Интернет для бизнеса, или как сохранить нервы и деньги. ⁠⁠

Работаю сетевым инженером в сегменте B2b. Примерно в половине случаев - причины аварий на стороне клиента, а то и вовсе нет никакой аварии, есть не очень хороший менеджмент. Попробую рассказать, как же организовать связь для своего бизнеса, ибо уж очень часто орут "ДА МЫ ТУТ ЗНАЕТЕ СКОЛЬКО ДЕНЕГ ТЕРЯЕМ?! МЫ ВООБЩЕ ЗА ЧТО ПЛАТИМ ЦЕЛЫХ 3 ТЫСЯЧИ??!!?"
Будет очень много букв, но если у вас свой бизнес, если вы ответственны хоть каким-то боком за связь в бизнесе, если вы от неё сильно зависите - вам нужно это прочитать. Сами ничего не решаете - покажите тем, кто решает, это же ВАШИ деньги.
1. 3 тысячи вы платите не за эти несчастные 5 мбит, а за гарантию того, что за определённое время, например сутки вам восстановят полностью нерабочий канал. Я могу позвонить на личную мобилу не в рабочее время начальнику подрядной организации , если его подчиненный факапит сроки или не выходит на связь. А для восстановления домашнего интернета вам так сделают? Нет.
2. Если вы имеете риски потерять какой-то тендер на сотни тысяч - имейте резервный канал. А лучше два. Один через кабель, второй через радио-канал точка-точка с совершенно другого здания и один по 3G/4G. Всякие там биржи и производства имеют по 5 и более каналов связи самых разных.
3. Чтобы не тыкать провода туда-сюда ручками - найдите нормального айтишника. Не просто какого-нибудь мамкиного сисадмина, а человека который либо профильное образование закончил по телекому, либо сертификацию у лидеров рынка проходил ( Cisco Certified, MikroTik , Juniper , и т.д. ) . Периодически можно встретить сертификацию от телекоммуникационных компаний, которые за бесплатно преподают в университетах - такие сертификаты ценность имеют только для приема на работу в сами эти компании, но объём знаний дают тот же самый. Ну и идеальный вариант - это инженер, который работал в телекоммуникационных компаниях и знает, как должна управляться сеть. Если деньги есть - то к вашему вниманию тьма аутсорсинговых компаний, которые занимаются исключительно поддержкой локальной ИТ-инфраструктуры для юр. лиц.
4. Если вопрос потери прибыли не стоит в таких масштабах , а нужно чтобы просто работали терминалы на торговых точках, то к выбору оборудования и управлению оным нужно так же подходить весьма ответственно. Здесь я распишу в подробностях и с красочными примерами.
- ДА У НАС СЕРЬЁЗНЫЙ, ПРОФЕССИОНАЛЬНЫЙ РОУТЕР, ОН НЕ МОЖЕТ ЗАВИСНУТЬ. Ага, ASUS, как же. Надёжность роутера не измеряется количеством антенн которые туда понатыкали китайцы. Именно с этими асусами постоянно какие-то беды. Дошло до того, что у клиента 4 штуки оказались нерабочими. 2 он восстановил перепрошивкой, а 2 отправил на помойку.
За деньги, которые абстрактные эльдорады впаривают вам эти асусы можно было БУ циску взять. Даже если инженера нет - с ней можно разобраться за пару видео-уроков от linkmeup ( не реклама, консультирую неопытных специалистов и даже кое-что на обучение от них беру ) . Да, не факт конечно, что это та самая заветная циска, которая будет работать по 4 года и первый раз зависнет от того, что слой пыли на ней был настолько толст, что она перегрелась ( реальная история ) , но лучше , конечно не лезть в это самим, написать в какой-нибудь профильный чат ( Из головы вспомнить только @ntwrk могу в телеге, но там можно про остальные спросить ), найти человека на шабашку и сказать ему " Купи нормальную железку для офиса на столько-то компьютеров, настрой там вот что это и это работало, и управление по удалёнке настрой, можно даже мониторинг, если умеешь, все пароли и настройки заскриншоть и отправь мне. "
- Кабель , который приходит от провайдера обязательно пометить, да так, чтобы любая продавщица, любая тётя Зина из бухгалтерии поняла, что это провайдерский кабель. Можно на нём стикер повесить, например "%Имя провайдера% и % id канала /№ договора % " будет вообще идеально.
