ВНИМАНИЕ!
Наша конференция посвящена космической тематике и компьютерным играм.
Политические вопросы и происходящие в мире события в данный момент на нашем сайте не обсуждаются!
|
| » Сетевое администрирование. | страница 1 |
  |
Страница 1 из 1
|
|
|
|
|
Железный канал: «Сетевое администрирование.» |
|
|
|
Paranid Parazite
 547 EGP
  
Рейтинг канала: 1(6)
Репутация: 131
Сообщения: 1676
Зарегистрирован: 04.10.2003
   |
|
Хочу стать хокаге сетевым администратором.
В общем, жизнь сложилась так, что по работе за мной закреплено некое сетевое оборудование (да и остатки типа корпоративной сети), но оно простаивало уже несколько лет из-за отсутствия специалистов по нему. Так и передавали "по наследству" для галочки.
Но так продолжаться не могёт, и я хочу таки научиться этим добром пользоваться. Пригодится.
* С серверными технологиями я не знаком вот вообще. Извиняюсь за возможное плохое владение терминологией и глупые вопросы, но пока я даже не знаю, что гуглить.
* Есть некоторые ограничения в связи с режимом на объекте, то есть, местами будет пометка "Так Надо™".
* По этой же причине "для всех" Интернет строго ограничен определённым десятком компьютеров, но я же сам себе хозяин там и могу попробовать запилить что-то более удобное  . Но лучше не рассчитывать на то, что прямо везде я смогу провести Интернет, легко обновить любой софт, в любое время зайти удалённо и т.д. Подробнее - в п. 5
*... При этом маски-шоу исключено 
Ну, поехали.
|
Оборудование (кликните здесь для просмотра)
* Сервер на шасси HP Blade System c7000. В нём:
8 7 блейдов с какими-то процессорами HP (если надо, потом укажу точнее), и со странно указанными то ли 16, то ли 32 ГБ ОЗУ каждый (типы указаны отдельно в характеристиках).
8 терабайтных винчестеров.
Встроенная консолька с USB и VGA- разъёмами, которую можно подключать к чему угодно.
Стоит в специальном помещении, но несколько на отшибе от основного массива помещений, между ними нет прямой связи, т.к. сервер "учебный". У него есть джва компьютерных класса, которые завязаны в сеть (были, пока система не пришла в негодность).
* В той же стойке ещё один сервер, без блейдов, просто как "плоский системник".
Сейчас на нём стоит CentOS (так надо), я хотел использовать его в качестве шлюза для интернета, пока не обнаружил...
* ... Коммутатор CISCO. Оказывается, шлюз можно настроить на Циске, а не просто втыкать в него витухи, чтобы соединить компы в сеть
* Собственно, модем ADSL. Может раздавать вай-фай, но тут есть нюансы - см. "ЗАДАЧИ" 
* Ещё одна точка доступа Wi-Fi. Вы будете смеяться, но я не знаю, где она физически. Возможно, где-то под гипсокартонной стеной... Ловится отлично в помещении, где сервак, и на пару десятков метров по всему зданию.
Серьёзно, хз. Но я выполнил один квест, и в мои лапы попал детектор излучений... Просто пока не было времени долбаться с ним.
Я её, сцуко, найду.
* Ещё один сервак, который выглядит, как два "малых сервера" выше -- "плоские здоровые системники". Не имеет консоли и Циски, только хаб для витых пар.
16 ГБ ОЗУ, процессор 2х2.2 ГГц, 2х1 ТБ винчестер.
Вот на этот сервачок я хочу обратить особое внимание, потому что он, вопреки логике, должен быть "главным" (так надо).
* Считайте, что бесконечный запас витых пар (правда, основная часть почему-то 6-и жильная), свичей.
* Планшеты под Windows-10, Android и iOS. В научно-учебных целях, конечно.
|
|
Немного лирики (кликните здесь для просмотра)
Когда у меня дошли руки влезть во всё это, я почувствовал себя каким-то долбаным сталкером в постапокалипсисе.
