Реклама

Принцип построения не сложной ЛВС

И здравствуйте. Это вновь рубрика рабочие записки. Чем отличается этот раздел моего скучного и неинтересного блога? Здесь я описываю рабочие моменты без отстаивания правды и "так и надо делать". Просто этакие пометки, чтобы не забыть и чтобы поделиться с вами. Вдруг кому-то пригодится. 

Внимание! В рамках данной статьи не будет разглашаться конкретная схема построения, технические параметры и любая другая конкретная рабочая информация. Здесь описан лишь общий принцип построения и как выполняется простая настройка локальной сети. Иначе говоря - некие мои принципы построения локальных вычислительных сетей.

И я не претендую и всячески снимаю ответственность с себя по поводу грамотности текста.

Вводное слово сделал. Теперь поехали. 

Очень часто начинающие системные администраторы задаются вопросом - как поднять домен в локальной сети? Но прежде, чем мы начнем углубляться в понятия "сервер домен", в самую первую очередь - 7 уровневая модель OSI. Это важно. Это заставляют зазубривать в университете и только столкнувшись в работе вы поймете, что это нужно знать. 

7 - прикладной (как пользователи взаимодействуют с ЛВС и программами) - протоколы, ясень пень, известны даже аникейщику: ftp, http и т.д.
6 - представления (преобразует все, что обращается с прикладного уровня) - тут уже сложнее, но тоже не вызовет вопросов. Данный стек протоколов преобразует данные с прикладного уровня в поток для сеансового уровня. Известные протоколы: LPP, X.25 и др.
5 - сеансовый (название само за себя говорит - поддерживает сеанс между компами) - данный стек создает, завершает и обменивает информацию между компьютерами (точнее между сетевыми устройствами) и является связующим: L2TP, ADSP, SDP, RPC
4 - транспортный (обработка инфы) подготовка информации для передачи и поддержка связи между отправителем информации и ее получателем. Грубо говоря - делит информацию на пакеты и передает. Ну и так же преобразовывает имена и работает с MAC-адресами. Протоколы: TCP, UDP, NCP.
3 - сетевой (самый известный) - определяет куда, кому и как передавать. Наверное, самый известный протокол - IP (Он же ip4\ip6), а так же RIP, IPX...
2 - канальный (мы приближаемся к "земному" - обеспечение взаимодействия с физическим уровнем). Здесь происходит создание и передача кадров данных с сетевого уровня по физическому. Блин, описать сложно :-) Одним словом - создает канал для передачи данных и их передает по протоколу. Я думаю самый известный -это 802.x и Ethernet, а так же старый теплый и шипящий pppoe, ppp, LAPD и т.д..
1 - физический (ту ды ды ды, ту ды ды ды) - определение метода передачи данных. Физической передачи данных. Т.е. как будете прокладывать сеть - витуха, оптика, вообще без проводов и т.д. Протоколы - поднимайте ручки, отвечайте :-) DSL, 802.11 (да да, это вайфай), ISDN, синезубик, IRDA.


При проектировании ЛВС Вы должны не забывать данную модель стека сетевых протоколов. Вы должны уметь сразу определять работу Вашей сети в дальнейшем, что где и как будет установлено и на чем базироваться. Не только в программном плане (например серверная Ось), но и в аппаратной части.


