Про Ваню, и как я духом возвышался ( Ну и немного про улыбку и то, что все эти мелочи жизни на форму гор никак не влияют. )

Вначале предыстория. Заскакивающие ранее на мой сайт и в общих чертах знакомые с моей трудовой биографией могут припомнить, что я почти десять лет проработал с группой павлодарских (Казахстан) специалистов внедрения и поддержки информационных систем преимущественно в государственных органах региона. В 2014 году нашу компанию ТОО "Информационно-технический сервис" уничтожили назначенные с Астаны и доставленные с Тараза истребители-чиновники, после чего с обретённой свободой от производственных обязательств я отправился в трёхмесячное велосипедное путешествие по Казахстану, потом автостопом уехал в Россию, довольно интересно поработал в Санкт-Петербурге, а через год прилетел в Павлодар с контрактом технической поддержки мною же ранее и построенной инфраструктуры. Первые полгода было неплохо, однако очередная девальвация казахстанской валюты (ранее проводились в 1999, 2009, 2014 годах, и вот очередная судорога в августе 2015) и последующее обвальное обесценивание казахстанского тенге относительно USD на фоне прогрессирующей инфляции и падения стоимости нефти как основного наполнителя государственного бюджета подрубила под корень сам смысл хождения на работу, доход от которой обеспечивает лишь базовые потребности семьи, не оставляя возможности развития в перспективе. Естественно начались поиски альтернативной работы, и вот я уже в южной столице Казахстана, Алмате.

Новая работа не требовала от меня абсолютно никакого профессионального роста - уровень задействованных технологий позволял с моей компетенцией прогуливаться лишь слегка закатывая штанины по заболоченным лужицам стараний предыдущих сетевых и серверных администраторов. Основой интерес представлялся в плане человеческих взаимоотношений внутри коллектива, о некоторых запомнившихся случаях которых я далее и напишу.


Итак, на некотором объекте, некоторого предприятия, некоторым сотрудникам предстояло разгрести средних размеров плотной консистенции кучу последствий непрофессионального подхода к построению сети и провести следующие работы: инвентаризацию сетевого коммуникационного оборудования уровня доступа, создание схемы сетевых подключений, обеспечение доступа к управлению активным оборудованием (включая коммутаторы и беспроводные точки доступа), включению между активным оборудованием резервных каналов связи с попутным агрегированием таковых, предварительное создание на маршрутизаторе уровня ядра выделенной подсети с новой адресацией, провод трафика новой подсети как в "интранет", так и в "интернет", тестирование нового сегмента сети путём включения в него пары пользователей, введение в схему взаимодействий нового маршрутизатора сегмента целевого объекта, обеспечение связи нового сегмента с ядром через два-три канала передачи данных в разных транспортных средах с динамической маршрутизацией и балансировкой трафика, вынос предварительно созданной новой подсети на маршрутизатор сегмента, поэтапный перевод пользователей в новый сегмент сети. Этот блок задач начального уровня сетевого администрирования был делегирован сотруднику (назовём его Иваном; пользуясь его терминологией, я "буду до усрачки спорить" против любого намеренного совпадения личности моего героя с какой-то другой реальной - будем считать это чистым творчеством) соответствующего отдела, чьё резюме и личные амбиции с лихвой покрывали предстоящие возможные сложности.

Начну по простому, пошагово описывая формулировки заданий, действия Вани, последствия и мои реакции, излагая фабулу этапов достижения изначально поставленной цели.

