Сети

Последние несколько лет одним из направлений в моей деятельности является приведение ЛВС и систем видеонаблюдения к порядку. Во время становления и развития многих организаций, развитие локальной сети происходило не системно, а по мере необходимости. Т.е. прокладка проводов установка серверов, камер видеонаблюдения и роутеров происходило постепенно без какого либо плана, или проекта. В результате, спустя 5-7 лет вся ЛВС предприятия представляла собой что то типа Москвича 412 – пошевелишь провода, перезагрузишь сервер или роутер и все работает в течении дня или часа. Чаще всего, постоянного специалиста (обычно это системный администратор) обслуживающего и руководящего развитием и работоспособностью сети нет, а отдельные работы производились отдельными людьми и заинтересованности в стабильной работоспособности сети у них не было (пробросили провода, воткнули камеру или точку доступа, PING идет, картинка есть, да и ладно). В результате чего “серверная” представляла собой, в лучшем случае, стол на котором стоит все активное оборудование и клубок проводов за ним.

Чаще всего я приходил на эти предприятия по заявкам о неисправности работы камеры, или сетевого принтера. Но после небольшого обследования причина нестабильной работы была видна невооруженным глазом.

Практически все руководители и собственники предприятий согласны были с тем что нужно все приводить в порядок и просили посчитать смету. На начальном этапе цена пугала всех. И многие откладывали решение проблемы, до первых конфликтных ситуаций (чаще всего это были ситуаций– остановилась работа на кассе на день, или украли товар со склада а камера не записала), где собственник нес не малые убытки. И мы снова возвращались к вопросу стабильности работы, а соответственно и приведению системы к порядку. Но нужной суммы чаще всего, сразу было тяжело найти (не у всех). По этому, некоторым мне приходилось расписывать план постепенной модернизации.

Процесс модернизации на действующем предприятии – не простая работа. Необходимо спланировать и выполнить все этапы так, чтобы работы на предприятии не останавливались. Большую часть работ я выполнял днем, но переключение оборудования или пере прокладка (наращивание) проводов, приходились на вечерние и ночные работы (самое важное, чтобы утром все работало так же как и вечером предыдущего дня).

Многие проблемы вскрывались сразу, как только я распутывал клубок проводов. Пережатые провода, некачественная обжимка, скрутка проводов, вздутые конденсаторы на блоках питания, перегруженные блоки питания, не надежные соединения, пыль, перегрев и т.д.

Результат нашей работы был всегда заметен, по мимо основного эффекта – улучшения стабильности работы, появлялась эстетичность упорядоченность. На некоторых предприятиях сотрудники менялись в лицах, уходила нервозность.

После того как я наводил порядок в серверной, наступало время наводить порядок в программном обеспечении. Но это уже другая история.

ДО

ПОСЛЕ

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ДО

ПОСЛЕ

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ДО

ПОСЛЕ

Увольнение работника всегда сопряжено с трудностями и тонкостями, особенно в компаниях, где трудоустройство полностью официально. Я имею в виду увольнение по негативным обстоятельствам. Ну там прогул, пьянка и т.д.

Если нарушитель сознателен - тут, конечно, будет достаточно придвинуть к нему лист бумаги, и сказать: пиши заявление на увольнение.

А если сотрудник несознателен? Не выходит на работу, нарушает инструкцию, и в глаза смеется, дескать и чего ты мне сделаешь?

Да, все инструкции говорят: при прогуле составляй акт о невыходе сотрудника, бери с него объяснительную, при нежелании писать объяснительную составляй акт об отказе писать объяснительную, выноси выговор, один, второй, и потом на основании этих документов сразу уволим разгильдяя!

Но на деле так увольняют работников крайне редко, ибо очень сложно соблюсти все условности и не влететь потом на проверку трудовой инспекцией. Трудовая инспекция, как известно, в большинстве случаев становится на сторону работника.

Работодатель заплатит штрафы, а неправильно уволенного сотрудника запросто восстановят в своей должности.

Поэтому все стараются уволить сотрудника, убедив, что так ему будет лучше. Подтолкнуть его к самостоятельному решению.

Некоторые сети поступают и так: хитрому и наглому работнику, который прогуливает и нарушает все, что можно говорят примерно так: "Чувак, мы все равно тебя уволим по букве закона, хоть ты и знаешь все подводные камни, и будешь вставлять палки в колеса, но потом ты новую работу будешь искать весьма долго - с учетом наших рекомендаций-то".

И, что характерно, большинство соглашается.

Ну, возможно понимая, что в городах с населением от миллиона, обычно сотрудники службы безопасности компании, через которых обязательно проходит любой кандидат на трудоустройство, знают друг друга и общаются, как по долгу службы, так и по старой работе - МВД

Хуже дело обстоит с так называемой "оптимизацией", читай - сокращением штатов. В Магните впервые я столкнулся с этим в 2008 году, в кризисные годы. Я называл это мягкой оптимизацией.

Директива сверху была такой: мы никого принудительно не сокращаем/выгоняем, у нас происходит органическая оптимизация, т.е. просто не закрываем вакансии магазинов, приводя численность штата к требуемому. С учетом текучести кадров весь процесс, если ничего не путаю, занял месяца три.

В X5 ритейл груп с сокращениями-оптимизациями было попроще. Есть распоряжение сверху - "соптимизировать штат в трехдневный срок" - "будет сделано!".

