01. Ссылки:
|
1 2 3 |
ФСТЭК — Федеральная служба по техническому и экспортному контролю. Полный список сертифицированного ФСТЭК программного обеспечения на базе Linux можно найти по адресу: http://www.linuxcenter.ru/shop/sertified_fstek/. https://www.cpu-world.com/ |
02. Выбор материнской платы
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
форм-фактор — важно, чтобы выбранная материнская плата могла быть установлена в выбранный корпус. Иначе придется что-то менять: или корпус, или материнскую плату. Учитывая, что корпус подбирался под стойку, материнскую плату в случае несовпадения придется заказывать другую; тип сокета процессора — типы сокета процессора и материнской платы должны совпадать. Полагаем, это понятно; максимальный объем оперативной памяти — учитывая, что мы выбираем материнскую плату для сервера, максимальный поддерживаемый объем ОЗУ должен быть не менее 128 Гбайт. Конечно, если вы создаете сервер начального уровня, то хватит и 64 Гбайт, но не нужно забывать о возможной последующей его модернизации. Память — очень критичный ресурс, и очень скоро вы обнаружите, что вам ее недостаточно. Также помните, что максимальный объем может зависеть от типа памяти. Так, при использовании ECC 3DS LRDIMM материнская плата может поддерживать до 1 Тбайт памяти, а при использовании ECC RDIMM — «всего» 256 Гбайт. И хорошо, когда есть возможность расширения; количество слотов памяти — на серверной материнской плате должно быть не менее 4 слотов под ОЗУ (типичная серверная плата обычно содержит 8 слотов оперативной памяти); поддержку RAID — эта характеристика даже важнее, чем максимальный объем оперативной памяти. Если на рабочей станции RAID не нужен, то на сервере — это обязательное требование; количество разъемов SATA II/III — чем больше, тем лучше. Скорее всего, на вашем сервере будут установлены несколько жестких дисков. Например, на борту материнской платы Supermicro X10SRH-CF имеется десять слотов SATA-III. Для упрощения ее обслуживания материнская плата должна быть совместима с используемой на предприятии системой мониторинга. |
03. Выбор дисков
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
Перед покупкой жестких дисков нужно определиться, где будут храниться данные — на сервере или на внешней системе хранения данных. Предпочтительно использовать внешнее устройство, благо на рынке представлены самые разные варианты различных ценовых категорий. В этом случае для сервера понадобятся всего два жестких диска для построения отказоустойчивого массива (зеркала). Совсем другое дело, если данные предполагается хранить на сервере. Тогда нужно установить в сервер максимальное число дисков, что ограничивается форм фактором корпуса. Следовательно, при выборе корпуса необходимо учитывать и это. Количество дисков зависит от выбранного уровня RAID. Так, для RAID 5 требуется три, а для RAID 5E — четыре диска. Основные уровни RAID: Уровень Избыточность Полезная емкость Резервный диск Мин. кол-во дисков Макс. кол-во дисков RAID 0 – 100% – 1 16 RAID 00 – 100% – 2 60 RAID 1 + 50% – 2 16 RAID 1E + 50% – 3 16 RAID 5 + 67–94% – 3 16 RAID 5E + 50–88% + 4 16 RAID 50 + 67–94% – 6 60 RAID 15 + 33–48% – 6 60 RAID 6 + 50–88% – 4 16 RAID 10 + 50% – 4 60 (raid0 + raid1) Из всех уровней, представленных в выше, наиболее часто используется RAID 5. Из всех уровней, представленных в табл. 2.2, наиболее часто используется RAID 5. Это самый экономный уровень — он требует всего лишь три диска, при этом поддерживается избыточность данных, а полезная емкость достигает 67% (для 3 дисков). Общий размер массива вычисляется по формуле: S × (K – 1) Здесь: S — размер меньшего диска в массиве, а K — число дисков. Если у вас есть четыре диска по 1 Тбайт каждый, то полезный размер массива будет таким: 1 × (4 – 1) = 3 Гбайт, что равно 75% от общей емкости всех накопителей. То есть, чем больше дисков, тем выше полезный размер массива. При выборе дисков, кроме интерфейса их подключения и емкости самих дисков, нужно также учитывать размер буфера диска и скорость вращения шпинделя. Сами понимаете — чем эти параметры больше, тем лучше. От скорости вращения шпинделя зависит параметр IOPS (Input/Output operations Per Second) — число операций ввода/вывода в секунду. Этот параметр практически одинаков для всех моделей всех производителей и зависит от скорости вращения шпинделя — чем выше скорость, тем больше IOPS. Зависит также IOPS и от размера блока. Понятно, что чем выше размер блока, тем ниже IOPS. В среднем, при объеме блока до 4 Кбайт включительно IOPS составляет 170 операций в секунду при скорости вращения шпинделя (RPM) 15 000 оборотов в минуту. Если скорость вращения равна 10 000 RPM, то IOPS будет равен 120. Да, именно такие жесткие диски нужны для серверов. Для сравнения — на рабочих станциях обычно используются жесткие диски с частотой вращения шпинделя 7200–7500 RPM. В этом случае их IOPS равен всего 70. Разумеется, какой тип массива RAID, исходя из ваших задач, рекомендуется применить, какой размер блока использовать и т. д., следует выяснить до покупки сервера. Существенно повысить производительность можно путем использования SSD-дисков. Однако необходимо иметь в виду, что время наработки на отказ у них ниже, чем у обычных жестких дисков, и заменять такие диски придется чаще. Учитывая стоимость SSD-дисков большого размера (от 500 Гбайт), это удовольствие не из дешевых. |
04. Выбор памяти
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
Вот мы и добрались до очень важного элемента любой системы — оперативной памяти. Считается, что увеличение объема оперативной памяти — самый простой и относительно дешевый способ увеличения производительности системы. Но это не всегда так. При выборе оперативной памяти, кроме емкости самих модулей и их типа (DDR3, DDR4) нужно учитывать еще и следующие параметры: - эффективную пропускную способность — она обычно указывается в спецификации модуля как PC3-<число>. Например, стандарт PC4-19200 означает, что эффективная пропускная способность составляет 19 200 Мбайт/с. Все модули должны быть одного стандарта; - частоту памяти — она измеряется в мегагерцах, и обычно можно сказать, что чем больше этот параметр, тем лучше, но и это не всегда так. Нужно, чтобы материнская плата поддерживала выбранную вами частоту. Если, например, вы купите модули памяти, работающие на частоте 3200 МГц, но поскупитесь на материнскую плату (или просто не обратите внимание на этот параметр при ее выборе), и окажется, что она поддерживает только частоту 2133 МГц, ничего хорошего из этого не выйдет. Модули будут работать, но на частоте материнской платы — 2133 МГц; - коррекцию ошибок — серверная оперативная память должна быть с коррекцией ошибок (ECC), иначе это обычная «настольная» память. Память с коррекцией ошибок может исправлять изменения одного бита в одном машинном слове. Это значит, что при чтении одного машинного слова из памяти будет прочтено то жезначение, что было до этого записано, даже если в промежутке между записью и чтением один бит был случайно изменен. Обычная оперативная память на такое не способна; - режим работы оперативной памяти — это характеристика не модулей памяти, а материнской платы (лучше уточнить это в документации по материнской плате). Например, материнская плата у вас может иметь два слота для оперативной памяти и режим работы — двухканальный (Dual-channel architecture). Следовательно, для получения полной отдачи вам нужно будет установить в нее два одинаковых модуля — одинакового стандарта, емкости и частоты и, желательно, одного производителя. Если вы установите один модуль емкостью 16 Гбайт, то он будет работать медленнее, чем два по 8 Гбайт. Аналогично, бывают материнские платы и с трехканальным, и четырехканальным режимами работы. Для работы, например, в трехканальном режиме вам потребуются три одинаковых модуля памяти, которые, возможно, нужно будет установить в определенные слоты — обычно они отмечены на материнской плате одним цветом (для уточнения этого момента лучше обратиться к документации по вашей материнской плате). Здесь тоже могут иметь место подводные камни — например, у вас установлены три модуля по 4 Гбайт суммарным объемом 12 Гбайт. И вы хотите сделать благое дело, добавив еще один модуль, увеличив тем самым объем ОЗУ до 16 Гбайт. Однако на сервере перестанет работать трехканальный режим, и вы получите замедление скорости работы подсистемы памяти вместо ожидаемого прироста ее производительности. |
05. Дополнительные требования к коммутационному оборудованию
|
1 2 3 4 5 |
Коммутационное оборудование нужно выбирать с учетом поддержки технологий, которые используются при построении инфраструктуры сети. Здесь никаких конкретных советов дать нельзя, поскольку каждое решение будет индивидуальным. Можно, разве что, посоветовать покупать оборудование с поддержкой протокола SNMP (Simple Network Management Protocol, простой протокол сетевого управления). Этот протокол упростит управление оборудованием и его мониторинг. Оборудование без поддержки SNMP допустимо выбирать в самых простых случаях и для самых малых предприятий. |
06. Дополнительные требования к аварийным источникам питания
|
1 2 |
Источники бесперебойного (аварийного) питания, или, попросту, UPS-ы, должны быть оснащены сетевыми интерфейсами, по которым можно получать данные о состоянии батарей, уровне заряда и оставшемся времени автономной работы. |
07. Состав программного обеспечения типового предприятия
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Теперь рассмотрим вопросы выбора программного обеспечения. Если для инфраструктуры сети нужен индивидуальный подход, то о программном обеспечении говорить намного проще. Прикладное программное обеспечение мы обсуждать не станем — оно зависит от специфики вашего предприятия. Например, если вы не занимаетесь проектированием, то и САПР вам не нужна. Одни предприятия могут использовать популярную бухгалтерскую программу «1С:Предприятие», другие — нет. Одним предприятиям требуется CRM1, другим — нет, и т. д. В этом разделе речь пойдет об инфраструктурном программном обеспечении. В любой информационной системе можно выделить следующие классы программного обеспечения: - операционные системы - подсистемы аутентификации и контроля доступа - подсистемы DNS - файловые сервисы - средства доступа к Интернету - средства защиты информации: антивирусное ПО, межсетевые экраны, IDS/IPS и т. п. - средства резервного копирования - офисное программное обеспечение (как правило, офисные пакеты используют все предприятия) - подсистему электронной почты |
08. Подсистема аутентификации и контроля доступа
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
Для упрощения администрирования используются централизованные системы управления. При этом учетные записи пользователей хранятся на серверах, также на серверах осуществляется аутентификация и принимается решение о предоставлении доступа к тем или иным ресурсам. В Windows-сетях задействована служба каталогов Active Directory, а в Linux-системах — OpenLDAP. В общем-то, можно Linux-сервер превратить в контроллер домена Active Directory и сэкономить немаленькую сумму на покупке лицензионного Windows Server 2016. Возможно участие Linux-систем и в домене Active Directory. Поэтому, если на вашем предприятии используются разные операционные системы, проблем с этим возникнуть не должно. Надо будет только потратить определенное время на их правильную настройку. CRM-система (от англ. Customer Relationship Management, система управления взаимоотношениями с клиентами) — прикладное программное обеспечение для организаций, предназначенное для автоматизации стратегий взаимодействия с заказчиками. Подключение Linux к домену: протокол Kerberos Linux-систему можно подключить к Windows-домену по-разному: или с применением NTLM-аутентификации, или протокола Kerberos. Поскольку в современных версиях Windows используется именно Kerberos, то для подключения Linux-клиентов рекомендуется задействовать именно его. Здесь мы рассмотрим настройку гипотетического Linux-клиента. В вашем дистрибутиве настройки могут быть несколько иными — например, может отличаться расположение файлов конфигурации в каталоге /etc. Для протокола Kerberos очень важно минимальное рассогласование времени между компьютером пользователя и контроллером домена — оно не должно превышать пяти минут. Поэтому перед настройкой Kerberos следует синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов. Чтобы подключиться к домену, нужно отредактировать конфигурацию клиента Kerberos, получить билет Kerberos для учетной записи администратора и выполнить команду подключения к домену. |
09. Настройка конфигурации клиента Kerberos
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
В Linux практически все можно настроить с помощью графических конфигураторов. Вот только делать этого мы не рекомендуем, поскольку в каждом дистрибутиве свои конфигураторы, которые редактируют одни и те же конфигурационные файлы. Если вы привыкнете к одному дистрибутиву, вам потом, в случае необходимости, будет сложно перейти на другой. Если же вы будете знать, что и в каком конфигурационном файле находится, графические конфигураторы вам вообще не понадобятся. Файлом конфигурации Kerberos обычно является файл /etc/krb5.conf. В этом файле нужно изменить параметры доменной зоны (realm) и службы Kerberos — центра выдачи ключей KDC (Key Distribution Center): [realms] EXAMPLE.COM = { kdc = tcp/dc1.example.com:88 tcp/dc2.example.com:88 admin_server = dc1.example.com default_domain = example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM [kdc] enable-kerberos4 = false Назначения параметров, думаем, понятны по их названиям — вам нужно указать собственный домен (вместо example.com) и имена контроллеров домена1. Помните, что имена в этом файле чувствительны к регистру. В примере DNS-имя домена — example.com, а контроллеры домена имеют имена dc1 и dc2. |
10. Настройка файла nsswitch.conf
|
1 2 3 4 5 6 7 8 9 |
Файл /etc/nsswitch.conf содержит список источников, которые будут использоваться для получения данных о пользователях. Обычно вам не придется изменять его содержимое, однако проверьте, чтобы было указано не только files, но winbind в каждой строке. Вот пример этого файла: group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind |
11. Получение билета Kerberos для учетной записи администратора
|
1 2 3 4 5 6 |
После редактирования конфигурации Linux-клиента нужно получить билет Kerberos на Linux-компьютере для учетной записи администратора домена. Это делается командой: kinit administrator@EXAMPLE.COM Имя домена должно быть указано прописными буквами, а слева от символа @ следует указать учетную запись администратора домена. Проверить полученный билет можно с помощью команды klist. Вы увидите параметры полученного билета, в том числе и срок его действия. |
12. Подключение к домену
|
1 2 3 4 5 6 |
Осталось дело за малым — подключить Linux-клиент к домену Windows по протоколу Kerberos. Для этого выполните команду: net ads join -U administrator%password При этом будет осуществлено подключение к домену, указанному в файле конфигурации Kerberos. Параметры administrator и password замените на реальные имя пользователя и пароль. Если вы не ошиблись и все сделали правильно, то получите сообщение об успешном подключении к домену. |
13. Проверка подключения