Рылся по тетрадке одного из бывших одменов, там среди прорвы непонятно зачем нужных логинов и паролей таки удалось найти логин/пароль от одного блейда.
Я вообще не понимал, как это работает, но там просто чётко было указано, что с любого компа компьютерного класса надо зайти в VmWare (точнее, vSphere), прописать такой-то айпи и такие-то данные.
По аналогии я сумел наконец получить доступ ко всем блейдам.
Блейды голые, только на одном стояла ОС Windows Server 2008, загаженная старыми установками виртуалок, которые не работали, не менялись и вообще, выглядели непонятно. Тетрадка тоже не помогла.
Нагуглил, как вообще с ЭТИМ работать. Оказывается, тут устанавливать систему надо не с флешки, а с ISO-образа... Ну, прекрасно! Сумел поставить тот же WS 2008.
Побегал по помещениям, подвигал шкафы, понаходил коммутаторы. Провода валялись и так, местами объединяя просто несколько компов через свич.
Пошерудил с проводами -- теперь у меня несколько кабинетов в сети друг с другом, но они все входят в вышестоящую сетку (все дороги ведут в один коммутатор), в которую мне лезть совсем не нужно. Ничо, разберёмся...
|
ЗАДАЧИ
Помещений много, здание одно, этажа три.
Начну с самого важного:
1) Создать сеть таким образом, чтобы все компы могли обмениваться файлами через файлообменник на одном из серваков (в идеале, на обоих серваках). При этом начальство хочет, чтобы были отдельные домены для разных подразделений и доверительные отношения между ними, но мне тут уже подсказали, что лучше сделать разделение подсетями.
1.1) Сделать DHCP-сервер, чтобы не надо было при переустановке системы или замене компа всякий раз настраивать сеть.
1.2) Сделать так, чтобы наша сеть была невидима для вышестоящей сети, то есть, как-то сделать шлюзом тот сервак, который второй (менее крутой, зато физически стоящий на пути к коммутатору "вышестоящей" сети). Да и провода лежат уже.
2) В компьютерном классе, где стоит первый (продвинутый) сервак, надо поднять Windows Deployment System, чтобы в этом классе можно было быстро и безболезненно возвращать систему к исходному состоянию, что бы с ней ни наделали всякие гремлины
3) Есть ряд компов (под XUbuntu, если важно), которые подключены к Интернету (компы в этом же учебном классе->Хаб->Модем).
Так быть не должно, требуют внести в схему шлюз под CentOS и настроить SQUID, который бы раздавал лично всем логин и пароль для пользования Интернетом. (Так надо)
То есть, чтобы Сквид показывал, какой юзер в какое время входил в Интернет. Для этого, я так понимаю, надо по мере необходимости каждому юзеру создавать учётную запись в Сквиде, и он будет заходить строго под ней с любого из этих компов.
4) (ХОТЕЛКА) Что-нибудь полезное с вай-фаем можно сделать, кроме банальной раздачи интернета на очень экстренный случай? (почему экстренный -- потому что "Не положено" и "Так надо". Обычно Вайфай выключен).
Например, заходить через планшет под Windows-10 и настраивать блейды через ту же VSphere, сидя на другом этаже? Или совершая звонок по IP-телефону со смартфона на телефон в кабинете (Asterisk -- слышал такое слово)? Или... Ну, просто чё добру пропадать?
5) (ХОТЕЛКА) Сделать вообще непалевный доступ в Интернет, чтобы он определённым образом включался и выключался дистанционно (хаб для компов с интернетом сейчас отдельный, но можно проводом-"коротышом" соединить его с другими хабами и даже Циской, которая сейчас выполняет функцию, опять же, хаба).
Чтобы можно было, например, зайти RAdmin`ом на сервер, что-то включить -- и инет раздавался бы куда-то ещё.
6) (ВОПРОС) Есть 8-и жильный провод, который ведёт транзитом через один кабинет в соседний, в свич. Надо подключить в тот же свич провод из этого кабинета. Прокладывать второй провод параллельно "транзитному" как-то немного влом. Как можно вклинить провод? Если тупо обрезать его, разделить 8-и жильный кабель на 2х4, то получится подключить два компа вместо одного? Если да, то какие ограничения это накладывает на такой "сегмент сети"?
