Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Michaela 08. 05. 2016, 14:24:54
-
Zdravím.
Snažím se vytvořit návrh sítě. Podmínkou je 20 PC rozmístěných ve 4 sousedících místnostech, délka stěny je 15 mterů. Vytvořila jsem si obrázek s návrhem rozmístění a druhem HW. Můj dotaz je, jestli je to takhle dobře nebo máte nějaké doporučení nebo je to něco strašně špatně? Tohle zatím mám:
(http://nd06.jxs.cz/499/879/eac78dd0fd_102890642_o2.png)
- Síť typu LAN.
- Kabelové rozvody pomocí UTP kat. 5e.
- Technologie 100Base-TX.
- Kabely od switche rozváděny ve zdech, u každé stanice vývod pomocí přípojky.
-
Zapomněla jsem do návrhu dodat ještě 1 serverový PC navíc.
-
Server zapojím mezi router a switch takhle, jestli to je v pořádku:
(http://www.spravapcsiti.cz/userfiles/spec/inf_microsite_site/image/navrh_a_realizace_pc_siti_thumb.jpg)
-
Netahaly by se vam draty lepe, kdyby switch byl tam, kde se krizi steny? Rekl bych, ze u takto male site je to, kudy budete tahat draty, tim hlavnim kriteriem.
-
Jedná se jen teoretický návrh, strčila jsem to tam do rohu, aby byly prvky vidět. Jde mi hlavně o teoretickou správnost návrhu a teoreticky reálné provedení.
-
pises 100Mbit, predpokladam ze mysleno stanice a server pripojis pres 1GBit, zalezi pak jakou pozadujes rychlost v pripade behu vsec stanic, protoze pri 20 stanicich by to pak bylo 50MBit na jednu, takze by bylo vhodne do serveru pridat dalsi LAN kartu kterou take pripojis do switche, a jak server tak switch nastavis aby ty 2 karty pouzival v rezimu BOND/LACP (https://cs.wikipedia.org/wiki/Agregace_linek), pak bude spoj server=switch 2Gbit a na kazdou stanici pripadne tech 100Mbit...
-
teoreticky reálné provedení.
To je super termit... 8) 8) 8) ;D ;D ;D
-
Aha. No, kdyz mate router, k tomu 20-portovy switch, do ktereho strcite draty k dvaceti PC, tak co by na tom jako nemelo fungovat? Horsi bude spis to, jak vam to utahne dvacet lidi, co cumi na Youtube. To bude chtit tlustou pripojku a nejaky nadupanejsi router. :-)
Samozrejme, muzete si to rozdelit a nacpat si switch treba do kazde mistnosti. Nekdy by to mohlo mit smysl, ale to byste musela vedet, co presne se tam dela a na co byste to chtela.
Vasemu navrhu bych ale urcite vytknul, ze je tam router nastojato. Me se libi routery spis naplacato.
-
Aha. No, kdyz mate router, k tomu 20-portovy switch, do ktereho strcite draty k dvaceti PC, tak co by na tom jako nemelo fungovat? Horsi bude spis to, jak vam to utahne dvacet lidi, co cumi na Youtube. To bude chtit tlustou pripojku a nejaky nadupanejsi router. :-)
Samozrejme, muzete si to rozdelit a nacpat si switch treba do kazde mistnosti. Nekdy by to mohlo mit smysl, ale to byste musela vedet, co presne se tam dela a na co byste to chtela.
Vasemu navrhu bych ale urcite vytknul, ze je tam router nastojato. Me se libi routery spis naplacato.
Jo ten router není router, to je modem, jen jsem si to přepsala.. v novém návrhu už tam mám fakt routerovskou ikonu.
pises 100Mbit, predpokladam ze mysleno stanice a server pripojis pres 1GBit, zalezi pak jakou pozadujes rychlost v pripade behu vsec stanic, protoze pri 20 stanicich by to pak bylo 50MBit na jednu, takze by bylo vhodne do serveru pridat dalsi LAN kartu kterou take pripojis do switche, a jak server tak switch nastavis aby ty 2 karty pouzival v rezimu BOND/LACP, pak bude spoj server=switch 2Gbit a na kazdou stanici pripadne tech 100Mbit...
takže ze switche k PC 100Base-TX a od switche výše 1000Base-T + v serveru dvě síťové karty?
-
pises 100Mbit, predpokladam ze mysleno stanice a server pripojis pres 1GBit, zalezi pak jakou pozadujes rychlost v pripade behu vsec stanic, protoze pri 20 stanicich by to pak bylo 50MBit na jednu, takze by bylo vhodne do serveru pridat dalsi LAN kartu kterou take pripojis do switche, a jak server tak switch nastavis aby ty 2 karty pouzival v rezimu BOND/LACP (https://cs.wikipedia.org/wiki/Agregace_linek), pak bude spoj server=switch 2Gbit a na kazdou stanici pripadne tech 100Mbit...
takže ze switche k PC 100Base-TX a od switche výše 1000Base-T + v serveru dvě síťové karty?
-
takže ze switche k PC 100Base-TX a od switche výše 1000Base-T + v serveru dvě síťové karty?
Jezis, to snad zalezi na tom, co tam chcete delat. Jestli tam bude sedet dvacet sekretarek, co datluji wordove dokumenty, tak si tam muzete natahnout i tenky ethernet a na to vam da kabely nekdo treba i zadarmo. Jestli tam budete editovat reklamni plakaty ve velkem rozliseni nebo video, tak je kazdy kousek rychlosti dobry. BTW, co znamena "od switche výše"? Snad je vse, vcetne serveru a routeru pripojeno na stejne urovni, tedy jeden switch a do nej leze vsechno.
-
takže ze switche k PC 100Base-TX a od switche výše 1000Base-T + v serveru dvě síťové karty?
Jezis, to snad zalezi na tom, co tam chcete delat. Jestli tam bude sedet dvacet sekretarek, co datluji wordove dokumenty, tak si tam muzete natahnout i tenky ethernet a na to vam da kabely nekdo treba i zadarmo. Jestli tam budete editovat reklamni plakaty ve velkem rozliseni nebo video, tak je kazdy kousek rychlosti dobry. BTW, co znamena "od switche výše"? Snad je vse, vcetne serveru a routeru pripojeno na stejne urovni, tedy jeden switch a do nej leze vsechno.
Propojením jsem si nebyla jistá, tak jsem server umístila mezi switch a router. Co se bude dělat není dané vůbec.
-
Aha. A mate duvod strkat ten server mezi switch a router? To ten server bude muset delat mimojine i firewall? Nebylo by lepsi resit to dedikovanym zarizenim, tedy bud firewall-routerem? Nebo firewallem a routerem? A ten server bude servirovat data na Internet, ze ho chcete tam? Nebylo by lepsi v takovem pripade mit dedikovany server v DMZ, aby kdyz vam to nekdo hackne, vam zaroven neukradl firemni data nebo co to na tom serveru bude? Asi byste se mela sireji rozepsat o tom, co od toho chcete a jake ulohy bude mit ten server.
-
Aha. A mate duvod strkat ten server mezi switch a router? To ten server bude muset delat mimojine i firewall? Nebylo by lepsi resit to dedikovanym zarizenim, tedy bud firewall-routerem? Nebo firewallem a routerem? A ten server bude servirovat data na Internet, ze ho chcete tam? Nebylo by lepsi v takovem pripade mit dedikovany server v DMZ, aby kdyz vam to nekdo hackne, vam zaroven neukradl firemni data nebo co to na tom serveru bude? Asi byste se mela sireji rozepsat o tom, co od toho chcete a jake ulohy bude mit ten server.