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Как проверить подключение? Просто просмотрите список компьютеров-членов–домена — в нем вы увидите ваш Linux-клиент. Это можно сделать как в Windows, так и в самой Linux. Сначала проверим наличие безопасного подключения с помощью команды: [root@linux ~]# wbinfo -t checking the trust secret via RPC calls succeeded Такой вывод команды означает, что все в порядке. Далее нужно ввести: wbinfo –u для отображения списка пользователей или: wbinfo –g для отображения списка групп. Также следует проверить (командой: getent passwd), что служба winbind успешно получает пароли с контроллера домена — в списке паролей вы увидите записи, относящиеся к домену. |
14. Сервер Linux в качестве контроллера домена
|
1 2 3 4 5 6 7 |
Операционная система Linux позволяет неплохо сэкономить деньги предприятия — на базе Linux вы можете так настроить контроллер домена, что рабочие станции Windows не заметят никакой разницы. При этом отпадет необходимость приобретать лицензионный Windows Server, стоимость лицензии которого зависит от количества рабочих станций в вашей сети. К сожалению, такое решение практикуется не очень часто — обычно администраторы знакомы с Windows Server и не желают изучать что-либо для них новое. А зря. Учитывая стоимость Windows Server и дополнительных лицензий (например, лицензий терминального доступа), можно неплохо сэкономить. Всевозможных статей и руководств по настройке Linux в режиме контроллера домена Active Directory предостаточно, поэтому этот вопрос мы здесь рассматривать не станем. |
15. Совместно используемые ресурсы
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
На любом предприятии не обойтись без общих папок с документами. В Windows для доступа к общим папкам и принтерам служит протокол SMB (Server Message Block, блок серверных сообщений), разработанный компаниями Microsoft, Intel и IBM. Компьютеры под управлением Linux также могут работать по протоколу SMB. Для этого в Linux имеется специальная служба — Samba. Пакет Samba входит в состав всех дистрибутивов Linux и в большинстве случаев установлен по умолчанию. Проект Samba — это не просто OpenSource-проект. К нему подключилась и Microsoft, что говорит о важности этого направления и о значимости проекта. Для работы с общими документами, кроме общих папок, можно использовать и облачные сервисы — например, тот же Google Drive. Преимущества этого решения таковы: - ваши документы будут доступны в любой точке земного шара, где есть соединение с Интернетом - вам не придется настраивать VPN-сервер для доступа мобильных клиентов к ресурсам вашей корпоративной сети - серверы Google «переехали» в Россию, что дает возможность использовать Google Drive даже для хранения персональных данных и прочей конфиденциальной информации - работать с документами, расположенными в Google Drive, можно не только из Windows или Linux, но и с мобильных устройств под управлением Android. И, вообще, получить доступ к общим документам можно через веб-интерфейс с любого устройства, на котором возможен запуск браузера - если вы боитесь, что к вашим данным получит доступ кто-либо посторонний, то сможете воспользоваться программами облачного шифрования. Третье решение для доступа к общим документам — распределенная файловая система — подробно рассмотрено |
16. Учетная запись для анонимного доступа
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
В Windows используется гостевая учетная запись — учетная запись Гость. Эта запись служит для предоставления общего доступа всем, когда ОС не контролирует права доступа. По умолчанию эта учетная запись отключена. В Linux учетной записи Гость соответствует учетная запись nobody. По умолчанию анонимный доступ к ресурсам Linux также запрещен. Если вам нужно его разрешить, проверьте, чтобы в вашей системе существовала учетная запись nobody, и отредактируйте конфигурацию Samba так: [global] security = user map to guest = Bad Password [share_definition] guest ok = yes Есть и второй способ, который заключается в использовании параметра security = share. При этом доступ к ресурсу будет осуществляться только с параметрами гостевой учетной записи. |
17. Работа с Windows-ресурсами в Linux
|
1 2 |
Как уже отмечалось ранее, в Linux для работы в составе домена Windows необходим пакет Samba, который часто бывает установлен по умолчанию. Если он почему-либо оказался не установлен, установить его не составит особого труда, т. к. он в любом случае входит в состав дистрибутива. |
17. Установка пакета Samba
|
1 2 3 4 5 6 7 |
Следующая команда в Debian/Ubuntu устанавливает пакет Samba, поддержку протокола Kerberos и службу Winbind: sudo apt-get install install samba krb5-user winbind После установки сервис smb настраивается на автоматическую загрузку. Управлять запуском/перезапуском службы можно с помощью команды services: services smb start services smb stop services smb restart |
18. Настройки Samba
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 |
Основным файлом конфигурации Samba является файл /etc/samba/smb.conf. Файл состоит из нескольких секций: - [globals] — содержит глобальные настройки - [homes] — описывает домашние папки пользователей - [public] — содержит описание публичных ресурсов - [printers] — описывает сетевые принтеры Рассмотрим на примере практическую настройку Samba. Во-первых, поставим задачу, чтобы Linux-клиент интегрировался в домен Active Directory EXAMPLE.COM. Во-вторых, "расшарим" папку /var/samba так, чтобы все пользователи домена могли записывать в нее файлы, читать из нее файлы и просматривать ее содержимое. Пример конфигурации Samba: -------------------------- [global] # Имя рабочей группы и домена нужно указывать заглавными буквами workgroup = EXAMPLE realm = EXAMPLE.COM # Указываем, что авторизация будет через AD security = ADS # Пароли будем шифровать encrypt passwords = true # Прокси DNS не используется dns proxy = no # Ускоряем работу Samba socket options = TCP_NODELAY # Следующие параметры нужны, чтобы Samba # НЕ работала в режиме контроллера домена domain master = no preferred master = no os level = 0 domain logons = no local master = no # Поддержка принтеров не нужна load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes [public] # Описываем публичный ресурс comment = Public Folder # путь к публичному ресурсу path = /var/samba # разрешаем запись read only = no # еще раз разрешаем запись writable = yes # разрешаем гостевой доступ guest ok = yes # разрешаем просмотр содержимого каталога browseable = yes ------------------------- Правильность составления файла конфигурации Samba вы можете проверить с помощью программы testparm. testparm |
19. Подключение к общим ресурсам
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Как правило, если запущен графический интерфейс, то доступ к общим ресурсам Samba осуществляется через файловый менеджер, — просто нужно выбрать раздел Сеть, выбрать в нем компьютер и общий ресурс, — все так же, как и в Windows. Если графический интерфейс не запущен, вам следует воспользоваться командой smbmount, которой передать имя монтируемого ресурса, точку монтирования, имя пользователя и пароль (если нужно): smbmount ресурс точка_монтирования -o username=пользователь,password=пароль Подключение будет сохранено до перезагрузки системы. Обратиться к файлам ресурса можно через указанную точку монтирования Отобразить список доступных ресурсов определенного компьютера можно так: smbclient -L hostname |
20. Защита узлов сети
|
1 2 3 4 5 6 7 8 9 10 11 |
- антивирусная защита - межсетевое экранирование - обнаружение атак (IDS, Intrusion Detection System) и/или предотвращение атак (IPS, Intrusion prevention systems) - контроль приложений (блокировка запуска нежелательных приложений) и устройств (блокировка доступа к устройству) В Linux используется ряд систем контроля доступа, такие как LIDS, Tomoyo, SELinux. Эти системы могут даже ограничить полномочия самого суперпользователя root. Собственно, для этого они и предназначены, — на случай, если учетная запись суперпользователя окажется скомпрометированной. Многие антивирусы для Windows-станций также сегодня включают функции межсетевого экрана и проактивной защиты (контроль запуска приложений), а некоторые содержат еще и средства обнаружения атак. |
21. Средства удаленного администрирования
|
1 2 3 4 |
Для удаленного администрирования можно применять различные средства, в том числе RDP (удаленный рабочий стол). Также довольно популярна программа TeamViewer, Anydesk, RustDesk https://github.com/rustdesk/rustdesk |
22. Средства резервного копирования
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
Symantec NetBackup или Acronis Backup &Recovery borgbackp При выборе программного обеспечения резервного копирования нужно учитывать следующие его характеристики: - возможность восстановления всей системы с нуля и на новое оборудование — программа резервного копирования должна позволить администратору быстро и путем простых операций подготовить и восстановить систему на новом оборудовании. Понятно, что подобные ситуации не будут встречаться часто, но эта возможность сведет к минимуму возможные простои - поддержка прикладных программ, эксплуатируемых на предприятии, — корпоративная программа резервного копирования должна выполнять задачу сохранения данных для всех программ, которые используются на предприятии. Это касается серверов баз данных, почтовых программ различных производителей, ERP-систем1, если таковые присутствуют в системе, и т. д. - возможность создавать гибкий график операций — администратор должен достаточно просто настраивать график полного и частичного резервного копирования для каждого продукта и быть уверенным, что в случае сбоя (например, временной недоступности сервера) операция будет повторена через заданные промежутки времени. Кроме того, администратор не должен выполнять несколько последовательных операций при восстановлении данных — программа должна самостоятельно объединять полные и промежуточные копии на требуемый момент времени - возможность гранулярного восстановления — на практике резервные копии данных часто используются для того, чтобы восстановить случайно удаленные пользователями отдельные файлы или вернуть информацию к предыдущему состоянию. Удобно, если такая функциональность доступна самим пользователям, чтобы они не привлекали администраторов для решения таких задач (конечно, с необходимым контролем прав доступа) - развитая отчетность — отчетность по результатам выполнения операций является немаловажным свойством. Быстрое получение сведений об ошибках операций, о составе резервных копий, об использовании объемов устройств хранения и т. п. помогает администратору принимать верные решения по управлению системой - поддержка ленточных библиотек (опционально) — на большей части предприятий операция резервного копирования выполняется на дисковые устройства. Это быстро и достаточно дешево. Но если требуется хранить данные годами, то в такой ситуации конкурентов у ленты нет и сегодня. Однако магнитная лента требует и особого обращения с ней: специальных условий хранения, периодических перемоток и т. п. Поэтому ленточные библиотеки организуются только в крупных организациях или в специализированных целях - дедупликация данных (опционально) — технология дедупликации подразумевает исключение дублирования хранимых данных. Данные разбиваются на блоки, для них вычисляется хэш-функция. И если выполняется попытка записи нового блока, который уже совпадает с тем, что хранится в системе (совпадают значения хэш-функций), то вместо повторной записи всех данных блока записывается только указатель на существующие в системе блоки. Дедупликация может сократить размер хранимых данных, особенно если по регламенту резервного копирования предприятия должны создаваться и храниться много промежуточных копий (например, если требуется сохранять ежедневные копии в течение месяца). Такие возможности специфичны для каждого продукта. |
23. Электронная почта
|
1 2 3 4 5 6 7 8 |
eGroupware (http://www.egroupware.org/) Group-Office (http://www.group-office.com) Open-Xchange (http://mirror.open-xchange.org/ox/EN/community/) Scalix (http://www.scalix.com, бесплатная версия имеет некоторые ограничения функциональности по сравнению с коммерческим вариантом) Kolab (http://www.kolab.org) OGo-OpenGroupware (http://www.opengroupware.org/) Zimbra (http://www.zimbra.com/) Open Source Outlook MAPI Connector (http://www.openconnector.org/) |
24. Офисный пакет
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
Любому предприятию нужен пакет офисных приложений: текстовый процессор, электронная таблица, средство для создания презентаций и т. п. Наличие офисного пакета стало стандартом. При покупке ПК уже никто и не задумывается — покупать офисный пакет или нет — его покупают вместе с операционной системой. Тем не менее, тот же функционал можно получить совершенно бесплатно, поскольку существует множество бесплатных офисных пакетов. Самые популярные из них: Apache OpenOffice текстовый процессор LibreOffice Writer (аналог Microsoft Word) редактор формул LibreOffice Math (в пакете Microsoft Office используется как встроенный объект) редактор рисунков LibreOffice Draw редактор электронных таблиц LibreOffice Calc (аналог Microsoft Excel) редактор презентаций LibreOffice Impress (аналог Microsoft PowerPoint) https://www.openoffice.org/download/ https://ru.libreoffice.org/ |
25. Свободное программное обеспечение
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 |
LibreOffice Популярный офисный пакет, включающий текстовый процессор, электронную таблицу, средства для создания презентаций и работы с базами данных. Является аналогом Microsoft Office и поддерживает форматы документов Microsoft Office https://ru.libreoffice.org/ Firefox и Google Chrome Бесплатные браузеры — являются самыми популярными браузерами в мире и доступныmдля разных операционных систем. http://www.firefox.com/ http://www.google.ru/chrome?hl=ru GIMP Мощный графический редактор, многие пользователи считают его аналогом Adobe Photohop, поскольку с его помощью можно решить те же задачи. http://www.gimp.org/ ImageBurn и InfraRecorder Бесплатные программы для записи, копирования CD- и DVD-дисков. Программы также работают с ISO-образами дисков. http://www.imgburn.com/ http://infrarecorder.org/ NanoCAD Бесплатная САПР-платформа для различных отраслей. http://www.nanocad.ru/ FreeCommander Двухпанельный файловый менеджер, созданный по образу и подобию широко известного в недавнем прошлом Norton Commander http://www.freecommander.com/ 7Zip Архиватор, поддерживающий форматы: ARJ, CAB, CHM, CPIO, DEB, DMG, HFS, ISO, LZH, LZMA, MSI, NSIS, RAR, RPM, UDF, WIM, XAR и Z http://www.7-zip.org/ CCleaner Очень мощная программа для чистки реестра http://www.ccleaner.com/ Avast!, AVG, Avira, PCTools Antivirus Бесплатные антивирусы, вполне способные заменить коммерческие продукты. Бесплатны не только сами программы, но и обновления антивирусных баз. Мы рекомендуем на Windows-компьютерах использовать Avast!, как наиболее оптимальный по производительности антивирус. http://www.avast.com/ http://free.avg.com/ http://www.free-av.com/ http://www.pctools.com/free-antivirus/ ZoneAlarm Межсетевой экран для личного использования http://www.zonealarm.com/ COMODO Internet Security Система обеспечения безопасности, состоящая из антивируса и межсетевого экрана http://www.personalfirewall.comodo.com/ PC Tools Firewall Plus Межсетевой экран http://www.pctools.com/firewall/ Outpost Security Suite FREE Бесплатная версия комплексного антивирусного продукта Agnitum Outpost, состоящая из антивируса и брандмауэра http://www.agnitum.ru/ Ad-Aware Free Защищает от вредоносных программ (SpyWare, mailware и т. п.) http://lavasoft.element5.com/ PDF creator, PDF converter Программы для конвертирования документов любого формата в формат PDF. Позволяют обойтись без программы Adobe Acrobat http://sourceforge.net/projects/pdfcreator/ http://www.dopdf.com// Babiloo, GoldenDict Программы для перевода текста http://babiloo-project.org/ http://goldendict.org/ Inkscape Редактор векторной графики, способный заменить программы Illustrator, Freehand, CorelDRAW http://www.inkscape.org/ Cuneiform Программа OCR (для оптического распознавания текста) http://www.cuneiform.ru/ Codendi, Collabtive, dotProject, eGroupWare, KForge, и др. ПО для управления проектами. Поддерживает управление ресурсами, обмен сообщениями и т. д. http://www.codendi.com http://collabtive.o-dyn.de http://www.dotproject.net http://www.egroupware.org http://www.kforgeproject.com/ SugarCRM Бесплатная версия коммерческого пакета управления отношениями с клиентами (CRM) — лишний повод сэкономить на Microsoft Dynamics CRM http://www.sugarcrm.com/crm/community/sugarcrm-community.html Alfresco Система управления документами (Enterprise Content Management) http://www.alfresco.com/ |