Думаете сокращали с выплатой всех окладов по закону? Мой знакомый, правдолюб, правдоруб, знаток трудового законодательства, начальник отдела в Карусели поделился следующей историей: — его ставку сокращают, предлагая должность с оплатой раза в 2 меньше - в Пятерочку, заместителем директора магазина. Он против, говорит: "не, не согласен, сокращайте по закону с выплатой полагающихся окладов".

Ему в отделе кадров отвечают: "хорошо, мы выплатим, но потом работу ты в этом городе - не найдешь (по причинам, описанным мною выше), так что иди-ка в Пятерочку".

Мой друг (умнейший, кстати, человек) чешет репу, и соглашается на Пятерочку. Сразу.

И да, конечно же события вымышлены, все совпадения случайны

Кому не интересно, можно сразу переходить к блоку «как лечить».

Симптомы:

Итак, ранним осенним утром внезапно отвалились почти все сервисы для одного из филиалов. Симптомы: один пинг проходит и дальше «тишина». Иногда может пролететь еще 1 icmp, но редко. При повторном запуске пинга даже одного пакета уже не пролетает, если не выдержать паузу в несколько минут. Отвалились не все сервисы, но большинство.

Та часть схемы сети, которая нас интересует:

Понятно по схеме, что грешить сразу стали на красный ящик WatchGuard Firebox, но на нём явно никаких блокировок в логах не обнаружено. Поэтому коллега пока пускал трафик до самых важных сервисов в обход, а я ставила WireShark на то, что не столь нужно вот-прям-щас.

Что происходит:

Итак, что показал WireShark:

А показал он нам, что после первой же пары request/reply нам прилетело от Watchguard сообщение ICMP redirect (type 5; code 1), в котором сказано примерно следующее «братюнь, да что ты мне своими реквестами отвечаешь, я тут посмотрел – у меня есть более крутой маршрут для этого хоста – шли всё на шлюз 10.77.10.254».

Вот тут и дошло до меня, что ICMP – это не только пинги, но и «Internet Control Message Protocol». Из вики: «ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя». Далее, собственно, request по-прежнему приходит с WatchGuard, а reply уходит на D-Link. При этом, на сервере есть статический маршрут в сеть 10.97.0.0/16 (через 10.77.10.3), а системе строго срать на этот маршрут! Всё потому, что на самом деле при получении сообщения redirect, маршрут на хост (то есть более специфический) добавляется в таблицу маршрутизации на 10 минут. Но route print его не показывает. И не нужно гнать на винду: во всех debian были всё те же симптомы.

Почему это происходит:

Беда Особенность Watchguard, как и микротиков, что Site-to-Site IPSec не является интерфейсом, не участвует в таблице маршрутизации, и, соответственно, маршруты на сеть за поднятым туннелем вы в ней не увидите. На нашем ватче был маршрут 10.0.0.0/8 на 10.77.10.254, так как за D-Link находятся все остальные филиалы (агрегированные по /16 каждый), чтоб не писать маршрут на каждый филиал (их 50, а динамической маршрутизации нет). Из-за особенностей Watchguard получилось так, что на 10.97.0.0/16 маршрута он не видел. Раньше, кстати, всё было ок до последнего обновления прошивки.

Почему некоторые сервисы и все компы были доступны: на них стоял касперский с сетевым модулем, который отбрасывал эти сообщения как небезопасные.

Что было сделано и не помогло:

Попробовали задрать метрику на маршруте 10.0.0.0/8 на WatchGuard – не помогло. Попробовала сделать правило фильтрации по типу ICMP и блочить эти сообщения – не помогло, через это правило трафик с сообщением редиректа не проходил.

Ну и были перечитаны кучи мануалов по отключению редиректа на WatchGuard – ничего рабочего не нашлось.

Как лечить в итоге:

На линухе лечится тремя командами (2 чтоб прям вот сейчас, одна, чтоб прям вообще).

Запрет приёма редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects=0

Запрет отправки редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.send_redirects=0

И чтоб вообще:

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Ну и может networking рестартануть, делала машинально.

При этом редиректы продолжают падать, но эффекта не оказывают:

На винде правится параметрами реестра, но эффекта до перезагрузки не оказывает (даже если выключить-включить сетевой интерфейс). Параметр в ветке

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

называется EnableICMPRedirect и выставляется в 0. По некоторым советам гугла (про Windows 2000 простихосподи), добавляла еще EnableICMPRedirects (во множественном числе). НО! После ребута сообщения redirect на машинах с исправленном параметром вообще не регистрируются WIreShark’ом, что меня несколько смутило (а вдруг вернутся?). Ну и ребутать over 100 серваков – такая себе идея.

Так что в итоге убрала маршрут 10.0.0.0/8 и добавила вместо него два:

10.0.0.0/10 и 10.64.0.0/11 – получились все сети от 10.0 до 10.95 включительно, а 97-ая, как видите, не вошла, что нас в принципе устроило. Проблема ушла.

То, что обычно пишут в начале поста:

Предыдущий мой пост на ИТ тематику был более 2 лет назад.

Чуть раньше этого я познакомилась на пикабу с классным чуваком, а полтора года назад мы поженились. Сисадмин и программист – норм сочетание оказалось =)

Я попробовала писать на хабр (мне даже одобрили аккаунт за тот пост), но мне не понравилось – на пикабушечке и аудитория поживее и можно не так цензурить текст.

А ещё наш офис вместе с серверной, которая уже стала мини-ЦОД для компании два раза за два года переехал. Если кому интересно – напишите в комментах, могу сделать пост о том, как происходит такой переезд, что мы планируем на каких этапах и т.д. На идеал не претендуем, происходит та ещё трешанина, но рассказать могу.