Современные компьютерные технологии невозможно представить себе без объединения всевозможных устройств в виде стационарных терминалов, ноутбуков или даже мобильных девайсов в единую сеть. Такая организация позволяет не только быстро обмениваться данными между разными устройствами, но и использовать вычислительные возможности всех единиц техники, подключенной к одной сети, не говоря уже о возможности доступа к периферийным составляющим вроде принтеров, сканеров и т. д. Но по каким принципам производится такое объединение? Для их понимания необходимо рассмотреть структурную схему локальной сети, часто называемую топологией, о чем дальше и пойдет речь. На сегодняшний день существует несколько основных классификаций и типов объединения любых устройств, поддерживающих сетевые технологии, в одну сеть. Конечно же, речь идет о тех девайсах, на которых установлены специальные проводные или беспроводные сетевые адаптеры и модули.
Схемы локальных компьютерных сетей: основная классификация
Прежде всего в рассмотрении любого типа организации компьютерных сетей необходимо отталкиваться исключительно от способа объединения компьютеров в единое целое. Тут можно выделить два основных направления, используемых при создании схемы локальной сети. Подключение по сети может быть либо проводным, либо беспроводным.
В первом случае используются специальные коаксиальные кабели или витые пары. Такая технология получила название Ethernet-соединения. Однако в случае использования в схеме локальной вычислительной сети коаксиальных кабелей их максимальная длина составляет порядка 185-500 м при скорости передачи данных не более 10 Мбит/с. Если применяются витые пары классов 7, 6 и 5е, их протяженность может составлять 30-100 м, а пропускная способность колеблется в пределах 10-1024 Мбит/с.
Беспроводная схема соединения компьютеров в локальной сети основана на передачи информации посредством радиосигнала, который распределяется между всеми подключаемыми устройствами, раздающими девайсами, в качестве которых могут выступать маршрутизаторы (роутеры и модемы), точки доступа (обычные компьютеры, ноутбуки, смартфоны, планшеты), коммутационные устройства (свитчи, хабы), повторители сигнала (репитеры) и т. д. При такой организации применяются оптоволоконные кабели, которые подключаются непосредственно к основному раздающему сигнал оборудованию. В свою очередь, расстояние, на которое можно передавать информацию, возрастает примерно до 2 км, а в радиочастотном диапазоне в основном применяются частоты 2,4 и 5,1 МГц (технология IEEE 802.11, больше известная как Wi-Fi).
Проводные сети принято считать более защищенными от внешнего воздействия, поскольку напрямую получить доступ ко всем терминалам получается не всегда. Беспроводные структуры в этом отношении проигрывают достаточно сильно, ведь при желании грамотный злоумышленник может запросто вычислить сетевой пароль, получить доступ к тому же маршрутизатору, а уже через него добраться до любого устройства, в данный момент использующего сигнал Wi-Fi. И очень часто в тех же государственных структурах или в оборонных предприятиях многих стран использовать беспроводное оборудование категорически запрещается.
Классификация сетей по типу соединения устройств между собой
Отдельно можно выделить полносвязную топологию схем соединения компьютеров в локальной сети. Такая организация подключения подразумевает только то, что абсолютно все терминалы, входящие в сеть, имеют связь друг с другом. И как уже понятно, такая структура является практически не защищенной в плане внешнего вторжения или при проникновении злоумышленников в сеть посредством специальных вирусных программ-червей или шпионских апплетов, которые изначально могли бы быть записаны на съемных носителях, которые те же неопытные сотрудники предприятий по незнанию могли подключить к своим компьютерам.
Именно поэтому чаще всего используются другие схемы соединения в локальной сети. Одной из таких можно назвать ячеистую структуру, из которой определенные начальные связи были удалены.
Общая схема соединения компьютеров в локальной сети: понятие основных типов топологии
Теперь кратко остановимся на проводных сетях. В них можно применять несколько наиболее распространенных типов построения схем локальных сетей. Самыми основными видами являются структуры типа «звезда», «шина» и «кольцо». Правда, наибольшее применение получил именно первый тип и его производные, но нередко можно встретить и смешанные типы сетей, где используются комбинации всех трех главных структур.
Топология «звезда»: плюсы и минусы
Схема локальной сети «звезда» считается наиболее распространенной и широко применяемой на практике, если речь идет об использовании основных типов подключения, так сказать, в чистом виде.
Суть такого объединения компьютеров в единое целое состоит в том, что все они подключаются непосредственно к центральному терминалу (серверу) и между собой не имеют никаких связей. Абсолютно вся передаваемая и принимаемая информация проходит непосредственно через центральный узел. И именно эта конфигурация считается наиболее безопасной. Почему? Да только потому, что внедрение тех же вирусов в сетевое окружение можно произвести либо с центрального терминала, либо добраться через него с другого компьютерного устройства. Однако весьма сомнительным выглядит тот момент, что в такой схеме локальной сети предприятия или государственного учреждения не будет обеспечен высокий уровень защиты центрального сервера. А внедрить шпионское ПО с отдельного терминала получится только при наличии физического доступа к нему. К тому же и со стороны центрального узла на каждый сетевой компьютер могут быть наложены достаточно серьезные ограничения, что особенно часто можно наблюдать при использовании сетевых операционных систем, когда на компьютерах отсутствуют даже жесткие диски, а все основные компоненты применяемой ОС загружаются непосредственно с главного терминала.
Но и тут есть свои недостатки. Прежде всего связано это с повышенными финансовыми затратами на прокладку кабелей, если основной сервер находится не в центре топологической структуры. Кроме того, скорость обработки информации напрямую зависит от вычислительных возможностей центрального узла, и если он выходит из строя, соответственно, на всех компьютерах, входящих в сетевую структуру, связи нарушаются.
Схема «шина»
Схема соединения в локальной сети по типу «шины» тоже является одной из распространенных, а ее организация основана на применении единого кабеля, через ответвления которого к сети подключаются все терминалы, в том числе и центральный сервер.
Главным недостатком такой структуры можно назвать высокую стоимость прокладки кабелей, особенно для тех случаев, когда терминалы находятся на достаточно большом удалении друг от друга. Зато при выходе из строя одного или нескольких компьютеров связи между всеми остальными компонентами в сетевом окружении не нарушаются. Кроме того, при использовании такой схемы локальной сети проходящая через основной канал очень часто дублируется на разных участках, что позволяет избежать ее повреждения или невозможности ее доставки в пункт назначения. А вот безопасность в такой структуре, увы, страдает довольно сильно, поскольку через центральный кабель вредоносные вирусные коды могут проникнуть на все остальные машины.
Структура «кольцо»
Кольцевую схему (топологию) локальной сети в некотором смысле можно назвать морально устаревшей. На сегодняшний день она не используется практически ни в одной сетевой структуре (разве что только в смешанных типах). Связано это как раз с самими принципами объединения отдельных терминалов в одну организационную структуру.
Компьютеры друг с другом соединяются последовательно и только одним кабелем (грубо говоря, на входе и на выходе). Конечно, такая методика снижает материальные затраты, однако в случае выхода из строя хотя бы одной сетевой единицы нарушается целостность всей структуры. Если можно так сказать, на определенном участке, где присутствует поврежденный терминал, передача (прохождение) данных попросту стопорится. Соответственно, и при проникновении в сеть опасных компьютерных угроз они точно так же последовательно проходят от одного терминала к другому. Зато в случае присутствия на одном из участков надежной защиты вирус будет ликвидирован и дальше не пройдет.
Смешанные типы сетей
Как уже было сказано выше, основные типы схем локальных сетей в чистом виде практически не встречаются. Гораздо более надежными и в плане безопасности, и по затратам, и по удобству доступа выглядят смешанные типы, в которых могут присутствовать элементы основных видов сетевых схем.
Так, очень часто можно встретить сети с древовидной структурой, которую изначально можно назвать неким подобием «звезды», поскольку все ответвления идут из одной точки, называемой корнем. А вот организация ветвей в такой схеме подключения по локальной сети может содержать в себе и кольцевые, и шинные структуры, делясь на дополнительные ответвления, часто определяемые как подсети. Понятно, что такая организация является достаточно сложной, и при ее создании необходимо использовать дополнительные технические приспособления вроде сетевых коммутаторов или разветвителей. Но, как говорится, цель оправдывает средства, ведь благодаря такой сложной структуре важную и конфиденциальную информацию можно защитить очень надежно, изолировав ее в ветках подсетей и практически ограничив к ней доступ. То же самое касается и вывода из строя составляющих. При таком построении схем локальных сетей совершенно необязательно использовать только один центральный узел. Их может быть несколько, причем с совершенно разными уровнями защиты и доступа, что еще больше повышает степень общей безопасности.
Логистическая топология
Особо важно при организации сетевых структур обратить внимание на применяемые способы передачи данных. В компьютерной терминологии такие процессы принято называть логистической или логической топологией. При этом физические методы передачи информации в различных структурах могут весьма существенно отличаться от логических. Именно логистика, по сути своей, определяет маршруты приема/передачи. Очень часто можно наблюдать, что при построении сети в виде «звезды» обмен информацией осуществляется с использованием шинной топологии, когда сигнал может приниматься одновременно всеми устройствами. В кольцевых логических структурах можно встретить ситуации, когда сигналы или данные принимаются только теми терминалами, для которых они предназначены, несмотря даже на последовательное прохождение через все сопутствующие звенья.
Наиболее известные сети
Выше пока что рассматривалось исключительно построение схем локальных сетей на основе технологии Ethernet, которая в самом простом выражении использует адреса, протоколы и стеки TCP/IP. Но ведь в мире можно найти огромное количество сетевых структур, которые имеют отличные от приведенных принципы сетевой организации. Наиболее известными из всех (кроме Ethernet с использованием логической шинной топологии) являются Token Ring и Arcnet.
Сетевая структура Token Ring в свое время был разработана небезызвестной компанией IBM и базируется на логической схеме локальной сети «маркерное кольцо», что определяет доступ каждого терминала к передаваемой информации. В физическом отношении также применяется кольцевая структура, однако она имеет свои особенности. Для объединения компьютеров в единое целое имеется возможность использования либо витой пары, либо оптоволоконного кабеля, но скорость передачи данных составляет всего лишь 4-16 Мбит/с. Зато маркерная система по типу «звезды» позволяет передавать и получать данные только тем терминалам, которые имеют на это право (помечены маркером). Но основным недостатком такой организации является то, что в определенный момент такими правами может обладать только одна станция.
Не менее интересной выглядит и схема локальной сети Arcnet, созданная в 1977 году компанией Datapoint, которую многие специалисты называют самой недорогой, простой и очень гибкой структурой.
Для передачи информации и подключения компьютеров могут применяться коаксиальные или оптоволоконные кабели, но также не исключается возможность использования витой пары. Правда, в плане скорости приема/передачи эту структуру особо производительной назвать нельзя, поскольку в максимуме обмен пакетами может производиться на скорости подключения не более 2,5 Мбит/с. В качестве физического подключения используется схема «звезда», а в логическом – «маркерная шина». С правами на прием/передачу дело обстоит точно так же, как и в случае с Token Ring, за исключением того, что передаваемая от одной машины информация доступна абсолютно всем терминалам, входящим в сетевое окружение, а не какой-то одной машине.
Краткие сведения по настройке проводного и беспроводного подключения
Теперь кратко остановимся на некоторых важных моментах создания и применения любой из описанных схем локальной сети. Программы сторонних разработчиков при использовании любой из известных операционных систем для выполнения таких действий не нужны, поскольку основные инструменты предусмотрены в их стандартных наборах изначально. Однако в любом случае необходимо учитывать некоторые важные нюансы, касающиеся настройки IP-адресов, которые применяются для идентификации компьютеров в сетевых структурах. Разновидностей всего две – статические и динамические адреса. Первые, как уже понятно из названия, являются постоянными, а вторые могут изменяться при каждом новом соединении, но их значения находятся исключительно в одном диапазоне, устанавливаемом поставщиком услуг связи (провайдером).
В проводных корпоративных сетях для обеспечения высокой скорости обмена данными между сетевыми терминалами чаще всего используются статические адреса, назначаемые каждой машине, находящейся в сети, а при организации сети с беспроводным подключением обычно задействуются динамические адреса.
Для установки заданных параметров статического адреса в Windows-системах используются параметры протокола IPv4 (на постсоветском пространстве шестая версия еще особо широкого распространения не получила).
В свойствах протокола достаточно прописать IP-адрес для каждой машины, а параметры маски подсети и основного шлюза являются общими (если только не используется древовидная структура с множеством подсетей), что выглядит очень удобным с точки зрения быстрой настройки подключения. Несмотря на это, динамические адреса использовать тоже можно.
Они назначаются автоматически, для чего в настройках протокола TCP/IP имеется специальный пункт, в каждый определенный момент времени присваиваются сетевым машинам прямо с центрального сервера. Диапазон выделяемых адресов предоставляется провайдером. Но это абсолютно не значит, что адреса повторяются. Как известно, в мире не может быть двух одинаковых внешних IP, и данном случае речь идет либо о том, что они изменяются только внутри сети либо перебрасываются с одной машины на другую, когда какой-то внешний адрес оказывается свободным.
В случае с беспроводными сетями, когда для первичного подключения используются маршрутизаторы или точки доступа, раздающие (транслирующие или усиливающие) сигнал, настройка выглядит еще проще. Главное условие для такого типа подключения – установка автоматического получения внутреннего IP-адреса. Без этого соединение работать не будет. Единственный изменяемый параметр – адреса серверов DNS. Несмотря на начальную установку их автоматического получения, зачастую (особенно при снижении скорости подключения) рекомендуется выставлять такие параметры вручную, используя для этого, например, бесплатные комбинации, распространяемые компаниями Google, Yandex и т. д.
