Ответы пользователя по тегу Компьютерные сети
  • Как построить такую сеть?

    athacker
    @athacker
    Поддержу камрада AntHTML

    Автор, вам следует потратить время и расписать всё в точности -- что у вас есть сейчас, что куда подключено, какие IP-адреса имеет. Да, с моделями оборудования и прочими подробностями. И затем не менее подробно описать, что конкретно вы хотите получить. А то на текущий момент ваши вопросы читаются в духе "По сколько тонн клевера от каждой курицы-несушки будет заложено в инкубаторы после обмолота зяби?"
    Ответ написан
    Комментировать
  • Что могут спросить на собеседовании по Windows Server?

    athacker
    @athacker
    Очень любят почему-то спрашивать про роли FSMO :-) Их состав, назначение и что будет, если какая-то из них сломается.
    Ответ написан
    Комментировать
  • "Kernel bypass" network adapter - что собой представляет эта технология?

    athacker
    @athacker
    man netmap, например. Оно как раз примерно для этих целей и используется.
    Ответ написан
    Комментировать
  • Стоит ли поднимать почтовый сервер? или воспользоваться Gmail?

    athacker
    @athacker
    Почтовый сервер поднять не так уж сложно, как тут ряд ораторов утверждает. В целом же -- если вас не парит, что конторскую почту может читать "потенциальный противник", то можно пользоваться публичными сервисами -- гуглом, яндексом, чем угодно. Лично я предпочитаю, чтобы почта ходила через свой сервер.

    1) Пробросить порт достаточно.

    2) Домен нужно регистрировать в любом случае, свой у вас DNS-сервер или не свой. Как-то же снаружи к вам почта должна приходить? А для этого нужно, чтобы доменное имя и MX-записи были публично доступны.

    3) Обратную зону прописывать обязательно, иначе будут постоянные проблемы с тем, что от вас почта не будет приниматься адресатами в других доменах. SPF -- тоже должна быть обязательно. Обратную зону нужно просить прописать вашего провайдера, а SPF нужно прописывать на том публично доступном DNS-сервере, куда вы делегируете своё доменное имя.
    4) MX и A должны быть прописаны там же, где и SPF :-) Вы регистрируете домен и делегируете его на какой-то DNS-сервер. Можете поднять свой, можно воспользоваться DNS-серверами регистратора (как правило, регистраторы доменных имён предоставляют такую возможность, и некоторые даже бесплатно, если регистрируете домен у них).
    Ответ написан
    1 комментарий
  • Какую выбрать систему мониторинга сети для 250+ хостов (сервера windows,linux, роутеры,cвитч)?

    athacker
    @athacker
    У нас на заббиксе мониторится инфраструктура:

    Number of hosts (enabled/disabled/templates) 5765 5512 / 111 / 142
    Number of items (enabled/disabled/not supported) 538807 523119 / 12809 / 94
    Number of triggers (enabled/disabled [problem/ok]) 130488 128402 / 2086 [17 / 128385]

    Шаблоны, графики, SNMP, IPMI, трапы -- всё это оно умеет.
    Ответ написан
  • Срочно нужны скриншоты импорта ssl-сертификата на wi-fi точку с указанием модели и производителя. Поможете?

    athacker
    @athacker
    Микротик RB-951 подойдёт? :-) Я там генерил кастомный сертификат для веб-интерфейса управления.
    Ответ написан
    1 комментарий
  • Как правильно расположить IP адрес?

    athacker
    @athacker
    Шо это за трэш вообще? :-) Условие задачи явно неполно. Либо вы не полностью сформулировали условие, либо опустили бОльшую часть контекста. Что сделать-то нужно? Что означает "разместить IP-адрес"?
    Ответ написан
    1 комментарий
  • Проектирование локальной сети между офисом и филиалом на расстояние 5км друг от друга, какими способами можно это осуществить?

    athacker
    @athacker
    Поддерживаю оратора выше, предложившего VPN по интернету. На каждой точке заводим интернет от двух разных провайдеров и строим автоматическую схему переключения канала на резерв.
    Ответ написан
    Комментировать
  • Стоит ли использовать HP NC362i под большой нагрузкой?

    athacker
    @athacker
    Камрады выше правильное замечание сделали -- сильно будет зависеть от драйвера. А драйвер, в свою очередь, будет сильно зависеть от операционки ;-)
    Ответ написан
    Комментировать
  • Нафига вообще и надёжна ли СХД?

    athacker
    @athacker
    СХД, как и многие другие вещи -- это дело такое... Если у вас возникает вопрос "а зачем нужны СХД", то значит, вам она точно не нужна :-)

    В чём профит СХД -- это многократно зарезервированная система. У неё от двух до N контроллеров, каждая дисковая полка подключена минимум двумя путями, каждый диск подключен двумя путями (SAS-диск, конечно же), и на дисках используются механизмы типа T10-PI, гарантирующие целостность данных. Диски имеют пропатченные прошивки, логика работы этой прошивки такова: "лучше мы ложно зафейлим диск, чем случится реальный сбой, а мы его прошлёпаем и потеряем данные".