26. Файловая система linux
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 |
Все пользовательские файлы хранятся только в разделе /home/<имя_профиля>. Пользователь не может создать в корне диска свои папки и хранить там данные, как это можно в Windows. Максимальная длина имени файла в Linux — 254 символа. Имя может содержать любые символы (в том числе и кириллицу), кроме следующих: / \ ? < > * « |. Но кириллицу в именах файлов Linux мы бы не рекомендовали вовсе. Впрочем, если вы уверены, что не будете эти файлы передавать Windows-пользователям (на флешке, по электронной почте) — используйте для себя на здоровье. Разделение элементов пути осуществляется символом / (прямой слэш), а не \ (обратный слэш), как в Windows. Для каждого каталога и файла вы можете задать права доступа. Точнее, права доступа автоматически задаются при создании каталога/файла, а вам при необходимости можно их изменить. Существуют три права доступа: чтение (r), запись (w), выполнение (x). Для каталога право на выполнение означает право на просмотр содержимого каталога. Чтобы просмотреть текущие права доступа, введите команду: ls -l <имя файла/каталога> Например, ls -l video.txt В ответ программа выведет следующую строку: -r--r----- user group 300 Apr 11 11:11 video.txt В этой строке фрагмент: -r--r----- описывает права доступа: - первый символ — это признак каталога. Сейчас перед нами файл. Если бы перед нами был каталог, то первый символ был бы символом d (от directory) - последующие три символа (r--) определяют права доступа владельца файла или каталога. Первый символ — это чтение, второй — запись, третий — выполнение. Как можно видеть, владельцу разрешено только чтение этого файла, запись и выполнение запрещены, поскольку в правах доступа режимы w и x не определены - следующие три символа (r--) задают права доступа для членов группы владельца. Права такие же, как и у владельца: можно читать файл, но нельзя изменять или запускать - последние три символа (---) задают права доступа для прочих пользователей. Прочие пользователи не имеют права ни читать, ни изменять, ни выполнять файл. При попытке получить доступ к файлу они увидят сообщение Access denied. После прав доступа команда ls выводит имя владельца файла, имя группы владельца, размер файла, дату и время создания, а также имя файла. Права доступа задаются командой chmod. Существуют два способа указания прав доступа: символьный (когда указываются символы, задающие право доступа: r, w, x) и абсолютный. Так уж заведено, что в мире UNIX чаще пользуются абсолютным методом. Разберемся, в чем он заключается, и рассмотрим следующий набор прав доступа: rw-r----- Этот набор предоставляет владельцу право чтения и модификации файла (rw-), запускать файл владелец не может. Члены группы владельца могут только просматривать файл (r--), а все остальные пользователи не имеют вообще никакого доступа к файлу. Теперь разберем отдельный набор прав — например, для владельца: rw-. Чтение разрешено — мысленно записываем 1, запись разрешена — запоминаем еще 1, а вот выполнение запрещено, поэтому запоминаем 0. Получается число 110. Если из двоичной системы перевести число 110 в восьмеричную, получится число 6. Двоичная система Восьмеричная система Двоичная система Восьмеричная система 000 0 100 4 001 1 101 5 010 2 110 6 011 3 111 7 Аналогично произведем разбор прав для членов группы владельца. Получится двоичное 100, т. е. восьмеричное 4. С третьим набором (---) все вообще просто — это 000, т. е. 0. Записываем полученные числа в восьмеричной системе в порядке: владелец группа-остальные. Получится число 640 — это и есть права доступа. Для того что-бы установить эти права доступа, выполните команду: chmod 640 <имя_файла> Наиболее популярные права доступа: 644 — владельцу можно читать и изменять файл, остальным пользователям — только читать 666 — читать и изменять файл можно всем пользователям 777 — всем можно читать, изменять и выполнять файл Иногда символьный метод оказывается проще. Например, у нас есть файл script, который нужно сделать исполнимым, — для этого можно применить команду: chmod +x script Для того чтобы снять право выполнения, указывается параметр -x: chmod -x script Подробнее о символьном методе вы сможете прочитать в руководстве по команде chmod, выполнив в терминале Linux команду: man chmod. |
27. Монтирование файловой системы в linux
|
1 2 3 4 5 6 7 |
В Windows стоит вам открыть Проводник, и вы сразу же увидите все файловые системы вашего ПК — как стационарных жестких дисков, так и сменных носителей. Исключения составляют ситуации, когда одна из файловых систем скрыта посредством реестра. В Linux, чтобы увидеть содержимое файловой системы, отличной от корневой, ее сначала нужно подмонтировать. В результате монтирования файловая система станет доступной через точку монтирования — специальный каталог, указанный при монтировании. Монтирование осуществляется или вручную (с помощью команды mount), или при загрузке системы (через файл /etc/fstab и файлы конфигурации systemd), или автоматически (с помощью демона automountd или аналогичного). Обычно файловая система монтируется к одному из подкаталогов каталога /mnt (или /media — для съемных носителей в некоторых дистрибутивах), но изменив или параметр команды mount, или конфигурационные файлы средства автоматического монтирования, вы можете подмонтировать ее к любому другому каталогу. |
28. Консоль и графический режим linux
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
По умолчанию в современных дистрибутивах при входе в систему запускается графический менеджер регистрации, в окне которого требуется указать имя пользователя и пароль. После этого загрузится установленная в вашем дистрибутиве по умолчанию графическая среда — обычно это KDE или GNOME. Конечно, может быть загружена и какая-либо другая графическая среда по вашему выбору. Для этого надо нажать соответствующую кнопку выбора типа сеанса, имеющуюся в окне регистрации. В зависимости от дистрибутива она может называться Тип сеанса или Сеанс (в Fedora и некоторых других дистрибутивах), а может быть представлена графической пиктограммой или списком. Несмотря на то, что Linux запустилась в графическом режиме, в любое время вы можете перейти в консоль. Для этого нажмите клавиатурную комбинацию <Ctrl>+<Alt>+<Fn>, где n — номер консоли (от 1 до 6). То есть, чтобы перейти на первую консоль, нужно нажать <Ctrl>+<Alt>+<F1>, на вторую — <Ctrl>++<Alt>+<F2> и т. д. Обратите внимание, что так можно перейти в консоль только из графического режима. Если вы уже находитесь в консоли, то для переключения между консолями служат комбинации клавиш <Alt>+<F1> ... <Alt>+<F6>, а также <Alt>+<F7> — для возврата в графический режим. При вводе команд (как в консоли, так и в терминале — графическом эмуляторе консоли) работает автоматическое дополнение команды. Вам нужно ввести начальные буквы команды и нажать клавишу <Tab>, после чего система предложит вам доступные варианты. Набор команд зависит от установленного программного обеспечения и на разных компьютерах может быть различным. Команды в Linux, как и имена файлов, чувствительны к регистру, т. е. команды CP и cp — это разные команды. |
29. Пользователь root
|
1 2 3 4 5 6 7 8 |
Linux, как и UNIX, является многозадачной многопользовательской операционной системой. Это означает, что в один момент с системой могут работать несколько пользователей, и каждый пользователь может запустить несколько приложений. Пользователь root обладает в системе максимальными полномочиями — система полностью подвластна этому пользователю. Любая его команда будет безоговорочно выполнена системой. Поэтому работать под именем пользователя root нужно с осторожностью. Всегда думайте над тем, что собираетесь сделать. Если вы дадите команду на удаление корневой файловой системы, система ее выполнит. Если же вы попытаетесь выполнить определенную команду, зарегистрировавшись под именем обычного пользователя, система сообщит вам, что у вас нет полномочий. |
30. Структура папок Linux
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Файловая система любого дистрибутива Linux содержит следующие каталоги: / — корневой каталог; /bin — содержит стандартные программы Linux (cat, cp, ls, login и т. д.) /boot — каталог загрузчика, содержит образы ядра и Initrd (RAM-диска инициализации), может содержать конфигурационные и вспомогательные файлы загрузчика /dev — содержит файлы устройств /etc — содержит конфигурационные файлы системы /home — содержит домашние каталоги пользователей /lib — библиотеки и модули /lost+found — восстановленные после некорректного размонтирования файловой системы файлы и каталоги /media — в некоторых дистрибутивах содержит точки монтирования сменных носителей (CD-, DVD-, USB-накопителей). Хотя файловые системы сменных дисков могут монтироваться и к другим каталогам /misc — может содержать все, что угодно, равно как и каталог /opt /mnt — обычно содержит точки монтирования /opt — некоторые программы устанавливаются в этот каталог, хотя в последнее время такие программы встречаются все реже и реже /proc — каталог псевдофайловой системы procfs, предоставляющей информацию о процессах /root — каталог суперпользователя root /sbin — каталог системных утилит, выполнять которые имеет право пользователь root /tmp — каталог для временных файлов /usr — содержит пользовательские программы, документацию (папка /usr/share/doc), исходные коды программ и ядра (папка /usr/src) /var — постоянно изменяющиеся данные системы — например, очереди системы печати, почтовые ящики, протоколы, замки и т. д. |
31. Текстовые редакторы linux
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
некоторые системы, где по непонятным нам причинам до сих пор используется по умолчанию vi, а другие редакторы недоступны. Да, можно изменить переменную окружения EDITOR, но нет никакой гарантии, что в системе будет установлен какой-нибудь другой редактор. EDITOR=vi EDITOR=nano EDITOR=vim Итак, приступим к рассмотрению редактора vi. Он может работать в трех режимах: - основной (визуальный) режим — в нем и осуществляется редактирование текста; - командный режим — в нем выполняется ввод специальных команд для работы с текстом (если сравнивать vi с нормальным редактором, то этот режим ассоциируется с меню редактора, где есть команды вроде «сохранить», «выйти» и т. д.) - режим просмотра — предназначен только для просмотра файла (если надумаете использовать этот режим, вспомните про команду less) После запуска редактора вы можете переключать режимы (как — будет сказано позже), но выбрать режим можно и при запуске редактора: vi файл vi -e файл vi -R файл :q! Выход без сохранения :w Сохранить изменения :w <файл> Сохранить изменения под именем <файл> :wq Сохранить и выйти :q Выйти, если нет изменений i Перейти в режим вставки символов в позицию курсора a Перейти в режим вставки символов в позицию после курсора o Вставить строку после текущей O Вставить строку над текущей x Удалить символ в позицию курсора dd Удалить текущую строку u Отменить последнее действие Переключение в режим команд осуществляется нажатием клавиши <Esc>. Нажатие клавиш <i>, <a> и др. переключает редактор в режим вставки, когда набираемые символы трактуются именно как символы, а не как команды. Для переключения обратно в командный режим служит клавиша <Esc>. В некоторых случаях (например, когда вы пытаетесь передвинуть курсор левее первого символа в строке) переход в командный режим осуществляется автоматически. Еще редакторы: joe <имя файла> nano <имя файла> ee <имя файла> mcedit <имя файла> |
32. Выполнение команд с правами другого пользователя
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Команда sudo позволяет запустить любую команду с привилегиями root. Использовать ее нужно так: sudo <команда_которую_нужно_выполнить_с_правами_root> Например, вам необходимо изменить файл /etc/apt/sources.list. Для этого следует отдать команду: sudo vim /etc/apt/sources.list Команда su позволяет получить доступ к консоли root любому пользователю (даже если пользователь не внесен в файл /etc/sudoers) при условии, что он знает пароль root. Понятно, что в большинстве случаев этим пользователем будет сам пользователь root — не будете же вы всем пользователям доверять свой пароль? Поэтому команда su предназначена, в первую очередь, для администратора системы, а sudo — для остальных пользователей, которым иногда нужны права root (чтобы они меньше отвлекали администратора от своей работы). Использовать команду su просто: su После этого надо будет ввести пароль пользователя root, и вы сможете работать в консоли, как обычно. Использовать su удобнее, чем sudo, потому что вам не придется вводить su перед каждой командой, которая должна быть выполнена с правами root. |
33. Кроссплатформенный запуск программ в linux
|
1 2 3 4 |
Windows-программы в Linux, увы, просто так не запустишь. Однако способы использования Windows-программ в Linux есть. Первый заключается в установке виртуальной машины. Второй, наиболее распространенный, способ запуска Windows-программ из-под Linux — это использование эмулятора Wine |
34. Структура сети wi-fi
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