Наконец, даже при наличии только какого-то определенного набора внешних адресов, по которым в интернете идентифицируется любое компьютерное или мобильное устройство, изменять их тоже можно. Для этого предусмотрено множество специальных программ. Схема локальной сети может иметь любую из выше перечисленных вариаций. А суть применения таких инструментов, которые чаще всего представляют собой либо VPN-клиенты, либо удаленные прокси-серверы, состоит в том, чтобы изменить внешний IP, который, если кто не знает, имеет четкую географическую привязку, на незанятый адрес, по расположению находящийся в совершенно в другой локации (хоть на краю света). Применять такие утилиты можно непосредственно в браузерах (VPN-клиенты и расширения) либо производить изменение на уровне всей операционной системы (например, при помощи приложения SafeIP), когда некоторым приложениям, работающим в фоновом режиме, требуется получить доступ к заблокированным или недоступным для определенного региона интернет-ресурсам.
Эпилог
Если подводить итоги всему вышесказанному, можно сделать несколько основных выводов. Первое и самое главное касается того, что основные схемы подключения постоянно видоизменяются, и их в начальном варианте практически никогда не используют. Наиболее продвинутыми и самыми защищенными являются сложные древовидные структуры, в которых дополнительно может использоваться несколько подчиненных (зависимых) или независимых подсетей. Наконец, кто бы что ни говорил, на современном этапе развития компьютерных технологий проводные сети, даже несмотря на высокие финансовые затраты на их создание, все равно по уровню безопасности на голову выше, чем простейшие беспроводные. Но беспроводные сети имеют одно неоспоримое преимущество – позволяют объединять компьютеры и мобильные устройства, которые географически могут быть удалены друг от друга на очень большие расстояния.
Пример построения производственной ЛВС для очень простого объекта
Время на прочтение
34 мин
Количество просмотров 8.6K
В качестве примера рассматриваем небольшое производство (металлообработка, столярный цех), состоящее из нескольких обрабатывающих центров (станки с ЧПУ, возможно Windows-станция в качестве управляющего контроллера). На производстве 3-5 операторов, 2-3 конструктора, бухгалтер, менеджер, руководитель. Компания не может содержать на постоянной основе сетевого администратора или специалиста по ИБ. На производстве вообще нет специалистов с необходимыми компетенциями по организации компьютерных сетей, администрированию WINDOWS или Linux. Знания персонала ограничены прикладными программами на уровне пользователя, знание операционных систем и сетей на «бытовом уровне». Основная задача – обеспечить устойчивую работу оборудования в производственном сегменте, обеспечить безопасное хранение данных, защитить критичные данные от вируса-шифровальщика или уничтожения.
Для построения ЛВС предприятия выделяем два сегмента сети: административный и производственный. Для организации каждого сегмента используется отдельный коммутатор (понятно, самый простой, неуправляемый). Сегменты соединяются через шлюз (специальный ПК с двумя сетевыми интерфейсами и Linux в качестве операционной системы). Шлюз одновременно является файл-сервером. Максимально простой и бюджетный вариант организации сети, не требующий постоянного внимания сетевого администратора. Выход в интернет имеет только административный сегмент сети через простой маршрутизатор с NAT.
Производственный сетевой сегмент – предполагается, что в сегменте расположены обрабатывающие центры и другое производственное оборудование (под управлением специализированного ПО). При наличии сетевых интерфейсов оборудование подключается к коммутатору производственного сегмента и может обмениваться файлами с Linux-шлюзом (FTP, Samba сервер). При отсутствии сетевых интерфейсов, файлы с Linux-шлюза на оборудование переносятся USB-накопителем, который используется только в производственном сегменте (подключение этого накопителя к компьютерам за производственным сегментом не допускается). Из производственного сегмента ЛВС нет выхода в административный сегмент сети или внешнюю сеть (интернет), сквозная пересылка пакетов через шлюз из производственного сегмента в административный запрещена.
В административном сегменте расположены все офисные компьютеры и рабочие места конструкторов. Все компьютеры работают под управлением Windows. Домена или какого-либо ограничения прав пользователей нет, любой пользователь может получить полные права на своем компьютере, может устанавливать произвольное ПО, свободно «бродить» по внешней сети. Каждый пользователь имеет локальную папку с критической для производства информацией, необходимо обеспечить копирование этой информации и надежное хранение. Административный сегмент подключен через маршрутизатор с NAT к внешней сети (интернет). Доступ к компьютерам в административной сети из внешней сети не предполагается. Минимальные требования по защите административного сегмента: применение антивирусной защиты на рабочих местах, ограничение использования переносных накопителей, периодическое резервное копирование важной информации, настройка фильтрации пакетов и NAT на маршрутизаторе во внешнюю сеть. Также для обеспечения информационной безопасности необходимо отключить на маршрутизаторе и коммутаторах учетные записи «по умолчанию», отключить протокол telnet, запретить протокол SSH на WAN интерфейсе маршрутизатора.
Основной элемент для разделения производственной и административной сетей — шлюз на базе Linux-desktop. Работа на Linux-desktop практически не отличается от работы в Windows, сложности для «простого» пользователя могут возникнуть только на этапе установки и настройки. На практике все достаточно просто, существуют подробные примеры и пошаговое описание, человеку с минимальными познаниями и техническим мышлением Linux вполне по силам. Главное не пугаться незнакомых слов и не читать форумы недоспециалистов, сыплющих бесконечными аббревиатурами и непонятным сленгом.
Шлюз на базе Linux-сервера несколько сложнее, не имеет графического интерфейса и требует работы в терминале. У простого пользователя Linux без графического интерфейса вызывает панику, поэтому вариант с Linux-сервером рассматривать не будем.
Использовать Linux на шлюзе более целесообразно, так как Linux не подвержен всем вирусам, активным в Windows, соответственно обеспечивает более надежное разделение сетей и хранение данных. Все рассуждения о наличии вирусов для Linux сводятся либо к давно исчезнувшим версиям как вирусов, так и самого Linux, либо к уязвимостям в специализированных приложениях (типа интернет магазин или некоторые версии WEB-сервера) и рассуждению о том, что в будущем вирусы для этой операционной системы могут появиться. Реально, для той конфигурации и под те задачи, для которых мы в данном примере используем Linux, на сегодня вирусов нет и вряд ли они появятся. Если в компании совсем нет человека, способного осилить минимальную настройку Linux, целесообразно пригласить специалиста. Установка и настройка Linux требуется один раз, и далее система работает много лет, весь срок службы аппаратного обеспечения. Периодическое обновление системы можно выполнять один-два раза в год, а в данном применении можно вообще не выполнять, система все равно будет устойчиво работать.
Примеры конфигурации Linux-шлюза с пошаговыми инструкциями и конфигурационными файлами будут приведены в следующей части.
Применение протокола FTP со стороны административного сегмента сети, при правильном использовании, позволяет защитить файлы на сервере от вирусов-шифровальщиков. Со стороны производственной сети можно использовать как FTP, так и SMB протокол. Критика по поводу использования FTP-протокола, как старого и уязвимого, в данном случае некорректна, так как мы защищаемся не от атак профессиональных хакеров, а больше от случайного попадания вируса. Использование FTP-протокола соответствует уровню ответственности задачи и предполагаемой квалификации пользователей и сетевого администратора. Возможно вместо FTP использовать SFTP протокол (с шифрованием данных при передаче по сети), это просто потребует дополнительных настроек FTP-сервера, а при работе в пределах локальной сети особого смысла не имеет.
Для обеспечения безопасности производственного сегмента сети необходимо соблюдать определенные правила, исключающие возможность передачи вирусов из административного сегмента в производственный (вариант работы через FTP сервер):
— передача файлов из административного сегмента в производственный должна выполняться через FTP-сервер, установленный на Linux-шлюзе.
— со стороны административного сегмента сети на пользовательских компьютерах настраиваем доступ к соответствующей папке на Linux FTP-сервере (настраиваем средствами Windows, но наиболее целесообразно использовать бесплатный FTP-клиент FileZilla). По необходимости копируем на FTP-сервер файлы, которые требуется передать в производственный сегмент. Не допускается FTP-папки подключать на Windows станции как сетевые диски, чтобы исключить доступ вирусов-шифровальщиков к файлам на FTP-сервере. FTP-клиент FileZilla будет наилучшим решением.
— из Linux-шлюза на обрабатывающие центры файлы могут быть скопированы: для оборудования, подключенного к производственной сети и поддерживающих протокол FTP или SMB файлы передаются по сети, в противном случае файлы переносятся с сервера на обрабатывающий центр через USB-накопитель (повторю, это USB-накопитель используется только в производственном сегменте, подключение этого накопителя к компьютерам за производственным сегментом не допускается). Также для записи файлов на USB-накопитель возможно использовать любой компьютер производственного сегмента.
Работа с USB-накопителем на Linux-desktop не отличается от работы в Windows. Поскольку для Linux нет вирусов, то заразить USB-накопитель через Linux невозможно. Предполагается, что в производственный сегмент передаются специальные файлы, содержащие код для обрабатывающих центров (например G-код), файлы выполнены в специальном формате и не могут содержать вирусы.
Для решения поставленной задачи рассмотрим два варианта Linux-шлюза:
1. Простой вариант – используем в качестве шлюза между производственным и административным сегментом сети Linux-desktop станцию, без организации RAID-массива, все пользователи подключаются к FTP серверу с одной учетной записью, разграничение доступа к данным пользователей на FTP-сервере отсутствует. Из производственного сегмента также возможен доступ к данным на Linux шлюзе по SMB протоколу (сетевые папки windows).
2. Более сложный вариант – для хранения данных на FTP-сервере используется RAID1–массив (одновременное хранение данных на двух дисках, зеркальное хранение), каждый пользователь административной сети имеет свою учетную запись и свою папку на FTP-сервере, для хранения информации ограниченного доступа на FTP-сервере выделена специальная папка. Из производственного сегмента также возможен доступ к данным на Linux шлюзе по SMB протоколу (сетевые папки windows).
Поскольку предполагается, что установка ПО Linux-шлюза выполняется пользователем мало знакомым с Linux (или вообще не знакомым), инструкции будут максимально подробными, опытных пользователей Linux просьба отнестись снисходительно (для более простого
понимания каталоги будут называться папками, на манер windows). Все инструкции и примеры по установке и настройке ПО Linux для решения поставленных задач легко можно найти в глобальной сети, в этой статье все необходимые инструкции собраны вместе и оптимизированы под конкретный пример.
Простой вариант. Часть 1. Установка Linux.
Для организации шлюза необходим компьютер с Linux в следующей минимальной конфигурации: рабочая станция средней производительности (минимум процессор с 2-мя ядрами, 4Gb оперативной памяти, самая простая видеокарта), размер жесткого диска определяется предполагаемым объемом хранения данных, для Linux требуется 20Gb свободного места, две сетевые карты для одновременного подключения к производственному и административному сегменту сети.
На станции устанавливается операционная система Linux Ubuntu-desktop. В зависимости от реализации Ubuntu, как и любой Linux, может содержать разное ПО для выполнения одних и тех же функций (например, управление сетевым подключением может выполняться четырьмя абсолютно разными способами), что всегда вызывает сложности для пользователей. Поэтому описанный далее алгоритм конфигурации Linux-шлюза относится к определенной реализации Ubuntu-desktop и может быть не актуальным для других вариантов Linux.
Для примера будем рассматривать Ubuntu в самом простом исполнении «Xubuntu-24.04 desktop» с рабочим столом Xfce с самым легковесным графическим интерфейсом. Для установки необходимо скачать iso-образ с сайта производителя:
https://mirror.yandex.ru/ubuntu-cdimage/xubuntu/releases/22.04/release/xubuntu-22.04.1-desktop-amd64.iso
С помощью утилиты rufus (или аналогичной, или встроенными средствами windows) записать образ на USB-накопитель (флэшку), загрузить будущий Linux-шлюз с USB-накопителя и начать установку. Последовательность установки хорошо описана в документации производителя и проблем вызывать не должна.
Как установить Ubuntu 22.04 Desktop [пошаговое руководство с картинками]
Рекомендуется чтобы компьютер при установке был подключен к сети с выходом в интернет. При установки можно выбрать «русский» язык. Обязательно нужно выбрать «Install Xubuntu» для установки, «Minimal Installation» для установки в минимальной конфигурации без офисных приложений, «Erase disk and install Xubuntu» для полной очистки жесткого диска. Настройте учетную запись, в нашем примере ваше имя «ubuntu-desktop», имя компьютера «ubuntu-desktop», имя пользователя будет «ubuntu», обязательно задайте пароль. Настройте местоположение (часовой диапазон). Дождитесь окончания установки. После перезагрузки вы получите вы получите компьютер, работающий под управлением Linux.
Для дальнейшей настройки необходимо подключение к интернет, одна (и только одна!!) сетевая карта компьютера должна быть подключена к коммутатору административной сети или маршрутизатору во внешнюю сеть.
Для управления сетью на Xubuntu-desktop используется приложение «Network Manager», поэтому описание настройки сети будет соответствовать этому приложению. Настройки «по умолчанию» Xubuntu-desktop, как и в Windows, должны обеспечить подключение к роутеру и выход в интернет, что нам и требуется на начальном этапе.
Дальнейшую настройку легче всего выполнить через эмулятор терминала, с использованием командной строки. Да, придется понабивать команды руками, но это самый простой и быстрый способ. Ранее набранные команды в терминале можно просматривать нажатием клавиш «стрелка вверх», «стрелка вниз», для редактирования команды можно перемещаться клавишами «стрелка влево», «стрелка вправо». Запуск команды на выполнение клавишей «ввод, Inter».
Находим в меню запуска и запускаем терминал, получаем черное окно с командной строкой снизу:
ubuntu@ubuntu-desktop:~$ — это приглашение командной строки, ubuntu – это имя пользователя, ubuntu-desktop – это имя компьютера, знак $ означает, что это обычный пользователь (не супер-пользователь).