7) (ХОТЕЛКА) Видеонаблюдение.
Любое, лишь бы непалевное, но удобное. Ограничение -- только USB-камеры (потому что они дешёвые и простые в установке). Костыльность системы зайдёт вообще любая, хоть вывод USB-камеры через специальный удлинитель (USB-витуха-USB) на сервер и мониторинг коридоров через RAdmin к серверу
Извиняюсь, что написано немного сумбурно, но я действительно знаю о сетевых технологиях только как юзер, а о серверных не знаю вообще.
Может, у кого есть конкретные практические примеры реализации каждой из этих задач и хотелок?
Или кто может посоветовать, где подробно разжёвано по шагам что-нибудь по теме?
Или есть какие-то советы, методы работы, которые мне вообще не пришли в голову?
Мне, собссна пригодится любая информация. Но, желательно, без штудирования книг -- тут не всегда удаётся за рабочий день вообще добраться до железа.
_________________
I load lead inside my engine—lead and alcohol © Vacuum |
|
|
|
Гарри Портер
 263 EGP
Рейтинг канала: 3(49)
Репутация: -70
Сообщения: 4750 Предупреждений: 1
Откуда: Раттус такой взялся?
Зарегистрирован: 11.11.2013
|
|
Ты бы начал с того, что тебе в данный момент наиболее важно - это наверное поднять домен и дхцп сервер. А по мере решения одной задачи плавно переходить к другой.
_________________
55.811115, 51.724584 |
|
|
|
AnrDaemon
 864 EGP
    
Рейтинг канала: 8(796)
Репутация: 37
Сообщения: 12322
Зарегистрирован: 17.10.2004
|
|
| Paranid Parazite : |
|
отдельные домены для разных подразделений и доверительные отношения между ними, но мне тут уже подсказали, что лучше сделать разделение подсетями.
|
Это несвязанные вещи.
Домен лучше один на организацию, внутри домена можно рулить правами доступа как угодно.
Кстати, домен, скорее всего, уже есть - посмотри внимательно на то, что там понаставлено.
| Paranid Parazite : |
|
1.1) Сделать DHCP-сервер, чтобы не надо было при переустановке системы или замене компа всякий раз настраивать сеть.
|
Делай.
| Paranid Parazite : |
|
1.2) Сделать так, чтобы наша сеть была невидима для вышестоящей сети, то есть, как-то сделать шлюзом тот сервак,
|
Не стоит так торопиться. Совсем не стоит.
Начни с того, что прочитай на морде циски её номер и загугли, что это вообще за зверь. Скорее всего, это именно то, что тебе нужно.
И начинать надо именно с окучивания кошки и разделения сетей.
| Paranid Parazite : |
|
2) В компьютерном классе, где стоит первый (продвинутый) сервак, надо поднять Windows Deployment System, чтобы в этом классе можно было быстро и безболезненно возвращать систему к исходному состоянию, что бы с ней ни наделали всякие гремлины
|
При наличии лицензий на весь зоопарк - тривиально.
| Paranid Parazite : |
|
4) (ХОТЕЛКА) Что-нибудь полезное с вай-фаем можно сделать, кроме банальной раздачи интернета на очень экстренный случай? (почему экстренный -- потому что "Не положено" и "Так надо". Обычно Вайфай выключен).
|
Дерьмо от жёлтой курицы. Железо должно работать или быть проданным.
Вайфай это просто способ передачи информации между хостами, такой же, как провода, только хуже. Наладишь нормальную работу сети - вайфай будет просто вишенкой на торте. RADIUS сервер и авторизацию через AD.
| Paranid Parazite : |
|
6) (ВОПРОС) Есть 8-и жильный провод, который ведёт транзитом через один кабинет в соседний, в свич. Надо подключить в тот же свич провод из этого кабинета. Прокладывать второй провод параллельно "транзитному" как-то немного влом. Как можно вклинить провод? Если тупо обрезать его, разделить 8-и жильный кабель на 2х4, то получится подключить два компа вместо одного? Если да, то какие ограничения это накладывает на такой "сегмент сети"?
|
Это что за бред?…
Короче, слушай команду.
