Уважаемые зрители! Если видео лекции/практики оказалось полезным, поддержите ролик лайком и комментарием, это поможет ознакомить с ним большую аудиторию. Спасибо. Анонсы, обсуждения, вопросы тут: t.me/nir_net Для желающих поддержать канал boosty.to/nir_net
Очень классно рассказываете для начинающих. Но, наверно, лучше не предлагать студентам включать в работающую сеть новые ненастроенные устройства )) Видел много ситуаций, когда такие действия приводили к плохим последствиям.
Вероятно вы имеете ввиду пример с использованием двух сетей на одном интерфейсе компьютера, да опасность поймать в своей сети DHCP сервер или нового root по STP есть, но надо понимать что это лишь пример. Если же говорить о обсуждении L2, мы уделяем максимальное внимание как включать всё чтоб ничего не положить, а в практиках по STP студенты каждый год кладут стенд петлями (переключают разные типы протоколов STP и ошибаются), аналогично со switch картами в маршрутизаторах, ну и иногда с LAG.
Спасибо за лекцию! Хотелось бы добавить небольшой комментарий по презентации. На 20-ой минуте вы рассказываете про то, как выглядят таблицы маршрутизации устройств из топологии, которую вы разбирали несколько минут назад. Что я заметил это то, что не очень удобно пытаться разобраться, что какой адрес означает без картинки топологии рядом. Чтобы действительно понять, пришлось открыть UA-cam на двух вкладках и смотреть параллельно на топологию во второй и только тогда дошло, как устроена статическая маршрутизация
Спасибо! Вот по этому я всегда заставляю студентов при практиках иметь перед собой распечатанную схему соединений, а иначе в голове тяжело собрать картинку! Иногда полезно и просто рисовать маршруты прям на схеме.
Доброго времени!!! Маршрутизация не включается и не выключается. Она всегда работает, как это не парадоксально звучит. "Пересылка трафика" - это ничто иное, как активация механизма приёма чужого трафика. В качестве эксперимента настраивал машину с одной сетевухой и смотрящую в одну сеть в качестве маршрутизатора. Работало
Рекомендую ознакомится с ключом windows IpEnableRouter, с параметром net.ipv4.ip_forward в linux, и командой ip routing на некоторых устройствах cisco.
@@Networkisreachable так я про эти параметры и говорю. Именно эти параметры и включают приëм чужих пакетов системой. По поводу параметра Cisco - это активация L3 на L2 устройствах
@@Networkisreachable Кадр ломится на мак маршрутизатора, но IP адресованы не этой системе. Вот именно такие кадры по умолчанию отбрасываются. Маршрутизация - неотъемлем часть стека IP.
@@SsergeySav С логикой вашей тогда согласен. Даже просто хост маршрутизирует пакеты отсылая их по дефолту. Но вернемся к вышеназванным параметрам и пакету направляемому на неизвестный IP. Без установки этих опций будет работать хост как маршрутизатор? Или всё таки эту функцию (работы в качестве маршрутизатора) нужно включить?
Всегда было интересно, как программисты микрософта додумались привязывать указание маршрутизатора по умолчанию и DNS- серверов к интерфейсу. Человеку, который начинает изучение сетей с Винды, это калечит понимание напрочь. По-моему, стоит отдельно разбирать со студентами этот бред Микрософта.
Ну мы и разбираем, во всех лекциях и практиках я обращаю внимание на этот момент, с шлюзом по умолчанию. Сам помню как также когда-то недоумевал, и пытаюсь прояснить эти моменты.
Потому что у него два разных IP интерфейса (а можем и три, и двадцать три!), и у этих интерфейсов разные адреса в разных сетях и размер этих сетей разный.
