24.02.2022 12:00
Zyxel_Tech 14 9700 Источник


Работа сетевого администратора связана со многими трудностями. К сожалению, описать из все в одной статье не получится — сработает принцип «невозможно объять необъятное». Поэтому мы решили приоткрыть завесу на над некоторыми аспектами работы сетевого администратора в компании, не связанной с IT. То есть это не системный интегратор, не компания-разработчик ПО с DevOps, QA и другими полезными подразделениями и не что-либо аналогичное. В данной статье ограничимся только определённым сегментом, который не зарабатывает деньги на IT.


Мы поговорим о таких непростых вещах, как создание определённого уклада при поддержке ИТ инфраструктуры, разделение обязанностей, соблюдение должностной инструкции и переход на удалённую работу.


Развитие компании и выделение роли сетевого администратора


Чтобы лучше понять, что это за должность такая «сетевой администратор», рассмотрим процесс её появления в компании.


Первоначально небольшая фирма вполне обходится услугами одного-единственного системного администратора, иногда в роли приходящего админа.


Сеть маленькая, компьютеров немного, частично используются облачные серверы, частично что-то своё вроде NAS для резервных копий, в общем, бизнес как-то выкручивается.


Проходит время и одного «многорукого шивы» перестаёт хватать для всех задач по поддержанию инфраструктуры. Руководство компании задумывается о найме второго «айтишника». Часто толчком к принятию решения служит необходимость предоставить законный отпуск единственному системному администратору.


В IT отделе появляется второй человек, необязательно с тем же набором знаний и должностной инструкцией, например, это может быть специалист техподдержки, программист 1С, веб-программист и т. д. Как вы успели заметить, это ещё не сетевой администратор. Потому что сеть ещё не такая большая и усилий серверного (не сетевого) сисадмина вполне хватает, чтобы поддерживать её на плаву.


Интересная тенденция
Обычная практика, когда управление сетью первоначально навешивают на кого угодно. Например, на системного администратора, или даже на программиста 1С. Результаты такого «делегирования сетевых полномочий» нетрудно предугадать.
Должность «сетевой инженер» обычно появляется, когда бизнес уже прилично увеличился, встал на ноги, и ему потребовалась развитая сеть. То есть свой системный администратор, свой эникейщик и даже свой программист уже приняты на работу и разделили обязанности, а для сетевого администратора остался вполне конкретный перечень работ.

Необходимость в сетевом администраторе появляется по одной из двух причин:


  1. Сеть компании достаточно разрослась и имеющихся сотрудников не хватает, чтобы поддерживать крупную инфраструктуру.
  2. Сеть компании стала более сложной, возросли требования к безопасности, что увеличило трудозатраты и потребовало дополнительных знаний.

И вот после всех перипетий в компании появляется сотрудник, обязанностью которого будет забота о компьютерной сети. Но не спешите радоваться, впереди ещё много интересного.


Кто и как определяет обязанности сетевого администратора


С точки зрения самого сетевого администратора, он ответственен за эксплуатацию и мониторинг сети, консультирует по вопросам настройки клиентского оборудования, выполняет обновление прошивок и вовремя делает резервные копии конфигураций. Иногда к этом добавляются консультации при закупке и учёте имеющихся единиц сетевого оборудования.


К сожалению, очень часто руководство не понимает, насколько серьёзные требования предъявляет к сетевому администратору сама жизнь и насколько большую работу он должен выполнять по поддержанию должного уровня квалификации.


Люди, мало связанные с IT, продолжают оценивать работу IT специалистов по советскому принципу «план-по-валу — вал-по-плану», то есть по примитивным количественным показателям. Например, серверный инженер установил и настроил здоровенную блейд-систему, а к ней вдобавок систему хранения из контроллера и нескольких дисковых «полок». Такая работа сразу видна невооружённым глазом. А если ещё добавить ленточную библиотеку размером с половину серверной стойки — это же вообще круто!


И попробуйте доказать в таких обстоятельствах, что эти «маленькие коробочки» под названием шлюзы, роутеры, коммутаторы и точки доступа требуют не меньше усилий по настройке, чем описанное выше «богатство». Увы, не тот «масштаб свершений».


А где нет понимания, там появляется стойкое желание «дополнить недостающий объём выполняемой работы». Например, подбросить в должностную инструкцию сетевого администратора пункты про управление серверами. А что, ведь серверы подключены к сети? И рабочие станции тоже в сети?


