Лига Сисадминов

146 постов 3941 подписчик
показывать просмотренные посты
108
Как работает Kerberos 5 в картинках
20 Комментариев в Лига Сисадминов  

Несколько дней назад я просвещалась (в очередной раз) по какой-то теме, связанной с AD. Поскольку AD работает с Kerberos, захотелось понять, как он работает. То есть, в общих чертах понятно: можно не обмениваться секретными ключами в открытом виде. Есть посредник - сервер аутентификации. Но когда я начинала читать описание этапов обмена, я через пару абзацев теряла нить повествования. В таких случаях я рисую процесс.

Ну и вот что получилось. Сразу скажу, основной материал из вики + добавлены несколько пропущенных этапов. Картинки повеселее и (на мой взгляд) понятнее.

Как работает Kerberos 5 в картинках системное администрирование, Kerberos, аутентификация, paint, длиннопост
Показать полностью 1
341
Tor повышает анонимность и производительность своего браузера
43 Комментария в Лига Сисадминов  
Tor повышает анонимность и производительность своего браузера tor, тор, анонимайзеры, IT, защита информации, интернет

На этой неделе было объявлено о серии улучшений браузера Tor с добавлением в него новых функций. Все эти улучшения должны сделать Tor более безопасным инструментом.

Существует множество заблуждений относительно ПО Tor и тех, кто его использует. Многие автоматически предполагают, что любой, кто использует Tor, посещает темную сеть. Тем не менее, подавляющее большинство людей, использующих Tor, делают это для доступа к обычным веб-сайтам.

Команда проекта в сотрудничестве с Symposium Technologies Enhanced поставили своей целью повышение устойчивости к анализу трафика – этот метод часто используется для идентификации пользователей Tor. Усиление способности браузера к противодействию отслеживания должно привести к тому, что в будущем будет намного сложнее деанонимизировать луковые службы.

Протокол Tor переключается на новую систему с использованием криптографических ключей эллиптической кривой, таких как Ed25519. В настоящее время протокол продолжает полагаться на первые 80 бит SHA-1 1024-битного ключа RSA.

Хотя до сих пор это работало достаточно хорошо, система немного устарела. Учитывая прогресс, достигнутый в области квантовых вычислений, настало время придумать улучшенные решения, которые бы гарантировали дополнительную конфиденциальность для всех пользователей.

Дальнейшие изменения включают отладку настроек целевых активных узлов сети для конкретных луковичных услуг. Это будет сделано посредством улучшения дизайна каталога скрытых сервисов, функционирующего аналогично DNS для обычного интернета. Нынешнее использование узлов HSDir слишком предсказуемо для разработчиков. Решение этой проблемы является для анонимайзеров основным направлением на ближайшие месяцы и годы.

Возможно, наиболее интригующими среди новых функций являются различные модели развертывания. Пользователи Tor теперь смогут при желании жертвовать конфиденциальностью местоположения для повышения производительности и масштабируемости. Этот метод уже использовался такими сервисами, как Facebook, для сокращения времени загрузки.

Источник:
https://themerkle.com/major-improvements-are-coming-to-the-t...

Перевод:

https://bitnovosti.com/lenta/comment-page-262/#comment-17614...

4792
Выключите и включите компьютер
121 Комментарий в Лига Сисадминов  

- Что делать, если админ плохо работает?

- Попробуйте уволить и принять обратно.

5451
Благодаря знаменитому пакету, локальный бэкап скоро будет не нужен
136 Комментариев в Лига Сисадминов  
Благодаря знаменитому пакету, локальный бэкап скоро будет не нужен
3824
Замена жесткого диска от производителя
256 Комментариев в Лига Сисадминов  

По счастливой случайности оказался на руках жесткий диск небезызвестной марки WD, размером в 1TB;

Был установлен для резервного копирования на сервере небольшой организации. Проработав с год в таком режиме перестал полностью определяться. Вспомнил про гарантию от WD(описано на гиктаймсе), решил проверить на честность производителя.


