Введение в системное администрирование

Александр Лексов

Эта книга написана для начинающих администраторов. Делая свои первые шаги в профессии, они зачастую теряются в огромном мегаполисе информационных технологий. Эта книга является попыткой составить карту ИТ-систем, чтобы начинающий админ мог найти свой путь к решению своих задач. Также эта книга будет полезна руководителям и директорам. Она позволит им правильно ориентироваться среди многообразия информационных технологий и выстроить понятное и продуктивное общение со своим ИТ-персоналом.

D:\ЖЕЛЕЗО

Представьте что мы начинающий администратор, которому посчастливилось попасть во вновь образованную компанию, которая начинает свой путь с нуля, имея в своих активах только пустое здание и бюджет на разворачивание инфраструктуры. Вам необходимо будет составить план закупки активов и развернуть их на новой площадке.

Любое разворачивание инфраструктуры начинается с планирования. Это самый важный этап. Именно здесь будет появляться все косяки, которые потом будут проявляться на этапе работы пользователей. Чем раньше вы их заметите, тем проще в дальнейшем будет убирать огрехи, которые в любом случае появятся.

До того момента, когда пользователь создаст свою первую таблицу в Excel, вам придется пройти множество этапов создания необходимой инфраструктуры. И первым шагом будет оборудование нового здания.

D:\ЖЕЛЕЗО\СКД_камеры_ключницы

В компаниях работают сотрудники, для работы сотрудникам нужны рабочие места, рабочие места находятся в кабинетах, а кабинеты в зданиях. В нашем примере будет использоваться свежепостроенное отдельно стоящее здание с 3 этажами кабинетов.

Вам выпала удача, вдохнуть жизнь в эти серые стены и организовать ИТ-инфраструктуру с нуля, имея полную свободу действий. И начнем мы с безопасности. В современном неспокойном мире идея безопасного существования особо актуальна. Чтобы соответствовать современным нормам, требуется поддерживать ее на всех уровнях. Как организации безопасности необходимо относиться со всей серьезностью. От этого может зависеть благополучие вашей компании и даже жизни ваших сотрудников.

Есть много критериев и теорий безопасности, многие созданы на уровне государства, часть разработана на коммерческой основе для корпоративного сегмента. В самих организациях такие регламенты часто разрабатываются самостоятельно, исходя из требований руководства и специфики работы конкретной компании. Регламенты содержат основные требования к безопасности и контролю доступа.

Ваше здание должно быть защищено от внешнего проникновения. Для этого необходимо оборудовать пост охраны с турникетом и электронные замки на всех дверях, проход через которые осуществляется с помощью электронных пропусков. Все эти точки должны быть соединены с главным сервером безопасности, с которого можно будет осуществлять контроль пропускного режима и гибкого настраивать уровни доступа для разных зон или кабинетов, требующих повышенных мер безопасности. Кроме основной своей задачи, такая система поможет вам контролировать время работы ваших сотрудников и формировать различные отчеты для отдела кадров.

Для визуального контроля необходимо оборудовать ваши помещения камерами видеонаблюдения. Они должны быть расположены как по периметру здания, так и во внутренних коридорах и кабинетах. Контроль камер можно будет осуществлять с видеосервера. Видео сервер должен иметь функцию видеоархива глубиной минимум несколько недель, чтобы в случае ЧП или спорной ситуации можно было найти необходимый видеофрагмент. Долгое время основным видом камер были аналоговые видеокамеры, но из-за своих недостатков и ограничений они уступили место IP-камерам, которые превосходят аналоговые камеры в качестве съемки, безопасности потока и удобстве использования. Одним из главных плюсов ip-камер является возможность подключать их в уже существующую сетевую инфраструктуру, что является серьезным ограничением для аналоговых камер.

Для дополнительного контроля помещений компании используют обычные дверные замки, но используя при этом комплексы электронных ключниц, где каждый ключ висит на электронном брелке и доступ к нему можно получить только по электронному пропуску. Это средство можно использовать, если вы не хотите тратиться на оборудование каждого кабинета электронным замком.

D:\ЖЕЛЕЗО\Серверная

Теперь, когда безопасность вашего здания организована, перейдем к святая святых любой ИТ-инфраструктуры — серверного помещения. Конечно, сейчас большей популярностью обладают дата-центры и облачные сервисы, но при всех своих плюсах, они имеют определенные ограничения и недостатки, которые для некоторых компаний являются существенными. Поэтому мы рассмотрим классический вариант хранения серверов на территории своей компании.