Проверяем настройки сети:
ip a — вводим команду и смотрим вывод.
Наличие IP адреса «inet 192.168.1.ххх» означает, что компьютер подключен к сети.
Установим необходимые нам приложения (пакеты).
Перед установкой приложений необходимо обновить актуальный список пакетов, вводим команду и смотрим вывод:
sudo apt update – дожидаемся выполнения команды, это обновление списка доступных пакетов; sudo – в начале команды означает, что команда будет выполняться с правами супер-пользователя (в windows это администратор), поэтому система может запросить ввести пароль для подтверждения действия.
Ели обновление пакетов не проходит, необходимо проверить подключение к сети.
После обновления пакетов, вводим следующие команды.
sudo apt install mc – устанавливаем файловый менеджер Midnight Commander, на все вопросы нажимаем «ввод», дожидаемся выполнения команды;
sudo apt install vsftpd libpam-pwdfile apache2-utils – устанавливаем FTP-сервер (vsftpd) и библиотеку от apache для создания виртуальных пользователей, на все вопросы нажимаем «ввод», дожидаемся выполнения команды;
sudo apt install samba – устанавливаем SMB-сервер, на все вопросы нажимаем «ввод», дожидаемся выполнения команды;
Если все прошло, как показано на скриншотах, значит приложения установлены. На всякий случай проверим запущенные службы.
sudo systemctl --type service --no-pager – смотрим все установленные и запущенные службы, обязательно должны быть службы, выделенные на скриншоте.
Если в выводе команды есть все выделенные на скриншоте службы, значит все необходимые приложения установлены и работают. Можно приступать к настройке сети и служб.
Простой вариант. Часть 2. Настройка сети.
Конфигурацию сети выполним в соответствии со схемой
Предполагается, что административный сегмент сети имеет адреса 192.168.1.ххх, маска сети 255.255.255.0, адрес маршрутизатора для выхода в интернет 192.168.1.1 (шлюз по умолчанию 192.168.1.1.). Это заводские настройки для маршрутизаторов большинства производителей. На маршрутизаторе необходимо выполнить настройку DHCP-сервера, начальный адрес пула IP-адресов указать 192.168.1.2, конечный адрес пула IP-адресов указать 192.168.1.200 (названия параметров могут отличаться для разных маршрутизаторов, можно уточнить в документации на маршрутизатор). Ниже приведены настройки для KEENETIC.
После настройки маршрутизатора, переходим в терминал Linux шлюза.
В терминале вводим команду:
ip a
В выводе команды мы видим список сетевых интерфейсов, на скриншоте показаны три сетевых интерфейса: lo — нас не интересует, ens160 и ens192 – это и есть наши сетевые интерфейсы (сетевые карты). В вашем случае названия могут значительно отличаться (enp0s2, enp1…). Интерфейс ens160, который подключен к административной сети, имеет IP-адрес, на скриншоте выделен желтым.
Теперь необходимо зайти в панель управления Network Manager на рабочем столе и удалить все настройки, созданные «по умолчанию». Открываем панель Network Manager:
Переходим в терминал, проверяем состояние соединений в Network Manager.
sudo nmcli con – nmcli – это консольная утилита управления Network Manager (настройка через терминал), можно конечно настроить и через панель управления, но панель не всегда корректно работает.
Вводим команды:
sudo nmcli con
sudo nmcli dev
Вывод команды должен показать два наших интерфейса в состоянии «disconnected».
Теперь вводим команду:
sudo nmcli con add con-name AdminNet type ethernet ifname ens160 ip4 192.168.1.254/24 gw4 192.168.1.1
– пояснение: nmcli – утилита для настройки, con – от «connection» соединение, add – добавить, con-name AdminNet – имя соединения «AdminNet», имя можно задать любое, type ethernet – тип соединения «ethernet», ifname ens160 – имя интерфейса, указываем имя, которое было в выводе команды «ip a» для административной сети, ip4 192.168.1.250/24 – задаем IP-адрес в соответствии со схемой сети в Приложении 1 (вместо маски 255.255.255.0 указываем /24, это просто разный способ записи), gw4 192.168.1.1 – задаем шлюз для административного сегмента сети.
Если все указали правильно, в выводе увидим «successfully added».
Если где-то ошиблись при наборе команды и создали неправильное соединение, соединение можно удалить командой sudo con del AdminNet.
Создаем соединение для производственной сети в соответствии с схемой.
sudo nmcli con add con-name PrcessNet type ethernet ifname ens192 ip4 192.168.100.1/24
– не забудьте исправить наименование интерфейса на тот, который был у вас в выводе команды «ip a». Шлюз мы не указываем, так как производственный сегмент не имеет выхода в административный.
проверяем настройки соединений:
sudo nmcli con
Если все сделали правильно, в выводе увидим два соединения, привязанные к соответствующим сетевым интерфейсам. Если что-то пошло не так, нужно проделать заново все действия с момента «удаления настроек по умолчанию».
Для окончания настройки сети осталось прописать имена DNS, вводим команду:
sudo nmcli con mod AdminNet ipv4.dns “192.168.1.1, 8.8.8.8, 8.8.4.4”
Теперь можно перезагрузить компьютер и убедиться, что все работает.
Проверяем состояние службы Network Manager
sudo systemctl status NetworkManager.service – для останова вывода и возврата к командной строке нажмите «q».
Смотрим вывод команды, «active» означает, что сервис работает.
Вводим команду:
ip a
Проверяем, что нашим интерфейсам назначены IP адреса в соответствии со схемой (для корректного отображения, кабели обеих сетевых карт должны быть подключены к коммутаторам соответственно административной и производственной сети, если кабель не подключен, IP адрес у соединения может отсутствовать)
Проверяем работу сети, вводим команду:
ping mail.ru — чтобы остановить выполнение команды, нажмите комбинацию клавиш «ctrl» и «c». Если сеть работает правильно, вывод команды будет содержать время обмена пакетами, как на скриншоте.
Предполагается, что всем сетевым устройствам в производственной сети заданы статические IP адреса согласно схемы (адрес жестко задан при настройке устройства). Если в производственной сети уже есть устройства с заданными IP адресами, можно проверить доступность этих устройств командой:
ping 192.168.100.10 – проверка для устройства с адресом 192.168.100.10, вывод будет аналогичен показанному выше.
При необходимости можно проверить доступность маршрутизатора:
ping 192.168.1.1
На этом настройка сети выполнена.
Простой вариант. Часть 3. Работа с Midnight Commander.
Midnight Commander (или mc) – это файловый менеджер, работающий в текстовом режиме, очень похожий на Norton Commander или Far для windows. Менеджер имеет встроенный редактор текстовых файлов, который для новичков гораздо проще или привычнее, чем редактор Vi или nano.
Midnight Commander можно запустить непосредственно из терминала, набрав команду: mc
mc имеет две панели для навигации по файловой системе, переключение между панелями по клавише «Tab» или мышкой. Комбинацией клавиш Ctrl+O можно срыть/показать панели. В нижней части под панелями расположена командная строка (все, что вы набираете на клавиатуре, отображается в командной строке).
По файлам в текущей папке можно перемещаться стрелками вверх/вниз. Чтобы зайти в выбранный каталог нажмите ввод, чтобы перейти в каталог выше подведите курсов в самый верх на панели на значок /.. и нажмите ввод. Символ / — корень файловой системы (что-то похожее на диск C: в windows). Если подвести курсор к нужному файлу, по клавише F3 можно просмотреть содержимое файла, по клавише F4 можно открыть файл для редактирования в текстовом редакторе. Чтобы скопировать выделенный файл между панелями нажмите F5, перенести или переименовать файл нажмите F6, удалить выделенный файл нажмите F8. Чтобы создать новый файл нажмите Shift+F4. Чтобы выйти из mc нажмите F10 или наберите в командной строке exit.
Midnight Commander обладает очень большим функционалом и многократно и хорошо описан на многих сайтах: http://rus-linux.net/MyLDP/consol/midnight-commander.html или https://interface31.ru/tech_it/2020/10/osvaivaem-effektivnuyu-rabotu-v-midnight-commander.html
После запуска терминала вы находитесь в домашней папке пользователя, в нашем случае это папка /home/ubuntu, еще домашняя папка отображается как «~». Можно попробовать переместить курсор на какой-нибудь файл и открыть его на редактирование клавишей F4. При первом открытии Midnight Commander спросит, каким редактором вы хотите пользоваться. На скриншоте показан выбор из 4-х редакторов, надо выбрать цифру, соответствующую mcedit, на скриншоте это цифра 2. Если вы ошибочно выбрали другой редактор, можно изменить выбор командой select-editor.
Все файлы конфигурации системы (или почти все) находятся в папке /etc. Чтобы иметь возможность изменять файлы конфигурации, нужно иметь права супер-пользователя, но при этом надо быть очень аккуратным, так как необдуманные действия могут испортить систему.
Для выполнения настройки FTP-сервера и SAMBA-сервера нам будет необходимо с правами супер-пользователя отредактировать конфигурационные файлы.
Открываем новое окно терминала, в терминале запускаем Midnight Commander с правами супер-пользователя, вводим команду:
sudo mc
Теперь mc работает под пользователем root – супер-пользователем (это видно в приглашении командной строки), и теперь можно изменять все файлы конфигурации.
В одной из панели Midnight Commander переходим в корень файловой системы, затем в папку /etc
По окончанию работы, обязательно нужно выйти из Midnight Commander по клавише F10 или набрав в терминале команду exit. По соображениям безопасности не следует оставлять терминал или Midnight Commander, работающий с правами супер-пользователя.
Простой вариант. Часть 4. Настройка FTP-сервера.
После запуска mc с правами суперпользователя, переходим в папку /etc и находим файл конфигурации FTP-сервера vsftpd.conf
Выбираем файл и делаем резервную копию исходного файла, нажимаем F5 и выполняем копирование.
Клавишей F4 открываем файл на редактирование. Вносим изменения (изменения выделены желтым, дополнения зеленым).
По окончанию редактирования сохраняем файл клавишей F2 и выходим из редактора по клавише F10.
listen=YES #Данная опция запускает FTP-сервер как службу
listen_ipv6=NO #ниже имеется аналогичная взаимоисключающая опция:Первая из них обеспечивает поддержку IPv4, вторая сразу IPv6 и IPv4, поэтому должна быть включена только одна из них.
anonymous_enable=NO # Запрещаем анонимных пользователей:
local_enable=YES # И разрешаем локальных (и виртуальных) пользователей:
write_enable=YES # Также разрешаем запись
local_umask=022 # и задаем маску для вновь создаваемых файлов и папок: Это обеспечит установку прав 755 на папки и 644 на файлы, т.е. полный доступ только владельцу и чтение для группы и остальных.
use_localtime=YES # Чтобы FTP использовал локальное время сервера, а не GMT установим:
xferlog_enable=YES # И включим лог загружаемых и скачиваемых файлов:
connect_from_port_20=YES # Разрешаем передачу данных через порт 20, требуется для лучшей совместимости с некоторыми клиентами:
xferlog_file=/var/log/vsftpd.log # Задаем путь к логу и его формат:
xferlog_std_format=YES
idle_session_timeout=600 # Укажем таймауты: Первый задает время отключения бездействующего пользователя, а второй время ожидания возобновления неоконченной передачи.
data_connection_timeout=120
ascii_upload_enable=YES # Для корректной работы с текстовыми данными, в частности с символами переноса строки в разных ОС (CR+LF в Windows, LF в Linux) включим поддержку ASCII, это полезно, если вы скачиваете скрипты или файлы с Linux сервера, правите их в среде Windows и заливаете обратно. В этом случае FTP автоматически будет менять символы переноса строки для соответствия стандартам системы.
ascii_download_enable=YES
chroot_local_user=YES # Обязательно изолируем пользователя в корне его домашней директории и рядом впишем опцию, разрешающую запись в корень:
allow_writeable_chroot=YES
#Остальные опции оставляем без изменения.
# Теперь в конце файла надо дописать необходимые нам настройки. Разрешим пассивный режим и явно укажем диапазон портов:
pasv_enable=YES
pasv_min_port=62000
pasv_max_port=62999
guest_enable=YES # Включим виртуальных пользователей
guest_username=ubuntu # Укажем от имени какого реального пользователя они будут работать, в нашем примере это пользователь ubuntu.
virtual_use_local_privs=YES # Применяем к виртуальным пользователям настройки локальных, иначе к ним будут применены ограничения анонимных.
user_sub_token=$USER # задаем переменную для имени пользователя
local_root=/FTP # задаем паку для расположения данных, все файлы хранящиеся на FTP сервере будут находится в этой папке (папку необходимо создать и назначить ей владельца и права)
hide_ids=YES # Также иногда неплохо будет скрыть реальных владельцев содержимого
seccomp_sandbox=NO # Если вы используете Ubuntu, то добавьте следующую недокументированную опцию: Это позволит избежать ошибки 500 OOPS: prctl PR_SET_SECCOMP failed, которая возникает из некорректной совместной работы vsftpd и системы безопасности seccomp, в Debian данная ошибка не проявляется.
Далее необходимо отредактировать файл /etc/pam.d/vsftpd (настройка правил аутентификации). Переходим в папку /etc/pam.d находим файл vsftpd и нажимаем F4.
закомментируем все строки (добавим в начале каждой строки символ #) и в конце добавим две новые строчки:
auth required pam_pwdfile.so pwdfile /etc/vsftpwd
account required pam_permit.so
Опция pwdfile /etc/vsftpwd указывает путь к файлу паролей, его нам необходимо будет создать на следующем шаге.
Сохраняем файл по F2 и выходим из редактора.
Редактирование файлов закончено, нажимаем F10 для выхода из mc.
