Время на прочтение
Сегодня я расскажу, как организовать сеть в небольшом офисе компании. Мы достигли определенного этапа обучения, посвященного свитчам – сегодня у нас будет последнее видео, завершающее тему коммутаторов Cisco. Конечно, мы еще будем возвращаться к свитчам, и в следующем видеоуроке я покажу вам дорожную карту, чтобы все поняли, в каком направлении мы движемся и какую часть курса уже освоили.
Итак, давай приступим к созданию офисной сети. Если разделить этот процесс на части, первое, что потребуется сделать – это выяснить требования, которым должна удовлетворять эта сеть. Так что прежде чем приступить к созданию сети для небольшого офиса, домашней сети или какой-либо еще локальной сети, нужно составить список предъявляемых к ней требований.
Второе, что нужно сделать – это разработать дизайн сети, решить, как вы планируете удовлетворить предъявляемые требования, и третье – создать физическую конфигурацию сети.
Предположим, речь идет о новом офисе, в котором имеются различные отделы: отдел маркетинга Marketing, административный отдел Management, финансовый отдел Accounts, отдел кадров Human resource и помещение серверной Server room, в котором вы будете находиться в качестве специалиста IT-поддержки и системного администратора. Далее расположено помещение отдела продаж Sales.
Требования к проектируемой сети заключаются в том, что сотрудники разных отделов не должны быть связаны друг с другом. Это значит, что, например, сотрудники отдела продаж, в котором имеется 7 компьютеров, могут обмениваться по сети файлами и сообщениями только друг с другом. Аналогично два компьютера отдела маркетинга могут общаться только между собой. Административный отдел, в котором имеется 1 компьютер, возможно, в будущем расширится до нескольких сотрудников. Точно так же отдельную собственную сеть должны иметь бухгалтерия и отдел кадров.
В этом заключаются требования, предъявляемые к нашей сети. Как я уже сказал, серверная – это помещение, где вы будете сидеть и откуда будете поддерживать всю офисную сеть. Поскольку это новая сеть, вы свободны в выборе её конфигурации, в том, как её спланировать. Прежде чем продолжить, я хочу показать, как выглядит серверная.
От вас, как сетевого администратора, зависит, будет ли ваша серверная выглядеть так, как показано на первом слайде, или так, как она изображена на втором.
Разница между этими двумя серверными зависит от того, насколько вы дисциплинированы. Если вы следуете практике маркировать сетевые кабеля бирками и наклейками, вы сможете поддерживать офисную сеть в порядке. Как видно, во второй серверной все кабеля приведены в порядок и каждая группа кабелей снабжена биркой с обозначением, куда идут эти кабели. Например, один кабель идёт в отдел продаж, другой – в администрацию и так далее, то есть все идентифицировано.
Вы можете сделать серверную, как показано на первом слайде, если у вас всего 10 компьютеров. Можно повтыкать кабели в случайном порядке и расставить свитчи кое-как без всякой системы в их расположении. Это не проблема, пока у вас небольшая сеть. Но по мере того, как число компьютеров будет добавляться, а сеть компании — расширяться, наступит момент, когда вы станете тратить большую часть времени на то, чтобы идентифицировать все эти кабели. Вы сможете случайно обрезать кабель, идущий к какому-нибудь компьютеру или просто не понять, какой кабель подключен к какому порту.
Так что толковая организация расположения устройств вашей серверной в ваших же интересах. Следующая важная вещь, о которой стоит поговорить, это сетевое развитие — кабеля, штекеры и кабельные розетки. Мы много говорили о свитчах, но забыли рассказать о кабелях.
Кабель CAT5 или СAT6 принято называть неэкранированной витой парой или UTP-кабелем. Если вы снимите защитную оболочку такого кабеля, то увидите 8 попарно скрученных проводов: зеленый и бело-зеленый, оранжевый и бело-оранжевый, коричневый и бело-коричневый, синий и бело-синий. Зачем их скручивают? При электромагнитной интерференции электрических сигналов в двух расположенных параллельно проводах создаются помехи, которые вызывают ослабевание сигнала с увеличением длины проводов. Скручивание проводов взаимно компенсирует возникающие индукционные токи, уменьшает помехи и увеличивает расстояние передачи сигнала.
