Базовый курс компьютерных сетей для системного администратора

Основы сетей и модель OSI/TCP-IP

Компьютерная сеть нужна, чтобы устройства могли обмениваться данными. Для системного администратора важно понимать как именно эти данные проходят путь от приложения до кабеля (или Wi‑Fi) и обратно, где возникают проблемы и на каком уровне их искать.

Зачем системному администратору модель уровней

Модели OSI и TCP/IP помогают:

Разделять сложную систему на понятные части

Быстрее диагностировать неполадки по шагам

Понимать, где работает конкретный протокол или устройство

Грамотно собирать требования к сети (адресация, маршрутизация, безопасность)

Главная идея: каждый уровень решает свою задачу и предоставляет сервис уровню выше.

Базовые понятия сети

Что такое узел и канал связи

Узел: устройство в сети (ПК, сервер, маршрутизатор, принтер)

Канал связи: среда передачи данных (витая пара, оптика, Wi‑Fi)

Данные в сети: кадр, пакет, сегмент

Один и тот же фрагмент данных называют по-разному в зависимости от уровня:

Кадр: данные на канальном уровне (например, Ethernet)

Пакет: данные на сетевом уровне (например, IP)

Сегмент: данные на транспортном уровне (часто говорят про TCP)

Адреса в сети: кто, где и какому приложению

В сети одновременно используются разные типы адресов.

| Что адресуем | Пример | Где используется | Зачем нужно | |---|---|---|---| | Устройство в локальной сети | MAC 00:11:22:33:44:55 | Канальный уровень | Доставка внутри одного L2-сегмента (одной локальной сети) | | Узел в сети IP | IPv4 192.168.1.10, IPv6 2001:db8::10 | Сетевой уровень | Маршрутизация между сетями | | Приложение на узле | Порт 443, 53, 22 | Транспортный уровень | Доставка данных нужному сервису на хосте |

Важно: MAC обычно меняется при переходе между сетями (через маршрутизатор), а IP-адреса используются для пути между сетями.

Инкапсуляция: как данные “упаковываются”

Когда приложение отправляет данные, они поочередно “упаковываются” заголовками разных уровней. На принимающей стороне процесс идет в обратную сторону.

Приложение формирует полезные данные (например, HTTP-запрос).

Транспорт добавляет заголовок (например, TCP: порты, контроль доставки).

Сетевой уровень добавляет заголовок IP (адреса источника и назначения).

Канальный уровень добавляет заголовок и хвост кадра (например, Ethernet: MAC-адреса, контроль целостности).

Физический уровень передает биты по среде.

!Визуально показывает, как данные оборачиваются заголовками разных уровней

Модель OSI: 7 уровней

Модель OSI — это учебная эталонная модель, которая помогает описывать сетевое взаимодействие по уровням.

| Уровень OSI | Название | Простыми словами | Примеры технологий и протоколов | Примеры устройств и инструментов | |---|---|---|---|---| | 7 | Прикладной | То, с чем работает пользователь и сервисы | HTTP, DNS, SMTP, SSH | Браузер, curl, почтовый сервер | | 6 | Представления | Формат данных: кодировки, шифрование, сжатие | TLS, UTF-8, JSON | TLS-терминация на прокси, библиотеки шифрования | | 5 | Сеансовый | Управление сеансом обмена (логическая “сессия”) | Механизмы сессий в протоколах | Шлюзы, приложения | | 4 | Транспортный | Доставка между приложениями (порты), надежность | TCP, UDP | ss, netstat, балансировщики | | 3 | Сетевой | Доставка между сетями (маршрутизация) | IP, ICMP | Маршрутизатор, ip route, ping | | 2 | Канальный | Доставка внутри локальной сети | Ethernet (IEEE 802.3), Wi‑Fi (IEEE 802.11), ARP | Коммутатор (switch), tcpdump | | 1 | Физический | Сигнал по среде: биты и электричество/радио | Витая пара, оптика, радиоканал | Кабели, SFP-модули, тестеры |

Замечание: в реальных сетях границы иногда условны, но для диагностики модель очень удобна.

Модель TCP/IP: как устроен реальный стек Интернета

На практике чаще используют стек TCP/IP (его еще называют моделью Интернета). Он ближе к реальным протоколам.

> “The Internet Protocol is designed for use in interconnected systems of packet-switched computer communication networks.” Internet Protocol (RFC 791)

Обычно выделяют 4 уровня TCP/IP:

| TCP/IP уровень | Что включает | Примеры | |---|---|---| | Прикладной | Все протоколы приложений и их форматы | HTTP, DNS, SMTP, SSH, TLS | | Транспортный | Доставка “процесс-процесс”, порты | TCP, UDP | | Интернет (сетевой) | IP-адресация и маршрутизация | IPv4/IPv6, ICMP | | Канальный (доступ к сети) | Локальная доставка и физическая среда | Ethernet, Wi‑Fi, ARP |

Соответствие OSI и TCP/IP

| OSI | TCP/IP | Комментарий | |---|---|---| | 7 Прикладной | Прикладной | В TCP/IP сюда же обычно относят функции OSI 5–6 | | 6 Представления | Прикладной | Например, TLS и форматы данных | | 5 Сеансовый | Прикладной | Сессии чаще реализуются на уровне приложений | | 4 Транспортный | Транспортный | TCP/UDP | | 3 Сетевой | Интернет | IP и маршрутизация | | 2 Канальный | Канальный | Ethernet/Wi‑Fi, ARP | | 1 Физический | Канальный | Физическая среда рассматривается вместе с доступом к сети |

!Помогает быстро запомнить, как уровни OSI “схлопываются” в TCP/IP

Пример: что происходит при открытии сайта

Рассмотрим упрощенный путь, когда вы открываете https://example.com.

DNS: компьютер узнает IP-адрес домена у DNS-сервера (например, получает 93.184.216.34).

Маршрут: система понимает, куда отправлять пакет (обычно на “шлюз по умолчанию”, то есть домашний/офисный маршрутизатор).

ARP (в локальной сети): чтобы отправить кадр в локальной сети, нужен MAC-адрес следующего узла (часто это MAC маршрутизатора). ARP помогает сопоставить IP и MAC.

TCP: устанавливается соединение с сервером на порт 443 (это стандартный порт HTTPS). TCP обеспечивает надежную доставку и порядок.

TLS: выполняется шифрование канала (чтобы данные нельзя было прочитать по пути).

HTTP: отправляется запрос и приходит ответ (страница, API-ответ и так далее).

Если на каком-то шаге ошибка, то “ломается” и все выше. Например, если не работает DNS, браузер не узнает IP и не дойдет до TCP.

Как применять уровни в диагностике (практика админа)

Удобный подход: проверять снизу вверх.

| Что проверяем | Типичный симптом | Примеры действий | |---|---|---| | Физика (кабель/радио) | Линк не поднимается, потери | Проверка индикации, замена кабеля, проверка Wi‑Fi сигнала | | Канальный уровень (L2) | Нет связи в пределах сети | Проверка VLAN, таблиц MAC на коммутаторе, tcpdump | | Сетевой уровень (L3) | Нет доступа в другие сети | Проверка IP/маски/шлюза, ping, маршруты (ip route) | | Транспорт (L4) | “Пингуется, но сервис не работает” | Проверка портов (ss -tulpn), firewall, NAT | | Прикладной уровень (L7) | Ошибки приложения | Логи сервиса, конфиги, проверка HTTP-кодов, DNS-записей |

Минимальный словарь статьи

Коммутатор (switch): устройство, которое пересылает кадры внутри локальной сети по MAC-адресам.