Эпизод первый. В качестве апробации возможности терминирования сегмента сети на маршрутизаторе ядра Ване даётся задание подготовить конфигурацию (вначале без её применения на реальном оборудовании) заведения подсети на коммутаторе входящих подключений, терминировании её на маршрутизаторе, проводе трафика подсети на пограничный защитный экран и обеспечения выхода её в "интрасеть", а также доступа через публичную трансляцию в "интерет". Ваня готовит конфигурацию для коммутатора, высылает её мне, я её проверяю и признаю корректной. Ок, уже хорошо - первое профессиональное задание выполнено достойно и без ошибок. Понятно, что это даже менее, чем детский сад сетевых администраторов - но для начала уже хорошо (мне приходилось руководить и "сисадминами" не ведающими понятия "трассировки", по сравнению с ними специалист умеющий "на каталисте вилан прописать" слегка даже крут). Получаю вторую конфигурацию, для маршрутизатора. Тоже вполне приемлемо, с мелкими коррективами принимаю её к дальнейшей отработке. Спрашиваю Ваню, понимает ли он суть предстоящих операций - на случай, если он в чём-то сомневается и попросит разъяснений. Нет, тот излучает уверенность. Ок, разрешаю приступить к непосредственному применению конфигурации вначале на коммутаторе и маршрутизаторе, оставив пограничный защитный экран на следующий этап. Минут через двадцать Ваня сообщает, что всё сделал, но оно почему-то не работает. Перепроверяю его работу и обнаруживаю, что он провёл работы на маршрутизаторе, а на коммутаторе забыл это сделать, хотя по элементарной логике с него и нужно было начинать. Ну, бывает.

Эпизод второй. Удостоверившись в наличии связи между тестовым компьютером, коммутатором доступа и маршрутизатором, прошу у Вани показать мне конфигурацию провода трафика на защитный экран. Вдруг выясняется, что её нет. Оказывается Ваня не подготавливал конфигурацию как слишком сложную, решив "пробиваться через фаервол уже тогда, когда окажется на нём". Минут пять помолчав, переваривая такой новый для себя подход к системному администрированию, прошу всё-таки расписать последовательность действий, которые по его мнению приведут к решению поставленной задачи. Ваня выдаёт пару строк абсурдного кода, которые в свою очередь дают мне понимание, что дальше работать предстоит уже мне. Подготавливаю набор правил политики избирательной маршрутизации и поясняю принцип действия этой методики. Проводим совместно трафик до защитного экрана. Ваня до сих пор уверен, что сможет решить поставленную задачу. Поколебавшись, учтя что я тут человек новый, а Ваня уже успешно трудится на предприятии и не имеет нареканий от руководства, решаю дать ему возможность реализовать его план, хотя бы потому, что начальник не может (и не должен по идее) всё делать за подчинённых и в любом случае придётся приноравливаться к образу действий коллег. Ваня начинает "пробиваться через фаервол" и через часик сообщает, что у него это не получается. Иду в коммуникационный узел, где он работает, но тут мне звонят с центрального офиса, спрашивая, почему уже полчаса у них отсутствует доступ в интернет. Быстро откатываем внесённые изменения и я придумываю, как бы так вывернуться, чтобы не обвинить практически голословно (доказать-то некому - кроме нас нет сетевиков способных понять суть произошедшего) своего подчинённого перед окружающими. В итоге сообщаю руководству, что перерыв в работе вызван моими действиями и пишу соответствующую объяснительную. В сухом остатке после дня глупостей мысль "ну, бывает" и острое ощущение собственной несостоятельности как руководителя - доверился сотруднику, который несколько раз не выполнял мои прямые указания и последовательно ошибался на всех этапах решения задачи.

