению VLAN образуют группы, в которых VLANID помогает идентифицировать назначение VLAN.

    Пример 1: группы с VLANID = 2-99 и 4001-4095 используются как администрирующие (доступ к интерфейсу управления и мониторинга коммутаторов), управляющие (скажем, для MSTP, MPLS и прочих протоколов, требующих отдельного управляющего VLAN) или для какого-нибудь вендор-специфического межкоммутаторного обмена.
    Пример 2: группа с VLANID (например) 2x01-2x48 используется в гостинице для обеспечения проводного интернета (клиентского, SmartTV, IP-телефония), соответственно вторая цифра указывает на этаж, а 3-4 цифры на номер комнаты.

    Относительно правила "в каждом VLAN строго одна подсеть"... кому-то это абсолютная истина, а кому-то пустой звук. Я отношусь ко второй группе. Хотя и признаю, что есть архитектуры, когда такое соответствие оправдано.
    Ответ написан
  • На сколько актуальные L3 коммутаторы? Как вы делаете VLAN, на самом Mikrotik или ставит L3 комок, потом соединяете L3 и Mikrotik портом ACCESS?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Как вы делите сеть на VLAN если не используете L3?

    Вот сижу и думаю - что за бред? VLAN - чисто L2 штука. Где связь?

    У меня вон стоят коммутаторы L2 (даже не L2+), и они распрекрасно себе умеют VLAN, причём и port-based, и MAC-based. Единственно чего, связанного с VLAN, они не умеют, так это держать несколько IP адресов внутреннего интерфейса в разных VLAN, только один IP, доступный либо из одного указанного VLAN, либо из вообще любого. Они даже GVRP умеют без проблем.
    Ответ написан
  • Как разобраться в VLAN что тут происходит?

    @Akina
    Сетевой и системный админ, SQL-программист.
    не до конца наверное понимаю работу vlan


    VLAN в первом приближении - это не просто, а очень просто.

    Первый шаг - это разделение по отдельным VLAN. Мысленно представляешь, что у тебя не один коммутатор, а несколько. Вот прям вместо коммутатора стоИт стопка один на другом. В первом - только VLANID=1, во втором VLANID=2, и так далее. Каждый коммутатор обслуживает строго один VLAN, а все остальные порты, на которых текущий VLAN отсутствует, тупо залиты цементом. Если коммутаторов несколько - то каждый в схеме размножается таким образом, а соединения между портами коммутаторов ещё и раскрашиваются, например, тегованный кабель синий, а нетегованный красный. Соответственно если у тебя есть транковая связь (гибридный или транковый порт) с каждой из сторон) - то в преобразованной схеме один кабель между такими коммутаторами размножается на несколько, каждый в схеме для своего VLAN. А если попадается случай, когда с одной стороны провода VLANID есть, а с другой стороны его нет - получается кабель, с одной стороны вставленный в порт, а с другой нет. И соответственно в схеме для именно этого VLAN связи между коммутаторами нет. Аналогично для случаев соединения "tag на untag" с одной стороны красный кабель, с другой синий, у обоих вторые концы "в воздухе", а связи нет.

    Второй, дополнительный, шаг - это соединение меж собой нетегованных портов разных VLAN в преобразованной схеме, если такие соединения исходно существуют, невзирая на номера VLAN. Скажем, если на порте есть нетегованный VLANID=2 (возможно, с другими VLANID, но тегованными), и порт соединён кабелем с другим портом того же или другого коммутатора, на котором есть нетегованный VLANID=3, то в преобразованной схеме ты соединяешь соотв. порты коммутаторов разных слоёв, соответствующих этим VLAN.

    Теоретически можно себе представить, что при настройке порта, один и тот же VLANID на порте прописан и как тегованный, и как нетегованный - но это явная ошибка конфигурации (если на порт придёт пакет в этом VLANID, коммутатор не знает, теговать его или нет, а дублировать пакет он просто не станет, не его это дело), и в подавляющем большинстве случаев конфигуратор такое просто не примет.

    После такого разделения ты можешь смело анализировать поведение одного VLAN, не обращая внимания на существование остальных.
    Ответ написан
    Комментировать
  • Как настроить mikrotik с коммутатором Cisco?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Как мне объяснить микротику, что на одном из портов стоит коммутатор?

    Ему вообще-то похрен.
    А циска пусть работает как тупой свитч. То есть абсолютно всё, кроме коммутирования - нахрен.