Маршрутизатор (router): устройство, которое пересылает пакеты между сетями по IP-адресам.

Шлюз по умолчанию: маршрутизатор, куда хост отправляет трафик “во внешние сети”, если не знает более точного маршрута.

DNS: система, которая переводит доменные имена в IP-адреса.

Порт: номер, который помогает доставить трафик конкретному приложению на хосте.

Источники

Internet Protocol (RFC 791)

Transmission Control Protocol (RFC 793)

User Datagram Protocol (RFC 768)

Requirements for Internet Hosts — Communication Layers (RFC 1122)

IP-адресация, подсети, DHCP и DNS

В предыдущей статье мы разобрали, как данные идут по уровням OSI и TCP/IP: от приложения до кабеля и обратно. В этой статье углубимся в то, без чего почти не бывает рабочей сети системного администратора: IP-адресация, подсети, а также службы DHCP и DNS.

Главная практическая цель: уметь ответить на вопросы кто я в сети, где мой шлюз, куда отправлять трафик, кто выдал адрес и как имя превратилось в IP.

Где это находится в модели TCP/IP

Интернет-уровень (L3): IP-адреса и маршрутизация между сетями.

Прикладной уровень (L7): DHCP и DNS как сетевые сервисы, которые работают поверх UDP/TCP.

IP-адрес: что это и зачем

IP-адрес — это адрес узла в IP-сети, который нужен для доставки пакетов между сетями.

Важно различать адреса на разных уровнях:

| Что адресуем | Пример | Уровень | Где используется | |---|---|---|---| | Устройство в локальной сети | MAC 00:11:22:33:44:55 | L2 | Доставка кадров внутри одного L2-сегмента | | Узел в IP-сети | IPv4 192.168.1.10 | L3 | Маршрутизация между сетями | | Приложение на узле | Порт 53, 443 | L4 | Доставка к конкретному сервису |

IPv4 и IPv6

IPv4 — привычные адреса вида 192.168.1.10. Их ограниченное количество, поэтому часто применяют NAT (о нем обычно говорят отдельно).

IPv6 — адреса длиннее, например 2001:db8::10. IPv6 решает проблему нехватки адресов и имеет другие нюансы.

В базовой админской практике вы почти всегда начнете с уверенного владения IPv4, поэтому далее фокус — на IPv4, но DNS и DHCP рассмотрим так, чтобы не ломалось понимание и для IPv6.

Подсеть: как понять, кто “свой”, а кто “в другой сети”

Подсеть — это группа IP-адресов, которые считаются локальной сетью с точки зрения IP.

Чтобы хост понимал границу своей сети, ему нужны:

IP-адрес

Маска подсети (или запись префикса вида /24)

Шлюз по умолчанию (куда отправлять пакеты в другие сети)

Маска и префикс CIDR

Запись вида /24 называется CIDR-префикс: это короткая форма описания маски.

/24 обычно соответствует маске 255.255.255.0

/16 обычно соответствует маске 255.255.0.0

Смысл простой: префикс задает, какая часть адреса относится к сети, а какая — к узлам внутри сети.

!Разделение IP-адреса на сетевую и хостовую части

Пример “свой” или “чужой”

Допустим, у ПК:

IP: 192.168.10.34

Маска: /24

Тогда локальная подсеть обычно записывается как 192.168.10.0/24.

Узел 192.168.10.50 будет в той же подсети.

Узел 192.168.11.10 будет в другой подсети.

Если адрес назначения в той же подсети, хост отправляет трафик напрямую в локальную сеть (на L2, через ARP). Если адрес назначения в другой подсети, хост отправляет трафик на шлюз по умолчанию.

Шлюз по умолчанию

Шлюз по умолчанию — это IP-адрес маршрутизатора в вашей подсети, которому вы доверяете доставку трафика в другие сети.

Типичный пример дома или в офисе:

ПК: 192.168.1.100/24

Шлюз: 192.168.1.1

Частные адреса и почему они встречаются почти везде

В локальных сетях обычно используют частные (private) IPv4-диапазоны, которые не маршрутизируются напрямую в интернете.

Основные диапазоны:

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

Они определены в RFC 1918: Address Allocation for Private Internets (RFC 1918).

Подсети на практике: зачем делить сеть

Деление на подсети нужно, чтобы:

ограничивать широковещательный трафик (в том числе ARP)

разделять пользователей и серверы по сегментам безопасности

упрощать управление адресами и политиками доступа

Быстрый ориентир по размеру подсети

В IPv4 количество адресов в подсети зависит от префикса.

Идея такая:

чем больше число после /, тем меньше подсеть

в маленькой подсети меньше доступных IP для устройств

Минимальная полезная подсеть для хостов в классической практике — /30 (2 адреса для устройств), но в офисных сетях чаще встречаются /24, /25, /26 и так далее.

Таблица для быстрого планирования:

| Префикс | Маска | Всего адресов | Обычно доступно для устройств | |---|---|---:|---:| | /24 | 255.255.255.0 | 256 | 254 | | /25 | 255.255.255.128 | 128 | 126 | | /26 | 255.255.255.192 | 64 | 62 | | /27 | 255.255.255.224 | 32 | 30 | | /28 | 255.255.255.240 | 16 | 14 |

Почему “обычно доступно меньше”: в большинстве подсетей один адрес используется как адрес сети (идентификатор подсети), а один как широковещательный адрес (для отправки всем в подсети). В обычных LAN-сетях их не назначают хостам.

Пример разбиения сети

Есть сеть 192.168.10.0/24, и вам нужно 4 сегмента примерно по 50 устройств.

Логичное решение — разделить на 4 подсети /26 (по 62 устройства в каждой):

| Подсеть | Диапазон адресов для устройств (обычно) | Возможный шлюз | |---|---|---| | 192.168.10.0/26 | 192.168.10.1 – 192.168.10.62 | 192.168.10.1 | | 192.168.10.64/26 | 192.168.10.65 – 192.168.10.126 | 192.168.10.65 | | 192.168.10.128/26 | 192.168.10.129 – 192.168.10.190 | 192.168.10.129 | | 192.168.10.192/26 | 192.168.10.193 – 192.168.10.254 | 192.168.10.193 |

!Наглядное разбиение /24 на четыре /26

Частая админская ошибка

Адрес хоста: 192.168.10.10/24

Шлюз: 192.168.11.1

Даже если шлюз существует, хост будет считать его в другой сети и не сможет “напрямую” обратиться к нему на L2. В результате “интернет не работает”, хотя кабель, DHCP и DNS могут быть исправны.

DHCP: как устройства получают сетевые настройки автоматически

DHCP (Dynamic Host Configuration Protocol) — протокол, который автоматически выдает хостам:

IP-адрес

маску (префикс)

шлюз по умолчанию

адреса DNS-серверов

и другие параметры

Официальное описание: Dynamic Host Configuration Protocol (RFC 2131).

Аренда (lease)

DHCP обычно выдает адрес в аренду на время (lease time).

Пока аренда действует, адрес “закреплен” за устройством.