Эпизод третий. Проваленные задачи первого и второго эпизода чуть позже я отработал самостоятельно наряду с текущей деятельностью, а Ваня две недели занимался изучением особенностей конфигурирования четырёх разных видов коммутаторов используемых на целевом объекте. Ему поручено было научится назначать оборудованию адреса для удалённого к нему доступа, настраивать в любых комбинациях пропуск через них "виланов" и агрегирование проводников связи в "пуле". После достижения некоторого уровня готовности была предпринята попытка подчинения оборудования в несколько заходов, в результате которой выяснилось, что два коммутатора в самой активной, высоконагруженной и важной для бизнеса части сети целевого объекта заблокированы забытыми всеми паролями, а сброс к заводским настройкам простыми способами вроде нажатия кнопочки "ресет" не предусмотрен - требовалась перезагрузка программного обеспечения и конфигурации длительностью до получаса, в результате чего имелся ненулевой шанс получить на руках коробочку с креплениями для установки в стандартную 19-ти дюймовую стойку и функционалом не дотягивающим до кирпича. Отложив перенастройку проблемных коммутаторов перешли к тестированию пропуска на целевой объект терминированного пока ещё на центральном маршрутизаторе сегмента новой подсети через резервный канал связи и проверке возможности работы в нём парочки реальных пользователей. Включение резервного канала связи прямо в ноутбук дало предсказуемо положительные результаты. Даю указание, суть которого неоднократно обсуждалась ещё ранее, на этапе проработки схемы взаимодействий, подключить резервный канал в коммутатор, к которому уже подведён основной канал данных, предварительно переведя порт резервного канала в выключенное состояние или установив на нём фильтр пропускающий только один "вилан" не пересекающийся с уже обслуживаемыми коммутатором. Ваня рапортует об исполнении и уходит дальше отрабатывать задачу. Через пять-десять минут мне звонят из центрального офиса и сообщают, что у них снова не работает интернет. Оказывается, что Ваня не выполнил моего указания в полном объёме, лишь включив резервную линию наряду с основной, не воспрепятствовав при этом создаваемой при этом "петле", заблокировавшей нормальное прохождение трафика. На сладкое выясняется, что работа по назначению коммутаторам "айпишников" выполнена даже не на две три от всего объёма, как я полагал исходя из количества оставшихся неподчинёнными двух единиц оборудования, а всего на треть, так как часть коммутаторов Ваней даже не планировалось настраивать потому, что он не удосужился почитать про их возможности, сочтя их неуправляемыми "просто так", без каких-либо на то оснований. События третьего эпизода не укладываются в один день и объединены мною по ощущениям связности - они перетекали одно в другое, накладываясь и цепляясь взаимно. Вынести какого-то общего впечатления не получается, но всплывает мысль о том, что я бестолковый начальник, прямые распоряжения которого запросто игнорируются сотрудниками несмотря на очевидно прослеживаемые негативные последствия. Утешаю себя тем, что "да, бывает".