@@Networkisreachable спасибо за ответ. значит пропустил эту тему, хотя вроде видео смотрю попорядку. Значит буду искать по запросу интерфейсы. Я правильно понимаю - это eth0 lo wlan0 ? Увидел, как раз с 22:00 начинается эта тема, просто не досмотрел, а побежал писать комментарии
Здравствуйте. На работе раньше сталкивался с настройкой IPTV на DSL-модемах. Авторизация в сети провайдера происходила через PPPoE, для приставки на модеме создавался отдельно Bridge, также группировали интерфейсы. Но возникали проблемы с мультикастом, половина ТВ-каналов не работала. Для этого на роутере прописывали статику: ip 1.0.0.1 маска 255.255.255.252, шлюз 1.0.0.2 и DNS провайдера: 213.140.228.30. Ip адрес и шлюз взяты символически, или же это маршрут по умолчанию для IPTV-трафика?
Скажите, пожалуйста, можно ли в примере с 1:07:17 использовать маску /31 чтобы в диапазон попали адреса .32 и .33, или в таком случае 10.60.0.32 это будет адрес сети и обратиться к узлу уже нельзя? Можно ли подобные правила группировать каким-то иным способом (для уменьшения таблицы маршрутизации): если маршрут нужен будет не до 2, а до 10 устройств - потребуется 10 строк занять?
Вы верно подметили, чтоб ходить на 32 и 33 можно использовать маску /31. Когда вы отписываете маршрут, 32 - будет таким же адресом к которому можно обратиться не взирая что это адрес сети.
@@Networkisreachable Т.е. обращение к адресу сети работает немного по-разному в зависимости от места применения и задействованного оборудования? Задать IP адрес сети на узле нельзя (логично), но если адрес узла станет адресом сети в рамках некой команды, то обратиться к узлу можно. Получается у масок два назначения: 1) деление диапазона адресов на постоянные подсети (эти настройки централизованные и определяют какие параметры IP, mask и GW задаются на узлах сети/подсети); 2) определение диапазона идущих подряд IP адресов в рамках некой команды/функции (на организацию сети не влияет, но обрабатывается сетевым оборудованием как и деление на постоянные подсети).
@@svetlanapogodina2199 Вы очень верно поделили их на эти две группы (как и было отмечено в лекции по адресации): 1.VLSM (это когда мы режем физические сети) и 2. CIDR когда мы используем маски чтоб адресовать пространство при маршрутизации. И напомню что среди физических сетей существует пара исключений: loopback /32 (он же сеть и он же одинокий хост) , /31 (RFC 3021) многое сетевое оборудование умеет на линках точка-точка использовать такую сетку, в ней первый адрес он же сеть и он же первый хост. Остальные маски упускают первый адрес под номер сети.
@@Networkisreachable Спасибо большое за подробный ответ! Получается что если в маршруте нужно указать диапазон более 2 адресов - необходимо будет учитывать обычный принцип работы маски (когда первый адрес определен под адрес сети, а последний - под бродкаст)? Извините, что по несколько раз одно и то же спрашиваю - хочу сразу разобраться, пока вопрос не забылся и не остался в памяти в неправильном понимании.
@@svetlanapogodina2199 нет, если вы пишете маршрут на х.х.0.8/29 то вы сможете сласть пакеты на адреса с 8 по 15ый. Физически возможно это сеть 0.0/24 и вам там ответят все 8 хостов (8-15, если они есть), а может это сеть 0.8/29 и тогда адрес 8 просто не будет занят хостом а 15 используется как бродкаст (реально будут существовать 9-14). А возможно физически в этом пространстве сетка 0.8/30 и 0.12/30 и реальные хосты там будут 9,10 и 13,14. Используя запись в таблице маршрутизации вам вообще все равно что там за сети, главное чтоб вы это сами понимали при формировании маршрута. Можно сделать и иначе можно написать маршрут на сеть х.х.0.0/23, а там физически 0.0/24 и 1.0/24 по тому адреса 0.0, 0.255, 1.0, 1.255 не будут принадлежать хостам, но это и не важно.
Задам наверное глупый вопрос, Вы говорите что на разных интерфейсах разные маки, это очевидно. То есть каждый маршрутизатор на каждом интерфейсе имеет разный мак-адрес? Это всегда так или только у определенных вендеров?