Перед истечением аренды клиент пытается продлить ее.

Это помогает управлять пулом адресов и избегать конфликтов.

Как DHCP выдает адрес

Классический процесс часто называют DORA:

Discover: клиент ищет DHCP-сервер в сети.

Offer: сервер предлагает параметры (IP и прочее).

Request: клиент запрашивает выбранное предложение.

Ack: сервер подтверждает выдачу.

!Процесс получения адреса по DHCP

DHCP и разные подсети

DHCP-запросы клиента обычно не выходят за пределы локальной подсети, потому что это широковещательные сообщения.

Если DHCP-сервер находится в другой подсети, нужен DHCP relay (иногда говорят “DHCP-ретранслятор”) — функция на маршрутизаторе или L3-коммутаторе, которая принимает запросы из подсети и пересылает их на DHCP-сервер.

Резервация и статический адрес

Два распространенных подхода для серверов и сетевого оборудования:

Статический IP на устройстве: адрес вручную прописан на хосте.

DHCP-резервация: DHCP всегда выдает одному и тому же MAC-адресу один и тот же IP.

Практический плюс резервации: настройки централизованы на DHCP-сервере, но адрес остается стабильным.

Типичные проблемы с DHCP

Клиент получил адрес вида 169.254.x.x (Windows) или похожий “самоназначенный” адрес: обычно это означает, что DHCP недоступен.

Адрес выдан, но нет интернета: часто неверно выдан шлюз или маска.

Конфликт IP: в сети два устройства используют один IP (часто из-за статической настройки “внутри DHCP-пула”).

DNS: как имя превращается в IP

DNS (Domain Name System) — система, которая сопоставляет имена (например, example.com) с IP-адресами.

Базовые документы: Domain Names - Concepts and Facilities (RFC 1034) и Domain Names - Implementation and Specification (RFC 1035).

Роли в DNS: кто кому отвечает

Важно различать два типа DNS-серверов:

Рекурсивный DNS-сервер (recursive resolver): сервер, к которому обращается ваш ПК. Он сам ходит дальше по DNS-иерархии и возвращает результат.

Авторитативный DNS-сервер (authoritative): сервер, который является источником истины для конкретной зоны (например, для домена вашей компании).

Обычно:

рабочая станция использует рекурсивный DNS (часто это роутер, корпоративный DNS или публичный DNS)

рекурсивный DNS при необходимости опрашивает авторитативные серверы

Кэш и TTL

DNS-ответы кэшируются.

TTL (time to live) — время, в течение которого запись можно хранить в кэше.

Если вы поменяли запись, “интернет” может видеть изменения не сразу, пока не истечет TTL у разных кэшей.

Основные типы DNS-записей

| Тип записи | Пример | Зачем нужна | |---|---|---| | A | host.example.com -> 203.0.113.10 | Имя в IPv4-адрес | | AAAA | host.example.com -> 2001:db8::10 | Имя в IPv6-адрес | | CNAME | www -> site.example.com | Алиас (псевдоним) на другое имя | | MX | example.com -> mail.example.com | Почтовые серверы домена | | TXT | произвольный текст | Часто используют для проверок и политик (например, почта) | | PTR | 10.113.0.203.in-addr.arpa -> host.example.com | Обратное разрешение IP в имя |

Как DHCP связан с DNS

В типичной сети DHCP выдает клиенту адреса DNS-серверов.

Дальше клиент работает так:

Приложение запрашивает имя (например, intranet.local).

ОС отправляет DNS-запрос на DNS-сервер, указанный в настройках (часто выдан по DHCP).

Если DNS отвечает, приложение получает IP и переходит к TCP/UDP соединению.

!Связка DHCP и DNS в реальной работе

Типичные проблемы с DNS

“Интернет есть по IP, но нет по имени”: чаще всего проблема в DNS (неверный DNS-сервер, блокировка 53 порта, проблемы у резолвера).

“Открывается не тот сайт”: возможна проблема с кэшем, неправильной записью, или подменой DNS.

“Внутренние имена не резолвятся”: обычно клиент смотрит на внешний DNS вместо корпоративного.

Практика диагностики для системного администратора

Полезный порядок проверки, связанный с прошлой статьей (снизу вверх по логике):

Проверить, что есть IP, маска, шлюз, DNS

Проверить локальную связность до шлюза

Проверить доступ в другие сети по IP

Проверить DNS (имя в IP)

Команды, которые пригодятся каждый день

| Задача | Windows | Linux | |---|---|---| | Посмотреть адреса | ipconfig /all | ip a | | Посмотреть маршруты | route print | ip route | | Проверить достижимость | ping | ping | | Понять путь | tracert | traceroute или tracepath | | Проверить DNS | nslookup | dig или nslookup |

Примеры (Linux):

Примеры (Windows):

Сценарий “сайт не открывается” и быстрые проверки

Проверить, есть ли адрес от DHCP.

Пропинговать шлюз по умолчанию.

Пропинговать внешний IP (например, 1.1.1.1) и сравнить результат с пингом доменного имени.

Если по IP работает, а по имени нет — смотреть настройки DNS и доступность DNS-сервера.

Минимальный словарь статьи

Подсеть: логическая IP-сеть, определяемая IP и маской (префиксом).

Маска подсети / префикс: правило, которое определяет границы подсети.

CIDR: способ записи подсети через /число (например, /24).

Шлюз по умолчанию: маршрутизатор, через который хост ходит в другие подсети.

DHCP: сервис автоматической выдачи IP-настроек.

Lease (аренда): время, на которое DHCP выдает адрес.

DNS: сервис сопоставления имен и IP-адресов.

Рекурсивный DNS: сервер, который “разбирается” с запросом до конца и возвращает ответ клиенту.

Авторитативный DNS: сервер, который хранит исходные записи доменной зоны.

TTL: время жизни записи в кэше.

Источники

Address Allocation for Private Internets (RFC 1918)

Dynamic Host Configuration Protocol (RFC 2131)

Domain Names - Concepts and Facilities (RFC 1034)

Domain Names - Implementation and Specification (RFC 1035)

Classless Inter-Domain Routing (CIDR): The Internet Address Assignment and Aggregation Plan (RFC 4632)

Коммутация и VLAN: Ethernet, ARP, STP

В прошлых статьях мы разобрали уровни OSI/TCP-IP и базовую IP-адресацию, подсети, DHCP и DNS. Теперь соберем важный кусок “между кабелем и IP”: как работает локальная сеть на канальном уровне (L2).

Эта статья отвечает на практические вопросы системного администратора:

Почему два устройства в одной подсети могут не видеть друг друга

Как коммутатор понимает, куда отправлять кадр

Почему ARP важен даже для обычного ping

Как VLAN делит сеть на изолированные сегменты

Почему петля из двух кабелей может “положить” сеть и как STP это предотвращает

Где это находится в модели OSI/TCP-IP

OSI L2 (канальный уровень): Ethernet, MAC-адреса, VLAN, коммутация, STP.

OSI L3 (сетевой уровень): IP-адреса и маршрутизация.

Связка L2 и L3: ARP помогает “привязать” IP (L3) к MAC (L2) в пределах одной локальной сети.

Ethernet и кадр

Ethernet — самая распространенная технология локальных сетей. В Ethernet данные передаются кадрами.

