Ответы пользователя по тегу Системное администрирование
  • Нужно ли периодически перезагружать по питанию сервера?

    @throughtheether
    human after all
    Отвечу за телекоммуникационное оборудование.

    Да, полагаю, периодическая перезагрузка дублированных устройств необходима. В свое время была обнаружена проблема с устройствами cisco - из-за бракованных микросхем памяти устройство теряло функциональность после перезагрузки. Учитывая, что микросхемы памяти - довольно общий и распространенный компонент, стоит ожидать подобного поведения от устройств любого вендора. И гораздо лучше обнаружить эту или другую проблему во время контролируемой перезагрузки, с инженерами на местах, с расписанными планами действий, чем обнаружить ее же после аварийного отключения питания.
    Ответ написан
  • Плюсы оптического волокна перед радиоканалом?

    @throughtheether
    human after all
    Оптоволокно - сигнал распространяется внутри волокна, отсюда устойчивость к помехам.
    Радиоканал - сигнал распространяется в электромагнитном поле, общем на всех. Любой соседний источник радиоволн той же частоты - ваша потенциальная проблема.

    Так же интересен вопрос безопасности радиоканала и как легко его уронить если захотеть?
    Даже в случае использования направленных антенн есть возможность поднять свою антенну поблизости от одного из трансиверов и прослушать ваши сообщения. Также возможно при помощи генератора сигнала нужной частоты добиться отказа радиолинка. Чтобы прослушать трафик, передаваемый по оптоволокну, необходимо организовать ответвление (tap), это довольно трудоемко и требует физического доступа к кабелю. Чтобы добиться отказа оптического линка, необходимо воздействовать на сам кабель, что опять же требует физического доступа.

    Еще один плюс оптоволокна - возможность дальнейшего увеличения пропускной способности канала при помощи xWDM (хотя не факт, что вам это нужно, да и там не без нюансов).

    Если есть выбор - радио или кабель, рекомендую кабель. Если есть выбор, медь или оптика, то, при прочих равных, для важных (магистральных) линков рекомендую оптику.
    Ответ написан
  • Как разделить витую пару на двухпортовую розетку?

    @throughtheether
    human after all
    Строители завели в кабинет один кабель. А нужно работать на двух ПК.
    Поставьте коммутатор.

    То, чем вы занимаетесь - интересно, остроумно, нестандартно, неподдерживаемо и обязательно в будущем аукнется вам или вашему "наследнику".
    Ответ написан
  • Питон для инженера?

    @throughtheether
    human after all
    Какие инженерные задачи вы решали с помощью питона?
    Генерация файлов конфигурации для коммутаторов на jinja. Простые веб-интерфейсы (flask, bottle). Парсинг логов и экспортированных данных (lxml). Учет ресурсов (база на sqlite + веб-интерфейс + выгрузка отчетов).
    UPD: Забыл упомянуть, генерация трафика при помощи scapy в целях отлова бага.

    Почему не баш/пауэршелл?
    Проще было написать один раз на python и запускать где необходимо.
    Ответ написан
  • Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?

    @throughtheether
    human after all
    внутри сети нельзя подключаться по RDP к серверу по доменному имени (по внешнему IP тоже),
    Насколько я понимаю, нужно копать в сторону NAT,
    Вам поможет Hairpin NAT.
    Ответ написан
  • Каким образом при использовании свитча/коммутатора появляется нежелательная нагрузка на сегмент сети?

    @throughtheether
    human after all
    Свитч после первого включения составляет таблицу соответствия портов и mac-адресов устройств
    Да.
    с помощью broadcast
    Нет. Таблица соответствия MAC-адресов и интерфейсов заполняется при помощи наблюдения за трафиком. Для каждого входящего на интерфейс кадра/фрейма соответствующий MAC-адрес (если он "обычный", т.е. не мультикастовый/широковещательный) источника ассоциируется с интерфейсом.

    (отсутствует пара порт=mac-адрес --> рассылает пакет на все порты кроме отправителя). После составления таблицы он направляет пакет только на нужный порт.
    Да, в случае одноадресного (юникастового) трафика (подробнее см. ответ, который предоставил Руслан Федосеев ).

    2. Свитч рассылает входящий пакет по всем портам (broadcast domain), увеличивая нагрузку на сеть и хосты, поэтому он подходит для создания лишь небольших сегментов сети.
    Это верно для широковещательного (броадкастового, пример - ARP-запрос) и иногда для многоадресного (мультикастового) трафика. Или для одноадресного (юникастового) трафика, адреса назначения которого нет в таблице MAC-адресов (иногда ее называют CAM-таблица, по типу используемой памяти, content-addressable-memory или FDB, filtering/forwarding database), такое бывает при исчерпании CAM-ресурсов коммутатора.