Я же стараюсь придерживаться и использовать классическую схему построения локальной сети и настройки локальной сети. Лвс монтаж и настройка. Центральный switch (я очень уважаю CISCO, но, к сожалению, лично с ней не сталкивался), например, очень клевый Dlink DES-1210, а лучше со всеми гигабитными портами, от которого будет все плестись. Как - решать вам. Можно строить сеть на беспроводе, но тогда учтите, что без повторителей и мощного роутера не обойтись. Если вдруг можно и нужно будет использовать облако и облачные технологии – в этом случае не забывайте, что необходим будет высокоскоростной интернет. Я расскажу про сеть на utp кабеле, в случае с проводной сетью будет проще - в каждый кабинет отводим кабели от центрального свитча. Да, тут тоже есть два варианта. Или по одному кабелю в кабинет, а дальше небольшими свтчами разветвляем или же к каждому рабочему месту отдельный кабель, но учитывайте, что в таком случае у вас может быть много проводов. Не смотря на это второй вариант, на мой взгляд, более удобен, для администратора - вы можете сразу на центральном свитче видеть, какой компьютер выключился и не нужно переживать, что какой-либо сотрудник может случайно выключить свитч в кабинете, отключив своих "соседей" коллег. Когда организация на несколько этажей, рекомендую для каждого этажа свой свитч в серверной. А, да, это главное!!!!!! Обязательно для серверного оборудования просите отдельный кабинет и специальные стойки и шкафы (сами там не сидите, там должно быть оччччень холодно). Сервер, свитчи и бесперебойники - нагреваются, шумят, гудят. Они должны охлаждаться и быть в отдельном помещении. (Посмотрите сериал компьютерщики :-D ). Бесперебойники - отдельная тема. Все лучше в виде "лезвий", равно как и сервера, но можно обойтись и обычными. Лично я бы рекомендовал ибп фирмы «APC» с индикаторами на панели. Далее уже само оборудование. Рабочие места - отдельно поговорим, а начнем с серверной части. Главный сервер, он же контроллер домена (в случае доменной сети). Неважно какая будет операционная среда, старайтесь брать конфигурацию (в случае если это будет town решение) - как на игровой комп (только, что видеокарту можно слабую (можно вообще интегрированную, в дальнейшем вы будете удаленно подключаться, если вообще будете, по-хорошему, настроев один раз сервер, можно в него просто так не лезть). Обязательно, поднимайте зеркальный рейд и отдельный NAS или внешний жесткий для дополнительного резервного копирования. НЕ ЗАБЫВАЙТЕ ПРО БЭКАПЫ!! НИКОГДА!!! а если они еще будут далеко и надежно - идеально. NAS отдельная история, старайтесь его так же приобретать - пригодится в любом случае. Зеркальный рейд - это когда на 2 винчестера записывается одинаково информация, но будет виден он сервером как 1. Возможно Вы заметите, что это не гарант безопасности и если винты с одной "коробки", то сгореть могут так же одновременно, но из опыта: у нас один винт как то сплавился, а второй работал, спася меня от кучи геммороя. Рейды другой конфигурации для сервера крайне не рекомендую. Благо сейчас винчестеры хоть на 4Тб можно купить. По поводу ssd для сервере не знаю, не стал бы на сервант брать. Опять же - все это я расписал для решения, если сервер, на котором поднят домен, это отдельный прямоугольный системный блок. Лучше все брать "лезвиями" для стоек (включая ИБП). Далее, опять же имхо, я считаю, что для каждой задачи должен быть отдельный