Имеем:

- Жесткий диск 1ТБ Green - срок гарантии 2 года;

- Отсутствие каких либо чеков о его покупке ¯\_(ツ)_/¯;


Краткая инструкция:

- Регаемся на westerndigital.secure.force.com;

- Подаем заявку на RMA(присваивают номер);

- Упаковываем хард, распечатываем на листе код RMA и несем в транспортную компанию;

- Отдаем ТК 500р. за доставку по адресу, указанному в заявке RMA(Оренбург - Москва);


Через 3 недели получаем звонок от курьера, который приносит совершенно новый жесткий диск свежей серии.

Вывод: программа замены жестких дисков в России от WD работает!

3616
Шальные бабки айтишников))
248 Комментариев в Лига Сисадминов  
Шальные бабки айтишников))
1278
Обсуждение модерского системного блока
47 Комментариев в Лига Сисадминов  
Обсуждение модерского системного блока
853
Пустота
13 Комментариев в Лига Сисадминов  

Из всех историй, случавшихся со мной в службе технической поддержки, больше всех мне запомнилась, своей мрачной трагичность и безысходностью следующая:

Звонок в техподдержку, пользователь описывает проблему:

П(пользователь): Добрый день, у меня проблема с компьютером, я нажимаю на ярлык, ввожу свой логин и пароль и все.

ТП(техподдержка): Что все?

П: Все, дальше ничего не происходит.

ТП: Хм... Так, а что вы сейчас видите на экране?

П: (выразительно и печально) Пустоту....


К слову. Пользователь в филиале работал на терминальном сервере в центральном офисе, и в результате кратковременного обрыва связи его сессия зависла и стала показывать черный экран. Нужно было просто закрыть ее сессию. Но эту печаль и безысходность в голосе бедной пожилой женщины я не забуду никогда.

3444
Троллинг от Sony
161 Комментарий в Лига Сисадминов  

Есть в смартфонах сони (не удивлюсь, что в других тоже, просто дело было с сони), в галерее такая штука. Называется "лучшие моменты вашей жизни", или что-то в этом духе. Смартфон обрабатывает снимки, сделанные за неделю/месяц, и под милую романтическую музыку показывает вам слайд-шоу.

Каждый гребаный раз мой смартфон выбивал у меня скупую мужскую слезу, когда я брал его в руки, открывал галерею, нажимал "Лучшие моменты этой недели", и он под милую музыку показывал мне фото серверных шкафов с разных ракурсов, наклейки с серийниками на свичах, сетевые розетки, пару фоток монитора, когда лень делать скрин и так далее. В конечном итоге я решил, что не могу больше так страдать, и отдал смартфон жене, а себе взял простенький Рнилирс, который просто молча переваривает сделанные мной фотки, а не стебется каждый раз над моей "насыщенной приключениями жизнью")

1512
Google Noto – новое семейство бесплатных шрифтов, охватывающее более 800 языков
65 Комментариев в Лига Сисадминов  
Google Noto – новое семейство бесплатных шрифтов, охватывающее более 800 языков Google, шрифт, бесплатные шрифты, IT

Стремясь дать людям из разных уголков мира более простой и удобный способ создания и обмена информацией на родном для них языке, компания Google создала Noto – огромное open-source семейство шрифтов, которое покрывает 110 систем письма более чем на 800 языках и включает свыше 110 тысяч знаков. То есть, его вполне можно считать всемирным. В нем не пропущен ни один из символов, заложенных в системе Юникод.

Своей название – Noto – проект берет от фразы «No more tofu», которая является отсылкой к борьбе компании Google c пустыми символами в виде белых прямоугольников (‘⯐’), которые на профессиональном сленге называют «tofu» из-за схожести с кубиками соевого сыра. Эти символы появляются, когда в шрифте, который используется, отсутствуют символы, необходимые для отображения необходимых знаков (букв, иероглифов и т. д.). Шрифты Noto обеспечивают визуальную гармонию текста на разных языках/письменностях и являются полностью бесплатными.

