С тегами:

системное администрирование

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
182
Как работает Kerberos 5 в картинках
35 Комментариев в Лига Сисадминов  

Несколько дней назад я просвещалась (в очередной раз) по какой-то теме, связанной с AD. Поскольку AD работает с Kerberos, захотелось понять, как он работает. То есть, в общих чертах понятно: можно не обмениваться секретными ключами в открытом виде. Есть посредник - сервер аутентификации. Но когда я начинала читать описание этапов обмена, я через пару абзацев теряла нить повествования. В таких случаях я рисую процесс.

Ну и вот что получилось. Сразу скажу, основной материал из вики + добавлены несколько пропущенных этапов. Картинки повеселее и (на мой взгляд) понятнее.

Как работает Kerberos 5 в картинках системное администрирование, Kerberos, аутентификация, paint, длиннопост
Показать полностью 1
87
Восстановление удаленной папки на NAS с RAID-5
81 Комментарий в GNU/Linux  

НЕ было бы счастья, да  снова несчастье.

Имеется в моем хозяйстве NAS Thecus n16000pro , в нем 7 HDD *4 tb каждый  под raid 5, имелась на нем папка с общим доступом куда пишутся проект с серверов интерпретации и геофизической обработки, так вот один не хороший человек взял вчера и затер папку, бэкап этой папки есть 2х недельной давности, но там был свежий материал.

Суть боли такова:

1. отсутствие свежего backup по техническим обстоятельствам

2. Жизненная необходимость восстановления  2х папок  из удаленной

Мои предположения по решению: Вынимаю диски , втыкаю в тачку  гружусь в r-studio  и собираю виртуальный raid потом пытаюсь восстановить данные, пока был найден один диск  в массиве с переназначенными секторами и в умирающем немного состоянии, его я по секторно клонирую dd.

Кто нибудь бывал в подобной ситуации и как и какими средствами решал?

за свою жизнь 2  массива я так поднял рассыпанных но они были не из серии raid 5.

По ходу движений буду отписывать результаты сюда,

Кстати , всех с пятницей!

Восстановление удаленной папки на NAS с RAID-5 RAID, сисадмин, системное администрирование, Linux, восстановление, текст
30
Как объяснить, что ты не знаешь, как починить сломанный принтер
17 Комментариев  
Как объяснить, что ты не знаешь, как починить сломанный принтер Тыжпрограммист, системное администрирование

Сперто с ВК, сам я не админ

42
Позвони мне, Asterisk
22 Комментария в Лига Сисадминов  

Сегодня спросили, можно ли научить Asterisk звонить на определённый номер и зачитывать определённое сообщение.

Чтение документации выявило, что не просто можно, а очень даже просто.


Достаточно взять и написать файлик со следующим содержанием:

Channel: SIP/123

CallerID: "Робот Бендер" <000>

Application: Playback

Data: ru/demo-congrats

а затем просто скопировать этот файлик в /var/spool/asterisk/outgoing/


Всё, asterisk немедленно начинает звонить (и удаляет файлик после дозвона).


Теперь построчно разберём, что же там написано:

Channel: SIP/123

куда звоним. В данном случае — на внутренний номер. Можно звонить и наружу, в моём случае это будет выглядеть так:

Channel: SIP/mtt_out/79241122333.

CallerID: "Робот Бендер" <000>

От кого звоним. Работает по SIP-каналу, не работает через операторов.

Application: Playback

Играй, музыкант.

Data: ru/demo-congrats

Проиграть файл /var/lib/asterisk/sounds/ru/demo-congrats.wav (или другого подходящего формата, можно выложить в нескольких форматах, чтобы не озадачивать asterisk транскодированием).


Т.е., прикрутить оповещение к системе мониторинга или вообще к любому скрипту получается не просто, а очень просто.

Просто добавь воды скопируй файл.

34
Про сетевые хранилища
16 Комментариев в Лига Сисадминов  

Со времён, когда появился Dropbox и последующие его аналоги, меня дико раздражает необходимость синхронизации.

Нет, ну правда, если мне нужна синхронизация, я возьму Syncthing.

Поэтому (и ещё из-за ядра на PHP) OwnCloud у меня на домашнем сервере не прижился.


На работе довольно давно потребовалось какое-то решение, чтобы раздавать контрагентам файлы, причём довольно объёмные, до нескольких гигабайт.

Причём, чтобы были индивидуальные ссылки (а не так, что даёшь одну и 100500 человек потом ей пользуются), чтобы ссылки самоуничтожались по прошествии времени, чтобы пароли. Ну и, разумеется, чтобы пользовательская база в LDAP, не буду же я там пользователей руками заводить при живом-то домене.


Короче, по итогу я поставил SeaFile и все были довольны, пока днями мне случайно не напомнили про старую хотелку "удалённое файловое хранилище, видимое как сетевой диск, не WebDAV (потому что тормозной) и чтобы не пыталось засинхронизироваться мне на диск (но умело это делать)".


Так вот, разработчики SeaFile этот дикий список хотелок реализовали.

Про сетевые хранилища seafile, файловое хранилище, системное администрирование

Заодно оно умеет в версионирование (и скачать, разумеется, можно любую версию, а для текстовых посмотреть — в чём разница) и восстановление удалённых файлов, но кого сейчас этим удивишь?


Можно бы придраться к отсутствию фотогалереи (ну, раз есть мобильный клиент, умеющий копировать туда фото, вроде логично же?), но если честно, я предпочту меньше возможностей, но чтобы разработчики сделали их хорошо.


Хотя, если вам нужен полноценный такой комбайн, NextCloud выглядит неплохо.

26
Mikrotik. QoS для дома
24 Комментария в Лига Сисадминов  

Сегодня я хотел бы немного рассказать о приоритетах.

Mikrotik. QoS для дома mikrotik, QoS, системное администрирование, длиннопост

Статья не претендует на охват всей информации по QoS на Mikrotik. Это демонстрация набора правил, позволяющих настроить несложную схему приоритезации трафика и пополнять её по мере необходимости.


Надеюсь, коллеги помогут советами в комментариях.


Говоря о QoS, обычно подразумевают два направления — более или менее равномерное деление канала по количеству пользователей, либо приоритезацию трафика. Направления эти вполне дополняют друг-друга, но для дома, для семьи заниматься делением канала я смысла не вижу и, если вас интересует эта тема, сошлюсь на исчерпывающе раскрывающую тему статью «MikroTik QoS — развенчание мифов».