    Также есть всякие функциональные штуки типа моментальных снапшотов, механизмов репликации (когда у вас два географически разнесённых тома имеют полностью одинаковое содержимое и синхронизируется практически в прямом эфире). СХД умеет tiered storage, когда система реализует кэш наиболее горячих данных на базе SSD-дисков или в RAM.

    Но надо понимать, что сама СХД и расходники для неё будут стоить как крыло от F-35, и СХД нужно брать ТОЛЬКО с соответствующими сервисными контрактами. Без сервисного контракта -- любой сбой будет вам обходиться в копеечку, а время ремонта может исчисляться месяцами. С другой стороны, СХД довольно надёжны, и количество сбоев у них не очень велико. С третьей стороны, вендоры очень любят брать деньги за воздух. Например, у IBM есть такая практика -- если у вас истёк сервисный контракт, а вы его не продлили, а потом у вас случился сбой и вы решили купить сервисный контракт обратно, то вам в стоимость добавят стоимость годичного сервисного контракта в виде штрафа. Т. е. если вы решите спустя N лет приобрести сервисный контракт на 2 года, то по факту заплатите как за 3 года -- "1 год условно" вам выставят в виде штрафа. Этим грешит не только IBM, но и ещё ряд вендоров.

    СХД нужна только для случаев, когда у вас критичные бизнес-процессы, и любая их остановка -- это настолько крупные потери, что стоимость этих потерь превышает стоимость СХД и сервисных контрактов на неё. В остальных случаях я бы рекомендовал самосборные хранилища и организацию процесса работы с ними так, чтобы минимизировать риски и последствия возможных сбоев.

    Для чисто файловых хранилищ подойдёт, например, Windows Storage Spaces в конфигурации с двумя серверами и одной двух-контроллерной корзинкой DAS, подключенной к обоим серверам. Это гораздо дешевле СХД, а многие вещи такая конфигурация умеет -- нет единой точки отказа, умеет RAID на дисках, умеет условно tiered storage и умеет снапшоты средствами VSS на винде.

    На фре тоже сейчас активно пилят High Availability в ctld. Полагаю, включат в 11.0, и можно будет строить отказоустойчивые iSCSI-хранилки на основе FreeBSD+ZVOL+ctld -- отличный вариант под хранение виртуалок. Причём ZFS тоже умеет снапшоты, вот если бы Veeam научился с ними работать, была б ваще чума... :-)
    Ответ написан
    6 комментариев
  • Через что удалённо подключаться к машинам с разными OS?

    athacker
    @athacker
    Для винды самое фэншуёвое -- это RDP. Для убунту... А у вас чо, Убунта с графикой используется? 8-[ ]
    Ответ написан
    4 комментария
  • Samba ограничивает скорость?

    athacker
    @athacker
    Самба на фре всегда страдала проблемами с производительностью. Насколько мне известно, это не лечится никак. Были у сообщества одно время попытки аппелировать к команде Самбы на эту тему, но они закончились после ответа от Samba team в духе: "Идите лесом, у нас на линухе всё работает ровно". Так что если от Самбы реально нужен гигабит -- ставьте её на линух.
    Ответ написан
    Комментировать
  • Как запретить "двойной" NAT?

    athacker
    @athacker
    Кроме TTL, в пакете, прошедшем через NAT, ничего тотально не меняется. SRC-адрес, SRC-порт (возможно), ну и контрольные суммы. Да и с TTL тоже вопрос. На фре, например, можно собрать ядро с опцией STEALTH, и тогда в пакетах, проходящих через NAT, не будет меняться TTL.

    Если на планшете сайты таки открываются -- смотрите tcpdump'ом, что за пакеты ходят в это время между ноутом и шлюзом. Разные системы задают разные TTL. Винда, например, проставляет TTL 64, а фря -- 128. Возможно, что на планшете тоже не 64. Это не объясняет тормоза, но объясняет факт открытия сайтов.
    Ответ написан
    Комментировать
  • Пару вопросов на nat?

    athacker
    @athacker
    1. В целом, равнозначны. Но зависит от того, что вы хотите получить на выходе :-)

    2. А вы проверяли у таких пользователей, IP-адрес, который у них на интерфейсе -- он снаружи виден? :-) Или на интерфейсе один белый IP, а если зайти на какой-нибудь 2ip.ru, то там будет совсем другой адрес?