Естественно, что ваша серверная должна соответствовать всем требованиям, которые предъявляются к любому помещению такого типа. Это должно быть помещение без окон. Необходимо качественная система вентиляции и охлаждения. Температура воздуха должна быть примерно 18 градусов, влажность должна быть не выше 25—30%. Если вы строите здание с нуля недопустимо размещать серверную рядом котельными и системами водоснабжения. В противном случае, вы в какой — то момент можете зайти в серверную и обнаружить там водопад, ниспадающий на ваши включенные сервера, и такие случаи не редки.

Вашему оборудованию требуется постоянная энергия, поэтому необходимо заранее продумать основную и резервную систему энергоснабжения. Установить необходимое количество источников бесперебойного питания и запитать на них все ваше оборудование. Емкость ИБП надо подбирать с таким расчетов, чтобы они могли выдерживать нагрузку в течение 15—20 минут. Увеличивает емкость не большого смысла, потому что если электропитание не смогли восстановить в течение часа, скорей всего его не восстановят и через два часа, а за 20 минут вы можете спокойно выключить все оборудование, если не будете уверены, что проблема устранима.

Стойки в серверной должны быть расставлены равномерно, с возможностью доступа к ним спереди и сзади. Сервера должны быть расположены на расстоянии минимум одного юнита между собой. Все провода и кабели должны быть уложены максимально аккуратно и компактно и, что более важно, должны быть промаркированными. Каждый кабель должен иметь этикетку с информацией о тех точках, которые он соединяет. Эти рекомендации в будущем не раз помогут вам в решении задач и намного ускорят время их выполнения.

Вопрос выбора серверного железа всегда вызывал много дискуссий и споров, но в целом компании использует то железо, которое лучшего всего подходит под их задачи и бюджет. Мы рассмотрим этот вопрос в общих чертах и заострим свое внимание только на самых важных моментах, которые подойдут для любой конфигурации ваших серверов.

При выборе сервера необходимо руководствоваться не именем бренда или супер характеристиками, а правильным балансом между требованиями и производительностью. Нет смысла покупать мощный сервер, чтобы он простаивал и в тоже время еле работающий сервер тоже плохая идея. Правильный анализ и планирование будущей информационной системы — ключ к правильному выбору оборудования. Для расчета производительности используйте официальные калькуляторы и мануалы, они помогут вам лучше разобраться в требованиях вашей системы.

В итоге выбранный сервер должен отвечать заданным требованиям и иметь запас мощности для будущего увеличения нагрузок. Это очень важный момент, которым часто пренебрегают, считая первоначальную нагрузку неизменной. Но через какое-то время, когда штат компании вырастет на пару десятков человек или базы 1С вдруг неожиданно раздуются в несколько раз, вы упрётесь в предел возможностей вашего сервера, и срочно будете сооружать какие-то временные костыли. В это время ваш начальник будет объяснять руководству, зачем вам покупать еще один сервер, если только недавно вы его уже покупали.

Если сервер выбран и установлен, остается обеспечить отказоустойчивость. Сервер должен иметь два блока питания подключённые к разным ИБП. Для сетевых карт необходимо использовать объединение (teaming), дисковая система должна быть развернута с использованием raid-массивов.

Итак, мы выбрали сервера, установили их в серверной, обеспечили резервное питание и навели красоту в сетевых патчкордах. Теперь нашему серверному сокровищу необходимо организовать защиту. Доступ в серверную должен быть только по магнитным пропускам или считывателям отпечатков пальцев. Дверь в серверную должна быть всегда закрыта. Избегайте наличия офисных сотрудников рядом с серверной, если такая возможность есть. Установите комплексную систему мониторинга серверной. Она может включать в себя видеокамеру, датчик движения, температуры, влажности, открытия дверей, дыма, протечки, отсутствия 220 и другие устройства. Данные со всех точек будут поступать на сервер мониторинга, с которого вы сможете наблюдать за всеми параметрами вашей серверной. Инструмент оповещения по почте или sms поможет вам всегда быть в курсе всего, что происходит в серверной. В случае электроаварии или отказа систем кондиционирования вы будете проинформированы, где бы вы ни находились.

Организация серверной это дорогой и трудоемкий процесс. Начиная подобный проект, вы должны четко осознавать всю необходимость подобного мероприятия. Иметь на руках все цифры и ТЗ. Цена ошибки в данном случае может быть слишком высока. Поэтому в современных реалиях все больше компаний передают эту задачу сторонним компаниям, используя ресурсы дата-центров и облачных офисов. Возможно, для вас это окажется идеальным решением. Главное подходить к делу с умом и четко знать, что выбранный путь лучше всего подойдет вашей компании.

D:\ЖЕЛЕЗО\Сеть

Если представить вашу инфраструктуру как живой организм, то каналы связи это ваша кровеносная система, которая каждую секунду разносит информацию во все уголки вашей сети. Если в каких местах сосуды будут плохо пропускать сигнал, определенные части вашего оборудования будут испытывать «проблемы со здоровьем». А если какой-то жизненно важный элемент сети выйдет из строя, то это вызовет мгновенный отказ весь инфраструктуры.