Из чего состоит Ethernet-кадр

Упрощенно, внутри кадра есть:

MAC назначения: кому в этой локальной сети доставить

MAC источника: кто отправил

Полезная нагрузка: обычно это IP-пакет (например, ICMP для ping, TCP для веба)

Контроль целостности (FCS): проверка, не повредились ли данные

!Поля Ethernet-кадра и место VLAN-тега

Полезно помнить:

MAC-адрес используется для доставки внутри одного L2-сегмента.

IP-адрес используется для доставки между сетями, через маршрутизаторы.

Источник для углубления: Ethernet frame на Wikipedia

Коммутация: как работает коммутатор (switch)

Коммутатор пересылает Ethernet-кадры между портами. Его ключевая “суперспособность” — он изучает, на каком порту находятся MAC-адреса.

MAC-таблица (CAM table)

Коммутатор ведет таблицу соответствий:

MAC-адрес

порт, на котором этот MAC “видели”

VLAN (если используются VLAN)

Коммутатор пополняет таблицу автоматически: когда получает кадр, он запоминает MAC источника и порт, откуда кадр пришел.

Что происходит при пересылке кадра

Варианты поведения:

Если MAC назначения известен, кадр отправляется только на нужный порт.

Если MAC назначения неизвестен, кадр отправляется “широким поиском” по всем портам в этом сегменте (кроме входного). Это называется flooding.

Если кадр broadcast (MAC назначения ff:ff:ff:ff:ff:ff), он уходит на все порты в пределах сегмента. Это используется, например, в ARP.

Практический вывод:

“Неизвестные” MAC и broadcast увеличивают шум в сети.

VLAN помогает ограничивать этот шум границами сегмента.

ARP: как IP находит MAC в локальной сети

Чтобы отправить IP-пакет в пределах одной локальной сети, нужно знать MAC-адрес получателя (или следующего узла, например шлюза). Этим занимается ARP.

Зачем ARP нужен даже при ping

Пример: хост 192.168.10.50/24 хочет отправить ping на 192.168.10.1.

IP говорит: адрес назначения в той же подсети, значит можно доставить напрямую по L2.

Но для L2 нужен MAC назначения.

Если MAC неизвестен, запускается ARP.

Как работает ARP

Процесс выглядит так:

Хост отправляет ARP Request как broadcast: “Кто имеет IP 192.168.10.1? Ответьте 192.168.10.50”.

Узел с IP 192.168.10.1 отвечает ARP Reply (обычно unicast): “192.168.10.1 это MAC aa:bb:cc:dd:ee:ff”.

Отправитель сохраняет соответствие IP→MAC в ARP-кэше на некоторое время.

!ARP: broadcast-запрос и unicast-ответ

Официальный источник: RFC 826: An Ethernet Address Resolution Protocol

ARP и шлюз по умолчанию

Если адрес назначения в другой подсети (например, 8.8.8.8), хост отправляет пакет не “в интернет напрямую”, а на шлюз по умолчанию. Значит ARP будет искать MAC шлюза, а не MAC удаленного адреса.

Типичный симптом ошибки:

IP, маска и DNS “вроде есть”, но ничего не работает.

Причина: не отвечает ARP до шлюза или шлюз указан неверно.

ARP-кэш и диагностика

Полезные команды:

Windows: arp -a

Linux: ip neigh

Сниффер: tcpdump -n -e arp

Если ARP-запросы уходят, но ответов нет, часто проблема на L2:

неправильный VLAN

порт выключен или ошибка коммутации

фильтрация (например, port security)

физика (кабель, SFP)

VLAN: разделение сети на изолированные L2-сегменты

VLAN (Virtual LAN) — способ разделить один коммутатор (или несколько) на несколько логических локальных сетей.

Простая модель:

Без VLAN: один большой L2-сегмент, общий broadcast.

С VLAN: несколько L2-сегментов, broadcast не пересекает границы VLAN.

Классический стандарт тегирования: IEEE 802.1Q на Wikipedia

Access-порт и Trunk-порт

В VLAN чаще всего встречаются два режима портов.

Access-порт: принадлежит одной VLAN, подключают конечные устройства (ПК, принтер).

Trunk-порт: переносит трафик нескольких VLAN между коммутаторами или до маршрутизатора.

Тег 802.1Q

На trunk-порте кадры обычно помечаются VLAN-тегом (802.1Q), чтобы по одному кабелю можно было передать трафик разных VLAN.

Важно различать:

Tagged трафик: кадры с VLAN-тегом.

Untagged трафик: кадры без тега (часто используется как “VLAN по умолчанию” на порту, термин зависит от вендора).

!Access и Trunk: перенос нескольких VLAN по одному соединению

Зачем VLAN системному администратору

VLAN используют, чтобы:

разделять пользователей, серверы, гостей и управление оборудованием

уменьшать широковещательный шум в больших сетях

применять разные политики безопасности между сегментами

Межвлановая связь

Два устройства в разных VLAN на L2 напрямую не общаются. Чтобы они обменивались данными, нужен маршрутизатор (L3).

Самая частая схема:

На коммутаторе порты пользователей в VLAN 10.

Порты серверов в VLAN 20.

Между VLAN 10 и VLAN 20 маршрутизация делает роутер или L3-коммутатор.

Практический вывод:

VLAN решает задачу разделения на L2.

Доступ между VLAN решается маршрутизацией и правилами на L3.

Петли в L2 и почему они опасны

Петля — когда в одной VLAN есть несколько активных L2-путей так, что кадры могут “ходить по кругу”. Часто петля появляется из-за “на всякий случай” подключенного второго кабеля между коммутаторами.

Почему это плохо:

Ethernet-кадры могут бесконечно циркулировать.

Broadcast и unknown unicast (flooding) раздуваются лавинообразно.

MAC-таблица “дергается” (MAC flapping): один и тот же MAC виден то на одном порту, то на другом.

Симптомы:

резкий рост нагрузки на коммутаторах

“подвисает” сеть, растут потери

скачет доступность даже внутри одной подсети

STP: Spanning Tree Protocol

STP (Spanning Tree Protocol) — механизм, который предотвращает L2-петли, блокируя лишние связи и оставляя топологию без циклов.

Базовая идея:

Физически кабели могут образовывать кольца.

Логически STP превращает это в “дерево”: один активный путь между сегментами.

Общее описание: Spanning Tree Protocol на Wikipedia

Как STP выбирает, что блокировать

Упрощенная логика:

Коммутаторы обмениваются служебными сообщениями (BPDU).

Выбирается root bridge (корневой коммутатор) — ориентир дерева.

На каждом сегменте выбирается лучший путь к root.

Порты, которые создают петлю, переводятся в blocking (не пропускают пользовательский трафик), но продолжают слушать STP.

!STP разрывает L2-петлю, блокируя один из портов

Важные практические моменты STP

STP работает в пределах VLAN (в зависимости от реализации).

Если STP отключить и сделать петлю, сеть может упасть очень быстро.

Если STP включен, резервный линк может быть заблокирован, но при обрыве основного STP перестроится и включит запасной.