А сколько примерно маршрутов в среднем содержится в таблице маршрутизации? Понятно, там содержатся не все маршруты интернета, потому что тогда бы процесс маршрутизации был слишком долгим, да и понятие шлюза по умолчанию не имело бы смысла.
в маленькой конторе - десятки маршрутов, в крупной - сотни, у провайдера тысячи (я о серых сетях), если это маршрутизаторы провайдеров фул вью то все маршруты интернета, их сейчас около 1млн. тут ещё нужно учитывать что если линков full view несколько то умножаем на количество, т.к. общая таблица будет содержать их всех.
@@Networkisreachable Наконец-то понял, как сформулировать вопрос. Далёкие подсети, которые мы суммируем в таблице маршрутизации, обязательно должны быть соседними друг с другом, или они могут просто находиться "неподалеку друг от друга"? Или как это вообще работает?
В самом заголовке l2 кадра нет ip, но если он несет ip пакет то ip адрес будет указан уже в самом пакете. Arp будет использоваться л3 коммутатором, если в этом вилане у него svi интерфейс.
Это обсуждается вот в этом ролике ua-cam.com/video/pf60znSIlg0/v-deo.html МСЭ использует технологию NAT, proxy это протокол позволяющий запрашивать страницы для вас из под своего соединения.
не по теме урока но вопрос, в сети предприятия несколько локальных подсетей и доступ отсутствует между пк в разных подсетях при включенном брандмауэре, если выключить то доступ есть. нашёл вариант просто прописать входящее правило для всех протоколов и указать в области все подсети, тогда тоже всё работает при включенном брандмауэре, но будет ли тогда вообще смысл брандмауэра? это не становится равносильно его отключению?
Если протоколы указаны все и сегменты тоже все, то это равносильно его отключению. При использовании брандмауэра или фаервола внутри сети, вы должны точно понимать кого, куда и по каким протоколам пускать и не пускать. В случае корпоративной сети более логично выглядит настойка ACL для разных подсетей или выделение под эту задачу фаервола (если параметры фильтрации сложные или их очень много), иначе вам придётся накатывать через AD разные политики по брандмауэру для разных подсетей.
@@Networkisreachable перечитаю ваш комментарий когда посмотрю ваш курс) может больше пойму) а то предприятие практически с нуля разбирается во всём этом. Пару лет назад все сидели просто через 100мб неуправляемые коммутаторы в интернете разрабатывая оборудования для межконтинентальных ракет и ракетоносителей, а сейчас уже хотя бы тупо физически разделили локалку и интернет, кому нужен интернет ставят отдельный ПК... Vlan'ов штук 10-11 на 500+ ПК, оборудование заменили на 1gb, но в локалке брандмауэры выключены и контроль учётных записей тоже, сервера на 775 сокете некоторые, потихоньку и их обновляем, но до более менее приличной сети ещё долеко, почему то вариант нанять сетевого инженера не рассматривают. Я вообще пришёл ПК обслуживать, а теперь сервер файловый надо ставить и в домен всех загонять... Приходится разбираться. А брандмауэр лучше на отдельном маршрутизаторе настраивать? Чтобы ПК с разных подсетей работали нормально, или со своим штатным брандмауэром, или всё равно будет проблема с невидимостью ПК в разных подсетях. Нужен ли вообще брандмауэр если локальная сеть подключена физически отдельно от глобальной? (Понимаю что нужна, розетки то там сям свободные есть, спасает пока что отсутствие dhcp, но подобрать свободный ip можно перебором) столько вопросов... Ну и если на все вопросы будут ответы добавлю последний, адекватно физически разделять локалку и инет или это временный выход пока нормального сетевого экрана нет?
@@ajibkotpac 1. Разделять глобальную сеть и локальную обязательно, но я очень сомневаюсь что у вас в одном сегменте живут компьютеры с белыми и серыми адресами. Скорее вы имеете ввиду разграничение сетей с выходом в интернет и без него, это уже зависит от политики безопасности для данного предприятия. 2. Разделения доступа из сети в сеть лучше делать на сетевом оборудовании (ещё лучше если в одной точке), т.к. как вы заметили, если включить пк не с AD, то он сможет ходить куда захочет. 3. Задача ограничения подключения к свободным портам решается методами port secutiry и 802.1х 4. IP адрес в сети без DHCP можно подобрать не перебором, а послушав пакеты wireshark. Кстати о птичках, DHCP тоже нужно защищать (dhcp snooping), и решить вопрос будет ли он на сетевой железке или на сервере.
