Убить или лечить?

[Gobzavr]

Имеем сеть с где то такой топологией....

http://img443.imageshack.us/img443/3857/networkp.png

Сетка вся гигабитная. Гостевой вайфай вообще отдельной жизнью живет

Предыдущий админ похоже нагородил огород, вот думаю довести огород до ума или сносить нафиг?
Суть огорода:

АДСЛ модем ----> Linksys WRT160N (вcе в LAN вставлено, в одном вилане все) -----> WS2008R2 (х2 PDC+резервный DC, WSUS, DNS,DHCP, GPO) --> В серваке стоит виртуалка под вмварой под бубунтой сервер, на которой установлен сквид, и еще контроллер http траффика который каким то раком (Пока что не разобрался еще как) вытягивает GPO из винды, и согласно им уже рулит доступом в инет
Из линксиса торчит линк в свичи Nortlel Business 1000 (x2) в которые вставляется локалка уже сама

На серваках кишки Эксчейнжа, Шарепойнта и прочих радостей бытия от мелкомягких. Вроде бы как должно быть настроено, но как то не работает. Поэтому отключено.


Вопрос: стоит ли этот балаган допиливать до ума, или же просто сделать разруливание траффика серваком (Скорее всего под ISA, но рассматриваю вариант под Kerio Control), linksys вставить в свич

Из задумок старого админа - сделать авторизацию по сертификатам на wifi через Радиус. Перевести весь бизнес процесс и документооборот на шеапойнт\лотус нотс


Пока что взвешиваю все решения и сложность их реализации\поддержки.

Еще есть ведро (P3-1200\256\40), вариант с которым - зарядить тремя сетевухами и водрузить туда бсдю, воткнув адсл модемы оба и еще свисток пипловский, подняв балансировку. Добавить памяти...только. Каналы 4 мбс оба

Очень сильно беспокоит вопрос целесообразности топологии, быть может я чтото не понимаю в этой жизни?

[AlexandrL]

ИМХО снести. Начнешь ковырять - что то вылезит и т.д. В общем если есть возможность - проще снести,есть желание - можно ковырять

[salex730]

Еще есть ведро (P3-1200\256\40), вариант с которым - зарядить тремя сетевухами и водрузить туда бсдю, воткнув адсл модемы оба и еще свисток пипловский, подняв балансировку. Добавить памяти...только. Каналы 4 мбс оба

я за ведро+ снести и все построить ПРАВИЛЬНО и красиво

[Gobzavr]

А что на ваш взгляд неправильно?

[atx.dp.ua]

Вопрос: стоит ли этот балаган допиливать до ума
нет не стоит вероятно вам пока непонятна глубина мысли предыдущего админа в смысле виртуально Ubuntы потому стоит строить простую и понятную схему самостоятельно

второй вопрос ваши задачи быстро навести порядок или проводить пошаговый переход к схеме которую вы считаете нормальной ?

дополнительный мысли по вашей ситуации почему бы не обойтись без раздающих компьютеров чисто роутером , к нему же wi-fi , при необходимости например приобрести что-то типа draytek vigor 2820 для объединения wi-fi и раздачи интернетов и балансировки каналов.

если можно то обойтись без sharepoint и ISA server ведь в будущем это обернется приобретением недешевых лицензий

Компьютер на базе FreeBSD на старом железе без резервирования приведет к потере времени при его поломке.

[Gobzavr]

вероятно вам пока непонятна глубина мысли предыдущего админа в смысле виртуально Ubuntы потому стоит строить простую и понятную схему самостоятельно

Объясните. Я придерживаюсь мнение, что шлюзы - это исключительно отдельные машины. Для отказоустойчивости

быстро навести порядок

Уже навел. Остались вопросы сети

проводить пошаговый переход к схеме которую вы считаете нормальной ?

Теперь вот это. Посему вопрос: оставить как есть или разивать идею?

без раздающих компьютеров чисто роутером Дык

Нахожу некомильфо когда торчит так в инет, без должного функционала разрулинга и биллинга.