У нас имеется 6 категорий сетевого кабеля – от 1 до 6. С повышением категории повышается расстояние передачи сигнала, в большей степени из-за того, что возрастает степень скручивания пар. Кабель CAT6 имеет намного больше витков на единицу длины, чем CAT5, поэтому он намного дороже. Соответственно, кабель 6 категории обеспечивают большую скорость передачи данных на большем расстоянии. На рынке наиболее распространены категории кабелей 5, 5е и 6. Кабель 5е – это усовершенствованная категория 5, его используют большинство компаний, но при создании современных офисных сетей применяют в основном CAT6.
Если вы зачистите этот кабель от оболочки, он будет иметь 4 витых пары, как показано на слайде. У вас также имеется коннектор RJ-45, который содержит 8 металлических контактов. Вы должны вставить провода кабеля в коннектор и использовать инструмент для обжима, который называется кримпер. Для того, чтобы обжать провода витой пары, вы должны знать, как их правильно расположить в коннекторе. Для этого используется следующие схемы.
Существует прямой и перекрестный, или кроссоверный обжим витой пары. В первом случае вы соединяете друг с другом провода одинакового цвета, то есть вы соединяете бело-оранжевый провод с 1 контактом коннектора RJ-45, оранжевый – со вторым, бело-зеленый – с третьим и далее, как показано на схеме.
Обычно, если вы соединяете 2 разных устройства, например, свитч и хаб или свитч и роутер, вы используете прямой обжим. Если вы хотите соединить одинаковые устройства, например, свитч с другим свитчем, вы должны использовать кроссовер. В обоих случаях провод одного цвета соединяется с проводом такого же цвета, вы просто меняете взаимное расположение проводов и контактов коннектора.
Чтобы понять это, подумайте о телефоне. Вы говорите в микрофон телефона, а слушаете звук из динамика. Если вы говорите со своим другом, то, что вы произносите в микрофон, поступает на динамик его телефона, а то, что ваш друг говорит в свой микрофон, вы слышите из своего динамика.
Вот что представляет собой соединение типа кроссовер. Если ваши микрофоны соединить друг с другом и также соединить динамики, телефоны не будут работать. Это не самая подходящая аналогия, но я надеюсь, вы поняли суть кроссовера: провод приемника идет к проводу передатчика, а провод передатчика – к приемнику.
Схема прямого соединения различных устройств работает так: свитч и роутер имеют разные порты, и если контакты 1 и 2 свитча предназначены для передачи, то контакты 1 и 2 роутера предназначены для приема. Если устройства одинаковые, то контакты 1 и 2 и у первого, и у второго свитча служат для передачи, а поскольку провода для передачи не могут соединяться с такими же проводами, контакты 1 и 2 передатчика первого свитча соединены с контактами 3 и 6 второго свитча, то есть с приемником. Вот для чего устраивается кроссовер.
Но на сегодня эти схемы устарели, вместо них используется Auto-MDIX – интерфейс передачи данных, зависящий от среды. Узнать о нем можно из Google или статьи в Википедии, я не хочу тратить на это время. Вкратце — этот электрический и механический интерфейс позволяет использовать любой кабель, например, прямой коннект, а «умное» устройство само определит, какой тип кабеля используется — передатчик или приемник, и подключит его соответствующим образом.
Итак, мы рассмотрели, как нужно соединять кабели и теперь перейдём к требованиям дизайна сети. Откроем Cisco Packet Tracer и увидим, что я разместил схему нашего офиса как подложку для верхнего слоя сетевого развития. Поскольку в разных отделах разные сети, лучше всего организовать их из независимых свитчей. Я размещу в каждой комнате по одному свитчу, так что всего у нас шесть свитчей от SW0 до SW5. Затем я расставлю по 1 компьютеру на каждого работника офиса – всего 12 штук от PC0 до PC11. После этого я соединю каждый компьютер со свитчем с помощью кабеля. Такая схема достаточно безопасна, данные одного отдела недоступны для другого отдела, вы не знаете об успехах или неудачах другого отдела, и это правильная офисная политика. Возможно, кто-то в отделе продаж обладает способностями хакера и мог бы проникнуть по общей сети в компьютеры отдела маркетинга и удалить информацию, или же работники разных отделов по деловым соображениям просто не должны обмениваться данными, и тому подобное, так что раздельные сети помогают предотвратить подобные случаи.
Проблема заключается в следующем. Я добавлю внизу картинки облачко – это Интернет, к которому через свитч подсоединен компьютер сетевого администратора в серверной.