    Чем, на мой взгляд, плохи растянутые L2-домены:
    1) широковещательный и, при неграмотной настройке, многоадресный трафик доставляется всем хостам. Это может привести к труднопрогнозируемой утилизации буферов и отбрасыванию пользовательского трафика. Кроме того, широковещательный трафик на сетевом оборудовании часто обрабатывается процессором, что может привести к его повышенной утилизации и отказу важных сервисов (маршрутизация и т.д).
    2) в случае L2-петли последствия затрагивают все хосты; один широковещательный фрейм может привести к самоусиливающемуся шторму, далее см. п. 1)
    3) фильтровать трафик в такой сети довольно затруднительно
    Ответ написан
  • Как подменить ip адрес?

    @throughtheether
    human after all
    Я прочитал что это можно сделать с помощью маршрутизации от источника, и в теории все просто, но как осуществить это на практике?
    Никак. Маршрутизация от источника использует IP options. Пакеты, содержащие IP options (в частности, LSRR/SSRR), рекомендуется по умолчанию фильтровать (BCP186, например), что и происходит в действительности.

    Для вашей задачи подойдет использование пула прокси-серверов.
    Ответ написан
  • Будет ли клиент пинговать другого клиента при такой конфигурации?

    @throughtheether
    human after all
    Собрал топологию на GNS3:
    12c059e9ce9540babb8b669f8177e91e.png
    По первому вопросу:
    Будет ли клиент пинговать другого клиента с адресом 10.45.18.194 и почему?
    Да, пинги проходят:
    ClientA#ping 10.45.18.194 repeat 10
    
    Type escape sequence to abort.
    Sending 10, 100-byte ICMP Echos to 10.45.18.194, timeout is 2 seconds:
    !!!!!!!!!!
    Success rate is 100 percent (10/10), round-trip min/avg/max = 20/34/48 ms


    Теперь самое интересное. 10.45.18.194 отсутствует в таблице маршрутизации Клиента А, поэтому icmp-запросы до 10.45.18.194 инкапсулируются в Ethernet-фреймы с адресом назначения маршрутизатора провайдера (00ff.ffff.ffff). Маршрутизатор провайдера при этом декапсулирует IP-пакет с ICMP-запросом, инкапсулирует его в Ethernet-фрейм со своим адресом (00ff.ffff.ffff) в качестве адреса источника и адресом Клиента Б (00bb.bbbb.bbbb) в качестве адреса назначения (это подтверждается дампами трафика). Клиент Б, получив ICMP-запрос, формирует ответ, отсылает ARP-запрос для определения MAC-адреса Клиента А (т.к. IP-адрес Клиента А находится в той же "подсети", что и адрес Клиента Б), и отсылает ответ непосредственно ему.

    В отличие от обычной ситуации (когда при отстутствии ARP-записей теряются 1-2 пинга), в данном случае генерируется 3 ARP-запроса (Клиент А определяет MAC-адрес маршрутизатора провайдера, маршрутизатор провайдера определяет MAC-адрес Клиента Б, Клиент Б определяет MAC-адрес Клиента А), соответственно первоначально теряются 3 пинга.

    Клиент на маршрутизаторе меняет конфигурацию интерфейса на такую:
    Interface e0/0
    Ip address 10.45.18.15 255.255.255.128
    Ip address 10.45.19.15 255.255.255.0 sec
    No shutdown
    !
    Будет ли адрес 10.45.19.15 присутствовать в ARP таблице маршрутизатора провайдера?

    Во-первых, если просто назначить адрес и не генерировать никаких ARP-запросов, то, естественно, маршрутизатор провайдера просто не узнает о наличии такого адреса. Во-вторых, если сгенерировать, например, gratuitous arp reply (деактивировав и снова активировав интерфейс, shutdown, no shutdown), маршрутизатор провайдера получит ARP-пакет (т.к. ARP распространяется широковещательно), но вполне может не принять его во внимание, учитывая отсутствие маршрута до 10.45.19.0/24 через входящий интерфейс:
    ISP#sh arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.45.18.5              -   00ff.ffff.ffff  ARPA   FastEthernet0/0
    Internet  10.45.18.15            24   00aa.aaaa.aaaa  ARPA   FastEthernet0/0
    Internet  10.45.18.194           22   00bb.bbbb.bbbb  ARPA   FastEthernet0/0
    ISP#
    *Mar  1 01:24:18.735: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
    *Mar  1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
    *Mar  1 01:24:18.739: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
    *Mar  1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
    ISP#sh arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.45.18.5              -   00ff.ffff.ffff  ARPA   FastEthernet0/0
    Internet  10.45.18.15             0   00aa.aaaa.aaaa  ARPA   FastEthernet0/0
    Internet  10.45.18.194           23   00bb.bbbb.bbbb  ARPA   FastEthernet0/0


    Таким образом, экспериментальные ответы на ваши вопросы таковы:
    1) да, пинги проходят
    2) нет, ARP-записи не будет

    Я лично полагаю, что практика (хотя бы такая) - лучший критерий истины. Другое дело, что тот, кто будет проверять ваши ответы, может считать по-другому.
    Ответ написан
  • FDB таблица на 500 записей, будет flooding, forwarding или filtering при подключении 600 абонентов?