Я же сосредоточусь на приоретизации трафика, благо это несколько проще.


Ограничение скорости передачи данных может быть выполнено двумя способами:


1. Отбрасываются все пакеты, превышающие лимит скорости передачи (шейпер).

2. Задержка превысивших заданное ограничение скорости передачи пакетов в очереди и отправка их позже, как только появляется такая возможность, т.е. выравнивание скорости передачи (шедулер).

Показать полностью 1
44
DHCP Failover
22 Комментария в Лига Сисадминов  

Failover - ближе всего термин «отказоустойчивость», был придуман для обеспечения высокой доступности каких-либо сервисов. Вы дублируете какую-то часть системы или даже систему целиком для того, чтобы при отказе ваши пользователи не остались ни с чем. Круто, когда для пользователя отказ пройдет незаметно. Неплохо, когда отказ повлечет небольшое снижение качества услуги. Плохо, когда пользователя пошлют далеко и надолго просто потому, что всё сломалось. Это было так, лирическое отступление.


Теперь что касается DHCP. Задача сервера тут состоит из двух частей: выдавать адреса (каждый раз добавляйте мысленно «и сопутствующие настройки») новым пользователям и продлять аренду адресов для уже существующих клиентов.


Классические принципы построение отказоустойчивого сервиса предусматривали распиливание диапазона выдаваемых адресов в некотором процентном соотношении между двумя серверами (80 на 20, например). Первый сервер раздавал адреса, второй тихо был в резерве. Когда первый становился недоступен, включался в систему второй и «поддерживал штаны», пока первый снова не становился доступным. Безусловно, если «распилить» диапазон 50/50, то теоретически всё хорошо. НО! Во-первых, а что если вами используется больше половины диапазона? Во-вторых, вспомним, что в жизни есть резервации (запомненные пары MAC-IP), которые делаются не просто так, а с какой-то целью (на этот адрес прописываются особые разрешения в firewall и т.д.). Если для компа запомнен адрес из одной половины, то его нет во второй половине, очевидно.


Вторая классическая схема – кластер. Это когда у вас есть несколько железок, а поверх них некоторая программная надстройка, которая обеспечивает единую виртуальную «точку входа» для сервиса. Короче, клиент обращается к DHCP всегда одинаково, а виртуалка с сервисом может практически мгновенно съебаться с одного физического сервака на другой абсолютно незаметно для этого самого клиента. Это нехило страхует от физических проблем, а страховку от логических обеспечивают своевременные бэкапы и предыдущая схема. Но дорого и не избавляет от проблем с резервациями в случае сочетания с предыдущей схемой.


И третий вариант, который предлагает нам виндовый сервер начиная с версии 2012. Два сервера полностью дублируют друг-друга. При этом возможно как распределение нагрузки в определенном процентном соотношении, так и «горячее резервирование», при котором резервный сервер исправно реплицируется с основным, но запросы не обрабатывает до отказа основного. Справедливости ради: linux тоже так умеет. Вот, например. И в той и в другой ОС такая связка может состоять только из двух серверов, однако сервер может участвовать уже в максимум 31 связке. Также при желании можно пошаманить с репликацией файлов dhcp.leases и dhcp.static в linux, но зачем городить колхоз, когда есть готовые решения?

Пара схем. Одна область (scope) может участвовать только в одной связке одновременно.

Показать полностью 4
37
Сисадминское
7 Комментариев в Лига Сисадминов  
Сисадминское
118
Mikrotik — один из лучших домашних роутеров для гика
176 Комментариев в Лига Сисадминов  

Домашних роутеров у меня было не так чтобы много, но определённое мнение о них сложилось.

Так вот, одним из лучших по соотношению цена-качество на сегодняшний день является тот самый прибалтийский микротик.


У него не торчит куча антенн, но при этом сигнал добивает во все точки дома (а у моего предыдущего, широко известного в узких кругах WR-1043ND, несмотря на три антенны сигнала не хватало как раз на туалет. Он, конечно, берёг моё здоровье, но мне это не нравилось).

У него достаточно процессора и памяти, чтобы без проблем прожёвывать кучу трафика (включая торренты) и не давиться (на этом месте передаю горячий привет компании Ростелеком и компании Элтекс, роутеры которой и использует РТК. Они, мягко говоря, не алё).

Наконец у него 100500 вариантов настройки и, нет, знать их все не обязательно.


В общем, сначала я распробовал его на RB951G-2HnD, по итогу сделал три вещи:


1. на работе был древний системник, который жрал электричество работал крокодилом достался мне в наследство от предшественника с древней версией убунту на борту, раздавал VPN и пытался автомагически переключать каналы с основного на резервный, если что-то случилось с основным. Делал он всё это откровенно плохо (не самое лучшее железо, не самая новая ОС, в меру криво настроен), поэтому списан был без малейших сожалений. Был заменён на RB750GL, показавшим себя с самой лучшей стороны.


2. отдал RB951G-2HnD тёще, потому что ТоррентТВ (через её ТВ-бокс, подключенный через роутер Элтекс) не просто тормозил, а попросту не работал. Честно говоря, я бы попросту подключил ей обычное кабельное телевидение, но вот ровно в этом доме в центре Улан-Удэ нет ни одного кабельного провайдера (да и интернет, отличный от диалапа был проброшен провайдером лично в мою тогда ещё квартиру благодаря личным знакомствам, горизонтальным связям и вот этому всему).


3. купил относительно дорогую модель hAP AC, руководствуясь соображениями ("зато круто и надолго!", "5Ггц тоже полезно", "йоптыть, вифи стандарт 802.11ac, это ж гигабит!!1расрас", "может получится оптику напрямую через SFP-модуль завести", "опять же можно 4G-модем купить, воткнуть и будет резерв").

По итогам, после экспериментов 4G-модем подарил другу, оптику завести пришлось через тот самый Элтекс (спасибо саппорту РТК, переключившему его в бридж, а то я начал понимать, почему некоторые мои знакомые пожалели о переезде с ADSL на оптику), вифи оказался шустрым, но провод всё же надёжнее (хотя до детской я провод так и не дотянул, сидят по воздуху), 5Ггц уже полезен (эфир засран не как в Москве, где-нибудь, но уже ощутимо), а вот насчёт крутизны — проще перечислю, что он у меня дома сейчас делает:


- заведено по 100 мбс от двух провайдеров (нет, я не зажрался, я удалёнщик. Когда мне РТК как-то рубанул сеть минут на 15 в ОЧЕНЬ неподходящий момент, седых волос у меня добавилось. Так что здоровье дороже).