Вы не можете предоставить каждому отделу индивидуальный доступ к интернету, поэтому должны соединить свитчи отделов со свитчем в серверной. Именно так звучит требование по подключению офисного интернета – все индивидуальные устройства должны подключаться к общему свитчу, имеющему выход за пределы офисной сети.
Здесь у нас возникает уже известная проблема: если оставить сеть с настройками по умолчанию, то все компьютеры смогут связываться друг с другом, потому что будут подсоединены к одной и той же native VLAN1. Чтобы этого избежать, нам нужно создать разные VLAN.
Давайте обозначим эти сети на схеме топологии офисной сети и начнем с VLAN20, потому что VLAN10 зарезервирована за телефонией. После этого можно считать, что мы разработали дизайн новой офисной сети.
Итак, после того как мы создали отдельные подсети для каждого отдела, то есть сделали так, что устройства могут общаться только внутри своей VLAN, возникает такой вопрос. Как вы помните, свитч в серверной – это центральный коммуникатор, на который замкнуты все остальные свитчи, поэтому он должен знать обо всех сетях в офисе. Однако свитч SW0 должен знать только о VLAN30, потому что в этом отделе нет других сетей. Теперь представим, что у нас расширился отдел продаж и мы должны будем перевести часть сотрудников в помещение отдела маркетинга. В этом случае нам нужно будет создать в отделе маркетинга ещё и сеть VLAN40, которую тоже потребуется подключить к свитчу SW0.
После этого вы из серверной, со своего компьютера сможете связаться с любым из свитчей по протоколу Telnet и настроить их в соответствии с требованиями сети. Однако как администратору сети вам также нужен доступ к этим свитчам по внешнему каналу связи, или out of band access. Для обеспечения такого доступа необходимо устройство, называемое Terminal Server, или терминальный сервер.
Согласно логической топологии сети, все эти свитчи расположены в разных помещениях, однако физически они могут быть установлены на общей стойке в серверной. В эту же стойку можно вставить терминальный сервер, к которому будут подключены все компьютеры. Из этого сервера выходят оптические кабели, на одном конце которых расположен Serial-коннектор, а на другом – обычный штекер для кабеля CAT5. Все эти кабели подсоединены к консольным портам свитчей, установленных в стойке. К каждому оптическому кабелю можно подсоединить 8 устройств. Этот терминальный сервер должен быть подсоединен к вашему компьютеру PC7. Таким образом, вы через Terminal Server можете подсоединиться к консольному порту любого из свитчей по внешнему каналу связи.
Вы можете спросить, зачем это нужно, если все эти устройства расположены рядом с вами в одной серверной. Дело в том, что ваш компьютер может напрямую подсоединиться только к одному консольному порту. Поэтому, чтобы проверить несколько свитчей, вам понадобиться физически отсоединить кабель от одного устройства, чтобы подключиться к другому. При использовании терминального сервера достаточно просто нажать одну клавишу на клавиатуре вашего компьютера, чтобы подключиться к консольному порту свитча #0, для переключения на другой свитч достаточно нажать другую клавишу и так далее. Таким образом, вы сможете управлять любым из свитчей, просто нажимая клавиши. Поэтому в обычных условиях вам необходим терминальный сервер для управления свитчами при устранении неполадок сети.
Итак, мы закончили с разработкой дизайна сети и теперь рассмотрим основные настройки сети.
Если вы выполните все три шага: определите требования, предъявляемые к сети, нарисуете схему будущей сети хотя бы на бумаге и затем перейдете к настройкам, то сможете с легкостью организовать свою серверную.
Как я уже сказал, мы практически закончили изучение свитчей, хотя еще будем к ним возвращаться, поэтому на следующих видеоуроках перейдем к роутерам. Эта очень интересная тема, которую я постараюсь осветить как можно полнее. Первое видео о роутерах мы рассмотрим через урок, а следующий урок, День 17, я посвящу итогам проделанной работы по изучению курса CCNA, расскажу, какую часть курса вы уже освоили и сколько вам еще осталось изучить, чтобы каждый отчетливо понимал, какой стадии обучения он достиг.
Вскоре я планирую разместить на нашем сайте практические задания, и если вы зарегистрируетесь, то сможете выполнять тесты, аналогичные тем, которые придется выполнять при сдаче экзамена на получение сертификата CCNA.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Примерно 80% из нас, кто заканчивает университет с какой-либо IT-специальностью, в итоге не становится программистом. Многие устраиваются в техническую поддержку, системными администраторами, мастерами по наладке компьютерных устройств, консультантами-продавцами цифровой техники, менеджерами в it-сферу и так далее.