Скачать шрифты можно здесь:
https://www.google.com/get/noto/

2586
Про собеседования в ИТ
1170 Комментариев в Лига Сисадминов  

Работаю в ИТ, периодически специалисты в филиалах уходят и требуется подобрать новых сисадминов. Подозреваю, что нас кроют последними словами те, кого мы собеседуем, вот хочется прояснить немного свою позицию.


Приходят люди наниматься на работу системным администратором, им начинаешь задавать вопросы, а они отвечают что-то типа «это всё теория, я её может не очень хорошо знаю, но на практике вы мне дадите задание и я всё настрою». Так вот, это херня.


Если вы не можете сказать, зачем нужна маска подсети, что такое «шлюз по умолчанию» и первый раз слышишь о таблице маршрутизации, то, честное слово, вы не справитесь. Вам ни о чем не скажут слова «у вас сеть такая_то/16 на филиал, по допофисам рулите сами», вы не поймете, почему нет доступа куда-то именно с этого компа и т.д.


Можно ли поднять в одной локальной сети 2 DHCP-сервера, обоснуйте ответ. Опять, «ну это теория, так то я подниму». Да-да, пройти мастер и нажать три раза «далее» и обезьяна сможет, не спорю. Но у тех, кто не может ответить на этот вопрос нет понимания, как работает DHCP. Именно у них идут конфликты IP-адресов, именно они не могут всем массово поменять DNS-сервер. Для них откровение, что можно передать ЕЩЁ какие-то настройки. А если, внезапно, нужно поднять DHCP не на винде и там нет мастера, который заботливо задаст вам все вопросы, то всё – тушите свет.


Обжим кабеля по цветам наизусть. Мы всё понимаем, век мобильного интернета и доступности информации (особенно, в отдаленном пункте на Ямале/Чукотке и т.д. *sarcasm*), но у вас в резюме «монтаж ЛВС/СКС» и опыт 2 года. Вы, извините, по листочку два года обжимали? 20 патчиков и вы никогда этого не забудете, проверено.


Камень преткновения. Хаб и свич. К сожалению, не догадались сразу записывать, а то бы можно было издать юмористический сборник «Отличие хаба от свича. 50 укуренных мыслей». Основной аргумент, что хаб – устаревшее оборудование и им никто не пользуется, потому и знать о нём не надо. И всё бы так, если бы кто-то из тех, кто приводит этот аргумент смог бы сформулировать, чем же всё-таки занимается свич (то есть, что он делает, как именно и нафига вообще нужен). Зачем?

- Я заблокировал ресурс А на роутере, а на него всё равно все мои пользователи попадают.

- Ресурс А находится в той же локальной сети, что и пользователи?

- Да

- Всё отрабатывается на канальном уровне, через роутер этот трафик вообще не проходит

- Ну они ж по IP заходят

И начинаешь рассказывать человеку, как свич работает, что такое ARP-таблица и прочую «теорию».


Мы всё понимаем, любую информацию можно нагуглить. Но как человек предполагает этим заниматься, если не понимает, о чем идет речь? Гуглить «курс по сетям для чайников»? А почему почему бы не сделать это до собеседования? А я знаю, что будут делать в итоге – звонить мне и говорить «сломалось/настройте/не понимаю, сделайте». И никто так и не выяснит, нафига же айпишнику нужна маска…


Раньше у нас были лайтовые собеседования – вопросы из разряда «Знаешь это? –Знаю». и никакой конкретики, никакой «теории». Регулярные звонки из филиалов с элементарными вопросами. Админ даже локализовать проблему не может. И если вы думаете, что не было инструкций и лекций, то вы ошибаетесь. Есть и «мануал начинающего админа» и «трактат о сетях для самых начинающих». Просто их никто не читал (ё-моё, 15 страниц с картинками, где ж тут успеть!). Года два назад мы стали практиковать «жесткие» собеседования и сейчас стало натурально лучше. Народ может решить проблемы самостоятельно, иногда лучше/быстрее нас. И ещё одна закономерность: те, кто смог ответить на «теоретические» вопросы, читает мануалы и инструкции. Совпадение? Не думаю.