- настроена балансировка каналов (т.е. работают поочерёдно, т.е. одно соединение через одного провайдера, второе — через другого. Если зайти на myip.ru и тыкать F5, IP постоянно меняется, довольно забавно. А вот торренты всасывают одновременно).


- выведен в интернеты уютный домашний сервер (он скорее NAS, но сервер звучит красивее).


- настроен QoS, т.е. удалённому доступу и телефонии выделен наивысший приоритет, страничкам пониже, а всяким закачкам — по остаточному принципу.


- заведён VPN, чтобы из чужих сетей ходить без опаски. L2TP с IPSec шифрованием и SSTP на случай, если попаду в места, где режут вообще всё (а SSTP работает по 443 порту). Тут, правда, есть засада — работают либо мои https-сайты, либо SSTP VPN (у меня один фиксированный IP), но поскольку он мне пока не особо нужен не парюсь. Сертификаты для сайтов и SSTP VPN получаю с Let's Encrypt автомагически.


- торренты качаются быстро, что на NAS-е (он же домашний сервер с сайтиками, почтой и всяким таким), что на ТВ-боксе (разного рода Торрент ТВ).


- ну и, чтобы было удобнее, поднят шифрованный ipip-туннель до рабочего микротика, настроена маршрутизация и, таким образом, у меня есть доступ к рабочей сети без VPN, регистрации и СМС. Удобно!


В целом, очень удачные железки, очень.


P.S. Пока в сомнениях, стоит ли писать на тему настройки или тема и так достаточно хорошо освещена в интернетах никому не интересна?

Показать полностью
97
Системный администратор - базовые знания
40 Комментариев в Лига Сисадминов  

Как всем известно, системных администраторов не выпускают в вузах - многие становятся ими именно на работе. Видеоролики помогли структурировать винегрет в голове. Возможно, продвинутым пользователям это покажется очень легким, но для новичка, по-моему, будет сверх полезно.
Сам просмотрел пока 3 главы за 2 дня и решил поделиться в благодарность автору и в помощь начинающим!

66
Как проверить сеть на уязвимость WannaCry
37 Комментариев в Лига Сисадминов  

Наконец-то появился чекер.

Реализован в виде PowerShell-скрипта, проверяет по диапазону IP.


Подробности от разработчиков по ссылке:

https://rvision.pro/blog-posts/wannacry-vuln-tool/


Коллеги, рекомендую всем всё-таки провериться.


P.S. Заранее отрубил SMB1, перевёл все шары в рид-онли и всё равно тревожно как-то.

36
Про сетевую безопасность или как можно украсть ваши данные с помощью роутера
27 Комментариев  

Сейчас я расскажу вам о том как можно украсть ваши данные с помощью неправильно настроенного роутера


установил программу advanced ip scanner и просканировал сеть провайдера

опытным путем обнаружил что адреса раздаются начиная с подсети 100.64.114.0

сканирую и вижу кучу клиентов , у некоторых включен удаленный доступ:

Про сетевую безопасность или как можно украсть ваши данные с помощью роутера информационная безопасность, системное администрирование, длиннопост

пытаюсь подключиться введя admin/admin и он подходит . можно узнать пароль для подключения к интернету / личного кабинета:

Про сетевую безопасность или как можно украсть ваши данные с помощью роутера информационная безопасность, системное администрирование, длиннопост

заходим в ЛК и получаем информацию об местонахождении абонента и немного других приватных данных

Про сетевую безопасность или как можно украсть ваши данные с помощью роутера информационная безопасность, системное администрирование, длиннопост

С помощью этой информацией злоумышленники могут устроить вам проблемы , поэтому предупредите своих знакомых чтобы закрыли удаленный доступ у своих роутеров или хотя-бы сменили пароли со стандартных .



НЕ В КОЕМ СЛУЧАЕ НЕ СЧИТАТЬ ПОСТ ПРИЗЫВОМ К ДЕЙСТВИЮ

Показать полностью 2
312
Администрирование #04. DHCP.
34 Комментария в Лига Сисадминов  

Предыдущая часть тут.

Прошу прощение за долгое отсутствие. Я поняла, что в моём man'е по DHCP написано прискорбно мало и решила полностью его переписать.

В данном посте я буду идти от сильного упрощению к менее сильному упрощению, и в конце приближусь к правде, мне кажется, это логичнее, чем сразу углубляться в протокол.


Для начала, что делает DHCP (Dynamic Host Configuration Protocol – протокол динамической настройки узла). С помощью этой штуки сетевые устройства могут получать IP-адрес и другие сетевые настройки автоматически. Работает этот протокол по клиент-серверной модели. В самом общем случае это выглядит так:


Клиент-всем: Дайте мне кто-нибудь настройки!

Сервер-клиенту: Держи, я тут сервер, вот настройки: «настройки». Тебе норм?

Клиент-серверу: Ага, «настройки» подходят, ништяк.

Сервер-клиенту: Пометил у себя, «настройки» записаны на твоё имя.

Клиент /сам с собой/  уф, применил «настройки», кажись пошел трафик.


Еще раз – это упрощение. На каждом этапе могут возникнуть свои нюансы и мы часть из них разберем. Пока о том, зачем это нужно: ведь есть статическое назначение адресов (и других настроек). На сегодняшний день, на мой взгляд, причина «во-первых» - это то, что для присвоения статических настроек надо хоть что-то знать о сетях, то есть – домохозяйка с роутером пролетает. Ну и причина «во-вторых», которая на самом деле наиболее важна – это автоматизация и централизация сетевой настройки. Круто, когда у вас 5 компов и в сети статика. Потом их станет 15 и появится файлик с адресами. Потом их становится 100… и в один непрекрасный момент срочно понадобится сменить DNS сервер или шлюз по умолчанию. И если на DHCP вы правите это в одном месте и настройки распространяются автоматом, то тут вы будете ходить и править сто компов руками (вас в процессе четвертуют скорее всего). К тому же, DHCP ведет за вас свой виртуальный «файлик» и не выдаст случайно одинаковые адреса разным хостам. В-третьих, это возможность выдавать адрес «на время», например, на неделю или на час. Вы же не будете каждому посетителю своего интернет-кафе прописывать адрес вручную и записывать в файлик. А так, адрес выдался автоматом, через час освободился и может быть выдан другому.