    я докупил Cisco Catalyst WS-C2960-24TC-L

    Можно было обойтись любым неуправляемым коммутатором на нужное число портов.
    Ответ написан
    Комментировать
  • Есть ли программа, которая при отправке запроса проверяет через какие маршрутизаторы и роутеры проходит запрос?

    @Akina
    Сетевой и системный админ, SQL-программист.
    программа которая видит через какие маршрутизаторы и роутеры и т.д проходит отправляемый запрос

    В общем случае получение полного маршрута - вообще без шансов.

    Дело в том, что любой маршрутизатор в принципе-то может делать с маршрутизируемым пакетом что угодно. В том числе он запросто может и спрятаться - он просто увеличит TTL на единичку (точнее, не станет его уменьшать) и отправит дальше. Такой маршрутизатор мы в трассе просто не увидим, равно как и не увидим в этой трассе никаких иных ненормальностей.

    на работе в серверной куча лапши из проводов и свичей

    Ну значит надо просто медленно и планомерно эту "лапшу" разбирать, описывать и маркировать. Начать с пассивного оборудования, затем перейти к управляемым коммутаторам, затем к маршрутизаторам... сбор информации по соединениям и ARP, конфигурациям и пр... чтобы в конце прийти к полной схеме.

    Я, когда пришёл на свою нынешнюю работу, угрохал на такое разбирательство почти два месяца.
    Ответ написан
    Комментировать
  • Можно ли по мак адресу присвоить Vlan ID Cisco?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Существуют port-based VLAN и MAC-based VLAN.
    Первый - это когда определённый VLAN назначается порту коммутатора статически.
    Второй - это когда VLAN назначается порту в зависимости от MAC-адреса подключенного к порту оборудования.
    Оба варианта работают, само собой, только с нетегованными пакетами, то есть на чисто клиентских либо гибридных портах, но не на транковых.

    Вроде бы второй вариант - именно то, что нужно. Но есть подвох. Всё зависит от того, как именно реализован протокол на конкретном устройстве. Потому как возможны два варианта.

    Первый - это когда пакет от хоста направляется в VLAN в зависимости от MAC узла-источника. В этом случае получится именно то, что нужно.

    Второй вариант (достаточно старый, по-моему, сейчас нигде не реализуется) - это когда порт коммутатора включается в VLAN, определяемый (первым) найденным на данном порте MAC клиента, и в дальнейшем не изменяется. Конечно, этот вариант не подходит. А потому на имеющемся оборудовании просто надо либо проверить на практике, либо почитать в мануале (впрочем, обычно этот момент не описывается), какой из вариантов реализован.

    Есть ещё третий вариант, хотя на самом деле первый. Это Voice VLAN. Эта возможность имеется не на всяком оборудовании, но если имеется, то она однозначно работает по первому варианту. То есть можно тот VLAN, в котором камеры, объявить Voice VLAN, и получить решение задачи.

    -------------------------------------

    С другой стороны, если практически вся сеть строится на неуправляемых коммутаторах, какой вообще великий смысл в этом мероприятии? гораздо разумнее сделать нормальный проект сети и заменить всё это неуправляемое г.. на управляемые коммутаторы. Причём необязательно гнуть пальцы и брать именно сиськи - нет смысла переплачивать за шильдик со знаменитым брэндом, лучше за те же деньги купить пару резервных коммутаторов. Заодно описанная проблема сама собой рассосётся.
    Ответ написан
  • Как разделить сеть на несколько подсетей, чтобы в каждой был определенный вид устройства и настроить для каждой сети получение адреса по dhcp?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Хотелось бы разнести устройства, чтобы каждый тип устройства был в своей подсети и получал адрес по dhcp

    Вот вообще не вижу проблемы. Резервирование IP-адреса на DHCP-сервере по МАС-адресу - это единственное, что нужно для решения задачи.

    PS. Правда, три DHCP-скопа, торчащие в одном L2-сегменте - это из разряда "странное"...
    Ответ написан
    Комментировать
  • Как удалить данные о профиле при сетевом подключении?

    @Akina
    Сетевой и системный админ, SQL-программист.
    rundll32.exe keymgr.dll, KRShowKeyMgr
    Ответ написан
  • Сетевой инженер: каковы особенности данной профессии?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Насколько крупный должен быть бизнес, чтобы человек был не админом-универсалом, а трушным сетевиком?