И да, мы не задираем планку там, где зарплата меньше средней в ИТ по региону. Но хоть немного ориентироваться в теме необходимо, чтобы мы не летали в этот регион в командировки каждые пару месяцев и не висели на телефоне с одними вами весь день. Просто десяток-полтора статей по теме можно же было прочитать за 5-10 лет админства, которые указаны у вас в резюме. Для ответа на 7 из 10 вопросов этого хватит, а 7 – это очень крутой показатель.


Надеюсь, что кому-то это прояснит ситуацию, кого-то сподвигнет прочитать тот самый десяток статей.


P.S.: пост по теме ИТ первый, будет ли еще – не знаю. Подозреваю, что сильный интерес тема не вызовет.

Показать полностью
1374
Unix повсюду
134 Комментария в Лига Сисадминов  

А потом будут ставить на машины генту и делать ебилд спидометра, потому что в основном дереве его не будет)

Unix повсюду машина, unix, toyota
966
Делая систему для упорядочивания и контроля IT отдела (тестовый раздеЛ)
58 Комментариев в Лига Сисадминов  
Делая систему для упорядочивания и контроля IT отдела (тестовый раздеЛ)
59
Когда сисадмин опаснее спецназа
1 Комментарий в Лига Сисадминов  

и Джона Макклейна)

Когда сисадмин опаснее спецназа Комиксы, сисадмин, юмор, аптайм
1439
Не забудьте поздравить того парня когда придете в офис
132 Комментария в Лига Сисадминов  
Не забудьте поздравить того парня когда придете в офис день сисадмина, с праздником

Коллеги, с праздником

189
Когда бэкап надо сделать любой ценой
39 Комментариев в Лига Сисадминов  

Картинка не моя, но в практике был такой же случай. Приходит коллега с домашним хардом, рассказывает, что в компе два диска, один с системой, второй, который у него в руках, с данными. Говорит перестал видеться компьютером, а данные там важные. От семейного архива фотографий, до текущих рабочих проектов. Проведя ряд тестов над диском, мы смекнули, что дело плохо. Пока происходит загрузка компа - диск лихо перегревается, и системой уже не определяется. Единственный возможный вариант слить инфу - заморозить. Сказано - сделано. Fubca с воткнутым в нее хардом засунута в корпоративный холодильник, проводом воткнута в ноут рядом с ним. Решение помогло. 70% данных мы скопировать смогли, потом диск все равно перестал определяться, но человек был доволен и тем, что удалось спасти.

Когда бэкап надо сделать любой ценой HelpDesk, жесткий диск, резервное копирование, данные, холодильник, длиннопост
Когда бэкап надо сделать любой ценой HelpDesk, жесткий диск, резервное копирование, данные, холодильник, длиннопост
Показать полностью 2
310
Администрирование #04. DHCP.
33 Комментария в Лига Сисадминов  

Предыдущая часть тут.

Прошу прощение за долгое отсутствие. Я поняла, что в моём man'е по DHCP написано прискорбно мало и решила полностью его переписать.

В данном посте я буду идти от сильного упрощению к менее сильному упрощению, и в конце приближусь к правде, мне кажется, это логичнее, чем сразу углубляться в протокол.


Для начала, что делает DHCP (Dynamic Host Configuration Protocol – протокол динамической настройки узла). С помощью этой штуки сетевые устройства могут получать IP-адрес и другие сетевые настройки автоматически. Работает этот протокол по клиент-серверной модели. В самом общем случае это выглядит так:


Клиент-всем: Дайте мне кто-нибудь настройки!

Сервер-клиенту: Держи, я тут сервер, вот настройки: «настройки». Тебе норм?

Клиент-серверу: Ага, «настройки» подходят, ништяк.

Сервер-клиенту: Пометил у себя, «настройки» записаны на твоё имя.

Клиент /сам с собой/  уф, применил «настройки», кажись пошел трафик.