Для работы сервера выделяется некоторый пул (pool) – диапазон адресов, которые DHCP-сервер может раздавать клиентам.


Существует протокол, его описание и куча его реализаций на различных устройствах. Я не буду рассматривать каких-то конкретных реализаций – все они придерживаются единого формата.


Как видно из примера диалога выше, общение клиента и сервера разбито на несколько этапов-сообщений. В DHCP есть следующие типы сообщений: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRELEASE, DHCPINFORM. Клиент и сервер общаются по протоколу UDP (у сервера порт 67, у клиента 68).


Эти сообщения выглядят в общем случае так: в шапке всякая важная мура из разряда кому, от кого, идентификаторы и всё такое, а в конце пачка опций. Вот эти опции и есть те настройки которые клиент запрашивает, а сервер выдаёт. Кому интересны подробности (а они правда интересны и важны), почитайте rfc2131.


На первом этапе клиент рассылает всем в локальной сети широковещательное сообщение на MAC-адрес FF:FF:FF:FF:FF:FF.

Отступление: Если у вас есть специальный сервер перенаправления запросов DHCP-relay, то сообщение может уйти и за пределы локальной сети.

Это сообщение DHCPDISCOVER. Тут возникает один нюанс: бывает так, что клиент «чистенький» - у него не было адреса, а бывает так, что у него был какой-то IP адрес и он говорит «неплохо бы повторить, если можно, бро». Во втором случае в список опций добавляется «requested IP address» с желаемым IP. Из важного в DHCPDISCOVER указывается ID транзакции (он будет одинаковым для всей цепочки обмена сообщениями) и идентификатор клиента (он должен быть уникальным в локальной сети, так что чаще всего это MAC).

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост
Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

В ответ все DHCP-серверы, до которых дошел запрос, присылают свои предложения DHCPOFFER тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF. Это происходит в том случае, если желаемый IP НЕ указан (о том, что происходит, когда указан – будет ниже). Клиент из них выбирает наиболее приглянувшееся (чаще всего по принципу «кто раньше прислал – того и тапки»). Сервер же, прежде чем прислать адрес, проверяет (протокол не обязывает, но настоятельно рекомендует), что адрес ещё не занят. В этом сообщении указывается уже предлагаемый IP, предлагаемые параметры и известен адрес-идентификатор сервера.

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Подробнее про то, как выглядят остальные сообщения DHCP в Wireshark можно посмотреть в посте из соседней лиги. Или запустить wireshark дома.


Клиент, когда выбрал предложение, посылает DHCPREQUEST тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF, но с идентификатором сервера в соответствующем поле.


Сервер, если ничего криминально не случилось и адрес всё ещё свободен, посылает клиенту (всё так же широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF) DHCPACK с настройками и помечает у себя адрес выданным. Уникальный идентификатор клиента и выданный IP-адрес однозначно идентифицируют DHCP-lease – так называемую аренду IP адреса. Если же адрес в процессе успел стать занятым, то клиенту посылается DHCPNACK с отказом и всё идёт заново.


Клиент получает сообщение DHCPACK с настройками, может сделать финальную проверку на занятость адреса и применяет эти параметры. С этого момента клиент сконфигурирован (и у вас пишется в винде «сеть1: подключено»).


Общая схема еще раз:

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Когда клиент заканчивает работу, например, при выключении интерфейса, он посылает серверу сообщение DHCPRELEASE о том, что адрес свободен – можно пользоваться.


Вернёмся к DHCPDISCOVER и ситуации, когда мы просим выдать адрес, который у нас уже когда-то был. Rfc говорит нам, что в этом случае сервер сразу присылает DHCPACK (если адрес не помечен за кем-то другим) или DHCPNACK (если вы прошатались в отпуске месяц и адрес ушел к другому). Причем проверка на конфликты (пинг на всякий случай) ложится на клиента.

На самом деле, сколько ни ловила, так такую ситуацию и не поймала. У меня на DHCPDISCOVER с предпочитаемым IP в ответ приходил "Неправильный" DFCPOFFER на конкретный адрес. Подозреваю, что это ловился ipconfig /renew.


Если клиент обнаруживает, что с адресом что-то не в порядке, он посылает серверу DHCPDECLINE.

Немного о времени аренды IP-адреса. Это время в секундах, оно относительно, а потому не требует синхронизации времени между сервером и клиентом. То есть «забрать адрес через 3600 секунд» и без разницы, что у вас локаль Камчатки, а у сервера Москвы. Время аренды надо выбирать сообразно задачам – чтоб и адреса не кончались и слишком большой нагрузки на сервер не было. Интернет-кафе – час, дома – месяц, на работе – неделя, например. А еще есть время, через которое IP-адрес можно перезапросить, не отдавая его. Оно должно быть меньше времени аденды, тогда никто не захапает ваш адрес, пока ваш комп онлайн.

Теперь об опциях. Чаще всего, это DNS сервер, шлюз по умолчанию, ntp-сервер. А может быть куча всего – на это даже отдельный rfc2132 есть. У нас, например, такие.

Администрирование #04. DHCP. системное администрирование, лекция, DHCP, IT, длиннопост

Бывает еще такая вещь, как резервации (reservations). Это не когда индейцев ограничивают, а когда адрес добавляют к резервированию. Некоторые lease’ы запоминаются (админ указывает, какие именно). То есть, пара MAC-IP становится постоянной. Это позволяет получить статические адреса внутри пула, которые клиенты тем не менее получают по DHCP.

P.S.: Тема очень обширна, можно добавлять и добавлять. Но мне хотелось выдержать баланс между пересказом rfc и "DHCP для домохозяек".

Показать полностью 5
385
Администрирование #03. VLAN.
54 Комментария в Лига Сисадминов  

Первая часть

Вторая часть

VLAN — Virtual Local Area Network

Сегодня мы поговорим про эту полезную вещь. Очень многие о ней слышали, но не все из них представляют, что это такое зачем оно нужно.

Основные термины:

Сетевая топология — способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

Физическая топология — описывает реальное расположение и связи между узлами сети.

Логическая топология — описывает хождение сигнала в рамках физической топологии.


