Т.М.Казбекова

преподаватель кафедры

Военно-инженерного института радиоэлектроники и связи

г. Алматы, Республика Казахстан

АДМИНИСТРИРОВАНИЕ КОМПЬЮТЕРНЫХ СЕТЕЙ

В

основном

речь

пойдет

об

администрировании

компьютеров

до

загрузки операционной системы. Когда количество компьютеров невелико, на

поддержку их работоспособности не требуется много человеческих ресурсов.

С

расширением

парка

компьютеров,

их

обслуживание

становится

более

затратным. В моем случае, организация обладает около 100 компьютеров.

Переустановка операционных систем, восстановление образов операционных

систем

занимает

много

времени.

Мне

приходилось

обслуживать

каждую

единицу

техники

отдельно.

Поэтому,

встала

задача

разработать

систему,

которая упростит жизнь администратора и увеличит количество свободного

времени,

которое

можно

потрать

на

более

интересные

вещи.

Существует множество софта, который умеет делать подобные вещи, тем не

менее, каждый из них обладает недостатками, которые я постарался убрать и

разработать

такую

систему,

которая

удовлетворяет

моим

требованиям.

Что для этого нужно?

Клиентская

машина

должна

обладать

сетевой

картой,

которая

поддерживает стандарт PXE (есть практически в каждой сетевой карте). Не

буду описывать принцип работы данного стандарта, в интернете есть много

информации для ознакомления. Скажу лишь, что он позволяет загружать

файлы по сети. Ну и в BIOS нужно включить загрузку по сети. Настройка

клиентской части на этом закончена.

Успешный бизнес сегодня невозможен без использования функционала

компьютерных сетей, и именно администрированию компьютерных сетей

отводится

важное

место

в

работе

любой

компании

или

предприятия.

В

современных

условиях

стало

недостаточно

иметь

постоянный

доступ

в

Интернет

и

непрерывный

обмен

информацией

между

отдельными

структурами

или

отделами

компании,

важно

быть

уверенным

в

конфиденциальности информации. Компьютерные сети позволяют экономить

время и ресурсы, избавляют от бумажной волокиты и являются современным

способом совершенствования любого бизнеса.

Что такое администрирование сетей?

Если

компьютерные

сети

являются

способом

развития

бизнеса,

то

администрирование

компьютерных

сетей

–

процесс,

обеспечивающий

поддержание

сетей

в

работо спо собном

со стоянии.

В

р а м ка х

администрирования компьютерных сетей решаются многочисленные задачи,

основными из которых являются:



Регулярная диагностика сетевого оборудования и его ремонт;



Поиск и устранение текущих неполадок и отказов;



Наладка сетей, связанная с необходимостью изменения конфигурации

сетевых протоколов;



Разрешение или запрет доступа к информации сотрудников;



Поиск способов повышения эффективности работы сети;



Настройка таблиц маршрутизации;



Обеспечение защиты и конфиденциальности информации.

Таким образом, администрирование сетей – это большой объем работ,

необходимых для эффективного функционирования бизнеса. Все эти задачи

выполняет системный администратор.

Как организовать администрирование сетей?

Конечно,

можно

организовать

внутри

компании

структурное

подразделение, администрирования локально вычислительных сетей, однако

такое решение проблемы связано со значительными финансовыми затратами

на содержание штатных специалистов. В условиях кризиса это под силу

далеко не каждой компании, однако необходимость администрирования сетей

понятна каждому современному руководителю.

Администрирование компьютерных сетей – это необходимое условие

для процветания и развития вашего бизнеса.

Виртуальная сеть представляет собой коммутируемую сеть, в которой

выполнено

логическое

сегментирование

по

исполняемым

функциям,

используемым

приложениям

или

по

принадлежности

пользователей

к

определенному отделу, вне зависимости от физического расположения их

компьютеров. Каждый порт коммутатора может быть включен в виртуальную

сеть.

Все

порты,

включенные

в

одну

виртуальную

сеть,

принимают

широковещательные сообщения в ее пределах, в то время как порты, в нее не

включенные,

этих

сообщений

не

принимают.

Различаются

три

способа

реализации

виртуальных

сетей,

которые

могут

быть

использованы

для

включения портов коммутаторов в виртуальную сеть: с центральным портом,

статический и динамический.

Статическая

виртуальная

сеть

(static

VLAN) представляет

собой

совокупность портов коммутатора, статически объединенных в виртуальную

сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока

она

не

будет

изменена

администратором.

Хотя

для

внесения

изменений

статические виртуальные сети требуют вмешательства администратора, к их

достоинствам

можно

отнести

высокий

уровень

безопасности,

легкость

конфигурирования и возможность непосредственного наблюдения за работой

сети.

Динамические

виртуальные

сети

(dynamic

VLAN) представляют

собой

логическое

объединение

портов

коммутатора,

которые

могут

автоматически

определять

свое

расположение

в

виртуальной

сети.

Функционирование динамической виртуальной сети основывается на МАС -

адресах, на логической адресации или на типе протокола пакетов данных.