Эта статья как раз для таких 80%, кто только закончил университет с какой-либо IT-специальностью и уже начал мониторить вакансии, например, на должность системного администратора или его помощника, либо выездного инженера в аутсорсинговую фирму, либо в техническую поддержку 1-й/2-й линии.
А также для самостоятельного изучения или для обучения новых сотрудников.
За время своей трудовой деятельности в сфере IT я столкнулся с такой проблемой, что в университетах не дают самую основную базу касательно сетей. С этим я столкнулся сначала сам, когда, после окончания университета, ходил по собеседованиям в 2016 году и не мог ответить на простые (как мне сейчас кажется) вопросы. Тогда мне конечно показалось, что это я прохалтурил и не доучил в университете. Но как оказалось дело в образовательной программе. Так как сейчас, я также сталкиваюсь с данным пробелом знаний, когда обучаю новых сотрудников.
И что тогда, мне пришлось изучить множество статей в интернете, прежде чем я понял базовые моменты, и что сейчас, задавая молодым специалистам темы для изучения, они с трудом находят и усваивают необходимое. Это происходит по причине того, что в Интернете огромное количество статей и все они разрозненны по темам, либо написаны слишком сложным языком. Плюс большинство информации в начале своих статей содержат в основном просто научные определения, а дальше сразу сложные технологии использования. В итоге получается много того, что для начинающего пока совсем непонятно.
Именно поэтому я решил собрать основные темы в одну статью и объяснить их как можно проще «на пальцах».
Сразу предупреждаю, что никакой углубленной информации в статье не будет, только исключительно самая база и самое основное.
Темы, которые рассмотрены:
Глобальные и Локальные сети
Вся интернет сеть подразделяется на глобальную (WAN) и локальную (LAN).
Все пользовательские устройства в рамках одной квартиры или офиса или даже здания (компьютеры, смартфоны, принтеры/МФУ, телевизоры и т.д.) подключаются к роутеру, который объединяет их в локальную сеть.
Выход в глобальную сеть обеспечивает интернет провайдер, за что мы и платим ему абонентскую плату. Провайдер устанавливает на своих роутерах уровень скорости для каждого подключения в соответствии с тарифом. Провайдер прокидывает нам витую пару или оптику до нашего роутера (нашей локальной сети) и после этого любое устройства нашей локальной сети может выходить в глобальную сеть.
Для аналогии, сети, можно сравнить с дорогами.
Например, дороги вашего города N это локальная сеть. Эти дороги соединяют вас с магазинами, учреждениями, парками и другими местами вашего города.
Чтобы попасть в другой город N вам необходимо выехать на федеральную трассу и проехать некоторое количество километров. То есть выйти в глобальную сеть.
Для более наглядного представления, что такое глобальная и локальная сеть я нарисовал схематичный рисунок.
Белые и серые IP-адреса
Так вот это локальный адрес вашего устройства.
Существуют разрешенные диапазоны локальных сетей:
Думаю из представленной таблицы сразу становится понятно почему самый распространенный диапазон это 192.168. X. X
NAT
NAT работает на всех роутерах и позволяет нам из локальной сети выходить в глобальную.
Для лучшего понимания разберем два примера:
То есть, в этом случае получается, что ваши устройства находятся за двойным NAT’ом.
Такая схема имеет более высокую степень безопасности ваших устройств, но также и имеет ряд больших минусов. Например, нестабильная sip-регистрация VoIP оборудования или односторонняя слышимость при звонках по ip-телефонии.
Более подробно о работе механизма NAT, о его плюсах и минусах, о выделении портов, о сокетах и о видах NAT я напишу отдельную статью.
DHCP — сервер и подсети
Можно настроить несколько DHCP-серверов на одном роутере. Тогда локальная сеть разделится на подсети.
Например, компьютеры подключим к нулевой подсети в диапазон 192.168.0.2-192.168.0.255, принтеры к первой подсети в диапазон 192.168.1.2-192.168.1.255, а Wi-Fi будем раздавать на пятую подсеть с диапазоном 192.168.5.2-192.168.5.255 (см. схему ниже)
Обычно, разграничение по подсетям производить нет необходимости. Это делают, когда в компании большое количество устройств, подключаемых к сети и при настройке сетевой безопасности.