сервер. Даже если он в кавычках сервер. Например: для прокси - отдельный, для печати - отдельный, для файлосборки - отдельный. Не нужно все валить на одну единицу - сдохнеть ведь :-) Дифференцирование - вот ключ к быстродействию. По поводу прокси - по сути, там будет только сервис для выхода пользователей в интернет. Поэтому заморочиться нужно лишь с винтом и ОЗУ. С жестким диском потому, что обычно (да по другому то и не нужно) прокси - кеширующий. Можно не сразу запустить интернет кабель в проксисервер, а поставить роутер с вайфаем, где один кабель будет идти в сервер с интернетом для всех, а по "воздуху" можно раздавать интернет unlim уже vip. Там вы сами определитесь кому. Зачем? тоже честно, из личного опыта. Вдруг, не дай Бог, Вы заболеете, а прокси навернется, то ладно там простым сотрудникам, но если при этом интернета лишатся компьютеры, от которых зависит работа предприятия... А так они переключатся на wi-fi (если сразу не по "воздуху") и все окей. Это опять же в случае с Кабельной системой. Лично я бы при создании сети с нуля, советовал задуматься с беспроводной локалкой. Все же 21 век, уже телефоны по QI заряжаются. Хотя опять же, решение для небольших организаций и если вы пожалеете денег на дорогой роутер с повторителями - будете ждать кучу проблем. Теперь о прокладке кабелей. В идеале над подвесным потолком, но скрепленные вместе пучком стяжкой. Или монтаж по кабель-каналу над потолком. Или монтаж по плинтусам. Лично я сторонник того, чтобы кабель видно не было. Главное, не допускайте скручивания, а так же переломы кабеля, сгибания, "витки" и т.д. Если шнура получилось с "запасом" то найдите место с большим пространством и сделайте "кольцо", но без резких переломов. Это важно. Хотя, как мне кажется, идея делать "с запасом" - немножко параноидальна. Как правило, место, которое вы определили для выхода кабеля в итоге так и останется на долгие годы. Но если вдруг кабель нужно продлить, а новый прокладывать «сложно\лень\не хочется\ тупо нету кабеля», не делайте скрутки, как в электросети (что тоже дикость, есть хорошее копеечное решение для продления электрокабеля), а используйте специальные "штучки" для этого. Выглядят в виде "розетки" куда втыкается уже обжатый кабель. Да, кстати, рекомендую кабель в кабинетах и на рабочих местах не выводить напрямую в компьютер, кабель могут случайно и повредить (всякое бывает). А лучше ставить сетевую розетку в плинтус (а лучше в стене) и от нее уже вести к компьютеру. Тогда и проблем не будет с перемещением компьютера, да и розетку можно купить на два кабеля, в случае острой необходимости.
Обжим кабеля. Повторяйте перед сном! Бело-оранжевый|оранжевый|бело-зеленый|синий|бело-синий|зеленый|бело-коричневый|коричневый. Знать! наизусть! и никак иначе! (usb ж помним? черный\зеленый\белый\красный). Обжимать коннекторы только обжимом. Можете купить себе личный (я так и сделал) - потом пригодиться. Лично я рекомендую без поперечной металл-планки (иначе проведенный кабель не отрежешь) с возможностью зачистки провода. К слову об обжимах, как то купил обжим для коаксиалки - непередаваевый кайф зачищать тв-кабель без ножика. RJ-45 витуха, RJ-12 - Телефонный. Берите сразу с ним. Обжим - это ваш будущий скальпель. Выбирайте тщательно. Вот такое вот эссе - "лвс монтаж и настройка" :-)
Ну что, подходим плавно к программной части - тут есть повод подискутировать.
Итак, в корне у нас два решения:

  • Unix
  • Windows

лично я пробовал смешанный стиль, честно говоря, мне понравилось.


И прежде чем я начну долгий рассказ, я Вам рекомендую вначале на бумаге расчертить (или в ворде), какие у вас будут группы сотрудников (отделы), кто главнее, кто нет, что им нужно, какая специфика. Чтобы потом в рабочем порядке не менять конфигурации. И всегда все ваши действия описывайте в отдельном файле. Типа рабочих записок. Все ж настройка локальной сети это вам не шуточки :-)


Вам необходимо сразу определить платформу Ваших серверов и рабочих станций. Я бы советовал так: узнать - согласен ли директор на лицензию или нет. Если «нет» (уходите оттуда, в любом случае софт нужен будет лицензионный), то поднимайте все на *nix платформе, если «да» - на windows (хотя еще стоит исходить стоит из личных вкусов и опыта работы). И самое главное - все будет зависеть так же от специфики предприятия и оборудования. Как делал я - контроллер домена и рабочие станции на windows, прокси-сервер пробовал на freebsd - ребята, обязательно пробуйте, ставьте, изучайте. Очень интересно. Сразу скажу, для операторов интернета с 802.1 авторизацией (быв.комтел) надо ставить wpa_supplicant. "Резку" сайтов - через acl. Лучше все через консоль без кед. А, тьфу, изначально нужно squid и samba (а так же куча танцев с кербересами) - для авторизации тех, кто в домене windows. если консоль и могучий vi пугает, то можно поставить webmin и через него настроить squid. Все делаем без kde. В любом случае если выбрали долгий путь админа, то с фряхой и консолью линукса столкнетесь. Правда, потом я перевел прокси на лицензию usergate, благо с лицензионной политиков у нас хорошо обстояли дела. Не упрекайте, я работал и с другими Win-платформами прокси серверов, usergate мне очень понравился, но в нем тоже есть много минусов. Плюсы - помимо прокси, можно и mail сервер поднять. Так же я поднимал сервер печати на linux - тут уже можно не выпендриваться с консолями, а накатать любой линукс и расшарить принтеры. Но, увы, из-за специфического печатающего оборудования, один из аппаратов выдавал ошибку, и пришлось отказаться и здесь от линукса. И еще немало важно. В случае если Вы решили сотрудникам ставить Linux, то обратите внимание на openSUSE (мой любимый линукс, особенно для ноутбуков) или MintLinux с десктопом Cinnamon. Эти две версии линукса максимально приближены к windows (да и мандрива тоже, не забыл). Вернемся к контролеру домена. В первую очередь, если Вы решили Windows платформу, не скупитесь - купите очень хорошие книги для сертификата MCSA - будете знать всю теорию (Внедрение, управление и поддержка сетевой инраструктуры windows server). На контроллере домена я поднимал, ну помимо active directory: DHCP (на самом деле можно и без него), IIS, WSUS, администрирование Касперского, Group police management, служба развертывания Windows, бекап программа и т.д. Так же VBS скрипты к шаблонам пользователей - тоже изучайте. (На рубоарде можно найти много интересных решений). И подключение сетевого диска. Теперь я распишу, как я хотел бы в идеале. Итак, сетевой диск у каждого для хранения именно рабочки. они должен бекапиться регулярно и постоянно. Профили пользователей, конечно, можно бы неперемещаемые. Это было бы сказка просто. Ставите ssd на рабочие станции и сетевой диск. Тогда вы царь сети. (что такое неперемещаемый - это значит, что чтобы пользователь не сделал бы в системе - обои поменял, папки бы создал и т.д. - после перезагрузки все бы вернулось так, как вами было задумано. Это полезно. Только нужный софт и серверная папка для рабочки). Но данный подход имеет кучу ньюансов и не для каждой задачи подходит. Перемещаемые профили более правильно (за пользователем закрепятся его данные и когда бы он зашел с другого компьютера, его бы настройки загрузились). Все программы, влючая винду, должны быть созданы в виде разворачиваемых пакетов (MSI). На сервере обязательно управление рабочими станциями. Про права отдельная тематика. Дальше, старайтесь все решать на уровне сервера. Что я имею ввиду - да тот же wsus. Wsus позволит обновлять Ось на компьютерах через один сервер. Т.е. не каждый компьютер будет лезть в интернет, а только сервер. Развертки - сервер. Скрипты - сервер. Все там. Все ключи на сервере. Так же полезен windows messenger, заменит всякие remoute control. Не забывайте, что расшарив папку для сетевых дисков, добавьте в путь символ "$", дабы скрыть из сетевого окружения. Можно так же создать папку типа incomming, для драйверов или иных данных, для Вашего удобства (хотя лучше все же на своем компьютере это сделать). Для бекапов я лично использовал сторонний софт, просто по незнанию мощной встроенной утилиты по архивации данных. Вам же все же лучше использовать ее.


Теперь про права.
Сервер и групповые политики. Только агрессия. Роковая ошибка, если вы кому-то позволите нечто большее, чем другим. Роковая. Вносите запреты обязательно, не зря же у вас и поднят сервер домен:
установка программ - это итак понятно.

  1. запрет смены пароля.
  2. запрет на диспетчер задач.
  3. запрет на диск C (как я уже и говорил, в идеале у пользователей только сетевой серверный диск и тот спрячьте, чтобы не было видно путей (через vbs все решается)
  4. Запрет на изменение параметров системы. Вы настроили и Вы только можете что-то менять.
  5. Запрет на все, что связано с сетевыми фишками. Например, самим расшаривать папки, залазить на \\name\D$ и т.д. Только сетевое окружение не закройте. Запрет также не забудьте на пристыковку или отстыковку станции или сетевых папок.
  6. Не забудьте настроить сетевые обновления через Ваш wsus сервер.
  7. Запрет на portable soft. Разрешите запуск только указанных программ. Роковая ошибка спрашивать у пользователей "какой браузер Вам нравится". Только вы решаете, какое программное обеспечение будет установлено.
  8. Запрет на исполняемые файлы.
  9. Запрет на командную строку
  10. Если уж сильно понравится запрещать - то и на рабочий стол) Только те ярлыки, которые созданы. Кстати, не забывайте при развертывании создавать ярлык на сетевой диск, на рабочую группу и на папку обмена файлами.
  11. Не бойтесь запрещать. Лучше потом снимать ограничения, показывая какой Вы добрый