Еще раз – это упрощение. На каждом этапе могут возникнуть свои нюансы и мы часть из них разберем. Пока о том, зачем это нужно: ведь есть статическое назначение адресов (и других настроек). На сегодняшний день, на мой взгляд, причина «во-первых» - это то, что для присвоения статических настроек надо хоть что-то знать о сетях, то есть – домохозяйка с роутером пролетает. Ну и причина «во-вторых», которая на самом деле наиболее важна – это автоматизация и централизация сетевой настройки. Круто, когда у вас 5 компов и в сети статика. Потом их станет 15 и появится файлик с адресами. Потом их становится 100… и в один непрекрасный момент срочно понадобится сменить DNS сервер или шлюз по умолчанию. И если на DHCP вы правите это в одном месте и настройки распространяются автоматом, то тут вы будете ходить и править сто компов руками (вас в процессе четвертуют скорее всего). К тому же, DHCP ведет за вас свой виртуальный «файлик» и не выдаст случайно одинаковые адреса разным хостам. В-третьих, это возможность выдавать адрес «на время», например, на неделю или на час. Вы же не будете каждому посетителю своего интернет-кафе прописывать адрес вручную и записывать в файлик. А так, адрес выдался автоматом, через час освободился и может быть выдан другому.


Для работы сервера выделяется некоторый пул (pool) – диапазон адресов, которые DHCP-сервер может раздавать клиентам.


Существует протокол, его описание и куча его реализаций на различных устройствах. Я не буду рассматривать каких-то конкретных реализаций – все они придерживаются единого формата.


Как видно из примера диалога выше, общение клиента и сервера разбито на несколько этапов-сообщений. В DHCP есть следующие типы сообщений: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRELEASE, DHCPINFORM. Клиент и сервер общаются по протоколу UDP (у сервера порт 67, у клиента 68).


Эти сообщения выглядят в общем случае так: в шапке всякая важная мура из разряда кому, от кого, идентификаторы и всё такое, а в конце пачка опций. Вот эти опции и есть те настройки которые клиент запрашивает, а сервер выдаёт. Кому интересны подробности (а они правда интересны и важны), почитайте rfc2131.


На первом этапе клиент рассылает всем в локальной сети широковещательное сообщение на MAC-адрес FF:FF:FF:FF:FF:FF.

Отступление: Если у вас есть специальный сервер перенаправления запросов DHCP-relay, то сообщение может уйти и за пределы локальной сети.

Это сообщение DHCPDISCOVER. Тут возникает один нюанс: бывает так, что клиент «чистенький» - у него не было адреса, а бывает так, что у него был какой-то IP адрес и он говорит «неплохо бы повторить, если можно, бро». Во втором случае в список опций добавляется «requested IP address» с желаемым IP. Из важного в DHCPDISCOVER указывается ID транзакции (он будет одинаковым для всей цепочки обмена сообщениями) и идентификатор клиента (он должен быть уникальным в локальной сети, так что чаще всего это MAC).

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост
Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

В ответ все DHCP-серверы, до которых дошел запрос, присылают свои предложения DHCPOFFER тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF. Это происходит в том случае, если желаемый IP НЕ указан (о том, что происходит, когда указан – будет ниже). Клиент из них выбирает наиболее приглянувшееся (чаще всего по принципу «кто раньше прислал – того и тапки»). Сервер же, прежде чем прислать адрес, проверяет (протокол не обязывает, но настоятельно рекомендует), что адрес ещё не занят. В этом сообщении указывается уже предлагаемый IP, предлагаемые параметры и известен адрес-идентификатор сервера.

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Подробнее про то, как выглядят остальные сообщения DHCP в Wireshark можно посмотреть в посте из соседней лиги. Или запустить wireshark дома.


Клиент, когда выбрал предложение, посылает DHCPREQUEST тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF, но с идентификатором сервера в соответствующем поле.


Сервер, если ничего криминально не случилось и адрес всё ещё свободен, посылает клиенту (всё так же широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF) DHCPACK с настройками и помечает у себя адрес выданным. Уникальный идентификатор клиента и выданный IP-адрес однозначно идентифицируют DHCP-lease – так называемую аренду IP адреса. Если же адрес в процессе успел стать занятым, то клиенту посылается DHCPNACK с отказом и всё идёт заново.