Далее работаем в терминале (без mc). Создаем папку для данных FTP-сервера, вводим команды:
sudo mkdir /FTP – создать папку /FTP, в этой папке будут храниться все данные, загруженные на FTP-сервер.
sudo chown -R ubuntu:ubuntu /FTP – назначаем владельцем папки пользователя ubuntu.
sudo chmod -R 755 /FTP – задаем права на папку и все вложенное содержимое.
Теперь надо создать виртуального пользователя для FTP сервера. Виртуальные пользователи – это специальные пользователи, которые могут «заходить» на FTP сервер (FTP клиенты), но не могут работать локально в Linux. Соответственно необходимо задать имя и пароль, под которым клиенты будут заходить на FTP сервер. Имя и пароль виртуальных пользователей должны отличатся от локального пользователя (под которым вы работаете в Linux). В нашем примере назовем виртуального пользователя «ftp-user». Можно создать любое количество виртуальных пользователей (например, для каждого сотрудника в компании задать отдельное имя и пароль для входа на FTP сервер). Для создания виртуальных пользователей будем использовать утилиту htpasswd из состава apache2-utils, для создания файла паролей и первого пользователя введите в терминале:
sudo htpasswd -c -d /etc/vsftpwd ftp-user
– ключ -c предписывает создать файл паролей, если он существует, то все данные в нем будут очищены, а файл перезаписан, -d задает необходимый для vsftpd алгоритм шифрования хэша пароля, /etc/vsftpwd – имя файла с паролями, «ftp-user» — это имя пользователя. При выполнении команды надо будет указать пароль для создаваемого пользователя.
Для создания второго и последующих пользователей должна использоваться команда без ключа «–с», например, для пользователя «ftp-user1»:
sudo htpasswd -d /etc/vsftpwd ftp-user1
Если виртуальный пользователь больше не нужен, его можно удалить командой
sudo htpasswd -D /etc/vsftpwd ftp-user1
Теперь надо перезапустить службу FTP и проверить ее работу:
sudo systemctl restart vsftpd.service – перезапустить FTP сервер
sudo systemctl status vsftpd.service – посмотреть состояние FTP сервера
если вывод команды соответствует скриншоту, значит все сделано правильно. При наличии ошибок в конфигурационном файле, vsftpd может не запустится, тогда надо перепроверить все настройки, и перезапустить еще раз.
Осталось настроить брандмауэр (или файрвол) Linux и разрешить доступ к портам FTP-сервера. Для управления брандмауэром в Ubuntu-desktop используется утилита «ufw». Подробно утилита ufw описана в документации https://losst.pro/nastrojka-ufw-ubuntu.
Для наших целей нам достаточно внести небольшие корректировки в настройки «по умолчанию», а именно разрешить доступ к портам FTP-сервера.
Вводим в терминале команды:
sudo systemctl status ufw.service – команда чтобы убедится, что брандмауэр установлен и используется (активен), если ufw не используется, команда выдаст ошибку.
разрешаем входящие TCP соединения на порт 20,21 и порты 62000:62999 (этот диапазон указан в нашем конфигурационном файле vsftpd.conf)
sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw allow 62000:62999/tcp
Проверяем настройки брандмауэра, перезапускаем и проверяем статус:
sudo ufw status – смотрим настройки ufw
sudo systemctl restart ufw.service – перезапускаем ufw
sudo systemctl status ufw.service – проверяем статус ufw
Если вывод команд соответствует скриншоту (выделенные строки), значит все сделано правильно.
Если с брандмауэром возникли проблемы, его можно отключить командой sudo ufw disable и проверить работу FTP-сервера без брандмауэра, а потом устранив проблемы снова включить sudo ufw enable
На этом настройка FTP сервера ЗАКОНЧЕНА!!
Проверяем доступ к FTP серверу с windows компьютеров в административном сегменте сети: на windows запускаем командную строку (в строке поиска вводим cmd), в командной строке набираем IP адрес нашего FTP
сервера ping 192.168.1.254. Если FTP сервер доступен в сети, вывод команды будет содержать время обмена пакетами (как на скриншоте).
Для обмена с FTP сервером на Windows можно использовать бесплатный FTP-клиент FileZilla https://lumpics.ru/how-to-configure-filezilla/ , для Linux лучше использовать lftp, его нужно будет установить, стандартный ftp работает некорректно, его лучше удалить (sudo apt purge ftp, sudo apt install lftp).
В настройках соединения с FTP сервером указываем: хост – 192.168.1.254, порт – 21, протокол – FTP, шифрование – использовать обычный FTP (небезопасно), имя пользователя – ftp-user (имя виртуального пользователя), пароль – пароль виртуального пользователя. Если все сделали правильно, FileZilla установит соединение с FTP сервером. Теперь можно загружать файлы.
Для доступа из производственного сегмента сети к FTP серверу нужно использовать такие же настройки, только указать IP адрес 192.168.100.1 в соответствии со схемой.
Простой вариант. Часть 5. Настройка резервного копирования.
Для более надежного хранения данных, можно дополнительно настроить резервное копирование папки с файлами на FTP-сервере. В примере рассматривается ежедневное автоматическое создание архива, каждому дню недели будет соответствовать свой файл архива, в соответствующий день недели файл архива будет обновляться, т.е. у вас всегда будет семь последних архивных копий.
Для размещения резервных копий создадим папку /Arhiv, в терминале сервера выполним команды:
sudo mkdir /Arhiv – создать папку /Arhiv, в этой папке будут храниться резервные копии.
sudo chown -R ubuntu:ubuntu /Arhiv – назначаем владельцем папки пользователя ubuntu.
sudo chmod -R 755 /Arhiv – задаем права на папку и все вложенное содержимое.
Для создания архива можно использовать программу zip. Для установки zip введите в терминале:
sudo apt install zip
Теперь, если ввести в терминале команду zip, в выводе будет показана помощь к программе.
Для запуска команд по расписанию в Linux можно использовать утилиту «crontab».
Для редактирования расписания введите в терминале команду:
crontab -e
Откроется окно редактора, теперь надо ввести 7 строчек для создания архивов по дням неделе, каждая строчка означает: в 0 минут 3 часа утра в 0 день недели (нулевой день недели — воскресенье) выполняем команду zip и создаем архив с именем «arhiv_sun.zip», в 1-день (понедельник) выполняем команду zip и создаем архив с именем «arhiv_mon.zip» и т.д.
0 3 * * 0 zip -1 -r -q /Arhiv/arhiv_sun.zip /FTP
0 3 * * 1 zip -1 -r -q /Arhiv/arhiv_mon.zip /FTP
0 3 * * 2 zip -1 -r -q /Arhiv/arhiv_tue.zip /FTP
0 3 * * 3 zip -1 -r -q /Arhiv/arhiv_wed.zip /FTP
0 3 * * 4 zip -1 -r -q /Arhiv/arhiv_thu.zip /FTP
0 3 * * 5 zip -1 -r -q /Arhiv/arhiv_fri.zip /FTP
0 3 * * 6 zip -1 -r -q /Arhiv/arhiv_sat.zip /FTP
После ввода последней строчки обязательно нужно перейти на следующую строку (последняя строка в расписании должна быть пустой).
В команде zip используем следующие ключи: -1 – минимальное сжатие, -r – включая подкаталоги, -q – без вывода информации в консоль. /Arhiv/arhiv_sat.zip – имя файла архива. /FTP – папка, которую архивируем.
Сохраняем изменения расписания клавишей F2 и закрываем редактор F10. Если все сделано правильно, через неделю в папке /Arhiv у вас будут созданы все семь файлов архива.
Настройка резервного копирования выполнена.
Дополнительно можно установить и настроить утилиту «rclone» для резервного копирования ваших данных на внешнее облако (mail-диск, yandex-диск, любое другое облако). Примеров настройки rclone для ubuntu в интернете достаточно https://www.dmosk.ru/miniinstruktions.php?mini=rclone-example
При необходимости можно организовать хранение архивных копий на внешнем носителе (внешнем USB диске). Надо понимать, что в Linux нет дисков C: D: и т.д. В Linux есть файловая система, начинающаяся с корня «/» и далее вниз в виде дерева каталогов. Любое дисковое устройство (устройство хранения данных) может быть «смонтировано» в любую точку файловой системы. При этом физическая организация устройства не имеет значения (HDD, SDD, Flash-накопители, внешний USB диск, CD-ROM, виртуальный диск в оперативной памяти и т.д.). Все физические дисковые устройства начинаются с /dev/.., например /dev/sda, /dev/sdb, /dev/nvme0n1p1, /dev/md0. Понятно, что какое-то устройство должно быть смонтировано в качестве корня файловой системы «/», и есть «специальные устройства» которые монтируются в определенные точки, и это делает система при запуске. «Дополнительные» устройства, такие как внешние диски или Flash-накопители могут быть смонтированы пользователем в любую точку файловой системы. «По умолчанию» такие устройства монтируются в каталог /media/…
Для создания резервной копии наших данных на внешнем диске нам надо: подключить внешний USB-диск, смонтировать его в определенную точку файловой системы, организовать автоматическое копирование архивов на внешний диск.
Запустим терминал, до подключения внешнего диска введем команду:
sudo lsblk
вывод команды содержит все дисковые устройства, известные системе
В качестве корня файловой системы «/» в данном примере используется раздел /dev/sda2 на устройстве /dev/sda (sda – это физическое устройство жесткий диск, диск размечен на два раздела sda1 и sda2. sda1– раздел смонтирован системой в точку /boot/efi, sda2 – это основной раздел, который содержит все файлы системы и смонтирован в корень файловой системы «/»). Также в выводе может быть большое количество «виртуальных» устройств, например loop0 и т.д.
теперь подключим внешний диск и снова повторим команду
sudo lsblk
в выводе мы видом новое подключенное устройство sdd с разделом sdd1, это и есть наш внешний диск. В вашем случае название БУДЕТ отличаться. Диск смонтирован по умолчанию в каталог /media/ubuntu/945CE…
Посмотреть точку монтирования и параметры можно также командой
mount
В выводе команды также показаны разделы дисков и точки их монтирования. Чтобы размонтировать раздел надо ввести команду
sudo umount /dev/sdd1
Еще раз вводим команду sudo lsblk, теперь видим что раздел sdd1 не смонтирован, вводим команду
sudo fdisk –l /dev/sdd
в выводе мы видим параметры раздела /dev/sdd1, в частности нас интересует тип файловой системе, в нашем примере это ntfs
Теперь создадим более удобный каталог для монтирования внешнего диска, введем команды:
sudo mrdir /Arhiv_usb – создаем каталог
sudo chown –R ubuntu:ubuntu /Arhiv_usb — назначаем владельцем каталога пользователя ubuntu
sudo chmod –R 755 /Arhiv_usb – назначаем права на каталог
Для того, чтобы внешний диск автоматически монтировался в нужный нам каталог, нужно внести соответствующую строчку в файл /ets/fstab. В терминале запускаем Midnight Commander командой
sudo mc
переходим в каталог /etc, находим файл fstab и открываем на редактирование клавишей F4. В конце файла добавляем строчку:
/dev/sdd1 /Arhiv_usb ntfs default 0 0
/dev/sdd1 – это раздел нашего внешнего диска, который мы хотим смонтировать
/Arhiv_usb – это созданный нами каталог, куда мы хотим монтировать диск
ntfs – это тип файловой системы нашего внешнего диска, мы его смотрели выше в выводе команды fdisk, тип может отличаться (fat32, ext4 и т.д.)
default – остальные настройки по умолчанию
0 0 – порядок монтирования при запуске
Сохраняем изменения в файле по клавише F2 и выходим по F10, выходим из mc еще раз F10.
Проверяем монтирование раздела, вводим команду:
sudo mount –a
если все сделано правильно, система смонтирует наш диск в указанный каталог, вводим команду mount и смотрим вывод
В выводе мы видим, что раздел /dev/sdd1 смонтирован в каталог /Arhiv_usb.
Прежде, чем извлечь USB-диск, надо в терминале выполнить команду:
sudo umount /dev/sdd1
После выполнения команды диск можно безопасно отключить.
Осталось настроить непосредственно копирование файлов архива по расписанию.
Для редактирования расписания введите в терминале команду:
crontab -e
и по процедуре, описанной выше добавьте в конце файла строчку:
0 6 * * * cp -u /Arhiv/* /Arhiv_usb
т.е. в 6 утра 0 минут каждый день выполняем копирование всех новых файлов из папки /Arhiv/* в папку /Arhiv_usb, ключ –u означает что будут копироваться только измененные файлы, в конце файла расписания не забываем добавить свободную строчку.
Периодически надо в терминале командой sudo lsblk проверять наличие, исправность и точку монтирования внешнего диска.
На этом настройка резервного копирование файлов архива на внешний диск выполнена.
Простой вариант. Часть 6. Настройка SAMBA для доступа из производственной сети
SAMBA – это утилита Linux для организации доступа к ресурсам (файлам, принтерам) по протоколу SMB с поддержкой сетевого окружения windows (сетевые папки и сетевые принтеры windows).
Для пользователей и программ в windows работа с файлами на сетевых папках практически не отличается от работы с локальными файлами, с одной стороны это создает меньше неудобств для пользователей, но при этом файлы становятся доступны для вирусов, заразивших компьютеры пользователей. Поэтому с целью повышения безопасности, рекомендуется использовать SMB протокол только в технологическом сегменте сети, если это необходимо (например, для передачи файлов на обрабатывающие центры).
Установка SAMBA была выполнена ранее, поэтому просто напоминаю команду для установки, если потребуется:
sudo apt install samba
Запускаем в терминале mc с правами супер-пользователя:
sudo mc
переходим в папку /etc/samba, находим и выбираем файл конфигурации smb.conf, по клавиши F5 делаем резервную копию файла, по клавиши F4 открываем файл на редактирование.