На небольших предприятиях сейчас все чаще организуются беспроводные сети на основе протоколов Wi-Fi. Спору нет, такие сети очень удобны: установить маршрутизатор Wi-Fi, настроить его, подключить адаптеры Wi-Fi к стационарным компьютерам (ноутбуки такими адаптерами уже оснащены) — и все. Самое главное здесь то, что не требуется прокладывать кабель, не надо задумываться, как правильно это сделать, пытаясь обойти схемы электропроводки (чтобы не повредить ее при прокладке сетевого кабеля), да и вообще не придется пачкать руки. Все развертывание сети Wi-Fi при имеющемся опыте занимает считанные минуты. Однако у беспроводных сетей есть множество недостатков. Если скорость работы кабельной сети практически не изменяется при изменении числа клиентов, то с беспроводными сетями это не так. Чем больше клиентов, тем выше нагрузка на сеть, тем медленнее она работает. Подвержены беспроводные сети и такому неприятному эффекту, как интерференция (наложение) сигналов. Дело в том, что отсутствие необходимости лицензирования и дешевизна маршрутизаторов Wi-Fi привели к широкому распространению беспроводных сетей. Вполне вероятно, что соседская беспроводная сеть будет работать на том же канале, что и ваша, или на соседнем. Полностью исключить наложение сигнала одной сети на сигнал другой — невозможно из-за количества находящихся рядом сетей. Интерференция негативно влияет на качество сигнала, что отражается на снижении скорости обмена данными по беспроводной сети. Безопасность беспроводных сетей также находится под вопросом. Появились сведения, что технология шифрования WPA2 уже не справляется со своей функцией, и данные, передаваемые по беспроводному соединению, защищаемому WPA2, можно перехватить. Реальная пропускная способность беспроводной сети зачастую оказывается гораздо ниже заявленной. Например, в спецификации домашнего маршрутизатора TP-LINK TL-WR740N заявлена скорость передачи данных до 150 Мбит/с. На практике же больше 72 Мбит/с «выжать» из него не удавалось даже при отсутствии интерференции и одном работающем клиенте. Из-за этого одному из нас пришлось перейти на более дешевый интернет-пакет — со 100 на 70 Мбит/с — нет смысла платить за 100 Мбит/с, если маршрутизатор «режет» скорость до 72-х. И это просто домашняя сеть, в которой вместе с мобильными устройствами насчитывается максимум пять работающих клиентов. А как будет работать беспроводная сеть на небольшом предприятии, эксплуатирующем 20–30 компьютеров? Многое зависит и от того, как работают с сетью сотрудники предприятия. Если им нужно обмениваться внутри сети большими объемами данных («большие» в данном случае — это даже не терабайты, а просто сотни мегабайт) или загружать такие объемы данных из Интернета, беспроводная сеть — не вариант. Все станет ужасно «тормозить». С другой стороны, если беспроводная сеть служит для обычной офисной работы: просмотра страничек в Интернете, переписки по электронной почте, обмена мгновенными сообщениями и даже общения в видеочатах Skype, проблем возникнуть не должно. Да, сеть будет работать медленнее, чем кабельная, но зато это всем удобно. Удобно, как администратору, так и пользователям, которые при необходимости могут взять свой ноутбук и перейти в соседний кабинет. Однако, учитывая все недостатки и особенности сетей Wi-Fi, на некоторых предприятиях наблюдается обратная тенденция — возвращение к кабельным сетям. Возвращаемся к тому, с чего начинали. Это примерно так же, как и с размерами мобильных телефонов, — помните, какими большими были первые мобильники? С хорошую рацию. Потом размер их стал постепенно снижаться. Но в последнее время и это пошло вспять — посмотрите на «лопаты» с размером экрана от 5,5 дюймов и выше. Так что, даже если принято решение использовать беспроводную сеть по всему предприятию, без участков кабельной сети все равно не обойтись. Серверы предприятия должны быть всегда доступны, поэтому к маршрутизатору они так или иначе будут подключаться по кабелю, а не «по воздуху». |
35. Структура сети провода / оптика / СКС
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 |
Действующими стандартами СКС в России являются ГОСТ Р 53245-2008 «Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания»1 и ГОСТ Р 53246-2008 «Информационные технологии. Проектирование основных узлов системы. Общие требования. !!! Опубликованные тексты этих документов содержат опечатки — отнеситесь к их применению с осторожностью. Категории СКС Кабельные системы характеризуются категорией, определяющей качество линии связи: Категория Максимальная частота сигнала / МГц Область применения --------------------------------------------------------------------------------------------------------------------------------- 1 0,1 Применяется в телефонных и старых модемных линиях. Кабель представляет собой две жилы. Не используется. --------------------------------------------------------------------------------------------------------------------------------- 2 1 Старые терминалы, такие как IBM 3270, сети Token Ring, Arcnet. Представляет собой две пары проводников. Скорость передачи данных до 4 Мбит/с. --------------------------------------------------------------------------------------------------------------------------------- 3 16 Телефонные каналы, локальные сети Ethernet 10Base-T, сети Token Ring. Скорость передачи данных до 10 Мбит/с (технология 10Base-T) или 100 Мбит/с (технология 100Base-T4). Сейчас используется в основном для телефонных линий. --------------------------------------------------------------------------------------------------------------------------------- 4 20 Сети Token Ring, 10Base-T, 100Base-T4. Скорость передачи — не более 16 Мбит/с с одной пары. Практически не используется. --------------------------------------------------------------------------------------------------------------------------------- 5 100 Локальные сети со скоростью передачи до 100 Мбит/с (10Base-T, 100Base-T, 100Base-TX). Скорость передачи данных при использовании двух пар — до 10 Мбит/с, четырех пар — до 100 Мбит/с. --------------------------------------------------------------------------------------------------------------------------------- 5е 100 Локальные сети со скоростью передачи до 1000 Мбит/с(1000Base-T). При использовании двух пар достигается скорость передачи данных до 100 Мбит/с, четырех — до 1000 Мбит/с. --------------------------------------------------------------------------------------------------------------------------------- 6 250 Локальные сети со скоростью передачи до 10 Гбит/с (10GBase-T). Максимальная скорость достигается при передаче информации на расстояние до 55 м. Стандарт добавлен в июне 2002 года. --------------------------------------------------------------------------------------------------------------------------------- 6a 500 То же, что и категория 6, но расстояние передачи данных увеличено до 100 м --------------------------------------------------------------------------------------------------------------------------------- 7 600 Локальные сети со скоростью передачи до 10 Гбит/с, сети АТМ, кабельное телевидение. Кабель этой категории имеет общий экран и экраны вокруг каждой пары. Седьмая категория не UTP, а S/FTP (Screened Fully Shielded Twisted Pair). --------------------------------------------------------------------------------------------------------------------------------- 7a 1200 Разработана для передачи данных со скоростью до 40 Гбит/с на расстояние до 50 метров и до 100 Гбит/с на расстояние до 15 метров. --------------------------------------------------------------------------------------------------------------------------------- 8 1600-2000 Используется в центрах обработки данных (ЦОД) как с топологией Top of Rack (в каждом шкафу устанавливается сетевой коммутатор), так и с топологией End of Row (крайний шкаф в каждом ряду играет роль распределителя). Официально 8-я категория принята в 2014 году и описана стандартом ANSI/TIA-568-C.2-1. Расстояние передачи данных — до 30 метров, скорость — до 40 Гбит/с (40GBase-T). Кабельную сеть можно отнести к определенной категории только в том случае, если при ее создании использованы элементы (розетки, разъемы, кабели и т. п.), удовлетворяющие требованиям этой или более высокой категории, а проектирование и монтаж выполнены в соответствии с требованиями стандартов (ограничения на длины, число точек коммутации и т. д.). В настоящее время большинство эксплуатируемых кабельных систем относятся к категории 5, которая допускает передачу данных по сети со скоростью до 100 Мбит/с. Категория 5е вводит небольшие дополнительные ограничения, позволяющие использовать каналы передачи данных с гигабитными сетевыми картами. На практике же аккуратно выполненная проводка на элементах категории 5 позволяет осуществлять передачу на скорости до 1 Гбит/с. Однако, если вы изначально планируете использовать сетевое оборудование, работающее на таких скоростях, лучше использовать 6-ю категорию. |
36. Волоконно-оптические сети
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
В случае с медью максимальное расстояние передачи данных не превышает 100 метров. А что, если при построении кабельной системы большого предприятия возникнет необходимость подключить устройства, находящиеся на расстоянии более 100 метров? В этом случае успешно применяются волоконно-оптические линии связи. Как правило, одно из волокон кабеля служит для передачи сигнала, другое — для приема. Существует оборудование, позволяющее за счет использования различных диапазонов излучения передавать и принимать данные по одному волокну, но оно задействуется не часто, — обычно оптические кабели проектируются с большим запасом по числу волокон. Оптические волокна могут быть одномодовыми и многомодовыми. Диаметр сердцевины одномодовых волокон составляет от 7 до 10 микрон. Благодаря столь малому диаметру достигается передача по волокну лишь одной моды излучения, за счет чего исключается влияние дисперсионных искажений. Многомодовые волокна отличаются от одномодовых диаметром сердцевины, который составляет 50 микрон в европейском стандарте и 62,5 микрон в североамериканском и японском стандартах. Из-за большого диаметра сердцевины по многомодовому волокну распространяется несколько мод излучения — каждая под своим углом, из-за чего импульс света испытывает дисперсионные искажения и из прямоугольного превращается в колоколоподобный. Многомодовые оптические кабели используются на расстояниях до 200 метров. Стоимость прокладки такой линии не намного дороже стоимости прокладки витой пары. Одномодовые оптические кабели применяются, когда нужно организовать передачу данных на расстояние свыше 200 метров. Стоимость самого одномодового кабеля, как и стоимость соответствующего оборудования, в несколько раз дороже, чем стоимость многомодового кабеля. Для подключения волоконно-оптических линий применяются так называемые SFP-модули (Small Form-factor Pluggable). Сами SFP-модули представляют собой компактные сменные приемопередатчики. В форм-факторе SFP выпускаются модули как для подключения витой пары, так и для оптических каналов. Волоконно-оптические кабели требуют аккуратного обращения. Так, не допускается резко изгибать кабель, нужно следить за чистотой оптических поверхностей (не трогать их руками, всегда закрывать концы кабеля и гнезда специальными заглушками и т. п.). |
37. Сети 10G, 40G и 100G
|
1 2 3 4 5 6 7 8 9 10 11 |
Технологии Ethernet 10G (IEEE 802.3ae) 10GBase-CX4 Служит для передачи данных на короткие расстояния — до 15 метров. Используется медный кабель CX4 и коннекторы InfiniBand 10GBase-SR Служит для передачи данных на короткие расстояния — до 26 или 82 метров в зависимости от типа кабеля. В определенных случаях возможна передача на расстояние до 300 метров. Используется многомодовое волокно 10GBase-LX4 Дальность передачи данных — от 240 до 300 метров по многомодовому волокну или до 10 км по одномодовому волокну 10GBase-LR Поддерживает передачу данных на расстояние до 10 км 10GBase-ER Поддерживает передачу данных на расстояние до 40 км 10GBase-T Использует витую пару 6-й категории для передачи данных на расстояние до 55 м или витую пару категории 6e для передачи данных на расстояние до 100 м 10GBase-KR Используется для кросс-плат модульных коммутаторов/маршрутизаторов и серверов |
38. Технологии Ethernet 40G и 100G
|
1 2 3 4 5 6 7 8 9 10 11 12 |
IEEE 802.3ba 40GBase-KR4100GBase-KP4 40–100Гбит/с 1м 100GBase-KR4 100Гбит/с 1м 40GBase-CR4100GBase-CR10 40–100Гбит/с 7м 40GBase-T 40Гбит/с 30м 40GBase-SR4100GBase-SR10 40–100Гбит/с 100–125м 40GBase-LR4100GBase-LR4 40–100Гбит/с 10км 100GBase-ER4 100Гбит/с 40км IEEE 802.3bg 40GBase-FR 40Гбит/с 2км |
39. Схема разъема RJ-45
|
1 2 3 4 5 6 7 8 9 |
языком вниз - слева направо бело оранжевый оранжевый бело зеленый синий бело синий зеленый бело коричневый коричневый |
40. Питание по сети Ethernet (PoE)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Некоторое современное оборудование может получать питание по технологии питания оборудования по кабелю Ethernet (Power over Ethernet, PoE). Как правило, запитывают по PoE точки беспроводного доступа, камеры видеонаблюдения, IP-телефоны и прочее не очень мощное оборудование. Технология PoE основана на том, что в стандартах передачи данных 10/100 Мбит/с задействованы только две пары проводов витой пары из четырех имеющихся, а остальные две можно использовать для питания некоторого не очень мощного оборудования. Обычно для работы этой технологии устанавливаются специальные PoE-коммутаторы. При этом допускается установка дополнительного блока питания, который будет запитывать PoE-устройства В соответствии со стандартом 802.3af максимальная мощность, которая может быть получена устройством с PoE-порта, составляет 12,95 Вт (при этом порт должен обеспечить мощность до 15,4 Вт). Упомянутые ранее устройства обычно потребляют меньшую мощность — например, IP-телефонам достаточно 2 Вт, точкам доступа — около 11 Вт и т. д. Из соображений безопасности на большинстве моделей коммутаторов суммарно допустимая мощность питания по портам Ethernet должна быть меньше величины: 15,4 × <количество портов> ватт (Вт). При превышении допустимого значения потребляемой мощности коммутатор начинает отключать питание отдельных портов. При этом учитываются приоритеты портов для PoE, назначенные вручную администратором. |
41. Уровни ядра, распределения и доступа
|
1 2 3 |
уровень ядра (core) — этот уровень должен максимально быстро передать трафик между оборудованием уровня распределения. уровень распределения (distribution) — здесь реализуется маршрутизация пакетов и их фильтрация (на основе правил маршрутизатора). уровень доступа (access) — здесь происходит подключение к сети конечных рабочих станций. |
42. Приоритезация трафика / QoS — Quality of Service
|
1 2 3 4 5 6 |
Ограничение полосы пропускания трафика (Traffic shaping) Построить сеть, которая гарантированно пропускала бы весь трафик в случае активной сетевой работы всех пользователей, практически нереально. Параметры пропускной способности рассчитываются по усредненным показателям с учетом предположений о характере использования сети (типы задач, наличие голосового и мультимедийного трафика и т. п.). В большинстве сетей малых и средних предприятий пропускная способность сети используется менее чем на 10%, и ограничения в передаче данных из-за исчерпания полосы пропускания кажутся маловероятными. Но все каналы связи имеют свои пределы. С увеличением интенсивности использования сетевых приложений и повсеместном внедрении мультимедийных решений вероятность кратковременной перегрузки сети будет только повышаться. |
43. Беспроводные сети / Wi-Fi
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
Самый современный и оптимальный стандарт — 802.11n. Он не только обеспечивает самую высокую скорость передачи данных, но и работает на двух диапазонах частот: 2,4 и 5,0 ГГц. Это означает, что если в режиме 2,4 ГГц наблюдается высокая интерференция (рядом слишком много соседних сетей), то можно перенастроить маршрутизатор на частоту 5 ГГц. Стандарты беспроводной сети: 802.11a / Диапазон частот, 5 ГГц / Максимальная скорость передачи, 11 Мбит/с / Совместимость нет 802.11g / Диапазон частот, 2,4 ГГц / Максимальная скорость передачи, 11 Мбит/с / Совместимость g 802.11b / Диапазон частот, 2,4 ГГц/ Максимальная скорость передачи, 54 Мбит/с (108с аппаратным сжатием) / Совместимость b 802.11n / Диапазон частот, 2,4 или 5,0 ГГц / Максимальная скорость передачи, 600 Мбит/с (150 по одной антенне) / Совместимость a, b/g 802.11ac / Диапазон частот, 5,0 ГГц / Максимальная скорость передачи, 6.7 Гбит/с (при8 антеннах) / Совместимость n Со стандартом 802.11ac еще пару лет назад было не все так гладко, как с 802.11n. Для его применения нужна была лицензия. Однако с 2016 года государственная комиссия по радиочастотам (ГКРЧ) разрешила работать на частотах, используемых этим стандартом, без обязательного лицензирования. При этом стало возможным задействовать дополнительный диапазон 5650–5850 МГц. Кроме того, для диапазонов 5150–5350 МГц и 5650–5850 МГц была удвоена максимально допустимая мощность (до 10 мВт) на 1 МГц. Переход на новый стандарт позволяет не только повысить максимальную скорость передачи данных, но и избавиться (по крайней мере, на некоторое время — пока этот стандарт не очень популярный) от проблемы интерференции. На практике лучше выбрать один стандарт беспроводного оборудования, а при необходимости использования совместимых режимов — проверять наличие сертификации соответствующего решения. Лучшим способом определения реальной зоны покрытия является проведение тестовых измерений на местности с использованием соответствующего оборудования. Как правило, это весьма дорогостоящая операция, поэтому часто ограничиваются тестированием уровня сигнала с помощью имеющегося беспроводного адаптера штатными средствами Windows или с помощью специальных программ — например, Wifi Analyzer. Шифрование трафика беспроводной сети: WEP (Wireless Encryption Protocol или Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (усовершенствованный вариант Wi-Fi Protected Access) Наиболее безопасным является стандарт WPA2. (уже есть WPA3) Если же по беспроводной сети передаются важные данные, то можно защитить передаваемую информацию путем создания виртуальных частных сетей (VPN) поверх беспроводных каналов связи. |