Общая идеология:

VLAN переводится как «виртуальные локальные сети». Эта штука работает на канальном уровне модели OSI. Она позволяет делать

1) Локальную сеть, физически состоящую из нескольких железок (aka коммутаторов), но которая видится как сеть, в которой одна многопортовая железка.

2) И наоборот, на одной железке можно уместить несколько сетей так, что они не будут видеть друг-друга. Как будто мы попилили коммутатор на несколько маленьких свитчиков.

3) Комбинацию из 1 и 2:

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

То есть, мы можем создавать логическую топологию сети не зависимо от физической топологии.

Тут надо отступить чуть в сторону. Никто не запрещает вам создать несколько локальных сетей без всяких VLAN и компы из одной сети будут видеть друг-друга (см. картинку ниже)

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

На картинке выше комп с адресом 172.16.1.1 вполне увидит комп 172.16.1.2 без всяких дополнительных настроек. Также как и все компы с адресами из сетки 192.168.1.0/24 увидят друг друга. Но все эти компы из обеих сетей будут находится в одном широковещательном домене (в изначальном смысле этого термина – второй уровень модели OSI). То есть, все широковещательные запросы (например, DHCP), направленные на MAC-адрес FF:FF:FF:FF:FF:FF попадут на все порты. А вот если вы разделите сеть на VLAN’ы, то у вас будет свой широковещательный домен на каждый VLAN.

Когда и зачем это нужно:

1) Когда вы создаёте 50 локальных сетей на 47 коммутаторах, то есть когда ваша сеть начинает загибаться под массой широковещательных запросов. Например, как говорят учебники, сеть общежития. Советую прочитать про broadcast storm

2) Когда вы параноик хотите защититься от arp-spoofing атак

3) Когда вы сталкиваетесь с IP-телефонией и моделью подключения комп-телефон-свич (то есть, 2 устройства на одном порту и нужно разделать их трафик). Телефонию в принципе принято выносить в отдельный VLAN не зависимо от типа подключения телефонов. В общем случае, когда на порт приходит по некоторым признакам разный трафик, который не должен смешиваться. Например, интернет, телефония и некоторый прямой канал с дружественной фирмой от провайдера.

4) Когда вы хотите развести всех этих людей по подсетям. Бухи налево, юристы прямо, маркетологи направо. Может, им не стоит видеть друг друга в целях безопасности, кто знает?


Как всё происходит: на устройстве создается VLAN, в него добавляются порты, которые в этот VLAN входят. Порты бывают тегированные и нетегированные. Тег – это некоторая метка (число), которая идентифицирует принадлежность трафика к VLAN. Помечать трафик нужно, когда в одном проводе передается трафик нескольких VLAN’ов (см. картинку).

Администрирование #03. VLAN. системное администрирование, лекция, vlan, IT, длиннопост

Здесь :

VLAN1 — зеленый, в него входят порты 1, 7, 12, 14, 16 на switch1 и порты 1, 3, 4, 7, 8, 9, 11, 15 на switch2.

VLAN2 — синий, в него входят порты 3, 4, 6, 8, 9, 11, 13, 15, 16 на switch1 и порты 2, 5, 8, 13, 14, 16 на switch2.

VLAN3 — красный, в него входят порты 2, 5, 10, 16 на switch1 и порты 6, 8, 10, 12 на switch2.

Можно было бы соединить свитчи тремя патч-кордами (пунктирные линии) по одному на каждый VLAN, но не всегда это возможно и здорово (например, когда ваши свитчи расположены на разных этажах или когда VLAN’ов много, а свободных портов мало).

Сейчас свитчи соединены патч-кордом, который воткнут в 16 порт на первом свитче и в 8 порт на втором. Чтобы по нему могли ходить пакеты всех трёх VLAN'ов и не перемешиваться, патч-корд должен быть воткнут в тегированные порты. Порты 16 на первом и 8 на втором свитче — тегированные, каждый из них принадлежит всем трём VLAN'ам (также говорят и наоборот – три VLAN есть в этих портах). На входе в эти порты метка ставится (если нету), но на выходе не снимается.

Порты, помеченные одним цветом — нетегированные, в них нет меток, так как метки внутри одной сети не нужны. То есть, метка на входе в порт снимается (если есть) и на выходе не ставится.

Обычные пользовательские компьютеры воткнуты в одноцветные порты и знать не знают про всю эту муть - всем управляет коммутатор (заботливо ставит метки, если трафик надо запихнуть в трехцветный провод и снимает метки, если надо отдать данные компу - чтоб бедняга не мучился). Linux умеет понимать VLAN'ы (при вашем желании), некоторые сетевухи с правильными дровами под виндой тоже. Но по умолчанию всё отдается коммутатору.


И вот у вас несколько VLAN’ов, все счастливы, но друг друга сети совсем не видят. А надо. Чтобы настроить между ними маршрутизацию, нужен (тссс!) маршрутизатор. Ну или хотя бы L3-switch.

Пара ссылок с красивыми картинками от cisco: раз и два.


По просьбам трудящихся подписчиков несколько команд:

VLAN на компе с Debian:

Можно настраивать с помощью vconfig или с помощью ip link.

Создать VLAN на интерфейсе eth0. Имя VLAN'a – eth0.80, оно по-хорошему должно быть именно в таком формате: интерфейс.тег, ну и тег тут 80, уже понятно:

# ip link add link eth0 name eth0.80 type vlan id 80

# ifconfig eth0.80 up

Добавить IP:

# ip a a 172.16.1.1/24 dev eth0.80


VLAN на D-Link:

Создать VLAN с названием 45 и тегом 45:

# create vlan 45 tag 45

Добавить нетегированные порты с 8 по 11:

# config vlan 45 add untagged 8-11

Добавить тегированный порт 14:

# config vlan 45 add tagged 14

Удалить 10 порт из VLAN:

# config vlan 45 delete 10

Посмотреть информацию о VLAN:

# show vlan


VLAN на Cisco

У Cisco тегированные порты называются транковыми (trunk), а нетегированные native. Предупреждение: vlan 1 занят под native vlan. Также на коммутаторах cisco есть interface vlan1, который является интерфейсом управления – на него назначаете IP, чтобы заходить на свичи по сети

создать VLAN:

# vlan 2

# name vlan2

Добавить тегированные порты:

# config vlan2 add tagged 2,25

# exit

Изменить что-то с VLAN'ом:

# interface vlan2

добавить IP:

# ip address 10.1.2.1 255.255.255.0

Чтоб перевести порт в тегированный режим:

$ conf t

# interface fa0/24

# switchport trunk encapsulation dot1q

# swichport mode trunk

Разрешить VLAN'ы 1 и 2:

# switchport trunk allowed vlan 1,2

Включение нетегированного VLAN'а:

# switchport trunk native vlan 1

Режим по умолчанию, в этом порту не может быть тегированных пакетов:

# interface fa0/1

# switcport access vlan 1


В рамках cisco еще полезно ознакомиться с протоколом VTP.


