Как организовать сеть предприятия с территориально разбросанными филиалами?
День добрый.
Есть строительная организация с центральным офисом в городе М.
Есть подразделения на местах строительства в других городах (в настоящее время таких подразделений 2шт.).
В этих подразделениях есть территориально разбросанные отделы. Например, в Подразделении (любом) есть:
- Офис в черте города, где размещены отделы ПТО, кадров, бухгалтерия, дирекция.
- Отделы, находящиеся вне города, на арендованных площадках: "Диспетчерский отдел", "Склад", "Отдел механизации", которые в свою очередь тоже находятся в разных местах.
Есть огромное желание соединить всё это вместе - с единой авторизацией и политиками, резервным копированием (Bacula/BareOS), единой системой коллективной работы (openXChange нпр.), сведЕнием к 0 анархии в плане установки ПО, контролем всего парка комп/оргтехники, ведением инвентаризационного учета (OCS Inventory NG with GLPI), возможно IP-телефонией и т.д.
По-хорошему необходим домен в центральном офисе, и подключать посредством VPN/IPSec, но сомневаюсь вот в чем:
- Качество Интернета - если в офисах Подразделений еще может быть ADSL (если они в черте города, но даже здесь со скоростью исходящего трафика беда), то в отделах, находящихся вне города, в лучшем случае - свистки, в худшем - мудрить спутниковый интернет (в случае если нет 3G покрытия каким-либо из операторов)
- Подразделение по окончанию строительства сворачивается и ждет переезда/переезжает на новое место, где о качестве Интернета узнаем только по прибытию.
Вопрос:
Как вот быть с этими Подразделениями и их разбросанными отделами? Что использовать, BranchCache? RODC? Что-то еще? Какую связку железа/ПО решений можете посоветовать?
Пользователи должны иметь доступ к своим рабочим документам всегда и оставаться в работе даже во время отсутствия интернета.
поддержу. ипсек между всеми стационарными офисами
Удаленные подразделения которые часто переезжают, сажать либо на спутниковый интернет, либо на мобильного оператора с хорошим покрытием в регионе. Тут тоже возможен ипсек, либо возможен прямой доступ - у оператора заказывается выделенных блок серых адресов (172.x.x.x) в отдельном влане с подключением в центральном офисе стабильного канала от этого же оператора и пробросом всего трафика до центрального офиса (к сожалению не знаю как грамотно обозвать данную услугу)
@huziahmetov: сейчас обходимся модемами, но думаю может на отделы Подразделений, находящихся вне офиса, поставить железку с поддержкой IPSec и модемы. Здесь тогда появляется вопрос выбора.
@insiki: Если будете смотреть в сторону микротиков (есть поддержка ипсек, есть возможность воткнуть внешние антенны, есть возможность использовать усб свисток от мобильного оператора) - почитайте на предмет корректной работы ипсека в оборудованием на другой стороне тунеля. У меня подружить микротик и фрибсд через ипсек к сожалению не получилось пару лет назад (хотя сейчас возможно поправили прошивку и проблем нет)
@huziahmetov: такой случай возможен если все точки подключены к одному провайдеру да и стоить будет уже других денег. Но для крупной компании это одно из нескольких оставшихся хороших решений.
Микротики хороши, когда вся сетевая инфраструктура или хотя бы та, что отвечает за тунелирование работает на микротиках. В любых других случаях уменьшается отказоустойчивость...
@huziahmetov: читал и свежие отзывы о том, как Mikrotik с *nix подружить не удавалось. Сейчас в офисе одного из Подразделений хочу на машинке, выступающей в роли шлюза (CentOS 6.5), поставить IPSec/VPN server, а на отделах через модемы/недорогие маршрутизаторы с поддержкой IPSec.
все очень просто:
создаете впн сервер желательно 2шт для резервного канала с l2tp.