Эпизод четвёртый. По факту обнаружения двух заблокированных коммутаторов пришлось вернуться на исходные позиции и продолжить тренироваться на имевшихся неисправных аналогичных устройствах. Следующий подход должен был состоятся в вечернее время, так как остановка производственных процессов в рабочее время была недопустима. Заранее составили план действий, в соответствии с которым Ваня берёт с собой запасной коммутатор, перезагружает программное обеспечение и конфигурацию у первого из недоступных коммутаторов на объекте и удостоверяется в его работоспособности. Если мы получим из коммутатора "кирпич", то у него будет возможность заменить его тем, что я ему вручил как запасной. В случае успешной перепрошивки первого коммутатора он может проделать ту же процедуру и со вторым. С напоминаниями быть внимательным и осторожным Ваня выдвигается на объект, а я остаюсь дежурить на основном коммуникационном узле, чтобы по мере проведения работ подтверждать их успешность. Часа через три контрольных звонков и уклончивых ответов на вопросы о статусе решения задачи слышу: "что-то неполучается". Ещё пару часов попыток разобраться, что конкретно не получается, и я еду на объект лично. Выясняется, что Ваня перепрошил первый коммутатор, проверил с него выход в интернет, перепрошил второй коммутатор, проверил через него выход в интернет, попробовал потом настраивать их далее и столкнулся с их полной неработоспособностью в рамках задуманной схемы. В процессе часового разбирательства всплыло, что схемы поэтажных расключений не были им распечатаны или хотя бы взяты на "флешке" несмотря на моё настоятельное указание, инструкции по настройке проблемных коммутаторов он не взял с собой, ну а проверку выхода в интернет через коммутаторы он делал будучи подключённым к беспроводной сети предприятия и трафик шёл не через коммутаторы, а через беспроводные точки доступа. Мало того, мы не имели возможности заменить пришедшие в негодность коммутаторы потому, что запасное оборудование Ваня забыл в кабинете запираемом на ночь сотрудниками, забиравшими с собой ключи от дверей. Ситуация та ещё: два часа ночи, отсутствующие схемы соединений, неработающая для сотни пользователей (включая всё руководство) сеть, нет резервного оборудования и запасное оборудование находится на другом объекте, вынос с которого чего бы то ни было осуществляется через полицейскую охрану по служебным заявкам проходящим все этапы через три инстанции одобрения дня два. Делаю пару звонков знакомым, у которых потенциально могут быть запасные коммутаторы, но нарываюсь на сонное бормотание об адекватности и трёх часах ночи. Принимаю решение ехать на строго охраняемый склад и просто попытаться вынести нужное нам оборудование без оформления, в расчёте на то, что полицейские ночной дежурной схемы проявят максимальную халатность. Уже в четыре часа ночи восстанавливаем работу сети и едем по домам с тем, чтобы к восьми утра быть снова на объектах для проверки их работоспособности после ночного многократного передёргивания проводов. Во время ночной эпопеи и по завершению таковой никаких мыслей, кроме непрерывного прокручивания в голове этапов проверки, поиска рабочих рисков и проработки способов их устранения, нет вообще. Хочется есть и спать, непонятно чего больше. Уже не думаю, что я плохой начальник - просто "так бывает".

Эпизод пятый. Мы уже полтора месяца пытаемся настроить "пул" из десяти коммутаторов в центральном офисе. Каждый подход представляется последним или предпоследним, но светлое будущее всё ещё в тумане неопределённости и выплывающих мелких проблем. После описанной ранее утомительной ночи мы почти ничего не делали пару дней, элементарно отдыхая. По достижению моральной готовности я даю указание утром обновить программное обеспечение маршрутизатора сегмента сети целевого объекта, а вечером демонтировать один из приведённых в негодность в предыдущем эпизоде коммутаторов, чтобы его преднастроить, протестировать и уже после установить снова на объекте. Особо обращаю внимание на то, чтобы он ни в коем случае не демонтировал оборудование в течении рабочего дня - нам уже и так хватало сбоев сетевых. Часа через четыре среди белого дня Ваня приходит и приносит коммутатор, который он демонтировал несмотря на мой запрет и мимоходом сообщает, что не смог обновить прошивку маршрутизатора - там "какая-то ошибка с именем". Получается так, что даже в этом супер-коротком подходе с чёткими и однозначными инструкциями он не сделал того, что требовалось (даже не попытавшись со мной проконсультироваться на предмет дальнейших действий) и напротив, сделал то, что было категорически запрещено. Ещё неделя изучения инструкций и тестирования, и он идёт на объект со свеженастроенным коммутатором из серии проблемных и указанием только установить его, но не забирать того, что некоторое время работал вместо него - на всякий случай, вдруг что-то пойдёт не так и нам срочно понадобиться вернуться к прежней, проверенной схеме - но он всё-таки забирает с объекта тот коммутатор, который я велел не трогать. Бывает.