Типовые проблемы и быстрые проверки

“Два ПК в одной подсети не видят друг друга”

Проверьте по порядку:

оба ли порта в одном VLAN

нет ли статического IP, но неправильной маски (ошибка L3 из прошлой статьи)

есть ли ARP-ответы (arp -a, ip neigh, tcpdump arp)

“Есть IP, но шлюз не пингуется”

Частые причины:

неправильный VLAN на порту пользователя

ACL или фильтрация на L2/L3 (зависит от сети)

петля и деградация сети (MAC flapping, шторм)

“После подключения второго кабеля между коммутаторами все стало плохо”

Почти всегда это L2-петля:

проверьте STP статус

посмотрите счетчики broadcast/multicast

проверьте логи на сообщения о петле или flapping

Команды и что смотреть

Набор для ежедневной диагностики:

На хосте (Linux): ip link, ip neigh, ping, tcpdump -n -e arp

На хосте (Windows): ipconfig /all, arp -a, ping

На коммутаторе (обобщенно, команды зависят от вендора):

- таблица MAC: show mac address-table - VLAN: show vlan - STP: show spanning-tree

Практическая привычка: если “ломается L3”, часто причина на L2 (VLAN/ARP/STP), поэтому полезно уметь быстро исключать L2-проблемы.

Минимальный словарь статьи

Ethernet-кадр: единица передачи данных на L2.

MAC-адрес: адрес устройства в пределах локальной сети (L2).

Коммутация: пересылка кадров коммутатором между портами.

MAC-таблица: таблица “MAC → порт (и VLAN)”, по которой коммутатор принимает решение.

Flooding: рассылка кадра по портам, если MAC назначения неизвестен.

Broadcast: рассылка всем в сегменте (например, ARP Request).

ARP: протокол сопоставления IP-адреса и MAC-адреса в локальной сети.

VLAN: логическое разделение одной физической сети на несколько L2-сегментов.

Access-порт: порт для конечного устройства, одна VLAN.

Trunk-порт: порт между сетевыми устройствами, несколько VLAN, обычно с тегами.

Петля (loop): циклический путь на L2, опасен штормами.

STP: протокол, который блокирует лишние L2-связи и предотвращает петли.

Источники

RFC 826: An Ethernet Address Resolution Protocol

Ethernet frame на Wikipedia

IEEE 802.1Q на Wikipedia

Spanning Tree Protocol на Wikipedia

Маршрутизация и доступ в интернет: NAT, VPN, IPv6

В прошлых статьях мы разобрали уровни OSI/TCP-IP, IP-адресацию и подсети, а также L2-механику локальной сети (Ethernet, ARP, VLAN, STP). Следующий логичный шаг для системного администратора — понять, как трафик выходит за пределы своей подсети, попадает в интернет, как подключаются удаленные пользователи и почему в современных сетях все чаще появляется IPv6.

Эта статья отвечает на практические вопросы:

Как хост решает, куда отправлять пакет: напрямую или через шлюз

Что делает маршрутизатор и как работает таблица маршрутов

Почему без NAT частные адреса не выходят в интернет

Чем отличаются SNAT, DNAT и проброс портов

Что такое VPN с точки зрения маршрутизации

Какие базовые принципы IPv6 нужны администратору

Где это находится в модели TCP/IP

Интернет-уровень (L3): маршрутизация IP-пакетов между сетями.

Транспортный уровень (L4): порты и соединения, которые NAT часто изменяет.

Канальный уровень (L2): на каждом участке пути маршрутизатору все равно нужно доставить кадр до следующего узла (через Ethernet, VLAN и L2-адресацию), а для IPv4 в локальном сегменте для этого используется ARP.

Маршрутизация простыми словами

Маршрутизация — это выбор пути для IP-пакета между разными сетями.

Внутри одной подсети хост доставляет трафик напрямую на L2 (из прошлой статьи: ARP нужен, чтобы узнать MAC назначения).

В другие подсети хост отправляет трафик на шлюз по умолчанию (обычно это маршрутизатор).

Как хост принимает решение: “свой” или “чужой”

У хоста есть минимум три критичных параметра:

IP-адрес

маска (префикс)

шлюз по умолчанию

Логика такая:

Хост сравнивает IP назначения со своей подсетью.

Если назначение в той же подсети, хост отправляет пакет напрямую, узнав MAC через ARP.

Если назначение в другой подсети, хост отправляет пакет на шлюз по умолчанию (и через ARP узнает MAC шлюза).

Практическая связь с предыдущими статьями:

Ошибка в маске или шлюзе (из темы подсетей) ломает доступ в другие сети.

Неправильный VLAN или проблемы L2 (из темы VLAN/ARP/STP) часто проявляются как “шлюз не пингуется”, а значит и маршрутизации не будет.

Таблица маршрутов: что это такое

Таблица маршрутов — список правил, куда отправлять пакеты к разным сетям.

У маршрута обычно есть:

сеть назначения (например, 10.10.0.0/16)

следующий узел (next hop) или выходной интерфейс

иногда метрика (предпочтительность)

Самое важное правило: если подходит несколько маршрутов, выбирается самый “точный” (с самым длинным префиксом). На практике это означает: маршрут в конкретную сеть важнее, чем “маршрут по умолчанию”.

Маршрут по умолчанию

Маршрут по умолчанию — правило “если не нашел более точного маршрута, отправляй сюда”.

В IPv4 это обычно 0.0.0.0/0.

В IPv6 это обычно ::/0.

На рабочей станции “маршрут по умолчанию” почти всегда указывает на офисный/домашний роутер.

Что делает маршрутизатор

Маршрутизатор (router) принимает IP-пакет на одном интерфейсе и решает, куда отправить его дальше.

Упрощенный цикл работы:

Получить пакет.

Посмотреть IP назначения.

Найти подходящий маршрут в таблице маршрутизации.

Отправить пакет следующему узлу.

При этом на каждом участке пути маршрутизатору нужно доставить пакет по L2, то есть:

в Ethernet-сегменте он должен знать MAC следующего узла

для IPv4 это обычно достигается через ARP

Межвлановая маршрутизация

Из прошлой статьи: VLAN разделяет сеть на изолированные L2-сегменты. Чтобы устройства из разных VLAN общались, нужна маршрутизация между VLAN.

Типовые варианты:

Маршрутизатор с подключением trunk (часто называют router-on-a-stick).

L3-коммутатор, у которого есть SVI-интерфейсы (виртуальные интерфейсы VLAN) и включена маршрутизация.

Практическая мысль: VLAN “режет” L2, а маршрутизатор “склеивает” L3 по правилам доступа.

!Межвлановая маршрутизация и выход в интернет

Статические и динамические маршруты

Статическая маршрутизация

Статический маршрут администратор задает вручную.

Используется, когда:

сеть небольшая и топология почти не меняется

нужно строго контролировать путь

нужно добавить маршрут до удаленной подсети через конкретный VPN-шлюз

Минус: при изменениях сети нужно обновлять маршруты руками.

Динамическая маршрутизация

Динамическая маршрутизация строит маршруты автоматически с помощью протоколов.

В базовой админской практике полезно хотя бы знать названия и назначение:

OSPF — распространен внутри организаций.

BGP — основа маршрутизации между автономными системами в интернете.

Если вы администрируете среднюю/крупную сеть, вы почти неизбежно столкнетесь с динамической маршрутизацией на ядре.

Диагностика маршрутизации

Команды, которые нужны регулярно

| Задача | Windows | Linux | |---|---|---| | Посмотреть IP и шлюз | ipconfig /all | ip a | | Посмотреть таблицу маршрутов | route print | ip route | | Проверить связность по IP | ping | ping | | Посмотреть путь | tracert | traceroute или tracepath |

Почему traceroute показывает маршрутизаторы

Идея упрощенно такая:

Отправляется пакет с маленьким TTL.

