Александр

В рамках одного ESXi-сервера вы многого не сделаете. Проработайте возможность запилить либо сервер помощнее, внутри которого установить несколько виртуальных ESXi, внутри которых уже будут работать виртуалки, либо поставить хотя бы парочку серверов с ESXi. Тогда появится возможность подключить эти ESXi к vCenter и попробовать миграцию, распределённый свич и много других технологий, которые умеет vSphere.

Плюсом ко всему, что сказал коллега выше -- разберитесь в VLAN'ами и принципами организации сети в vSphere:

• Чем отличаются Standard switch от Distributed switch;
  
• что такое портгруппы, каких видов бывают, как создаются/управляются;
  
• Для чего нужны параметры "promiscuous mode", "Forged transmits", "MAC address changes" в настройках портгрупп
  
• Что такое PVLAN и каковы сценарии их использования;
  
• Teaming and failover. Разберитесь с технологиями резервирования и балансировки сетевого доступа. Добейтесь, чтобы при отключении сетевого порта у вас гипервизор не отваливался от сети.
  

Что касается дисков, то "статические" и "динамические" диски в vSphere называются не так. Это в терминологии Вари (и всех других гипервизоров, а также вендоров storage-оборудования) называется "толстые диски" и "тонкие диски". Разберитесь с разницей между "Eager zeroed thick disk", "Lazy zeroed thick disk", "thin disk".

Если ip серые, то локальную сеть можно сделать через промежуточный сервер (на vps за пару сотен рублей в месяц) и vpn через него.

Обратить внимание нужно на функционал.
Но если вы ставите задачу таким образом - у вас расплывчатое представление о том, что могут и как используются свитчи. В этом случае для защиты инвестиций я бы посоветовал купить что-нибудь из цисковской серии для малого бизнеса. Функционал у них широкий, а понимание, как его использовать, придет позже.
Например Cisco SG500X-24 и SG500X-48. Они удовлетворяют всем вашим требованиям, но вылезут за рамки бюджета тысяч на 50.
Я бы хорошенько подумал вот над чем:
- реально ли всем пользователям нужен гигабит? и офис-менеджеру? и бухгалтеру? зачем? Не лучше ли взять один свитч Fast Ethernet для большинства пользователей и один Gigabit Ethernet для тех, кому действительно нужен гигабитный канал?
- так ли вам нужен 10Гбит канал до сервера? Я с трудом представляю приложения для малого бизнеса, где это нужно. Если одного гигабита однозначно мало - есть сетевые карты с несколькими портами и статическая агрегация каналов. Прикиньте, это может выйти значительно дешевле.

Домен gdzvip.ru не ваш? Так и пишите, что заказчиком услуги по регистрации домен вы не являетесь, администратором данного домена также не являетесь, информации о текущих владельце и администраторе домена не имеете.

Intel Xeon E3-1230 v5 @ 3.40GHz CPU Mark 9740
Intel Xeon E5645 @ 2.40GHz CPU Mark 6528
Compare CPUs

OSPF backbone при GRE нужен ли?

Backbone (если мы про area 0) всегда нужен. Встречаются редко в дикой природе схемы с одной не-backbone зоной, но это неконвенциональная логика какая-то.

Создавать для каждой группы линков отдельную area?

У кого подобный конфиг, как себя ведёт ospf при помещении в одну арею таких линков и отказе провайдера на конце звезды, в ядре?

Касательно вашей ситуации могу только потеоретизировать. В случае добавления всех линков в одну зону (area 0), упавший линк приведет к генерации новой версии type 1 lsa и срабатыванию алгоритмов SPF на всех маршрутизаторах зоны (Incremental SPF пока стороной обойдем). Таким образом один маршрутизатор может влиять на все остальные. Здесь, конечно, можно спорить, при какой частоте флапа линка какая будет нагрузка на другие маршрутизаторы, но мне представляется разумным максимальный предел прочности закладывать в схему, то есть разместить линки по разным зонам.