Клиент получает сообщение DHCPACK с настройками, может сделать финальную проверку на занятость адреса и применяет эти параметры. С этого момента клиент сконфигурирован (и у вас пишется в винде «сеть1: подключено»).


Общая схема еще раз:

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Когда клиент заканчивает работу, например, при выключении интерфейса, он посылает серверу сообщение DHCPRELEASE о том, что адрес свободен – можно пользоваться.


Вернёмся к DHCPDISCOVER и ситуации, когда мы просим выдать адрес, который у нас уже когда-то был. Rfc говорит нам, что в этом случае сервер сразу присылает DHCPACK (если адрес не помечен за кем-то другим) или DHCPNACK (если вы прошатались в отпуске месяц и адрес ушел к другому). Причем проверка на конфликты (пинг на всякий случай) ложится на клиента.

На самом деле, сколько ни ловила, так такую ситуацию и не поймала. У меня на DHCPDISCOVER с предпочитаемым IP в ответ приходил "Неправильный" DFCPOFFER на конкретный адрес. Подозреваю, что это ловился ipconfig /renew.


Если клиент обнаруживает, что с адресом что-то не в порядке, он посылает серверу DHCPDECLINE.

Немного о времени аренды IP-адреса. Это время в секундах, оно относительно, а потому не требует синхронизации времени между сервером и клиентом. То есть «забрать адрес через 3600 секунд» и без разницы, что у вас локаль Камчатки, а у сервера Москвы. Время аренды надо выбирать сообразно задачам – чтоб и адреса не кончались и слишком большой нагрузки на сервер не было. Интернет-кафе – час, дома – месяц, на работе – неделя, например. А еще есть время, через которое IP-адрес можно перезапросить, не отдавая его. Оно должно быть меньше времени аденды, тогда никто не захапает ваш адрес, пока ваш комп онлайн.

Теперь об опциях. Чаще всего, это DNS сервер, шлюз по умолчанию, ntp-сервер. А может быть куча всего – на это даже отдельный rfc2132 есть. У нас, например, такие.

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Бывает еще такая вещь, как резервации (reservations). Это не когда индейцев ограничивают, а когда адрес добавляют к резервированию. Некоторые lease’ы запоминаются (админ указывает, какие именно). То есть, пара MAC-IP становится постоянной. Это позволяет получить статические адреса внутри пула, которые клиенты тем не менее получают по DHCP.

P.S.: Тема очень обширна, можно добавлять и добавлять. Но мне хотелось выдержать баланс между пересказом rfc и "DHCP для домохозяек".

Показать полностью 5
385
Администрирование #03. VLAN.
54 Комментария в Лига Сисадминов  

Первая часть

Вторая часть

VLAN — Virtual Local Area Network

Сегодня мы поговорим про эту полезную вещь. Очень многие о ней слышали, но не все из них представляют, что это такое зачем оно нужно.

Основные термины:

Сетевая топология — способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

Физическая топология — описывает реальное расположение и связи между узлами сети.

Логическая топология — описывает хождение сигнала в рамках физической топологии.


Общая идеология:

VLAN переводится как «виртуальные локальные сети». Эта штука работает на канальном уровне модели OSI. Она позволяет делать

1) Локальную сеть, физически состоящую из нескольких железок (aka коммутаторов), но которая видится как сеть, в которой одна многопортовая железка.

2) И наоборот, на одной железке можно уместить несколько сетей так, что они не будут видеть друг-друга. Как будто мы попилили коммутатор на несколько маленьких свитчиков.

3) Комбинацию из 1 и 2:

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

То есть, мы можем создавать логическую топологию сети не зависимо от физической топологии.