Ну и напоследок: не стоит наслушавшись цискокурсов или начитавшись статей пилить свою сеть на VLAN’ы, если вы не понимаете, зачем вам это надо. Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться (это моё личное мнение).

Показать полностью 3
1330
Сисадмин из провинции
372 Комментария  

Про просьбам, аж целых пяти человек. One man 40 pc and 1 server.



Я уже рассказывал историю с работы, как восстанавливал функционирование интернета будучи на сессии. На этот раз, юмора будет поменьше, обещаю. В тексте будут присутствовать термины из жизни сисадминов, но немного, если что, спрашивайте. Я не буду рассказывать где работал из соображений безопасности, и чтобы не подставлять сотрудников. Те, кто меня узнал (ну мало-ли), тоже не надо рассказывать где это происходило.


После достаточно большого срока без нормальной работы, я узнал от своего товарища, что в фирме, в которой он трудится юристом, аж полгода не получается найти сисадмина-эникея. Фирма государственная, оказывающая услуги населению, ну и соответственно, зарплата там не космос. Он договорился и вот, уже через три дня я там, на собеседовании у директрисы.


Директрису не интересовало ничего из моей квалификации, она только мельком глянула мой диплом, увидела, что я таки не водопроводчик, а айтишник, спросила у меня, справлюсь ли я с 40 компьютерами и меня сразу приняли, на официальный испытательный срок, без подстав.


Сотрудники приняли меня как божество, снизошедшее с Олимпа. Ещё-бы, полгода у них не было айтишника. Компьютеры, самый свежий из которых, датировался маем 2006 года, передохли как мухи. Работала строго половина, в том числе подох и сервер. А вместе с сервером накрылась база, перестали печатать принтеры, компьютеры перестали заходить в Active Directory. И прочее, прочее.


Вызванный разово, «тыжпрограммист» с какой-то конторы, за пару дней наладил локальные учётки, завёл базу на одном из ПК, попросил с руководства крупную сумму и был кинут директором на деньги. Причём это я узнал позже, когда, разбираясь в получившемся колхозе нашёл его номер от своего друга. Крокодиловым слезам в трубку я не поверил и всё поделил на десять, зная, как работают подобные ребята.


Первое что я сделал, начал воскрешать ПК и параллельно, занялся сервером. Сервер был обычный, пожилой, обитающий в сервере Tower, с одним диском и достаточно мощным процессором серии Xeon. Жёсткий диск посыпался, а кулеры забились пылью. Тыжпрограммист с горы, вообще отказался трогать этого монстра, ну, а мне что? Я тут на ставке, меня не спрашивали. Открыв гугол я закатал рукава.


Моя первая реакция на фронт работ:

Показать полностью 2
106
Настройка TLS на Exchange 2010/2013
15 Комментариев в Лига Сисадминов  

Итак, как я кому-то обещала:

Настройка TLS на Exchange 2010/2013

Протокол TLS (Transport Layer Security — безопасность транспортного уровня) – это такая новая версия SSL. И то и другое - криптографические протоколы, обеспечивающие защищенную передачу данных в сети с помощью сертификатов безопасности для шифрования каналов связи.

Когда это бывает нужно в exchange – когда вы хотите, чтобы почта между вами и вашим партнером шифровалась и её было бы трудно расшифровать. Ну, как обычно: если у вас паранойя, это ещё не значит, что за вами не следят ;)

Наш пример выглядит как-то вот так:

Настройка TLS на Exchange 2010/2013 системное администрирование, Exchange 2013, exchange 2010, TLS, почта, длиннопост
Показать полностью 4
163
Администрирование#02. Удаленный доступ.
61 Комментарий в Лига Сисадминов  

Первая часть.

Надеюсь, кто хотел, тот прочитал в вики про модель OSI, там статья весьма улучшилась с тех пор, как я её видела последний раз, так что рекомендую.

Сегодня я сделаю некоторый вбоквел. Почему именно удаленный доступ? Потому что мы, админы, пользуемся этим ежедневно.


Администрирование#02. Удаленный доступ.

Вообще, что это такое: это когда вы с одного устройства попадаете на какое-то другое устройство и что-то можете с ним сделать. То есть, сидя попой в кресле за рабочим компом и сеть настраивать, и серваки админить, и пользователям помогать.

Для удобства, попробую разделить виды удаленного доступа на несколько классов.


1. Терминальный доступ. Сейчас этим словом называют доступ через консоль (такую, как в фильмах о хакерах – белые буковки на черном фоне). Этот вид доступа текстовый. Он используется для доступа на сервера без GUI (Graphical User Interface); для доступа на сервера с GUI, но с устройств без GUI; для доступа на различное сетевое оборудование; ну и просто как универсальный-доступ-куда-угодно, так как что может быть универсальнее консольки?

Кстати, цвет буковок и фона часто настраивается – всё для людей!

Для работы в терминале существуют команды с флагами и параметрами:

Терминал — он же консоль в повседневной речи, для желающих углубиться ссыль. В нашем случае, то самое черное окошко с белыми буквами. Открыть терминал можно в графическом интерфейсе (в Windows, Linux, MacOs), или же переключиться на один из стандартных терминалов с помощью Ctrl+Alt+F1(до F6) в некоторых Linux-системах (за все не поручусь). В Windows можно также использовать специальную программу Putty (ssh и telnet клиент + несколько фич).

Команда — команды набираются в терминале текстом, это программы, которые выполняют заложенные в них действия.

Флаг (ключ) — Флаги уточняют действие команд. Флаг – это модификатор, который указывается в командной строке вместе с именем команды, обычно после дефиса. (например, не просто соединиться с устройством, а по определенному порту).