44. Аутентификация пользователей и устройств Wi-Fi
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
- проверка MAC-адреса подключаемого устройства. Этот способ подразумевает, что администратор для каждой точки доступа вручную настроит список MAC-адресов устройств, которым разрешено подключение к точке доступа. Такой подход весьма утомителен и малоэффективен, поскольку MAC-адреса устройств можно перехватить, а изменить MAC-адрес устройства не составит труда даже для не очень подготовленного пользователя - парольная фраза. Этот способ может использоваться со всеми стандартами шифрования: WEP, WPA, WPA2. Он достаточно оптимален для дома или небольшого офиса, где всем пользователям сети можно доверять. Дело в том, что пароли на клиентах (в настройках операционной системы) хранятся в незашифрованном виде. Любой пользователь может легко их просмотреть и, следовательно, передать кому-либо еще — ведь пароль один на всех и выяснить, кто именно передал этот пароль, будет очень сложно. Если же в сети «все свои», то об этом можно не беспокоиться - аутентификация с помощью RADIUS-сервера. Этот способ следует использовать в корпоративной среде. Наличие RADIUS-сервера подразумевает, что у каждого пользователя будут свои аутентификационные данные - использование PKI (Public Key Infrastructure, инфраструктура открытых ключей). Настройка беспроводных устройств для аутентификации с использованием сертификатов по протоколу 802.1x практически идентична |
45. Модель OSI
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
Уровень OSI Назначение Примеры Необходимое сетевое оборудование Application (7) Обеспечение служб сетевых приложений Протоколы SMTP, HTTP, FTP и т. п. - Presentation (6) Службы кодирования и преобразования данных, Стандарты кодирования изображений (GIF, JPEG, - используемых на уровне приложений TIFF и т. п.), аудио и видео (MPEG) и т. п. Session (5) Обеспечение коммуникаций между приложениями Session Control Protocol (SPC) - более высокого уровня (согласование, поддержка, Remote Procedure Call завершение сессий) Zone Information Protocol (AppleTalk) Transport (4) Обеспечивает передачу данных от одной точки TCP (используются соединения) - UDP (передача данных без создания соединения) Network (3) Обеспечивает логическую структуру сети IP Маршрутизаторы Маршрутизирующие коммутаторы (сетевые адреса) Data Link (2) Обеспечивает передачу данных по тем Ethernet, Token Ring, FDDI, Коммутаторы, Мосты или иным физическим каналам связи Point-to-Point Protocol, Frame Relay Physical (1) Определяет физические, механические, LAN категории 3 Концентраторы электрические и другие параметры LAN категории 5 физических каналов связи V.35 (напряжение, частота, максимальные длины участков и т. п.) |
46. Стек протоколов TCP/IP
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Когда говорят о TCP/IP, то обычно подразумевают под этим именем множество различных протоколов, использующих в своей основе TCP/IP. То есть существует большое количество различных стандартов, которые определяют те или иные варианты взаимодействия в сети с использованием протоколов TCP/IP. Так, есть правила, по которым осуществляется обмен сообщениями между почтовыми серверами, и есть правила, по которым конечные пользователи могут получать в свой ящик письма. Имеются правила для проведения широковещательных видео- и аудиотрансляций, правила для организации по Интернету телефонных переговоров. Существуют правила, которые определяют поведение участников передачи данных в случае возникновения ошибки и т. п. Логично, что при разработке правил пересылки файла никто не создает новых механизмов пересылки единичного пакета данных, и что протокол пересылки файлов основан на более простом протоколе передачи пакетов. Поэтому принято говорить, что существуют уровни протокола IP, а на каждом уровне — различные варианты специальных протоколов. Весь этот набор протоколов называют стеком протоколов TCP/IP |
47. Протоколы UPD, TCP, ICMP
|
1 2 3 4 5 6 7 8 |
Для передачи данных служат протоколы TCP (Transmission Control Protocol, протокол управления передачей данных) и UDP (User Datagram Protocol, протокол пользовательских дейтаграмм). UDP применяется в тех случаях, когда не требуется подтверждения приема (например, DNS-запросы, IP-телефония). Передача данных по протоколу TCP предусматривает наличие подтверждений получения информации. Если передающая сторона не получит в установленные сроки необходимого подтверждения, то данные будут переданы повторно. Поэтому протокол TCP относят к протоколам, предусматривающим соединение (connection oriented), а UDP — нет (connection less). Протокол Internet Control Message Protocol (ICMP, протокол управляющих сообщений Интернета) используется для передачи данных о параметрах сети. Он включает такие типы пакетов, как ping, destination unreachable, TTL exceeded и т. д. |
48. Протокол IPv6
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
Бурное развитие Интернета привело к тому, что параметры, заложенные при создании протоколов IP, стали сдерживать дальнейшее развитие глобальной сети. Так появился протокол IPv6 К основным особенностям IPv6 относятся: - сохранение неизменными основных действующих принципов построения протокола IP - использование более длинных адресов (128-битных) - применение встроенного 64-битного алгоритма шифрования - учет механизма резервирования пропускной способности протокола (ранее проблема решалась введением классов обслуживания) - наличие больших возможностей расширения функций (строго описана только часть характеристик, остальные допускают дальнейшее развитие). Протокол IPv6 устанавливается по умолчанию в новые версии операционных систем Windows (начиная с Windows XP — для включения необходимо выполнить команду ipv6 install) и Linux. Некоторые технологии, например DirectAccess, основаны на возможностях этого протокола. Протокол IPv6 принят в качестве основного при развитии Интернета в некоторых странах (в частности, в Китае). В нашей стране пока не создана инфраструктура, поддерживающая этот протокол. Поэтому при желании его использовать можно, но только внутри сети предприятия, когда вся его инфраструктура находится под контролем и управлением. Кроме того, следует также учитывать все имеющиеся нюансы (например, что система разрешения имен в DirectAccess построена через сервер корпорации Microsoft). Преимущества IPv6 (кроме большего адресного пространства) по сравнению с IPv4 выглядят так: - возможна пересылка огромных пакетов — до 4 Гбайт - появились метки потоков и классы трафика - имеется поддержка многоадресного вещания - убраны функции, усложняющие работу маршрутизаторов (из IP-заголовка исключена контрольная сумма, и маршрутизаторы не должны фрагментировать пакет — вместо этого пакет отбрасывается с ICMP-уведомлением о превышении MTU). В IPv6 существуют три типа адресов: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast) - адреса Unicast работают как обычно — пакет, отправленный на такой адрес, достигнет интерфейса с этим адресом - адреса Anycast синтаксически неотличимы от адресов Unicast, но они адресуют сразу группу интерфейсов. Пакет, который был отправлен на такой адрес, попа-дет в ближайший (согласно метрике) интерфейс. Адреса Anycast используются только маршрутизаторами - адреса Multicast идентифицируют группу интерфейсов — пакет, отправленный по такому адресу, достигнет всех интерфейсов, привязанных к группе многоадресного вещания |
49. Параметры TCP/IP-протокола
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
IP-адрес Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-адрес — 32-битное число, используемое для идентификации узла (компьютера) в сети. Адрес принято записывать десятичными значениями каждого октета этого числа с разделением полученных значений точками. Например: 192.168.101.36. IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP-адреса распределяются централизованно. Интернет-провайдеры делают заявки в национальные центры в соответствии со своими потребностями. Полученные провайдерами диапазоны адресов распределяются далее между клиентами. Клиенты сами могут выступать в роли интернет-провайдеров и распределять полученные IP-адреса между субклиентами и т. д. При таком способе распределения IP-адресов компьютерная система точно знает «расположение» компьютера, имеющего уникальный IP-адрес, — ей достаточно переслать данные в сеть «владельца» диапазона IP-адресов. Провайдер, в свою очередь, проанализирует пункт назначения и, зная, кому отдана эта часть адресов, отправит информацию следующему владельцу поддиапазона IP-адресов, пока данные не поступят на компьютер назначения. Для построения локальных сетей предприятий выделены специальные диапазоны адресов. Это адреса 10.х.х.х, 192.168.х.х, 10.х.х.х, с 172.16.х.х по 172.31.х.х, 169.254.х.х (под «х» подразумевается любое число от 0 до 254). Пакеты, передаваемые с указанных адресов, не маршрутизируются (иными словами, не пересылаются) через Интернет, поэтому в различных локальных сетях компьютеры могут иметь совпадающие адреса из указанных диапазонов. Такие адреса часто называют серыми адресами. Для пересылки информации с таких компьютеров в Интернет и обратно используются специальные программы, «на лету» заменяющие локальные адреса реальными при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реального IP-адреса. Этот процесс происходит незаметно для пользователя. Групповые адреса Если данные должны быть переданы на несколько устройств (например, просмотр видео с одной веб-камеры на различных компьютерах или одновременное разворачивание образа операционной системы на несколько систем), то уменьшить нагрузку на сеть может использование групповых рассылок (IP Multicast Addressing). Для этого компьютеру присваивается еще один IP-адрес из специального диапазона: с 224.0.0.0 по 239.255.255.255, причем диапазоны 224.0.0.0–224.0.0.255 и 239.0.0.0–239.255.255.255 не могут быть использованы в приложениях и предназначены для протоколов маршрутизации (например, адрес 224.0.0.1 принадлежит всем системам сегмента сети; адрес 224.0.0.2 — всем маршрутизаторам сегмента и т.д.) Назначение адресов групповой рассылки производится соответствующим программным обеспечением. Групповая рассылка поступает одновременно на все подключенные устройства. В результате сетевой трафик может быть существенно снижен по сравнению с вариантом передачи таких данных каждому устройству сети независимо. По умолчанию рассылки передаются на все порты, даже если к ним не подключены устройства, подписавшиеся на эту рассылку. Чтобы исключить такой паразитный трафик, используются специальные возможности коммутаторов: поддержка IGMP snoophing (прослушивание протокола IGMP), PIM DM/PIM SM (PIM-DM, Protocol Independent Multicast Dense Mode и PIM-SM, Protocol Independent Multicast Sparse Mode — протоколы маршрутизации многоадресных сообщений). При включении и настройке этого функционала (поддерживается не всеми моделями оборудования) данные будут передаваться только на нужные порты. |
50. Распределение IP-адресов сети малого офиса
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
В сетях предприятий обычно задействованы серые диапазоны IP-адресов. Часть адресов закрепляется статически, часть — раздается динамически с помощью DHCP (Dynamic Host Configuration Protocol, динамический протокол конфигурации сервера). Статические адреса закрепляются: - за шлюзом, для которого обычно используют адрес xxx.xxx.xxx.1, но это традиция, а не правило - за серверами DNS, DHCP, WINS - за контроллерами домена - за серверами сети (например, централизованные файловые ресурсы, почтовый сервер и т. п.) - за станциями печати, имеющими непосредственное подключение к сети - за управляемыми сетевыми устройствами (например, сетевыми переключателями, SNMP-управляемыми источниками аварийного питания и т. п.) Рабочие станции традиционно используют динамические адреса. Удобно часть динамических адресов выдавать для локального использования, а часть — для внешних клиентов, «гостей» сети. Это позволяет проще настраивать ограничения доступа к внутренним ресурсам сети для сторонних систем. Для упрощения администрирования сети рекомендуется выработать план распределения диапазона адресов, предусмотрев в нем некоторый запас для будущего развития информационной системы. Multicast-адрес присваивается динамически. Это делает соответствующая программа, использующая многоадресную рассылку. |
51. Маска адреса
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 |
Понятие подсети введено, чтобы можно было выделить часть IP-адресов одному предприятию, часть — другому, и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локальной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной. Маска адреса — это параметр, который сообщает программному обеспечению о том, сколько компьютеров объединено в ту или иную группу (подсеть). Маска адреса имеет такую же структуру, что и сам IP-адрес, — это набор из четырех групп чисел, каждое из которых может быть в диапазоне от 0 до 255. При этом, чем меньше значение маски, тем больше компьютеров объединено в эту подсеть. Для сетей небольших предприятий маска обычно имеет вид 255.255.255.х (например, 255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-адресом. Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/241) может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес 192.168.0.255 — это адрес широковещательной рассылки для данной сети. А сеть 192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от 192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 служит при этом в качестве широковещательного). На практике сети с небольшим возможным числом хостов используются интернет провайдерами с целью экономии IP-адресов. Например, клиенту может быть назначен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста. При разбиении сети предприятия используют диапазоны локальных адресов сетей класса С. Сеть класса С имеет маску адреса 255.255.255.0 и может содержать до 254 хостов. Применение сетей класса С при разбиении на подсети VLAN в условиях предприятия связано с тем, что протоколы автоматической маршрутизации используют именно такие подсети. При создании подсетей на предприятии рекомендуется придерживаться следующего правила — подсети, относящиеся к определенному узлу распределения, должны входить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы коммутаторов. Например, если к какому-либо коммутатору подключены подсети 192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то другому коммутатору достаточно знать, что в этом направлении следует пересылать пакеты для сети 192.168.0.0/255.255.252.0. Эта рекомендация несущественна для сетей малых и средних предприятий, поскольку ресурсов современных коммутаторов достаточно для хранения настроек такого объема. После того как компьютер получил IP-адрес, и ему стало известно значение маски подсети, программа может начать работу в этой локальной подсети. Чтобы обмениваться информацией с другими компьютерами в глобальной сети, необходимо знать правила, куда пересылать информацию для внешней сети. Для этого служит такая характеристика IP-протокола, как адрес шлюза. |