Так же очень, ОЧЕНЬ настоятельно  рекомендую, чтобы этим кабелем можно было дотянуться до компьютера, или на объекте имелся ноутбук. Это важно.
Если провайдер подаёт канал через какое-либо своё устройство - НИКОГДА И НИКУДА ЕГО НЕ ПРЯТАТЬ. Очень неловко получается, когда генеральный директор компании ищет стремянку, чтобы залезть под потолок и перезагрузить устройство, чтобы связь заработала побыстрее. Нет, он конечно не обязан это делать, но ждать пока техник доедет через московские пробки - ему тоже не очень хочется. Так что устройство должно быть на виду, и его тоже желательно промаркировать так, чтобы сотрудникам было понятно. Можете даже провайдеру сообщить, чтобы добавил заметку о расположении, чтобы потом можно было сотрудников ориентировать.
-Теперь немножечко лайфхаков для ИТ-специалистов, которыми, впрочем, может воспользовать любой более-менее грамотный сотрудник компании или просто скопипастить в письмо.
1. То, что должно быть настроено на роутере (Можно спросить у гугла "Как настроить Х на роутере У).
ОБЯЗАТЕЛЬНО.
- Управление извне по WEB/Telnet/SSH . У некоторых роутеров удобнее WEB, у некоторых - консоль. Но даже если вам понятнее WEB - настройте так же и telnet, может добрый инженер подскажет вам пару команд расширенной диагностики. !!!Обязательно смените дефолтный пароль от управления на тот, который будет известен только вам и директору!!!
- Роутер должен быть открыт на ICMP-запросы, т.е. - на ping. Если боитесь DDoS-атак - открывайте перед сдачей проблемы.  Это поможет в диагностике проблем с низкой скоростью и деградацией канала прям сходу.
- Мониторинг трафика, ОСОБЕННО если в офисе есть компы с Win10 или они могут там появиться. Винда может начать качать обновления когда захочет и таким образом забить вам всю пропускную способность.
- DNS-серверы провайдера. Не поленитесь узнать. Особенно актуально с буйством роскомнадзора. РКН блокирует сеть, на которой живёт, например не только телеграм, но и какой-то обычный ресурс. Обычный ресурс меняет сеть, но ваши DNS мухосрань-телекома ещё не обновили информацию, вот у вас и не работает. Если провайдер маленький , например дочерний какого-то большого - попробуйте использовать сервера большого. Не работает - сервера гугла.
ЖЕЛАТЕЛЬНО
- Ограничение скорости на каждый интерфейс, к которому подключаются конечные потребители ( компьютеры сотрудников) . Допустим у вас 10 мбит и 4 компьютера от роутера, ну и ещё WiFi для костей. На WiFi выделяете 2 мбита, а на каждый порт - по 5. Таким образом у вас не получится, что сотрудник скачивая тяжёлый документ парализовал работу офиса ( но два могут, в таком случае можно снизить с 5 до 3 ) , или что гость пришёл с буком на Win10 и забил канал обновлениями.
- Если в сети есть коммутатор, и он поддерживает управление - настройте его. Для этого на роутере и на коммутаторе создаются интерфейсы в отдельном vlan с отдельной приватной сетью. Таким образом, если на каких-то компьютерах интернет работает, а на каких-то нет ( С чем провайдер вам помочь не сможет и не обязан ) - вы сможете не выезжая на объект всё проверить. Все явки , пароли и настройки подробно задокументируйте и оставьте директору, вы ведь не хотите, чтобы он донимал вас в отпуске, или после того, как вы уволились?
- Резервный канал через 3G/LTE . Только для опытных специалистов. С балансировкой маршрутов между основой и резервом могут возникнуть проблемы, часто встречается на MikroTik у рукожопых админов.
2. Интернет сломался, я сижу один на точке, не знаю что делать, с компьютером на ВЫ, какие там роутеры?!
