Блог об:
Информационных технологиях, информации, информатизации и защите информации.
Сетевое проектирование и коммутации телефонных линий.
Железо и тематические подборки для решения различных задач.
Программное обеспечение и операционные системы советы, где скачать.
Тематическая информация по безопасности и управления ИТ в целом.
Уважаемые читатели блога, теперь я сменил работу. И напрямую занимаюсь ИТ-интеграцией. Постараюсь и впредь, почаще обновлять статьи на блоге. А то забыл уже.
Добрый день. Рассмотренные в предыдущих статьях было описана подготовка платформы для последующей установки сервера виртуальных машин и станций, думаю будет полезно её прочитать для начинающих. А теперь всё таки ради чего задумывался данный проект. Собственно правила, и другие возможные описания по установки XenServer вы можете найти используя поисковую систему на ваш выбор. Мне же как доказательством интересен данный скрин:
Доказывающий что Xen нормально увидел наш массив из четырёх дисков. Теперь ещё один как проходила установка:
Спешу заметить что нужно обязательно перед установко зайти в БИОС и отконфигурировать загурзку, выставив загрузку с CD/DVD.
Итак в принципе если установка прошла успешно то можно начинать создавать Хосты и погрузиться полностью в этот мир «облаков»
Итак в предыдущей статье было рассмотрено относительно подробное подключение контроллера AST Adaptec 2405 на шину PCI-E бюджетной материнской платы. . Теперь я рассмотрю конфигурацию массива для нужд трудящихся:
1. Запускаем комп тыкаем вкл и ждём пока появится картинка:
2. Далее жмём один раз то что нас просят Ctrl+A после чего заходим в контроллер
3. Далее прежде чем конфигурировать массив данных нам бы необходимо его полностью отфарматировать, переходим в Disk Utilities
И нажимае форматировать, желательно предварительно посадить данную машину на УПС и спокойно начать пить кофе, потому как форматирование у меня заняло около 29—36 часов, а то и больше. Но вы можете пропустить данный шаг, и сразу перейти к режиму конфигурирования, возвращаемся в главное меню и заходим в Array Configuration Utility
Нас интересует меню Initialize Drives – меню инициализации дисков,
4. Теперь магическим нажатием клавиши Insert выбираем наши диски для подключения
Жмё Enter, у нас спросят о том что инициализация дисков приведёт к полному затиранию данных на них. Конечно ДА! И поехали дальше.
5. Заходим в меню Create Array и создаём массив, нас в данном случае интересует массив 1+0 или 0+1 или просто 10,
!!! теперь внимательно, главный показатель в данный момент при создании массива это величина блоков Stripe
Есть много стататей, и сравнений производительность дисковой подсистемы при различных показателях блока, но в нашем случае необходимо чтобы блок страйпа был 1мб, потому как диск последующей виртуальной машины храниться как один единый файл, поэтому индексация и обращение к нему будут неиболее в данном случае.
?? Как определить наилучшим образом параметр блока страйп в вашем случае, сделать сравнительный анализ длинны файла (сколько он весит) и взять среднюю величину для него. К примеру если у нас Файл сервер где хранятся только видео фрагменты и фильмы, нам подойдёт наибольший блок, если же документы Word или всякий хлам то наименьший. Если же всё сразу то средний. Мой совет если вы не знаете или не хотите копать глубже, тогда выберете значение по умолчанию 256 Кб.
Дальше немного назад, название массива или лэйбэл который будет присвоен и виден в дальнейшем при установке. По вкусу!
Собственно сам контроллер из-за которого пришлось пойти на такие манипуляции.
Теперь фотка массива из 4 жёстких дисков SATA.
И теперь жемчужина нашей коллекции вид сверху нашего будущего сервера для виртуализации!
В данный момент идёт конфигурация массива и форматирование винтов, как доказательство работы всего этого железа я приведу ещё одну фотографию с монитора
Теперь только осталось ждать, пока закончаться операции форматирования. А пока в этом месяце я подготовлю статью о релизации проекта по видеонаблюдению.
Привет! Прошёл год с того времени когда я писал последнюю статью, признаюсь честно забросил. Причин для этого было, отчасти куча работы по разработке и другой всякой ереси которая происходила в жизни. Ну да ладно.
Итак Поехали!