Поэтому, планирование структуры сети является первостепенным для любых ИТ-систем.

Сети можно проектировать проще и сложнее, безопасней и рискованней, но в каждом случае необходимо проводить полный анализ вводных данных и специальных требований для конкретной сети.

D:\ЖЕЛЕЗО\Сеть\Виды сетей

Для физического соединения узлов используют три вида сетей. Каждая из них имеет свои особенности и лучше всего подходит для определенных ситуаций.

Оптоволоконные сети. Волоконная оптика уже много лет считается главной технологией для серьезных задач коммутации. Оптика имеет ряд преимуществ над остальными видами сетей. Главными являются очень высокая скорость передачи данных на очень большие расстояния. Наряду с высокой скоростью оптика долговечна, защищена от помех и перехватов данных. При всех преимуществах этой технологии, у нее есть ряд недостатков, которые не позволяет ей стать доминирующей среди конкурентов. Это высокая цена материалов и монтажа, хрупкость при эксплуатации и ограничения изгибания кабеля при прокладке.

Данный вид сетей, как правило, используется при постройке внешних магистралей, объединяющих разрозненные сооружения или корпуса, а также многоэтажные здания. Она может использоваться и в качестве полноценной внутренней структуры кабельной сети, но из-за высокой стоимости используется только в отдельных ситуациях или дорогостоящих проектах.

Внутри помещений оптика используется в качестве соединительных кабелей горизонтальной разводки — для объединения серверных и коммутационных шкафов,

а иногда и отдельных рабочих станций. Монтаж оптики осуществляется с помощью специальных инструментов и приборов. Оптическое оборудование довольно дорогое и требует специальной квалификации, поэтому в большинстве случаев прокладкой и монтажом оптоволоконных сетей занимаются специализированные компании, имеющие все необходимые инструменты и опыт. В тоже время эксплуатация уже готовых оптических портов и кабелей не вызовет больших затруднений у обычного сетевого инженера.

Оптические волокна и кабели, используемые для построения сетей, отличаются по своей структуре и технологии использования. По типу путей и структуре, различают одно — и многомодовые волокна.

Одномодовые волокна (SM) отличаются малым диаметром сердцевины, по которой может пройти только один пучок света.

Многомодовые волокна (MM) отличаются большим диаметром сердцевины и могут быть со ступенчатым или градиентным профилем. Через такие волокна могут пройти несколько пучков света, что в некоторых случаях очень удобно.

Схемы коммутации тоже могут быть различные. Можно использовать различные комбинации и количество оптоволоконных кабелей, в зависимости от целей и бюджета.

Модули SFP, которые используются для коммутации с конечным устройством, также могут быть различными в зависимости от вашей схемы сети.

Оптика — это технология, которая при определённом бюджете и квалификации админа, может решить большинство задач в построении сетевой инфраструктуры.

Витая пара. Рабочая лошадка во многих случаях построения сетевой инфраструктуры. Начиная с обычной квартиры и заканчивая большими предприятиями. За счет своей дешевизны и легкости монтажа этот тип кабеля используется повсеместно. В зависимости от конструкции и категории кабеля, по витой паре можно передавать трафик со скоростями в диапазоне от 1 до 40000 Мбит\с. Для защиты от помех также предусмотрены различные уровни защиты с использованием разного количества слоев защиты. В крупных зданиях витая пара чаще всего используется для организации локальной сети на этажах до конечных устройств. При прокладке кабеля необходимо заранее заложить запас по пропускной способности. Зачастую компании, пытаясь сэкономить, используют витую пару с невысокой скоростью передачи данных и когда через 5—10 лет требования рабочих станций начинают упираться в ограничение по скорости, компании приходится менять кабель во всем здании. А в обустроенном офисе этот процесс затруднителен, а в некоторых случаях и невозможен без демонтажа части перекрытий или стен. Поэтому на данный момент минимальной рекомендуемой категорией витой пары является CAT 5e со скоростью передачи данных в 1000мбит\с.

Данный тип кабеля мог бы использоваться повсеместно, если бы не его главный недостаток — ограничение длины кабеля в 100 метров. Это ограничение сильно сужает диапазон возможностей использования данного кабеля в сетевой инфраструктуре, отдавая пальму первенства на дальних дистанциях оптоволоконному кабелю, но в локальных сетях витая пара по-прежнему остается незаменимым средством коммутации.