Основными

достоинствами

такого

подхода

является

уменьшение

объема

работ

при

добавлении

нового

пользователя

или

при

переезде

уже

существующего

и

централизованное

извещение

всех

пользователей

при

добавлении в сеть неопознанного пользователя. Основная работа в этом

случае заключается в установке базы данных в программное обеспечение

управления виртуальной сетью и в поддержании ее актуальности.

Виртуальные сети c группировкой портов (port-based VLAN)

В

этом

случае

администратор

назначает

каждый

порт

коммутатора

принадлежащим VLAN. Например, порты 1-3 могут быть назначены для

VLAN отдела продаж, порты 4-6 для VLAN разработчиков и порты 7-9 для

VLAN сетевого администрирования. Коммутатор определяет, к какому VLAN

принадлежит каждый пакет, учитывая порт, в который он прибыл.

Когда

компьютер

пользователя

подключается

к

другому

порту

коммутатора, администратор сети может просто переназначать новый порт

для старого VLAN, к которому принадлежал пользователь. В этом случае

сетевые изменения полностью прозрачны для пользователя и администратору

не

нужно

изменять

топологию

сети.

Однако,

этот

метод

имеет

один

существенный

недостаток,

если

концентратор

подключен

к

порту

коммутатора, все пользователи, подключенные к нему должны принадлежать

тому же VLAN.

Следовательно,

такое

решение

малоприемлемо

при

использовании

концентраторов или в сетях c мощными серверами, к которым обращается

много пользователей (сервер не удастся включить в разные VLAN). Кроме

того,

виртуальные

сети

на

основе

портов

не

позволяют

вносить

в

сеть

изменения достаточно простым путем, поскольку при каждом изменении

требуется физическое переключение устройств.

В виртуальных сетях с группировкой портов все

узлы виртуальной сети подключены к одному и тому

же интерфейсу маршрутизатора. На рисунке показано

семейство

пользователей

виртуальной

с е т и ,

подключенных

к

порту

маршрутизатора.

Такое

подключение

облегчает

работу

администратора

и

повышает эффективность работы сети, поскольку:

1)

в

виртуальной

сети

легко

выполняются

а д м и н и с т р а т и в н ы е

д е й с т в и я ;

2) повышается безопасность при обмене информацией

м е ж д у

в и р т у а л ь н ы м и

с е т я м и ;

п а к е т ы

н е

"просачиваются" в другие домены.

В

простейшем

случае

устройство,

имеющее

только один сетевой интерфейс, может быть включено

только

в

один

VLAN.

Для

включения

сетевого

устройства

в

несколько

VLAN

оно

должно

иметь

несколько сетевых адаптеров.

IEEE

802.1Q

стандарт

в

рамках

спецификации

port-based

VLAN

предусматривает

взаимодействие

с

устройствами,

не

поддерживающими

инкапсуляцию 802.1q. Согласно этой спецификации, каждый тип фрэймов

назначается

разным

VLAN.

Первоначально

все

порты

коммутатора

принадлежат VLAN c идентификатором сети port VLAN ID (PVID).

PVID имеет численное значение, по умолчанию 1. Все фреймы, не

имеющие метки VLAN, которые генерируются не поддерживающими VLAN

устройствами, идентифицируются как принадлежащие VLAN c PVID. Если

фрейм

генерируется

устройством

с

поддержкой

VLAN,

то

он

содержит

соответствующий тег VLAN, в котором прописан VLAN ID (VID). Каждый

порт

коммутатора

может

иметь

один

или

несколько

VID.

Когда

фрейм

поступает

на

порт

коммутатора,

он

идентифицируется

по

его

VID.

Коммутатор просматривает таблицу VLAN и пересылает фрейм на порты,

имеющие тот же VID.

В примере на рисунке фрейм без тега, поступающий от устройства на

порту

0,

идентифицируется

как

принадлежащий

VLAN

c

PVID=1

и

пересылается на порт 1, имеющий тот же PVID. Если от устройства на порту

1 поступит фрейм с VID=2, он будет передан на порты 0 и 3.

Виртуальные

сети

на

основе

MAC

адреса

(MAC

address-based

VLAN)

На основе MAC адреса (MAC address-based VLAN) - в этом случае

принадлежность пакета к VLAN определяется MAC адресом источника или

приемника. Каждый коммутатор поддерживает таблицу MAC адресов и их

соотношение с VLAN. Ключевое преимущество этого метода состоит в том,

что

не

требуется

переконфигурация

коммутатора

при

переподключении

пользователей к различным портам. Однако, присвоение MAC адресов VLAN

может

потребовать

значительных

временных

затрат,

а

также

присвоение

отдельных MAC адресов нескольким VLAN может быть непростой задачей.

Это

может

быть

существенным

ограничением

для

совме стного

использования

ресурсов

сервера

между

несколькими

VLAN.