Mám 20 PC ve 4 místnostech se stěnami 15 m. Budou sdílet data navzájem a se serverem, přistupovat k Internetu. Potřebuju konkrétní návrh propojení do LAN síťe. Tohle je celé zadání a já vypracovávám dokument, kde navrhuji hardware s uvedením standardů, použité protokoly, síťové adresy a zabezpečení. Jen se učím na zkoušku, reálně to nikdo provádět nebude, prostě to akorát musí dávat smysl.
-
Aha, tak kdyz ten server nebude nic sdilet na Internetu, tak ho dejte na switch s ostatnimi stroji. Opravdu nevim, proc by mel byt mezi swithcem a routerem. Tam by svyma dvema sitovkama akorat musel delat bridge, coz opravdu nevidim, k cemu by bylo. Ty dve sitovky tu byly mysleny na to, aby byla silnejsi pripojka k serveru od switche. Prectete si jeste jednou, co nobody napsal: "...a jak server tak switch nastavis aby ty 2 karty pouzival v rezimu BOND/LACP...". Predpokladam, ze nobody si take nevsiml, kam ze to ten server cpete.
A nezapomente, ze neco vam musi delat firewall. Internet je dneska pekna divocina a jak pravi stare egyptske prislovi, "bez firewallu na Internet nelez".
-
Ale ten vrták na patnáctimetrovou stěnu bych docela chtěl vidět :D
-
A nezapomente, ze neco vam musi delat firewall. Internet je dneska pekna divocina a jak pravi stare egyptske prislovi, "bez firewallu na Internet nelez".
Jo, bezpečnost je taky bod nutný k vyřešení, ale tam jsem se ještě nedostala :-[
-
Jo, bezpečnost je taky bod nutný k vyřešení, ale tam jsem se ještě nedostala :-[
Tak jakmile zacnete mluvit o pripojce na Internet, tak bezpecnost je to, cim byste mela zacit, ne to posledni, cim se budete zabyvat. A jestli se jedna o vic, jak skolni priklad, tak nezaponente na zalohovani, protoze na svete jsou jen dva druhy uzivatelu. Ti, kteri zalohuji a ti, kteri jeste neprisli o data.
-
Tak jakmile zacnete mluvit o pripojce na Internet, tak bezpecnost je to, cim byste mela zacit, ne to posledni, cim se budete zabyvat. A jestli se jedna o vic, jak skolni priklad, tak nezaponente na zalohovani, protoze na svete jsou jen dva druhy uzivatelu. Ti, kteri zalohuji a ti, kteri jeste neprisli o data.
Jedná se o otázku ke zkoušce, kterou si doufám nevyberu. Na bezpečnost je ještě celá další otázka. Doufám ve šťastnou ruku, že sáhnu po jedné z programovacích otázek, ale kdyby náhodou...
-
Programování je přece daleko jednodušší než nějaký návrh sítě...
-
Programování je přece daleko jednodušší než nějaký návrh sítě...
Tak samozrejme ze je, muze to prece delat uplne kazdy. Staci se podivat na novy styl Roota.
-
2 sitovky sem myslel mezi switch a server (tedy k te stavajici 1 v tomto smeru pridat druhou), duvod je pouze ten aby kazda stanice mohlo dosahnout plneho maxima 100Base-TX, protoze na 20x100 nestaci 1x1000 k serveru ale je treba 2x1000 k serveru, ten BOND(LACP) dela rozsireni max rychlost prave na 2Gbit
JardaP: vsiml sem si jak je to zapojeno, neresil sem spoj do internetu(resp. server-router) kde predpokladam nebude 1Gbit, ale spojeni prave do toho serveru ze vsech stanic pres switch
-
Nevíte, co má v zadání asi znamenat, že je třeba udat "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC"?
-
2 sitovky sem myslel mezi switch a server (tedy k te stavajici 1 v tomto smeru pridat druhou), duvod je pouze ten aby kazda stanice mohlo dosahnout plneho maxima 100Base-TX, protoze na 20x100 nestaci 1x1000 k serveru ale je treba 2x1000 k serveru, ten BOND(LACP) dela rozsireni max rychlost prave na 2Gbit
JardaP: vsiml sem si jak je to zapojeno, neresil sem spoj do internetu(resp. server-router) kde predpokladam nebude 1Gbit, ale spojeni prave do toho serveru ze vsech stanic pres switch
(http://nd06.jxs.cz/898/238/f00861de0f_102892441_o2.png)
takže jste to myslel spíš:
oranžová kabeláž = technologie 100Base-TX
zelená kabeláž = 1000Base-T
?
-
Nevíte, co má v zadání asi znamenat, že je třeba udat "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC"?
No tak to je otazka. To muze znamenat treba to, ze tam bude firewal, ktery bude nektera PC poustet ven a jina ne. Nebo by to nohlo znamenat, z nektera PC muzou vsude (sef kvuli pornu), zatimco sekretarka smi leda na Seznam. To by vyzadovalo budto nejaka silena pravidla napriklad v iptables v Linuxu nebo nejaky dedikovany stroj, asi s klikacim rozhranim a nejakym desnym softwarem, a pres ten stroj vse pujde a ten bude rozhodovat, kdo smi kam. A takovy software mozna na Linux existuje, ale neznam. Pocitam, ze nejmin na Widle nejaky asi bude.
Uplne nejblbeji by to slo tak, ze tam bude DHCP server, ktery bude pridelovat adresy jednotlivym PC a nekterym proste nerekne, kde je gateway. Nebo tak, ze jim DNS server odmitne prekladat adresy. Tim by se dalo take rozhodovat o pristupu na Internet s jemnejsim rozlisenim, nez ano nebo ne.
To jsou ale bastlirny, ktere zastavi sekretarku, ale ne nekoho, kdo se vyzna a ten vam pak s klidem posle ven veskera firemni data, i kdyz oficialne na Internet nemuze. V kazdem pripade by ta bastlirna zahrnovala dostatecne inteligentni DHCP server nebo DNS server. Varianta s DNS by v pripade rozhodovani ano/ne mohla byt resena i tak, ze pred DNS bude dalsi firewal, ktery nekterym PC odepre pristup. Cimz nam vznika druhy firewal v siti a dostavame se k jeste debilnejsimu reseni, na ktere by i Microsoft mohl byt pysny.
V kazdem pripade, kdyz zkousejici polozi takovouto blbou otazku, tak bych pozadal o upresneni, co tim jako mysli, protoze blba otazka - blba odpoved.
Jinak k novemu obrazku: Ano, asi tak nejak. Ale pokud to chcete podle nobodyho, budou mezi switchem a serverem zelene linky dve. Upozornuji, ze pokud budete mit nejaky sestakovy switch z bazaru, tak bonding nejspis nebude umet. Takze pri vyberu switche budete muset sahnout do prasatka a koupit neco lepsiho. Kdybyste to resila doopravdy, tak jsou tu borci pres site, kteri by vam poradili i konkretni modely.
Uz jste si rozmyslela, jestli router bude delat i firewall?
-
Nevíte, co má v zadání asi znamenat, že je třeba udat "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC"?
...
Uz jste si rozmyslela, jestli router bude delat i firewall?
Vůbec nevím. Než dojdu k poslednímu bodu (bezpečnosti), musím ještě dořešit souborový a aplikační server. K tomu se mi moc nedaří zjistit autentizace. Zvolila jsem si OS Windows Server 2012 R2 Essentials z důvodů jako že je dostupných hodně návodů na stránkách Microsoftu, podporuje mi vybraného poštovního klienta (Winmail Server) a tak podobně... je to pro mě dost noční můra řešit.
-
Zvolila jsem si OS Windows Server 2012 R2 Essentials z důvodů jako že je dostupných hodně návodů na stránkách Microsoftu, podporuje mi vybraného poštovního klienta (Winmail Server) a tak podobně...