Немного как обычно предыстории, в своё время при ожесточённых спорах была с боем отбита тачка с хорошим железом для не понятных целей, в связи с тем что на ней висели PCD/BDC (контроллер домена и резервный контроллер домена), всё бы ничего но вот реализация как обычно у данного человека страдала: поставив Windows 2k3 поднял VMW2,0 и на них поднял уже всё это добро. Конечно так можно, но это глупо и не надёжно. Учитывая некоторые знания и знакомых я нашёл более оптимальное решение для данной задачи, а именно Citrix Xen — сервер для виртуальных станций обладающих уникальным свойством паравиртуализацией (Паравиртуализация). Теперь более подробно.
ОС — Citrix Xen Server 5,6, массив данных из 4х дисков по 250 ГБ (WD250GB8MB) итого 500Гб, контроллер обязательно Adaptec 2405 (*), !!!процессор обязательно поддерживающий технологию AMD-V или Intel VT!!! - можно и без, но тогда вы не сможете поднять на данной платформе хосты с ОС Windows, поэтому обязательно будьте внимательнее. ОЗУ — по вкусу и цвету, лучше больше если хотите нагрузить сервак! * - не спорю что, есть возможность поднять массив данных черех фейк рейд для Xen, но как я не старался, у меня не получилось, поэтому я предпочёл пойти путём создания с помощью контроллера Adaptec. Так надёжнее и массив более правильный.
Главной особенностью всего этого проекта то, что контроллер работает на шине PCI-E, что уже по сути противоречит некоторым вендорам (которых я не долюбливаю) типа HP и другие, но всё же. Спасибо огромное Дмитрию Зотову (инженер Adaptec) который развеял мои сомнения насчёт возможных проблем связанных с реализацией и подключение контроллера.
Теперь собственно реализация.
Для начала решим первую проблему к которой нужно подойти с максимальной внимательностью, а именно охлаждение контроллера Adaptec 2405. Учитывая рабочую температуру, от 0 до 55 С желательно, в корпус необходимо было добавить дополнительный вентилятор. Конечно же нужно не забыть про жёсткие диски, которые в свою очередь тоже нагреваются.
Для этого пришлось немного проявить смекалку, и умение 5 класса урока труда при работе с дрелью. Добив крышку корпуса 140 мм вентилятором, можно теперь уже не беспокоится о перегреве нашего контроллера, при этом вентилятор направлен на выдув, а не на обдув. Как лучше в данном случае это покажет практика и аптайм.
Я занимаюсь системным администрированием, внедрением интересных ИТ решений, и прокладкой кабелей и т.д. Как не трудно догадаться из названия блога. Но всё же я много что говорил показывал, и пытался объяснить. Теперь с учётом времени могу и показать. * я понимаю не по теме блога, но это небольшое отступление.
Итак. Сегодня мы поговорим об СКС, а точнее о её разновидности ИКС, кто не знает разницы, поясню: СКС — структурированная кабельная система (только для чего не понятно, в России стандартов СКС нету, всё на европейский манер), т.е. система кабелей упорядоченная по номерам или литерам, сложенная в короба или решётки, и в дальнейшем претендующая на гарантию 10—20 лет и спец сертификат. ИКС — индивидуальная кабельная система, всё что сделано тяп-ляп, на скорую руку, всё что валяется и висит, тягается по полу и успешно выдирается стульями, в общем всё на то что НАЧАЛЬСТВО даёт денег. В общем на 70% того что творится у каждого админа. Хотя может у меня одного такого проблемы…
Итак представляю на суд ваш, плоды своей работы:
Как вы видите слева «тупой» свитч DES-1016 от компании D-Link, справа телефонная коробка с двумя колодками на комнату. Так же собственно комната :
Как и полагется ,по евро стандарту, на 9 кв.м. площади занимаемой сотрудником, одна сетевая, одна-две телефонных розетки. Ну чем не СКС… но всё же это ИКС.
Итак прошу прощения за столь долгое отсутствие в блоге, причины семейные, ну да ладно. Вообще в этом и в следующем месяце я расскажу моим читателям про:
1. СКС от проектирования малых офисов до запуска под ключ, думаю всем интересна данная тематика. 2. Установка, программирование и настройка АТС LG Aria Soho. 3. Продолжу статью про внедрение шлюза для SOHO сетей. 4. Рассмотрю VOIP оборудование для домашних пользователей и крупных предприятий. 5. Рубрика хэндмэйд, поделюсь фотками и интересными фитчами для реализации определённого рода задач.
Постараюсь выкладывать материал по мере поступления, и теперь самое интересное — я выложу фото всех своих решений.
P.S. Приму заказы для реализации интересных решений для ИТ по Ростову, Ростовской обл.