И рождается подобный шедевр:


Цитата:


3. Должностные обязанности


Для выполнения возложенных на него функций администратор сетей осуществляет следующие обязанности:


3.1. Организует и обеспечивает бесперебойное функционирование локальной вычислительной сети.


3.2. Устанавливает на серверы и рабочие станции сетевое программное обеспечение, конфигурирует систему на сервере.


3.3. Обеспечивает интегрирование программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.


3.4. Поддерживает рабочее состояние программного обеспечения сервера.


И т. д.


Кто такой сетевой инженер — вроде понятно и без словаря. А вот ответить на вопрос: «В чём заключаются обязанности сетевого инженера?», — тут у руководства и HR начинаются разброд и шатания. Вроде всё понятно и в то же время никто ничего не может толком сказать. Например, прекрасная цитата (источник тут):


«В средах, где администраторы играют более специализированные роли, сетевые администраторы, как правило, больше внимания уделяют тому, как компьютеры взаимодействуют друг с другом. Это часто включает настройку локальной сети организации (LAN), глобальной сети (WAN) и других элементов сетевой системы.»

Бывают и совсем курьёзные ситуации. Приходилось встречать вакансии на должность «сетевого администратора», содержащие обтекаемые околокомпьютерные фразы вроде: «отличное знание вычислительной техники» или «понимание работы современных Интернет-сервисов», а на самом деле приглашали администратора в… торговые cети. Например, распространять продукцию по сети MLM или управлять сетью доставки продуктов питания.



При описании каких-либо перегибов и перекосов часто акцентируют внимание, что такие безобразия происходят в маленьких компаниях, где нет денег, не те задачи и т. д. и т. п. А вот якобы в крупной компании всё будет совсем не так, там изначально всё хорошо. Увы, этот шаблон далеко не всегда соответствует реальности. Много зависит от корпоративной культуры, а также от случая, например, когда очередной эффективный менеджер дорвался до руководящей должности. И тут пиши пропало, вне зависимости от размера компании. Стоит понимать, что все крупные компании, когда-то были маленькими, и по пути к вершине успели набраться разного рода предрассудков и «экономичных моделей бизнеса».


На мой взгляд, гораздо важнее, как тот или иной сетевой администратор появился в организации.


Когда сетевой администратор приглашён со стороны, и это новый человек в компании, при приёме на работу оговаривается строго определённый круг задач. Другое дело, когда один из уже работающих сисадминов начинает специализироваться в направлении поддержки и администрирования сетей. В этом случае, несмотря на то, что в инструкции оговорены должностные обязанности его как сетевого администратора и чётко определён фронт работ, он всё равно остаётся «одним из прочих», и отказаться от выполнения непрофильных задач будет куда как сложнее.


Значит ли это, что «нет пророка в своём отечестве» и за перспективами профессионального роста стоит обращаться на «работные сайты» или в кадровые агентства, предварительно уволившись со старой работы? Разумеется, не стоит делать резких движений и «хлопать дверью», но и вышеописанные обстоятельства необходимо учитывать. Правильный ответ, как всегда, зависит от местной специфики и множества обстоятельств.


Справедливости ради стоит отметить, что граница между «сетевым» и «не сетевым» довольно расплывчата. Сугубо сетевое оборудование вроде коммутатора понятно, кто должен настраивать. А как быть с сетевым шлюзом? Вероятно, это тоже область деятельности «сетевика». А если в качестве шлюза используется обычный сервер с установленным Microsoft Frontend или pfSense, OPNsense? Должен ли сетевой администратор прикасаться к серверному оборудованию в этом случае?


Ещё один пример — сервис RADIUS, который имеет целых три варианта развёртывания:


  • как часть прошивки сетевого устройства, например, маршрутизатора,
  • на базе открытой OpenSource системы, например, на Linux,
  • в инфраструктуре Active Directory на одном из серверов Windows.

В третьем случае «сетевику» понадобится пароль, например, администратора домена или специальная учётная запись с полномочиями, достаточными для настройки серверов. Но должен ли сетевой администратор вообще входить в домен Windows, особенно если он не числится в штате компании и изредка приходит по вызову?


И на «закуску» самое любимое — СКС (Структурированная кабельная система) и кросс. У руководства большинства компаний есть два любимых кандидата на выполнение этих работ: саппорт (техподдержка пользователей) и сетевой администратор. Если у сотрудников службы поддержки лучше подвешен язык, чем у сетевого администратора, то кабельной системой скорее всего придётся заниматься ему...



А не уйти ли на удалёнку?