Компьютер на базе FreeBSD на старом железе без резервирования приведет к потере времени при его поломке.

Конструктивно. Альтернативное решение? Виртуалка в таком виде еще более ненадежное: падает DC - падает инет, по удаленке не подцепиться, не пофиксить. Падает инет - диси, конечно целый остается, но опять же - удаленки нету, но это при любом раскладе проблема. Отдельный хост в этом плане ой как хорошо смотрится. Тут ж дополнитльный узел есть, который может упасть - линксис. Хотя нахождение его там объяснить могу - гигабитные порты

без sharepoint и ISA server

Ну в качестве альтернативе исы - винрут, он дешевле или вообще ведро с бсд, шарепойнт - альтернативы лотус нотес (ага, капец сэкономили) или чтото дешевое или бесплатное, типо гуглдокс - вообще даром (до 50 аккаунтов), но недостаточно секурно, ибо инфа в сердпати руки отдается... ну или совсем какие то вырвиглазные решения, типо новель тиминг

[atx.dp.ua]

оставлять все как есть, можно, когда нет времени /желания/необходимости что либо делать и изменять в существующей схеме

по хорошему конечно нужно менять

роутер(устройство или компьютер) отдельно нужно сделать отказоустойчивым или как минимум забекапить конфигурацию
контролеры домена отдельно 2 шт.

то что вы написали
"Нахожу некомильфо когда торчит так в инет, без должного функционала разрулинга и биллинга."
у вас и сейчас наружу смотрят модемы адсл и потом будет так же
в текущем варианте нет биллинга(кстати а кому нужен биллинг ? в задаче не было таких условий) и нет резервирования/балансировки интернет каналов.
возможно компьютер решит ваши проблемы , так же как их решил бы аппаратный роутер
не вижу реального преимущества компьютера в данной ситуации над железным роутером.

Альтернативное решение? два старых компьютеры HA Cluster

насчет альтернатив sharepoint, они действительно есть если исходить из реальных задач
например Система управления документами Alfresco
учитывая что размер организации из примера невелик

p.s. из интереса а расскажите что такое nortel 1000 по поиску нашел только АТС...
Nortel Communication Server 1000 (CS1000) Telephone System

[Gobzavr]

роутер(устройство или компьютер) отдельно нужно сделать отказоустойчивым или как минимум забекапить конфигурацию

Ну это само собой. Я уже давно перешел в ту категорию которая уже делает бекапы

контролеры домена отдельно 2 шт.

Так уже

кстати а кому нужен биллинг ?

Мне, что бы смотреть где кто лазать, банить всякие левые сайты, ибо у народа фантазии много. Подавать руководству отчеты о том, где кто лазает.

возможно компьютер решит ваши проблемы , так же как их решил бы аппаратный роутер
не вижу реального преимущества компьютера в данной ситуации над железным роутером.

Разницы особой нету, кроме как возможность в компе "более под себя собрать". Драйтек - это хорошо, но боюсь, что 200 баксов не дадут. Хотя если ведро это допиливать, то по баблу также и выйдет - надо взвесить, если вынести из него логовницу на внешний диск, то вполне годно получится, правда не ясно с размером внутреннего места для конфигов и докручивания свистоперделок, впна. Но идею все таки стоит посмотреть и посчитать. Спасибо

Система управления документами Alfresco
учитывая что размер организации из примера невелик

Да, я в курсе этого решения (очень смущает java, среди юзерских машин есть пара мастодонтов типо P733\256, хотя в целом Core2Duo и памяти минимум гиг), но увы, опыта внедрения оной ровно ноль, впрочем, это поправимо - маны наше все, да и документооборот - это последнее на чем стоит остановится. Меня сейчас очень сильно гложет как бы так красивее разрулинг сети сделать.

Андрей, и... в чем сакральный смысл установки бубунту на виртуалку в данном случае?

nortel 1000

http://www.andovercg.com/datasheets/...s-switches.pdf

[atx.dp.ua]

установка Ubuntы на виртуалку скорее всего носит чисто экспериментальный характер, поскольку логичнее было бы ставить на виртуалку windows из под ubuntu
а так получилась своеобразная добыча опыта предыдущим админом.