создаете парк терминальных серверов для пользователей.
openfire, asterisk - и на местах софт фоны и все
В таком случае, файлы и документы, с которыми работают сотрудники, буду оставаться на терминале, но не локально? Просто вся документация и наработки нужны здесь и сейчас на Подразделении.
На терминале у меня только Бухгалтерия. По поводу Склада, диспетчеров по ГСМ и отдела механизации - думаю. А вот ПТО, например, работает непосредственно на объекте, на центральный офис хочу только бэкапы отправлять.
надо оценить каналы интернета, если 256кб/сек то этого достаточно на 5 юзеров чтобы они могли сидеть по рдп. я почему склоняюсь на расположение серверов это вам облегчит обслуживание парка серверов, а у конечных пользователей пусть будет что есть под рукой и не важно там обновился ли ос или антивирус.
Если честно не понял с какими именно данными работают на местах, но в любом случае, синхронизацию файлов через дропбокс и аналоги(owncloud, seafile) можно сделать, на мой взгляд это самый простой и эффективный вариант, если очень хочется можно соединение в vpn завернуть, но не обязательно, шифрование и в вышеупомянутых должно быть.
@seniorivn: у ПТО'шников (основные - они) это всякие таблицы в Excel, проектная документация, чертежи автокадовские. То есть в целом основная работа, так как организация строительная, выполняется в Excel и AutoCAD. На местах строительства присутствуют и представители заказчика, и технадзор, то есть данные нужны здесь и сейчас.
Олег Ди: ну раз в основном работа с исходниками ценна, то синхранизация файлов отличное решение, если очень ценные данные поднимите vpn/ipsec, но это уж сами решайте. seafile.com/en/home не пугайтесь что разрабы родом из китая, проект open source, работает хорошо.
Построить впн сети между офисами, грамотно спрланирвоать сетевое пространство и так далее. при желании можно в привате пообщаться, расскажу в общих чертах
Олег Ди: Поискать можно, например в профиле. ну или, если в профиле способы связи видно плохо - по фио в %мой_любимый_поисковик%. зуб даю что-то да найдется, на меня так точно
Николай Турнавиотов: вопрос следующего плана - что делать, если у пользователей в филиалах пропал интернет, ведь авторизация в домене будет невозможна?
Олег Ди: во первых логины на воркстанциях кешируются на какое-то время, иначе вы просто не зайдете в систему где-нить во время перелёта. во вторых - локальные кеширующие rodc контроллеры домена на филиалах есть где-то с win 2008 уровня домена..
Николай Турнавиотов: хм, допустим RODC можно использовать в офисе филиала, а вот что делать с теми отделами, которые находятся вне офиса филиала, на какой нибудь базе в вагоне на колесах (где обычно все очень плохо с интернетом)? Увеличивать время кэширования?
Олег Ди
Как здесь уже писали поднимаете ВПН (тип выберите для себя сами) до центрального офиса.
Типы подключения выбираете из доступных. Вы писали про свистки с 3G, их естественно стоит использовать с внешними антеннами, так и скорость поднимите и пинг уменьшите, да и вообще сигнал поймаите там, где его как бы нет.
По поводу ПТОшников, на месте ставите NAS(любой файл сервер), они работают на нем и переезжают с ним. А по ночам все синхронизируете с центральным офисом.
Железо выбирать то, с которым умеете работать.
kodi: заехали соседи к нам на этаж, просили меня посмотреть, что с интернетом (старый системник с дебиан, с настроенным VPN), а у них красота - они авторизируются в домене где-то в Москве. Вот и мне так захотелось. Контроль, политики, порядок и т.д. Хотя может зря я всё это пытаюсь усложнить. Но ту же централизованную авторизацию, управление ПО, мониторинг железа в филиалах хочется, а это уже AD DS или аналоги на *nix.
Ну так дублирование это стандартный и недорогой процесс. Реально же все схемы отработаны просто на ура. 3 секунды и всё переключилось на резерв и дальше побежало.