Как правило все настройки «по умолчанию» smb.conf не требуют изменения, просто необходимо убедится, что настройки «по умолчанию» не были изменены. Ключевые строки конфигурационного файла:
Должна быть задана одна рабочая группа windows как в настройках пользовательских компьютеров, так и в файле конфигурации SAMBA, «по умолчанию» рабочая группа называется «WORKGROUP».
workgroup = WORKGROUP
Роль сервера – простой стандартный
server role = standalone server
синхронизация пользователей SAMBA и Linux
unix password sync = yes
если пользователь неизвестен, считаем его гостем
map to guest = bad user
Секцию [printers] можно полностью удалить или закомментировать (в начале каждой строки поставить знак #), так как организовывать сервер печати мы не планируем.
В конце конфигурационного файла необходимо добавить строки для нашей «шары» — сетевой папки:
[FTP]
comment = общая папка
path = /FTP
public = yes
browsable = yes
writable = yes
guest ok = yes
read only = no
create mask = 0755
directory mask = 0755
force create mode = 0755
force directory mode = 0755
force user = ubuntu
force group = ubuntu
hosts allow = 192.168.100.
пояснения:
comment = общая папка – просто строка, которая будет «всплывать» при наведении мышкой на папку, можно и не писать.
path = /FTP – папка на Linux, которую мы хотим сделать доступной по сети. В этом примере эта папка, которая доступна через FTP-сервер
public = yes – папка доступна всем
browsable = yes – папка показывается при просмотре доступных ресурсов
writable = yes – разрешаем запись файлов в папку
guest ok = yes – папка доступна для гостей, т.е. всем пользователям, без проверки имени и пароля
read only = no – папка доступна для записи (не только для чтения)
create mask = 0755 – при создании файлов или папок им будут назначены соответствующие права доступа
directory mask = 0755
force create mode = 0755
force directory mode = 0755
force user = ubuntu – задаем пользователя и группу Linux, под которым будет работать SAMBA (поскольку в нашем примере владельцем папки /FTP является пользователь ubuntu, то мы указываем, что SAMBA работает с файлами от имени этого пользователя, иначе будут проблемы с правами доступа)
force group = ubuntu
hosts allow = 192.168.100. – этот параметр разрешает доступ к
«шаре» только из нашей производственной сети 192.168.1.ххх, из
административного сегмента сети доступа не будет. Если убрать эту строчку, шара
будет доступна из любой сети
Сохраняем изменения в конфигурационном файле по клавише F2, выходим из редактора по F10, выходим из mc по F10.
Перезагружаем и проверяем сервис SAMBA, вводим в терминале команды:
sudo systemctl restart smbd – перезапускаем SAMBA
sudo systemctl status smbd – проверяем статус SAMBA
Теперь необходимо брандмауэр Linux разрешить доступ к портам SAMBA.
Вводим в терминале команды:
sudo ufw allow 445/tcp
sudo ufw allow 139/tcp
sudo ufw allow 137:138/udp
разрешаем входящие TCP соединения на порт 445,139 и UDP порты 137:138 (можно разрешить порты явно, как это указано выше, или одной командой sudo ufw allow Samba)
Проверяем настройки брандмауэра, перезапускаем и проверяем статус:
sudo ufw status – смотрим настройки ufw
sudo ufw app list
sudo systemctl restart ufw – перезапускаем ufw
sudo systemctl status ufw – проверяем статус ufw
Если вывод команд соответствует скриншоту (выделенные строки), значит все сделано правильно.
Для проверки доступа к сетевой папке, откройте Проводник на windows компьютере в производственной сети, введите адрес Linux сервера, вы должны увидеть созданную сетевую папку.
На этом настройка доступа по протоколу SMB для реализации наших задач выполнена.
Конечно, мы создали самую простую конфигурацию с минимальным количеством настроек. Возможности пакета SAMBA гораздо шире, чем мы показываем в нашем примере. При необходимости можно настроить ограничение доступа по имени и паролю, создать разные шары с разным уровнем доступа и т.д. В интернет можно найти большое количество инструкций с подробными пояснениями https://www.dmosk.ru/instruktions.php?object=samba-ubuntu
Расширенный вариант. Часть 7. Настройка RAID.
Чтобы повысить надежность хранения данных, целесообразно использовать RAID массив из нескольких физических дисков, обеспечивающий одновременное хранение каждого элемента данных на нескольких физических носителях и гарантирующий полную сохранность информации при отказе одного физического диска. Для нашей задачи, организации простого файл-сервера с доступом по FTP или SAMBA, достаточно создания программного RAID массива первого уровня. RAID-1 это два зеркальных (параллельно работающих) диска, вся информация одновременно копируется на оба диска, поэтому отказ одного диска не приведет к потере данных.
Для создания программного RAID-1 массива в Linux потребуется два дополнительных жестких диска, диски могут быть разных производителей, разного размера и разного типа (HDD, SDD, USB-накопители). Целесообразно для наших задач использовать простые HDD диски.
Подключаем к компьютеру два дополнительных диска (в примере рассматриваются два HDD диска), после включения и загрузки открываем терминал и вводим команду:
sudo lsblk
в выводе команды видим два дополнительных диска /dev/sdb и /dev/sdc (в примере показаны «чистые диски» по 50 Гигабайт без разделов, если диск содержит разделы, то на следующим этапе мы их удалим, в вашем случае названия дисков могут отличаться).
Для создания массива в Linux используется утилита mdadm, для установки утилиты вводим в терминале команду
sudo apt install mdadm
На всякий случай можно ввести команды для очистки старых метаданных дисков
sudo mdadm --zero-superblock --force /dev/sdb
sudo mdadm --zero-superblock --force /dev/sdc
sudo wipefs --all --force /dev/sdb
sudo wipefs --all --force /dev/sdc
Теперь создадим на дисках разделы, в примере я специально создаю разделы разного размера, на диске /dev/sdb размер будет 30 Гигабайт, на /dev/sdc раздел будет на весь объем диска (50G). В большинстве случаев и на первом и на втором диске целесообразно создать разделы на весь объем диска.
Итоговая емкость RAID-1 массива будет равна размеру наименьшего раздела.
Для создания разделов можно использовать графическую утилиту GParted (для тех, кто не любит терминал, возможно GParted придется установить sudo apt install gparted), или как показано далее, воспользоваться консольной утилитой fdisk, т.е. в терминале ввести команду:
sudo fdisk /dev/sdb – для работы с диском /dev/sdb, будьте очень внимательны с названием диска, так как вы удаляете все данные с диска.
Внутри утилиты нажимаем клавишу «p» и смотрим в выводе информацию о диске (видим размер диска, тип таблицы разделов «gpt», разделов на диске в нашем случае нет. На всякий случай нажимаем «g» и «ввод», заново создаем таблицу разделов (на скрине этот шаг отсутствует), затем нажимаем «n» и «ввод» и еще раз «ввод», чтобы создать первый раздел, на запрос о первом секторе «First sector» нажимаем «ввод» чтобы принять значение «по умолчанию». На запрос о последнем секторе раздела «Last sector» для диска /dev/sdb я указал размер «+30G» и «ввод» (чтобы раздел занял весь объем диска надо принять значение «по умолчанию» и просто нажать «ввод»). Создание раздела выполнено. Еще раз нажимаем клавишу «p» и в выводе теперь видим раздел /dev/sdb1 размером 30G. Нажимаем клавишу «w» чтобы сохранить изменения разметки и выйти.
Точна такие же действия проделаем с диском /dev/sdc, введем в терминале
sudo fdisk /dev/sdc
внутри утилиты последовательно нажмем:
«p» «ввод», «g» «ввод», «n» «ввод», «ввод», «ввод», «ввод», «w» «ввод». Для диска /dev/sdc в нашем примере мы не указываем размер и создаем раздел на весь объем диска.
Проверяем созданные разделы, вводим в терминале команду:
sudo lsblk
В выводе команды теперь видим раздел /dev/sdb1 размером 30G и раздел /dev/sdc1 размером 50G. Эти разделы мы и будем объединять в RAID-1 массив.
Чтобы создать RAID-1 массив вводим в терминале команду:
sudo mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1
пояснения:
—create – создать
/dev/md0 – имя нашего RAID массива (можно задать любое, хоть md125)
—level=1 – уровень массива, мы создаем RAID-1, поэтому указываем «1»
—raid-devices=2 – количество устройств в массиве, у нас 2
/dev/sdb1 /dev/sdc1 – имена устройств в массив (разделы, которые мы создали ранее)
На вопрос отвечаем «y», и, если все прошло хорошо, в выводе мы видим, что массив стартовал.
Еще раз проверяем разделы:
sudo lsblk
и в выводе видим, что на разделах /dev/sdb1 и /dev/sdc1 создан RAID-1 с именем md0 и размером 30G.
Чтобы сохранить конфигурацию RAID от изменения при перезагрузке, надо внести в файл /etc/mdadm/mdadm.conf запись о массиве, для этого вводим в терминале команду:
sudo mdadm --detail --scan --verbose | sudo tee -a /etc/mdadm/mdadm.conf
чтобы проверить содержимое файла /etc/mdadm/mdadm.conf вводим команду:
sudo cat /etc/mdadm/mdadm.conf
В выводе команды мы видим в конце файла запись о массиве.
Прежде чем использовать раздел массива, его надо отформатировать. Для этого вводим в терминале команду:
sudo mkfs -t ext4 /dev/md0
Для включения информации о массиве в ядро Linux вводим в терминале команду:
sudo update-initramfs -u
На этом создание RAID массива выполнено. Осталось настроить монтирование раздела RAID в нужную нам точку файловой системы. Поскольку для хранения всех данных файл-сервера мы используем папку /FTP, то целесообразно смонтировать раздел RAID на эту папку. Если у вас в папке /FTP уже есть данные, временно перенесите их в другое место. После монтирования RAID массива, данные надо будет вернуть.
В терминале запускаем mc с правами супер-пользователя:
sudo mc
переходим в папку /etc, находим файл fstab и открываем на редактирование клавишей F4
В конце файла fstab дописываем строчку:
/dev/md0 /FTP ext4 defaults 0 0
Сохраняем изменения файла по клавише F2 и выходим из редактора F10, выходим из mc по F10.
В терминале вводим команду монтирования разделов, указанных в fstab
sudo mount -a
если все сделано правильно, раздел /dev/md0 будет смонтирован в точку /FTP. Проверяем, вводим в терминале команду
mount
В выводе команды мы видим, что раздел /dev/md0 смонтирован в точку /FTP. На этом организация хранения данных на RAID массиве выполнена. Теперь вся информация, записанная в папку /FTP физически будет храниться на RAID массиве. Теперь можно вернуть все данные в папку /FTP.
Проверка состояния и обслуживание RAID.
Поскольку через какое-то время диски в RAID массиве могут выйти из строя, необходимо периодически проверять состояние дисков и при обнаружении неисправно, своевременно заменить.
Для проверки состояния RAID массива введите в терминале команду:
sudo mdadm --examine /dev/sdb1 /dev/sdc1
В выводе команды мы видим, что оба диска в RAID в активном состоянии.
Так же состояние RAID можно посмотреть командой:
sudo mdadm --detail /dev/md0
В выводе мы видим информацию о RAID, объем, количество установленных и используемых дисков, информацию о каждом диске.
Состояние неисправного диска будет указано как «degraded»
Чтобы заменить диск в RAID массиве, необходимо сначала удалить из массива неисправный диск (показано на примере диска /dev/sdc1):
sudo mdadm /dev/md0 --remove /dev/sdc1
заменить физический диск на исправный, подготовить на новом диске раздел, как это было описано выше (например для диска /dev/sdd создаем раздел /dev/sdd1), и добавляем раздел нового диска в RAID:
sudo mdadm /dev/md0 --add /dev/sdd1
смотрим состояние массива
sudo mdadm --detail /dev/md0
В выводе мы видим, что выполняется синхронизация данных массива на новый диск, синхронизация потребует какого-то времени. После окончания синхронизации массив снова будет в исправном состоянии.
Восстановления RAID после переустановки Linux или замены компьютера.
Если вы переустановили Linux на вашем компьютере, или ваш компьютер сломался, и вы поставили Linux на другом компьютере, чтобы восстановить ваш RAID массив и данные на массиве, вам надо:
— подключить диски (один или оба) к новому компьютеру с Linux,
— в терминале ввести команду sudo mdadm --assemble –scan, Linux по данным метаблоков на дисках найдет и восстановит информацию о массиве;
— можно более точно указать Linux на каких искать RAID, для этого сначала командой sudo lsblk надо уточнить имена дисков с RAID, а потом ввести команду sudo mdadm –assemble /dev/sdb1 /dev/sdc1;
— если массив обнаружен, вывод команды sudo lsblk покажет вам расположение на устройствах RAID массива;
— для сохранение обнаруженного массива введите команды:
sudo mdadm --detail --scan --verbose | sudo tee -a /etc/mdadm/mdadm.conf
sudo update-initramfs –u
и отредактируйте файл /etc/fstab как было описано выше.
Более подробное описание работы с RAID массивом
https://losst.pro/programmnyj-raid-v-linux
https://www.dmosk.ru/miniinstruktions.php?mini=mdadm
Расширенный вариант. Часть 8. Настройка FTP с персональными папками пользователей.
В части 4 была показана простая настройка FTP сервера, когда все пользователи используют одну учетную запись и хранение данных организовано в общей папке, без какого-либо разграничения доступа, т.е. все пользователи имеют доступ к абсолютно всем данным на FTP сервере.
При небольшом усложнении конфигурации FTP сервера можно разделить хранение данных пользователей с ограничением доступа к персонализированным данным.
В качестве исходного фала конфигурации FTP возьмем итоговый файл из части 4.