@@ajibkotpac Важно понять одно: брендмауэр пк, он экранирует только пк, но никак не влияет на безопасность сети в целом. И делает он это с доменом или нет, в зависимости от его настроек.
Спасибо за лекции, очень помогает, смотрю все. Вот только сейчас задачка одна, хотелось бы ваш ответ услышать. Не понимаю там один момент. Вопрос на хабр опубликовал. 1342670
невероятнейший профессионал, так доходчиво объяснять материал... вот бы курсы платные вел, поучился бы
спасибо за отзыв! ну возможно когда-то и будут платные практики.
@@Networkisreachableя бы вписался на обучение 👍
@@anton_worobey Очень скоро будут анонсированы мои практики по Cisco.
Спасибо огромное за предоставленный материал. Подчерпнул много полезной информации ❤
Классная лекция!
Михе Бочарову привет! 😉
Уважаемые зрители! Если видео лекции/практики оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Анонсы, обсуждения, вопросы тут: t.me/nir_net
Для желающих поддержать канал boosty.to/nir_net
Как всегда шикарная подача и полезная информация , мое почтение .
Очень классно рассказываете для начинающих. Но, наверно, лучше не предлагать студентам включать в работающую сеть новые ненастроенные устройства ))
Видел много ситуаций, когда такие действия приводили к плохим последствиям.
Вероятно вы имеете ввиду пример с использованием двух сетей на одном интерфейсе компьютера, да опасность поймать в своей сети DHCP сервер или нового root по STP есть, но надо понимать что это лишь пример.
Если же говорить о обсуждении L2, мы уделяем максимальное внимание как включать всё чтоб ничего не положить, а в практиках по STP студенты каждый год кладут стенд петлями (переключают разные типы протоколов STP и ошибаются), аналогично со switch картами в маршрутизаторах, ну и иногда с LAG.
Спасибо за курс лекций!
Спасибо за отзыв!
Спасибо за лекцию! Хотелось бы добавить небольшой комментарий по презентации. На 20-ой минуте вы рассказываете про то, как выглядят таблицы маршрутизации устройств из топологии, которую вы разбирали несколько минут назад. Что я заметил это то, что не очень удобно пытаться разобраться, что какой адрес означает без картинки топологии рядом. Чтобы действительно понять, пришлось открыть UA-cam на двух вкладках и смотреть параллельно на топологию во второй и только тогда дошло, как устроена статическая маршрутизация
Спасибо! Вот по этому я всегда заставляю студентов при практиках иметь перед собой распечатанную схему соединений, а иначе в голове тяжело собрать картинку! Иногда полезно и просто рисовать маршруты прям на схеме.
Очень четко и ясно, спасибо
Пожалуйста!
Доброго времени!!! Маршрутизация не включается и не выключается. Она всегда работает, как это не парадоксально звучит. "Пересылка трафика" - это ничто иное, как активация механизма приёма чужого трафика. В качестве эксперимента настраивал машину с одной сетевухой и смотрящую в одну сеть в качестве маршрутизатора. Работало
Рекомендую ознакомится с ключом windows IpEnableRouter, с параметром net.ipv4.ip_forward в linux, и командой ip routing на некоторых устройствах cisco.
@@Networkisreachable так я про эти параметры и говорю. Именно эти параметры и включают приëм чужих пакетов системой. По поводу параметра Cisco - это активация L3 на L2 устройствах
@@SsergeySav Что значит чужие пакеты?
@@Networkisreachable Кадр ломится на мак маршрутизатора, но IP адресованы не этой системе. Вот именно такие кадры по умолчанию отбрасываются. Маршрутизация - неотъемлем часть стека IP.