Ну и вообще про шаблон пользователя. Помимо объектов групповой политики (кстати, их же в курсе, что можно применять разные для разных групп), вы можете индивидуально для каждой группы пользователей различные свои параметры. Тут и сценарии входов\выходов (еще раз подчеркну - vbs скриптов можно найти море-океан) и параметры безопасности и развертывание программ. Куча всего, что спасет пользовательский компьютер от медленной смерти от действий пользователя (шутка). По сути, запомните, в Active directory главное - это:
Разделить группы пользователей

  • Каждой группе пользователей раздать свои права групповой политики
  • В каждой группе пользователей не ленитесь заполнять все графы свойства пользователя. Нужно, полезно, пригодиться.
  • В групповой политике настраивайте все! не ленитесь. Как для компьютера, так и для пользователя.

В частности это и службы, и политики безопасности, и шаблоны и т.д.
И да, можно на крупнейшем сайте jpanswers скачать дополнительные шаблоны, если вам будет этого мало.


Прокси сервер. Ну тут просто разгуляй душу. У usergate есть отдельный фильтр на сайты по категориям. Я же советую запрещать помимо очевидных категорий сайтов еще и: новостные, рекламные, форумы, развлекательные (ну что и логично). Сразу обращу Ваше внимание на пару нюансов. Ютуб – геммор, он часто открывается как https, проще банить по айпи. Пользователям можно настроить клиенты для их почты, а вообще не нужно им давать возможность на личные ящики заходить. Не введитесь на шантажи, провокации, взятки-шоколадки. Закрыли сайты – все, закрыли. Открыть – разрешение директора с подписью. Вконтакте - на ваше усмотрение, можно забанить vk.me - где все медиафайлы лежат и тогда контакт будет открываться хорошо. Так же swf, flv, mp3, ogg, wma, bmp и т.д. Опять же, в любом прокси можно настроить "счастливые часы" - когда пользователям можно заходить на любые, в пределах разумного, сайты. В принципе, если молодежи много и все дружат, то поднимите IRC чат со своим сервером и парсите его, парсите :-) По секрету, парсите втихаря, можете узнать о том, какой вы скотина в глазах людей и что с вами хотят сделать :-D Сделаете выводы, начнете лучше одеваться. Ой, прошу прощения. По честному же - лучше не парсите, только сеть забьете и настроение себе испортите. Вы администратор, все проблемы потом с компьютером будут на вас. Поэтому ограничивайте права, ограничивайте. И еще по прокси. Гифки запрещать стремно, могут не открыться нужные сайты, проще ограничить размеры файлов. Скорость можете сами резать. Запретите часть проколов и не забудьте про разрешения и хвостики url.


Дальше ативирус. Лучше купить бизнес решения. По мне так Касперский, но на ХРюше тормозит как велосипед в бетоне. Но плюсы его в утилите администрирования. Где Вы так же выдаете права. Ну, тут собственно запрещаете все :-D йоху! обновляться рабочие станции будут через серверную часть, что тоже снимет определенную нагрузку. Не бойтесь стереотипа, что мол антивирус может удалить нужный файл - брэхня :-) на рабочих компьютерах нет нужных файлов вызывающих подозрение. Ну, уж если сильно боитесь, то тоже настройте в политике антивируса чтобы not-a-virus не трогал. Опять же в этом плюс бизнес-решений, все делается только на сервере.
Сервер печати, я вот честно не помню, это в gpo или в настройках шары принтера - документы может удалять с очереди печати только тот, кто отправил. Ну и плюс - документы не удаляются, а остаются в памяти, это пригодится вам для учета. А так хорошо бы завести спец. ПО для учета печати по учеткам из контроллера домена.