Но такая схема в компаниях встречается довольно часто.
Поэтому обязательно нужно знать очень важный момент.
Внимание!
Если вам необходимо с ПК зайти на web-интерфейс, например, принтера или ip-телефона и при этом ваш ПК находится в другой подсети, то подключиться не получится.
Для понимания разберем пример:
Также и к МФУ (172.17.17.10) вы сможете подключиться только с ПК4 (172.17.17.12).
Устройства маршрутизации сети (маршрутизатор, коммутатор, свитч, хаб)
Как ни странно, но есть такой факт, что новички в IT (иногда и уже действующие сис.админы) не знают или путают такие понятия как маршрутизатор, коммутатор, свитч, сетевой шлюз и хаб.
Я думаю, причина такой путаницы возникла из-за того, что наплодили синонимов и жаргонизмов в названиях сетевого оборудования и это теперь вводит в заблуждение многих начинающих инженеров.
а) Роутер, маршрутизатор и сетевой шлюз
Все знают что такое роутер. Что это именно то устройство, которое раздает в помещении интернет, подключенный от интернет провайдера.
Так вот маршрутизатор и сетевой шлюз это и есть роутер.
Данное оборудование является основным устройством в организации сети. В инженерной среде наиболее используемое название это “маршрутизатор”.
Кстати маршрутизатором может быть не только приставка, но и системный блок компьютера, если установить туда еще одну сетевую карту и накатить, например, RouterOS Mikrotik. Далее разрулить сеть на множество устройств с помощью свитча.
б) Что такое Свитч и чем он отличается от Коммутатора и Хаба
Свитч и Коммутатор это тоже синонимы. А вот хаб немного другое устройство. О нем в следующем пункте (в).
Коммутатор (свитч) служит для разветвления локальной сети. Как тройник или сетевой фильтр, куда мы подключаем свои устройства, чтобы запитать их электричеством от одной розетки.
У стандартного маршрутизатора обычно 4-5 портов для подключения устройств. Соответственно, если ваши устройства подключаются проводами и их больше чем портов на роутере, то вам необходим свитч. Можно к одному порту роутера подключить свитч на 24 порта и спокойно организовать локальную сеть на 24 устройства.
А если у вас завалялся еще один роутер, то можно в его web-интерфейсе включить режим коммутатора и тоже использовать как свитч.
Хаб выполняет те же функции, что и коммутатор. Но его технология распределения сильно деревянная и уже устарела.
Хаб раздает приходящие от роутера пакеты всем подключенным устройствам без разбора, а устройства уже сами должны разбираться их это пакет или нет.
А коммутатор имеет MAC таблицу и поэтому распределяет приходящие пакеты на одно конкретное устройство, которое и запрашивало этот пакет. Следовательно передача данных коммутатором быстрее и эффективнее.
В настоящее время уже редко где встретишь использование хаба, но всё таки они попадаются, нужно быть к этому готовым и обязательно рекомендовать пользователю замену хаба на свитч.
Основные команды для анализа сети
а) Команда Ping
Здесь мы “пинганули” dns сервер google и, как видим, сервер активен (отклик на пинги есть и равен 83 мс).
То есть ответа на пинги не получаем.
Но Ping намного полезней использовать с ключами:
-t -”пинговать” непрерывно (для остановки нажимаем комбинацию Ctrl+С)
-а -отображать имя “пингуемого” узла (сайта/устройства/сервера)
Соответственно ключ “-а” нам показал, что имя пингуемого узла “dns.google”.
А благодаря ключу “-t” ping шел без остановки, я остановил его, нажав Ctrl+C.
При непрерывном пинге можно увидеть адекватно ли ведет себя пингуемый узел и примерное качество работы интернет канала.
Как видим из скриншота, периодически возникают задержки приема пакета аж до 418 мс, это довольно критичное значение, так как скачок с 83 мс до 418 мс отразился бы на видеосвязи торможением/зависанием изображения или в ip-телефонии деградацией качества голоса.
В моем случае, скорей всего штормит мой домашний Интернет.
Но чтобы более детально установить причину, это нужно запускать dump. А это тема для целой статьи.
Внимание! Иногда на роутерах отключена отправка ICMP пакетов (кто-то отключает специально, а где-то не включена по умолчанию), в таком случае на “пинги” такой узел отвечать не будет, хотя сам будет активен и нормально функционировать в сети.
Иногда очень важно увидеть каким путем идет пакет до определенного устройства.