Wi-Fi. Эта технология использует радиоканалы для передачи данных. Информация до конечного пользователя передается через точки доступа, которые могут передавать сигнал в зоне покрытия радиусом до 45 метров в помещении и 90 метров на открытом пространстве (данные цифры могут меняться в зависимости от условий и версии Wi-Fi). С увеличением скорости интернета и количества мобильных устройств роль Wi-Fi в организации внутренних сетей возрастает. Зачастую в небольших компаниях можно встретить полностью беспроводной офис, в котором сотрудник жестко не привязан к своему рабочему столу и может организовать свое рабочее место, как ему удобно. Также использовать беспроводную сеть удобно в местах, где прокладка кабеля не возможна или будет мешать работе персонала.

Кроме мобильности и отсутствия проводов, Wi-Fi также прост для подключения и работает с большим количеством различных устройств, беспроводные интерфейсы есть сейчас везде, от принтеров до станков. Возможно, Wi-Fi мог бы стать идеальным средством связи в корпоративной сети, если бы не несколько недостатков. Беспроводные сети очень чувствительны к помехам и этот фактор сильно влияет на скорость в сети. Скорость проводной сети пока выше скорости Wi-Fi соединения. Наложение сигналов, работающих на соседних или на одном каналах, может мешать доступу к точке доступа. Такая проблема может возникнуть при большом количестве пользователей.

В связи с этим Wi-Fi пока остается удобным помощником для обычных кабельных сетей. С каждым годом качество и скорость беспроводных сетей улучшается и возможно в будущем они смогут потягаться с другими видами сетей за роль в сетевой инфраструктуре.

D:\ЖЕЛЕЗО\Сеть\Топология сетей

В большинстве случаев администратор приходит на работу в компанию, где сетевая инфраструктура уже была организована до него и разобраться в хитросплетениях и тем более изменить что-то в сети бывает достаточно проблематично. Но в этой книге, при описании фундаментальных свойств ИТ-систем, мы стараемся описывать эти системы в общем виде, чтобы они были применимы к большинству ситуаций, с которыми сталкивается админ. И говоря о топологии сети, мы будем рассматривать ситуацию, когда в вашем распоряжении находится пустое здание, в котором вы можете с нуля спроектировать сеть, не сковывая себя существующими инфраструктурными ограничениями.

Как и в любом технически сложном проекте необходимо иметь проектную документацию, в которой будут расписаны все требования и этапы предстоящих работ. В проекте должна быть отображена информация, охватывающая всю сетевую инфраструктуру от данных интернет провайдера до расшивки конкретной розетки на этаже. Это позволит вам иметь полный контроль над вашей сетью и возможность в будущем быстро находить узлы, в которых произошли сбои. Часто бывают ситуации, когда фактически условия работы требуют изменений в документацию, и, если эти изменения не вносятся своевременно, в дальнейшем разобраться в ситуации становится проблематично. Что уж говорить про работы, которые проводятся без какой-либо документации и максимум записываются на листике А4. В такой инфраструктуре любой сбой затягивается на многие часы поисков информации и требует много усилий, чтобы распутать клубок сетевых загадок.

При построении сети внутри необходимо рассматривать здание как иерархию связей, где корнем является главная коммутационная серверная, а крайними узлами отдельные розетки в кабинетах. Помня об ограничениях длины кабеля от одного активного сетевого устройства до другого в 100м, обычно сеть в здании сегментируют на уровне этажа. На этажах устанавливают коммутаторы уровня доступа, к которым подключают розетки в кабинетах, после чего эти коммутаторы соединяют каналами связи с коммутатором в главной серверной, который играет в этом случае роль ядра сети. Коммутаторы на разных этажах желательно соединять оптоволокном, хотя для малых расстояний использование витой пары тоже возможно, при этом желательно использовать категорию не ниже шестой. При проектировании сетей не стоит забывать о том, что для каждого рабочего места кроме информационной розетки требуется минимум одна розетка силовая. Расстояние между силовой и информационной розетками одного рабочего места по стандарту не должно превышать 1 м. Минимальное расстояние между силовым и информационным кабелями зависит от потребляемой мощности, но на практике обычно используется значение 15—20 см. Если такие расстояния выдержать невозможно, нужно использовать кабели с экранированием.

В составе корпоративной сети также существует оборудование, которое может получать питание по технологии питания оборудования по кабелю Ethernet (Power over Ethernet, PoE). Как правило, питаются по PoE точки беспроводного доступа, камеры видеонаблюдения, IP-телефоны. Обычно для работы этой технологии устанавливаются специальные PoE-коммутаторы. В соответствии со стандартом 802.3af максимальная мощность, которая может быть получена устройством с PoE-порта, составляет 12,95 Вт.