Открываю завесу, где нашёл первоисточник не помню, половину манов перерыл по самбе. Выкладываю те дополнительные параметры которые нужно прописать через WEB GUI на FreeNAS, почему через него, потому что если вы пропишите руками через ssh/консоль тогда в следующий раз когда вам захочется добить новую директорию или отредактировать старую конфиг самбы поменяется и изменения внесённые руками похерятся.
read list = "@yourdamain\user(group)», «any another» - кому можно читать директорию @yourdamain\user(group) - конструкция вроде понятная, any another — кто либо другой через запятую в ковычках. write list = "@yourdamain\user(group)», «any another» - список кому можно записывать. admin users = "@yourdamain\user(group)», «any another» кому можно всё! create mask = 0660 — маска создаваемых файлов directory mask = 0770 — директорий inherit acls = yes — использовать acl map acl inherit = yes — мапить его на FreeNAS (дословно сам источник где я нашёл это не перевёл)
С данными параметрами работает на ура. Даже в меню безопасность есть возможность добавления пользователей и назначения прав. Но только есть небольшие проблемы, нужно обязательно выставить права на директории ,которые будут в дальнейшем использоваться для сетевых дисков (читаем как создавать в блоге есть), руками через редактор файлов, или же через консоль.
К чему были эти две предыдущие статьи про шлюз? Отвечаю. Для того чтобы уяснилось понятие — «Что такое шлюз». Многие из друзей спрашивают: - Шлюз это прокси? …нет.
Шлюз это совокупность программно-аппаратных сервисов, позволяющих обеспечить общий контролируемый и безопасный доступ к внешним ресурсам сети. Под этими ресурсами можно понимать, как папки с данными, так и отдельные публикуемые приложения. Ну думаю с «help»`ом понятно, если нет гугл в зубы и серфить, а я продолжу.
Итак, следующим думаю базовым понятием чтобы уяснить как происходит обмен в сети, стоит прочитать о так называемом «тройственном» рукопожатии. т.е. Когда любое приложение обращается по сети к какому либо узлу, предварительно идёт широковещательный запрос (если узел внутренний) или запрос DNS (если внешний) вкратце это приблизительно так, не буду вдаваться в подробности, это можно отследить используя утилиты сети, такие как Wireshark+Winpcap. Далее, идёт запрос на соединение с флагом ^SYN^ (хочу соединится, образно выражаясь), в ответ приходит* обратный запрос ^SYN^ (одобряю), далее от узла с которым инициировано соединение приходи ^SYN+ACK^ (соединяемся). После уже идёт передача различных данных таких, как список директорий удалённой папки (к примеру). Выше описанное нам поможет в дальнейшем строить правила блокировки для различных узлов в сети. Лог WireShark соединяюсь с внутренним хостом SMB. 34 3,166337 10.0.0.95 10.0.0.7 TCP 4576 > microsoft-ds [SYN] Seq=0 Win=65535 Len=0 MSS=1460 35 3,166409 10.0.0.95 10.0.0.7 TCP 4578 > netbios-ssn [SYN] Seq=0 Win=65535 Len=0 MSS=1460 36 3,167101 10.0.0.7 10.0.0.95 TCP microsoft-ds > 4576 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460
Теперь ещё одна мелочь, но не маловажная. Порты. К дополнению правила «тройственного» рукопожатия порты накладывают свой отпечаток, а именно, если разбирать соединение с интернетом флаги установки соединения остаются те же, но теперь после «рукопожатия», Windows* «берёт» любой свободный, не занятый порт системой, и открывает по нему соединение на 80 порт, куда был получен запрос из строки браузера, после чего начинается передача, сопоставление тегов iexplorer`а и т.д. Таким образом, немного начинаешь понимать эталонную модель OSI.
Учитывая стандартную настройку всех шлюзов обладающих Firewall`ом, политика их такова, что любое соединение из вне блокируется по умолчанию, если нету в таблице правил условия для этого соединения. < - ЭТО надо учитывать. Тем самым если только вы не начали соединение, к вам ничего попасть не может. Я исключаю сейчас ситуации взлома и DDOS атак.
Далее…
Состав нашего шлюза:
1. Сервис контроля и блокировки контента (proxy) 2. Сервис блокировки внутреннего и внешнего трафика (FireWall) 3. Сервис для организации распределённых сетей (VPN) 4. Сервис публикации внешних и внутренних портов (PNAT-PAT) 5. Сервис блокировки заведомо опасных DNS зон (Black DNS)
Не для кого не секрет что приведённый выше перечень является стандартной задачей шлюза начального уровня. Теперь думаю стоит выбрать на чём мы будем делать сие решение. Сразу хочу огорчить, я не буду описывать как делать на чистой FreeBSD, но… если вчитаться и понять для чего я выбрал сей путь, станет понятным смысл данной статьи.