Тут надо отступить чуть в сторону. Никто не запрещает вам создать несколько локальных сетей без всяких VLAN и компы из одной сети будут видеть друг-друга (см. картинку ниже)

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

На картинке выше комп с адресом 172.16.1.1 вполне увидит комп 172.16.1.2 без всяких дополнительных настроек. Также как и все компы с адресами из сетки 192.168.1.0/24 увидят друг друга. Но все эти компы из обеих сетей будут находится в одном широковещательном домене (в изначальном смысле этого термина – второй уровень модели OSI). То есть, все широковещательные запросы (например, DHCP), направленные на MAC-адрес FF:FF:FF:FF:FF:FF попадут на все порты. А вот если вы разделите сеть на VLAN’ы, то у вас будет свой широковещательный домен на каждый VLAN.

Когда и зачем это нужно:

1) Когда вы создаёте 50 локальных сетей на 47 коммутаторах, то есть когда ваша сеть начинает загибаться под массой широковещательных запросов. Например, как говорят учебники, сеть общежития. Советую прочитать про broadcast storm

2) Когда вы параноик хотите защититься от arp-spoofing атак

3) Когда вы сталкиваетесь с IP-телефонией и моделью подключения комп-телефон-свич (то есть, 2 устройства на одном порту и нужно разделать их трафик). Телефонию в принципе принято выносить в отдельный VLAN не зависимо от типа подключения телефонов. В общем случае, когда на порт приходит по некоторым признакам разный трафик, который не должен смешиваться. Например, интернет, телефония и некоторый прямой канал с дружественной фирмой от провайдера.

4) Когда вы хотите развести всех этих людей по подсетям. Бухи налево, юристы прямо, маркетологи направо. Может, им не стоит видеть друг друга в целях безопасности, кто знает?


Как всё происходит: на устройстве создается VLAN, в него добавляются порты, которые в этот VLAN входят. Порты бывают тегированные и нетегированные. Тег – это некоторая метка (число), которая идентифицирует принадлежность трафика к VLAN. Помечать трафик нужно, когда в одном проводе передается трафик нескольких VLAN’ов (см. картинку).

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

Здесь :

VLAN1 — зеленый, в него входят порты 1, 7, 12, 14, 16 на switch1 и порты 1, 3, 4, 7, 8, 9, 11, 15 на switch2.

VLAN2 — синий, в него входят порты 3, 4, 6, 8, 9, 11, 13, 15, 16 на switch1 и порты 2, 5, 8, 13, 14, 16 на switch2.

VLAN3 — красный, в него входят порты 2, 5, 10, 16 на switch1 и порты 6, 8, 10, 12 на switch2.

Можно было бы соединить свитчи тремя патч-кордами (пунктирные линии) по одному на каждый VLAN, но не всегда это возможно и здорово (например, когда ваши свитчи расположены на разных этажах или когда VLAN’ов много, а свободных портов мало).

Сейчас свитчи соединены патч-кордом, который воткнут в 16 порт на первом свитче и в 8 порт на втором. Чтобы по нему могли ходить пакеты всех трёх VLAN'ов и не перемешиваться, патч-корд должен быть воткнут в тегированные порты. Порты 16 на первом и 8 на втором свитче — тегированные, каждый из них принадлежит всем трём VLAN'ам (также говорят и наоборот – три VLAN есть в этих портах). На входе в эти порты метка ставится (если нету), но на выходе не снимается.

Порты, помеченные одним цветом — нетегированные, в них нет меток, так как метки внутри одной сети не нужны. То есть, метка на входе в порт снимается (если есть) и на выходе не ставится.

Обычные пользовательские компьютеры воткнуты в одноцветные порты и знать не знают про всю эту муть - всем управляет коммутатор (заботливо ставит метки, если трафик надо запихнуть в трехцветный провод и снимает метки, если надо отдать данные компу - чтоб бедняга не мучился). Linux умеет понимать VLAN'ы (при вашем желании), некоторые сетевухи с правильными дровами под виндой тоже. Но по умолчанию всё отдается коммутатору.


И вот у вас несколько VLAN’ов, все счастливы, но друг друга сети совсем не видят. А надо. Чтобы настроить между ними маршрутизацию, нужен (тссс!) маршрутизатор. Ну или хотя бы L3-switch.