Первый маршрутизатор уменьшает TTL до нуля и отвечает служебным сообщением.

Затем отправляется пакет с большим TTL, и так далее.

Поэтому вы видите последовательность “хопов” (узлов маршрута). Это полезно, когда “пинг есть до шлюза, но дальше непонятно где ломается”.

NAT: как частные адреса выходят в интернет

Зачем нужен NAT

Из темы IP-адресации: в локальных сетях часто используются частные диапазоны RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Они не маршрутизируются в интернете.

Чтобы множество внутренних устройств могли использовать один (или несколько) публичных IPv4-адресов, на границе сети часто включают NAT (Network Address Translation).

Важно не путать:

маршрутизация решает, куда отправить пакет

NAT изменяет адреса (и часто порты) в пакетах при прохождении границы

SNAT и PAT: исходящий доступ

Чаще всего под “NAT в интернет” имеют в виду исходящий NAT:

SNAT (Source NAT): меняется IP-адрес источника.

PAT (Port Address Translation), часто называют NAT overload: кроме IP источника меняется еще и порт источника, чтобы много соединений “упаковать” в один публичный IP.

Что это дает на практике:

ПК с адресом 192.168.1.100 может ходить в интернет, хотя это частный адрес.

Снаружи “виден” публичный адрес вашего роутера/провайдера.

!Как SNAT/PAT переписывает исходящий трафик

DNAT и проброс портов: входящий доступ

Если вам нужно, чтобы из интернета можно было попасть на внутренний сервер, применяют:

DNAT (Destination NAT): меняется адрес назначения.

в быту это обычно называется проброс портов (port forwarding)

Пример:

публичный адрес роутера: 203.0.113.10

внутри стоит сервер: 192.168.1.10:443

правило: 203.0.113.10:443 перенаправлять на 192.168.1.10:443

Типичная админская ошибка: проброс сделан, но сервер недоступен из-за локального firewall на сервере или из-за того, что сервис слушает только 127.0.0.1.

Ограничения NAT

NAT решает проблему дефицита IPv4, но создает побочные эффекты:

ломает принцип “конец-конец” (не всегда можно легко подключиться к хосту из внешней сети)

усложняет некоторые протоколы и P2P-сценарии

может мешать входящим соединениям и автодетекту сервисов

Также существует CGNAT у провайдеров (когда NAT делаете не вы, а оператор связи). Симптом: у вас на роутере “WAN IPv4” выглядит как частный адрес, а проброс портов “не работает”, потому что вы не владеете публичным адресом.

VPN: удаленный доступ и объединение сетей

VPN (Virtual Private Network) — это защищенный туннель поверх другой сети (обычно поверх интернета).

С точки зрения администратора важно понимать VPN именно как сетевую историю:

появляется виртуальный интерфейс

добавляются или меняются маршруты

трафик к определенным подсетям идет “в туннель”

Основные сценарии VPN

Remote access: пользователь подключается из дома к корпоративной сети.

Site-to-site: две сети (например, офис и облако) соединяются туннелем.

Full tunnel и split tunnel

Два режима, которые часто определяют “что сломается” и “что будет видно”:

Full tunnel: весь трафик пользователя идет через VPN (включая интернет).

Split tunnel: через VPN идет только трафик в корпоративные подсети, а интернет идет напрямую.

Практические последствия:

В full tunnel проще контролировать безопасность (весь трафик через корпоративные правила), но возрастает нагрузка и задержки.

В split tunnel часто меньше нагрузка, но важнее аккуратно настроить маршруты и DNS, иначе появляются утечки запросов или конфликт маршрутов.

!Разница split tunnel и full tunnel

Технологии VPN на практике

В базовом курсе достаточно ориентироваться в назначении популярных вариантов:

IPsec: часто используется для site-to-site, может работать и для клиентов.

WireGuard: современный, часто проще в настройке, распространен для remote access и site-to-site.

OpenVPN: популярный “классический” вариант, часто встречается в компаниях.

Независимо от технологии, админская логика диагностики похожа:

Поднялся ли туннель (есть ли виртуальный интерфейс).

Появились ли нужные маршруты.

Не конфликтуют ли подсети (например, дома у пользователя тоже 192.168.1.0/24, а в офисе такой же диапазон).

Правильно ли настроен DNS (частая причина “внутренние имена не открываются”).

IPv6: основы, которые нужно знать администратору

IPv6 — это не “какая-то другая сеть”, а следующий протокол IP-уровня. Он решает проблему дефицита адресов IPv4 и меняет некоторые привычные механики.

Базовый документ: Internet Protocol, Version 6 (IPv6) Specification.

Как выглядит IPv6-адрес

IPv6-адрес — это запись в шестнадцатеричном виде, например 2001:db8:1234:5678::10.

Практические правила чтения:

можно сокращать последовательности нулей с помощью :: (обычно один раз в адресе)

в обычных LAN-сетях префикс сети почти всегда /64

!Структура IPv6-адреса и смысл /64

Типы IPv6-адресов, которые встречаются чаще всего

Global Unicast: глобальные адреса для интернета (похоже на публичные IPv4).

ULA (Unique Local Address): “локальные” адреса для внутренних сетей, аналог частных IPv4. Часто используют диапазон fc00::/7. Описано в Unique Local IPv6 Unicast Addresses.

Link-local: адреса вида fe80::/10, есть на интерфейсе почти всегда, используются для работы внутри канала (например, как адрес шлюза по умолчанию в IPv6).

В IPv6 нет broadcast. Вместо этого используется multicast.

SLAAC, RA и DHCPv6

В IPv4 хост часто получает адрес по DHCP. В IPv6 распространены два механизма:

SLAAC: хост сам формирует адрес в подсети, получив от маршрутизатора информацию о префиксе.

RA (Router Advertisement): сообщения маршрутизатора, которые говорят хостам “вот префикс, вот параметры, вот как жить”.

DHCPv6: может использоваться для выдачи адресов и параметров (в зависимости от политики сети).

Важно для практики: в IPv6 “шлюз по умолчанию” часто указывается как link-local адрес маршрутизатора (из fe80::/10), потому что именно он объявляет себя через RA.

NDP вместо ARP

В IPv4 сопоставлением IP→MAC занимается ARP. В IPv6 вместо него используется Neighbor Discovery Protocol (NDP).

Базовый документ: Neighbor Discovery for IP version 6 (IPv6).

Практический вывод:

если вы ищете “аналог ARP”, смотрите NDP/neighbor table

диагностика “кто мой сосед и кто шлюз” в IPv6 похожа по смыслу, но другими протоколами

Нужен ли NAT в IPv6

Технически IPv6 позволяет обойтись без NAT, потому что адресов достаточно, чтобы выдавать уникальные адреса устройствам.

Что обычно делают на границе:

маршрутизацию IPv6

firewall-политику, которая контролирует входящие подключения

То есть “скрытие за NAT” заменяется нормальной фильтрацией и сегментацией.

Переход к IPv6: как это выглядит в реальности

Чаще всего встречаются варианты:

Dual stack: в сети одновременно работают IPv4 и IPv6.

