athacker

Поддержу камрада AntHTML

Автор, вам следует потратить время и расписать всё в точности -- что у вас есть сейчас, что куда подключено, какие IP-адреса имеет. Да, с моделями оборудования и прочими подробностями. И затем не менее подробно описать, что конкретно вы хотите получить. А то на текущий момент ваши вопросы читаются в духе "По сколько тонн клевера от каждой курицы-несушки будет заложено в инкубаторы после обмолота зяби?"

Очень любят почему-то спрашивать про роли FSMO :-) Их состав, назначение и что будет, если какая-то из них сломается.

man netmap, например. Оно как раз примерно для этих целей и используется.

Почтовый сервер поднять не так уж сложно, как тут ряд ораторов утверждает. В целом же -- если вас не парит, что конторскую почту может читать "потенциальный противник", то можно пользоваться публичными сервисами -- гуглом, яндексом, чем угодно. Лично я предпочитаю, чтобы почта ходила через свой сервер.

1) Пробросить порт достаточно.

2) Домен нужно регистрировать в любом случае, свой у вас DNS-сервер или не свой. Как-то же снаружи к вам почта должна приходить? А для этого нужно, чтобы доменное имя и MX-записи были публично доступны.

3) Обратную зону прописывать обязательно, иначе будут постоянные проблемы с тем, что от вас почта не будет приниматься адресатами в других доменах. SPF -- тоже должна быть обязательно. Обратную зону нужно просить прописать вашего провайдера, а SPF нужно прописывать на том публично доступном DNS-сервере, куда вы делегируете своё доменное имя.
4) MX и A должны быть прописаны там же, где и SPF :-) Вы регистрируете домен и делегируете его на какой-то DNS-сервер. Можете поднять свой, можно воспользоваться DNS-серверами регистратора (как правило, регистраторы доменных имён предоставляют такую возможность, и некоторые даже бесплатно, если регистрируете домен у них).

У нас на заббиксе мониторится инфраструктура:

Number of hosts (enabled/disabled/templates) 5765 5512 / 111 / 142
Number of items (enabled/disabled/not supported) 538807 523119 / 12809 / 94
Number of triggers (enabled/disabled [problem/ok]) 130488 128402 / 2086 [17 / 128385]

Шаблоны, графики, SNMP, IPMI, трапы -- всё это оно умеет.

Микротик RB-951 подойдёт? :-) Я там генерил кастомный сертификат для веб-интерфейса управления.

Шо это за трэш вообще? :-) Условие задачи явно неполно. Либо вы не полностью сформулировали условие, либо опустили бОльшую часть контекста. Что сделать-то нужно? Что означает "разместить IP-адрес"?

Поддерживаю оратора выше, предложившего VPN по интернету. На каждой точке заводим интернет от двух разных провайдеров и строим автоматическую схему переключения канала на резерв.

Камрады выше правильное замечание сделали -- сильно будет зависеть от драйвера. А драйвер, в свою очередь, будет сильно зависеть от операционки ;-)

СХД, как и многие другие вещи -- это дело такое... Если у вас возникает вопрос "а зачем нужны СХД", то значит, вам она точно не нужна :-)

В чём профит СХД -- это многократно зарезервированная система. У неё от двух до N контроллеров, каждая дисковая полка подключена минимум двумя путями, каждый диск подключен двумя путями (SAS-диск, конечно же), и на дисках используются механизмы типа T10-PI, гарантирующие целостность данных. Диски имеют пропатченные прошивки, логика работы этой прошивки такова: "лучше мы ложно зафейлим диск, чем случится реальный сбой, а мы его прошлёпаем и потеряем данные".

Также есть всякие функциональные штуки типа моментальных снапшотов, механизмов репликации (когда у вас два географически разнесённых тома имеют полностью одинаковое содержимое и синхронизируется практически в прямом эфире). СХД умеет tiered storage, когда система реализует кэш наиболее горячих данных на базе SSD-дисков или в RAM.

Но надо понимать, что сама СХД и расходники для неё будут стоить как крыло от F-35, и СХД нужно брать ТОЛЬКО с соответствующими сервисными контрактами. Без сервисного контракта -- любой сбой будет вам обходиться в копеечку, а время ремонта может исчисляться месяцами. С другой стороны, СХД довольно надёжны, и количество сбоев у них не очень велико. С третьей стороны, вендоры очень любят брать деньги за воздух. Например, у IBM есть такая практика -- если у вас истёк сервисный контракт, а вы его не продлили, а потом у вас случился сбой и вы решили купить сервисный контракт обратно, то вам в стоимость добавят стоимость годичного сервисного контракта в виде штрафа. Т. е. если вы решите спустя N лет приобрести сервисный контракт на 2 года, то по факту заплатите как за 3 года -- "1 год условно" вам выставят в виде штрафа. Этим грешит не только IBM, но и ещё ряд вендоров.

СХД нужна только для случаев, когда у вас критичные бизнес-процессы, и любая их остановка -- это настолько крупные потери, что стоимость этих потерь превышает стоимость СХД и сервисных контрактов на неё. В остальных случаях я бы рекомендовал самосборные хранилища и организацию процесса работы с ними так, чтобы минимизировать риски и последствия возможных сбоев.