2.1 Перезагрузка оборудования. Начинать с оборудования провайдера, или с оборудования, в которое приходит кабель провайдера. Если провайдер использует DSL-модемы ( дешёво, быстро, далеко. Отличительная черта таких устройств - индикатор DSL/SHDSL/VDSL/ADSL) для подачи канала - то перезагрузка производится следующим образом:
-Отключить питание на устройстве ( обычно это чёрный кабель)
- Вынуть и вставить плотно каждый кабель ПО ОЧЕРЕДИ В ТОТ ЖЕ РАЗЪЁМ, ГДЕ БЫЛО. Один из них - это DSL-линия, порт аналогово-цифровой и частенько зависает он сам. Обычная перезагрузка по питанию может не помочь. В принципе при любой технологии лишним не будет.
"Но я не знаю, я не умею!" - Тётя Зина из бухгалтерии умеет, и ты сумеешь, просто сделай как я написал в ТОЧНОСТИ. Ничего не меняя местами. Нет, током не ударит. Как минимум не насмерть, и даже не больно.
Всё это проделать со всем оборудованием, которое включено после главного.
Если не заработало - пишем/звоним админу. Лучше написать по почте админу и сопроводить звонком.
Что Я - не технический специалист должен  написать своему техническому специалисту?
- Описать что не работает. (Не открываются страницы , не подключается рабочая программа, не работает терминал) .
- Если у админа вы не единственный клиент , но он всё настроил как написано - IP адрес роутера записан в договоре с провайдером и в документации , которую оставил админ, можете его ему написать, чтобы он не искал
- Результаты перезагрузки, что перезагружали и как.
!!!По возможности предоставьте ему диагностику от себя. Нажмите Win + R , далее впишите cmd, нажмите ОК. В черном окне cmd наберите следующие команды: ping 8.8.8.8 ; ping yandex.ru ; tracert yandex.ru ; ipconfig /all  далее нажмите на окне правой кнопкой мыши, нажмите "Пометить", теперь появится возможность выделить все выводы команд, когда они выделены - нажмите ПКМ - и всё, они в буфере, можно вставлять в письмо.
Что должен проверить ваш технический специалист?
- Выяснить, пингуется ли роутер. .
- Если роутер пингуется - значит админ должен на него зайти и произвести проверку. Это:
- Ping и traceroute до внешних ресурсов. (До проблемного ресурса например, тоже)
- Линк в сторону локальной сети офиса.
- ARP - таблица от офисной сети.
- Включен ли DHCP.
- Правильные ли DNS'ы, раздаются ли они по DHCP.
Если на локальной сети порядок, но недоступен ресурс - проверьте IP-адрес в который он резолвится на сайте blocklist.rkn.gov.ru
Если он там - попробуйте пинговать с разными DNS-серверами, возможно сайт уже сменил IP на незаблокированный.
Если роутер не пингуется - специалист должен переслать переписку провайдеру, указав в теме номер договора, адрес, ID канала, и телефон сотрудника на объекте. Провайдер найдет вас и по меньшему объёму  данных, но так будет быстрее.
Какую диагностику запросить?
Да, несомненно, можно ограничиться результатами в переписке которые уже имеются. И опытный инженер поймёт что к чему , но на случай, если вам попадётся балбес, или просто человек, которому плевать - запросите диагностику по пунктам, можете даже выводы команд запросить.
Если сервис совсем не работает:
1. Состояние физики на оборудовании последней мили.  Корректность скорости, дуплекса, наличие ошибок CRC/Коллизий. Результаты диагностики кабеля, если её поддерживает оборудование.
2. Наличие логических настроек на порту оборудования последней мили и транспорте. (L2 связность)  В B2B настройки для каждого клиента чаще всего индивидуальные, и если кто-то неосмотрительно не сохранил конфигурацию, а через год пропало питание на оборудовании - то после его восстановления сервис клиента не восстановится.
3.Наличие L3-связности (ARP-запись при статическом включении или наличие тоннеля при соединениях PPP-типа и прочих)
4. Корректность маршрутизации. (Чаще используется глобальная динамическая маршрутизация, но проблемы с памятью на оборудовании ядра могут вызывать мерзкие сложнодиагностируемые проблемы с доступом к внешним ресурсам для некоторых клиентов.)