[Gobzavr]

установка Ubuntы на виртуалку скорее всего носит чисто экспериментальный характер, поскольку логичнее было бы ставить на виртуалку windows из под ubuntu
а так получилась своеобразная добыча опыта предыдущим админом.

А.. ну если так... Гхм.. У меня не поднимается рука поставить "для опытов" систему на боевых серваках. Сендбоксы, как бе и там насиловать.

поскольку логичнее было бы ставить на виртуалку windows из под ubuntu

Поэтому у меня вопросы и возникли - нахрена шлюз в виртуалку пихать?

[atx.dp.ua]

чисто для себя интересуюсь насколько хватает запала ?

>Мне, что бы смотреть где кто лазать, банить всякие левые сайты, ибо у народа фантазии много. Подавать руководству отчеты о том, где кто лазает.

Субъективно на второй третьей организации у вас перестает хватать времени на то что вы описали. Да и не так критично, кто где лазит основная масса контакт однокласники фейсбук, если не запрещены в организации. Но там нет данных кто и что кому написал или сделал, потому отчеты о посещенных сайтах эффективны первый раз ну и вообщем то все.

[Gobzavr]

чисто для себя интересуюсь насколько хватает запала ?

Оно в почту шлет - хош не хош читаешь

Субъективно на второй третьей организации у вас перестает хватать времени на то что вы описали.

В том же винруте парсю http.log на предмет левых сайтов (выбираем все посещенные сайты в отдельный файл, проходим скриптом вытирающим сайты из вайт листа, остаток шлем себе, обнуляем лог) и отсылаю себе через zeratssl сгенеренный текстовичок с левыми сайтами. Поэтому список алертов уже через месяц практически иссякает
Костыли. А что ж делать, если в винде встроенных средств не завезли

Но там нет данных кто и что кому написал или сделал, потому отчеты о посещенных сайтах эффективны первый раз ну и вообщем то все.

Оно не надо, по большей части. Но бывают преценденты разборов полетов, вот тогда и начинается. А в организациях где всякие пейсбуки забанены - вообще война: на тот же вконтактик зеркала ловить задалбываюсь. Orange Filter того же винрута режет до кучи половину инета, да и вообще являет собой решение, как делать http фильтр не надо, частые глюки и косяки с зависание http траффика (что характерно для всего инспектора протокола) - это самое меньшее, почему меня винрут без костылей не устраивает

[atx.dp.ua]

вероятно занятие не из веселых
стоит подумать про фильтры для squidа например использовать бан лист который выложен на сайте один для всех.

[Gobzavr]

стоит подумать про фильтры для squidа например использовать бан лист который выложен на сайте один для всех

Список конечно есть, впрочем он очень индивидаульно настраивается, общее - это, пожалуй, баннеры, спасибо adblocker и публичным блеклистам за предоставленный список
Под винрут и сквид есть скриптики которые из ссылок делают готовый код конфига, например

[exses]

вопросов есть.
кто такие гости ви-фи? Может физическое отделение гостевой сети правильно?
Или пристрелить их как класс. (отсюда и контроль логов. если у чела ноут, он вышел с корпоративки включился как гость беспроводный, поймал что ему надо включился в корпоративку...) и все все логи и АСЛ к попе ручка.

DSL-2500 (optima) имеет на рисунке 2 ethernet линка. много думал

секонд включить в нортел. на 1Г сети DC включен через 100М ситечко

если для корпоратива ви-фи не используется линксус положить в холодный резерв нах он в топологии?

подача инета имхо должна быть
модем - сервер (gw) - свитч (если логи, асл, кеш-прокси, биллинг и пр не нужны, то просто модем - свитч)
если используется схема модем - сервер (gw) - DC - свитч, то лишняя нагрузка на ДК + снижение надежности (последовательное включение лишнего уст-ва)

192.168.2.0/22 -!? или 4.0/22 или 2.0/24

[exses]

стоит подумать про фильтры для squidа например использовать бан лист который выложен на сайте один для всех.