No, Kristova noho, to je duvod, jak noha. Navody! Jako by nebylo navodu hafo na Googlu i na jina reseni, nez od MS. Hergot, cetla jste vubec nejaky ten navod od MS? Ty jsou totiz kolikrat tak chytre, ze si clovek najde navod radsi jinde.
Winmail server take neni jediny mail server na svete. Cili se nerozhodujte podle toho, kdo ma kolik kde navodu, ale podle toho, co na te siti hodlate delat. Mail server se pak vybere podle toho, jaka vam vypadne platforma. Urcite to neni tak, ze si vyberu mail server, podle nej zvolim platformu a pak se rozhodnu, co na te siti budu delat.
Jsou aplikace, kde nema cenu lamat neco jineho, nez widloserver. Ale jsou aplikace, kde lze dat treba Linux + Samba na sdileni souboru pro widloPC a na provoz serverovych aplikaci. A na tom, jake aplikace tam musi bezet, zavisi nejvice volba serveru.
On take takovy widloserver neni zadara. Take leze na nervy neustalymi updaty, ktere vyzaduji restart, musi se resit upgrady na vyssi verzi, kdykoliv MS ukonci podporu....
Nehlede na to, ze radu veci lze delat i tak, ze na PC nebudou Widle. Treba zvuk nebo grafika se porad jeste dost dela na Macu a vyvoj softu kolikrat na Linuxu.
Dejte pozor, aby z vas nebyl dalsi klikaci widloadmin, co nicemu nerozumi.
-
Zvolila jsem si OS Windows Server 2012 R2 Essentials z důvodů jako že je dostupných hodně návodů na stránkách Microsoftu, podporuje mi vybraného poštovního klienta (Winmail Server) a tak podobně...
No, Kristova noho, to je duvod, jak noha. Navody! Jako by nebylo navodu hafo na Googlu i na jina reseni, nez od MS. Hergot, cetla jste vubec nejaky ten navod od MS? Ty jsou totiz kolikrat tak chytre, ze si clovek najde navod radsi jinde.
...
Mě je to jasné, těmto věcem se věnovat určitě nehodlám :D nic o tom nevím, tak hledám jen ať něco najdu. Teď právě řeším autentizaci a bezpečnost už. Došla jsem k SSH autentizaci pomocí veřejného klíče + autentizaci pomocí RADIUS, protože to profesor zmínil :-[
-
Hodně věcí v rámci tohoto úkolu slyším poprvé. Zmínka o nich není v žádných materiálech profesora, tak mi to dělá dost problém, protože fakt nevím.
-
A co teda studuješ a proč děláš něco, co nechceš dělat? Nějak to nedává smysl...
-
Došla jsem k SSH autentizaci pomocí veřejného klíče + autentizaci pomocí RADIUS, protože to profesor zmínil :-[
Ssh autentikace pomoci klice mi asi nebude k nicemu pri prihlasovani widlostanic k widloserveru. Ta slouzi k prihlasvani ke vzdalenemu serveru pomoci ssh.
Widle maji autentikaci svoji vlastni. Mate jeden server, tak asi budete autentikovat pomoci uzivatelskeho jmena a hesla na serveru. To bude asi ponekud opruz, protoze ty same ucty, co nastavite na serveru, budete muset zalozit i na PC, odkud by se dotycni prihlasovali. Ovsem pokud byste to chtela s mensim opruzem, asi budete muse sahnout do druheho prastatka prikoupit dalsi widloserver, ktery byde delat domenovy kontroler. Nebo ten domenovy kontroler muze delat i vas aplikacni a souborovy server. Ted je otazka, jestli je licence drazsi. A podle MS doporuceni potrebujete take zalozni domenovy kontroler, coz je dalsi widloserver.
Resenim by mohlo byt Linux + Samba v roli domenoveho kontroleru pro autentikaci widlostanic a jako souborovy a aplikacni server.
S Radiusem si na takto male siti asi nebudete chtit komplikovat zivot.
Asi na to porad jeste jdete od konce. Nerozhodla jste se, co ta sit bude delat a resite autentikaci.
-
Došla jsem k SSH autentizaci pomocí veřejného klíče + autentizaci pomocí RADIUS, protože to profesor zmínil :-[
Ssh autentikace pomoci klice mi asi nebude k nicemu pri prihlasovani widlostanic k widloserveru. Ta slouzi k prihlasvani ke vzdalenemu serveru pomoci ssh.
Widle maji autentikaci svoji vlastni. Mate jeden server, tak asi budete autentikovat pomoci uzivatelskeho jmena a hesla na serveru. To bude asi ponekud opruz, protoze ty same ucty, co nastavite na serveru, budete muset zalozit i na PC, odkud by se dotycni prihlasovali. Ovsem pokud byste to chtela s mensim opruzem, asi budete muse sahnout do druheho prastatka prikoupit dalsi widloserver, ktery byde delat domenovy kontroler. Nebo ten domenovy kontroler muze delat i vas aplikacni a souborovy server. Ted je otazka, jestli je licence drazsi. A podle MS doporuceni potrebujete take zalozni domenovy kontroler, coz je dalsi widloserver.
Resenim by mohlo byt Linux + Samba v roli domenoveho kontroleru pro autentikaci widlostanic a jako souborovy a aplikacni server.
S Radiusem si na takto male siti asi nebudete chtit komplikovat zivot.
Asi na to porad jeste jdete od konce. Nerozhodla jste se, co ta sit bude delat a resite autentikaci.
Já fakt nevím, co to má dělat. Je to jedno, jen to musí nějak fungovat a já vůbec nevím co mám dělat, jen se snažím nějak zaplnit prostor na základě zadání. Musí tam být souborový a aplikační server a celé to musí být nějak zabezpečené. Nikde v materiálech nic nemáme, v životě jsem to neřešila, snažím se prostě přijít na cokoliv.
-
Vyřeší cokoliv z toho zabezpečení před neoprávněným přístupem?
-
Pak se občas někdo diví, že muži a ženy nemají stejné mzdy :D
-
Tak kdyz to ma akorat nejak fungovat, tak se s tim nepatlejte, prasknete tam widloserver a widlostejsny, naklapejte tam konta s heslem a mate to. Fungovat to bude, pristup bude resen pomoci uzivatelskeho jmena a hesla. Kdyby se jim to zdalo malo, muzete nadhodit, ze by bylo mozne i reseni pomoci domenoveho kontroleru, takze by se useri prihlasovali ne k PC, ale na domenu a byla by jen jedna databaze kont, takze by se nikdo nemusel po vecerech patlat s rucni synchronzaci. Ovsem dodal bych, ze dle doporuceni MS by tam mel byt i zalozni domenovy server - alespon to tak bylo v dobe Widli NT. To doporuceni si muzete najit nekde v tech uzasnych navodech MS. Klicova slova: PDC, BDC.
A kdyz nevite, co to ma delat, tak si neco vymyslete, at to dostane nejaky tvar. Treba tam muze jet kancelarska prace se soubory centralne ulozenymi na widloserveru, na kterem zaroven pobezi firemni mail server a klient-server ucetnictvi.
Pak se občas někdo diví, že muži a ženy nemají stejné mzdy :D
Mzda by mela zalezet vyhradne na urovni znalosti a prinosu zamestnance pro firmu. Uroven znalosti a prinos pro firmu zalezi zejmena na vas. V CR vas ovsem nizsi mzda ceka i tak. Pokud se vam to nelibi, coz by nemelo, angazujte se ve feministickem hnuti. Spousta zemi na svete potrebuje neco, jako byla stavka zen na Islandu v roce 1975. Necekejte, ze to plesatci v ceske vlade nejak budou resit za vas.