(Хотя

MAC

адрес

теоретически

может

быть

присвоен

множеству

VLAN,

это

может

вызывать серьезные проблемы с существующей маршрутизацией и ошибки,

связанные с таблицами пересылки пакетов в коммутаторе.)

Как правило, для создания таковой сети производитель оборудования

предусматривает

наличие

управляющего

программного

обеспечения

для

управления сетью.

Взаимодействие между VLAN может осуществляться 2-мя способами. В

первом

в

устройство

должен

быть

установлен

дополнительный

сетевой

адаптер и ассоциирован с другой сетью. Данный способ неприемлем при

большом количестве устройств, включаемых в несколько VLAN. Во втором

случае для объединения сетей используется маршрутизатор. Однако в этом

случае имеются ограничения. Маршрутизатор должен иметь отдельный порт

для каждой VLAN. При этом нельзя объединить сети в одном сегменте, так

как маршрутизатор работает на 3-м уровне модели OSI.

Виртуальные сети сетевого уровня

При

использовании

другого

подхода

коммутаторы

должны

для

образования виртуальной сети понимать какой-либо сетевой протокол. Такие

коммутаторы называют коммутаторами 3-го уровня, так как они совмещают

функции коммутации и маршрутизации. Каждая виртуальная сеть получает

определенный сетевой адрес - как правило, IP или IPX.

Тесная

интеграция

коммутации

и

маршрутизации

очень

удобна

для

построения виртуальных сетей, так как в этом случае не требуется введения

дополнительных полей в кадры. К тому же администратор только однократно

определяет сети, а не повторяет эту работу на канальном и сетевом уровнях.

Принадлежность конечного узла к той или иной виртуальной сети в этом

случае

задается

традиционным

способом

-

с

помощью

задания

сетевого

адреса. Порты коммутатора также получают сетевые адреса, причем могут

поддерживаться

нестандартные

для

классических

маршрутизаторов

ситуации, когда один порт может иметь несколько сетевых адресов, если

через него проходит трафик нескольких виртуальных сетей, либо несколько

портов имеют один и тот же адрес сети, если они обслуживают одну и ту же

виртуальную сеть.

При передаче кадров в пределах одной и той же виртуальной сети

коммутаторы

3-го

уровня

работают

как

классические

коммутаторы

2-го

уровня, а при необходимости передачи кадра из одной виртуальной сети в

другую

-

как

маршрутизаторы.

Решение

о

маршрутизации

обычно

принимается традиционным способом - его делает конечный узел, когда

видит на основании сетевых адресов источника и назначения, что кадр нужно

отослать в другую сеть.

Однако, использование сетевого протокола для построения виртуальных

сетей

ограничивает

область

их

применения

только

коммутаторами

3-го

уровня

и

узлами,

поддерживающими

сетевой

протокол.

Обычные

коммутаторы не смогут поддерживать такие виртуальные сети и это является

большим

недостатком.

За

бортом

также

остаются

сети

на

основе

не

маршрутизируемых протоколов, в первую очередь сети NetBIOS.

В рамках данных VLAN различают сети на базе подсетей, на базе

протоколов, и на базе правил.

Виртуальные сети на базе подсетей

В качестве примера такой организации VLAN можно привести сеть, где

одна подсеть, скажем класса C с адресацией 198.78.55.0/24 соответствует

одной VLAN, вторая подсеть класса C 198.78.42.0/24 соответствует второй

VLAN.

Недостаток данного способа состоит в том, что если коммутатор не

поддерживает несколько IP подсетей на одном порту, для перемещения в

другую VLAN требуется физическое переключение рабочей станции.

Виртуальные сети на базе сетевого протокола

Виртуальные ЛВС сетевого уровня позволяют администратору связать

трафик для того или иного протокола в соответствующей виртуальной сети.

Точно таким же способом создаются широковещательные домены в сетях на

основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или

сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС

всех пользователей подсети, которая была организована до использования

коммутаторов.

В

качестве

примера

можно

привести

сеть,

где

устройства,

поддерживающие

только

IP

протокол,

находятся

в

одной

VLAN,

поддерживающие только IPX протокол – во второй VLAN, и тот и другой

протокол - находятся в обеих сетях.

Виртуальные сети на базе правил

Для включения устройств в виртуальные ЛВС можно использовать все

перечисленные выше способы при условии их поддержки коммутаторами.

После того, как правила загружены во все коммутаторы, они обеспечивают

организацию

VLAN

на

основе

заданных

администратором

критериев.

Поскольку

в

таких

сетях

кадры

постоянно

просматриваются

на

предмет

соответствия

заданным

критериям,

принадлежность

пользователей

к

виртуальным сетям может меняться в зависимости от текущей деятельности

пользователей.

Виртуальные

ЛВС

на

основе

правил

используют

широкий

набор

критериев

принадлежности

к

сети,

включая

все

перечисленные

выше

варианты:

MAC-адреса,

адреса

сетевого

уровня,

тип

протокола

и

т.д.

Возможно также использовать любые комбинации критериев для создания

правил, наиболее точно соответствующих вашим задачам.