52. Шлюз (Gateway, default gateway)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Шлюз (gateway) — это устройство (компьютер), которое обеспечивает пересылку информации между различными IP-подсетями. Если программа определяет (по IP-адресу и маске), что адрес назначения не входит в состав локальной подсети, то она отправляет эти данные на устройство, выполняющее функции шлюза. В настройках протокола указывают IP-адрес такого устройства. Шлюзы бывают аппаратными и программными. В качестве аппаратного шлюза может выступать, например, маршрутизатор Wi-Fi. Программным шлюзом считается компьютер с развернутым на нем программным обеспечением, — например, с ОС Linux и брандмауэром iptables. С другой стороны, разделение на программные и аппаратные — весьма условное. Ведь любой маршрутизатор Wi-Fi является небольшим компьютером, на котором запущен урезанный вариант Linux и работает тот же iptables или другой брандмауэр. Для работы только в локальной сети шлюз может не назначаться. Если для доступа в Интернет используется прокси-сервер, то компьютерам локальной сети адрес шлюза также может не назначаться. Для индивидуальных пользователей, подключающихся к Интернету, или для небольших предприятий, имеющих единственный канал подключения, в системе должен быть только один адрес шлюза — это адрес того устройства, которое имеет подключение к Сети. При наличии нескольких маршрутов (путей пересылки данных в другие сети) будет существовать несколько шлюзов. В этом случае для определения пути передачи данных используется таблица маршрутизации. |
53. Таблицы маршрутизации
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 |
Предприятие может иметь несколько точек подключения к Интернету (например, в целях резервирования каналов передачи данных или использования более дешевых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом случае, чтобы система знала, каким путем (через какой шлюз) посылать ту или иную информацию, используются таблицы маршрутизации (routing table). В таблицах маршрутизации для каждого шлюза указывают те подсети Интернета, для которых через них должна передаваться информация. При этом для нескольких шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью передачи данных, — информация будет отсылаться по каналу, имеющему самую низкую стоимость, а в случае его выхода из строя по тем или иным причинам автоматически будет использоваться следующее наиболее «дешевое» подсоединение. В TCP/IP-сетях информация о маршрутах имеет вид правил. Например, чтобы добраться к сети А, нужно отправить пакеты через компьютер Д. Кроме набора маршрутов есть также и стандартный маршрут — по нему отправляют пакеты, предназначенные для отправки в сеть, маршрут к которой явно не указан. Компьютер, на который отправляются эти пакеты, называется шлюзом по умолчанию (default gateway). Получив пакет, шлюз решает, что с ним сделать: или отправить дальше, если ему известен маршрут в сеть получателя пакета, или же уничтожить пакет, как будто бы его никогда и не было. В общем, что сделать с пакетом — это личное дело шлюза по умолчанию, все зависит от его набора правил маршрутизации. Наше дело маленькое — отправить пакет на шлюз по умолчанию. Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи команды route print для Windows или route — в Linux. С помощью команды route можно также добавить новый статический маршрут (route add) или постоянный маршрут — route add -p (маршрут сохраняется в настройках после перезагрузки системы). В Linux кроме команды route можно использовать команду netstat -r или netstat -rn. Разница между командами netstat -r и netstat -rn заключается в том, что параметр -rn запрещает поиск доменных имен в DNS, поэтому все адреса будут представлены в числовом виде (подобно команде route без параметров). А вот разница между выводом netstat и route заключается в представлении маршрута по умолчанию (netstat выводит адрес 0.0.0.0, а route — метку default) и в названии полей самой таблицы маршрутизации. Какой командой пользоваться — решать вам. Раньше мы применяли route и для просмотра, и для редактирования таблицы маршрутизации. Теперь для просмотра таблицы мы используем команду netstat -rn, а для ее изменения — команду route. На рис. 3.14 показан вывод команд netstat -rn и route. Видны две сети: 192.168.181.0 и 169.254.0.0 — обе на интерфейсе eth0. Такая ситуация сложилась из-за особенностей NAT/DHCP виртуальной машины VMware, в которой была запущена Linux для снятия снимков с экрана. В реальных условиях обычно будет по одной подсети на одном интерфейсе. С другой стороны, рис. 3.14 демонстрирует поддержку VLAN, когда один интерфейс может использоваться двумя подсетями. Шлюз по умолчанию — компьютер с адресом 192.168.181.2, о чем свидетельствует таблица маршрутизации. Destination Адрес сети назначения Gateway Шлюз по умолчанию Genmask Маска сети назначения Flags Поле Flags содержит флаги маршрута: U — маршрут активен H — маршрут относится не к сети, а к хосту G — эта машина является шлюзом, поэтому при обращении к ней нужно заменить MAC-адрес машины получателя на MAC-адрес шлюза (если MAC-адрес получателя почему-то известен) D — динамический маршрут, установлен демоном маршрутизации M — маршрут, модифицированный демоном маршрутизации C — запись кэширована ! — запрещенный маршрут Metric Метрика маршрута, т. е. расстояние к цели в хопах (переходах). Один хоп (переход) означает один маршрутизатор Ref Количество ссылок на маршрут. Не учитывается ядром Linux, но в других операционных системах, например в FreeBSD, вы можете столкнуться с этим полем Use Содержит количество пакетов, прошедших по этому маршруту Iface Используемый интерфейс MSS Максимальный размер сегмента (Maximum Segment Size) для TCP-соединений по этому маршруту Window Размер окна по умолчанию для TCP-соединений по этому маршруту irtt Протокол TCP гарантирует надежную доставку данных между компьютерами. Для такой гарантии используется повторная отправка пакетов, если они были потеряны. При этом ведется счетчик времени: сколько нужно ждать, пока пакет дойдет до назначения и придет подтверждение о получении пакета. Если время вышло, а подтверждение-таки не было получено, то пакет отправляется еще раз. Это время и называется rtt (round-trip time, время «путешествия» туда-обратно). Параметр irtt — это начальное время rtt. В большинстве случаев подходит значение по умолчанию, но для некоторых медленных сетей, например для сетей пакетного радио, значение по умолчанию слишком короткое, что вызывает ненужные повторы. Параметр irtt можно увеличить командой route. По умолчанию его значение — 0 tracert dkws.org.ua ip route get 8.8.8.8 traceroute ya.ru traceroute -n -I ya.ru |
54. DHCP
|
1 2 3 4 5 6 7 8 9 10 |
DHCP (Dynamic Host Configuration Protocol) осуществляет автоматическую настройку узлов сети. С помощью DHCP компьютер, подключенный к сети, в которой есть DHCP-сервер, может получить IP-адрес, маску сети, IP-адрес шлюза, адреса серверов DNS и другие сетевые параметры. Особенно удобно использовать DHCP в средних и больших сетях. Вы только представьте, что у вас в сети есть, скажем, 20 компьютеров. Если им назначать IP-адреса статически, то вам придется подойти к каждому компьютеру и прописать его IP-адрес, а заодно и IP-адрес сети, IP-адрес шлюза и адреса серверов DNS. Понятно, что эту процедуру надо будет выполнить разово — при настройке сети. Но если через некоторое время конфигурация сети изменится (например, вы поменяете провайдера), и потребуется изменить IP-адреса DNS-серверов, то вам придется все повторить заново — снова обойти все компьютеры и прописать для них новые DNS-серверы. |
55. APIPA
|
1 2 3 4 5 6 7 8 |
Для облегчения построения небольших сетей предусмотрена возможность самостоятельного назначения адресов. Если в сети нет сервера DHCP, а протокол IP установлен с параметрами автоматического получения значений, то Windows присвоит сетевой плате адрес из диапазона от 169.254.0.1 по 169.254.255.254 (маска подсети 255.255.0.0), предварительно проверив, не используется ли уже такой адрес в системе. Этот механизм позволяет применять IP-протокол в небольших сетях при минимальных ручных настройках — компьютеры в локальной сети увидят друг друга. Естественно, что никаких дополнительных параметров настройки операционная система в этом случае не получает. Например, она не будет знать, куда посылать запросы, чтобы получить данные с серверов Интернета. А если будет отключен протокол NetBIOS поверх TCP/IP, то системы не смогут разрешить имена других компьютеров сети и т. п. |
56. Порт
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
При передаче данных пакет информации, кроме IP-адресов отправителя и получателя, содержит в себе номера портов. Порт — это некое число, которое используется при приеме и передаче данных для идентификации процесса (программы), который должен обработать данные. Так, если пакет послан на 80-й порт, то это свидетельствует, что информация предназначена серверу HTTP. Номера портов с 1-го по 1023-й закреплены за конкретными программами (так называемые well-known-порты). Порты с номерами 1024–65 535 могут быть использованы в программах собственной разработки. При этом возможные конфликты должны разрешаться самими программами путем выбора свободного порта. Иными словами, порты будут распределяться динамически, — возможно, что при следующем старте программа выберет иное значение порта. Знание того, какие порты используют те или иные прикладные программы, важно при настройке брандмауэров. Часть настроек в таких программах для наиболее популярных протоколов предопределена, и вам достаточно только разрешить/запретить протоколы, руководствуясь их названиями. Однако в некоторых случаях придется обращаться к технической документации, чтобы определить, какие порты необходимо открыть, чтобы обеспечить прохождение пакетов той или иной программы. |
57. ARP
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Протокол ARP В сети Ethernet пакеты адресуются не по именам и не по IP-адресам компьютеров — пакет предназначается устройству с конкретным MAC-адресом. MAC-адрес — это уникальный адрес сетевого устройства, который заложен в него изготовителем оборудования. Первая половина MAC-адреса представляет собой идентификатор изготовителя, вторая — уникальный номер устройства. Для получения MAC-адреса устройства служит протокол ARP (Address Resolution Protocol, протокол разрешения адресов). В системе имеется специальная утилита arp, которая позволяет отобразить кэш известных компьютеру MAC-адресов. Утилита arp может быть использована, например, при создании резервированных адресов DHCP-сервера. Для такой настройки администратору необходимо ввести MAC-адрес соответствующей системы. Чтобы его узнать, достаточно выполнить команду ping на имя этой системы, после чего просмотреть кэш ARP (командой arp -a) и скопировать значение MAC-адреса в настройки DHCP. MAC-адреса часто используются для идентификации систем при создании фильтров. Однако такой способ не отличается надежностью, поскольку изменить MAC-адрес программно, как правило, не составляет труда. |
58. Имена компьютеров в сети TCP/IP \ DNS \ WINS
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
WINS Служба регистрации имен в сети Windows (Windows Internet Naming Service, WINS) использовалась для регистрации сетевых имен компьютеров в локальных сетях до Windows 2000. Эта служба позволяла корректно разрешать имена в сетях с наличием маршрутизаторов. Сейчас эта служба считается устаревшей, и вы с ней можете встретиться разве что в очень старых сетях, спроектированных в конце 1990-х или в начале 2000-х годов. Такие сети — настоящие динозавры. Честно говоря, трудно представить себе сеть, которая за последние 15 лет не модернизировалась. Человеку удобнее работать с именем компьютера, чем запоминать цифры, составляющие его IP-адрес. В сети на основе протокола TCP/IP компьютеры могут иметь два имени: это NetBIOS-имя компьютера и имя хоста (DNS-имя). Обычно имя хоста и NetBIOS-имя совпадают, и к этому следует стремиться. Однако эти имена могут быть и разными. Например, длина NetBIOS-имени ограничена 15-ю символами, а хосту может быть присвоено более длинное название. Или, если при создании домена вы пытаетесь дать ему имя, совпадающее с именем будущего контроллера, то программа установки предложит выбрать этому хосту другое имя. |
59. Доменные имена Интернета
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
В Интернете за уникальностью присваиваемых имен следит организация (физическое лицо), отвечающая за домен, в рамках которого выдается имя. При присвоении имен используется принцип: если данное доменное имя свободно, то его можно получить. Приобретение доменного имени — это платная услуга, кроме того, ежегодно действие имени необходимо продлевать. Отобрать выданное доменное имя практически невозможно. Такой способ гарантирует уникальность полного доменного имени компьютера и в то же время требует проверки на уникальность желаемого имени только в одном месте. Каждый компьютер в глобальной сети должен иметь уникальный IP-адрес. Без наличия такого адреса работа просто невозможна (наличия же доменного имени для работы не обязательно). При необходимости в строках адреса программ, предназначенных для работы в Интернете, можно набирать IP-адрес. Одно доменное имя может иметь несколько IP-адресов. Обычно это практикуется на популярных узлах Интернета, что позволяет с помощью специальных решений распределить нагрузку с одного компьютера на несколько. Аналогично несколько доменных имен могут соответствовать одному IP-адресу (например, при размещении на компьютере нескольких веб-серверов, соответствующих различным предприятиям). |
60. Порядок получения IP-адресов клиентами DHCP
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 |
Во многих случаях знание процедуры аренды IP-адреса может помочь в диагностике неисправностей сети. Первичное получение адреса При включении компьютера клиент, настроенный на динамическое получение адреса, передает широковещательную рассылку с запросом IP-адреса (запрос идет от адреса 0.0.0.0 с маской 255.255.255.255). Это сообщение называется DHCPDISCOVER. На этот запрос отвечают все DHCP-серверы сегмента сети, предлагая IP-адрес. Соответствующее сообщение называется DHCPOFFER. Выделяемые для аренды адреса на некоторый период резервируются и не предлагаются другим клиентам. Клиент ждет предложения по адресу от сервера DHCP одну секунду. Если оно не приходит ни от одного сервера, то запрос аренды повторяется еще пять раз (через увеличивающиеся промежутки времени приблизительно в течение 30 сек). Если ответ от DHCP-сервера так и не получен, то клиент получает адрес по технологии APIPA (см. разд. «Адресация APIPA» ранее в этой главе). На первое полученное предложение от DHCP-сервера клиент отвечает широковещательным сообщением (DHCPREQUEST), в котором содержится IP-адрес сервера, выдавшего это предложение. После получения такого сообщения другие DHCP-серверы освобождают зарезервированные ими IP-адреса, а сервер, предложение которого принято, высылает подтверждение (DHCPACK). Только после получения этого подтверждения клиент полностью инициализирует TCP/IP-протокол своего сетевого адаптера. Продление аренды Запрос на продление аренды IP-адреса высылается после истечения половины периода аренды и при каждой перезагрузке системы. Для этого на сервер, выдавший адрес, отправляется DHCPREQUEST-запрос. Если подтверждение получено (DHCPACK), то клиент продолжает использовать текущие параметры конфигурации. Если ответ не получен, то запросы на этот сервер повторяются. Перед окончанием срока аренды и при отсутствии ответа от выдавшего IP-адрес DHCP-сервера клиент высылает уже широковещательные запросы DHCPDISCOVER, пытаясь получить адрес от любого DHCP-сервера. Если срок аренды закончился, а клиент не смог ни получить подтверждения от своего DHCP-сервера, ни запросить новый IP-адрес, то текущие настройки IP-протокола освобождаются, а клиент получает адрес по APIPA. Если при перезагрузке операционной системы попытка обновления аренды адреса неудачна, и клиент не может установить связь со шлюзом по умолчанию, то текущие настройки IP-адреса также освобождаются. Такая ситуация может свидетельствовать о переносе компьютера в другой сегмент сети, поэтому он и освобождает свой адрес. |