Удалённая работа для IT специалиста вещь сама по себе замечательная, но слишком много препятствий стоит на пути к её осуществлению.


У системного администратора могут быть «объекты личного внимания», например, компьютеры капризных пользователей, серверы, зависающие по причине некорректно работающего ПО, бесконечные отключения электропитания, а также многие другие обстоятельства, делающие жизнь весёлой и неожиданной.


В этом плане сетевому администратору легче уйти на удалённую работу. Он меньше контактирует с конечными пользователями и часто работает в одиночку. Сетевое оборудование меньше других критично к воздействию других сфер IT. Если сравнивать с серверами, где хорошо отлаженную работу операционной системы можно запросто убить установкой сомнительного прикладного ПО, для сетевого оборудования такой риск не слишком реален. Вряд ли кто-то из серверных сисадминов решится сбросить пароль, чтобы установить кустарную прошивку на сетевой шлюз или поменять настройки BGP маршрутизации. А там, где меньше энтузиастов, у которых «руки чешутся», меньше неприятных сюрпризов и сбоев по причине «человеческого фактора».


Специалисты по сетям реже охвачены пристальным вниманием со стороны руководства. Даже системные администраторы далеко не всегда могут понять, что произошло с сетью, и почему на доступный ранее сервер вдруг перестал проходить ping. В таком случае уже не так важно, где сидит сетевой гуру: за соседним столом или на другом континенте. Лишь бы он был легко доступен и вовремя решил проблему.


Однако переходу на удалённую работу могут помешать обязанности по поддержанию кабельной системы. Прокладку кабеля и кроссировку почему-то трудно выполнять удалённо. К счастью для удалённого администратора, такие работы обычно приводят к частичной или даже полной остановке работы офиса и должны согласовываться заранее.


Поэтому даже в этих обстоятельствах возможен пусть не полностью удалённый, но хотя бы гибридный вариант работы, например, один день в офисе и четыре дня работы из дома.


Как выжить и куда развиваться?


Если Вы все же решили (несмотря на все нюансы, описанные выше) стать сетевым администраторам будьте готовы к следующим вещам.


1. Много, очень много читать, в том числе скучных книжек по сетевым протоколам, и другим «непрактическим вещам».


Помимо технических аспектов применения оборудования, потребуется глубокое изучение теоретических основ. В принципе, теоретические знания и есть главный инструмент сетевого администратора. Для всего остального есть справочная литература.


2. Любую, даже самую незначительную работу всегда выполнять добросовестно и профессионально. Это не только позволит избежать неприятных сюрпризов в будущем, но и поможет сформировать репутацию безупречного профессионала. А репутация в нашем деле дорого стоит.


3. Привычка к принципу: сначала думаем, потом делаем.


У многих прикладных программ и приложений имеются графический интерфейс, всплывающие окна с предупреждениями, интерактивные подсказки. При работе с командной строкой, и даже с веб-интерфейсом сетевого оборудования такая роскошь не всегда доступна. В итоге можно запросто создать ситуацию по принципу: «чтобы настроить устройство, нужно наладить работу сети, а, чтобы заработала сеть, нужно наладить устройство». При этом придётся долго-долго искать, где же всё-таки была допущена ошибка. Поэтому лучше лишний раз проверить.


4. Расширять свой кругозор и изучать много нового, в том числе из смежных областей. Несмотря на специализацию в довольно специфичной области знания, сама эта область весьма обширна и со многим пересекается.


Очень показателен случай, когда компания прирастает регионами. Поэтому сетевому администратору приходится изучать работу множества не самых мощных и производительных устройств: небольших роутеров, коммутаторов и т. п. Не только крутой сетевой шлюз «на входе» центрального офиса и неплохие коммутаторы ядра сети и тому подобная инфраструктура уровня enterprise. Приходится знать особенности работы кучи разной «мелкоты», которая используется для подключения к общей сети филиалов в регионах. Вот такая смычка «enterprise» и «не-энтерпрайз».


Примечание.
Существуют системы, способные облегчить управление распределённой сетью, например, Zyxel Nebula, единая консоль управления всем парком устройств с любого устройства из любой точки мира. Это сильно облегчает работу сетевого администратора.