5. Корректность скоростных ограничений на канале. (Часто скорость ограничивается на нескольких участках сети, и после заявки на апгрейд например, где-то могут не внести изменения. Или внести, но не сохранить, в результате чего забитый трафиком канал может вести себя как полностью нерабочий.)
6. Статус аппаратных систем оборудования, нагрузка на процессор и память. Из-за перегрева устройства или перегрузок сервисы могут не работать полностью или частично деградировать.
Всё, что выделено жирным можно прям копировать в аварийный запрос, и вас поймут. А если не поймут - отказывайтесь от таких услуг.
Если сервис деградирует - пункты 2 и 3 не обязательны.
Если проблема миновала, но нужны причины сбоя.
1. Аптайм оборудования. Если проблема была кратковременной, то пусть проверяют всю магистраль, а не только последнюю милю. Другие клиенты могли не заметить и не обратиться.
2. Логи с оборудования.  Там можно увидеть , что были проблемы с физикой, перегрузки, атаки, да что угодно практически.
3. Статус и аптайм логического транспорта. Есть много вариантов дотащить трафик от вашего устройства до ядра сети, чаще всего это работает корректно, но лучше лишний раз проверить.
4. По возможности - исторические данные по нагрузке на оборудование. Будь то процессор или трафик. Если вы выбрали негарантированный профиль скорости, а канал проектирован рукозадыми менеджерами - вполне вероятно, что ваш трафик могли вытеснить соседи с гарантированной скоростью. Но это редкость.
5. Счётчики ошибок на оборудовании доступа. Уборщица прибиралась, расшевелила кабели, потом сделала как было. Если нарушила физику - это может отразиться в виде ошибок.

!!! По всем этим пунктам так же провести проверку на своей сети !!!

ВАЖНЫЕ СОВЕТЫ:
*Если провайдер со своей стороны проблем не нашёл, или нашёл проблемы с вашей стороны ( сказал проверять оборудование) - не бегите сразу покупать новое!
Сначала проверьте канал воткнув кабель от провайдера в компьютер, и настроив подключение на нём. Как настроить - может подсказать админ или провайдер. Если проблема не воспроизводится - доверьте работу с оборудованием специалисту. Купите какую-нибудь гадость для домашнего интернета , а потом жаловаться будете.
*Если ваш админ работает удалённо из другого города - пусть найдёт себе подрядчика по месту. Если вы случайно сбросили свой роутер до заводских настроек - ценник на его командировку выйдет больше, чем на работы подрядчика.
*Выездные специалисты провайдера - работают больше с физикой сети, чем с логикой и действуют под руководством опытных инженеров из штаба. По-хорошему им вообще запрещено законом (юристы не бейте, за что купил за то и продаю) что-то настраивать на вашем оборудовании, так что не нужно их склонять к халтуркам и шабашкам по настройке вашей сети. Скажете потом, что "Это ваши ребята настраивали" - а он по шапке получит. Ну или уволится из компании, а потом поди-разберись, что у вас на сети настроено.
*Нет денег на штатного специалиста - пользуйтесь аутсорсом. В гугле достаточно ввести "ИТ-поддержка %Имя Города% " человек приедет и разберётся. Если не разберётся - позвонит провайдеру по аварийной заявке и они вместе всё сделают. Но если долго возится - можете потом позвонить провайдеру и выяснить, насколько квалифицированный специалист вам попался, чтобы решить, стоит с этой компанией  работать потом или нет.
*Если человек, который ответственен за вашу сеть не знает , что такое ARP, VLAN, DHCP, PING - то снимите с него данный функционал и передайте тому, кто разбирается. Горе-админ сломает вашу сеть быстрее, чем вы произнесёте фразу "Зона ответственности" . Нет, ну серьёзно, программисты 1с, администраторы баз данных и сервис-инженеры по ремонту офисной техники не должны этого знать и не обязаны этим заниматься. Даже не всем сис. админам это нужно знать для выполнения обязанностей.

P.S.
Ещё раз прошу прощения за такую неосиляемую простыню, но нагрузка не всегда позволяет что-то писать. Возможно потом напишу пост для большого бизнеса по диагностике L2 и L3 VPN, VoIP, WiFi HotSpot и прочим сложным вещицам для больших разветвлённых торговых сетей.