@@SsergeySav С логикой вашей тогда согласен. Даже просто хост маршрутизирует пакеты отсылая их по дефолту. Но вернемся к вышеназванным параметрам и пакету направляемому на неизвестный IP. Без установки этих опций будет работать хост как маршрутизатор? Или всё таки эту функцию (работы в качестве маршрутизатора) нужно включить?
Всегда было интересно, как программисты микрософта додумались привязывать указание маршрутизатора по умолчанию и DNS- серверов к интерфейсу. Человеку, который начинает изучение сетей с Винды, это калечит понимание напрочь. По-моему, стоит отдельно разбирать со студентами этот бред Микрософта.
Ну мы и разбираем, во всех лекциях и практиках я обращаю внимание на этот момент, с шлюзом по умолчанию. Сам помню как также когда-то недоумевал, и пытаюсь прояснить эти моменты.
Что-то для меня тут уже сложно, а как так получается, что у марширутизатора 2 ip адресса и 2 маски(150.9.1.1/24, 150.9.2.253/30)
Потому что у него два разных IP интерфейса (а можем и три, и двадцать три!), и у этих интерфейсов разные адреса в разных сетях и размер этих сетей разный.
@@Networkisreachable спасибо за ответ. значит пропустил эту тему, хотя вроде видео смотрю попорядку. Значит буду искать по запросу интерфейсы. Я правильно понимаю - это eth0 lo wlan0 ? Увидел, как раз с 22:00 начинается эта тема, просто не досмотрел, а побежал писать комментарии
35:41 вот на схеме в примере левый маршрутизатор называется “core” -смотрит ^в оба конца^; а правый b1 это что-то особенно означает или просто.
это просто названия, никакой нагрузки в данном примере они не несут.
Core , ядро или основной с английского. То есть в топологии он будет главным, грубо говоря.
Здравствуйте. На работе раньше сталкивался с настройкой IPTV на DSL-модемах. Авторизация в сети провайдера происходила через PPPoE, для приставки на модеме создавался отдельно Bridge, также группировали интерфейсы. Но возникали проблемы с мультикастом, половина ТВ-каналов не работала. Для этого на роутере прописывали статику: ip 1.0.0.1 маска 255.255.255.252, шлюз 1.0.0.2 и DNS провайдера: 213.140.228.30. Ip адрес и шлюз взяты символически, или же это маршрут по умолчанию для IPTV-трафика?
Не могу ответить почему так поступали. Мультикаст идет туда, где есть получатель. Там специальные протоколы, IGMP, PIM.
Скажите, пожалуйста, можно ли в примере с 1:07:17 использовать маску /31 чтобы в диапазон попали адреса .32 и .33, или в таком случае 10.60.0.32 это будет адрес сети и обратиться к узлу уже нельзя?
Можно ли подобные правила группировать каким-то иным способом (для уменьшения таблицы маршрутизации): если маршрут нужен будет не до 2, а до 10 устройств - потребуется 10 строк занять?
Вы верно подметили, чтоб ходить на 32 и 33 можно использовать маску /31. Когда вы отписываете маршрут, 32 - будет таким же адресом к которому можно обратиться не взирая что это адрес сети.
@@Networkisreachable Т.е. обращение к адресу сети работает немного по-разному в зависимости от места применения и задействованного оборудования? Задать IP адрес сети на узле нельзя (логично), но если адрес узла станет адресом сети в рамках некой команды, то обратиться к узлу можно.
Получается у масок два назначения:
1) деление диапазона адресов на постоянные подсети (эти настройки централизованные и определяют какие параметры IP, mask и GW задаются на узлах сети/подсети);
2) определение диапазона идущих подряд IP адресов в рамках некой команды/функции (на организацию сети не влияет, но обрабатывается сетевым оборудованием как и деление на постоянные подсети).
@@svetlanapogodina2199 Вы очень верно поделили их на эти две группы (как и было отмечено в лекции по адресации): 1.VLSM (это когда мы режем физические сети) и 2. CIDR когда мы используем маски чтоб адресовать пространство при маршрутизации.