    В основном это определяется не размером конторы, а областью её деятельности и разветвлённостью её сетевой инфраструктуры.

    Мелкой, средней, и даже крупной конторе, но не имеющей разветвлённой сетевой инфраструктуры, выделенный сетевик в общем-то не нужен, как правило, вполне достаточно системного админа (или нескольких) с соответствующими скиллами.

    Крупной конторе с разветвлённой сетевой инфраструктурой (как правило, речь о территориально распределённых) выделенный сетевик или даже отдел - нужны. А если проблемы в сетевой инфраструктуре способны сильно влиять на бизнес и приводить к серьёзным потерям - то такой отдел необходим.

    Крупной конторе, предоставляющей услуги связи другим конторам (т.е. тем, у которых сетевая инфраструктура - одно из главных средств производства), выделенный отдел сетевиков абсолютно и критично необходим. Причём там должны быть и сетевые администраторы, и сетевые инженеры - это весьма разные должности функционально. Список таких областей деятельности достаточно узкий - связисты, провайдеры, ну ещё датацентры, пожалуй, ну и всё.

    является ли такой режим и график работы для сетевика нормой?

    Для организации, имеющий соответствующий отдел и службу быстрого реагирования (последняя категория из описанных выше) - совершенно ненормально.

    Для организации, у которой службы быстрого реагирования отсутствует - хоть и ненормально, но, увы, типично. И хорошо, если эта особенность соотв. образом учитывается в зарплате, но такое бывает далеко не всегда.
    Ответ написан
    Комментировать
  • Почему не даёт зайти в общую папку?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Прав в файловой системе - мало. Нужны ещё и права на саму шару (расшаренный ресурс). Результирующие права определяются только тем, что прошло через оба этих сита.

    Мой компьютер - ПКМ - Управление - Общие папки - Общие ресурсы - нужный ресурс - ПКМ - Свойства - Разрешения для общего ресурса

    Заодно проверьте в локальных политиках, разрешен ли доступ из сети с пустым паролем (у юзеров пароли же не установлены, верно?). И не запрещён ли кому вообще доступ из сети.
    Ответ написан
  • Таблица маршрутизации?

    @Akina
    Сетевой и системный админ, SQL-программист.
    1. В сети может быть несколько маршрутизаторов, и разные конечные узлы могут быть доступны через разные маршрутизаторы. Таблица позволяет знать, через кого слать трафик.
    2. На компьютере может быть несколько внешних сетевых интерфейсов (а ещё есть localhost), и разные конечные узлы могут быть доступны через разные интерфейсы. Таблица позволяет знать, через кого слать трафик.
    Ответ написан
    Комментировать
  • Как сделать VLAN в корпоративной сети?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Вы неправильно понимаете, и от того неправильно мыслите.

    Представим, что у нас на коммутаторе сделаны, скажем, 3 VLAN. Ну и подключены какие-то узлы-клиенты. Так вот - чтобы построить то же самое, но без управляемого коммутатора, Вы должны взять три отдельных коммутатора, и в соответствии с VLAN переключить на них всех клиентов.

    Иными словами, сети различных VLAN изолированы друг от друга ПОЛНОСТЬЮ. И пусть Вас не обманывает, что все они сходятся в одном коммутаторе - внутри этого коммутатора никакого соединения между VLAN нет. Соответственно чтобы трафик ходил из одного VLAN в другой, нужен маршрутизатор, который одним интерфейсом смотрит в один VLAN, другим - в другой VLAN.

    Вы хотите сделать у себя 5 VLAN. Соответственно если они, скажем, должны обращаться к одному и тому же серверу-файлопомойке, или через этот один сервер ходить в Интернет, значит, в этот сервер придётся вставить 5 сетевых карт, и каждую из карт подключить к отдельному порту коммутатора, являющемуся членом одного из имеющихся VLAN. Вот Вы точно этого хотите? А представляете, какой получится монстр, если количество VLAN будет не 5, а 15?

    Да, в именно описанном случае можно спасти ситуацию, если использовать серверное оборудование и ПО, которые могут на одном внешнем интерфейсе создать несколько адресов из разных подсетей и статически зафиксировать для каждого из адресов определённый МАС-адрес, а на коммутаторе включить МАС-based VLAN. Но, поверьте, Ваша ситуация ну совершенно не располагает к созданию себе подобного геморроя...