Для реализации я взял готовый клон FreeBSD заточенный умельцами для данных целей, он называется PFSense (клон Monowall, а точнее дочка). Форум и полезную информацию по тонким настройкам можно найти по адрему pfsense.com, там даже есть русский раздел, где можно смело задать вопрос связанный либо с вашей проблемой, либо поделится знаниями. Так вот. Описанной ниже конфигурации железа с лихвой хватит для реализации наших задач: 1. Проц+М\п Intel Atom 2. ОЗУ 2 Гб ДДР2. 3. Flash накопитель на 1Гб или более. 4. 2 сетевые карты, одна уже идёт с М\п. 5. Корпус по вкусу)))
Никто не запрещает использовать для реализации более старое железо и наоборот, второй мой шлюз будет на дисках модели Raptor для кэширования запросов генерируемых squid прокси.
Сборка и установка проста до невозможности, качаем ISO образ отсюда () выбрав меня Download и обязательно сконфигурированную версию под семейство именно тех процов на которых вы собираетесь её запускать. В противном случае возникнут проблемы…И ещё небольшой совет, при выборе М\п и клонировании описанного мною решения, убедитесь что М\п поддерживает загрузку с Flash носителя.
По установки, проблем возникнуть не должно, выбрав в меню пункт 99, система установится на носитель. И в дальнейшем будет запускаться от туда.
*Совет, для надёжности лучше WAN интерфейс использовать внешний сетевой интерфейс, а не впаянный в М\П, реже выходят из строя.
Далее идёт процесс конфигурации нашего шлюза. Вопросы настройки, прокидки портов, установки squid я опишу позже. Как только шлюз достигнет места X, и я его включу в сеть, дабы наглядно показать какие могут возникнуть ошибки при первом рассмотрении. Но если пошариться по форуму PFsense можно это сделать самостоятельно. Поэтому до новых встреч.
Напомню чтобы вызвать меню групповой политики, нужно, вызвать из «Пуска» меню выполнить и написать gpedit.msc. Но как её убить если ты настроил таким путём что даже локальный пользователь с правами «Администратор» не может практически ничего сделать…
Я тоже долго маялся с этим, решил настроить, и настроил. Сделав ошибку в нескольких строчках, я не смог в дальнейшем эксплуатировать сервак. Но…удалять вам никто не запрещал. Поэтому шагаем C:\Windows\system32\GroupPolicy и трём все файлы которые там находятся, после чего победный ребут. И заново настраиваем.
Способ конечно корявый, но другой возможности оградить себя от паранойи я не нашёл.
И проблем при использовании не возникнет. Шагом первым вам нужно взять «Лицензионный диск Win2k3» и просто его «отграбить» (сделать ISO образ) или скопировать в папку (распаковать WinRar`ом), и после указать путь для nLite где лежит данный дистрибутив. Он уже сам определил что за версия ОС, какой сервис пак, и версию. Вообще если честно, данной утилитой можно много что приятного сделать, например напрочь стереть ненавистный iExplore из Win2k3, но это тема другой статьи. Поэтому продолжим. Следующем приглашение nLite попросит вам загрузить «его» предыдущие настройки, которые возможно вы сохранили. Давим «Next». Вот: Ради чего вообще стоило так долго рыскать в поисках сия чуда!!! Теперь всё в ваших руках, берём внедряем драйвера нашего контроллера, которые мы с радостью скопировали где нибудь с дискеты (которая идёт с М\п). И идём дальше. «Он» произведёт изменение той папки ОС которую вы указали вначале, с учётом ваших изменений и сохранит, выведя отчёт об изменение (МБ).… Создаём из папки образ включая последнюю опцию в nLite (в меню выбора изменений) и потом благополучно «прожигаем» его на подготовленную болванку. !!!Желательно RW!!! вдруг вы сделали что либо не правильно. А лучше иметь при себе WMWare и спокойно оттестить полученный ISO образ на виртуалке. У меня например с первого раза не заработала пришлось выкинуть болванку. Удачи.
Я пошёл играться с nLite, потому как интересная вещь.
Доброго времени суток. Я позже продолжу статью про шлюзы, как будет время. Долго не радовал новостями, отдыхал. Вот столкнулся с задачей…создать сервер терминалов для обособленного подразделения предприятия. Которое должно работать независимо от погоды, света, и многих других негативных факторов. Теперь ближе к делу.
Т. З. Создать сервер терминалов для группы 10—15 человек для работы с офисными приложениями, 1С, и электронной отчётностью. А так же обеспечить сохранность данных.
