Archive for the ‘Строим сеть’ Category.

Аки два пожара

Картинка 52 из 106Выходные ушли. На обустройство нового офиса. Из интересного — монтаж новой сети. Подключение сети к интернет по wifi. Впервые увидел устройство для сети СПАРК. Кто не знает СПАРК использует для передачи трафика обычную электрическую сеть. Модем втыкается в розетку, подключаете клиента и вуаля, интернет пошел. Прикупил беспроводной роутер, подключил его к СПАРК, в офисе поставил точку доступа в режиме «клиент». Дистанция порядка 50 метров, по прямой. Подключение на 802.11b уверенно 2,7 Мб/с. На неделе думаю ZyXEL NBG318S EEприобрести направленную антенну D-LINK ANT24-1200с широким углом и усилением 12dbi. Должно значительно улучшить связь. Надеюсь что если не улучшит, то точно сделает канал стабильнее. 12dbi по сравнению со штатными 2dbi на точке и 5dbi на роутере серьезное усиление. В идеале, конечно, нужно бы поставить пару антенн на каждую сторону. Но поскольку ранее дел с этими девайсами я не имел, то не особенно хочется рисковать деньгами попусту. Наконец поставил СНПЧ для epson 1410 корейского производства. Очень приятная штука и чернила на удивление хорошие. Думаю, теперь чернил хватит как минимум на полгода, потом докупим еще комплект. Избавился от принт-сервера непомнюкакой марки. И вот почему. Годен этот прин-сервер исключительно для того, чтобы подключить к нему несколько офисных принтеров и печатать текстовые документы. Графику в него загонять во-первых, очень долго, во-вторых уж очень часто он на этой графике зависал, останавливая все принтеры. Пока не перезагрузишь работать невозможно. Поставил вместо него обычный компьютер. Принт-сервер, кстати, могу продать, если он кому-то нужен. Вещь то в принципе неплохая. Среди множества железок, обнаружившихся snpcв офисных закромах, нашелся гигабитный хаб который и поставлен в сеть. До того стоял один гигабитник и один на 100 мегабит, идиотизм в-общем. Сегодня типа запуск всего этого железа в работу. Надеюсь, все будет замечательно и ничего вдруг не откажет.

Файловый сервер 1С

Очень не хочу покупать серверную версию виндовс. И ломать имеющуюся ХР на предмет числа подключений тоже не хочу. В связи с этим все чаще приходится обращать внимание на серверные решения от линуксоидов. И вот, откопал на просторах сети совершенно обалденный софт. NAS сервер на базе FreeBsd под названием Freenas.

freenasimg

Работает просто великолепно и стабильно. Включает в себя много различных служб и сервисов из которых, впрочем, использоваться будут только самба и ssh. Задумка состоит в том, чтобы переложить туда файлы баз даных и конфигураций 1с. В идеале было бы неплохо на нем же установить сервер защиты 1с. Так мы уйдем от необходимости платить кучу денег за лицензионный сервер windows и клиентские лицензии. Есть так же задумка создать эффективную систему хранения данных размером пару терабайт для хранения файлов и документов предприятия.

Интернет-шлюз Untangle

Совсем поистаскался мой старенький сервачок, выпускавший сетку в интернет. Стал глючить, виснуть, терять связь с интерфейсами. Подыхать, одним словом. Решил было заменить на имеющийся хлам от разрывной машины, да директор не дал. Зато разрешил купить бу машинку на сервак.

Continue reading ‘Интернет-шлюз Untangle’ »

KWF и удаленное администрирование

Удаленное администрирование штука удобная. С этим и спорить то глупо. Программ для этого есть огромное количество. Как пропустить их через KWF я уже, кажется, как-то писал. Но вот недавно возникла необходимость админить не одну машину, а сразу несколько машин внутри сети организации посредством управления удаленным рабочим столом windows.

Continue reading ‘KWF и удаленное администрирование’ »

Закупаем Хлам

Особенных сложностей здесь нет. Сейчас на рынке присутствует огромное количество различного оборудования для организации сети. Однако, при приобретении железок следует кое на что обратить особое внимание.