Эпизод шестой. В качестве развлечения путём смены рода деятельности - он явно устал от безуспешной борьбы с коммутаторами - даю Ване задание подготовить конфигурацию для соединения двух офисов через три канала связи: туннель через интернет, VLAN через двух провайдеров и прозрачное оптоволоконное соединение - все с шифрованием "IPSec over GRE", причём пусть один из туннелей будет на "Cisco VTI", а остальные два на классике, совместимой со всем, что включается и мигает цветными индикаторами. Ваня высылает мне на почту куски кода, явно выдернутые с форумов "сисадминов", описывающее конфигурацию "GRE over IPSec". Я напоминаю ему, что мне нужен не туннель поверх шифрования, а шифрование внутри туннеля и вижу скрываемое непонимание в Ваниных глазах. Рисую на бумажках схему того, что требуется, полчаса распинаюсь в разъяснениях различий подходов инкапсуляции и понимаю, что по сути всё сведётся к обучению медведя удержанию равновесия на движущемся по кругу мотоцикле - в итоге через недельку, не дождавшись вменяемых предложений, настраиваю связь между офисами самостоятельно. Ну да, так бывает - и часто, в общем-то.

Эпизод седьмой. Я всё ещё пытаюсь дать Ване задание, с которым он справится. К маршрутизаторам его очевидно подпускать нельзя. Настроить все коммутаторы у него никак не получается. Остались ещё беспроводные точки доступа. Даю ему задание подготовить конфигурацию разделения трафика от беспроводных точек доступа к их специализированному контроллеру, оттуда к "пулу" коммутаторов и далее к маршутизатору. Идея в том, чтобы разнести по VLAN-ам трафик пользователей и управления, чтобы исключить возможность конфликта адресации, с попутной изоляцией интернет-запросов в транзитном VLAN-е, минимизируя таким образом возможности взлома инфраструктуры со стороны пользователей беспроводной сети. В процессе отработки задания открываются новые глубины. Ваня представляет варианты конфигураций один за другим, а я каждый раз удивляюсь, как можно настолько не понимать суть сетевых взаимодействий - например, он запросто пишет в плане работ на восьмой позиции то, что должно обязательно исполняться сразу после пятой (в противном случае будет потеряно управление устройством и придётся на стремянке болтаться под потолком, баллансируя с ноутбуком в руках, настраивая точку доступа уже через "консольный" кабель, а не по сети) и наоборот. Мало того, он просто не понимает, зачем выделять трафик управления в отдельный сетевой сегмент и почти саботирует это задание. Мне уже немного поднадоело ему всё подряд разъяснять в несколько заходов и я просто возвращаю раз за разом план работ на доработку с неизменной рекомендацией начать читать сопроводительную техническую документацию. Через пару недель неявного противостояния Ваня всё-таки делает, что от него требуется - перечитывает наконец техническую документацию и высылает мне план работ, в результате которого потенциально мы можем достигнуть поставленной цели. На следующий же день он выдвигается на объект, ковыряется там пару часов и, уже почти "закономерно", у него ничего не получается. Меня это уже нисколько не возбуждает - привык, знаете-ли. Спрашиваю, сломал он там всё, или в принципе можно вернуть "как было"? Вернуть можно - ну и хорошо, бывает.