Ну в принципе как обычно, стандартная задача для рядового админа на небольшом предприятии. С чего начать. Я думаю как всегда с плана:
1. Железо которое потребуется. 2. Установка и настройка ОС 3. Установка и настройка приложений 4. Настройка систем резервного копирования 5. Ввод в строй и тестирование 6. Заключение
1. Железо
При выборе железа стоит учесть факторы того, что у вас будут одновременно работать более 5 человек на ПК, то есть нагрузка на винчестеры, а именно беспорядочные обращения к данным будут обыденным случаем. В наилучшем случае можно собрать ПК за 50 т.р. на базе 4х ядерного Core5 и контроллера Adaptec 3405 с SAS винтами в RAID10, но мне порезали бюджет, так что поэтому моя модель не сильно идеальная.
Вот моё железо на котором буду я это дело собирать. Учитывая то что винты у меня уже есть, а именно Raptor 36 Gb.
3*Вентилятора 80 в корпус Корпус минимум на 5 дисков *два верхних пункта оставляю на ваше усмотрение потому как не вижу разницы, главное чтобы холодно было. М\п S-775 Intel BLKDQ45CB (с Raid контроллером на борту, + 5 SATA2 сосков) Процессор Intel Core2 Quad Q8300 2,5 ОЗУ DIMM DDR2 800 Mhz 2gb*2 Kingston Cl6
Вот приблизительная полная конфа моей железяки. Я не беру в расчёт 4 винта Raptor 36Gb, правда проблема вылезла сама собой когда, как оказалось у меня их только 3 и один умер, плохо. Ну не буду останавливаться.
Первая проблема с которой все столкнутся если в дальнейшем будут собирать ПК с поддержкой Raid массива на базе Intel, это при установки будет «синий экран смерти», проблема возникает сама собой. Причиной сие проблемы является невозможность опознать область логического диска который вы сформировали на контроллере Intel. Вот что пишет «САМ» Intel по этому поводу () думаю проблема бы иссякла сама собой, если бы у вас был бы Flop`ик….мда…минус, выбранная мною материнка не поддерживает Flopy, точнее она может, но инженеры Intel решили не тулить туда сей старый интерфейс. Да и не проблема найти переходник на SATA. Но у меня его как раз и нет. Что же делать?
Советую не паниковать, а открыть любой поисковик и найти программу nLite которая может внедрить данный драйвер в установочную версию Win2k3, хотя это и незаконно, но другой возможности я не вижу.
Составляем план по которому будем дальше двигаться от простого, к сложному.
1. Обзор 2. Выбор оптимального решения 3. Закупка и проектирование железа 4. Установка и настройка 5. Ввод в строй, подводные камни 6. Заключение
1. Обзор.
Не для кого не секрет что многие интеграторы борются за данный сегмент рынка, D-link и Cisco, хотя первый уступает на порядок, я не выбрал не одно из представленных ими решений. Почему, ну главные плюсы Cisco устойчивость, минусы цена. Что касается D-link то цена и качества приемлемы только для SOHO сетей, но меня они не устраивают. Ведь по сути что такое шлюз, как говорит нам вики : Сетевой шлюз — аппаратный маршрутизатор (англ. gateway) или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной). (). То есть, это железка в которую забит программный код, который что то делает, что читай выше. Подходя к данному вопросу с нескольких сторон можно выделить параметры которые в дальнейшем будут критичными для нормальной работы сие творения.
Итак параметры которые я думаю стоит учесть при проектировании: 1. Пропускную способность канала 2. Сетевые сервисы которые будет использовать наша сеть 3. Удалённые подключения из вне 4. Безопасность ПО, и его стоимость 5. Гибкая настройка и восстановление
Вот те особенности которые стоит учесть, теперь немного капнём глубже в железо. Что будет делать шлюз? - Обрабатывать сетевые запросы, то есть, работать на 2—5 уровнях модели OSI, а то и на всех 7, но последние стоят не дёшево, хотя…
Выше приведённая схема отображает соединение сетевых интерфейсов, и материнской платы в целом.
Для работу шлюза нам может потребоваться две сетевые карты, учитывая то, что один сетевой кабель приходит от провайдера, другой же, воткнут в коммутатор (неуправляемый). Учтите что для реализации данной схемы вам нужно чтобы ADSL модем (если таковой есть) работал в режиме бриджа, то есть по дефолту.
Схема работы приведена ниже, так же прошу прощения что забегая вперёд, на ней же изображена топология сети которую я буду реализовывать.