Возможно где-то есть пробоина и пакет не доходит до адресата. Так вот утилита трассировки помогает определить на каком этапе этот пакет застревает.
Здесь мы увидели через какие узлы проходит наш запрос, прежде чем дойдет до сервера ya.ru
На ОС Linux эта утилита вызывается командой traceroute.
Утилитой трассировки также и обладают некоторые устройства, маршрутизаторы или голосовые VoIP шлюзы.
в) Утилита whois
Я пользуюсь ей только на Linux. Утилита качается и устанавливается легко из стандартного репозитория операционной системы.
Но также читал, что и на Windows есть подобное решение.
Транспортные протоколы TCP и UDP
Все передачи запросов и прием ответов между устройствами в сети осуществляются с помощью транспортных протоколов TCP и UDP.
TCP протокол гарантированно осуществляет доставку запроса и целостность его передачи. Он заранее проверяет доступность узла перед отправкой пакета. А если по пути целостность пакета будет нарушена, то TCP дополнит недостающие составляющие.
В общем, это протокол, который сделает все, чтобы ваш запрос корректно дошел до адресата.
Поэтому TCP самый распространенный транспортный протокол. Он используется когда пользователь серфит интернет, лазает по сайтам, сервисам, соц. сетям и т.д.
UDP протокол не имеет такой гарантированной передачи данных, как TCP. Он не проверяет доступность конечного узла перед отправкой и не восполняет пакет в случае его деградации. Если какой-то пакет или несколько пакетов по пути утеряны, то сообщение дойдет до адресата в таком неполном виде.
Зачем тогда нужен UDP?
Дело в том, что данный транспортный протокол имеет огромное преимущество перед TCP в скорости передачи данных. Поэтому UDP широко используется для пересылки голосовых и видео пакетов в реальном времени. А именно, в ip-телефонии и видео звонках.
К примеру, любой звонок через WhatsApp или Viber использует транспортный протокол UDP. Также и при видео звонках, например, через Skype или те же мессенджеры WhatsApp и Viber.
Именно потому что UDP не гарантирует абсолютную передачу данных и целостность передаваемого пакета, зачастую возникают проблемы при звонках через интернет.
Это прерывание голоса, запаздывание, эхо или робоголос.
Данная проблема возникает из-за нагруженного интернет канала, двойного NATа или радиоканала.
Хорошо бы конечно в таких случаях использовать TCP, но увы, для передачи голоса необходима мгновенная передача целостных пакетов, а для этой задачи идеально подходит UDP.
Чтобы не возникало проблем с использованием UDP протокола, нужно просто организовать качественный интернет канал. А также настроить на роутере выделенную полосу для UDP, чтобы нагрузка с других устройств, которые используют TCP не мешала работе транспортного протокола UDP.
На этом всё.
Я не стал нагромождать статью и копипастить сюда научные определения всех используемых терминов, кому это необходимо, просто загуглите.
Я постарался собрать воедино 7 самых важных, на мой взгляд, моментов, знание которых, помогут юному “айтишнику” пройти первые этапы собеседования на “айтишные” должности или хотя бы просто дать понять работодателю, что вы явно знаете больше, чем рядовой юзер.
Изучайте, конспектируйте. Надеюсь, что статья многим принесет пользу.
Продолжая рассказ о ZeroTier, от теории, изложенной в статье «Интеллектуальный Ethernet-коммутатор для планеты Земля», перехожу к практике, в которой:
Сетевой контроллер
Как уже было сказано ранее, для создания виртуальных сетей, управления ими, а также подключения узлов, пользователю необходим сетевой контроллер, графический интерфейс (GUI) для которого существует в двух ипостасях:
Варианты ZeroTier GUI
В своей практике я пользовался обеими и в результате всё-таки остановился на второй. Причиной чему послужило предостережения разработчика.
«Сетевые контроллеры служат центрами сертификации для виртуальных сетей ZeroTier. Файлы содержащие секретные ключи контроллера должны тщательно охраняться и надежно архивироваться. Их компрометация позволяет неавторизованным злоумышленникам создавать мошеннические конфигурации сетей., а потеря — приводит к потере способности контролировать и управлять сетью, фактически делая её непригодной для использования»
А также, признаки собственной ИБ-параноидальности 🙂
Отдельно останавливаться на том, как развернуть сетевой контроллер и GUI для него на on-premise физических или виртуальных ресурсах, в этой статье я не вижу особого смысла. И тому тоже есть 3 причины:
Поэтому, выбрав путь меньшего сопротивления, буду использовать в данном повествовании сетевой контроллер с GUI на основе VDS, созданного из шаблона, любезно разработанного моими коллегами из RuVDS.