Параметры пишутся после команды или после флагов, их иногда называют аргументами. Параметры задают информацию, необходимую для выполнения команды (например, IP адрес по которому надо подключиться).

TELNET — такое название носит и команда, и протокол. Специфицирует передачу символов ANSI. Не рекомендуется использовать не через свою локальную сеть, так как telnet не поддерживает шифрование. Но telnet - простой протокол, его знают очень многие устройства и не тормозят при использовании.

Порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах.

Некоторые особо известные порты:

80 — http

20, 21 – ftp

22 — ssh

23 – telnet

25 — smtp

[Лайфхак] Можно посмотреть, открыт ли порт на оборудовании следующим образом:

Коннектимся на оборудование по telnet по проверяемому порту. Если можно нажать Enter и при этом курсор перескакивает на следующую строку, значит порт открыт.

Windows telnet-клиент включается из «программы и компоненты»->«Включение или отключение компонентов Windows».

SSH — Secure Shell. Это протокол по которому осуществляется защищенный удаленный доступ. Плюсы в том, что весь трафик шифруется. Логиниться по ssh можно как используя логин-пароль, так и пару открытый-закрытый ключ.

Изменить в конфигурации ssh-сервера порт не помешает, так как про стандартный все в курсе, и злобные хакеры нехорошие автосканеры портов найдут открытый 22 порт, сделают вам DdoS атаку и подвесят ваш сервер, что вызовет печаль.


Лирической отступление. Схемы удаленного доступа чаще всего клиент-серверные. В этом случае сервер стоит там, КУДА мы подключаемся, а клиент – там, ОТКУДА идет подключение. То есть, у сисадмина стоит клиент, а на другой стороне сервер (даже если другая сторона является компьютером пользователя).


1.1) Команды, выполняемые на удаленном устройстве. В Windows, в виду отсутствия ssh, для многих команд (как обычных, так и powershell) можно указать имя или IP компьютера, на котором они должны выполниться.


2) Доступ к удаленному рабочему столу. Здесь я подразумеваю доступ с ПК/сервера на ПК/Сервер, где на обоих сторонах есть графический интерфейс. Вы просто работаете на чужом рабочем столе как на своем.

В Windows чаще всего используется протокол RDP, так как он встроен в систему. Если ваш Win-сервер не является терминальным сервером (с установленной специальной ролью), то на нем разрешено только два одновременных логина. В пользовательских Win-системах только один. Вероятно, кто-то пользуется удаленным помощником Windows, но обычно для пользователя его тапуск и создание приглашения является слишком сложным.

Также часто используются сторонние решения, вроде VNC, radmin, team viewer, ammyy admin и других. Удобны тем, что пользователь видит ваши действия, которые вы выполняете у него на ПК. Многие решения имеют версию под разные платформы, в том числе мобильные. Большинство умеет работать за NAT. Однако в организациях, где следят за безопасностью, обычно запрещены как минимум «бесплатные» варианты таких программ. Например, вот поэтому.


3) «Низкоуровневый» доступ к серверам. ILO в серверах HP, IPMI в серверах DEPO (и вообще, там, где материнки supermicro), может кто дополнит в комментариях по решениям. Это фактически доступ к серверной платформе. Может осуществляться как из браузера, так и из специального клиента. Предоставляет доступ к серверам до загрузки ОС (можно зайти в BIOS, можно в конфигурилку RAID, можно подключить ISO-образ и накатить ось, можно даже перепрошить BIOS удаленно), а также ограниченный доступ к управлению железками (сделать power off/on, поправить скорость кулеров, посмотреть температуру). Очень-очень удобно. Прощай дежурства в офисе вечером, всё можно сделать из дома. Не надо мерзнуть в серверной, если что сломалось – всё можно сделать с рабочего места. Для всего этого достаточно назначить IP, маску и шлюз на интерфейс IPMI/ILO, это делается из BIOS.

Администрирование#02. Удаленный доступ. системное администрирование, лекция, удаленный доступ, для начинающих, длиннопост
Администрирование#02. Удаленный доступ. системное администрирование, лекция, удаленный доступ, для начинающих, длиннопост

В заключение: хотелось больше рассказать про shell, привести примеры подключений, расписать подробнее про RDP, но поняла, что получится а) много и б) не нужно для общего ознакомления, потому безжалостно удалила лишнее.


P.S.: баянометр люто ругался на скрин консольки, но ничего похожего по содержанию не нашла.

Показать полностью 2
41
Exchange 2013 не видит OU из web-консоли
14 Комментариев в Лига Сисадминов  

Или мини-решения#01.

Если вы создаете, например, группу рассылки из web-консоли Exchange 2013 и хотите выбрать для неё OU, но внезапно обнаруживаете, что вашего OU (Organizational Unit) там нет. Вообще нет.

Или появляется вот такое:

Exchange 2013 не видит OU из web-консоли системное администрирование, Exchange 2013, не видно OU из ecp

Technet на это предлагает воспользоваться поиском, чтоб результатов стало меньше, но поиск-то того. Не работает.

В 2013 Exchange есть ограничение на количество выводимых OU (включая вложенные). Это ограничение равно 500. Берутся первые 500 по времени создания (а не по алфавиту).

Как поправить:

Находите файл web.config на сервере Exchange в папке C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\

Открываете блокнотом, ищете секцию <appSettings> и в конце в ней дописываете

<add key="GetListDefaultResultSize" value="1000" />

или сколько вам нужно по количеству.

Сохраняете файл. Всё. Никаких служб перезапускать не нужно.


Если у вас два и более сервера Exchange, но всё по фен-шую (DAG-группы есть, cas-сервера собраны в массив и всё такое), то достаточно дописать строчку в этот файлик на любом из серверов.

Есть печаль – любой CU (Cumulative Update) для Exchange перезаписывает этот файл. Причем копипастить файл от предыдущего обновления обратно в папку нельзя (MS пытается нас уверить, что это вызовет апокалипсис), только дописывать эту строчку снова, по возможности, автоматизировав процесс.


Заключение: пробуем формат мини-решений. Любопытно, найдется ли аудитория на такое.

Показать полностью
105
Единственный вопрос.
55 Комментариев в Лига Сисадминов  

Пока тема про собеседования свежа.

Мною было обещано выложить вопрос, который можно задать при собеседовании на сисадмина (скорее админа-сетевика) и больше не спрашивать ничего.