Т. О. Наш шлюз будет являться некой стеной между нашей сетью, и глобальной паутиной.
Немного предыстории: Банальна, но всё же. Побывав недавно не семинаре организованном клубом ИТ директоров Юга России, я сидя и наслаждаясь докладами услышал разговор двух человек, на вид они были старше меня на 2 года, мне 23. - Что поднял usergate? - Да. - Работает щас ковыряю.
Меня немного затронуло банальное до ужаса рассуждение народа из южной столицы, поэтому я обернулся и сказал, не проще поднять по быстрому Ubuntu server и поставить squid и срастить с squidGuard`ом, на что получил ответ, ну……и т.д.
Зная что есть такая вещь как — wmware, и на ней можно можно тестировать различные интересные решения, я в своё время просидел в «виртуальной реальности» и собирал неосязаемое железо. Зная *nix особенно стандартную команду apt-get update/install. И посерфить в интернете можно найти кучу статей о том как собирать squid/squidG/havp и многое другое. Не понимаю за что им начальство платит деньги….
Ну да ладно. В следующих частях речь пойдёт как собрать относительно недорогой шлюз с возможностями блокирования трафика, запросов, и файлов.
Начну с самого простого.
Итак.
Т. З. Обеспечить общий доступ к сети интеренет. Обеспечить доступ в частной сети по протоколу VPN. Обеспечить контроль, блокировку, доступ к ресурсам как глобальной сети, так и внутренней. Обеспечить внутреннюю и внешнюю безопасность сети.
Давайте выберем сеть и вспомним что у нас за сети есть, и вообще какие можно применять.
Согласно RFC1918 перевод можно найти здесь ()служба распределения номеров IANA (Internet Assigned Numbers Authority) зарезервировала для частных сетей три блока адресов: 10.0.0.0 — 10.255.255.255 (префикс 10/8) 172.16.0.0 — 172.31.255.255 (префикс 172,16/12) 192.168.0.0 — 192.168.255.255 (префикс 192,168/16)
Тем самым мы можем взять наиболее больший диапазон адресов,про запас, вдруг наше небольшое предприятие разрастется, первый 10.0.0.0. Чем он удобен (просьба без холивара потому что лично моё мнение) быстро набирается, можно разделять по сетям в плане регионов (10.0.77.1 — 77 Москва). Да и запутаться сложнее. Поэтому я выбрал для построения небольшой сети указанный выше адрес.
Дальше, у меня всего в подчинение в данном месте 5 компов, и может быть пару принтеров сетевых и «файлопомойка». Поэтому я выбираю маску 240, то есть на 14 хостов в сети. Какие маски и как их определять можно найти здесь (). Что получается: Address: 10.0.77.1 Шлюз Netmask: 255.255.255.240 Network: 10.0.77.0 Адрес сети HostMin: 10.0.77.1 Первый хост в сети HostMax: 10.0.77.14 Максимальный хост Broadcast: 10.0.77.15 Широковещательный запрос
Т. О. Arp запросы будут ходить на 14 адресов. Сеть можно сразу узнать по префиксу.
Итак подведём итоги, мы познакомились с адресацией в частных сетях, немного о маске сети, выбрали сеть и адрес шлюза. Далее в статьях я подробно рассмотрю Т. З.
Финальный прогон и завершение ТЗ + Отчёт. Заключительная часть. Итак было ТЗ, ниже.
Т. З. Создать защищённый файл сервер для нужд отдельных подразделений предприятия с возможностью авторизации и правами. Обеспечить сохранность и безопасность данных используя устойчивую ОС. Настроить резервное копирование.о Был выбран план реализации.
Выбор конфигурации мат. части (железо для серва)
Выбор ОС для реализации.
Установка и настройка.
Тестовая перезагрузка и время работы.
Финальный прогон и завершение тз.
Отчёт.