NAT64/DNS64: доступ из IPv6-сети к IPv4-ресурсам через шлюз трансляции. Базовый документ по NAT64: Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers.

Для администратора ключевое: многие “странные” проблемы доступа появляются, когда приложение выбирает IPv6, а политика/маршрутизация/фильтрация для IPv6 настроены хуже, чем для IPv4.

Практический чек-лист “нет доступа в интернет”

Удобный порядок, который связывает все темы курса:

Проверить физику и линк (L1).

Проверить VLAN и L2-связность до шлюза (L2, ARP/NDP).

Проверить IP/маску/шлюз и таблицу маршрутов на хосте (L3).

Проверить, что на границе есть маршрут по умолчанию и работает NAT (для IPv4).

Проверить DNS (из прошлой статьи): “по IP работает, по имени нет” обычно про DNS.

Если есть VPN, проверить виртуальный интерфейс и маршруты (часто проблема именно там).

Минимальный словарь статьи

Маршрутизация: пересылка IP-пакетов между сетями.

Таблица маршрутов: правила, куда отправлять трафик к разным сетям.

Маршрут по умолчанию: правило для “всего остального” (0.0.0.0/0, ::/0).

Next hop (следующий узел): адрес маршрутизатора, куда надо отправить пакет на следующем шаге.

NAT: трансляция адресов при прохождении границы сети.

SNAT: замена адреса источника (часто для исходящего доступа).

PAT: SNAT с заменой портов, чтобы много клиентов делили один публичный IP.

DNAT: замена адреса назначения (часто для проброса портов на внутренний сервер).

VPN: защищенный туннель, который добавляет виртуальный интерфейс и маршруты.

SLAAC: автоконфигурация IPv6-адреса на хосте.

RA: объявления маршрутизатора в IPv6.

NDP: “аналог ARP” для IPv6.

Источники

Address Allocation for Private Internets (RFC 1918)

Traditional IP Network Address Translator (Traditional NAT) (RFC 3022)

Internet Protocol, Version 6 (IPv6) Specification (RFC 8200)

Neighbor Discovery for IP version 6 (IPv6) (RFC 4861)

Unique Local IPv6 Unicast Addresses (RFC 4193)

Stateful NAT64 (RFC 6146)

Диагностика, мониторинг и базовая безопасность сети

Эта статья связывает все темы курса в одну рабочую админскую практику.

Раньше мы разобрали:

уровни OSI/TCP-IP и логику поиска проблем

IP-адресацию, подсети, DHCP и DNS

коммутацию L2: Ethernet, ARP, VLAN, STP

маршрутизацию, NAT, VPN и основы IPv6

Теперь задача системного администратора — быстро понять, что сломалось, заметить деградацию заранее и не дать сети стать простой целью для атак.

Как думать о проблеме

Диагностика почти всегда сводится к трем вопросам:

Где именно проблема: на L1, L2, L3, L4 или на уровне приложения

Это полный отказ или деградация: не работает совсем или работает медленно/с потерями

Это локально или массово: один хост, одна VLAN/подсеть, или вся площадка

Практический прием из первой статьи: проверять снизу вверх, но идти самым коротким путем к гипотезе.

!Шпаргалка: в каком порядке проверять сеть и что именно смотреть

Быстрый алгоритм диагностики по слоям

Ниже — практический чек-лист. Он намеренно повторяет важные вещи из прошлых статей, чтобы у вас появился автоматизм.

Физический уровень

Физический уровень — это сигнал: кабель, Wi‑Fi, оптика, порт, модуль.

Типовые симптомы:

линк не поднимается

постоянные обрывы

высокая доля ошибок

Быстрые проверки:

индикатор линка на сетевой карте/порту коммутатора

замена кабеля или SFP-модуля на заведомо исправный

на хосте: ip link (Linux) или состояние адаптера (Windows)

Практическая мысль: если линка нет, дальше по слоям идти бессмысленно.

Канальный уровень

Канальный уровень — это Ethernet-кадры, MAC-адреса, VLAN и отсутствие L2-петель (STP).

Типовые симптомы:

два хоста в одной подсети не видят друг друга

ARP-запросы уходят, но ответов нет

сеть периодически "подвисает" (часто из-за петли)

Быстрые проверки на хосте:

ARP/таблица соседей: Windows arp -a, Linux ip neigh

посмотреть, идут ли ARP-пакеты: Linux tcpdump -n -e arp

Быстрые проверки на коммутаторе (логика общая, команды зависят от вендора):

порт в правильной VLAN

MAC-таблица: виден ли MAC на ожидаемом порту

STP: нет ли блокировок там, где ожидается работа, и нет ли событий про петли

Сетевой уровень

Сетевой уровень — это IP-адрес, маска, шлюз и маршруты.

Типовые симптомы:

шлюз не пингуется

внутри VLAN связь есть, а в другие подсети нет

traceroute "обрывается" на одном и том же узле

Быстрые проверки:

посмотреть настройки IP: Windows ipconfig /all, Linux ip a

посмотреть маршруты: Windows route print, Linux ip route

проверить доступность:

- до шлюза - до внешнего IP (например, 1.1.1.1) - до имени (например, example.com) чтобы отделить DNS от остального

Важно: если не пингуется шлюз, чаще всего это проблема L1/L2 или неверные IP-настройки.

Транспортный уровень

Транспортный уровень — это порты TCP/UDP и политики фильтрации (например, firewall).

Типовые симптомы:

по ping все хорошо, но сайт/SSH/БД не открываются

сервис работает локально, но недоступен по сети

Быстрые проверки:

слушает ли сервис порт:

- Linux: ss -tulpn - Windows: netstat -ano

есть ли блокировка firewall на хосте или на границе

если есть NAT/проброс портов: совпадает ли порт, и куда именно он перенаправляется

Прикладной уровень

Прикладной уровень — это DNS, HTTP, SMTP, SSH и конкретные приложения.

Типовые симптомы:

"интернет есть по IP, но нет по имени" (часто DNS)

открывается "не то" (кэш DNS, неправильные записи)

приложение отвечает ошибками, но сеть при этом исправна

Быстрые проверки:

DNS-запросы: Windows nslookup, Linux dig или nslookup

проверка HTTP без браузера: curl -v https://example.com

логи сервиса и его конфигурация

Диагностика конкретных сценариев

Сценарий "нет доступа в интернет" (IPv4)

Делайте проверки в таком порядке:

Есть ли IP-адрес, маска, шлюз, DNS (обычно выданы DHCP).

Пингуется ли шлюз по умолчанию.

Пингуется ли внешний IP.

Резолвится ли имя через DNS.

Если внешний IP пингуется, но сайты не открываются, проверьте доступность TCP 443 и правила фильтрации.

Если вы администратор границы сети, проверьте, что есть маршрут по умолчанию и работает NAT.

Практическая подсказка: шаги 2–4 почти всегда позволяют локализовать проблему до одного компонента.

Сценарий "внутренние ресурсы не открываются через VPN"

Частые причины:

нет маршрута в корпоративные подсети через VPN

конфликт подсетей (дома у пользователя такая же подсеть, как в офисе)

DNS уходит "мимо" VPN на публичные резолверы

Быстрые проверки:

появился ли VPN-интерфейс

какие маршруты добавил VPN-клиент

куда резолвятся внутренние имена (корпоративный DNS или внешний)

Сценарий "в одной подсети не видят друг друга"

С высокой вероятностью это L2.