61. Основные типы записей DNS
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
SOA (Start of Authority) Содержит серийный номер зоны, который увеличивается при любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день — например, 20181005 NS (Name Server) Содержит «официальные» серверы DNS текущей зоны. Только эти серверы могут возвращать авторизированные ответы RP (Responsible Person) Содержит e-mail лица, ответственного за внесение изменений в записи зоны. Желательно поддерживать этот адрес всегда в актуальном состоянии. Помните, что символ @ заменяется точкой. Например, если адрес ответственного лица admin@example.com, то его нужно указать так: admin.example.com A (Host Address) Содержит информацию об имени системы и ее IP-адресе. Эта запись добавляется в DNS-сервер при регистрации узла PTR (Pointer, указатель) Запись обратной зоны. Обычно DNS-сервер автоматически создает/изменяет эту запись при создании/изменении записи A в прямой зоне CNAME (Canonical NAME) Определяет псевдоним узла. Обычно названия узлов: www, ftp, mail — являются псевдонимами MX (Mail eXchanger) Служит для задания почтового сервера. Чтобы на нужный домен можно было отправлять электронную почту, в базе DNS для домена должна быть обязательно создана MX-запись. В целях резервирования может быть создано несколько MX-записей, причем каждой записи соответствует определенный вес. По умолчанию почта отправляется на адрес, содержащийся в MX-записи с наименьшим весом. Если этот сервер не отвечает, то делаются попытки отправить почту на адреса, соответствующие MX-записям с другими весами в порядке их возрастания SRV (Запись службы) Используется для обнаружения в домене различных служб. Обычно такие записи автоматически создаются службой каталогов |
62. NAT
|
1 2 3 4 5 6 7 8 |
NAT — трансляция сетевого адреса Как уже отмечалось ранее, чтобы узлы локальной сети смогли «общаться» с узлами Интернета, используется специальная технология трансляции сетевого адреса (NAT, Network Address Translation). Маршрутизатор получает от локального узла пакет, адресованный интернет-узлу, и преобразует IP-адрес отправителя, заменяя его своим IP-адресом. При получении ответа от интернет-узла маршрутизатор выполняет обратное преобразование, поэтому нашему локальному узлу «кажется», что он общается непосредственно с интернет-узлом. Если бы маршрутизатор отправил пакет как есть, т. е. без преобразования, то его отверг бы любой маршрутизатор Интернета, и пакет так и не был бы доставлен к получателю. |
63. Мониторинг
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Мониторинг с использованием агентов Из бесплатных OpenSource-решений можно порекомендовать систему мониторинга Zabbix (http://www.zabbix.com/ru/). https://www.nagios.org/ https://www.opennms.com/ Мониторинг на основе протокола SNMP Протокол SNMP (Simple Network Management Protocol) — простой протокол управления сетью. Впрочем, слово «простой» в названии этого протокола не совсем уместно, но так уже его назвали. Протокол используется для сбора информации от оборудования, подключенного к сети, и управления им. Другими словами, протокол SNMP служит не только для мониторинга, но и для управления сетевыми устройствами. Устройства, поддерживающие SNMP, могут принимать команды по сети, выполнять их и передавать результаты выполнения. Как уже отмечалось, такие устройства стоят недешево, — например, самый простой управляемый коммутатор всего лишь на пять портов стоит в восемь раз дороже аналогичного неуправляемого устройства того же производителя. Для отправки управляющих сообщений протокол SNMP использует транспортный протокол UDP, который — в отличие от протокола TCP — работает без установки соединения и контроля доставки сообщения, благодаря чему снижается нагрузка на сеть. MIB-файл позволяет вместо цифровых индексов использовать их символьные обозначения (это может быть более удобно для администратора, однако запрос по численному идентификатору можно выполнить всегда, а для использования символьного обозначения в программу должен быть импортирован соответствующий MIB-файл). Простейшая система мониторинга трафика: darkstat Система NeTAMS NeTAMS (Network Traffic Accounting and Monitoring Software) — программа для учета и мониторинга IP-трафика. |
64. логии \ syslog
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 |
auth, security — все, что связано с регистрацией пользователя в системе authpriv — отслеживает программы, изменяющие привилегии пользователей (например, программу su) cron — сообщения планировщиков заданий kern — сообщения ядра mail — сообщения почтовых программ news — сообщения новостного демона uucp — сообщения службы Unix-to-Unix-CoPy, уже давно не используются, но файл конфигурации демона все еще содержит упоминание о ней syslog — сообщения самого демона rsyslogd user — сообщения пользовательских программ daemon — сообщения различных сервисов * — все сообщения При указании селектора можно определить, какие сообщения нужно протоколировать: debug — отладочные сообщения info — информационные сообщения err — ошибки warning — предупреждения (некритические ошибки) crit — критические ошибки alert — тревожные сообщения, требующие вмешательства администратора emerg — очень важные сообщения (произошло что-то такое, что мешает нормальной работе системы) notice — замечания Впрочем, обычно селекторы указываются так: название_селектора.* Это означает, что будут протоколироваться все сообщения селектора. Вот еще несколько примеров: daemon.* — протоколируются все сообщения сервисов daemon.err — регистрировать только сообщения об ошибках сервисов В большинстве случаев в файл конфигурации нужно добавить всего одну строку: *.info;mail.none;authpriv.none;cron.none @@IP_центрального_сервера:514 Две «собачки» перед строкой означают, что сообщения протокола будут переданы удаленному серверу rsyslog (514 — это порт, который используется удаленным сервером). Если вы какие-то сообщения желаете отправлять в файл, а не на сервер (для уменьшения размера БД сервера), то просто укажите имя файла, например: mail.* -/var/log/maillog Если есть желание выводить сообщения на консоль всех подключенных к системе пользователей, то вместо действия поставьте звездочку: *.emerg * |
65. Мониторинг жестких дисков. Коды S.M.A.R.T.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 |
S.M.A.R.T. (от англ. self-monitoring, analysis and reporting technology, технология самоконтроля, анализа и отчетности) — технология оценки состояния жесткого диска встроенной аппаратурой самодиагностики, а также механизм предсказания времени выхода его из строя. Получить SMART-информацию о накопителе (будь то жесткий диск или SSD) можно посредством любой программы, поддерживающей S.M.A.R.T. Примеры таких программ: Crystal DiskInfoи AIDA64 — если нужно получить информацию локально, Nagios — если требуется получать информацию обо всех дисках на предприятии. Но что означает тот или иной код S.M.A.R.T.? Какие параметры (атрибуты) являются допустимыми, а какие — нет? Для разных дисков набор параметров самодиагностики может различаться. Попробуем разобраться, что есть что. Любая программа, показывающая S.M.A.R.T., для каждого атрибута имеет несколько значений: ID, Value, Worst, Threshold и RAW. Итак RAW: ID (Number) — собственно, сам индикатор атрибута. Номера стандартны для значений атрибутов, но, например, из-за разницы перевода в разных программах один и тот же атрибут может называться по-разному, проще ориентироваться по ID, логично? Value (Current, текущее) — текущее значение атрибута в условных единицах (у. е.), никому, наверное, неведомых. В процессе работы винчестера оно может уменьшаться, оставаться неизменным или увеличиваться. По показателю Value нельзя судить о «здоровье» атрибута, не сравнивая его со значением Threshold (порог) этого же атрибута. Как правило, чем меньше Value, тем хуже состояние атрибута (изначально все классы значений, кроме RAW, на новом диске имеют максимальное из возможных значение — например, 100). Worst (наихудшее) — наихудшее значение, которого достигало значение Value за всю жизнь винчестера. Измеряется тоже в условных единицах. В процессе работы оно может уменьшаться либо оставаться неизменным. По нему тоже нельзя однозначно судить о «здоровье» атрибута — нужно сравнивать его с Threshold. Threshold (порог) — значение в (сюрприз!) условных единицах, которого должно достигнуть значение Value этого же атрибута, чтобы состояние атрибута было признано критическим. Проще говоря, Threshold — это пороговое значение: если Value больше Threshold — атрибут в порядке, если меньше либо равен — с атрибутом проблемы. Именно по такому критерию утилиты, читающие S.M.A.R.T., выдают отчет о состоянии диска либо отдельного атрибута вроде «Good» или «Bad».При этом они не учитывают, что даже при Value, большем Threshold, диск на самом деле уже может быть умирающим с точки зрения пользователя, а то и вовсе «ходячим мертвецом», поэтому при оценке «здоровья» диска смотреть стоит все-таки на другой класс атрибута, а именно — на RAW. Однако именно значение Value, опустившееся ниже Threshold, может стать легитимным поводом для замены диска по гарантии (для самих гарантийщиков, конечно же) — кто же яснее скажет о «здоровье» диска, как не он сам, демонстрируя текущее значение атрибута хуже критического порога? То есть при значении Value, большем Threshold, сам диск считает, что атрибут «здоров», а при меньшем либо равном — что «болен». Очевидно, что при Threshold = 0 состояние атрибута не будет признано критическим никогда. Следует учесть при этом, что Threshold — постоянный параметр, зашитый в диск производителем. RAW (Data) — самый интересный, важный и нужный для оценки показатель. В большинстве случаев он содержит в себе не условные единицы, а реальные значения, выражаемые в различных единицах измерения и напрямую говорящие о текущем состоянии диска. Основываясь именно на этом показателе, формируется значение Value (а вот по какому алгоритму оно формируется — это уже тайна производителя, покрытая мраком). Именно умение читать и анализировать поле RAW дает возможность объективно оценить состояние винчестера. 01 (01) Raw Read Error Rate Частота ошибок при чтении данных с диска, происхождение которых обусловлено аппаратной частью диска. Для всех дисков Seagate, Samsung (семейства F1 и более новых) и Fujitsu 2,5″ это — число внутренних коррекций данных, проведенных до выдачи в интерфейс, следовательно, на пугающе огромные цифры можно реагировать спокойно 02 (02) Throughput Performance Общая производительность диска. Если значение атрибута уменьшается, то велика вероятность, что с диском есть проблемы 03 (03) Spin-Up Time Время раскрутки пакета дисков из состояния покоя до рабочей скорости. Растет при износе механики (повышенное трение в подшипнике и т. п.), также может свидетельствовать о некачественном питании (например, просадке напряжения при старте диска) 04 (04) Start/Stop Count Полное число циклов запуск/остановка шпинделя. У дисков некоторых производителей (например, Seagate) — счетчик включения режима энергосбережения. В поле raw value хранится общее количество запусков/остановок диска. 05 (05) Reallocated Sectors Count Число операций переназначения секторов. Когда диск обнаруживает ошибку чтения/записи, он помечает сектор «переназначенным» и переносит данные в специально отведенную резервную область. Вот почему на современных жестких дисках нельзя увидеть bad-блоки — все они спрятаны в переназначенных секторах. Этот процесс называется remapping (ремаппинг), а переназначенный сектор — remap. Чем больше значение, тем хуже состояние поверхности дисков. Поле raw value содержит общее количество переназначенных секторов. Рост значения этого атрибута может свидетельствовать об ухудшении состояния поверхности блинов диска. 06 (06) Read Channel Margin Запас канала чтения. Назначение этого атрибута не документировано. В современных накопителях не используется. 07 (07) Seek Error Rate Частота ошибок при позиционировании блока магнитных головок. Чем их больше, тем хуже состояние механики и/или поверхности жесткого диска. Также на значение параметра может повлиять перегрев и внешние вибрации (например, от соседних дисков в корзине) 08 (08) Seek Time Performance Средняя производительность операции позиционирования магнитными головками. Если значение атрибута уменьшается (замедление позиционирования), то велика вероятность проблем с механической частью привода головок. 09 (09) Power-On Hours (POH) Число часов (минут, секунд — в зависимости от производителя), проведенных во включенном состоянии. В качестве порогового значения для него выбирается паспортное время наработки на отказ (MTBF, mean time between failure). Для многих современных дисков, в том числе WD, в качестве порога задано значение 0, поскольку значение MTBF не регламентируется производителем. 10 (0А) Spin-Up Retry Count Число повторных попыток раскрутки дисков до рабочей скорости в случае, если первая попытка была неудачной. Если значение атрибута увеличивается, то велика вероятность неполадок с механической частью. 11 (0В) Recalibration Retries Количество повторов запросов рекалибровки в случае, если первая попытка была неудачной. Если значение атрибута увеличивается, то велика вероятность проблем с механической частью. 12 (0С) Device Power Cycle Count Количество полных циклов включения/выключения диска. 13 (0D) Soft Read Error Rate Число ошибок при чтении по вине программного обеспечения, которые не поддались исправлению. Все ошибки имеют не механическую природу и указывают лишь на неправильную разметку/взаимодействие с диском программ или операционной системы. 180 (B4) Unused Reserved Block Count Total Количество резервных секторов, доступных для ремаппинга. 183 (B7) SATA Downshift Error Count Содержит количество неудачных попыток понижения режима SATA. Суть в том, что винчестер, работающий в режимах SATA 3 Гбит/с или 6 Гбит/с (и что там дальше будет в будущем), по какой-то причине (например, из-за ошибок) может попытаться «договориться» с дисковым контроллером о менее скоростном режиме (например, SATA 1,5 Гбит/с или 3 Гбит/с соответственно). В случае «отказа» контроллера изменять режим диск увеличивает значение атрибута (Western Digital и Samsung) 184 (B8) End-to-End error Этот атрибут — часть технологии HP SMART IV и означает, что после передачи через кэш памяти буфера данных паритет данных между хостом и жестким диском не совпадает. 