Было выбрано железо:
Блок питания и остальное железо ниже в таблице. Так же указана стоимость на 21.10.2009 Блок питания ATX 350W — 650 Мат/плата sAM2 nf630 — 1364 процессор s-AM2 Amd sepron 2800 — 1000 ОЗУ DDR2 2GB PC6400 — 1430 Корпус и куллер по вкусу. итого 4930 руб. + Винты по 2300 каждый итого к бюджет 9600 руб на 21.10.2009
Был реализован дисковый массив RAID1 (mirror)
Связка с учётными записями домена Windows работает (часть 2+3)
Я опустил настройку правил FireWall`а специально потому что как раз над ними работаю, вычисляю порты по которым идёт обращение как к модулям smb, так и к остальным. А точнее уже закончил. Главной интересной особенностью данного решения это безопасность на нескольких уровнях:
Физическом (доступ к носителям возможен только при вскрытии корпуса, поэтому можно использовать корпуса с замком)
На сетевом уровне модели OSI (путём правил FireWall и авторизации в домене, либо же локальными учётными записями)
Программном (модуль CIFS/SMB поддерживает «корзину» - для мусора и удалённых файлов, а так же различные правила rwx)
Гибкость (для реализации я не зря выбрал флэш носитель, и ОС, при использовании на совершенно разной конфигурации железа — эффект один и тот же, система быстро стартует и работает практически без драйверов)
Безопасность (встроенная утилита UPS — поможет выключить дисковый массив и сервер в целом, когда выключат электропитание)
Скорость (в зависимости от винтов, в моём случае, скорость достигала до 190—230 Мб/с при записи больших файлов, и 120—140 при обмене мелкими)
Т. О. Техническое задание было выполнено на 100%, бюджет составил около 10000 руб, аналогичные решения присутствуют на рынке, но дорогие.
Спасибо. Следующей темой для обсуждения будет сеть, и шлюзы.
Затянул немного с продолжением. Сори работы очень много, сейчас надо еще сеть всю перестроить. Тестовая перезагрузка и время работы.
Финальным доказательством и тестом покажу несколько тематических скринов. Так сказать пруф:
На рисунке «красным квадратом» помечено, далее сверху вниз, ОС FreeBSD, время непрерывной работы, и дисковый массив который в данный момент уже забит на половину.
Теперь скрин с AD.
Так же описываю маркеры: Вкладка домен, успешная авторизация в домене (я специально затёр имя домена), пользователи которых он подхватил; и это далеко не конец списка.
И теперь самое думаю интересное
Как вы видете есть определённая директория, в которой в меню безопасность присутствует как пользователи домена, так и пользователи Unix. Пользователи домена при создании папки в праве раздавать права сами на директорию, это уже зависит от первоначальных настроек SMB модуля.
* Интересное замечание, почему так мало скринов, видео покажи с авторизацией, не могу ребят, я признаюсь честно, не умею видео писать с экрана, хотя Fraps должен помочь. Думаю стоит просто поверить наслово и копать в направлении реализации.
Приступим наверно к самому интересному разделу. Итак для установки нам понадобится дистрибутив FreeNas () версии 0.69.2 желательно img образ для дальнейшего импортирования на флэш диск. Конечно можно прибегнуть к различным конфигурациям и манипуляциям установки, к примеру: скачав образ в формате ISO записать на диск и в дальнейшем использовать схему — CD Flash для записей конфига, либо CD 3HDD (где 3й диск малого объёма) и установку произвести на физический диск. Но я выбрал другую конфигурацию.
Описывать как установить FreeNAS я не буду, поделюсь ссылками.
1. Установка FreeNAS на флэшку — 2. Установка FreeNAS на HDD
Для всех есть полное описание всех функций и установок FreeNAS ,686
По данным ссылкам есть полное руководство как устанавливать, я его полностью придерживался, исключая некоторые внутренние настройки типа FTP/SMART/SMB, именно о них я и расскажу более подробно.
SMB ввод в AD и обратно.
Для ввода в домен вам понадобится права администратора домена. Далее немного пошаманить с самими настройками домена. Что именно расскажу дальше по статье.
Итак идём в меню CIFS/SMB начинаем настройку файловой области нашего сервера. Аутентификация ставим — Домен Netbios имя — по вкуссу Рабочая группа* - имя домена Кодовая страница DOS — CF850 Локальный основной…. — нет Сервер времени — нет WINS — поле пустое
Вторая часть данной настроки ниже
Далее, идем по меню в раздел дополнительно — файловый менеджер и запускаем. Теперь нужно будет дописать для наших общих ресурсов дирекотории в которые в дальнейшем будут писаться файлы. Путь для создания директорий mnt >имя образа(смонтированного массива) >… Сдесь можете создавать кучу директорий, не забывайте выдавать права 777 для всех директорий, позднее объесню почему.
Теперь следующее переходим обратно в раздел CIFS/SMB закладка «Общие ресурсы». Создаём общий ресурс дописывая путь к той директории которую создали выше с некоторыми настройками.
Далее в поле дополнительные настройки обязательно указываем параметры для smb. Какие именно я заведомо указывать не буду хотя очень хочеться поделиться ноу-хау. Думаю для админов не составит труда понять о чём я говорю. Для домашних же пользователей есть статьи с более простым описанием поднятия помойки.