    Технически это может быть реализовано так -- у провайдера есть несколько BRAS'ов, к которым подключаются по PPPeE пользователи. В рамках одного BRAS'a адреса должны быть уникальны, а в рамках всего набора BRAS'ов могут и совпадать. У нас так делается, например. Только не с белыми IP, разумеется, а с серыми. Зачем клиентам в этой схеме белые IP выдавать, я не знаю. Каждый BRAS выдаёт IP-адреса клиентам из диапазона 10.0.0.0/16. Т.е. на 1-ом брасе может быть клиент с IP 10.0.0.1, и на втором брасе может быть клиент с таким же IP-шником. Но вот одновременно два клиента на 1-ом BRAS'e не могут получить IP 10.0.0.1, понятное дело. Иначе маршрутизация сломается.
    Ответ написан
    2 комментария
  • Как проложить сеть организации через один провод?

    athacker
    @athacker
    Сеть организации через один провод -- это коаксиальный кабель :-) Кабель продаётся в любом радио-магазине, а вот сетевушки под коаксиал нужно искать на каких-нибудь компьютерных помойках :-) Ну и нужно понимать, что сетевушки эти будут развивать скорость в 10 мегабит, и весь сегмент будет по пропускной способности делиться на количество машин. Т. е. если, например, коммутатор сможет обеспечить скорость в 100 мегабит сразу между несколькими парами машин, то в коаксиале 10 мегабит делятся на все машины в сегменте. Но в 10 килорублей можно уложиться, я думаю, да :-)

    А, ну да, и ещё момент -- коаксиальные сетевушки были только под ISA и под PCI разъёмы :-) Никаких PCI-E :-)
    Ответ написан
    3 комментария
  • Как правильно организовать общедоступный WiFi?

    athacker
    @athacker
    На винде без суровых самописных костылей вы вряд ли это организуете. Так что необходим какой-нибудь Unix-сервер, ну или на крайняк -- виртуалка с юниксом на винде, куда будет проброшен гостевой VLAN и VLAN для выхода в интернет.

    А в целом, схема довольно проста -- при подключении нового пользователя ему отдаётся страничка с требованием авторизации. Проще всего авторизацию по номеру телефона сделать (так как ХЗ как проверять паспортные данные :-) ). Клиент вводит номер своего мобильника, туда клиенту высылается СМС-ка с кодом подтверждения. Клиент вводит код на страничке и получает доступ в интернет на N минут.
    Ответ написан
    5 комментариев
  • Как хранить данные для обработки в виртуалке на СХД?

    athacker
    @athacker
    Зависит от объёма и типа данных. Если у вас там мега-архив, или требуется высокое быстродействие -- лучше создать отдельный LUN, и цеплять его по iSCSI -- меньше оверхэда будет при работе с томом. В остальных случаях -- лучше использовать виртуальные диски. Их проще обслуживать -- бэкапить, ресайзить, мигрировать.
    Ответ написан
    Комментировать
  • Каким образом поднять новую инфраструктуру с нуля и объединить в одну сеть три корпуса учебного заведения?

    athacker
    @athacker
    Поддержу камрада DastiX насчёт отсутствия необходимости в лесах. На вашу структуру хватит одного домена.

    Также добавлю, что вы ставите задачу в духе: "Давайте поставим по два сервера, сделаем VLAN и VPN и ещё кучу модных слов!". Плясать нужно от требований, а не от технологий. Вы ставите два сервера. Отлично. Чем они будут заниматься? Какие задачи решать?

    Хотите VLAN'ы -- хорошо. Для чего? Что вы планируете с помощью вланов делать? Какую задачу решить?

    Тот же вопрос по VPN. У вас ещё физического линка между корпусами нет, и даже неясно, как он будет реализован, а вы уже про VPN думаете.
    Ответ написан
    Комментировать
  • Как распределить скорость Интернет-трафика между пользователями AD?

    athacker
    @athacker
    Файрвол -- это одно, а скорость -- это другое. Скорость на основании группы, в которую входит пользователь, можно нарезать с помощью Squid. man на предмет delay pools в Squid (это про скорость), и интеграцию Squid с AD.

    Урлы сквид может блэклистить, это не проблема. Можно юзать также внешний редиректор, типа squidGuard или rejik. Если блэклист небольшой и клиентов не очень много -- можно смело юзать встроенные возможности сквида. Если клиентов сотни, и блэклист с регэкспами тоже из нескольких сотен (и более) записей -- лучше для блокировки внешний по отношению к сквиду редиректор использовать, нагрузка на машину существенно снижается.
    Ответ написан