Первоначальная настройка
По умолчанию сервер уже содержит предварительно созданный самоподписанный TLS/SSL сертификат. Для меня этого достаточно, так как я закрываю доступ к нему извне. Для тех же, кто желает использовать другие типы сертификатов, есть инструкция по установке на GitHab разработчика GUI.
Она предлагает изменить пароль по умолчанию на пользовательский
Вводимые символы чувствительны к регистру — будьте внимательны!
Чек-бокс подтверждения смены пароля при следующем входе — Change password on next login: не отмечаю.
Для подтверждения введенных данных жму Set password:
В дальнейшем изменить пароль пользователя, можно кликнув либо на его имя, либо на set password.
Создание виртуальной сети
На странице Add network пользователь назначает имя вновь создаваемой им сети.
При применении вводимых данных — Create Network пользователь попадает на страницу со списком сетей, на которой указаны:
Network name — имя сети в виде ссылки, при переходе по которой можно его изменить
Network ID — идентификатор сети
detail — ссылка на страницу с детальными параметрами сети
easy setup — ссылка на страницу для простой настройки
members — ссылка на страницу управления узлами
Для дальнейшей настройки переходим по ссылке easy setup. На открывшейся странице пользователь задаёт диапазон IPv4 — адресов для создаваемой сети. Сделать это можно автоматически, нажатием кнопки Generate network address или вручную, введя в соответствующее поле сетевую маску сети CIDR.
При подтверждении успешного ввода данных необходимо вернуться на страницу со списком сетей с помощью кнопки Back. На этом основную настройку сети можно считать завершённой.
Подключение узлов сети
На скриншоте Web-GUI контроллера можно увидеть три подключенных к сети узла:
Поэтому со своего рабочего компьютера я проверяю доступность других узлов командами:
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Пользователь вправе использовать другие инструменты проверки доступности узлов в сети, как встроенные в ОС, так и такие как NMAP, Advanced IP Scanner и т.д.
Прячем доступ к GUI сетевого контроллера извне.
Вообще, уменьшить вероятность несанкционированного доступа к VDS, на котором находится мой сетевой контроллер, я могу средствами файрвола в личном кабинете RuVDS. Эта тема скорее для отдельной статьи. Поэтому, тут я покажу как обеспечить доступ к GUI контроллера только из сети, которую создал в этой статье.
Для этого необходимо подключившись по SSH к VDS на котором находится контроллер, открыть файл конфигурации с помощью команды:
В открывшемся файле, после строки «HTTPS_PORT=3443», содержащей адрес порта, по которому открывается GUI, нужно добавить дополнительную строку с адресом, по которому GUI будет открываться — в моём случае это HTTPS_HOST=10.10.10.1.
Далее сохраню файл
и выполняю команду:
systemctl restart ztncui
И всё, теперь GUI моего сетевого контроллера доступен только для узлов сети 10.10.10.0/24.
Вместо заключения
На этом первую часть практического руководства по созданию виртуальных сетей на основе ZeroTier хочу закончить. Жду ваших комментариев.
А пока, чтобы скоротать время до момента публикации следующей части, в которой я расскажу, как объединить виртуальную сеть с физической, как организовать «road warrior» режим и кое-что ещё, предлагаю вам попробовать организовать собственную виртуальную сеть с помощью приватного сетевого контроллера с GUI на основе VDS из маркетплейса на сайте RUVDS. Тем более, что для всех новых клиентов действует бесплатный тестовый период — 3 дня!
P. S. Да! Чуть не забыл! Удалить узел из сети можно командой в CLI этого узла.
200 leave OK
или командой Delete в GUI клиента на узле.
В этом руководстве подробно рассмотрим, как создать локальную сеть между компьютерами с любой из последних версий ОС Windows, включая Windows 10 и 8, а также открыть доступ к файлам и папкам по локальной сети.
Отмечу, что сегодня, когда Wi-Fi роутер (беспроводный маршрутизатор) есть почти в каждой квартире, создание локальной сети не требует дополнительного оборудования (так как все устройства и так соединены через маршрутизатор по кабелю или Wi-Fi) и позволит вам не только передавать файлы между компьютерами, но, например, просматривать видео и слушать музыку, хранящееся на жестком диске компьютера на планшете или совместимом телевизоре, не скидывая его предварительно на флешку (это только один из примеров).