Pokud ale studujete neco, co vas vubec nezajima, asi jste mela studovat jinde nebo nestudovat vubec. Vyssi mzdu jen proto, ze mate nejaky diplom, vam nikdo asi neda, kdyz ty znalosti, ktere by z toho diplomu mely vyplyvat, jaksi nemate anebo v praci, kterou budete delat, je nevyuzijete.
-
Tak kdyz to ma akorat nejak fungovat, tak se s tim nepatlejte, prasknete tam widloserver a widlostejsny, naklapejte tam konta s heslem a mate to. Fungovat to bude, pristup bude resen ...
Všude se nedá bohužel nedá studovat jen to, co člověka zajímá a rozdávat diplomy na míru... Díky za pomoc
-
Ja Miske vobec nezavidim :) Pre ludi co maju prax z oboru, alebo su prirodzeni geekovia je to trivialne jednoduche a len ich to otravuje ak to niekto prirodzene neovlada a nesype to z rukava presne podla ich gusta. Clovek ktory to ma naucene len teoreticky a aj to ma pochopene len 30% potrebnych vedomosti je to takmer neriesitelna uloha a vysvetlenie je isto dost pracne a casovo narocne. Samozrejme skoliace schopnosti tunajsich geekov su onicom (co im samozrejme nevycitam, nieje to ich praca).
-
Máme jako dělat úkoly pro děti do školy? Aha...
-
Samozrejme skoliace schopnosti tunajsich geekov su onicom (co im samozrejme nevycitam, nieje to ich praca).
Tak ja bych hlavne mel obavy o skolici schopnosti vyucujicich. Mam obavy, ze od dob me prumky se nic nezmenilo. Osnovy na hovno, ucitele na pytel.
-
to je urcite dobra pripomienka :) ja by som v zivote nespajal programovanie a sysadminovanie. Je to praca s uplne inym zameranim a metodologicky to chce uplne iny pristup. spajanie tychto dvoch svetov si vyzaduje roky praxe a samotny IT svet sa k tomu dopracoval len pocas poslednych par rokov cez DevOps "ideologiu", nemyslois si ze to je vhodny pristup pre zaciatocnikov na VS
-
to je urcite dobra pripomienka :) ja by som v zivote nespajal programovanie a sysadminovanie. Je to praca s uplne inym zameranim a metodologicky to chce uplne iny pristup. spajanie tychto dvoch svetov si vyzaduje roky praxe a samotny IT svet sa k tomu dopracoval len pocas poslednych par rokov cez DevOps "ideologiu", nemyslois si ze to je vhodny pristup pre zaciatocnikov na VS
Jenže sou nějaké základy které by člověk měl znát (je to tak všude) a tohle si myslím ty základy sou. Jednostraně zaměřený lidi kteří nevědi nic co nezahrnuje jejich hlavní pískoviště sou na prd.
-
@Ondrej: Budoucnost je ve specializaci. Vime cim dal vice o cim dal mene. A jednou budou lidi vedet uplne vsechno o uplnem hovne. Vyjimky mezi nami jsou v podstate dinosauri.
-
@Ondrej: Budoucnost je ve specializaci. Vime cim dal vice o cim dal mene. A jednou budou lidi vedet uplne vsechno o uplnem hovne. Vyjimky mezi nami jsou v podstate dinosauri.
Jistě, ale jak sem psal, stále sou nějaké základy. To že se na něco specializuješ neznamená že víš jen jedno a o ostatním víš ho*... Sou jisté základy které by člověk měl znát, neplatí to pochopitelně jen o IT. IT je dost širokej pojem, ale profík/specialista by si měl umět poradit, minimálně v takto jednoduchejch věcech. (A tím nemyslím ptaním se tady na rootu...) Sem programátor, uživatelské stanice mě vůbec nezajímají a beru je jako nutné zlo, (ještě když sou tam widle) ale když sem potřeboval vyřešit v kanclu síť pro pár PC (čili podobnej případ) uměl sem si poradit a nemusel sem se ptát tady na rootu. Tím nechci tvrdit kdovíjakej sem profík, ale specializuju se, ale i tak sem si dokázal nastudovat mikrotik a nastavení samba serveru... U widlích to bila pak klikačka, jak jinak.
-
@Ondrej fuj..., škoda že tu není edit :-)
-
@Ondrej fuj..., škoda že tu není edit :-)
Je, ale ma timeout. :-)
-
Nevíte, co má v zadání asi znamenat, že je třeba udat "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC"?
Vime, ale slecinko ... pochlub se co je to za skolu ... jen abych se nesplet a nekoho z ni neprijal ... ;D
1) mezi inet a sit patri router+firewall, idealne jako samostatna krabice (z mnoha dobrych duvodu). Tahle vec muze (a nemusi) zaroven plnit fci nejaky proxy (= treba filtrovani dovolenych/zakazanych stranek).
2) dneska se site delaji prakticky vyhradne Gbit - do switche pichnes ten router, servery, klienty ...
3) pri instalaci pro 20 klientu uz tam v kazdym pripade patri nejakej rozvadec (rack). Coz taky znamena, ze kabelaz se neukonci "kostickou", ale patch panelem.
4) bezpecnost se resi i interne - klienti se muzou autorizovat (switch jim nedovoli fungovat). Aby se nemoh jen tak nekdo neco zapojit. https://cs.wikipedia.org/wiki/IEEE_802.1X trebas. Tohle zaroven (mozna v kombinaci s dalsim SW) je schopno zajistit, ktera stanice se muze/nemuze dostat ke kterymu serveru.
5) dalsi cast je pripadne aplikacni/souborovej server (coz muzou byt dve krabice, nebo jedna na ktere bezi obe, pripadne dneska nejrozsirejnejsi, jedna fyzicka krabice na ktery bezi nekolik vitualnich stroju). Na tom pochopitelne taky muzes nastavovat vsemozna opravneni - at uz na urovni filesystemu, tak na urovni nejake te aplikace ktera ti tam bezi.
Ale tohle vsechno by te ta skola prece mela naucit ne? Kdyz te z toho chteji zkouset.
Apropos, vem si 2m kabelu, nastrihej je po 10cm, a udelej z toho svazek. At mas predstavu, co tou zdi musi projit.
-
1) mezi inet a sit patri router+firewall, idealne jako samostatna krabice (z mnoha dobrych duvodu). Tahle vec muze (a nemusi) zaroven plnit fci nejaky proxy (= treba filtrovani dovolenych/zakazanych stranek).
Ano, pokud Internet=modre e. Otazka je polozena tak blbe, ze neni jasne, jestli maji na mysli modre e nebo opravdu Internet.
3) pri instalaci pro 20 klientu uz tam v kazdym pripade patri nejakej rozvadec (rack). Coz taky znamena, ze kabelaz se neukonci "kostickou", ale patch panelem.
Rack neni nutny pro funkcnost site, je to akorat hezka soucas instalace, ktera ma sve vyhody, ale lze bez ni zit. Switch s routerem a dalsimi kramy muzete mit postavene na jarmare nebo na polici v kumbalu s kostaty, kde vam ze zdi polezou rovnou draty do switche. V malych kancelarich, kde nemaji penez na rozhazovani, to muze byt bezna praxe. Uz jsem to videl, i kdyz PC tam meli tak 10. Funguje to.
Apropos, vem si 2m kabelu, nastrihej je po 10cm, a udelej z toho svazek. At mas predstavu, co tou zdi musi projit.
A ono to musi projit vsechno jednou dirou nebo se smi provrtat i nekolik der smerem do kazde mistnosti?
-
Nevíte, co má v zadání asi znamenat, že je třeba udat "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC"?