И еще по правам пользователей. Запомните еще раз! У вас должность системный администратор и все, что будет связано с рабочим процессом, а точнее с автоматизацией - будет лежать на вас (или на вашем отделе, если вас несколько. По-хорошему вас должно быть двое). Поэтому просьбы типа "ну пожалуйста, разреши, мы плохого не сделаем" - игнорируйте. Сделав сразу стабильную и грамотную настройку прав - вы обеспечите себе жизнь на работе без неприятных сюрпризов. Как вариант, создайте «кодекс» правил пользования локальной сети и пусть каждый пользователь распишется в нем.
Рабочие станции – про Ось я уже сказал, но повторю – если контроллер домена на Windows server, то и АРМ тоже желательно на Windows, будет удобно ими управлять с сервера. В случае линукса, опять же повторюсь, OpenSUSE, Mint (Cinnamon десктоп), Mandriva. А вот про аппаратную часть – здесь все будет тоже зависеть от сервера и от специфики предприятия. Если у вас будет неперемещаемые профили пользователей, сетевой диск и работа по удаленным данным, то можно особо не ставить мощные платформы, а все решить на небольших системных блоках, с ssd, интегрированным видео, большим объемом ОЗУ и процом типа i5- 4570 или i5-4440 . Но опять же, все от степени работы. Если работаете с САПР, то хорошую видеокарту, если математические вычисления – то проц и т.д.

Теперь о самих программах. Базовый пакет. Я считаю, что именно это должно быть на каждом компьютере в рабочей компьютерной сети:

  1. 7zip - бесплатный архиватор. (пс... там можно с помощью него целый файловый менеджер держать)
  2. FoxitReader или Acrobat reader - читался pdf
  3. Djvyu - как бы вы не хотели, но тоже нужно будет
  4. Браузер - оставляйте IE последней версии (желательно 10), хоть он и корявенький, зато будет считывать корректно все настройки групповой политики. Ну или в крайнем случае яндекс.браузер. Я любитель хрома, но без учетной записи гугла он может не все понравиться. Яндекс же - тот же хромиум, только с яндексом.
  5. OpenOffice - как альтернатива MS office, хотя все ж лучше Майкрософт.
  6. Vlc player - ну.. ну.. ну не знаю. и mpc ничего, но в любом случае будут хотеть и требовать )
  7. Антивирус, который от сервера и развернете
  8. и специфическое ПО вашей организации.

И все, не нужно засорять компьютеры.
Еще бы клево usb проверку от autorun, но можно в том же антивирусе включить принудительную проверку носителей
Что удалить? решайте сами. Игры... не нужно. Пусть лучше в косынку, чем будут искать какие либо флеш игры.
Ну про лицензионный софт я уже сказал, так же замечу вам, что ну их в пень всякие сборки виндовсовов. Во первых, у вас должна быть как штык включена возможность резервирования системы по контрольным точкам. Образ образом, но помогает. Автообновление и прочие службы включены (вы все через групповые политики отключите).
У вас должен быть отдельный компьютер, даже два. можно и нужно использовать KVM, в зависимости от ситуации. Первый компьютер должен быть полностью повторять обычный рабочий, он Вам пригодится для экспериментов. Второй - ваш личный. Там уже ставьте больше программ, но не забывайте про утилиты для настройки и мониторинга сети. К серверу лучше подключаться через удаленный рабочий стол или через тот же KVM, если позволит длина кабеля и расположение. (KVM - это когда к одному монитору, мышке и клавиатуре подключается до 4 системных блоков).
В целом, если Вы все грамотно настроите, то ввод новых станций в сеть будет очень быстрым, а неполадки будут легко решаться. Не забывайте смотреть журналы ошибок.

На этом пока все. О пытливый опытный админ, который посмеется над текстом ) Не спорю, то, что я описал не задействует все преимущества и принципы серверов. Да и пишу я коряво корявенько, не претендуя на архиправильность. Рассмотренный мной вариант не подходит для крупных фирм или корпораций, а является частной конфигурацией и по сути базовой настройкой. Впоследствии я буду дополнять раздел типичными ситуациями и решениями, а так же накатаю отчет про Linux.


При работе, подготовке и вообще всего мне помогала - куча книг (включая книги от майкрософт официальные для подготовки к MCSA - внедрение, поддержка и управление сетевой инфраструктуры сети предприятия), а так же форумы и уважаемый преподаватель БелГУ, кто читал нам лекции. И опыт. опыт. опыт. настройка локальной сети, лвс, станет вашим любимым делом. 

P.S. я ищу работу, опыт администрирования 7 лет. Хотел бы рассмотреть различные варианты. Краткое резюме скоро будет здесь.

Последнее изменениеСуббота, 11 Апрель 2015 00:49

Похожие материалы (по тегу)

Добавить комментарий

Защитный код
Обновить

Официальный уголок spoOky. Рогозин Ст.