    @throughtheether
    human after all
    flooding
    Да, при отправке фрейма с MAC-адресом назначения, не поместившимся в FDB (их всего примерно 100), фрейм будет скопирован во все порты (кроме того, на который он первоначально пришел).
    forwarding
    Да, при отправке фрейма с MAC-адресом назначения, находящемся в FDB, фрейм будет направлен только в соответствующий порт.
    filtering
    Не уверен, что именно подразумевается под этим термином. Если некая ACL-фильтрация, то ей в данном контексте проявиться негде. С другой стороны, коммутатор иногда называют фильтрующим мостом (FDB, между прочим, это filtering database), но и в этом смысле я не вижу причин для фильтрации (т.е. ни специальной фильтрующей записи в FDB, ни получения фрейма с MAC-адресом назначения A на порт, с которым этот адрес ассоциирован).

    В любом случае, вам лучше проконсультироваться с учебными материалами.
    Ответ написан
  • Как на самом деле передаются биты по сетевому кабелю?

    @throughtheether
    human after all
    Как на самом деле передаются биты по сетевому кабелю?
    В честь первого апреля открою вам страшную тайну, а в случае нашествия апологетов ISO/OSI ("на физическом уровне биты, потому что так написано в стандарте/Олифере") скажу, что это шутка.

    Биты по кабелю не передаются. Их вообще в компьютере нет. Их нет на экране - там пиксели, их нет на жестком диске - там намагниченность поверхности, их нет в оперативной памяти - там заряд конденсатора. Биты (байты) - это абстракция, упрощающая разработку протоколов взаимодействия устройств. Вместо того, чтобы требовать "при падении интенсивности излучения менее такого-то порога подать на выход такое-то напряжение", оперируют битами и байтами (хотя люди, разрабатывающие трансиверы/PHY, этой роскоши лишены).

    Итак, биты по кабелю не передаются, по кабелю (точнее, в среде) передаются сигналы. Каждому типу среды - свой сигнал. В электрическом кабеле сигнал представляет собой изменение тока или напряжения во времени. В оптоволоконном - изменение интенсивности излучения во времени. При передаче при помощи радиоволн - изменение напряженности электрического и магнитного полей или же наведенного в антенне тока во времени.

    Далее, при помощи различных видов модуляции (modulation, keying) можно поставить в соответствие группу бит (абстрактных двоичных циферок, придуманных для удобства) некоему "кусочку" (иногда используют термин "чип", "chip") сигнала определенной формы. Допустим, биты 00 представляются как напряжение +5 вольт в течение установленного периода, 01 - +2.5 вольт, 10 - -2.5 вольт, 11 - -5 вольт. Если при этом в этот же период на кабель наведена внешняя помеха или другой трансивер передает по этой же линии, то напряжения просто-напросто сложатся (например, будет +5.1 вольт вместо +5). Тогда перед принимающим трансивером встает задача - из наблюдаемого сигнала сложной формы извлечь и обработать установленный паттерн. Это к вопросу "как один и тот же проводник одновременно может иметь напряжение и не иметь?". Более того, некоторые трансиверы отправляют сигналы по тому же каналу и в то же время, что и принимают (1000BASE-T, по-моему), то есть в кабеле наблюдается "каша" из двух передаваемых сигналов одновременно, что решается путем применения различных DSP-алгоритмов. Именно поэтому, если не ошибаюсь, нет внятного способа снять дамп трафика с гигабитной Ethernet-линии на витой паре при помощи пассивного устройства.

    Если что-то непонятно объяснил или остались еще вопросы, готов пояснить.
    Ответ написан
  • Как обеспечивается балансировка нагрузки?

    @throughtheether
    human after all
    Для начала хотелось бы отметить, что, на мой взгляд, логичным представляется разделять понятия балансировки (load balancing) и разделения (load sharing) нагрузки. Вкратце, балансировка нагрузки подразумевает некую обратную связь (чем меньше нагрузка сервера, к примеру, тем больше вероятность, что следующий запрос будет обработан именно им), в отличие от разделения нагрузки.