Вопрос звучит так:

«Вы открываете в своей любимой операционной системе свой любимый браузер и вводите в адресную строку адрес любимого сайта. Затем вы нажимаете «Enter» и через некоторое время у вас отображается этот сайт. Расскажите как можно подробнее, что произошло с того момента, как вы нажали «Enter» до того как начали читать pikabu у вас отобразился сайт.»


Тот, кто первый раз задал мне этот вопрос, сказал, что у него ответ без углубления в детали занимает 3 семестра лекций в университете (и это не учитывая область web-программирования, которую также можно при желании затронуть – смотря, на кого собеседование). Здесь можно рассказывать всё – от того, каким образом у вас на компе оказались какие-то сетевые настройки до полного пересказа главы из Олиферов про физическое кодирование двоичных данных (шутка). DNS, proxy, firewall, VLAN, NAT, статическая и динамическая маршрутизация, пиление потока данных на пакеты, тройное рукопожатие и т.д. – всё, что вспомните.


Бонус - тот же вопрос можно задавать web-программисту, просто ответ будет затрагивать другие области.

582
Администрирование#01. Адресация в IP сетях
207 Комментариев в Лига Сисадминов  

Как и обещала, выкладываю первую часть.

Некоторое введение: статьи о базовых понятиях я писала еще в универе по лекциям, затем их вычитывал мой научный руководитель (aka nixleader), поэтому тега «моё» не будет. Статьи не претендуют на оригинальность, есть множество других. Они, также, вероятно, могут встретится в сети (распространялись в универе и свободно висят в справочной системе на работе). Я постараюсь указывать места, где будет встречаться копипаста с других ресурсов (далее такое будет). Помимо простых вещей, попробую привести в литературную форму некоторые сложные маны, которые писала чисто для себя, и выложу их отдельно.


Администрирование#01. Адресация в IP сетях

В семействе протоколов TCP/IP используются три типа адресов: локальные (физические, аппаратные), IP-адреса и символьные (доменные) имена. Рассмотрим первые два типа адресов.

Основные термины:

Хост (Host) – устройство, работающее в сети на сетевом уровне модели OSI (компьютер, маршрутизатор и т.п.). Часто понятие путают с IP-адресом.

MAC-адрес — физический адрес компьютера (если точнее - сетевой карты или другого сетевого устройства). Размер адреса – 6 байт. Этот адрес должен быть уникальным для каждого устройства в локальной сети, и используется всеми устройствами для передачи данных внутри неё. (Как говорил мой преподаватель: «Вы еще не видели китайских сетевых карт: в одной серии карт может быть много повторяющихся MAC-адресов»).

IP-адрес

IP-адрес — это 32 бита (4 байта), 4 октета, представляющие собой «логический» адрес хоста в сети (сетевой адрес). Нужно понимать, что у одного хоста может быть много IP-адресов.

IP-адреса обычно записываются в десятичной системе счисления виде четырёх октетов X1.X2.X3.X4, где X1 – старший байт адреса.

Есть консорциум IANA, который раздает IP-адреса по 5 организациям (ARIN, RIPE, APNIC, AfriNIC, LACNIC). Им выдаются сети класса А. Далее эти организации распределяют адреса по заявкам от организаций со статусом LIR (Local Internet Resource) подсетями /22 или крупнее, а в случае выделения провайдеро-независимого блока - /24 (класс C) и крупнее.

Маска подсети — указывает, какая часть IP-адреса приходится на адрес сети, а какая — на адрес хоста в ней. Без адреса сети или IP-адреса используется только в обсуждении количества используемых/необходимых адресов.

Маска - это последовательность скольких-то единичек в начале, а потом - нулей, составляющих в итоге 32 бита. Бит равный единице означает, что на его месте в IP-адресе бит будет входить в адрес сети. Нулевые биты в маске определяют позиции бит адреса хоста в IP-адресе.

Маска записывается через “/” после IP-адреса и может записываться как IP (например, 192.168.1.100/255.255.255.0; Здесь маска 255.255.255.0 — это 24 единички и 8 нулей (в двоичной системе), первые 24 символа будут адресом сети, оставшиеся 8 — адресом хоста), или как число от 0 до 32 (192.168.1.100/24 — здесь «/24» — это маска, то есть 24 единички в начале, остальные — нули).

Адрес сети – зарезервированный IP адрес, используемый для обозначения всей сети (совместно с указанием маски сети). В адресе сети на месте адреса хоста все биты выставляются в нули.

Широковещательный запрос — отправка пакета всем устройствам в сети. Для реализации такой рассылки назначается специальный широковещательный адрес: в IP-адрес после адреса сети (вместо адреса хоста) все биты выставляются в единицы.

Соответственно, максимально возможное количество хостов в сети вычисляется по формуле 2^(32-маска)-2. (Так как, когда вместо адреса хоста все нули — это адрес сети, а когда все единички — это широковещательный запрос, соответственно, теряем два адреса из всех вариантов)


Дополнительные сведения:

Маска /32 — указывает, что написан адрес одного и ровно 1 (одного) хоста

Маска /31 — используется для маршрутизации для соединения точка-точка, или если два адреса на один комп (это делается для экономии адресов и для сокращения количества записей о маршрутизации соответственно).


0.0.0.0/0 — весь интернет.

255.255.255.255 — широковещательный запрос всем в локальной сети. Используется обычно в случаях, когда хосту неизвестны настройки локальной сети.


Адреса, которые запрещены в сети интернет, или же «локальные» адреса, которые можно использовать для себя без ограничений (так называемые, «серые» адреса):

Для собственных локальных сетей:

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

и

127.0.0.0/8 – loopback – адреса которые доступны только внутри одного хоста


Классификация сетей

A: 0-127/8

B: 128-191/16

C: 192-223/24

D: 224-239


В сети класса А 2^24-2 хостов в одной сети, в B - 2^16-2, в C – 256 -2=254 хоста.

Адреса класса D используются для многоадресной (multicast) передачи.

Остальные адреса на данный момент зарезервированы и не используются.

Стоит отметить, что ранее классы использовались для маршрутизации. Теперь же вся маршрутизация «бесклассовая» и классы сетей указываются только для указания размера сети (например, “сеть класса C” обозначает сеть с 256 адресами (с маской /24) (любую, даже 10.2.4.0/24!!))

Показать полностью


Пожалуйста, войдите в аккаунт или зарегистрируйтесь