No tak to je otazka. To muze znamenat treba to, ze tam bude firewal, ktery bude nektera PC poustet ven a jina ne. Nebo by to nohlo znamenat, z nektera PC muzou vsude (sef kvuli pornu), zatimco sekretarka smi leda na Seznam. To by vyzadovalo budto nejaka silena pravidla napriklad v iptables v Linuxu nebo nejaky dedikovany stroj, asi s klikacim rozhranim a nejakym desnym softwarem, a pres ten stroj vse pujde a ten bude rozhodovat, kdo smi kam. A takovy software mozna na Linux existuje, ale neznam. Pocitam, ze nejmin na Widle nejaky asi bude.
Uplne nejblbeji by to slo tak, ze tam bude DHCP server, ktery bude pridelovat adresy jednotlivym PC a nekterym proste nerekne, kde je gateway. Nebo tak, ze jim DNS server odmitne prekladat adresy. Tim by se dalo take rozhodovat o pristupu na Internet s jemnejsim rozlisenim, nez ano nebo ne.
To jsou ale bastlirny.......
Ano to jsou opravdu bastlirny.
A co treba VLAN?
Kdyz uz soudruzka Michaela sahne do prasatka pro drazsi switch (ty bejvaj managovatelny a umej teda krome LACP zpravidla i VLAN) nemel by bejt problem vytvorit 20+1 VLAN -teda pokud clovek chce opravdu "jemne filtrovani" naprosto vseho co kde kdo ne/smi delat a kam kdo ne/smi jit, a kazdymu z tech 20ti PC se prideli IP patrici prave do "jeho vlastni" VLAN -pripadne se "nahazi" nekolik PC do "spolecnych" VLAN grup, to podle chuti a potreby kazdeho soudruha administratora.
Switch pak preposila VLAN pakety do routeru(zaroven FW) a ten se stara o routovani podle dane tabulky pravidel, cili preposila pakety ven do interfernetu pripadne na file-server KTEREJ JE PRIPOJENEJ TAKY NA ROUTER A NEE DO SWITCHE.
Myslim ze to splnuje "způsob zajištění individuálního nastavení dostupnosti Internetových služeb pro jednotlivá PC" :)
PS: Posadit Widlackej server do LANu kde sedi BFU s Widlo stanicema je podle me ruska ruleta a je jen otazkou casu kdy nekdo dotahne z domova USB flashku a strci ji do PC a je vymalovano.
Hacknutej Widlo-server nejenze zacne "volat domu" a z tech 20ti PC se behem kratke chvile stanou cestni clenove botnetu, ale zaroven ten bordel na nem vesele zmapuje/sosne data na vsech PC pripadne pokud botnet Master neni uplnej jouda tak prenastavi i logovani na FW.
Proto se i na pomocnych skolach vyucuje ze server s pristupem na "Wild West"-net umistuje do tzv.DMZ ovsem uz se zapomina studentum rict ze i tahle DMZ musi podlehat FW pravidlum a logovani jinak to je jako posadit batole do vybehu tygru a doufat ze to "bude fungovat".
Je dobre pri navrhu site nezapominat na tzv.managemet (V)LAN protoze asi neni dobre aby 20PC sedelo na stejnym LANu ve kterym je pripojeny napr. IPMI serveru nebo webGUI FW.
Dobra volba pro file-server by podle me byl FreeNAS protoze i ten sam o sobe umi VLAN takze napr. je mozne provozovat ruzne sluzby pro ruzne site a 1 a tom samem serveru+ kazde PC samozrejme muze mit na serveru svuj soukromej "dataset=uloznej prostor" do kteryho nikdo jinej nevidi, ale admin muze tento prostor bez problemu nasdilet mezi jinymi uzivateli podle potreby.
PS2: Pri pouziti L3 switche se "tabulka pravidel" muze odehravat uz ve switchi pri vzajemnem trafiku mezi PC a neni treba zatezovat routovanim FW vedouci do internetu. Ve finale by pak stacilo posilat jen pakety "nevim co s nima" na server+internet = tedy smerem k "hlavnimu routeru" a ten by je rozhazoval podle pravidel do 2 smeru.
PS3: Muzu se zeptat slecny Michaely co to je za skolu+rocnik co studuje? Jenom ramcove =nejde mi o presnou adresu........ciste jen ze zvedavosti.
@JardaP. za tvou trpelivost a pedagogickou osvetovou cinnost v tomto vlaknu si dovolim te odmenit ;D = tvuj oblibenec mel slabou chvilku a konecne na sebe vyblil co je zac!! ->
https://www.youtube.com/watch?v=vbLGG5UGEKw
https://www.youtube.com/watch?v=D2fSXp6N-vs
-
A co treba VLAN?
Porad zalezi na tom, co si predstavuji pod kontrolou pristupu do Internetu. A VLAN asi bude chtit jiny switch, nez z Tesca.
PS: Posadit Widlackej server do LANu kde sedi BFU s Widlo stanicema je podle me ruska ruleta a je jen otazkou casu kdy nekdo dotahne z domova USB flashku a strci ji do PC a je vymalovano.
Toz zalijes USB porty tavnym lepidlem. Nekde to tak resi. USB si nechas jen na serveru, kde nebudou useri mit lokalni login.
Ted jeste nejak vynyslet, jak lidem zabranit ve spusteni sajrajtu, co si stahnou z netu a ktery neni v chranenych systemovych adresarich. BTW, s widlositi spousta adminu musi nejak zit. A podle posledniho rozhodnuti widloserver zde do Internetu nemusi - tedy ne ve smyslu, ze by provozoval treba web server. To se na jednom serveru s ostatnimi daty neda. To by byl opravdu blby napad.
Je dobre pri navrhu site nezapominat na tzv.managemet (V)LAN protoze asi neni dobre aby 20PC sedelo na stejnym LANu ve kterym je pripojeny napr. IPMI serveru nebo webGUI FW.
Nekomplikuj to. Je to 20 PC, tedy nejaka mala firmicka, ktera si ani nebude moci zaplatit admina.
https://www.youtube.com/watch?v=vbLGG5UGEKw
https://www.youtube.com/watch?v=D2fSXp6N-vs
Dobre! Konecne mluvi pravdu.
-
Dievca robi semestralny projekt na 4 strany o malej sieti kde ma byt 1 fileserver a 20 klientov a vy jej tu pletiete VLANy, oddeleny manazment a co ja viem co.. Ak si chcete dokazovat kto ma vacsie ego a virtualne vedomosti, zvolil by som na to ine miesto ako tuto temu..
-
Ne, ona resi jak to popise u zkousky kde na to bude mit 2x 15 minut ;D. A ta zkouska bude nejspis maturitni, jinak by nepsala o tahani otazek.
A tudiz je ucelem predevsim to, aby zvanila, je jedno co, ale idealne tech 15 minut nepusti prisedici ke slovu. Tudiz idealne je zavalit termitama, o kterejch ani oni netusej vocogo. Ve skutecnosti i kdyby povidala o tom jak mame dneska pekne pocasi, tak to nejspis "dostane" ;D. Pricemz vysledna znamka stejne pak uz nikdy nikoho zajimat nebude.
-
Doufam, ze jsme ji pred zkouskami nedohnali do deprese a k sebevrazde. Je nejak ticho po pesine. :-)
-
.....A tudiz je ucelem predevsim to, aby zvanila, je jedno co, ale idealne tech 15 minut nepusti prisedici ke slovu. Tudiz idealne je zavalit termitama, o kterejch ani oni netusej vocogo. Ve skutecnosti i kdyby povidala o tom jak mame dneska pekne pocasi, tak to nejspis "dostane" ;D. Pricemz vysledna znamka stejne pak uz nikdy nikoho zajimat nebude.