1. Кабель

Кабель должен быть медный, 8-жильный, витая пара 5 категории. Он бывает экранированный, неэкранированный, для наружной проводки, для внутренней проводки. Экранированные используются обычно в промышленных помещениях с высоким уровнем электромагнитных воздействий. Такие воздействия создают силовые кабели питания и мощные электроприводы технологического оборудования. Я не думаю, что вам понадобится раскладывать локалку в таких помещениях. Кабели для наружной проводки используются для организации воздушных линий между зданиями, имеют обычно экран или броню, встречаются кабели с несущим тросом. Вы вряд ли такой встретите в обычном магазине. Вам нужен обыкновенный неэкранированный кабель для внутренней проводки, 5 категории. Продается он в коробках по 1000 футов, это примерно 330 метров. Соответственно длину каналов связи делим на эту величину и получаем количество коробок. Имейте в виду, что кабели в магазинах обычно не режут. То есть если вам надо, к примеру 450 метров, то вам придется купить 2 коробки. Учтите, что вы не сможете точно промерить все расстояния и переходы, поэтому было бы неплохо предусмотреть небольшой запас кабеля. он всегда сгодится, поверьте мне.

2. Разъемы RJ-45

Разъемы бывают со вставкой и без вставки. Разъемы со вставкой задумывались как некое универсальное решение для заделки как обычного кабеля, так и кабелей с экраном или промышленных кабелей, кабелей для внешнего применения. Дело в том, что у всех кабелей, кроме обычного для внутренней проводки, толще жилы. Разница между разъемом со вставкой и разъемом без оной заключается в этой самой вставке. Это такая пластиковая хрень, которая вставляется в разъем для его адаптации под обычный кабель. Ни в коем случае не берите коннектор со вставкой, намаетесь с ними потом — ужас. Покупайте обычные, без вставки. Так же предусмотрите небольшой запас, ибо не всегда удается с первого раза его правильно смонтировать и, кроме того, они бывают бракованные, при обжиме ломаются. Купите колпачки, если есть возможность.

Разъем со вставкой
Картинка 2 из 115

 

Разъем без вставки
Картинка 1 из 121

 

3. Кабельные каналы

Каналы выбирайте на свой вкус и цвет. Главное, о чем следует не забыть — если в канале будет проходить более одного кабеля, то он должен иметь соответствующий размер. Хотя сейчас и присутствует на рынке множество клеев и двусторонних скотчей, крепить каналы рекомендую все же саморезами. Так намного надежнее и при необходимости всегда можно канал быстро снять.

4. Коммутирующее оборудование

Самый отвественный элемент сети. На рынке присутствует огромное количество хабов и коммутаторов. Управляемых и неуправляемых. При выборе коммутатора я бы советовал обращать внимание на тип питания. Обычно простые и дешевые модели имеют выносной блок питания. Это снижает размеры устройства и не нагревает его элементы. Все это конечно замечательно, если бы не одно но. Блоки питания таких устройств ненадежны. Они часто норовят вылететь из розеки. Их задевают и цепляют. У них нет в вилке заземляющего контакта. Ну и так далее. Поэтому лучше брать коммутатор со встроенным блоком питания. У него такой же шнур, как у стандартного кабеля питания, с заземляющим контактом, надежно фиксируется в розетке. Насчет управляемости — не вижу смысла брать управляемый для сети малого предприятия. Берите неуправляемые, они дешевле.

5. Ящики

Есть специальные ящики для установки коммутаторов. Разных размеров под разное количество мест. Очень удобные, с прозрачной дверцей, запирающейся на ключ. Посмотрите и купите то, что подойдет именно вам. Если нет денег на специальный ящик, купите любые другие подходящие под размер, в которых можно поставить коммутатор. Если нет денег совсем, то ставьте коммутатор за фальшь-потолком. В любом случае он должен быть надежно закреплен и доступ к нему должен быть ограничен.

6. Розетки

Ненавижу розетки. Вечно с ними какие то неприятности. Поэтому советовать не буду. Скажу лишь, что дешевая розетка — не лучший выбор. Хорошо, если жилы кабеля в розетке крепятся не зажимами, а затягиваются винтами. В остальном — выбирайте сами. Для тех, кто не видел как выглядит розетка вот вам фотка:

Толковая розетка
Картинка 3 из 620

Бестолковая розетка
Бестолковая розетка

 

Справедливости ради следует сказать, что розетка с винтами или шурупами относится к категории 3, это устаревшая категория и при монтаже 100 мб/с ЛВС применяются розетки, изображенные на 2 картинке. от себя замечу, что розетки 3 категории отлично работают в 100 мегабитной сети.