Эпизод восьмой, условно завершающий. Ваня всё никак не может справится с обеспечением доступности к коммутаторам "пула". Он пытается что-то делать, но понять, что конкретно им предпринято, не представляется возможным - однако четыре коммутатора из десяти уже два месяца как не настроены. На вопросы о статусе решения задачи слышно или бормотание о том, что он занимается этим, или лепет о том, что вот оно "пинговалось" и вдруг перестало. Никакой конкретики, и похоже это стиль работы такой. Понемногу занимаемся текучкой, и в рамках увеличения возможностей локализации сетевых сбоев даю ему задание настроить коммутаторы отвечать на SNMP-запросы, а на сервере мониторинга включить отрисовку графиков утилизации интерфейсов "up-link" интересующего нас оборудования. Задача настолько простейшая, и практически не влияющая на функциональность устройств, что я даже не требую вначале представить мне конфигурации перед её применением. Ваня с полнедельки возится с мониторингом, пару раз отпуская замечания о том, что "эти китайские железки не хотят работать" - я не придаю этому значения. Одним не прекрасным днём он сообщает, что наконец заборол подключение коммутаторов к мониторингу, и через пару часов вдруг полностью "ложится" канал связи между центральным офисом и ЦОД. Некоторое время Ваня пытается разобраться, не перепутаны-ли провода на коммутаторах, с которыми он сообща с другими технарями недавно работал, а через полчаса-час безрезультатных телефонных переговоров на другом конце провода возбухает паническая суета, сопровождаемая хаотическими и нелепыми действиями вроде замены якобы неисправных коммутаторов на новые (которые по определению не смогут заработать в определённым образом преднастроенной схеме). После исключения всех вариантов и изучения состояния сопряжённых устройств, на фоне ненормально при скромном объёме трафика возросшей на центральные процессоры нагрузки у меня выплывает предположение о неверно настроенном на коммутаторах SNMP. Так и есть, Ваня как раз сегодня тишком настроил на нескольких устройствах не только приёмник SNMP-запросов, но и отправку "трапов" по всем событиям, которые вообще не нужны и не отрабатываются нашим сервером мониторинга. Изюминка в том, что в процессе применения "форумных" конфигураций путём "Ctrl+C, Ctrl+V" он наверняка указал IP-адрес не нашего сервера мониторинга, в результате чего трафик "трапов" уходил в подсеть одного из клиентов (что хорошо было видно по графикам утилизации интерфейсов) с крайне низкой пропускной способностью канала передачи данных, отчего в буфферах транзитного сетевого оборудования образовывалась очередь незавершённых запросов, подпитываемая всё новыми и новыми "трап"-сообщениями, количество которых существенно превышало рабочий трафик - получилось что-то вроде DDoS-а в локальной сети. На сладкое, как только я локализовал источник паразитного трафика, Ваня удалил все свои новые настройки мониторинга с оборудования и сервера мониторинга - а журналов событий не сохранилось после нескольких перезагрузок коммутаторов в хаосе созданном "волевыми решениями" руководства, и теперь абсолютно точно установить причину сбоя не представляется возможным. Ваня прячется в кресле, делает производственно-озабоченный вид, и на мои ободряющие шутки ослепительно мило улыбается - ну как на такого сердится?

Я думаю, что ещё через пару-тройку месяцев возни всё запланированное будет сделано - но не суть. Вся писанина здесь по другому поводу: я начинаю постигать цзен.

Знакомые со мной лично на протяжении последних лет десяти-пятнадцати знают, как я скор на внесение в расстрельный список сотрудников не исполняющих мои распоряжения и при этом массово совершающих ошибки в предупреждение которых и давались указания. Я часто ловлю себя на гневливости, резкости и кардинальных решениях в отношениях - увольняю запросто - но сейчас, о чудо, ничего подобного не ощущается. Совсем нет желания разорвать и по кускам разбросать бестолочь. И вообще почти нет негативных мыслей - я даже специально записал здесь проанализированную выжимку из событий, потому как замечаю постепенное вымывание из памяти неприятных воспоминаний и замещение их на впечатления от непроизводственных бесед или прогулок в горах. Я к этому стремился издавна, применяя самотерапию уклонения от дерьма жизни и поиска в происходящем светлых сторон - но вот только теперь, в Алмате, это сработало заметно, будто на ступеньку выше поднялся, освободившись отчасти от бремени траты времени на мелочи бытия.

P.S. На самом деле сейчас, по прошествию месяца от описываемых событий, я понимаю, что будь на то моя воля (напоминаю, нюанс в том, что здесь я был временно привлечённым специалистом), я бы выгнал Ваню уже после третьего эпизода. Иметь практически неконтролируемого подчинённого, ошибающегося буквально на каждом шагу недопустимо для службы эксплуатации - меньшим злом являются даже вообще ничего не делающие сотрудники, только бы не ломали уже работающее. Так что, как ни приятно было некоторое время ощущать себя эдаким добряком - в действительности я всё таки жестокий руководитель, терпимость которого больше объясняется безразличием к нарушителям порядка, нежели сочувствием.