Для чисто файловых хранилищ подойдёт, например, Windows Storage Spaces в конфигурации с двумя серверами и одной двух-контроллерной корзинкой DAS, подключенной к обоим серверам. Это гораздо дешевле СХД, а многие вещи такая конфигурация умеет -- нет единой точки отказа, умеет RAID на дисках, умеет условно tiered storage и умеет снапшоты средствами VSS на винде.

На фре тоже сейчас активно пилят High Availability в ctld. Полагаю, включат в 11.0, и можно будет строить отказоустойчивые iSCSI-хранилки на основе FreeBSD+ZVOL+ctld -- отличный вариант под хранение виртуалок. Причём ZFS тоже умеет снапшоты, вот если бы Veeam научился с ними работать, была б ваще чума... :-)

Для винды самое фэншуёвое -- это RDP. Для убунту... А у вас чо, Убунта с графикой используется? 8-[ ]

Самба на фре всегда страдала проблемами с производительностью. Насколько мне известно, это не лечится никак. Были у сообщества одно время попытки аппелировать к команде Самбы на эту тему, но они закончились после ответа от Samba team в духе: "Идите лесом, у нас на линухе всё работает ровно". Так что если от Самбы реально нужен гигабит -- ставьте её на линух.

Линукс зло, FreeBSD надо ставить.

Кроме TTL, в пакете, прошедшем через NAT, ничего тотально не меняется. SRC-адрес, SRC-порт (возможно), ну и контрольные суммы. Да и с TTL тоже вопрос. На фре, например, можно собрать ядро с опцией STEALTH, и тогда в пакетах, проходящих через NAT, не будет меняться TTL.

Если на планшете сайты таки открываются -- смотрите tcpdump'ом, что за пакеты ходят в это время между ноутом и шлюзом. Разные системы задают разные TTL. Винда, например, проставляет TTL 64, а фря -- 128. Возможно, что на планшете тоже не 64. Это не объясняет тормоза, но объясняет факт открытия сайтов.

1. В целом, равнозначны. Но зависит от того, что вы хотите получить на выходе :-)

2. А вы проверяли у таких пользователей, IP-адрес, который у них на интерфейсе -- он снаружи виден? :-) Или на интерфейсе один белый IP, а если зайти на какой-нибудь 2ip.ru, то там будет совсем другой адрес?

Технически это может быть реализовано так -- у провайдера есть несколько BRAS'ов, к которым подключаются по PPPeE пользователи. В рамках одного BRAS'a адреса должны быть уникальны, а в рамках всего набора BRAS'ов могут и совпадать. У нас так делается, например. Только не с белыми IP, разумеется, а с серыми. Зачем клиентам в этой схеме белые IP выдавать, я не знаю. Каждый BRAS выдаёт IP-адреса клиентам из диапазона 10.0.0.0/16. Т.е. на 1-ом брасе может быть клиент с IP 10.0.0.1, и на втором брасе может быть клиент с таким же IP-шником. Но вот одновременно два клиента на 1-ом BRAS'e не могут получить IP 10.0.0.1, понятное дело. Иначе маршрутизация сломается.

Сеть организации через один провод -- это коаксиальный кабель :-) Кабель продаётся в любом радио-магазине, а вот сетевушки под коаксиал нужно искать на каких-нибудь компьютерных помойках :-) Ну и нужно понимать, что сетевушки эти будут развивать скорость в 10 мегабит, и весь сегмент будет по пропускной способности делиться на количество машин. Т. е. если, например, коммутатор сможет обеспечить скорость в 100 мегабит сразу между несколькими парами машин, то в коаксиале 10 мегабит делятся на все машины в сегменте. Но в 10 килорублей можно уложиться, я думаю, да :-)

А, ну да, и ещё момент -- коаксиальные сетевушки были только под ISA и под PCI разъёмы :-) Никаких PCI-E :-)

Зависит от объёма и типа данных. Если у вас там мега-архив, или требуется высокое быстродействие -- лучше создать отдельный LUN, и цеплять его по iSCSI -- меньше оверхэда будет при работе с томом. В остальных случаях -- лучше использовать виртуальные диски. Их проще обслуживать -- бэкапить, ресайзить, мигрировать.

Поддержу камрада DastiX насчёт отсутствия необходимости в лесах. На вашу структуру хватит одного домена.

Также добавлю, что вы ставите задачу в духе: "Давайте поставим по два сервера, сделаем VLAN и VPN и ещё кучу модных слов!". Плясать нужно от требований, а не от технологий. Вы ставите два сервера. Отлично. Чем они будут заниматься? Какие задачи решать?

Хотите VLAN'ы -- хорошо. Для чего? Что вы планируете с помощью вланов делать? Какую задачу решить?

Тот же вопрос по VPN. У вас ещё физического линка между корпусами нет, и даже неясно, как он будет реализован, а вы уже про VPN думаете.

Файрвол -- это одно, а скорость -- это другое. Скорость на основании группы, в которую входит пользователь, можно нарезать с помощью Squid. man на предмет delay pools в Squid (это про скорость), и интеграцию Squid с AD.

Урлы сквид может блэклистить, это не проблема. Можно юзать также внешний редиректор, типа squidGuard или rejik. Если блэклист небольшой и клиентов не очень много -- можно смело юзать встроенные возможности сквида. Если клиентов сотни, и блэклист с регэкспами тоже из нескольких сотен (и более) записей -- лучше для блокировки внешний по отношению к сквиду редиректор использовать, нагрузка на машину существенно снижается.