При превышении допустимого значения потребляемой мощности коммутатор начинает отключать питание отдельных портов. При этом учитываются приоритеты портов для PoE, назначенные вручную администратором. Необходимо заранее рассчитывать суммарную мощность PoE оборудования, чтобы запланировать необходимое количество коммутаторов.

На всех уровнях проектирования сети надо помнить о пожарной безопасности при прокладке кабелей в офисе: кабели, каналы, розетки и т. п. должны соответствовать определенной категории пожароустойчивости.

Зная все преимущества и недостатки различных видов сетей, можно приступать к разработке логической топологии и структуры сети. Топология сетей очень похожа на теорию графов. В ней также есть узлы и дуги, и также важен поиск кратчайшего пути. Соответственно, к вопросу проектирования топологий необходимо подходить со всей серьезностью, как к решению математической задачи.

Проанализировав особенности вашего здания, необходимо составить такую топологию сети, которая максимально подходит под ваши требования и не является слишком избыточной и сложной. Для начала необходимо определиться с размещением основных узлов сети.

Уровень ядра. Этот уровень должен максимально быстро передать трафик между оборудованием уровня распределения.

Уровень распределения. На этом уровне происходит маршрутизация пакетов, и их фильтрация на основе правил.

Уровень доступа. Здесь происходит подключение к сети конечных рабочих станций.

На каждом из этих уровнях есть технологии, которые помогут вам создать оптимальную, для ваших условий, структуру сети.

Мы не будем перечислять все функциональные возможности современных коммутаторов, потому что выбор функционала зависит от конкретной задачи и структуры вашего здания. Главное, что нужно помнить, чтобы сеть не была перегружена и имела минимально возможное количество сегментов между двумя точками сети, естественно при этом необходимо просчитать достаточный уровень отказоустойчивости, чтобы отказ одного узла не привел к обрушению всей сети.

Далее мы рассмотрим несколько технологий, которые в большинстве случаев являются обязательными, при построении локальной сети, независимо от масштабов и конфигурации. При подключении конечных устройств вам необходимо будет озадачиться вопросом распространения в вашей сети ip-адресов, а также настроенных параметров маски, шлюза и DNS-сервера. Без них ваши устройства не смогут подключиться к вашей сети и общаться с другими узлами.

D:\ЖЕЛЕЗО\Сеть\DHCP

Для раздачи ip-адресов используют DHCP сервер. Он может быть развернут программно или аппаратно. На DHCP-сервере системным администратором задаётся определённый диапазон IP-адресов, адреса из которого можно выдавать устройствам-клиентам при обращении. При этом дополнительно может настраиваться срок аренды адреса (lease time) в течение которого он закреплён за MAC-адресом компьютера и не может быть занят иным устройством.

Работа сервера основывается на широковещательных сетевых запросах. Диапазон IP-адресов, предназначенный для распределения между клиентами одной сети с помощью протокола DHCP, рассматривается как единый административный блок (scope). Если сервер работает с несколькими подсетями, то при настройке службы DHCP, администратор должен создать отдельную область действия для каждой физической подсети. Для стабильной работы, желательно, для каждого обслуживаемого сегмента сети должно быть как минимум два DHCP-сервера.

D:\ЖЕЛЕЗО\Сеть\VLAN

Если вы планируете развернуть несколько подсетей в вашем здании, то для создания логической топологии желательно использовать технологию VLAN.

Виртуальная локальная сеть (Virtual Local Area Network) — это функция, позволяющая на одном физическом сетевом интерфейсе создать несколько виртуальных локальных сетей. VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии. Устройства, подключенные к разным точкам сети, можно объединить в одну виртуальную сеть, в тоже время устройства, находящиеся в разных VLAN будут изолированы друг от друга, даже если подключены к одному коммутатору.

VLAN очень полезен для гибкого разделения сетей на логические группы. Это разделение помогает сократить широковещательный трафик, увеличить безопасность и управляемость сети. При такой топологии уменьшается количество оборудования и сетевых кабелей, а применение политик и правил безопасности становится намного удобнее.

D:\ЖЕЛЕЗО\Сеть\DNS

DNS или система доменных имен — это служба, которая позволяет пользователям подключаться к веб-сайтам или серверам по имени. Основная цель DNS — преобразовать имена доменов Интернета и имена хостов в IP-адреса из доменного имени. DNS играет важную роль в переводе доменных имен в IP-адреса, чтобы веб-браузеры могли загружать Интернет-ресурсы. DNS имеет решающее значение для обнаружения и идентификации веб-сайтов и устройств (компьютеров, мобильных устройств) с базовыми сетевыми протоколами.

Все веб-браузеры и большая часть другой деятельности в Интернете полагаются исключительно на систему доменных имен (DNS) для быстрого получения необходимой информации для пользователей. Когда пользователь вводит в адресную строку браузера доменное имя, например Site.com, браузер должен найти IP-адрес, по которому расположен запрошенный домен.