Идёшь к завхозу, стряхиваешь с него поэтажный план здания, делаешь копии на самый большой доступный формат (вплоть до А0, поверь, я не шучу…) и начинаешь вдумчиво наносить на него абсолютно все кабеля, розетки, хабы - ВСЁ!
Каждый кабель прозваниваешь и маркируешь с обоих концов. Чтобы подойти к щитку, ткнуть пальцем - и знать, куда что идёт. Маркировка должна быть не просто "222", а как можно больше говорить с ходу, без елозенья пальцем по плану здания в поисках "а куда же этот конец идёт?", но и слишком растягивать тоже не стоит.
| Paranid Parazite : |
|
Ограничение -- только USB-камеры
|
Не надо е…ть мозг ни себе, ни людям. Бери нормальные IP камеры, либо не затевай эту дурь вообще.
_________________
Люблю свободный полёт... :)
Последний раз редактировалось: AnrDaemon (16:30 06-08-2018), всего редактировалось 1 раз |
|
|
|
Diff
708 EGP
Рейтинг канала: 8(861)
Репутация: 44
Сообщения: 4179
Откуда: Сферическая Земля в вакууме.
Зарегистрирован: 04.07.2003
|
|
| Paranid Parazite : |
|
Или кто может посоветовать, где подробно разжёвано по шагам что-нибудь по теме?
|
По какой теме-то? Я в твоем посте увидел только один конкретный вопрос - "что бы эдакого сделать с вайфаем". Но вряд ли это твоя самая насущная проблема.
Тебя интересует как dhcp поднять? Так напиши хотя бы под какой осью ты собираешься это делать - из поста непонятно даже, центось у тебя там или ws2008.
| Paranid Parazite : |
|
надо по мере необходимости каждому юзеру создавать учётную запись в Сквиде, и он будет заходить строго под ней с любого из этих компов.
|
Это можно сделать, но невозможно поддерживать. Юзера будут забывать пароли и приклеивать их к мониторам. Они будут забывать разлогиниться и будут ходить под учетками друг друга. И все это будет твоей головной болью. А потом начальство захочет, чтобы пароли регулярно менялись и тогда АДЪ наступит окончательно и бесповоротно.
_________________
Конец света в конце тоннеля |
|
|
|
AnrDaemon
864 EGP
Рейтинг канала: 8(796)
Репутация: 37
Сообщения: 12322
Зарегистрирован: 17.10.2004
|
|
| Diff : |
|
Это можно сделать, но невозможно поддерживать. Юзера будут забывать пароли и приклеивать их к мониторам.
|
Социальные проблемы техническими ухищрениями не решаются.
Прилепленные на бумажках пароли докладываются начальству, подчинённым вставляется фитиль и штраф за нарушение информационной безопасности организации.
_________________
Люблю свободный полёт... :) |
|
|
|
Diff
708 EGP
Рейтинг канала: 8(861)
Репутация: 44
Сообщения: 4179
Откуда: Сферическая Земля в вакууме.
Зарегистрирован: 04.07.2003
|
|
Всем этим заниматься интересно только при наличии запущенного синдрома вахтера.
_________________
Конец света в конце тоннеля |
|
|
|
AnrDaemon
864 EGP
Рейтинг канала: 8(796)
Репутация: 37
Сообщения: 12322
Зарегистрирован: 17.10.2004
|
|
Давай не будем обсуждать синдромы? Задачи ставит начальство, и оно же обеспечивает условия их выполнения. Не нравится? Увольняйся.
_________________
Люблю свободный полёт... :) |
|
|
|
Voha
 942 EGP
   
Рейтинг канала: 9(1062)
Репутация: 169
Сообщения: 4977
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
| Paranid Parazite : |
3) Есть ряд компов (под XUbuntu, если важно), которые подключены к Интернету (компы в этом же учебном классе->Хаб->Модем).