Проверьте:

один ли VLAN на портах

отвечают ли ARP-запросы

нет ли петли и штормов (симптомы: потери, скачущая доступность, MAC flapping)

Инструменты администратора: что измеряем и чем

Инструменты полезно разделять по тому, что именно они показывают.

Проверка связности

| Инструмент | Что показывает | Когда полезен | Ограничения | |---|---|---|---| | ping | достижимость по ICMP и задержку | понять, жив ли узел и есть ли потери | ICMP может быть заблокирован | | traceroute / tracert | путь по маршрутизаторам | найти, на каком участке "обрывается" маршрут | часть узлов может не отвечать | | mtr | ping + traceroute в динамике | увидеть потери по хопам | не всегда установлен по умолчанию |

Проверка портов и сервисов

| Инструмент | Что показывает | Когда полезен | |---|---|---| | ss -tulpn / netstat | какие порты слушаются | сервис не доступен извне | | curl | поведение HTTP/HTTPS | проверить веб без браузера | | nc (netcat) | "достучаться" до TCP/UDP порта | быстро проверить, открыт ли порт |

Захват трафика

Сниффер нужен, когда "по логике все должно работать", но не работает.

tcpdump — консольный захват пакетов

Wireshark — графический анализатор

Типовые вопросы, на которые отвечает захват:

есть ли ARP-запросы и ответы

уходит ли DNS-запрос и приходит ли ответ

есть ли TCP рукопожатие (SYN, SYN-ACK, ACK)

Пример (Linux, увидеть ARP и DHCP в локальной сети):

Мониторинг: чтобы узнавать о проблемах раньше пользователей

Диагностика реагирует на инцидент. Мониторинг делает так, чтобы инцидент заметили раньше, чем он стал аварией.

Практическая цель мониторинга:

видеть доступность узлов и сервисов

видеть нагрузку и тренды

получать уведомления (alert), когда стало плохо

иметь историю для разбора причин

Что именно мониторить в сети

Минимальный набор метрик и событий:

доступность шлюзов, ключевых серверов, DNS

задержка и потери до ключевых точек

загрузка каналов (интерфейсы маршрутизаторов и коммутаторов)

ошибки интерфейсов (дропы, ошибки, флап линка)

заполнение таблиц и ресурсов, если устройство это отдает

события безопасности: подозрительные входы, изменения конфигурации

Три потока данных: метрики, логи, потоки

В мониторинге удобно разделять источники данных.

Метрики: численные показатели во времени (нагрузка, ошибки, задержка).

Логи: текстовые события (например, "порт упал", "пользователь вошел").

Потоки трафика: статистика "кто с кем говорит" (полезно для расследований и емкостного планирования).

!Как обычно устроен мониторинг: откуда берутся метрики и логи

SNMP простыми словами

SNMP — это протокол, которым система мониторинга может читать показатели с сетевого оборудования.

Что важно знать администратору:

SNMP позволяет получать состояние интерфейсов, ошибки, счетчики трафика

используйте SNMPv3, если есть возможность, потому что он поддерживает аутентификацию и шифрование

Syslog простыми словами

Syslog — это способ централизованно собирать логи с устройств.

Зачем это нужно:

логи с коммутатора не пропадут при перезагрузке

можно искать корреляции: "в 10:32 упал линк" и "в 10:32 выросли потери"

Примеры систем мониторинга

Системы мониторинга бывают разные, но принципы одинаковые. Часто встречаются:

Zabbix

Prometheus + Grafana

LibreNMS

Важно: конкретный инструмент не так важен, как правильные объекты мониторинга и пороговые значения.

Алертинг: частая ошибка новичка

Плохой алертинг:

слишком много уведомлений

уведомления приходят на "неважное"

в итоге алерты начинают игнорировать

Хороший алертинг:

алерт срабатывает на то, что реально влияет на пользователей или безопасность

в алерте есть контекст: что именно, где, сколько длится, что было до этого

Базовая безопасность сети: минимум, который должен быть всегда

Безопасность в базовом курсе — это не про "сложные системы", а про гигиену, которая предотвращает большинство неприятностей.

Сегментация и принцип минимальных прав

Связь с темой VLAN и маршрутизации:

VLAN разделяет устройства на изолированные L2-сегменты

маршрутизация между VLAN должна быть разрешена только там, где нужно

Практические правила:

пользовательские устройства отдельно от серверов

гостевой Wi‑Fi отдельно от корпоративной сети

управление оборудованием (management) в отдельном сегменте

Фильтрация трафика: firewall и правила доступа

Firewall — это компонент, который разрешает или запрещает соединения по правилам.

Минимально разумные подходы:

между сегментами разрешать только нужные порты

не публиковать админские интерфейсы оборудования в интернет

входящий доступ в локальную сеть делать через VPN, а не через открытые порты

Защита управления оборудованием

Частые практики:

использовать SSH вместо Telnet (потому что SSH шифрует управление)

ограничить доступ к управлению по IP (например, только из management-сети)

отключить неиспользуемые сервисы на устройствах

делать резервные копии конфигураций

Обновления, учетные записи и журналирование

Три вещи, которые реально влияют на безопасность:

своевременные обновления прошивок и ОС

уникальные пароли и отсутствие общих учетных записей, где возможно

централизованные логи (чтобы понимать, что происходило)

Также полезно синхронизировать время на устройствах через NTP, чтобы события в логах совпадали по времени и их можно было сопоставлять.

Базовые сетевые атаки, которые полезно понимать

В рамках курса достаточно понимать идею и типовые меры.

ARP spoofing: злоумышленник подменяет соответствие IP→MAC в локальной сети.

- меры: сегментация, защита портов на коммутаторе, контроль критичных сегментов

Сканирование портов: проверка, какие сервисы доступны.

- меры: закрывать неиспользуемые порты, фильтрация на границе и между сегментами

Подбор паролей: попытки войти в админку, SSH, VPN.

- меры: ограничение доступа по IP, сложные пароли, блокировки, по возможности многофакторная аутентификация

Практический минимум: что должен уметь сделать администратор после этой статьи

Локализовать проблему по слоям: L1, L2, L3, L4, L7.

Отличить DNS-проблему от маршрутизации и NAT.

Понять, когда нужен tcpdump, и что в нем искать на базовом уровне.

Сформировать минимальный список мониторинга: доступность, задержка, потери, интерфейсы, логи.

Применить базовую безопасность: сегментация, ограничения управления, SSH, обновления, логи.

Минимальный словарь статьи

Деградация: сеть работает, но хуже обычного (потери, задержки, обрывы).

Метрики: численные показатели во времени (например, загрузка интерфейса).

Логи: события в текстовом виде (например, "порт down").

Алерт: уведомление о проблеме по заранее заданному условию.

SNMP: способ получать метрики с сетевого оборудования.

Syslog: способ отправлять логи с устройств на сервер логов.

Firewall: компонент, который фильтрует трафик по правилам.

Сегментация: разделение сети на зоны (например, VLAN) с контролем доступа между ними.

Источники

Internet Control Message Protocol (RFC 792)

SNMP (RFC 1157)

The Syslog Protocol (RFC 5424)

Network Time Protocol Version 4: Protocol and Algorithms Specification (RFC 5905)

Wireshark User's Guide