Следующим шагом веб-браузер отправит запрос пользователя в операционную систему, например Windows, Mac или Android, на которой работает юзер. Каждая из этих операционных систем настроена для отправки запроса к определенным DNS-серверам. Сетевой администратор или провайдер настраивают такие DNS-серверы, которые называются Resolving Name Server.

Разрешающий сервер имен точно знает расположение корневых серверов. Он найдет DNS верхнего уровня для отправки запроса на Site.com. Наконец, авторитетный сервер имен предоставит точный IP-адрес Site.com. Эта информация будет возвращена на разрешающий сервер имен, который кэширует эту информацию и отправляет ответ в браузер пользователя. Результатом отображения будет стартовая страница Site.com.

DNS-сервер является основным компонентом, который реализует протокол системы доменных имен и предоставляет услуги разрешения доменных имен веб-узлам и клиентам в сети на основе IP. Конечная цель DNS-сервера — обнаруживать и доставлять веб-сайты конечным пользователям через Интернет или частную сеть. Все DNS-серверы разработаны на стандартном оборудовании, но работают на специализированном программном обеспечении DNS. DNS-серверы всегда подключены к Интернету или сети.

DNS-сервер хранит различную информацию, такую как база данных нескольких доменных имен, хостов в Интернете, сетевых имен, записей DNS и других связанных данных. В процессе поиска доменного имени выполняется поиск записей DNS, и если этот конкретный домен, о котором идет речь, найден, возвращается запись доменного имени.

Если это доменное имя не зарегистрировано или не добавлено к этому DNS-серверу, запрос затем передается на другие DNS-серверы, пока не будет найдена запись доменного имени. Весь этот процесс занимает всего миллисекунды. Чтобы лучше обслуживать конечных пользователей, DNS-серверы кэшируют некоторые ответы, которые они получают, на определенный период времени. Это позволяет DNS-серверам быстрее отвечать на один и тот же запрос. Когда такой же запрос появится в следующий раз, DNS-сервер ответит быстрее. Если, к примеру, все в вашем офисе ищут одно и то же обучающее видео на определенном сайте, DNS-сервер должен будет разрешить доменное имя только один раз, после чего он сможет обслуживать все остальные запросы из своего кэша.

D:\ЖЕЛЕЗО\Сеть\Маршрутизация

После того как ваша сеть спроектирована, развернута и настроена, необходимо озадачиться еще одним важным вопросом, без которого ваша сеть будет мало функциональна.

В наше время Интернет стал неотъемлемой частью нашей жизни. Во многих случаях наличие Интернета является обязательным условием функционирования систем. Каждая организация в мире использует Интернет в своей работе. Поэтому при проектировании внутренней сети компании необходимо продумать схему подключения вашей инфраструктуры к глобальной сети, а если у вас есть удаленные офисы или филиалы, вам необходимо будет организовать безопасный канал связи, используя ресурсы Интернета. При подключении к глобальной сети главным приоритетом должна стать безопасность работы пользователей и систем. Большинство финансовых и коммерческих преступлений совершаются из-за наличия дыр в безопасности и приводят к самым плачевным результатам. Поэтому построение сети необходимо планировать исходя из современных факторов кибер-угроз.

Не смотря на всю глобальность Интернета, по факту им владеют ограниченное число компаний-провайдеров, которые работают в конкретной стране и обслуживают конкретную территорию. Эти компании обязаны соблюдать законодательство своей страны в сфере средств коммуникации и контроля над преступностью. Вы не сможете выйти в глобальную сеть, если провайдер не выделит вам канал связи. Он также будет контролировать ваше подключение, для выявления преступных намерений и блокировать доступ в Интернет, если вы нарушите условия предоставления услуг.

Если компания хочет организовать себе доступ во внешнюю сеть, ей необходимо найти местного провайдера и заключить с ним договор. Желательно, по возможности, найти два провайдера и подключить себе несколько каналов связи для отказоустойчивости. При аварии на магистралях у одного провайдера, вы быстро сможете переключить вашу сеть на работу с другим. После подписания договора провайдер протянет линии связи до вашего сетевого оборудования и выдаст вам инструкции для настройки подключения. Дальнейшую настройку вы будете делать самостоятельно, и для этого вам потребуется маршрутизатор.

Маршрутизатор — это специальное оборудование для перенаправления и распределения интернет-трафика.

С помощью этого узла вы сможете контролировать все информационные потоки, которые проходят между вашим клиентским оборудованием и внешними каналами связи. Производителей и моделей маршрутизаторов великое множество, но в большинстве случаев набор функционала очень похож. Это связано с тем, что для данных устройств есть определенный набор задач, который в рамках безопасности сети необходим в обязательном порядке. Поэтому производители добавляют такие функции по умолчанию.