Для реализации индивидуальных настроек каждого виртуального пользователя FTP сервера создадим специальную папку хранения файлов настроек, в терминале введем команду:
sudo mkdir /etc/vsftpd_virtuser_conf
все настройки хранятся в папке /etc, доступ к ним возможен только с правами супер-пользователя, поэтому для редактирования конфигурации запустим Midnight Commander с правами супер-пользователя:
sudo mc
Переходим в папку /etc, находим конфигурационный файл /etc/vsftpd.conf и открываем на редактирование клавишей F4. В конце файла находим строку local_root=/FTP, комментируем эту строку или удаляем. В конце файла дописываем новую строчку с указанием расположения индивидуальных файлов конфигурации пользователей user_config_dir=/etc/vsftpd_virtuser_conf, сохраняем изменения по клавише F2 и выходим из редактора по клавише F10.
Теперь необходимо создать индивидуальные файлы конфигурации виртуальных пользователей, для примера примем имена пользователей ftp-user, ftp-user1, ftp-user2 и т.д. Переходим в папку /etc/vsftpd_virtuser_conf и сочетанием клавиш Shift+F4 открываем редактор с новым файлом, в редактор вводим строку с указанием персональной папки для первого пользователя
local_root=/FTP/FTP-USER
сохраняем файл по клавише F2 под именем ftp-user, название файла должно соответствовать имени виртуального пользователя, закрываем редактор по клавише F10.
Создаем еще один файл для следующего пользователя ftp-user1, снова сочетанием клавиш Shift+F4 открываем редактор с новым файлом, в редакторе вводим строку
local_root=/FTP/FTP-USER1
сохраняем файл по клавише F2 под именем ftp-user1, по клавише F10 закрываем редактор.
Повторяем процедуру создания индивидуальных файлов конфигурации для всех пользователей FTP сервера. Имена могут и наименования папок могут быть произвольные.
После создания всех файлов пользователей выходим из mc по клавише F10.
Для создания папок пользователей в терминале вводим команды:
sudo mkdir /FTP/FTP-USER
sudo mkdir /FTP/FTP-USER1
sudo mkdir /FTP/FTP-USER2
и так для всех пользователей.
Теперь необходимо подправить владельца и права доступа к папкам, введем в терминале команды:
sudo chown -R ubuntu:ubuntu /FTP
sudo chmod -R 755 /FTP
Теперь необходимо создать виртуальных пользователей, повторим действия, описанные в части 4. Для создания виртуальных пользователей будем использовать утилиту htpasswd из состава apache2-utils, для создания файла паролей и первого пользователя введите в терминале:
sudo htpasswd -c -d /etc/vsftpwd ftp-user
– ключ -c предписывает создать файл паролей, если он существует, то все данные в нем будут очищены, а файл перезаписан, -d задает необходимый для vsftpd алгоритм шифрования хэша пароля, /etc/vsftpwd – имя файла с паролями, «ftp-user» — это имя пользователя. При выполнении команды надо будет указать пароль для создаваемого пользователя.
Для создания второго и последующих пользователей должна использоваться команда без ключа «–с», например, для пользователя «ftp-user1»:
sudo htpasswd -d /etc/vsftpwd ftp-user1
Если виртуальный пользователь больше не нужен, его можно удалить командой
sudo htpasswd -D /etc/vsftpwd ftp-user1
Теперь надо перезапустить службу FTP и проверить ее работу:
sudo systemctl restart vsftpd.service – перезапустить FTP сервер
sudo systemctl status vsftpd.service – посмотреть состояние FTP сервера
Предполагается, что папка /FTP/FTP-USER будет общая для всех пользователей, а папки /FTP/FTP-USER1…USER256 будут персональными папками пользователей.
У каждого пользователя настраиваем FTP клиента (FileZilla) на два подключения, для подключения к общей папке с именем пользователя ftp-user, и для подключения к персональной папке (например, ftp-user1)
Если ранее была настроена SAMBA для доступа к папке /FTP (часть 5), необходимо в настройках SAMBA сервера в файле конфигурации /etc/samba/smb.conf исправить путь к общей папке: path = /FTP на path = /FTP/FTP-USER и перезапустить SAMBA сервер sudo systemctl restart smbd.
На этом настройка FTP
сервера с разграничением доступа к персонализированным данным выполнена.
На чтение 10 мин. Просмотров 3.1k.
Сразу скажу, что на написание мини статейки об основах документирования для наших подписчиков подтолкнул курс от уже упоминавшегося на канале Netskills. Вся основная механика у них на канале:
Курс подойдет для совсем “зеленых”, хотя и для матерых не помешает на x2 скорости пробежаться, чтобы систематизировать и обновить имеющуюся экспертизу. Я же в свою очередь хочу выдать вам основное резюме по данной теме и дополнить материал коллег полезными ништячками шаблонами для документирования.
Все еще интересно? Тогда погнали!
Итак обозначим состав рассматриваемой документации:
Содержание
- Структурная схема. Ее еще ласково называют структурой
- L3 схема
- L2 схема
- IP план
- Таблица кабельных соединений aka кабельный журнал (КЖ) aka схема коммутации
- Описание настроек
Структурная схема. Ее еще ласково называют структурой
Давайте рассмотрим обозначенную доку в двух контекстах:
- Проектирование/модернизация;
- Эксплуатация существующей инфраструктуры.
Проектирование/модернизация
Важен порядок разработки документации. И он таков как указано в списке выше. Т.е. идем от общего к частному — от структурной схемы к таблице кабельных соединений. На основании таблицы кабельных соединений уже составляется спецификация на закупку SFP модулей, кабеля, определяются требуемые характеристики оборудования в части количества интерфейсов, их типов и номинальных скоростей.
Эксплуатация существующей инфраструктуры
Чем отличается эксплуатация от проектирования/модернизации. Ну прежде всего эксплуатация это работа с тем что уже имеешь. По факту эксплуатация это про учет изменений. Если документации на существующую инфраструктуру нет или она косая и кривая, то стоит ее разработать с нуля. В данном случае можно пойти от частного к общему. Стоит начать с L2 схемы и пойти выше к структурной схеме. А на инженера по СКС делегировать задачу по заполнению КЖ. L2 схемы ему будет достаточно. Удобный шаблон КЖ дам вам ссылкой.
Итак, у нас есть корректная документация, как основа для дальнейшего учета. С точки зрения эксплуатации дальше просто не забывайте ее актуализировать.
- Так выглядит типовая, по дизайну современная структурная схема в draw.io (diagrams.net):
На структурную схему наносятся принципиальные моменты дающее полное, но общее представление о том:
- Cколько у нас провайдеров;
- Как у нас выстроена архитектура ЛВС: внешний периметр, ядро, уровень доступа;
- Как обстоит дело с отказоустойчивостью. Каскад устройств, как на картинке firewall и core switch, указывает на то, что используется стек. Вот какой конкретно стек: stack wise, vss с единым control plane или vPC/MCLAG домен с раздельным control plane тут не важно. Аспекты типов стекирования отражаются на схеме L2, в таблице кабельных соединений, а особенности настроек в документе под номером 6 — “Описание настроек”.
Еще раз заостряю внимание. Структурная схема — общая информация. Стеки/кластера и связанные с этим концепции укладываем на L2 схему.
2.Так выглядит типовая, по дизайну современная L3 схема в draw.io (diagrams.net):
После того как у нас есть “структурка” мы готовим (требуем от подрядчика) L3 схему.
L3 схема
На L3 схеме отображаются ключевые сегменты сети: стыки access-core, core-FW, FWs (border routers) — ISPs. Если описывается корпоративная инфраструктура, то к ключевым сегментам можно отнести сегменты в которых находятся основные корпоративные ресурсы: dns, почта, NTP, VIP пользователи, гостевой и пользовательский Wi-Fi. Если описывается инфраструктура уровня ЦОД, где может быть десятки тысяч сегментов, необходимо ограничится L3 сегментами лишь стыковых соединений. Сегмент удобно изображать в виде трубы с нанесением на нее адреса подсети и соответствующего идентификатора vlan. Целесообразно указывать default gateway. Оборудование уровня L2: L2 коммутаторы, хабы, медиаконвертеры на L3 схеме не изображаются!
3. Так выглядит типовая, по дизайну современная L2 схема в draw.io (diagrams.net):
После того как имеется структурная схема и L3 переходим к L2 схеме.
L2 схема
L2 схема это уже про частности канального, местами физического уровня. Тут мы уже делаем акцент на типе используемого кабеля: оптика или медь, стековое соединение. Указываем номер порта, тип линка: агрегированный или нет, режим: trunk или access, id vlans в транках (можно и не указывать, так как их может быть слишком много). Конкретные перечни vlan относящихся к информационным системам клиентов, пользователей и то каким транкам они принадлежат лучше всего отражать в документе “Описание настроек”. На схеме же можно/целесообразно отразить факт наличия in-band и out-of-band менеджмента. Т.е. на наличие управляющего трафика посредством основных каналов и альтернативного варианта управления инфраструктурой посредством выделенных каналов, менеджмент коммутаторов, консольных серверов.
Если оборудование установлено в стойках имеющих нумерацию, то целесообразно нанести на L2 схему имена по следующему принципу. К примеру СoreSW1 у вас находится в стойке F36, 27-й юнит в серверной №1. То целесообразно данному коммутатору дать такое имя: sr1-f36-27-core1. Т.е. sr- server room 1 и дальше логика ясна. Если оборудование разбросано по цодам, то можно заменить на dc#. Пример: dc1-k10-30-fw1 и dc2-g10-12-fw1. У вас есть межсетевые экраны в даталайне и селектеле. Вы определили, что в вашей картине мира даталайн это DC1, а селектел — DC2. Данную идею именования можно развить не только для схематичного отображения, но и по аналогии задавать FQDN этим устройствам на локальных DNS серверах.
На L2 схеме отражаются: коммутаторы, маршрутизаторы, ключевые сервера, рабочие места, аспекты стекирования.
На L2 схеме не отражаются: ip-адреса, виртуальные сущности: vdc, vrf, vds, vdom и тд. и тп.
Аспекты стекирования на L2 схеме
Traditional — два standalone коммутатора с наличием петли и работающим STP (стоит избегать таких вариантов архитектур, по возможности. Но в кампусе допускается);
StackWise Virtual-Physical/StackWise Virtual-logical — Два коммутатора представляются Access уровню как один виртуальный. Нет риска петель, не надо беспокоится о STP, нет простоя линков (must have в крупном enterprise и data center)
IP план
При проектировании IP план составляется в Excel таблице. Честно говоря это самый удобный способ так как можно использовать функционал группировок
Вот если говорить не про проект, а про эксплуатацию действующей инфраструктуры, то существует два подхода:
- Ведение такой же Exel таблицы. Просто функционально, но есть нюансы. Как правило плодится много копий и по итогу информация зачастую не 100% актуальна. Если документ ведет один человек, то это куда не шло. Если к планированию и учету IP пространства причастны >1, то целесообразно использовать специальные продукты (пункт 2).
- Система централизованного учета IP пространства. Есть один бесплатный и удобный продукт под названием phpipam, лично его использую. С этим инструментом планирование и учет IP пространства циклопически упрощается (https://phpipam.net/)
Таблица кабельных соединений aka кабельный журнал (КЖ) aka схема коммутации
В организациях наиболее часто встречается именно КЖ, как оперативный документ инженера СКС (структурированная кабельная система). В проектах же редко используется понятие кабельного журнала, чаще всего это таблица кабельных соединений или схема коммутации. Если руководствоваться моделью OSI, то это уровень L1 — физический. Редко, но можно услышать такое понятие как L1 схема. По факту это все об одном и том же
Кабельный журнал. <<скачать шаблон>>
Маркер — идентификатор связи (по аналогии с ключевым полем в БД). В продаже есть специальные принтера. Можно использовать ручные бобины.
Откуда (Ряд/Шкаф/Юнит)-Оборудование-Плата/порт
КудаОткуда — транзитные (промежуточные) коммутации. Если оконечное оборудование, в нашем примере это блейд корзина HP C7000 подключается портом OA1 (On-board administrator) непосредственно к менеджмент коммутатору Cisco WS-C3750X-24 (Маркер 0051), то блоки КудаОткуда пустые. А вот если взять маркер 0094, то связь между с7000 и коммутаторами ядра пролегает через промежуточную патч-панель и нетподиум (оптическая СКС);
Куда — собственно так же как и Откуда — Оборудование-Плата/порт. Обычно (в большинстве случаев) Откуда — оконечное оборудование: рабочее место, сервер. Куда — коммутатор. Но если связь отражает межкоммутаторное взаимодействие, кластерное взаимодействие, то слева отражается условный 1-й номер, а справа условный 2-й номер.
Тип разъема: RJ-45, MM/SM LC/MM SC и тд. и тп. По данному столбцу сразу понятно что у вас за физика оптика или медь, какой тип оптики мультимод или синглмод, какой тип оптического разьема.
Количество кусков (патчкордов) и их длина— тут все должно быть понятно.
Кто и когда проводил работы — тоже очень важный момент.
Описание настроек
Совершенно необходимы документ при проектировании/модернизации. В практике я встречал еще такой синоним как пусконаладочные карты. В целом, данные документы про настройки по шагам. В них описывается текущая настройка, какие вносятся изменения и для чего, какой результат ожидается. Когда будет этап пусконаладки если ожидаемый результат получен — успех, нет — разбираемся в чем проблема и уже только устранив которую идем дальше;
Дополнительные документы:
7. Расположение оборудование в стойках <<скачать шаблон>> (см. вкладку СКС-2)
8. Схемы подключения питания <<скачать шаблон>>
Очень важные схемы. Предположим у вас в стойках по два независимых луча. Подрядчик или ваш инженер взяли два одноблочных устройства отказоустойчивого кластера и подключили к одному лучу. Луч вырубился не штатно или планово на регламент и нет больше вашего клачтера — весь сегмент прилег. Если схема имеется, по ней монтировали и по нейже осуществлена приемка и испытания, то не будет вам печали. Возьмите на вооружение) “Знаем, плавали, вся жопа в ракушках”)
P.S. Ссылка на схемы в draw.io
Немного поддержу Netskills еще рекламкой:
https://www.youtube.com/redirect?event=video_description&redir_token=QUFFLUhqbFQxMzRuTndmVlNHcnZ6S285Q2pPZnF4VTRrUXxBQ3Jtc0tuZXQxVnhNRnFWWFVDYXZrQVZ0NFZQM084bFZIa3RjbS1yVjM0SUNNZVhZV3praWFMd3ZaOEFKR3ZMSmpXdFNKVXpDZWl2dXJKSVB4Z01uY1hzQWVGaEt2bWhRLUpDbjZlMkRFdkplSHdfM2k0cG1lOA&q=https%3A%2F%2Fnetskills.ru%2Fosnovi-dokumentirovaniya-setei%2Fcertification
Если материал понравился — лучшая помощь порекомендовать канал товарищу IT-шнику. Лишними знания не бывают)
Спасибо за внимание!