7. Обжимное устройство

Пофигу какое, лишь бы обжимало. Купите такое, чтобы могло обжимать 2 типа разъемов: RJ-45 под витую пару, и RJ-11 под телефонный разъем. Сгодится в хозяйстве.

Обжимное устройство
image-2

 

8. Тестеры

Подойдет любой мультиметр. Но продаются специальные тестеры для кабельной линии. Бывают дешевые и дорогие. Дешевый только прозванивает линию на предмет наличия и правильности соединений. Дорогие, именующиеся кабель-тестерами могут еще много чего. Дорогой нафиг не нужен, достаточно возможности прозвонки.

Планирование сети

Любая сеть состоит из вертикальной и горизонтальной подсистем. Горизонтальная подсистема обслуживает, как правило, один этаж здания. Вертикальная подсистема обслуживает межэтажные коммуникации. Средой для передачи данных будет являться медная витая пара 5 категории, признанный стандарт для построения сетей. Поскольку рассматривается предприятие небольшое, то и сеть будет небольшой, поэтому заморачиваться с другими средами передачи данных не имеет смысла за редким исключением, о котором я расскажу попозже. Итак, следует определиться с:

  1. Количество этажей
  2. Количество клиентов на каждом этаже.
  3. Протяженность каналов связи.

Расплетения и обжим кабеля нарушают его структуру, индуктивность и сопротивление, что снижает волновые характеристики кабеля. Это приводит к отражениям сигнала и создает в сети определенный помеховый шум. На скоростях в 10 мб/с он почти не мешает жить, а на скоростях 100 мб/с и более весьма затрудняет работу. Поэтому необходимо помнить, что максимальная длина канала связи на витой паре составляет 100 метров. Это значит, что максимальная протяженность одного кабеля, идущего от этажного коммутатора до клиента не должна быть более 100 метров. Таким образом диаметр сети с топологией звезда, центром которой является один коммутатор, составляет 200 метров. Если у вас протяженность каналов связи больше, — придется ставить несколько промежуточных коммутаторов.

Обычно все каналы связи горизонтальной подсистемы сводятся на один этажный коммутатор. Бывают ситуации, когда в каком либо отделе очень много рабочих мест. Для этого, чтобы не тянуть большое количество кабелей до клиентов, в таких отделах устанавливаются собственные хабы, связанные одним кабелем с этажным коммутатором.

Перед расчетом длины каналов связи необходимо просмотреть предположительную трассу прокладки, наметить места технологических отверстий в стенах, если таковых не предусмотрено, подумать как вы намереваетесь прокладывать кабели внутри помещений. Было бы неплохо иметь хотя бы примерную схему расстановки рабочих мест. И совсем отлично иметь такую схему, утвержденную руководством. Нужно определиться в каких местах будут стоять межэтажные коммутаторы. Здесь следует остановиться чуть подробнее. Я рекомендую ставить межэтажные коммутаторы в специальных ящиках, с прозрачной дверцей, но обязательно запирающейся на ключ. Все они должны быть надежно закреплены. О питании коммутирующих систем поговорим позже.

Протяженность сетки посчитали? Ну примерно? Считаем количество портов, занятых каналами связи. Не забудьте, что в любом коммутаторе должен быть резерв портов. Величину резерва все считают по разному, я лично предпочитаю оставлять избыточность от 30 до 50 процентов. То есть, если мне требуется 16 портов, я покупаю коммутатор на 24 порта. Это связано с тем, что неизвестно в какой момент времени вам понадобится увеличить число клиентов или перекинуть кабель со сгоревшего порта на живой. И не забудьте, что этажный коммутатор входит в вертикальную подсистему, то есть нужно иметь 2 порта как минимум для соединения с нижним и верхним горизонтальными уровнями. Подсчитав количество портов можно определиться где и какие коммутаторы будем устанавливать.

Далее вам понадобятся разъемы RJ-45. Нужно как минимум 2 разъема на каждый кабель. Или 3, если у вас будут стоять розетки. Не знаю кто как, а я их не считаю, просто покупаю сотню-другую, запас карман не тянет.