Главной функцией подобного оборудования является организация безопасной передачи данных. Для начала с помощью маршрутизатора закрывается весь трафик извне, а затем, используя различные правила, открывается доступ только к определенному набору Ip адресов и портов. Настройка правил не означает, что вы можете забыть об этом устройстве и быть уверенным, что ваша сеть под защитой. Вопрос безопасности это вопрос постоянной информационной войны. Ситуацию нужно держать под контролем постоянно. Проверять логи, контролировать атаки, если такие появляются, дорабатывать правила или создавать новые, если обнаружится новая дыра в безопасности. Только постоянный процесс администрирования внешних угроз может гарантировать достаточный уровень безопасности вашей корпоративной информации.

D:\ЖЕЛЕЗО\Сеть\VPN

После того как мы защитили наш главный офис, необходимо позаботиться о дополнительных офисах. После настройки внутренней безопасности сети, необходимо продумать схемы связи между двумя офисами по потенциально небезопасным сетям различных провайдеров в разных городах.

Для этих целей существует технология VPN, позволяющая повысить конфиденциальность и безопасность пользования Интернетом. VPN сеть представляет собой защищенную виртуальную частную сеть, организованную внутри или поверх публичной сетевой инфраструктуры.

Данная сеть представляет собой туннель, на входе которого расположен VPN клиент, установленный у пользователя, а на выходе — VPN сервер. VPN туннель отвечает за передачу информации между источником и приемником данных.

Внутри туннеля средствами VPN реализуется технология, которая защищает данные компании от несанкционированного доступа извне. VPN можно реализовывать используя специальное программное обеспечение или настраивая соответствующую функцию на вашем маршрутизаторе.

Чтобы подключиться к сети VPN нужно пройти процедуру идентификации и аутентификации. В случае успеха удаленный пользователь получит доступ к работе в вашей сети. Очень полезна VPN-технология для связи двух удаленных друг от друга офисов, в таком случае VPN туннель настраивается между маршрутизаторами, которые помогают двух разным локальным сетям видеть друг друга и получать нужную информацию.

Нужно понимать, что VPN обладая всеми своими плюсами, не гарантирует вам 100% безопасность от любых угроз, это всего лишь еще одного средство для защиты информации.

Главный фактор, влияющий на уровень безопасности сети, это ответственность и профессионализм администратора. Только он может проанализировать, подготовить, развернуть и поддерживать необходимый уровень защиты сети, и этот процесс будет бесконечным. Новые угрозы будут требовать новых решений и от вас зависит, насколько успешно вы сможете им противостоять.

D:\ЖЕЛЕЗО\ПК_тонкие клиенты

Любая компьютерная инфраструктура делается не просто так, а является средством для организации работы сотрудников компании. Для работы сотрудником необходимо точки взаимодействия с ИТ-сервисами. И такими точками являются клиентские рабочие места, телефоны, принтеры и другое офисное оборудование.

Выбор рабочей станции для сотрудника является очень важным этапом проектирования ИТ-инфраструктуры. При выборе ПК или ноутбуков для сотрудников не существует универсального решения. В зависимости от ваших задач вам может потребоваться как высокопроизводительный настольный компьютер, так и легкий ноутбук, который для командировок. Парк рабочих станций будет состоять из многих типов устройств, но для всех устройств существуют критерии, которые необходимо учитывать перед закупкой.

D:\ЖЕЛЕЗО\ПК_тонкие клиенты\Выбор

Бюджет. Компьютеры могут стоить от десятков тысяч до сотен тысяч рублей. Это справедливо как для компьютеров целиком, так и для отдельных комплектующих.

Чтобы избежать перерасхода средств, вам следует установить бюджет до того, как отправиться за покупками, чтобы не тратить время зря на высокопроизводительные машины, которые стоят больше, чем вы можете себе позволить. В то же время используйте свой бюджет в качестве минимального ориентира для того, что вы хотите потратить, чтобы не покупать дешевые компьютеры, которые могут не обеспечить необходимую вам производительность.

Чтобы составить бюджет, поговорите с сотрудниками компании, чтобы понять, как они используют свои машины, а затем оцените компьютеры с учетом характеристик производительности и возможностей, которые им требуются. Имейте в виду, что рентабельным решением является покупка устройства с хорошими характеристиками и последующее обновление его компонентов по мере необходимости для повышения производительности.

Стационарный компьютер или ноутбук. Стационарный компьютер обеспечивает большую производительность и скорость отклика за ваши деньги по сравнению с ноутбуком с аналогичной ценой. Однако такой компьютер прикреплен к рабочему месту, что делает его подходящим только для сотрудников, постоянно находящихся в офисе.