Если вы хотите сделать локальную сеть между двумя компьютерами с помощью проводного подключения, но без маршрутизатора, вам потребуется не обычный Ethernet-кабель, а cross-over кабель (поищите в Интернете), кроме случаев, когда на обоих компьютерах установлены современные Gigabit Ethernet адаптеры с поддержкой MDI-X, тогда подойдет и обычный кабель
Примечание: если вам требуется создать локальную сеть между двумя компьютерами Windows 10 или 8 по Wi-Fi, используя беспроводное подключение компьютер-компьютер (без роутера и проводов), то для создания подключения используйте инструкцию: Настройка подключения Wi-Fi компьютер-компьютер (Ad-Hoc) в Windows 10 и 8 для создания подключения, а после этого — шаги ниже для того, чтобы настроить локальную сеть.
Создание локальной сети в Windows — пошаговая инструкция
Прежде всего, установите одинаковое имя рабочей группы для всех компьютеров, которые должны быть подключены к локальной сети. Откройте свойства «Моего компьютера», один из быстрых способов сделать это — нажать клавиши Win + R на клавиатуре и ввести команду sysdm.cpl (Это действие одинаково для Windows 10, 8.1 и Windows 7).
Откроется как раз нужная нам вкладка, в которой можно увидеть, к какой рабочей группе принадлежит компьютер, в моем случае — WORKGROUP. Для того, чтобы изменить имя рабочей группы, нажмите «Изменить» и задайте новое имя (не используйте кириллицу). Как я уже сказал, имя рабочей группы на всех компьютерах должно совпадать.
Следующим шагом, зайдите в Центр управления сетями и общим доступом Windows (его можно найти в панели управления, либо с помощью правого клика по значку подключения в области уведомлений).
Для всех профилей сети включите сетевое обнаружение, автоматическую настройку, общий доступ к файлам и принтерам.
Перейдите к пункту «Дополнительные параметры общего доступа», перейдите к разделу «Все сети» и в последнем пункте «Общий доступ с парольной защитой» выберите «Отключить общий доступ с парольной защитой» и сохраните изменения.
Как предварительный итог: на всех компьютерах локальной сети должно быть установлено одно имя рабочей группы, а также сетевое обнаружение; на компьютерах, папки с которых должны быть доступны в сети, следует включить общий доступ к файлам и принтерам и отключить общий доступ с парольной защитой.
Примечание: в Windows 10 и 8 имя компьютера в локальной сети задается автоматически при установке и обычно выглядит не лучшим образом и не позволяет идентифицировать компьютер. Чтобы изменить имя компьютера используйте инструкцию Как изменить имя компьютера Windows 10 (один из способов в руководстве подойдет и для предыдущих версий ОС).
Предоставление доступа к файлам и папкам на компьютере
Для того, чтобы предоставить общий доступ к папке Windows в локальной сети, кликните правой кнопкой мыши по этой папке и выберите пункт «Свойства» и перейдите к вкладке «Доступ», на ней нажмите кнопку «Расширенная настройка».
Установите отметку «Открыть общий доступ к этой папке», после чего нажмите «Разрешения».
Отметьте те разрешения, которые необходимы для этой папки. Если требуется возможность только чтения, можете оставить значения по умолчанию. Примените сделанные настройки.
После этого, в свойствах папки откройте вкладку «Безопасность» и нажмите кнопку «Изменить», а в следующем окне — «Добавить».
Укажите имя пользователя (группы) «Все» (без кавычек), добавьте его, после чего, установите те же разрешения, что устанавливали в предыдущий раз. Сохраните сделанные изменения.
На всякий случай, после всех проделанных манипуляций, имеет смысл перезагрузить компьютер.
Доступ к папкам в локальной сети с другого компьютера
На этом настройка завершена: теперь, с других компьютеров вы можете получить доступ к папке по локальной сети — зайдите в «Проводник», откройте пункт «Сеть», ну а дальше, думаю, все будет очевидно — открывайте и делайте с содержимым папки все, что было установлено в разрешениях. Для более удобного доступа к сетевой папке, можете создать ее ярлык в удобном месте. Также может оказаться полезным: Как настроить DLNA-сервер в Windows (например, для воспроизведения фильмов с компьютера на телевизоре).