185 (B9) Head Stability Стабильность головок (Western Digital) 187 (BB) Reported UNC Errors Ошибки, которые не могли быть восстановлены использованием методов устранения ошибки аппаратными средствами. 188 (BC) Command Timeout Содержит количество операций, выполнение которых было отменено из–за превышения максимально допустимого времени ожидания отклика. Такие ошибки могут возникать из-за плохого качества кабелей, контактов, используемых переходников, удлинителей и т. п., несовместимости диска с конкретным контроллером SATA/РАТА на материнской плате и т. д. Из-за ошибок такого рода возможны BSOD (синий экран) в Windows. Ненулевое значение атрибута говорит о потенциальной «болезни» диска. 189 (BD) High Fly Writes Содержит количество зафиксированных случаев записи при высоте «полета» головки выше рассчитанной, скорее всего, из-за внешних воздействий — например, вибрации. Для того, чтобы сказать, почему происходят такие случаи, нужно уметь анализировать логи S.M.A.R.T., которые содержат специфичную для каждого производителя информацию. 190 (BE) Airflow Temperature (WDC) Температура воздуха внутри корпуса жесткого диска. Для дисков Seagate рассчитывается по формуле: 100 – HDA temperature (см. далее). Для дисков Western Digital: 125 – HDA 191 (BF) G-sense error rate Количество ошибок, возникающих в результате ударных нагрузок. Атрибут хранит показания встроенного акселерометра, который фиксирует все удары, толчки, падения и даже неаккуратную установку диска в корпус компьютера. 192 (C0) Power-off retract count (Emergency Retry Count) Для разных винчестеров может содержать одну из следующих двух характеристик: либо суммарное количество парковок БМГ (блока магнитных головок) диска в аварийных ситуациях (по сигналу от вибродатчика, обрыву/понижению питания и т. п.), либо суммарное количество циклов включения/выключения питания диска (характерно для некоторых дисков WD и Hitachi) 193 (C1) Load/Unload Cycle Количество циклов перемещения БМГ в парковочную зону / в рабочее положение. 194 (C2) HDA temperature Здесь хранятся показания встроенного термодатчика для механической части диска — «банки» HDA (Hard Disk Assembly). Информация снимается со встроенного термодатчика, которым служит одна из магнитных головок, обычно нижняя в «банке». Не все программы, работающие со SMART, правильно разбирают эти поля, так что к их показаниям стоит относиться критически. 195 (C3) Hardware ECC Recovered Число коррекции ошибок аппаратной частью диска (чтение, позиционирование, передача по внешнему интерфейсу). На дисках с SATA-интерфейсом значение нередко ухудшается при повышении частоты системной шины — SATA очень чувствителен к разгону. 196 (C4) Reallocation Event Count Содержит количество операций переназначения секторов. Косвенно говорит о «здоровье» диска. Чем больше значение — тем хуже. Однако нельзя однозначно судить о «здоровье» диска по этому параметру, не рассматривая другие атрибуты. Этот атрибут непосредственно связан с атрибутом 05. При росте 196 чаще всего растет и 05. Если при росте атрибута 196 атрибут 05 не растет, значит, при попытке ремапа кандидат в бэд-блоки оказался софт-бэдом, и диск исправил его, следовательно, сектор был признан здоровым, и в переназначении не было необходимости. Если атрибут 196 меньше атрибута 05, значит, во время некоторых операций переназначения выполнялся перенос нескольких поврежденных секторов за один прием. Если атрибут 196 больше атрибута 05, значит, при некоторых операциях переназначения были обнаружены исправленные впоследствии софт-бэды. 197 (C5) Current Pending Sector Count Содержит количество секторов-кандидатов на переназначение в резервную область. Столкнувшись в процессе работы на «нехороший» сектор (например, контрольная сумма сектора не соответствует данным в нем), диск помечает его, как кандидата на переназначение, заносит его в специальный внутренний список и увеличивает параметр 197. Из этого следует, что на диске могут быть поврежденные секторы, о которых он еще не знает, — ведь на пластинах вполне могут быть области, которые винчестер какое-то время не использует. При попытке записи в сектор диск сначала проверяет, не находится ли этот сектор в списке кандидатов. Если сектор там не найден, запись проходит обычным порядком. 198 (C6) Uncorrectable Sector Count Число неисправимых ошибок при обращении к сектору (возможно, имелось в виду «число некорректируемых (средствами диска) секторов», но никак не число самих ошибок!). В случае увеличения числа ошибок велика вероятность критических дефектов поверхности и/или механики накопителя. 199 (C7) UltraDMA CRC Error Count Содержит количество ошибок, возникших по передаче по интерфейсному кабелю в режиме UltraDMA (или его эмуляции винчестерами SATA) от материнской платы или дискретного контроллера контроллеру диска. В подавляющем большинстве случаев причинами ошибок становятся некачественный шлейф передачи данных, разгон шин PCI/PCI-E компьютера или плохой контакт в SATA-разъеме на диске либо материнской плате/контроллере. 200 (C8) Write Error Rate / Multi-Zone Error Rate Показывает общее количество ошибок, происходящих при записи сектора, а также общее число ошибок записи на диск. Может служить показателем качества поверхности и механики накопителя. 201 (C9) Soft read error rate Частота появления «программных» ошибок при чтении данных с диска. Этот параметр показывает частоту появления ошибок при операциях чтения с поверхности диска по вине программного обеспечения, а не аппаратной части накопителя. 203 (CB) Run out cancel Количество ошибок ECC (Error Correcting Code, код, корректирующий ошибки) 228 (E4) Power-Off Retract Cycle Количество повторов автоматической парковки БМГ в результате выключения питания 231 (E7) Temperature/ SSD Life Left Температура жесткого диска. Для SSD-диска этот параметр называется SSD Life Left (остаток жизни SSD) — приблизительное кол-во оставшихся циклов перезаписи SSD 232 (E8) SSD Endurance Remaining Количество завершенных физических циклов стирания на диске в процентах от максимально возможного. 250 (FA) Read error retry rate Число ошибок во время чтения жесткого диска. 254(FE) Free Fall Event Count Содержит зафиксированное электроникой количество ускорений свободного падения диска, которым он подвергался, т. е., проще говоря, показывает, сколько раз диск падал. |
66. Виртуальные диски
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
- Толстый (Thick), или фиксированный жесткий диск. При создании файла такого виртуального диска под него выделяется сразу весь объем. Этот тип диска рекомендуется выбирать в случае повышенных требований к производительности операций ввода/вывода (при этом ресурсы системы не затрачиваются на изменение размера файла). - Тонкий (Thin), или динамический жесткий диск. Исходно создается файл виртуального диска минимального размера, а затем (при необходимости) он автоматически увеличивается до заранее оговоренного максимального размера. Чтобы уменьшить размер файла тонкого диска (если часть дискового пространства в виртуальной машине освободилась по тем или иным причинам), нужно остановить виртуальную машину и выполнить операцию сжатия файла. - Разностные жесткие диски. Такие диски могут использовать виртуальные машины Microsoft. На разностный диск пишутся только измененные данные по сравнению с некоторым образцом — родительским диском (родительский диск рекомендуется использовать в режиме только для чтения). Использование разностных дисков позволяет сэкономить дисковое пространство в случае создания нескольких подобных виртуальных машин (за счет исключения дублирования одинаковых данных). - Сквозное подключение физического диска (pass-through). Гипервизоры позволяют подключить к виртуальной машине физический жесткий диск. Теоретически это самый быстрый вариант диска для виртуальной машины, хотя на практике различия в скорости между фиксированным диском и диском, подключенным напрямую, весьма незначительны. - RAW-диски. Описанные ранее тонкие, толстые и разностные диски представляют собой файлы, хранимые на хостовой системе. Некоторые гипервизоры могут использовать непосредственный доступ к жесткому диску. Например, в VMware присутствует механизм прямого доступа клиента vSphere Client к устройствам хранения FC1 или iSCSI2. Соответствующие описания необходимо уточнить по документации продукта. |
67. Виртуальные сети / vlan
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 |
Зачем нужны виртуальные сети? Все виртуальное, оказывается, находит в реальном мире вполне конкретное применение. Виртуальная локальная сеть — это не какой-нибудь эмулятор или игрушка для админа, а вполне реальный инструмент построения современной сети. - Во-первых, VLAN позволяет гибко компоновать устройства по группам. Например, можно с легкостью объединить устройства, находящиеся в разных местах, в одну сеть или же разделить устройства одной сети на разные виртуальные подсети. - Во-вторых, виртуальная локальная сеть может уменьшить количество широковещательного трафика в сети. С помощью VLAN можно разбить коммутатор на несколько широковещательных доменов и отправить широковещательное сообщение только одной группе устройств (одной виртуальной сети). - В-третьих, VLAN позволяет повысить безопасность и управляемость сети. VLAN активно используются для борьбы с ARP-спуфингом1 и существенно упрощают применение политик и правил безопасности. С помощью виртуальных сетей можно применять правила к целым подсетям, а не к каждому устройству. Маркировка кадров Когда компьютер передает данные, он ничего не подозревает ни о своей принадлежности к какой-либо виртуальной сети, ни о существовании VLAN. Он просто передает информацию. А вот всем остальным занимается коммутатор, который «знает», что компьютер, подключенный к тому или иному порту, принадлежит той или иной виртуальной сети. Что делать, если на порт приходит трафик разных VLAN? Как его различить? Для этого используется маркировка кадров. Маркировка (tagging) позволяет идентифицировать трафик, т. е. установить, к какой виртуальной сети он принадлежит. Существуют различные варианты маркировки кадров. Иногда производители оборудования, в частности Cisco, разрабатывают собственные протоколы маркировки кадров. Но чаще используется стандарт IEEE 802.1Q. Согласно этому протоколу во внутрь кадра помещается специальная метка — тег, которая передает информацию о принадлежности трафика к определенной VLAN. Размер этой метки всего 4 байта, и она состоит из следующих полей: - TPID (Tag Protocol Identifier) — идентификатор протокола маркировки. Идентифицирует протокол, использующийся для маркировки кадра. Идентификатор протокола 802.1Q — 0x8100. Размер этого поля равен 16 битам. - Priority — задает приоритет передаваемого трафика. Используется стандартом IEEE 802.1p. Размер — 3 бита. - CFI (Canonical Format Indicator) — индикатор канонического формата. Проще говоря, задает формат MAC-адреса: 1 — канонический, 0 — не канонический. Размер поля — всего 1 бит. - VID (VLAN Identifier) — задает индикатор виртуальной сети. Указывает, к какой виртуальной сети принадлежит кадр. Размер — 12 битов. Маркер вставляется перед полем Тип протокола — понятное дело, после этого пересчитывается контрольная сумма, поскольку кадр уже изменился. Исходный кадр Адрес получателя / Адрес отправителя / Тип протокола / Данные / Контрольная сумма Маркированный кадр Адрес получателя / Адрес отправителя / Маркер / Тип протокола / Данные / Контрольная сумма Порты и VLAN Обратимся к портам коммутатора и виртуальным сетям. Порты коммутатора, которые поддерживают виртуальную сеть, можно разделить на две группы: маркированные порты (в терминологии Cisco — транковые порты, от англ. trunk ports) и немаркированные порты (порты доступа, access ports). - Маркированные порты нужны, чтобы через один порт можно было передавать и получать трафик от нескольких виртуальных сетей. При этом виртуальных сетей может быть несколько, а порт — всего один. Как уже было отмечено ранее, информация о принадлежности трафика той или иной виртуальной сети указывается в специальном поле кадра. Без этого поля коммутатор не сможет различить трафик от разных сетей. - Немаркированные порты (порты доступа) используются для передачи немаркированного трафика. Порт доступа может быть только в одной виртуальной сети. Порт может быть маркированным в нескольких VLAN и одновременно являться портом доступа в какой-то другой одной виртуальной сети. Если порт является портом доступа для какой-то виртуальной сети, то эта сеть называется родной для этого порта (native VLAN). Когда на порт доступа приходит маркированный трафик, то он обычно должен удаляться, но это происходит не всегда — все зависит от настроек коммутатора. По умолчанию все порты коммутатора считаются портами доступа для сети VLAN 1. В процессе настройки администратор может изменить тип порта на маркированный и определить принадлежность портов к разным VLAN. Порты коммутатора могут привязываться к определенной виртуальной сети статически или динамически. В первом случае администратор вручную определяет, какой порт будет принадлежать к какой VLAN. При динамическом назначении узлов принадлежность порта к той или иной виртуальной сети определяется коммутатором. Процедура назначения портом описана в стандарте 802.1X. Этот стандарт предусматривает аутентификацию пользователя на RADIUS-сервере для получения доступа к порту. |
Панели управления на виртуальный Linux-сервер:
|
1 2 3 4 5 6 |
VestaCP wget http://vestacp.com/pub/vst-install.sh bash vst-install.sh https://имя_сервера:8083) |
68. Уязвимости и эксплойты
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
https://www.metasploit.com/ Как узнать об обновлениях? Информация об уязвимостях публикуется на специальных сайтах. Вот некоторые из них: - SecurityFocus: http://www.securityfocus.com - CERT vulnerability notes: http://www.kb.cert.org/vuls/ - Common Vulnerabilities and Exposures (MITRE CVE): http://cve.mitre.org - SecurityLab: http://www.securitylab.ru/vulnerability/ - IBM Internet Security Systems: http://xforce.iss.net Проверка системы на наличие уязвимостей При желании можно самостоятельно произвести проверку системы на наличие уязвимостей. Программ для такой проверки предостаточно: RkHunter, OpenVAS, SATAN, XSpider, Jackal, Strobe, NSS — как платных, так и бесплатных. Информацию об этих сканерах вы без проблем найдете в Интернете. Например, следующие статьи объясняют, как использовать RkHunter и OpenVAS соответственно. http://habrahabr.ru/company/first/blog/242865/ http://habrahabr.ru/post/203766/ Антивирусы: - Dr.Web CureIt: http://www.freedrweb.com/cureit/ — поможет, если Windows еще запускается и относительно нормально работает - Dr.Web LiveDisk: http://www.freedrweb.ru/livedisk/ — загрузочный диск. Преимущество этого способа в том, что вирус на жестком диске будет находиться в незапущенном состоянии и не только не сможет вам помешать, но и не будет дальше размножаться. Следует загрузить LiveDisk на неинфицированный компьютер, записать образ на «болванку» и загрузиться с него на инфицированной системе. - AVZ: http://www.z-oleg.com/secur/avz/download.php — содержит различные дополнительные средства, которые помогут «вычислить» вирус, если это не получается сделать с помощью антивирусной программы. Опытные администраторы быстро вникнут, как использовать эту программу, а начинающим пользователям лучше использовать CureIt. - AdwCleaner: https://ru.malwarebytes.com/adwcleaner/ — средство очистки от рекламного программного обеспечения. Порой такое ПО досаждает не меньше вирусов. |
69. Шифрование файлов
|
1 2 3 4 5 6 |
Утилита TrueCrypt создает виртуальный зашифрованный диск и монтирует его как реальный. eCryptfs apt-get install ecryptfs-utils Шифрование диска при помощи BitLocker |