Пара ссылок с красивыми картинками от cisco: раз и два.


По просьбам трудящихся подписчиков несколько команд:

VLAN на компе с Debian:

Можно настраивать с помощью vconfig или с помощью ip link.

Создать VLAN на интерфейсе eth0. Имя VLAN'a – eth0.80, оно по-хорошему должно быть именно в таком формате: интерфейс.тег, ну и тег тут 80, уже понятно:

# ip link add link eth0 name eth0.80 type vlan id 80

# ifconfig eth0.80 up

Добавить IP:

# ip a a 172.16.1.1/24 dev eth0.80


VLAN на D-Link:

Создать VLAN с названием 45 и тегом 45:

# create vlan 45 tag 45

Добавить нетегированные порты с 8 по 11:

# config vlan 45 add untagged 8-11

Добавить тегированный порт 14:

# config vlan 45 add tagged 14

Удалить 10 порт из VLAN:

# config vlan 45 delete 10

Посмотреть информацию о VLAN:

# show vlan


VLAN на Cisco

У Cisco тегированные порты называются транковыми (trunk), а нетегированные native. Предупреждение: vlan 1 занят под native vlan. Также на коммутаторах cisco есть interface vlan1, который является интерфейсом управления – на него назначаете IP, чтобы заходить на свичи по сети

создать VLAN:

# vlan 2

# name vlan2

Добавить тегированные порты:

# config vlan2 add tagged 2,25

# exit

Изменить что-то с VLAN'ом:

# interface vlan2

добавить IP:

# ip address 10.1.2.1 255.255.255.0

Чтоб перевести порт в тегированный режим:

$ conf t

# interface fa0/24

# switchport trunk encapsulation dot1q

# swichport mode trunk

Разрешить VLAN'ы 1 и 2:

# switchport trunk allowed vlan 1,2

Включение нетегированного VLAN'а:

# switchport trunk native vlan 1

Режим по умолчанию, в этом порту не может быть тегированных пакетов:

# interface fa0/1

# switcport access vlan 1


В рамках cisco еще полезно ознакомиться с протоколом VTP.


Ну и напоследок: не стоит наслушавшись цискокурсов или начитавшись статей пилить свою сеть на VLAN’ы, если вы не понимаете, зачем вам это надо. Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться (это моё личное мнение).

Показать полностью 3
204
Пока юзер не мамонт
17 Комментариев в Лига Сисадминов  

Для начала всех причастных к 256 дню - с праздником!

Повеселил сейчас бухгалтер. У меня говорит фигня какая-то происходит. Работаю, работаю - отвернусь или выйду из кабинета, а там бац - "Превышено время простоя сеанса. Сеанс был отключен". Я говорит на минуточку отвлекусь и все. И так говорит постоянно. К слову в настройках терминала стоит - отключение неактивного через 30 минут. Хронометр бухгалтера видимо хромает.

350
Seagate выпускает последнее поколение 15k HDD, поскольку они не выдерживают конкуренции с SSD
192 Комментария в Лига Сисадминов  
Seagate выпускает последнее поколение 15k HDD, поскольку они не выдерживают конкуренции с SSD SSD, HDD, IT, компьютер, жесткий диск

Наступает тот момент, когда даже самые производительные жесткие диски, занимавшие узкую нишу, уступают место SSD.

Seagate объявила о том, что шестое поколение накопителей Enterprise Performance 15K HDD v6 станет последним, из-за того, что даже самые скоростные специализированные жесткие диски уже не выдерживают конкуренции с SSD. В будущем Seagate начнет предлагать в качестве накопителей для критически важных задач именно твердотельные диски.

Для сравнения, шестое поколение Enterprise Performance 15K HDD v6 может предложить объемы размером лишь 300 ГБ, 600 ГБ и 900 ГБ и скорость передачи информации (гарантированную) от 315 МБ/с до 215 МБ/с (в зависимости от того, расположены данные в центре или на краях пластин).

Показать полностью 1


Пожалуйста, войдите в аккаунт или зарегистрируйтесь