И напомню что среди физических сетей существует пара исключений: loopback /32 (он же сеть и он же одинокий хост) , /31 (RFC 3021) многое сетевое оборудование умеет на линках точка-точка использовать такую сетку, в ней первый адрес он же сеть и он же первый хост. Остальные маски упускают первый адрес под номер сети.
@@Networkisreachable Спасибо большое за подробный ответ! Получается что если в маршруте нужно указать диапазон более 2 адресов - необходимо будет учитывать обычный принцип работы маски (когда первый адрес определен под адрес сети, а последний - под бродкаст)?
Извините, что по несколько раз одно и то же спрашиваю - хочу сразу разобраться, пока вопрос не забылся и не остался в памяти в неправильном понимании.
@@svetlanapogodina2199 нет, если вы пишете маршрут на х.х.0.8/29 то вы сможете сласть пакеты на адреса с 8 по 15ый. Физически возможно это сеть 0.0/24 и вам там ответят все 8 хостов (8-15, если они есть), а может это сеть 0.8/29 и тогда адрес 8 просто не будет занят хостом а 15 используется как бродкаст (реально будут существовать 9-14). А возможно физически в этом пространстве сетка 0.8/30 и 0.12/30 и реальные хосты там будут 9,10 и 13,14.
Используя запись в таблице маршрутизации вам вообще все равно что там за сети, главное чтоб вы это сами понимали при формировании маршрута. Можно сделать и иначе можно написать маршрут на сеть х.х.0.0/23, а там физически 0.0/24 и 1.0/24 по тому адреса 0.0, 0.255, 1.0, 1.255 не будут принадлежать хостам, но это и не важно.
Здравствуйте. А почему нельзя объединить схемы L2 и L3? заранее спасибо
Возможно поможет этот ролик ua-cam.com/video/JuxvT0ebbWo/v-deo.html
Спасибо
Задам наверное глупый вопрос, Вы говорите что на разных интерфейсах разные маки, это очевидно. То есть каждый маршрутизатор на каждом интерфейсе имеет разный мак-адрес? Это всегда так или только у определенных вендеров?
Всегда так,у всех вендоров. Встречал только иногда что все vlan int у L3 коммутаторов все имеют один мак.
Спасибо большое за ответ и за Ваши видео, очень хорошо объясняете и интересно!@@Networkisreachable
А сколько примерно маршрутов в среднем содержится в таблице маршрутизации? Понятно, там содержатся не все маршруты интернета, потому что тогда бы процесс маршрутизации был слишком долгим, да и понятие шлюза по умолчанию не имело бы смысла.
в маленькой конторе - десятки маршрутов, в крупной - сотни, у провайдера тысячи (я о серых сетях), если это маршрутизаторы провайдеров фул вью то все маршруты интернета, их сейчас около 1млн. тут ещё нужно учитывать что если линков full view несколько то умножаем на количество, т.к. общая таблица будет содержать их всех.
@@Networkisreachable то есть, маршрутизаторам, которые содержат маршруты до всех хостов, шлюз по умолчанию не нужен?
В общем да, это обычно провайдерские маршрутизаторы с full view bgp таблицей маршрутизации.@@northern_man_
@@Networkisreachable спасибо за информацию
@@Networkisreachable Наконец-то понял, как сформулировать вопрос. Далёкие подсети, которые мы суммируем в таблице маршрутизации, обязательно должны быть соседними друг с другом, или они могут просто находиться "неподалеку друг от друга"? Или как это вообще работает?
извините, но разве в л2 кадре есть айпи назначения? и второй вопрос: используют ли коммутаторы арп?
В самом заголовке l2 кадра нет ip, но если он несет ip пакет то ip адрес будет указан уже в самом пакете. Arp будет использоваться л3 коммутатором, если в этом вилане у него svi интерфейс.
Чем отличаются МСЭ от прокси-серверов?
Это обсуждается вот в этом ролике ua-cam.com/video/pf60znSIlg0/v-deo.html МСЭ использует технологию NAT, proxy это протокол позволяющий запрашивать страницы для вас из под своего соединения.