Так быть не должно, требуют внести в схему шлюз под CentOS и настроить SQUID, который бы раздавал лично всем логин и пароль для пользования Интернетом. (Так надо)
То есть, чтобы Сквид показывал, какой юзер в какое время входил в Интернет. Для этого, я так понимаю, надо по мере необходимости каждому юзеру создавать учётную запись в Сквиде, и он будет заходить строго под ней с любого из этих компов.
|
Есть законодательно установленное требование идентификации пользователя в случае предоставления публичного доступа в интернет, факт.
Удовлетворить этому требованию можно десятком общепринятых и бесконечным множеством извращенных способов, "шлюз под CentOS и настроить SQUID" совершенно необязательны.
Сначала ты вместе с руководством [и юристом] определяете схему идентификации пользователя - по номеру мобильного, по паспортным данным, еще как-то. В зависимости от выбранного способа строится решение. Если паспорт - то можно раздавать пользователям логин/пароль и делать прокси с парольной авторизацией на том же центосе и сквиде. Если мобила - ищи открытые решения по сочетанию "captive portal", их есть.
Вайфай можно прицепить к тому же центосю+сквиду или captive portal'у и раздавать через него публичный интернет с идентификацией (на планшеты с вин10 или куда попало).
_________________
Time will show... |
|
|
|
Paranid Parazite
547 EGP
Рейтинг канала: 1(6)
Репутация: 131
Сообщения: 1676
Зарегистрирован: 04.10.2003
|
|
| AnrDaemon : |
|
Домен лучше один на организацию, внутри домена можно рулить правами доступа как угодно.
|
Угу, вот примерно такого уровня инструкции я находил в интернетах, когда искал настройку сервера с нуля. "Берёшь и делаешь".
Как именно -- "как угодно"? Есть специальный софт, или прямо средствами винды? Откуда это вообще делается -- через сервер для всей сети или с любого компа при админском доступе?
Шаманить с IP-адресами (распихивать разные помещения в разные подсети) не надо?
| AnrDaemon : |
|
При наличии лицензий на весь зоопарк
|
Не паримся этим вопросом. Просто довольно геморно носить софт с торрентов. Такая специфика места, где всё это происходит.
| AnrDaemon : |
|
Железо должно работать или быть проданным.
|
Не мой вариант; это железо должно быть -- а что им никто пользоваться не умеет, это уже наша проблема
| AnrDaemon : |
|
Это что за бред?…
|
Не бред, а вопрос из основ сетевых технологий, в которых я чайник. Я (уже ) знаю, что куда проложено, и вот частный случай. Схематично: есть два компа, дальний включен в коммутатор, ближний - нет, а надо бы. Кабель проложен сквозь дыру в полу, вторую делать не хочется. Можно что-то сделать с жилами витухи и посадить на один порт коммутатора два компа?
| AnrDaemon : |
|
Бери нормальные IP камеры
|
Вот с этим вопрос решился, "совет племени" согласен, что это намного лучше.
Чё-т прямо как будто с Харлеем поговорил
| Diff : |
|
из поста непонятно даже, центось у тебя там или ws2008.
|
По-моему, вполне понятно...
На сервере - WS2008
На шлюзе (если буду его делать вот так, а не освою работу с Циской) - CentOS
На компах для интернета, подключенных через шлюз тупо к модему - XUbuntu.
У всех остальных юзверей - Windows всех мастей.
| Voha : |
|
Сначала ты вместе с руководством [и юристом] определяете схему идентификации пользователя
|
Воу-воу. У нас не всё так серьёзно.
Просто определённые проверяющие хотят видеть, что компы для интернета работают через шлюз; что разграничение доступа реализовано шлюзом же, а не просто логином системы на компе (то есть, сделать, чтобы один и тот же человек мог сидеть с любого компа под своим логином).