Нужны ли специализированные курсы от вендоров и помогут ли они стать крутым гуру? Централизованное обучение по готовым программам хорошо тем, что помогает привести знания в порядок. С другой стороны, обучение у вендоров всё больше напоминает повесть Айзека Азимова «Профессия», когда люди получают знания «от сих до сих», и становятся неспособны к самостоятельному обучения, строго следуя заученным шаблонам. Особенно этому способствует подготовка и сдача излишне сложных экзаменов на сертификат. Любая зубрёжка, пусть даже в сфере высоких технологий, чаще всего губит творческий потенциал. К тому же обучение на вендорских курсах обычно обходится весьма недёшево. Надо отдавать себе отчёт, что любые знания устаревают и любые принципы не есть догма. Курсы, конечно, дело хорошее, но самообразование и умение самостоятельно разбираться в своей работе нико не отменял.


Подводя итоги


Работа сетевым администратором — довольно интересное занятие (разумеется, для тех, кому это по душе). Начинать стажироваться в этой профессии в компании, не связанной с IT — а почему бы и нет? Но, в зависимости от компании и сложившихся в ней «традиций», есть риск упереться в «стеклянный потолок» и остановиться в профессиональном росте. В некоторых случаях можно перейти на удалённую форму работы, тем самым высвободив время для саморазвития и избежав «дополнительных обязанностей».


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Форум Zyxel Nebula (можно создать запрос)
  5. Техподдержка Zyxel
  6. «За что я плачу вам деньги если всё работает?»
  7. Служба поддержки Nebula для пользователей проф. версии Nebula (английский язык)
  8. Nebula или RADIUS на примерах — что выбрать для персональной аутентификации для точки доступа
  9. Настройка WPA2 Enterprise с RADIUS
  10. Сверхновое облако Zyxel Nebula — экономичный путь к безопасности?
  11. Zyxel Nebula и рост компании
  12. Построение сетевой инфраструктуры на базе Nebula. Часть 1 — задачи и решения
  13. Построение сетевой инфраструктуры на базе Nebula. Часть 2 — пример сети
  14. Zyxel Nebula — простота управления как основа экономии
  15. Журнал LAN: Знакомство с Zyxel Nebula

Комментарии (14)


  1. vesper-bot
    24.02.2022 14:55
    #24110897

    RADIUS в домене ставится, если требуется авторизовать членов домена при соединении извне, и требует именно доменного админа, а не сетевого, сетевому в этом случае отдается от него shared secret для плагина на стороне сетевого оборудования или ПО, которое аутентифицирует пользователей через RADIUS. И всё.
    По поводу сетевого шлюза — как по мне, настраивать должен тот же человек, который отвечает за доступ между vlan'ами, и если это сетевик, то его работа, если он "типа" админ гипервизора, то его. Но это если есть отдельно админ для тех же гиперов, по факту здесь роли становятся довольно узкими и требуют тесного взаимодействия между собой, иначе просто всё "не заработает". Но если проблема появилась где-то здесь — хреновый руководитель в той айти.


    1. inkvizitor68sl
      24.02.2022 15:10
      #24110939

      при соединении извне

      Шо? А как же 802.11x на проводах и перекидывание пользователя в нужный vlan после подключения?


      1. vesper-bot
        24.02.2022 16:44
        #24111145

        Ну дык, для 802.11х "извне" это всё, что не защищенная сеть. Пусть даже это провода внутри офиса и потенциальный NPS в сети.


        А вообще, я не такой крутой, чтобы поднимать NPS хоть где-нибудь, упустил применение.


        1. inkvizitor68sl
          24.02.2022 16:57
          #24111185

          Я вообще не видел, чтобы радиус использовался для чего-то другого в реальной жизни, а не в документации -)

          Ну может как система авторизации в сетевых железках в систему ещё, но будем честны.


          1. vesper-bot
            24.02.2022 17:04
            #24111203

            Ну, я его использовал как сервис авторизации пользователей домена на отдельно стоящем linux-сервере, работающем как VPN-сервер плюс роутер плюс реверс-прокси плюс site-to-site VPN bridgehead или как там оно правильно называется, т.е. функционал нарастал, а сервер был один и никому не было нужно его настраивать. Поэтому когда в процессе поиска аутентификаторов домена для xl2tpd/pppd я наткнулся на решение с RADIUS, которое к тому же, пусть и кастомно, позволило сделать пользователя вне домена с доступом, я его и запилил.


    1. FotoHunter
      25.02.2022 07:17
      #24111983
      +1

      У меня проприаритарный Radius для мак-авторизации пользователей внутри сети и раскидывания их по vlan. У нас не AD, ла и нет в этом необходимости.