    --------------------

    Как по мне, Вам вполне достаточно просто сделать несколько подсетей.
    Ответ написан
  • Есть ли смысл делить сеть на подсети, если она будет поделена на vlan-ы?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Есть ли смысл делить небольшую сеть (около 30 компьютеров, 15 ip-камер, 15- ip-телефонов, пару серверов) на подсети, если она будет поделена на vlan-ы?

    Если отвечать на этот вопрос, игнорируя любые другие вещи, то - да, причём не просто имеет смысл, а необходимо.

    Формально, если компьютеры в одном вилане, камеры в другом, а телефоны в третьем, то они существуют так, словно подключены к разным коммутаторам. И вроде тогда пофиг, какие подсети. Но..

    Всем этим надо управлять, всё это надо мониторить, и некоторые узлы из одного вилана должны будут получать доступ к узлам другого. Например, компьютер охраны должен будет видеть изображения с камер, а админ - иметь возможность управления сервером IP-телефонии...

    Как можно обеспечить доступ? ну либо соответствующие рабочие станции будут иметь две и более сетевых карт, либо будет единый сервер маршрутизации. Но в обоих случаях для корректной работы необходимо, чтобы не было пересечения по подсетям, иначе настройка таблиц маршрутизации превратится в весьма непростую задачу, особенно в случае дублирования адресов.

    Вопрос для курсовой работы.

    А вот это означает, что необходимо рассмотреть ВСЕ возможные схемы организации сети, сравнить их между собой, и только на основании этого сравнения ответить на вопрос, надо или нет.
    Ответ написан
    Комментировать
  • "Destionation host unreachable" и "Заданный узел недоступен" между двумя устройствами Windows и Linux. Как починить?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Оба устройства находятся в одной подсети. То есть в общем случае второй узел достижим напрямую, без привлечения шлюза. Что нужно проверить, кстати, соединив обе станции напрямую, минуя роутер.

    Оба устройства подключены к встроенному свичу роутера. Передача пакетов должна выпоняться без участия маршрутизирующей части роутера.

    "Destionation host unreachable" и «Заданный узел недоступен» в переводе на русский означают следующее: я знаю, как отправить пакет на узел назначения, я отправил, но ответ не пришёл.

    Ну раз так, то начинаем усиленный мониторинг пакетов. Пинг вышел со станции-источника в кабель? пришёл на роутер? вышел с роутера на узел назначения? достиг его? и всё то же с ответом в обратном направлении. В принципе достаточно просто смотреть счётчики пакетов/байтов, нам детали неважны. Задача - определить, когда пакет теряется. 90% за то, что он приходит на роутер, но не выходит к узлу назначения.

    Да, RAdmin на время разбирательств отключи..
    Ответ написан
    1 комментарий
  • Как поместить два устройства на одном коммутаторе в разные подсети?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Если то, что обозначено на схеме словами Switch1 - неуправляемый коммутатор, то может спасти MAC-based VLAN на порте роутера, подключенном к этому неуправляемому коммутатору. Впрочем, единый широковещательный домен никуда не денется.
    Ответ написан
  • Как настроить правило firewall на mikrotik?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Firewall rule:

    Chain - forward
    Dst. address - блокируемый сайт
    In interface - порт к коммутатору
    Action - drop
    Ответ написан
  • Как адресуются пакеты адресату с серым ip?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Как роутеры провайдера узнают, на какой именно локальный серый ip отправлять пакет?

    Нет такого термина как "серый", это неопределённый до конца слэнг.

    Впрочем, неважно. Этот термин является подмножеством термина "немаршрутизируемые адреса". Т.е. адреса, маршрутизация которых запрещена. А потому любой маршрутизатор, получив для передачи пакет с немаршрутизируемым (в т.ч. и с "серым") адресом назначения, просто выбросит его. И даже не озаботится отсылкой уведомления о том, что пакет был убит.

    Соответственно на роутер провайдера может прийти только пакет с маршрутизируемым адресом назначения. А чтобы роутер перенаправил его на один из адресов внутренней сети, адрес назначения пакета должен быть адресом внешнего интерфейса (WAN) самого роутера.

    Что же касательно вопроса "кому будет передан" - правило маппинга портов включает чёткое и однозначное соответствие между тем, по какому протоколу и с каким портом назначения пришёл пакет, и на какой адрес во внутренней сети его следует перенаправить.
    Ответ написан
    Комментировать