Что забудут логин-пароль - дело решаемое, вплоть до того, что каждый задаст себе пароль, я запишу в специальный блокнот и надежно спрячу. Главное, чтобы решалась задача: никто не должен иметь возможности сидеть в интернете иначе как с этих десяти компов, и иначе как под своей учётной записью. А, ну и по документом у них именно такое сочетание: Xubuntu->Шлюз под CentOS->Squid.
Я не говорю, что это лучший вариант, я говорю, что от меня требуют, чтобы вот это вот стояло
Но это для проверяющих. Они бывают редко и не лезут в дебри.
Поэтому я и думаю, что было бы хорошо найти способ сидеть в интернете в обход своего же Сквида. По той же причине я говорю, что вайфаем пользоваться нормально не получится: только "включил - влез что-то настроить - выключил".
Мне бы план действий какой-то придумать хотя бы.
А, ну и разобраться бы с сервером: сколько виртуальных машин надо, как они между собой взаимодействуют и чьими сетевыми адаптерами пользуются?
_________________
I load lead inside my engine—lead and alcohol © Vacuum |
|
|
|
Diff
708 EGP
Рейтинг канала: 8(861)
Репутация: 44
Сообщения: 4179
Откуда: Сферическая Земля в вакууме.
Зарегистрирован: 04.07.2003
|
|
| Paranid Parazite : |
|
На сервере - WS2008
|
Про dhcp на винде ничего не скажу. Но уверен, в тырнете полно инструкций.
| Paranid Parazite : |
|
Поэтому я и думаю, что было бы хорошо найти способ сидеть в интернете в обход своего же Сквида. По той же причине я говорю, что вайфаем пользоваться нормально не получится
|
Сделай просто скрытую SSID и пользуйся.
Можно еще на шлюзе сделать фильтрацию по маку, но это, кмк, довольно дурацкая идея.
| Paranid Parazite : |
|
сколько виртуальных машин надо
|
А для чего они вообще нужны? Сервисы разграничивать?
| Paranid Parazite : |
|
как они между собой взаимодействуют и чьими сетевыми адаптерами пользуются?
|
Пользуются адаптером хоста, но это тебя волновать не должно. Взаимодействуют так же, как и обычные машины.
_________________
Конец света в конце тоннеля |
|
|
|
AnrDaemon
864 EGP
Рейтинг канала: 8(796)
Репутация: 37
Сообщения: 12322
Зарегистрирован: 17.10.2004
|
|
| Paranid Parazite : |
|
Как именно -- "как угодно"? Есть специальный софт, или прямо средствами винды?
|
Будешь смеяться, но - именно что как угодно.
Да, есть как специальный софт, так и средства самой винды. В зависимости от того, чем предполагается рулить.
| Paranid Parazite : |
|
Шаманить с IP-адресами (распихивать разные помещения в разные подсети) не надо?
|
Зависит от поставленных задач и относится к другому уровню контроля, с доменом не связанному от слова "вообще".
| Paranid Parazite : |
|
что разграничение доступа реализовано шлюзом же, а не просто логином системы на компе (то есть, сделать, чтобы один и тот же человек мог сидеть с любого компа под своим логином).
|
Чо?… Это вообще-то совершенно разные уровни разграничения, друг с другом не связанные.
| Paranid Parazite : |
|
Можно что-то сделать с жилами витухи и посадить на один порт коммутатора два компа?
|
Можно поставить дополнительный коммутатор.
_________________
Люблю свободный полёт... :) |
|
|
|
Progressor
 140 EGP
Рейтинг канала: 3(26)
Репутация: 32
Сообщения: 221
Откуда: Border worlds
Зарегистрирован: 28.03.2005
|
|
Ты там живой еще или уже сисадмин? )
_________________
.::||::. |
|
|
|
|
|
|
|
|
Железный канал: «Сетевое администрирование.» |
|
|
| К списку каналов | Наверх страницы |
Цитата не в тему: У меня кончились оригинальные ответы на этот вопрос, придумайте сами что вам хочется. (Pegasus о дате запуска ЗВ)
|
| » Сетевое администрирование. | страница 1 |
|