При приёме на работу, начале сотрудничества с лицом\организацией оговаривается:

Я, как системный администратор\инженер ИТ\..., не разрешаю и не запрещаю. Не моё это собачье дело оценивать стиль работы, эффективность, тактические подходы сотрудника и пр. Для этого есть начальник. Для кого-то icq - это 20 часов в сутки обмена анекдотами, у кого-то единственный канал связи с контрагентом. Кому-то одноклассники - капусту поливать, для меня база данных и напоминалка о днях рождений (иногда не поздравить ххх это остаться без заказов со стороны организации ууу навсегда). Нормальный сотрудник (не производственной сферы) может эффективно решать рабочие вопросы, даже если в этот момент он дрочит и\или в туалете. Если сотрудник не хочет работать, он может годами не работать внимательно и напряженно смотря в монитор\документ.

Я предоставляю инструмент (транспорт, интернет, связь). Инструмент должен работать бесперебойно. Если вам нужна полиция нравов, контроль контента, почты, прослушивание телефонных звонков, проверки лояльности, оральной готовности и анальной устойчивости, то занимайтесь этим самостоятельно.

Исключение - домашние пользователи с вопросами "как оградить детей".

Если уже шиза начинает косить начальника серьезно, то ставится какой либо анализатор логов. И ежедневно начальнику отчет по логам в разрезе времени и сотрудников. Желательно без резолва имён. только IP. пусть начинает знакомится с интернетом изнутри.

Второй вариант - отдавать в корпоративную рассылку логи самого активного "моралиста".

[spl]

Компьютер на базе FreeBSD на старом железе без резервирования приведет к потере времени при его поломке.

а шо я говорил...?
а по сути, под виртуалкой не выход
мс будет парить сильно
про блеклисты ты не говорил мне опять таки ничего

[tvn2009]

Я бы поступил так (сугубо мое ИМХО)
Судя по топологии, имеется 2 канала от оптимы и укртелекома, завести их оба в "ведро" и организовать балансировку.
Организовать 2 локальных интерфейса. Один завести в локалку, второй сугубо для гостевого WiFi. (но тут преграда 2600U он то и модем и вайфай в одном блоке.... можно заюзать Linksys WRT160N т.к. в том месте где он сейчас стоит можно обойтись без него)
И все это хозяйство можно красиво разрулить в том-же винруте.
Для гостей, ДХЦП организовать средствами винрута, керио VPN юзать для удаленного доступа, и т.п....
PPPoE я бы тоже поднял на "ведре".

На счет надежности: любой PCI RAID контроллер, и 2 винта в RAID-1. В случае поломки ведра, эта связка с контроллером поднимается на любом железе. Ну и бекапы никто не отменял...

ИМХО на старом оборудовании (ведро) FreeBSD только потеря времени...

[atx.dp.ua]

На счет надежности: любой PCI RAID контроллер, и 2 винта в RAID-1. В случае поломки ведра, эта связка с контроллером поднимается на любом железе. Ну и бекапы никто не отменял...

по поводу RAID для такой задачи будет актуальнее программный RAID-1 на двух дисках без приобретения контроллера

как написал выше, лучшим решением в плане безотказности будет ha cluster из двух даже старых компьютеров, но опять же нужны UPS а их вероятно не выделят под такое железо(имеется ввиду P3-1200\256\40 где стоимость UPS больше чем стоимость оборудования). потому система будет стабильна до момента отключения электричества.

[tvn2009]

по поводу RAID для такой задачи будет актуальнее программный RAID-1 на двух дисках без приобретения контроллера

Как раз весь прикол в аппаратной железке.
Цена вопроса 25-30 у.е. и нужна она даже не для RAID-а как такового, а для того, что если мать, проц, память или еще что-то накроется, можно контроллер и винт с ОС переставить в любой другой комп и ОС там поднимется без проблем...

Может это мои предрассудки, но у меня (я думаю хорошая) привычка все что касается серверов собирать только со внешними SATA/SCSI контроллерами.