Что касается розеток. Розетки хороши, если вы планируете сделать скрытую проводку, заложенную в стенах. В других случаях ставить розетку я бы не советовал, так как это приводит к увеличению числа контактных переходов, а значит снижению надежности сети. С другой стороны, если вам неизвестно расположение компьютеров в помещениях, то розетки установить целесообразнее, а клиента подключить патч-кордом. Еще советую купить колпачки на разъемы. Это не просто декоративный элемент, как многие думают, они предохраняют кабели от вырывания и изломов на входе в коннектор.

Также нужно продумать как вы намереваетесь прокладывать кабели внутри помещений. Обычно кабели укладываются в плинтуса, внутри которых проходит кабельный канал. Если таковых в помещении не оказалось нужно будет закупить кабельных каналов и соответствующего крепежа.

Еще будет нужен инструмент для монтажа разъемов. Что то вроде вот такого:

image_2

Пишем правила для KWF

Меня часто достают вопросами про написание правил для Kerio Firewall. Ребята, все очень просто. Главное — понять принцип написания этих правил. Принцип очень простой:

  1. откуда
  2. куда
  3. по какому протоколу или порту
  4. разрешено или нет
  5. использовать NAT или нет
  6. в какое время верно

Откуда называется source. может принимать значения:

  1. host — ip адрес конкретного компьютера внутри сети
  2. ip range — диапазон ip адресов
  3. ip address group — адресная группа или группы, определенные вами при конфигурации
  4. network/mask — сеть и маска подсети, которой вы разрешаете проход в интернет
  5. network connected to interface — сеть, подключенная к интерфейсу с указанным именем. имена задаются на вкладке interfaces
  6. vpn — разрешает проход vpn-клиентам
  7. users — имя пользователя, задается на вкладке users
  8. firewall host — правило будет действительно только для компьютера, на котором установлен KWF

destination может принимать значение такие же, как source service — список сервисов, думаю там все просто и понятно action может принимать значения permit — разрешено, deny — запрещено, drop — сброшено NAT может принимать значения:

  1. no translation — не транслировать
  2. translate to ip address of outgoing interface — транслировать на исходящий интерфейс. По умолчанию — в интернет.
  3. translate to ip address of interface — транслировать адреса в адресное пространство заданного интерфейса
  4. translate to ip address — транслировать на заданный адрес

port mapping может иметь значения no translation — никак не транслировать, translate to — адрес или имя машины внутри сети, порт указывается, если нужно входящий запрос по определенному порту перебросить на порт машины с заданным адресом. временной интервал определяется на вкладке time intervals и является очень полезной функцией. Таким образом, если мы хотим разрешить, например, полный доступ из локальной сети к сети интернет всем юзерам по любому протоколу, то правило выглядит так:

source

destination

service

action

translation

valid on

локальная сеть

интернет

any

permit

nat

ваш интервал

Допустим, что мы хотим разрешить проход всем пользователям сети в интернет, но только по определенным протоколам, например http, icq, pop3, smtp тогда правило выглядит так:

source

destination

service

action

translation

valid on

локальная сеть

интернет

HTTP ICQ POP3 SMTP

permit

nat

ваш интервал

Если вы хотите, чтобы у вас не было в статистике неопознанного трафика (unrecognized users) то в поле source следует указать users, тогда только юзеры, авторизованные на файрволле, смогут проходить в интернет. Бывает, что нужно получить доступ из интернет к серверу SQL или WEB, расположенных на компьютере внутри локальной сети. Для этого нужно будет написать соответствующее правило. Для начала следует понять, что все запросы, приходящие на ваш внешний IP приходят к компьютеру, на котором установлен KWF, так как только он имеет внешний адрес, на который зарегистрирован домен. Рассмотрим ситуацию на примере моей конфигурации. На постоянный внешний IP адрес зарегистрировано имя notes.blogsite.org. Сервер, поддерживающий сайт физически, расположен внутри локальной сети и имеет адрес, например 192.168.1.2 Порт, по которому отвечает web сервер 8080. Любой запрос по адресу http://notes.blogsite.org будет приходить на файрволл, то бишь на firewall host, а оттуда он должен перенаправляться на локальную машину с адресом 192.168.1.2 на порт 8080. Правило для такого случая будет выглядеть так:

source

destination

service

action

translation

valid on

интернет

firewall host

HTTP

permit

map 192.168.1.2:8080

always

Правило сие, в переложении на русский язык, звучит так: перенаправить любой запрос из интернет по протоколу HTTP на компьютер с адресом 192.168.1.2 на порт 8080. В данном случае при указании преобразования адресов вам нужно выбрать translate to ip address и указать порт 8080. Как только вы нажмете кнопку apply ваш внутренний сервер будет виден снаружи. Аналогичным способом можно открыть любую машину по любому протоколу, будь то почтовый сервер, сервер баз данных, веб-сервер и т.д. Еще один любопытный момент. Допустим, вы разрешили проход из интренет к вашему серваку. но при обращении к доменному имени notes.blogsite.org вдруг получаете ответ "сервер не найден". Все правильно, файрволл не допускает таких вольностей. Чтобы получать доступ по доменному имени к внутренним серверам потребуется написать еще одно правило. И выглядеть оно будет так:

source

destination

service

action

translation

valid on

локальная сеть

notes.blogsite.org

HTTP

permit

NAT (подключение по локальной сети)
MAP 192.168.1.2:8080

always

То есть при создании правила трансляции вы используете translate to ip address of inteface: указываете имя интерфейса, к которому подключена локальная сеть и включаете портмаппинг на адрес вашего веб-сервера 192.168.1.2 и порт 8080. Жмите кнопку apply и наслаждайтесь, теперь ваш внутренний сервер доступен из локальной сети по доменному имени, в моем случае notes.blogsite.org Надеюсь, я доступно изложил порядок написания правил для KWF. Если у вас что то не получилось или что то не понятно — спрашивайте, отвечу.

Монтаж сети

Приступаем к монтажу

Итак, все куплено. Можно приступать к собственно монтажу ЛВС. О чем следует помнить при монтаже:

  1. Кабели должны быть уложены в лотки. Нет лотков — укладывайте прямо по потолку, только скрепите их пластиковыми стяжками. Желательно жгут кабелей закрепить на стене за фальшь-потолком. Если нет фальшь-потолка — крепите к стенам короба и укладывайте жгут в коробе. Короб лучше крепить вверху стены. Можно и понизу, но выше уровня "тряпка уборщицы". Если производится монтаж кабеля в каналы под скрытую проводку, то кабели должны быть уложены в пластиковую трубу.
  2. Кабели ЛВС должны проходить на расстоянии не менее 12 см. от силовых кабелей. Это могут быть кабели освещения, транзитные кабели, в общем любые параллельные, по которым проходит 220В.
  3. Любые повреждения изоляции кабеля не допускаются.
  4. Перекручивание, излом, узлы, следы на изоляции от ударов и грубых механических воздействий не допускаются. Лучше заменить кабель на этапе монтажа, чем потом искать его в жгуте.

Прежде, чем раскладывать кабели следует провести "черновую" работу. Заключается она в подготовке кабельной трассы. Нужно просверлить все необходимые отверстия, закрепить ящики под коммутаторы, подвести к ящикам коммутаторов линии питания. В отверстия в стенах нужно заложить вставки, чтобы при протяжке кабеля через эти отверстие не повредить изоляцию кабелей. Вставкой могут выступать куски пластиковой трубы нужного диаметра. Так же лучше сразу закрепить короба и розетки внутри помещений. На эту работу у вас уйдет как минимум один день на один этаж. И вам понадобится помощник, одному крайне неудобно лазать по стремянкам с перфоратором в руках, да и небезопасно.

После проведения работ по подготовке трассы установите коммутаторы в ящики. Перед установкой убедитесь в работоспособности каждого из них. Неплохо проверить работоспособность коммутатора и после монтажа в шкаф. Прецеденты бывали.

Далее приступайте к прокладке собственно кабелей. Делать это легко, просто и приятно, когда трасса подготовлена.

Кроссовер

Чтобы соединить в сеть 2 компьютера напрямую, без хаба, вам потребуется сделать кроссоверный или «перевернутый» кабель. Делается это так:

«Cross-over» («нуль-хабный») кабель

одна сторона

цвет провода

другая сторона

1

бело/оранж

3

2

оранжевый

6

3

бело/синий

1

6

синий

2

Для восьмипроводного кабеля (четыре пары):

«нуль-хабный» кабель

одна сторона

цвет провода

другая сторона

1

бело/зеленый

3

2

зеленый

6

3

бело/оранж

1

4

синий

4

5

бело/синий

5

6

оранжевый

2

7

бело/коричн.