Не пропаганды open source для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.
На чтение 21 мин Просмотров 8 Опубликовано 11 апреля 2023 Обновлено 10 апреля 2023
Содержание
- Составьте схему локальной сети компьютерного класса
- Топология Сети
- Технические средства создания ЛВС
- Сетевые карты
- Проводка
- Хаб (другое название – Разветвитель)
- Подключение к ЛВС
- Настройка сетевой карты
- Настройка протокола TCP/IP
- Разделение ресурсов
- Подключение компьютера к сети Интернет
- Установка модема
- Установка и настройка программных компонентов соединения
- Принципы построения и схема локальной сети
- Схемы локальных компьютерных сетей: основная классификация
- Классификация сетей по типу соединения устройств между собой
- Общая схема соединения компьютеров в локальной сети: понятие основных типов топологии
- Топология «звезда»: плюсы и минусы
- Схема «шина»
- Структура «кольцо»
- Смешанные типы сетей
- Логистическая топология
- Наиболее известные сети
- Краткие сведения по настройке проводного и беспроводного подключения
- Эпилог
Составьте схему локальной сети компьютерного класса
Сети бывают локальные и глобальные. Локальные сети объединяют некоторое количество компьютеров в пределах одного или нескольких зданий. Такие сети обычно называют интранет. Глобальные сети подразумевают соединение различных локальных сетей в одну общую сеть, называемую Интернет.
Локальная вычислительная сеть (ЛВС или LAN – Local Area Network) представляет собой коммуникационную систему, позволяющую совместно использовать ресурсы компьютеров, подключенных к сети, таких как принтеры, плоттеры, диски, модемы, приводы CD-ROM и другие периферийные устройства. Локальная сеть обычно расположена в одном или нескольких близко расположенных зданий.
В самом экономичном варианте можно построить одноранговую локальную сеть, в которой все компьютеры выступают как в роли пользователей (клиентов), так и в роли хранителей данных (серверов). При этом все имеют равный доступ ко всем ресурсам других участников сети, будь то файлы или, например, принтеры.
Часто в составе сети выделяют отдельный компьютер – выделенный сервер, который используется для хранения общих ресурсов (архива, дистрибутивов программ и т. д.). Кроме того, сервер может понадобиться для разграничения прав пользователей (если это необходимо) и организации коллективного доступа в Интернет.
В настоящее время существует множество сетевых операционных систем обладающих мощными серверными возможностями, таких как операционные системы семейства UNIX а также Windows NT/2000/XP. В малой сети с функциями сервера вполне справится компьютер под управлением Windows 2000 Professional или Windows XP.
Топология Сети
Топология сети – это способ связи компьютеров. Для малых сетей самым простым вариантом является топология сети типа «звезда». При таком соединении обмен данными между рабочими станциями происходит через центральный узел по отдельным линиям.
Физически каждая линия представляет собой специальный кабель, при помощи которого каждый компьютер в сети соединен с устройством, называемым разветвителем или хабом.
Работа такой сети будет нарушена, если только из строя выйдет центральный узел, будь то хаб или выделенный сервер. Выход из строя одной из рабочих станций никак не скажется на остальных пользователей. Да и подключение новых компьютеров практически никак не скажется на общей работе.
Каждый компьютер в составе ЛВС должен иметь сетевой адаптер, который собственно и подключается специальным кабелем к хабу и сетевую операционную систему.
Технические средства создания ЛВС
Сетевые карты
Могут быть включены в состав системной платы или вставляться в специальные разъемы на плате (обычно это PCI разъемы). При установке сетевой карты, кроме диска с дистрибутивом Windows, может потребоваться дискета с драйвером сетевой карты (обычно поставляется вместе с сетевой картой). Драйвер сетевой карты – специальная программа для ее подключения.
После установки драйвера в Windows в разделе настроек «Система» появится сетевой адаптер, а в разделе «Сетевые подключения» автоматически установятся несколько протоколов (алгоритмов общения сетевых устройств). Среди них будет присутствовать TCP/IP (Transmission Control Protocol/Internet Protocol), изначально придуманный для работы в сети Internet, но также используемый и для работы в локальных сетях. В большинстве локальных сетей используется именно этот протокол.
Проводка
Подключение сетевой карты к хабу осуществляется кабелем типа «витая пара» – UTP (Unshielded Twisted Pair). Обычно это четыре пары скрученных между собой изолированных проводников, помещенных в оболочку. Каждый проводник окрашен в свой цвет и имеет специальный номер. Витая пара бывает нескольких типов. Чаще всего используют витую пару 5-й категории со скоростью передачи до 100 Мбит в секунду. На каждый конец кабеля устанавливают вилки RJ-45, которые подсоединяют к сетевой карте и хабу. Кабель с двумя вилками иногда называют «патч-корд». Часто кабель, идущий от хаба подсоединяют к розетке, а уже розетку соединяют с компьютером коротким патч-кордом.
Хаб (другое название – Разветвитель)
Служит для коммутации всех рабочих станций сети. Хаб с функциями усилителя сигнала, называют активным концентратором. К нему с помощью соединительных кабелей подключаются компьютеры с сетевыми картами. Задача хаба проста – передавать пакеты данных пришедшие с одного из компьютеров, на все другие. Хаб может иметь 4, 5, 8, 12, 16 и более портов (порт – разъем на хабе для соединения с компьютером). Разъем порта такой же, как и на сетевой карте.
Подключение к ЛВС
Рассмотрим настройку сети для операционной системы Windows. В зависимости от установленной версии Windows порядок выполняемых действий может несколько отличаться, поэтому внимательно читайте появляющиеся на экране инструкции.
Настройка сетевой карты
После установки и сетевой карты на системной плате и соединения ее кабелем с хабом можно включить компьютер. В операционной системе Windows сетевая карта распознается автоматически. Если этого не произошло, карту можно установить вручную. Для этого правой кнопкой мыши щелкнем по значку «Сетевое окружение» на «Рабочем столе», и на первой вкладке «Конфигурация» щелкнем на кнопке «Добавить». В появившемся окне выберем «Сетевая плата» и следуем указаниям мастера настройки. То есть, указываем местоположение драйверов для данной платы (иногда драйвер платы может найтись в базе драйверов Windows).
После автоматической установки на вкладке «Конфигурация» в «Сетевом окружении» должны появиться следующие компоненты: 1) «Клиент для сетей Микрософт»; 2) сетевая плата; 3) протокол TCP/IP.
При подключении модема появятся также: 4) Контроллер удаленного доступа и 5) TCP/IP для контроллера.
Все остальные автоматически установившиеся компоненты не являются обязательными и могут быть удалены. Клиент для сетей Микрософт дает возможность компьютеру «видеть» ресурсы сети.
Если Вы хотите предоставить ресурсы данного компьютера другим участникам сети, то на вкладке «Конфигурация» кнопкой «Добавить» можно установить «Службу доступа к файлам и принтерам сетей Микрософт».
Теперь в «Сетевое окружение» на вкладке «Идентификация» нужно указать уникальное имя компьютера, под которым он будет виден в сети и название рабочей группы, в которую он будет входить. В небольшой сети вполне может быть только одна рабочая группа. Поэтому, желательно выбрать одинаковое название рабочей группы для всех компьютеров одного учебного класса.
Настройка протокола TCP/IP
Протокол TCP/IP применяется в Интернет и локальных сетях.
В окне настройки сетевого окружения нужно выбрать TCP/IP протокол для сетевой карты (если есть такой же протокол для контроллера удаленного доступа – его настраивать не нужно).
После этого в диалоговом окне присвоить компьютеру уникальный IP-адрес.
Например, 192.168.0.1 и указать маску подсети, 255.255.255.0.
Второй машине дайте адрес 192.168.0.2, третьей — 192.168.0.3 и так далее.
Маска у всех должна быть одна — 255.255.255.0.
Разделение ресурсов
Чтобы другие компьютеры в сети имели доступ к файлам вашего ПК или к подключенному к нему принтеру, необходимо разрешить совместное использование ресурсов.
Сначала щелкните правой кнопкой мыши на находящемся на Рабочем столе значке «Сетевое окружение», выберите пункт меню «Свойства», нажмите кнопку «Доступ к файлам и принтерам» и включите необходимую опцию. Дважды нажмите ОК.
Чтобы разрешить доступ с других ПК, отметьте диски и каталоги, которые вы открываете для совместного применения. Дважды щелкните мышью на значке «Мой компьютер», выделите правой кнопкой мыши диск или файл, к которому необходимо разрешить доступ, выберите пункт «Доступ», перейдите к закладке «Доступ» и заполните все необходимые поля.
Если вы планируете использовать в сети подключенный к другому компьютеру принтер, Его тоже нужно установить. В диалоговом окне «Мой компьютер» щелкните мышью сначала на значке «Принтеры», а затем дважды на значке «Установка принтера» (Add Printers). Для установки сетевого принтера следуйте далее появляющимся на экране инструкциям. Если вы не знаете путь к сетевому принтеру, то, чтобы найти его в сети, используйте кнопку «Обзор».
Подключение компьютера к сети Интернет
Услуги Интернет предоставляются специальными компаниями – провайдерами. Чтобы получить к ним доступ необходимо заключить с провайдером договор о подключении. Реально доступны:
- подключение с помощью модема по коммутируемым телефонным линиям (dial-up);
- постоянное подключение по выделенной линии с помощью модема для выделенных (физических) линий.
Выделенная линия – это кабель, который постоянно соединяет вас с провайдером, причем у провайдера он также подключен к модему для физических линий. Такой кабель быть предоставлен местной телефонной сетью.
Рассмотрим распространенный на сегодня вариант – соединение по телефонной линии с помощью модема. Для работы с Интернет, необходимо:
- установить модем;
- поставить программу для работы в Интернет и
- настроить соединение.
Установка модема
Модемы бывают внешние и внутренние. Внешние модемы подключают к выключенному компьютеру (кроме USB-модемов) специальным кабелем RS-232 к последовательному порту COM1 или COM2 компьютера, а внутренние устанавливаются в свободный слот (разъем) системной платы и не требуют блока питания. К телефонной сети модем подключают телефонным кабелем – к линейному входу модема «LINE». Большинство модемов имеют разъем «PHONE», к которому можно подключить телефонный аппарат.
После подключения при загрузке Windows обнаружит новое устройство и потребует под него драйверы. Нужно вставить диск, прилагающийся к модему, и указать папку с драйверами для операционной системы, которая установлена на вашем компьютере.
Проверить работоспособность модема можно с помощью Панели Управления инструментом Модемы > Диагностика > Дополнительно.
Установка и настройка программных компонентов соединения
Для подключения к Интернет через телефонную линию (dial-up) должен быть установлен элемент Удаленный доступ к сети в Панели Управления > Установка и удаление программ > Установка Windows > Связь > Удаленный доступ к сети.
Кроме этого должен быть установлен контроллер удаленного доступа и протокол TCP/IP в разделе Панель Управления > Сеть > Конфигурация.
Если этих элементов нет, нажмите Добавить и выберите Сетевая плата > изготовитель Microsoft > Контроллер удаленного доступа и протокол > Microsoft > TCP/IP.
В состав операционной системы Windows 98 включены программы для работы с Интернет. Для их настройки нужно щелкнуть мышью на значке Подключение к Интернет. Будет запущен мастер подключения, который запросит номер телефона провайдера, а также логин и пароль. Всю эту информацию вам необходимо предварительно получить у провайдера при заключении договора.
Источник
Принципы построения и схема локальной сети
Современные компьютерные технологии невозможно представить себе без объединения всевозможных устройств в виде стационарных терминалов, ноутбуков или даже мобильных девайсов в единую сеть. Такая организация позволяет не только быстро обмениваться данными между разными устройствами, но и использовать вычислительные возможности всех единиц техники, подключенной к одной сети, не говоря уже о возможности доступа к периферийным составляющим вроде принтеров, сканеров и т. д. Но по каким принципам производится такое объединение? Для их понимания необходимо рассмотреть структурную схему локальной сети, часто называемую топологией, о чем дальше и пойдет речь. На сегодняшний день существует несколько основных классификаций и типов объединения любых устройств, поддерживающих сетевые технологии, в одну сеть. Конечно же, речь идет о тех девайсах, на которых установлены специальные проводные или беспроводные сетевые адаптеры и модули.
Схемы локальных компьютерных сетей: основная классификация
Прежде всего в рассмотрении любого типа организации компьютерных сетей необходимо отталкиваться исключительно от способа объединения компьютеров в единое целое. Тут можно выделить два основных направления, используемых при создании схемы локальной сети. Подключение по сети может быть либо проводным, либо беспроводным.
В первом случае используются специальные коаксиальные кабели или витые пары. Такая технология получила название Ethernet-соединения. Однако в случае использования в схеме локальной вычислительной сети коаксиальных кабелей их максимальная длина составляет порядка 185-500 м при скорости передачи данных не более 10 Мбит/с. Если применяются витые пары классов 7, 6 и 5е, их протяженность может составлять 30-100 м, а пропускная способность колеблется в пределах 10-1024 Мбит/с.