Ноутбуки, с другой стороны, предназначены для перемещения между локациями. Эти небольшие и легкие устройства отлично подходят для удаленной работы в кафе, в самолете и в любом другом месте. В то время как некоторые ноутбуки могут не иметь всей мощности или дискового пространства настольных компьютеров, некоторые ноутбуки могут справляться даже с ресурсоемкими графическими задачами. Однако мобильность стоит денег, ноутбуки обычно дороже стационарных компьютеров с аналогичными характеристиками.

Размер. Этот критерий может быть важен при размещении компьютера в ограниченном пространстве. Например, для установки компьютера в офис лучше выбирать классический размер корпуса, для обеспечения хорошей вентиляции воздуха внутри и удобства обслуживания. Необходимость работы в цеху или небольших пространствах требует компактных решений. Такими решениями являются тонкие клиенты или компьютеры-флешки. Естественно, что производительность таких рабочих станций будет невысока, и это надо будет учитывать при выборе решения.

Уровень шума и энергопотребления. Необходимо обращать внимание на этот критерий, если вы хотите обеспечить комфортную и работу сотрудников в ваших офисных помещениях и сэкономить на электроэнергии. При необходимости обеспечения высокой производительности растет тепловыделение, и, следовательно, повышаются требования к охлаждению. Чем выше производительность, тем выше энергопотребление и уровень шума от системы охлаждения. При выборе комплектующих необходимо обращать внимание на энергоэффективность и отдавать предпочтение более экономичным вариантам.

D:\ЖЕЛЕЗО\ПК_тонкие_клиенты\Апгрейд и обслуживание

Хотя максимальные характеристики почти всегда лучше для любых комплектующих, есть три компонента, над выбором которых вам следует подумать, чтобы обеспечить действительно высокую производительность вашего компьютера:

Процессор. Быстрый процессор может означать разницу между быстрым и отстающим компьютером. На новейших компьютерах повседневные задачи могут быть выполняться быстрее, позволяя сотрудникам одновременно запускать несколько приложений.

Оперативная память. Эта память используется для временного хранения данных во время работы компьютера. Необходимый объем оперативной памяти зависит от сложности запускаемых приложений. Например, для редактирования видео требуется много оперативной памяти, в то время как базовый просмотр веб-страниц и электронные таблицы обычно можно обрабатывать с минимальным объемом. ОЗУ легко обновить, поэтому вы всегда можете добавить больше по мере необходимости.

Хранилище. Большой жесткий диск (HDD) или твердотельный накопитель (SSD) не только хранит все ваши файлы, но и используется для запуска и работы ваших программ и операционной системы, поэтому на компьютере всегда должно быть достаточно места для корректной работы системы. На данный момент идет массовый переход на M.2 диски на базе флеш-памяти, которые выигрывают в производительности у SSD.

Пользовательский компьютер является одним из самых важных компонентов из списка ваших ИТ-активов. Поскольку технологии развиваются очень быстро, обычно выгодно инвестировать в конфигурацию ПК, которая соответствует вашему бюджету, а затем планировать ее модернизацию по мере необходимости в течение всего срока службы компьютера, чтобы она могла соответствовать постоянно растущим требованиям вашей компании.

При обновлении следует помнить о том, что стационарные компьютеры, как правило, не только легче обновлять, но количество компонентов доступных для обновления без специальных навыков намного больше, чем на ноутбуке.

Кроме апгрейда комплектующих не стоит забывать о плановом обслуживании компьютерной техники, этот процесс напрямую влияет на срок службы ваших ПК и размер доступного ИТ-бюджета. Рабочие станции необходимо периодически чистить, менять термопасту процессора, проводить диагностику комплектующих и изучать отчеты об ошибках системы. Это позволит вам снизить количество отказов железа, увеличить срок службы и ускорить работу ПК.

Что касается выбора остальных комплектующих, то он должен быть направлен на формирование комфортной, здоровой и безопасной рабочей среды для сотрудника. Монитор должен быть безопасным для зрения, клавиатура и мышь должны быть комфортными и отзывчивыми. Скорости сетевого подключения должно быть достаточно для комфортной работы, а видеокарты должна выдавать необходимый уровень картинки для графических программ.

Рабочая станция должно быть безопасно подключена к электросети через ИБП и качественные кабели. Рабочий стол, кресло и освещение должны быть эргономичными и правильно расположенными, чтобы создавать комфортные условия для работы.

Выполнение всех этих рекомендаций позволит вам организовать комфортную и безопасную работу офиса и при этом иметь экономичную и эффективную рабочую среду.