No prave! taxem myslel ze kdyby si nadrtila management LAN a IPMI tak by tam mohla vsechny impressnout do bezvedomi a pak jako Grand finale by se uz jen letmo zminila o nutnosti blokovat urcite typy ODCHOZIHO trafiku napr. aby LAN kde drepi server nemoh "volat ven na IRCko" protoze ty se s oblibou pouzivaj na komandovani botnetuu, a sem si skoro jistej ze by si cela komise z toho strikla do kalhotek ;D
-
Toz zalijes USB porty tavnym lepidlem. Nekde to tak resi. USB si nechas jen na serveru, kde nebudou useri mit lokalni login.
Tak useri jsou nebezpecny prave tim ze bejvaj dost vynalezavy.
Napr. tady v DK mela 1 velka banka dost velkej pruser, kdyz se compy v 1 jeji filialce zacly chovat jako botnet.... Admin si toho vsimnul a celou pobocku odriznul od zbytku site a zaclo vysetrovani. USB sloty ty boxy budto vubec nemaj anebo sou zataveny- vsichni zamestnanci maj striktni zakaz cokoliv zvenku nosit a internet jako takovej je defaultne offline. OVSEM dabel je skryty v detailu, takze zapomeli na printer v zadni "kafe-mistnosti" kterej se moc nepouzival ale presto byl zapojenej do LANu + mel nezaslepenej USB slot. A jeden ze zamestnancu si toho vsimnul a taxi u kafe do toho pichnul na dobiti "e-cigaaro" protoze jinaxe vevnitr uz davno hulit nesmi. No a zacly se dit veci, protoze to cigaro je puvodne z Ciny a ten USB chip v nem se ukazalo je ten samej jetel jakose cpe do beznejch flashek. On je v tom nakej soft kterej ridi dobijeni ty LiPo baterky podobne jako v mobilech+ nahrejvani toho svinstva co si pak zoufalci sosaj do plic.....tech par slastnych let nez se vsichni sejdou kolektivne na onkologii....
Cili takovej nevinne zabalenej cinskej badUSB :) https://en.wikipedia.org/wiki/Firmware#BADUSB
Porad zalezi na tom, co si predstavuji pod kontrolou pristupu do Internetu. A VLAN asi bude chtit jiny switch, nez z Tesca.
tak ja myslel ze panuje shoda na tom ze Michaella sahne pro poradnej switch do prasatka....?
Takze kdyz mluvime o "poradnem" tak tim logicky nemame na mysli ten z Tesca :)
Obecne kdyz mluvime o kvalite a cemkoliv poradnem tak tipuju ze vetsina (premyslejicich) lidi nema na mysli Tesco :)
-
@hugochavez: No, to je pekna historka, ta patri do adminskych analu. Holt neni nad to, kdyz banka prejde na Widle a widlacke apklikace.
S tim switchem to vubec neni jasne. Ona s nama nemluvi a nechce se sverit, jak velke ma prasatko a kolik z nej hodla v ramci maturity na ten switch hypoteticky vytahnout. Asi sprta. Ale na poradny switch by potrebovala spis prase. Ono to v tech mincich zabere dost prostoru a pak jeste potrebujes kolecko, abys to odvezl. A to jsme jeste nezminili nutnost pouziti odolnejsiho materialu s pevnosti umerne vaze minci, ktere ma takove prase obsahovat a potize s jeho naslenym rozbitim, kdy bude asi nutno pouzit kango!
-
S tim switchem to vubec neni jasne. Ona s nama nemluvi a nechce se sverit, jak velke ma prasatko a kolik z nej hodla v ramci maturity na ten switch hypoteticky vytahnout. Asi sprta. Ale na poradny switch by potrebovala spis prase. .....
Tak oproti nam ma porad tu vyhodu ze se muze u zkousky zkusit "vyprsit" -dost casto to zabira obzvlast kdyz zkousejici je uz "ve veku" a tim padem "advanced prase" ;D
Jinak vypada to ze nas dala do klatby takze jeto fuk ale nekdo jinej kdo si tohle vlakno precte a rad by se dovzdelal (zadarmo) by moh upotrebit tyhle tutorialy:
http://www.freeccnastudyguide.com/study-guides/icnd1-100-101/
(pod "study guides" je toho dalsi hromada, vlastne cely pensum pripravy na CCNA) -a to se vyplati!
-
@hugochavez: No, to je pekna historka, ta patri do adminskych analu. Holt neni nad to, kdyz banka prejde na Widle a widlacke apklikace.
jj s Widlema se clovek nenudi- dokazou se vetrit dokonce i do predpovedi pocasi ;D
http://www.geek.com/microsoft/windows-10-nag-screen-interrupts-live-weather-broadcast-1653522/
-
Ted jeste nejak vynyslet, jak lidem zabranit ve spusteni sajrajtu, co si stahnou z netu a ktery neni v chranenych systemovych adresarich. BTW, s widlositi spousta adminu musi nejak zit. A podle posledniho rozhodnuti widloserver zde do Internetu nemusi - tedy ne ve smyslu, ze by provozoval treba web server. To se na jednom serveru s ostatnimi daty neda. To by byl opravdu blby napad.
nu ale aplikacni servery vetsinou bezi na http(s) :) I kdyz umoznuji i jiny binding...
-
Víte, mám toho hodně a nejen sítě, tak jsem se už sem nedívala. A nemám moc chuť to tady zmiňovat, ale jedná se o zkoušky bakalářské... na sítě jsme měli jediný předmět, kde jsme seděli u wiresharku a koukali, jak vypadá komunikace, když najedem na nějaký web, co se posílá, jaká čísla tam jsou... no prostě super příprava na návrh sítě.
Ale tohle vsechno by te ta skola prece mela naucit ne? Kdyz te z toho chteji zkouset.
Ano, takhle by to v dokonalém světě být mělo, ale reálně jsme nic z toho nebrali, nic z toho není v materiálech a praxe žádná nebyla, ale co mi zbývá.... :)
-
Aha, tak to mate dobre. To je jako ukazat lidem, jak se pumpuje guma u auta a pak je poslat delat automechaniky.
Toz drzim palce. Nezapomente se pochlubit, jak jste dopadla.
-
Aha, tak to mate dobre. To je jako ukazat lidem, jak se pumpuje guma u auta a pak je poslat delat automechaniky.
Toz drzim palce. Nezapomente se pochlubit, jak jste dopadla.
Snad to dobře dopadne, v to se všichni modlíme. Díky :)
-
Ja osobne bych se vyhl jedne veci a to zapojovat server do switche mezi stanice. Delam to tak ze ho dam do routeru na jiny subnet nez jsou stanice a mam vetsi moznosti jak ho izolovat...od DMZ pocinaje, firewall, ...proste si to takto pomoci routeru ohnu jak potrebuju a to obema smery jak prichod na server z netu tak i local
-
To muzes, ale tim ti rostou pomerne zasadne naroky na vykon toho routeru. A pro drtivou vetsinu aplikaci je to zcela knicemu. A naopak, router ti pak obratem prestane fungovat jako bezpecnostni GW, protoze ti interni provoz leze pres nej.
-
To muzes, ale tim ti rostou pomerne zasadne naroky na vykon toho routeru.
Tak ten router tam neni na okrasu ale aby taky neco delal.
A kdyz uz clovek nakoupil 20 PC + server tak snad ma jeste par kacek na to aby koupil o 1 PC vic a hodil na nej treba PfSense FW... Ten (podle vyvojaru) zvlada 3/4 mil paketu/sek coz by melo stacit.
A pro drtivou vetsinu aplikaci je to zcela knicemu.
To sem nejak nepochopil.
A naopak, router ti pak obratem prestane fungovat jako bezpecnostni GW, protoze ti interni provoz leze pres nej.