С другой стороны, вы упомянули о прямых линках между региональными маршрутизаторами, это, на мой взгляд, усложняет схему с несколькими зонами (virtual link) и является доводом в пользу одной глобальной зоны (area 0).

Вообще говоря, почему бы не попробовать на лабе, хотя бы виртуальной?
P.S. перечитал свой ответ и понял, что кроме очевидного совета проверить на лабе, пользы в нем немного.

Это шлюз по умолчанию. Для работы в развернутой корпоративной сети например, у которой явно больше одной сети класса С. Для попадания на морду с других подсетей. Для обновления прошивки. Для работы NTP. Для авторизации пользователей, если поддерживает. Для всего в общем.

Подозреваю, что цель этого действа - исключить утечку информации со служебного ноута, но тогда надо и USB блокировать и принтеры. Если ноут выносится за пределы стационарного места расположения, и у сотрудника есть умысел, то скорее всего ваши процедуры ни к чему не приведут. Проще забрать ноут и выдать почтового голубя.

openvz более продуктивно использует ресурсы системы нежели виртуалки и гипервизоры(KVM, Xen)

В ТЗ может быть иные требоевания нежели высокая продуктивность: высокая изоляция хост системы от гипервизора, винда в качестве хост системы, как подметил в комментарии может быть требование запускать в виртуалке контейнеры docker/lxc (лично такой изврат видел), ...

Были статьи о проблемах с контейнерами openvz при обновлениях системного ПО ресурсной системы.

Пытаюсь понять: какие подводные камни у openvz.

Для этого и не только можно использовать поиск в форматах: fuckin openvz или trouble openvz.

Вообще, что надо?

В общем случае - нет. Можно попытаться построить некоторые предположения и проверить их.
- если IP резолвится в имя, принадлежащее VPN-сервису - скорее всего VPN используется. Для этого нужно иметь списки IP, принадлежащие наиболее известным VPN-сервисам.
- если IP резолвится в имя, принадлежащее крупным датацентрам, есть некоторая вероятность того, что это "частный" VPN, который юзер поднял сам для себя.
- если запросы от юзера приходят одновременно с двух разных IP - как правило из-за ошибок маршрутизации, когда не все запросы направляются через VPN - можно предположить, что он за VPN
- если например на русскоязычный ресурс заходит браузер с русской локалью, но IP принадлежит Европе или Пиндосии - есть некоторая вероятность того, что это юзер, прошедший через VPN

В общем случае -- нет. Можно попытаться разве определить принадлежность адреса к одному из пулов общедоступных VPN-сервисов.

Не обязательно запоминать номера для каждого флага:
chmod u=rwx,g=rs,o=rx /usr/bin/crontab

10.0.0.0/8 - это адресный пул.
Однако, каждый абонент живёт в отдельном Point-to-point-тоннеле.

Вообще, ip-броадкаста в мобильном интернете нет за ненадобностью.
Есть что-то вроде мультикаста (MBMS, прости Господи), который полностью управляется оператором и работает строго в одну сторону: из специального узла сети в сторону абонента.

Поэтому:
1. То, что несколько разных корпоративных клиентов оказались не просто в одной ip-подсети (это ещё ладно бы), а ещё и увидели друг друга - это, конечно, безобразие, стыд и позор.

2. То, что traceroute показывает один хоп, тоже нормально: ip-пакет из одного ppp-тоннеля в другой вполне можно переложить и без уменьшения TTL, а зациклить ip-пакет не даст проверка на совпадение source ip address и собственно ip-адреса, выделенного абоненту.

3. Запинговать/зафлудить кого-либо насмерть теоретически можно, но при условии, что uplink-канал отправителя шире, чем downlink жертвы (например, если флудить из более новой технологии пользователя более старой: 3G -> GSM или LTE -> GSM). Однако, нагадить всем разом не получится, гадить придётся поштучно и с постоянным страхом получить по ушам за хулиганство от оператора.

Как раздать интернет в локальную сеть без прокси?

1)Поднять DHCP сервер.
2)Раздать по DHCP адреса, шлюз, и DNS.
Все.