Беспроводная схема соединения компьютеров в локальной сети основана на передачи информации посредством радиосигнала, который распределяется между всеми подключаемыми устройствами, раздающими девайсами, в качестве которых могут выступать маршрутизаторы (роутеры и модемы), точки доступа (обычные компьютеры, ноутбуки, смартфоны, планшеты), коммутационные устройства (свитчи, хабы), повторители сигнала (репитеры) и т. д. При такой организации применяются оптоволоконные кабели, которые подключаются непосредственно к основному раздающему сигнал оборудованию. В свою очередь, расстояние, на которое можно передавать информацию, возрастает примерно до 2 км, а в радиочастотном диапазоне в основном применяются частоты 2,4 и 5,1 МГц (технология IEEE 802.11, больше известная как Wi-Fi).
Проводные сети принято считать более защищенными от внешнего воздействия, поскольку напрямую получить доступ ко всем терминалам получается не всегда. Беспроводные структуры в этом отношении проигрывают достаточно сильно, ведь при желании грамотный злоумышленник может запросто вычислить сетевой пароль, получить доступ к тому же маршрутизатору, а уже через него добраться до любого устройства, в данный момент использующего сигнал Wi-Fi. И очень часто в тех же государственных структурах или в оборонных предприятиях многих стран использовать беспроводное оборудование категорически запрещается.
Классификация сетей по типу соединения устройств между собой
Отдельно можно выделить полносвязную топологию схем соединения компьютеров в локальной сети. Такая организация подключения подразумевает только то, что абсолютно все терминалы, входящие в сеть, имеют связь друг с другом. И как уже понятно, такая структура является практически не защищенной в плане внешнего вторжения или при проникновении злоумышленников в сеть посредством специальных вирусных программ-червей или шпионских апплетов, которые изначально могли бы быть записаны на съемных носителях, которые те же неопытные сотрудники предприятий по незнанию могли подключить к своим компьютерам.
Именно поэтому чаще всего используются другие схемы соединения в локальной сети. Одной из таких можно назвать ячеистую структуру, из которой определенные начальные связи были удалены.
Общая схема соединения компьютеров в локальной сети: понятие основных типов топологии
Теперь кратко остановимся на проводных сетях. В них можно применять несколько наиболее распространенных типов построения схем локальных сетей. Самыми основными видами являются структуры типа «звезда», «шина» и «кольцо». Правда, наибольшее применение получил именно первый тип и его производные, но нередко можно встретить и смешанные типы сетей, где используются комбинации всех трех главных структур.
Топология «звезда»: плюсы и минусы
Схема локальной сети «звезда» считается наиболее распространенной и широко применяемой на практике, если речь идет об использовании основных типов подключения, так сказать, в чистом виде.
Суть такого объединения компьютеров в единое целое состоит в том, что все они подключаются непосредственно к центральному терминалу (серверу) и между собой не имеют никаких связей. Абсолютно вся передаваемая и принимаемая информация проходит непосредственно через центральный узел. И именно эта конфигурация считается наиболее безопасной. Почему? Да только потому, что внедрение тех же вирусов в сетевое окружение можно произвести либо с центрального терминала, либо добраться через него с другого компьютерного устройства. Однако весьма сомнительным выглядит тот момент, что в такой схеме локальной сети предприятия или государственного учреждения не будет обеспечен высокий уровень защиты центрального сервера. А внедрить шпионское ПО с отдельного терминала получится только при наличии физического доступа к нему. К тому же и со стороны центрального узла на каждый сетевой компьютер могут быть наложены достаточно серьезные ограничения, что особенно часто можно наблюдать при использовании сетевых операционных систем, когда на компьютерах отсутствуют даже жесткие диски, а все основные компоненты применяемой ОС загружаются непосредственно с главного терминала.
Но и тут есть свои недостатки. Прежде всего связано это с повышенными финансовыми затратами на прокладку кабелей, если основной сервер находится не в центре топологической структуры. Кроме того, скорость обработки информации напрямую зависит от вычислительных возможностей центрального узла, и если он выходит из строя, соответственно, на всех компьютерах, входящих в сетевую структуру, связи нарушаются.
Схема «шина»
Схема соединения в локальной сети по типу «шины» тоже является одной из распространенных, а ее организация основана на применении единого кабеля, через ответвления которого к сети подключаются все терминалы, в том числе и центральный сервер.
Главным недостатком такой структуры можно назвать высокую стоимость прокладки кабелей, особенно для тех случаев, когда терминалы находятся на достаточно большом удалении друг от друга. Зато при выходе из строя одного или нескольких компьютеров связи между всеми остальными компонентами в сетевом окружении не нарушаются. Кроме того, при использовании такой схемы локальной сети проходящая через основной канал очень часто дублируется на разных участках, что позволяет избежать ее повреждения или невозможности ее доставки в пункт назначения. А вот безопасность в такой структуре, увы, страдает довольно сильно, поскольку через центральный кабель вредоносные вирусные коды могут проникнуть на все остальные машины.
Структура «кольцо»
Кольцевую схему (топологию) локальной сети в некотором смысле можно назвать морально устаревшей. На сегодняшний день она не используется практически ни в одной сетевой структуре (разве что только в смешанных типах). Связано это как раз с самими принципами объединения отдельных терминалов в одну организационную структуру.
Компьютеры друг с другом соединяются последовательно и только одним кабелем (грубо говоря, на входе и на выходе). Конечно, такая методика снижает материальные затраты, однако в случае выхода из строя хотя бы одной сетевой единицы нарушается целостность всей структуры. Если можно так сказать, на определенном участке, где присутствует поврежденный терминал, передача (прохождение) данных попросту стопорится. Соответственно, и при проникновении в сеть опасных компьютерных угроз они точно так же последовательно проходят от одного терминала к другому. Зато в случае присутствия на одном из участков надежной защиты вирус будет ликвидирован и дальше не пройдет.
Смешанные типы сетей
Как уже было сказано выше, основные типы схем локальных сетей в чистом виде практически не встречаются. Гораздо более надежными и в плане безопасности, и по затратам, и по удобству доступа выглядят смешанные типы, в которых могут присутствовать элементы основных видов сетевых схем.
Так, очень часто можно встретить сети с древовидной структурой, которую изначально можно назвать неким подобием «звезды», поскольку все ответвления идут из одной точки, называемой корнем. А вот организация ветвей в такой схеме подключения по локальной сети может содержать в себе и кольцевые, и шинные структуры, делясь на дополнительные ответвления, часто определяемые как подсети. Понятно, что такая организация является достаточно сложной, и при ее создании необходимо использовать дополнительные технические приспособления вроде сетевых коммутаторов или разветвителей. Но, как говорится, цель оправдывает средства, ведь благодаря такой сложной структуре важную и конфиденциальную информацию можно защитить очень надежно, изолировав ее в ветках подсетей и практически ограничив к ней доступ. То же самое касается и вывода из строя составляющих. При таком построении схем локальных сетей совершенно необязательно использовать только один центральный узел. Их может быть несколько, причем с совершенно разными уровнями защиты и доступа, что еще больше повышает степень общей безопасности.
Логистическая топология
Особо важно при организации сетевых структур обратить внимание на применяемые способы передачи данных. В компьютерной терминологии такие процессы принято называть логистической или логической топологией. При этом физические методы передачи информации в различных структурах могут весьма существенно отличаться от логических. Именно логистика, по сути своей, определяет маршруты приема/передачи. Очень часто можно наблюдать, что при построении сети в виде «звезды» обмен информацией осуществляется с использованием шинной топологии, когда сигнал может приниматься одновременно всеми устройствами. В кольцевых логических структурах можно встретить ситуации, когда сигналы или данные принимаются только теми терминалами, для которых они предназначены, несмотря даже на последовательное прохождение через все сопутствующие звенья.
Наиболее известные сети
Выше пока что рассматривалось исключительно построение схем локальных сетей на основе технологии Ethernet, которая в самом простом выражении использует адреса, протоколы и стеки TCP/IP. Но ведь в мире можно найти огромное количество сетевых структур, которые имеют отличные от приведенных принципы сетевой организации. Наиболее известными из всех (кроме Ethernet с использованием логической шинной топологии) являются Token Ring и Arcnet.
Сетевая структура Token Ring в свое время был разработана небезызвестной компанией IBM и базируется на логической схеме локальной сети «маркерное кольцо», что определяет доступ каждого терминала к передаваемой информации. В физическом отношении также применяется кольцевая структура, однако она имеет свои особенности. Для объединения компьютеров в единое целое имеется возможность использования либо витой пары, либо оптоволоконного кабеля, но скорость передачи данных составляет всего лишь 4-16 Мбит/с. Зато маркерная система по типу «звезды» позволяет передавать и получать данные только тем терминалам, которые имеют на это право (помечены маркером). Но основным недостатком такой организации является то, что в определенный момент такими правами может обладать только одна станция.
Не менее интересной выглядит и схема локальной сети Arcnet, созданная в 1977 году компанией Datapoint, которую многие специалисты называют самой недорогой, простой и очень гибкой структурой.
Для передачи информации и подключения компьютеров могут применяться коаксиальные или оптоволоконные кабели, но также не исключается возможность использования витой пары. Правда, в плане скорости приема/передачи эту структуру особо производительной назвать нельзя, поскольку в максимуме обмен пакетами может производиться на скорости подключения не более 2,5 Мбит/с. В качестве физического подключения используется схема «звезда», а в логическом – «маркерная шина». С правами на прием/передачу дело обстоит точно так же, как и в случае с Token Ring, за исключением того, что передаваемая от одной машины информация доступна абсолютно всем терминалам, входящим в сетевое окружение, а не какой-то одной машине.
Краткие сведения по настройке проводного и беспроводного подключения
Теперь кратко остановимся на некоторых важных моментах создания и применения любой из описанных схем локальной сети. Программы сторонних разработчиков при использовании любой из известных операционных систем для выполнения таких действий не нужны, поскольку основные инструменты предусмотрены в их стандартных наборах изначально. Однако в любом случае необходимо учитывать некоторые важные нюансы, касающиеся настройки IP-адресов, которые применяются для идентификации компьютеров в сетевых структурах. Разновидностей всего две – статические и динамические адреса. Первые, как уже понятно из названия, являются постоянными, а вторые могут изменяться при каждом новом соединении, но их значения находятся исключительно в одном диапазоне, устанавливаемом поставщиком услуг связи (провайдером).
В проводных корпоративных сетях для обеспечения высокой скорости обмена данными между сетевыми терминалами чаще всего используются статические адреса, назначаемые каждой машине, находящейся в сети, а при организации сети с беспроводным подключением обычно задействуются динамические адреса.
Для установки заданных параметров статического адреса в Windows-системах используются параметры протокола IPv4 (на постсоветском пространстве шестая версия еще особо широкого распространения не получила).
В свойствах протокола достаточно прописать IP-адрес для каждой машины, а параметры маски подсети и основного шлюза являются общими (если только не используется древовидная структура с множеством подсетей), что выглядит очень удобным с точки зрения быстрой настройки подключения. Несмотря на это, динамические адреса использовать тоже можно.
Они назначаются автоматически, для чего в настройках протокола TCP/IP имеется специальный пункт, в каждый определенный момент времени присваиваются сетевым машинам прямо с центрального сервера. Диапазон выделяемых адресов предоставляется провайдером. Но это абсолютно не значит, что адреса повторяются. Как известно, в мире не может быть двух одинаковых внешних IP, и данном случае речь идет либо о том, что они изменяются только внутри сети либо перебрасываются с одной машины на другую, когда какой-то внешний адрес оказывается свободным.
В случае с беспроводными сетями, когда для первичного подключения используются маршрутизаторы или точки доступа, раздающие (транслирующие или усиливающие) сигнал, настройка выглядит еще проще. Главное условие для такого типа подключения – установка автоматического получения внутреннего IP-адреса. Без этого соединение работать не будет. Единственный изменяемый параметр – адреса серверов DNS. Несмотря на начальную установку их автоматического получения, зачастую (особенно при снижении скорости подключения) рекомендуется выставлять такие параметры вручную, используя для этого, например, бесплатные комбинации, распространяемые компаниями Google, Yandex и т. д.
Наконец, даже при наличии только какого-то определенного набора внешних адресов, по которым в интернете идентифицируется любое компьютерное или мобильное устройство, изменять их тоже можно. Для этого предусмотрено множество специальных программ. Схема локальной сети может иметь любую из выше перечисленных вариаций. А суть применения таких инструментов, которые чаще всего представляют собой либо VPN-клиенты, либо удаленные прокси-серверы, состоит в том, чтобы изменить внешний IP, который, если кто не знает, имеет четкую географическую привязку, на незанятый адрес, по расположению находящийся в совершенно в другой локации (хоть на краю света). Применять такие утилиты можно непосредственно в браузерах (VPN-клиенты и расширения) либо производить изменение на уровне всей операционной системы (например, при помощи приложения SafeIP), когда некоторым приложениям, работающим в фоновом режиме, требуется получить доступ к заблокированным или недоступным для определенного региона интернет-ресурсам.
Эпилог
Если подводить итоги всему вышесказанному, можно сделать несколько основных выводов. Первое и самое главное касается того, что основные схемы подключения постоянно видоизменяются, и их в начальном варианте практически никогда не используют. Наиболее продвинутыми и самыми защищенными являются сложные древовидные структуры, в которых дополнительно может использоваться несколько подчиненных (зависимых) или независимых подсетей. Наконец, кто бы что ни говорил, на современном этапе развития компьютерных технологий проводные сети, даже несмотря на высокие финансовые затраты на их создание, все равно по уровню безопасности на голову выше, чем простейшие беспроводные. Но беспроводные сети имеют одно неоспоримое преимущество – позволяют объединять компьютеры и мобильные устройства, которые географически могут быть удалены друг от друга на очень большие расстояния.
Источник