To sem taky nepochopil. V cem je ta nevyhoda ze trafik leze pres router kterej ma nastaveny pravidla a podle toho filtruje/usmernuje provoz?? PfSense napr. ma pro KAZDEJ AKTIVOVANEJ INTERFACE svoji tabulku FW pravidel kteryma "resi" trafik vstupujici prave tim interfacem do routeru ( a urcuje kam dal pakety muzou a kam ne a ktery)
Asi mame oba ruznou predstavu o qualite routeru.
-
... ty toho zjevne nechapes ...
Vis hosane, switch je zcela vzdy radove vykonejsi nez router, pokud se budeme bavit o zarizeni ve stejny cene. A v 99,9999% pripadu stejne musi mit ke vsem sluzbam serveru pristup vsechny stroje v siti, tudiz davat mezi to router je naprosta kokotina.
A ze ti nekdo ten router hackne a tim padem se dostane k veskerymu internimu provozu co ty pres nej tlacis, to ti nedoslo ze? Kdyz to pres nej neleze, tak se dostane pouze k provozu pres net.
-
... ty toho zjevne nechapes ...
Vis hosane, switch je zcela vzdy radove vykonejsi nez router, pokud se budeme bavit o zarizeni ve stejny cene. A v 99,9999% pripadu stejne musi mit ke vsem sluzbam serveru pristup vsechny stroje v siti, tudiz davat mezi to router je naprosta kokotina.
A ze ti nekdo ten router hackne a tim padem se dostane k veskerymu internimu provozu co ty pres nej tlacis, to ti nedoslo ze? Kdyz to pres nej neleze, tak se dostane pouze k provozu pres net.
davat do site s tolika stanicemi a serverem router za 600kc muze jen neznalec....
treba dneska uz jsou routery v cene 3 tisic co makaj velice slusne! (bavime se o office cca 30 stanic)
switch ma svou roli, router ma svou roli...mimo jine...router za 3 tisice umi vse...byt i routerem a switchem zaroven
hacknuty router :_)))) -> ten router tam bude vzdy tak i tak a prave od toho ma ten router DMZ zonu a podobne ficury
dale uz se k podobnym neznaleckym prispevkum vyjadrovat nebudu
-
Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...
Ty vubec nemas paru co je to DMZ ze?
-
tematem vubec nebylo zda zarizeni za tolik ci tolik penez...to uz se proste jen strhlo v diskuzi
ale kdyz uz se to zde zminilo, tak z osobni praxe:
mikrotik za 2500,- Kč
(routuju nekolik subnetu a udela 430Mbit..v router mode jsem vic nevymackl...pak jedine nektere porty zbridgovat - mod switch a da se na to postvat firewal stejne jako v modu router..ovsem CPU furt naplno)
MIKROTIK Cloud Router Switch CRS226 7000,- Kč
(routuju nekolik subnetu a udela cca 900Mbit)
-
Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...
Asi bych nemíchal dvě věci, routování a firewalling. Routing a přehazování paketů z leva do prava je to nejjednodušší. Koukat se ale co se děje uvnitř TCP spojení, na více vrstvách, nejen TCP ale také na aplikační úrovni, to už samozřejmě žádá procesorový čas a upřímně, Mikrotik jej kupříkladu zrovna moc k dispozici nemá.
-
Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...
Asi bych nemíchal dvě věci, routování a firewalling. Routing a přehazování paketů z leva do prava je to nejjednodušší. Koukat se ale co se děje uvnitř TCP spojení, na více vrstvách, nejen TCP ale také na aplikační úrovni, to už samozřejmě žádá procesorový čas a upřímně, Mikrotik jej kupříkladu zrovna moc k dispozici nemá.
Ja osobne bych se vyhl jedne veci a to zapojovat server do switche mezi stanice. Delam to tak ze ho dam do routeru na jiny subnet nez jsou stanice a mam vetsi moznosti jak ho izolovat...od DMZ pocinaje, firewall, ...proste si to takto pomoci routeru ohnu jak potrebuju a to obema smery jak prichod na server z netu tak i local
Asi bych michal ... mikrotik za 3k nezvladne ani ciste odroutovat Gbit. Takze bude jiste uzasny si interni gigovou sit degradovat zarazenim neceho takovyho mezi stanice a server.
-
Už to tu několikrát padlo ale v té odpovědí úplně mimo téma, nechutných až urážejících se nedá vyznat jak to vlastně kdo myslel.
Shrnutí zadání:
- návrh sítě LAN (hardware, použité standardy, použité protokoly, síťové adresy, zabezpečení)
- sdílení dat navzájem
- server pro soubory a aplikace
- přístup do internetu
- zabezpečení
- účel není zadán
1) návrh sítě
Pro takto malou síť je návrh sítě na prvním obrázku OK.
Na druhém obrázku server se samozřejmě nedává mezi router a switch, ale buď přímo do switche, nebo lépe do samostatného portu do routeru s oddělenou sítí označovanou jako DMZ.
Protože není zadán účel sítě, nemá cenu ani polemizovat výkony serverů, nebo routerů a už vůbec nemá cenu řešit cenu. To v zadání už vůbec není. Kdyby bylo v zadání navrhnout co nejlevnější síť, nebo navrhněte síť s dobrou efektivitou pro ten a ten účel, tak je to něco jiného. Tohle je obecné zadání a tak se k tomu musí přistupovat.
A ty příspěvky typu, že tohle ji měla naučit škola jsou taky mimo. Copak vás škola učila hned v první třídě počítat diferenciály? Asi těžko. Začínáte nejdřív od nějakých jednoduchých věcí s tím, že tam je spousta věcí zanedbána, nebo se prostě řekne, že to tak je a dál se to neřeší. Stejně jako tady. Nemůžete chtít hned od studenta vědět všechno do detailu.
Takže dále, topologie sítě namalovala OK, server bych zapojil do DMZ do samostatného portu do routeru.
Router/firewall: PC s Linuxem, nebo Mikrotik, Fortigate 60D, nebo Cisco ASA5505
Switch bych dneska pro novou síť už použil jen s gigovými porty 100mb, se už podle mne nevyplatí doba přeci jen už pokročila a někteří stale zamrzli na úrovní před 10 lety): HP 1820-24G, nebo Huawei S5700-LI, nebo Cisco SLM2024, nebo Cisco 2960S-24, nebo spousta dalších...
Použité protokoly TCP/IP, DHCP, FTP, ...
IP adresní schéma, např.:
- Internet: ip adresa od poskytovatele pripojeni: 1.1.1.2 /29, gateway 1.1.1.1, dns 1.2.3.4 a 1.2.3.5
- DMZ zona: ip adresa pro server 192.168.2.2 /24, gateway 192.168.2.1 (ip adresa je na routeru port dmz)
- LAN zona (pres switch): 192.168.1.2 až 192.168.1.254, gateway 192.168.1.1 (toto je ip adresa na interfacu routeru port pro lan)
2) sdílení
například pomocí SAMBA serveru na Linuxu, nebo na Windowsich sdílení
3) server
například PS s Linuxem, kde poběží aplikační a souborový server, nebo dedikovaný server od např. HP, DELL, nebo virtualizační systém jako VMware, nebo HyperV, Citrix, KVM (Linux), vekterých poběží samostatné servery s OS Windows, Linuxem, či jíným...
4) přistup do internetu
by zajišťoval router s včetně s firewallem
5) zabezpečení
firewall by měl být minimálně na routeru, kde by byly 3 bezpečnostní zóny: INTERNET, DMZ, LAN
mezi těmito zónami nastavená bezpečnostní pravidlo, co kdo odkud a kam může. Například stanice přístup do internetu, přístup na pouze vybrané služby na serveru, přístup z internetu do lan zakazan, přístup z internetu na server povoleno jen konkrétní služby například firemní WWW server.
Router by mohl ještě zastávat funkci VPN serveru pro přístup administrárotů a uživatelů do vnitřní sítě LAN
Dále pak každém PC s Windows by měl být nainstalován ještě firewall, antivir, antispam, atd.