      Я в одного тяну сеть на более 2 тысячи устройств, а при наличии 7 эникейщиков ещё и сетевые принтеры подключаю потому что они "сетевые". Эникеи у нас очень ленивые и не хотят обучаться, но каждый раз когда заходит вопрос о распределении обязанностей начинают ныть, что я им пароли от серваков не выдал... А о чём говорить с существом, которое не знает для чего нужен Radius и dhcp и как это работает. Которые с легкостью создают петлю вставляя пачкорд между 2х розеток и потом ноют, что бы я заблокированные этим действием порты разблокировал. Я очень доволен, что интегратор нам очень хорошие и дорогие коммутаторы поставил, которые справляются с нагрузкой и распиздяйством, разве что кроме прикола электриков пустивших в розетке фазу на земляной контакт - у компа выгорел блок питания, а заодно и PoE у коммутатора (huawei s5700).


      1. Webanut
        25.02.2022 12:11
        #24112781

        У нас однажды несколько месяцев (или лет? я уже не помню) в бесперебойнике были перепутаны каким-то критическим образом пара проводов из списка фаза1-фаза2-фаза3-ноль-земля, но бесперебойник жил (8-киловаттник АПЦ). К счастью, некоторое время спустя другой электрик это обнаружил и исправил.


  1. net_racoon
    25.02.2022 10:04
    #24112211

    Все что написано, это конечно правильно и замечательно. Но, к сожалению, в реальной жизни все не так. Обычно сетевого инженера выделяют отдельно в очень больших сетях или в средних/крупных провайдерах. Проблема первых, что их мало и туда тяжело попасть, проблема вторых - они вымирают и скоро останется только самые крупные. Причем у оставшихся средних провайдеров сеть сделана из говна и палок и ее очень тяжело морально обслуживать.

    По своему опыту скажу, что СИ более-менее комфортно сейчас в интеграции, но и там уже заметен уклон в сторону "сетевики не нужны, давайте возьмем супер-убер-крутую систему и разраба под нее".

    Поэтому, если хочешь уйти в айти, идешь на какой-нить курс "Пайтон за 30 дней" и становишься разрабом... Я бы сделал так, если бы начинал щас, а не 15 лет назад...


    1. FotoHunter
      25.02.2022 10:18
      #24112275

      Я хожу по собеседованиям и в большинстве случаев слышу "мы тут оптимизировали и поувольняли сисадминов, инженеров и т. д., а теперь нам нуден DevOps на разгребание говна". И это говорят почти все и небольшие зостеры и конторы вроде "Почты РФ"...


      1. net_racoon
        25.02.2022 10:29
        #24112315

        Ну я в принципе про это и писал, щас все ИТ это либо разрабы, либо сисадмины для разрабов (девопсы). Кстати, мне кажется, среди много бывших сетевиков.


    1. Webanut
      25.02.2022 12:43
      #24112925

      А как считаете, если вместо Пайтона попытаться за 30 дней JS освоить (SQL уже на джуна, думаю, знаю) - эта идея хуже? Потому что JS мне кажется ближе (пока не пробовал ни к чему приступать, и хочется больше уверенности).


      1. net_racoon
        25.02.2022 14:02
        #24113139

        Тут я вам не подскажу, т.к. я еще пока сетевой инженер. "Пайтон за 30 дней" - это обобщение того что я читал про людей которые ушли в "айти" (в разрабы). Щас кто туда только не уходит :)

        Лично мне особой разницы нет какой язык изучать, т.к. есть опыт написания скриптов или небольших проектов примерно на 7 языках и там уже включается интуиция. Правда Си-подобные языки типа (Perl, PHP и т.п. ) даются как-то проще :)


  1. Zyxel_South
    25.02.2022 22:57
    #24114143

    Бегло ознакомившись с вакансиями сетевых инженеров и сисадминов, вакансий сетевика меньше встречается, но у них зарплата чуть больше, чем у сисадминов.


  1. falcon4fun
    26.02.2022 07:48
    #24114599

    У системного администратора могут быть «объекты личного внимания»

    Поднятый иЛО на vmware хосте решает большинство проблем.

    От скуки даже биосы, контроллеры и весь набор, что льется через SPP, обновляю (:

    А для ведер приниси-подай-поставь_кудахтер и почиму-телефон-ни-работаит должен быть шнырь курьер, который человек- любая-клавиша, чтобы нормально заниматься Л2 и Л3.

    З.Ы. логистика. 500+ человек. 10+ офисов по всей еврожоне. 2 админа (один из которых эникей, который получает больше другого админа (нетрудно догадаться какого)). Г - приоритеты.