    Рассмотрим поверхностно, как происходит взаимодействие клиента с web-сервисом. Клиент обращается по некому URL, происходит разрешение доменного имени в IP-адрес (момент 1). Далее, необходимо установить TCP-сессию с хостом, представленным этим адресом (момент 2). Для этого IP-пакеты, содержащие TCP-сегменты, должны добраться до этого хоста (момент 3). После установления TCP-сессии в ней идет обмен HTTP-сообщениями (момент 4).

    В точке (1) возможно как разделение (DNS round-robin), так и балансировка нагрузки (специфичные DNS-решения, отслеживающие метрики производительности серверов). В точке (2) возможны балансировка/разделение нагрузки при помощи NAT или TCP-проксирования. В точке (3) возможно разделение нагрузки при помощи BGP anycast, equal-cost multipath или CARP/VRRP (в порядке уменьшения уровня абстракции архитектуры, если можно так выразиться). В точке (4) возможны балансировка/разделение нагрузки при помощи reverse proxy.

    Эта же модель частично применима и при взаимодействии, скажем, веб-сервера с сервером баз данных и прочая.

    Примерно таким образом можно распределить нагрузку на большое количество серверов. Но необходимо понимать, что при этом, в зависимости от сферы применения, встает ряд других задач, как, в частности, консистентность состояния серверов.
    Ответ написан
  • Как установить тип кадра Ethernet II на windows 7?

    @throughtheether
    human after all
    Как же установить тип кадра Ethernet II на windows 7 ?
    Без него одно приложение отказывается работать...
    Можете уточнить модель сетевого адаптера, название приложения и текст ошибки?
    Вы проверяли, что ваш адаптер шлет 802.3 кадры, а не Ethernet II (это можно сделать при помощи wireshark)?
    Ответ написан
  • Почему IP-камеры кладут сеть?

    @throughtheether
    human after all
    или просто широковещательным траффиком локальную сеть забили?
    Думаю, не широковещательным, а многоадресным (multicast), но это нюансы.
    Ответ написан
  • Почему 100Mbps, а не 1Gps на интерефейсе?

    @throughtheether
    human after all
    Покажите вывод с коммутатора:
    show int gi3/28 status
    sh run int gi3/28
    Покажите настройки сетевой карты (дуплекс, скорость, mdi/mdi-x).
    Почему винда показывает скорость в 100Mbps?
    Возможные причины: некорректные настройки, проблемный патч-корд, проблемные трансиверы (маловероятно, но возможно).
    Как сделать гигабитку?
    Определить и устранить причину такого режима работы оборудования.
    Ответ написан
  • Существует ли язык (DSL) для определения структуры сети?

    @throughtheether
    human after all
    Слышал (но не использовал) про YANG/NETCONF. Посмотрите, может, вам подойдет.
    Ответ написан
  • Как поймать багу при пробросе портов между роутерами?

    @throughtheether
    human after all
    Проверьте настройки безопасности на роутерах (иногда это называется application layer gateway, ALG).
    Проверьте правильность подключения (wan-порт роутера 2 подключен в lan-порт роутера 1).
    Проверьте адресацию.
    Ответ написан
  • Можно ли сдать экзамены сертификации специалистов CCENT, CCNA, CCDA, etc... если подготовиться самостоятельно и не обучаясь в академии?

    @throughtheether
    human after all
    Наверное в специализированных академиях CISCO готовят специалистов более тщательно и знают тонкости вопросов?
    Не уверен.
    Наверное в таком случае качество подготовки курсанта для экзамена более высокое?
    Опять же не уверен.
    Как реально сдать на сертификацию CISCO без спец. обучения и образования, занимаясь только самообучением и самопрактикой?
    Вполне реально, но важно понимать, что во-первых, знания и навыки, проверяемые на сертификационном экзамене, составляют лишь часть навыков, которые могут вам потребоваться для выполнения рабочих обязанностей, а во-вторых, присутствия даже этих знаний и навыков наличие сертификата не гарантирует.
    Ответ написан
  • Реально ли подготовить себя для сисадминства, если этим только увлекаешься, а не работаешь профессионально?

    @throughtheether
    human after all
    И можно ли таким образом прокачаться до нормального сисадмина, поднатаскаться и сдать экзамены CCENT, CCNA, CCDA, CCNP, CCDP,
    Можно.
    CCIP,
    Уже неактуален.
    CCIE, CCDE,
    Думаю, при соответствующей упертости и финансовых возможностях можно, но смысл сдавать CCIE, а тем более CCDE, не имея опыта практической работы, от меня ускользает.
    CCAr
    Думаю, нет.
    Ответ написан