6) authentifikace
buď lokálně na každém PC, nebo
centrální na serveru pomocí například Windows AD, nebo server s Linuxem, nebo i ten radius by se dal použít, ale ten se spíše pouzívá na přístup na switch a router.
Tak asi tak.
Rozhodně se o tom dá povídat daleko víc, určitě jsem toho ještě spoustu zapoměl.
-
Už to tu několikrát padlo ale v té odpovědí úplně mimo téma, nechutných až urážejících se nedá vyznat jak to vlastně kdo myslel ...
Díky za vynaložený čas a snahu pomoct :) moc to oceňuju.
Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?
-
Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?
Tak to by mohl. Pokud tedy mate gigabajtovou pripojku k Internetu. To asi nebude ADSL a urcite to nebude za par kilo mesicne.
A proc pomalejsi pripojka ke stanicim? K cemu? Myslete na budoucnost, co kdyz vam narostou datove toky? Krome toho pri nizsi prenosove rychlosti trva prenos paketu umerne dele. Pri hustem provozu by tak mohla narustat pravdepodobnost kolizi.
-
Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?
... viz predchozi, pokud se budeme bavit na aspon trochu realne urovni, tak 100Mbit site se uz 10+ let nestavi. Stovkove pouzite switche (klidne i cisco) se daji koupit za par stokorun, protoze o ne nikdo nestoji. Gigovy switch se kupuje od cca 5kKc (48 portu), tudiz je i ekonomicky naprosty nesmysl resit cokoli jineho. I ten nejlevnejsi pak bohate na spoustu veci staci.
-
No nevim, bud chcete setrit a tudiz to nema smysl tahat zdi a nebo to udelejte poradne. Tzn. 2ks zasuvek per pracovni stul jako minimum. Cat6 jako minimum a nekde umistit patchpanel tak aby "propojit zasuvky dle potreby".
Zasuvka1 <------> patch panel <--> switch
Zasuvka2 <------> patch panel <--> voip gw napr.
-
No, pokud jde o rezervu, taky bych to netahal na knop. Standard je:
1) Počítat se dvěma zásuvkama na PC (VoIP telefon, lokální tiskárna, ...)
2) Ve firemním prostředí počítat s růstem firmy. Sekat zdi kvůli tomu, že dvě účetní nestíhají a na týden kvůli tomu vyklidit kancl vyjde dráž, než to rovnou o 25-50% předimenzovat.
3) Pokud je to kancl, tak je fajn počítat s tiskárnou v každé místnosti. Tzn. +2 zásuvky (tiskárna + třeba SafeQ) na místnost.
4) WiFI pro návštěvy - počítat tak 1AP/místnost (dle rozměrů)
Takže to máme 17 fousů na místnost minimálně... CAT6 je standard, kompromis cena/užitná hodnota. 3x patch panel 24 pozic, tam už je rack jasný. Switch momentálně stačí jeden, gigový 24p, ale je to naknop.
Dál ze switche cesta na server (prakticky je to tady jenom další nadupanější PC, jenom u něj nikdo nesedí, běží na něm služby a má víc disků), cesta ven přes router a firewall a to je všechno k otázce. Doporučuju se víc věnovat bepečnosti a hodit tam oslí můstek (ono obecně je lepší se naučit třetinu otázek, k ostatním 2-3 věty a přejít na otázku, kterou znáš líp).
-
Hle nekomplikujte to porad. Je to skolni priklad ke zkouskam. Pozadavek je, aby to byla funkcni sit, ne aby to byla funkcni sit s rezervnimi zasuvkami a extra pripojkami na tiskarny.
-
Tak se hlásím po státnicích.... přesně tuto otázku si vytáhla kamarádka přede mnou a bohužel se kvůli ní musí v srpnu vrátit...
Mě se to zkomplikovalo, nebylo jisté, že na státnice vůbec dojdu, protože přemíra učení se na mě podepsala hlubokou žilní trombózou a já skončila v nemocnici. Nakonec mě pustili v neděli večer, tak jsem dneska ty státnice zkusila, i když jsem se cítila naprosto nepřipraveně. Doufala jsem, že třeba splním aspoň část a budu toho mít v srpnu méně.
Vytáhla jsem si v rámci tohoto okruhu jednu z programovacích otázek, a když jsem viděla čísla všech vylosovaných otázek, tak jsem věděla, že to prostě nějak dám. Opravdu to vyšlo a až na přijímačky a stáž mám klid se léčit.
Děkuji za všechny rady, určitě by u této otázky pomohly.
-
Připravovala se kamarádka čtením tohoto vlákna?
-
Kristova noho, zenska, kdyz se clovek vrci na zkousky, tak se pak vecer jde dukladne projit, aby ty zkousky prezil zivy a pokud mozno i zdravy a to jak dusevne, tak fyzicky. S hlubokou zilni trombozou clovek nemusi skoncit jen v nemocnici, ale rovnou na prkne!
Ale jinak gratuluju!
-
Tak se hlásím po státnicích.... přesně tuto otázku si vytáhla kamarádka přede mnou a bohužel se kvůli ní musí v srpnu vrátit...
Mě se to zkomplikovalo, nebylo jisté, že na státnice vůbec dojdu, protože přemíra učení se na mě podepsala hlubokou žilní trombózou a já skončila v nemocnici. Nakonec mě pustili v neděli večer, tak jsem dneska ty státnice zkusila, i když jsem se cítila naprosto nepřipraveně. Doufala jsem, že třeba splním aspoň část a budu toho mít v srpnu méně.
Vytáhla jsem si v rámci tohoto okruhu jednu z programovacích otázek, a když jsem viděla čísla všech vylosovaných otázek, tak jsem věděla, že to prostě nějak dám. Opravdu to vyšlo a až na přijímačky a stáž mám klid se léčit.
Děkuji za všechny rady, určitě by u této otázky pomohly.
:o :o ???
No v každým případě gratulace.
PS: A JardaP má pravdu (s tím prknem)...
-
Gratuluji.
-
Nojo, přehnala jsem to. Ve stresu ze státnic jsem všechno ostatní odkládala a zřidila si zdraví. K tronbóze se mi přidal i náběh na zápal plic.
Jak se připravovala, to nevím. Dlouho řešili IP adresy a byla hodně ztracená a popletená.
-
Gratuluji. Jinak takové malé šťouchnutíčko: ty IP adresy ta kamarádka řešila IPv4 nebo IPv6? A co maska sítě a číslo sítě?
-
@Michaela: Hele, ze vy jste se celou dobu zivila akorat kafem?
-
Já v životě nevypila hrnek kafe. Energy drinky mi taky nejedou. Většinou jsem prostě na vodě, ale během učení jsem byla tak zabraná, že i tohle šlo dost mimo mě...
Povinně jsme měli jen IPv4, masku měla úplně špatně, prostě to celé šlo mimo ní...
-
Hm, pritom maska site na nejakou jednoduchou konfiguraci, jako treba zde v tomto prikladu, je dost jednoducha vec. Asi to nekdo opravdu dooobre vysvetlil v hodine.
-
Hm, pritom maska site na nejakou jednoduchou konfiguraci, jako treba zde v tomto prikladu, je dost jednoducha vec. Asi to nekdo opravdu dooobre vysvetlil v hodine.
Přitom při tak malé síti stačí pár údajů a má v tom jasno:
Číslo sítě: 192.168.1.0
Maska sítě: 255.255.255.0
Broadcast: 192.168.1.255
Brána: 192.168.1.1
Volné IP pro stanice: 192.168.1.2-192.168.1.254
Navíc existuje názorný, stručný výklad na výpočet IP adres s kalkulačkou (http://zmsoft.cz/maska-site/) :-*