не по теме урока но вопрос, в сети предприятия несколько локальных подсетей и доступ отсутствует между пк в разных подсетях при включенном брандмауэре, если выключить то доступ есть. нашёл вариант просто прописать входящее правило для всех протоколов и указать в области все подсети, тогда тоже всё работает при включенном брандмауэре, но будет ли тогда вообще смысл брандмауэра? это не становится равносильно его отключению?
Если протоколы указаны все и сегменты тоже все, то это равносильно его отключению. При использовании брандмауэра или фаервола внутри сети, вы должны точно понимать кого, куда и по каким протоколам пускать и не пускать. В случае корпоративной сети более логично выглядит настойка ACL для разных подсетей или выделение под эту задачу фаервола (если параметры фильтрации сложные или их очень много), иначе вам придётся накатывать через AD разные политики по брандмауэру для разных подсетей.
@@Networkisreachable перечитаю ваш комментарий когда посмотрю ваш курс) может больше пойму) а то предприятие практически с нуля разбирается во всём этом. Пару лет назад все сидели просто через 100мб неуправляемые коммутаторы в интернете разрабатывая оборудования для межконтинентальных ракет и ракетоносителей, а сейчас уже хотя бы тупо физически разделили локалку и интернет, кому нужен интернет ставят отдельный ПК... Vlan'ов штук 10-11 на 500+ ПК, оборудование заменили на 1gb, но в локалке брандмауэры выключены и контроль учётных записей тоже, сервера на 775 сокете некоторые, потихоньку и их обновляем, но до более менее приличной сети ещё долеко, почему то вариант нанять сетевого инженера не рассматривают. Я вообще пришёл ПК обслуживать, а теперь сервер файловый надо ставить и в домен всех загонять... Приходится разбираться. А брандмауэр лучше на отдельном маршрутизаторе настраивать? Чтобы ПК с разных подсетей работали нормально, или со своим штатным брандмауэром, или всё равно будет проблема с невидимостью ПК в разных подсетях. Нужен ли вообще брандмауэр если локальная сеть подключена физически отдельно от глобальной? (Понимаю что нужна, розетки то там сям свободные есть, спасает пока что отсутствие dhcp, но подобрать свободный ip можно перебором) столько вопросов... Ну и если на все вопросы будут ответы добавлю последний, адекватно физически разделять локалку и инет или это временный выход пока нормального сетевого экрана нет?
@@ajibkotpac 1. Разделять глобальную сеть и локальную обязательно, но я очень сомневаюсь что у вас в одном сегменте живут компьютеры с белыми и серыми адресами. Скорее вы имеете ввиду разграничение сетей с выходом в интернет и без него, это уже зависит от политики безопасности для данного предприятия.
2. Разделения доступа из сети в сеть лучше делать на сетевом оборудовании (ещё лучше если в одной точке), т.к. как вы заметили, если включить пк не с AD, то он сможет ходить куда захочет.
3. Задача ограничения подключения к свободным портам решается методами port secutiry и 802.1х
4. IP адрес в сети без DHCP можно подобрать не перебором, а послушав пакеты wireshark. Кстати о птичках, DHCP тоже нужно защищать (dhcp snooping), и решить вопрос будет ли он на сетевой железке или на сервере.
@@Networkisreachable 1. Да, с выходом и без.
2. С доменом я так понимаю безопасность по выше?
3. Принял
4. Хорошо почитаю
Спасибо
@@ajibkotpac Важно понять одно: брендмауэр пк, он экранирует только пк, но никак не влияет на безопасность сети в целом. И делает он это с доменом или нет, в зависимости от его настроек.
+Plus
Спасибо за лекции, очень помогает, смотрю все. Вот только сейчас задачка одна, хотелось бы ваш ответ услышать. Не понимаю там один момент.
Вопрос на хабр опубликовал. 1342670
Разобрали ваш вопрос.
@@Networkisreachable да, очень хороший преподаватель, спасибо