Дальше идем в раздел Доступ-Служба коталогов AD И прописываем все данные, но обязательно поле Доменное имя пишите адрес контроллера домена.
Итак машина уже в домене и есть авторизация через AD. Далее разбиваем таким же образом директории и создаём правила для оных. Руководствуясь группами и пользователями.
Другие службы думаю более подробного описания не нуждаются укажу лишь следующее, при создании бэкапа обязательно создайте отдельного пользователя и выдайте ему права, именно на данный сервис, только тогда у вас получиться удалённо записывать данные.
Добрый день мой читатель ты посетил мой блог, уже приятно. Итак думаю начну по порядку.
Т. З.Создать защищённый файл сервер для нужд отдельных подразделений предприятия с возможностью авторизации и правами. Обеспечить сохранность и безопасность данных используя устойчивую ОС. Настроить резервное копирование.
Задача одна не из легких, для выполнения нужно первым делом разбить ТЗ на некоторые подзадачи и дальше по плану его выполнять.
Выбор конфигурации мат. части (железо для серва)
Выбор ОС для реализации.
Установка и настройка.
Тестовая перезагрузка и время работы.
Финальный прогон и завершение тз.
Отчёт.
Выбор железа.
Итак. Проанализировав некоторые предложения и бюджет проекта можно для себя сделать пометки. Информация которая будет храниться и использоваться на данном файл-сервере в основном текстовая, макеты, картинки, сканы, и софт для меня. То есть нам не нужно придумывать и тратиться на корзину на 16 слотов с САС винтами, а нам лишь необходимо два относительно недорогих SATA2 винта. Для этого я взял WD7200 на 750 Gb каждый, итого 2. Конечно для устоичивости их бы в RAID, но не буду забегать вперёд.
Блок питания и остальное железо ниже в таблице. Так же указана стоимость на 21.10.2009 Блок питания ATX 350W — 650 Мат/плата sAM2 nf630 — 1364 процессор s-AM2 Amd sepron 2800 — 1000 ОЗУ DDR2 2GB PC6400 — 1430 Корпус и куллер по вкусу. итого 4930 руб. + Винты по 2300 каждый итого к бюджет 9600 руб на 21.10.2009 Почему взял процессор AMD не Intel, из соображений только лишь стоимости, по характеристикам и производительности первый уступает, но у меня не те задачи чтобы делать упор на проц. Насчёт ОЗУ в моём случае я бы посоветовал две планки по 1Гб так же из той же серии. По причине устойчивой работы, к примеру, одна из них выходит из строя серв продолжает работать независимо от этого. В моём случаем не было две по 1Гб, но я их уже заказал и жду.
Выбор операционной системы
Тут думаю все начнут кричать и холиварить насчёт оных. Тем более мне как специалисту по защите информации не безразличен мой проект, и я основываясь на критерии сделал выбор в пользу FreeNAS (). Почему, критерии: целостотность, доступность, безопасность. Из целостности — решение умещается на USB носитель и по возможности прячется в корпус системного блока, соответственно блок опечатывается. Доступность — человек (который имеет доступ) может восстановить систему, или дописать в неё некоторые настройки, применив web-интерфейс. Безопасность — применив различные уровни защиты встроенные в данном дистрибутиве, а именно FireWall, авторизация по паролю в WebGUI, и физический доступ к самой консоли, мы получаем довольно пластичное решение удовлетворяющее нашим требованиям. Да и кстати авторизация и доступ к файлам на доменном уровне (пользователя, групп).
Версия FreeNAS 0.69.2 Muad'Dib (revision 4700) Cборка от Thu Jun 11 00:06:51 UTC 2009. Единственная версия которую я заставил нормально работать и срастил с AD. Под нормальной работой я понимаю различные внутренние интеграции как в сам дистрибутив, так и внешние в целом. Функции которыми обладает данный дистрибутив можно посмотреть в поисковиках я лишь приведу некоторые. Сразу же дам ответ на интересующий вопрос, почему не более поздние или ранние. Я испробовал все возможные способы интеграции с AD, а так же авторизацию с последней. Седьмая версия напичкана многими бесполезными модулями, а если лишний раз нагружать систему всяким хламом, путного ничего из этого не выйдет.
Итак функции которые мне понадобились: SSH — для удалённого администрирования. SMB — сам файл сервер для хранения. FTP — для удалённого бэкапа. Firewall — контроль и блокирование внешних ресурсов. Rsync — для бэкапа файлов инкрементально + утилита для пользователей WinX
При выборе дистрибутива и железа убедительная просьба заглянуть по ссылке ;— список совместимости дистрибутива.
sys-admin