7

8

коричневый

8

Ставим разъемы

Заделка кабелей

Наконец, кабели уложены, что дальше? А дальше начинается самое интересное. Нужно монтировать розетки и разъемы на кабели. Никаких сложностей в самой процедуре нет, надо лишь знать самое главное — как это производится. Начнем с монтажа разъемов RJ-45 на кабели. Стандарт определяет 2 способа монтажа. Выбор варианта заделки 568A или 568B зависит исключительно от принятого в вашей сети. Оба этих варианта эквивалентны, хотя в жизни чаще встречался мне лично второй вариант, 568B.

EIA/TIA-568A
одна сторона цвет провода другая сторона
1 белый зеленого 1
2 зеленый 2
3 белый оранжевого 3
4 синий 4
5 белый синего 5
6 оранжевый 6
7 белый коричневого 7
8 коричневый 8
EIA/TIA-568A  
EIA/TIA-568B, AT&T 258A
одна сторона цвет провода другая сторона
1 белый оранжевого 1
2 оранжевый 2
3 белый зеленого 3
4 синий 4
5 белый синего 5
6 зеленый 6
7 белый коричневого 7
8 коричневый 8
EIA/TIA-568B
1. Удалите внешнюю оболочку кабеля, на длину 12,5 мм (1/2 дюйма). В обжимном инструменте имеется специальный нож и ограничитель для этой операции.
Провода зачищать не надо
Расплетите кабель и расположите провода в соответствии с выбранной вами схемой заделки, причем длина расплетения не должна превышать 12,5 мм.
Поверните вилку контактами к себе, как на рисунке, и аккуратно надвиньте на кабель до упора , чтобы провода прошли под контактами.
Вилка, с кабелем внутри.
Обожмите вилку. На обжимном инструменте имеется специальное гнездо, в которое вставляется вилка с проводами. И нажатием на ручки инструмента, обжимается.
При этом контакты будут утоплены внутрь корпуса и прорежут изоляцию проводов. Фиксатор провода также должен быть утоплен в корпус.

Как так красиво заделать кабель? Берем обжимное устройство, видим на нем 2 ножа. Нижний нож предназначен для отрезания кабеля, верхний — для снятия изоляции. Верхний нож имеет ограничитель. Вставляем конец кабеля между лезвиями до ограничителя, сжимаем и поворачиваем кабель между ножами. Получится ровный кольцевой разрез. Затем просто вытаскиваем кабель, не разжимая лезвий. Конец кабеля будет очищен от внешней изоляции. Аккуратно расплетаем жилы, раскладываем их в нужном порядке, вставляем в разъем. Разъем помещаем в соотвествующий паз обжимного и нажимаем. Вот и все, собственно, разъем смонтирован. Обратите внимание, что очищать каждую жилу не нужно. При снятии общей изоляции следите за тем, чтобы не перерезать изоляцию жил. В общем, будьте разумны в поступках. Испортите несколько разъемов и научитесь.

При расплетении жилы кабеля часто не желают раскладываться в нужном порядке ровно, без перехлестов. В этом случае просто отрежьте кабель на пару сантиметров. Плетение имеет определенный шаг, и с приобретением опыта вы сможете достаточно точно сразу отрезать в нужном месте.

Монтаж розетки

С монтажом розеток все просто. Самое главное в любой розетке — это открыть крышку. Уж каких только ухищрений не делается производителями этих розеток. Всякий раз какие то новые защелки. В общем лучше купить сразу розеток из одной партии и одного типа. После того, как вы попали внутрь розетки вы увидите контакты. Все они обычно промаркированы цветом. Вам останется только вставить жилу в зажим такого же цвета, как она сама. Существует специальный инструмент для монтажа жил в зажимы розетки, я лично его никогда не видел и не использовал. Мне всегда хватало тупого ножа.

После того, как вы обжали и прозвонили все кабели, установили все розетки и закрыли короба — монтаж сети можно считать законченным. Включаем разъемы в коммутатор и сеть в принципе готова к использованию.