Dotaz: Návrh sítě

Mám na starosti síť ve škole. Je potřeba ji trochu přeuspořádat a já bych potřeboval poradit nějaký smysluplný návrh.

Co máme (omlouvám se, jestli je výčet nepřesný, neúplný, dle potřeby doplním):

• několik set uživatelů, asi 150 PC v LAN a několik set telefonů ap. na wifi
• asi tři použitelné servery (např. Fujitsu Primergy TX100S1), každý jiný, asi dva starší, lze dokoupit třeba další dva
• říditelné switche
• máme vlastní web server, mail server, LDAP ověřování pro přihlašování, sambu, FreeRadius s Cisco controllery na WiFi
• jeden Win server se třemi službami, které nejde přesunout
• pár kopírek/tiskáren

Ocením rady zkušených, jak ty služby rozdělit na jednotlivé stroje a uspořádat mezi sebou.

Můj návrh:

• na vstupu ze světa jeden linuxový stroj s firewallem a dvěma síťovkami (ven a dovnitř)
• win server s těmi službami
• jeden linuxový stroj na web
• jeden linuxový stroj pro mail
• jeden linuxový stroj na zálohy

Nevím, kam dát:

• DHCP a DNS
• LDAP, FreeRadius
• Sambu

Nedokážu odhadnout zátěže, kapacity a tak.

Budu vděčný za jakékoliv připomínky, návrhy nebo třeba i odkazy na nějaké články na dané téma.

Pokud ten firewall nemá odbavovat 10 Gb/s, na webu není 100 návštěv za sekundu a neposíláte 50000 mailů za hodinu, tak je nesmysl mít 5 serverů.

Jak zhruba by ten stroj měl být výkonný?

Záleží, jak velká data chcete tahat po té Sambě a kolik žerou ty existující windowsové služby, ale jinak podle mě bude stačit cokoli vyrobeného v posledních 8 letech s 16, nebo lépe 32 GB RAM.

Co takhle ten webserver a mailserver vykopat ven do cloudu? Ušetří se tím traffic a zjednoduší se správa.

Ty dva ušetřené servery pak stačí jen recyklovat na požadované nové služby a nic se nebude muset kupovat.

Důležité je se zamyslet, co přestane fungovat, když to či ono padne. Pak taky jak to napravit. Je dobré oddělit věci, které mohou fungovat nezávisle a vyčlenit ty problematické, případně je dát za vlastní firewall.

Jak už zde padlo, virtualizace je velmi užitečná. Kontejnery mají velmi malou režii a umožní ti udržovat jednotlivé služby na různých systémech a hlavně i stěhovat je mezi servery. Pokud jeden server padne, přehodíš kontejnery na sousední a nikdo si ničeho nevšimne.

Rozdělil bych situaci na to, co řeší infrastrukturu, a pak na jednotlivé služby.

Co se infrastruktury týče, dát jeden počítač jako bránu (router, firewal, více síťovek) je v pohodě. Síťovky bych do něj dal alespoň tři. Jednu ven, druhou dovnitř a třetí pro win server, aby měl taky firewall. U linuxových serverů si firewall nastavíš stejně, jako na bráně, ale ty Windows jsou jedna velká díra, kterou je lepší neukazovat ani na LAN. I když ještě lepší by bylo virtualizovat i ten win server.

Zálohovací server určitě jako samostatný stroj někde fyzicky opodál. Pokud se stane nehoda v serverovně, ať to má šanci přežít.

Všechno ostatní rozházet do jednotlivých kontejnerů a servery použij dohromady jako privátní cloud (tedy jako obecnou infrastrukturu na spouštění kontejnerů).

Weby nepočítej dohromady – jednotlivé aplikace jsou děravé, tak dej každé svůj kontejner.

A ještě jedna mírně off-topic věc: WiFi je nestabilní bordel, nikdy nedávej WiFi síťovku do serveru/routeru. Vždy je lepší připojit do sítě samostatné AP, které se dá snadno a bezbolestně restartovat. Navíc taková AP mohou být na mnoha místech, kde je nejlepší signál a není potřeba vytahovat VF kabelem anténu z kouta.

Přikláním se k virtualizaci. Min. dva servery, ať je aspoň failover. Zjednoduší se backupy a obnovy, možnost si rychle postavit testovací prostředí naklonováním produkce. Můžeš si rozhodit služby do kontejnerů, nebo i do jednotlivých VM (usnadníš si aktualizace OS a zmírníš rozsah odstávek)
Pak něco, kam můžeš odlejvat zálohy, buď další server, nebo jen nějaký NAS.

Síť mít rozdělenou na několik vlan :
- management (switche, AP, servery)
- služby (serverové app jako smtp, ldap apod.)
- tiskárny
- wifi síť
- telefony
- testovací vlan pro testovací prostředí

Routování mezi VLAN bych řešil L3 switchem. Firewall pro přístup do vlan bych řešil v rámci ACL na L3 switchi.
Server bych nestavil jako GW do netu, není k tomu důvod. To bych přenechal jen nějaké krabičce (ciscu, mikrotiku atd.)
Přístup na net od klientů přes proxy, jinak drop.
Nastavení proxy distribuovat přes dns/dhcp a mít na web serveru vhodně nadefinovaný "wpad.dat"

Režie linuxového dns/dhcp/radiusu/ldapu jsou minimální. Pro tak malý objem klientů je to relativně nula nula nic. V klidu to uživíš na 1 core + 1GiB ram. Každopádně když to provozuješ, tak asi víš, jaké to má režie, ne?
Samba, záleží kolik uživatelů a kolik dat. pokud jde jen o dokumenty a sem tam něco, tak v klidu 1core 1GiB ram (resp. já 2core a 2GiB, aby byla větší cache pro fs operace + kdyby jsi tam chtěl něco balit, nebo spouštět, tak aby byla rezerva).
U serverů spíše než CPU je v dnešní době důležitá RAM a nejvíce disky (rychlost v IOPS a kapacita).
Zdar Max

Díky všem za dosavadní a třeba i budoucí příspěvky. Doplním pár informací případně dotazů:

Wifi jede přes ty Cisco controllery, pouze se ověřují přes náš Freeradius a LDAP. A tvoří samostatnou VLAN. Je to z nějakého projektu.

Na zálohování máme NAS, v jiném umístění.

Vše, kromě asi tří služeb pod Win, momentálně jede na různých distribucích a verzích linuxu. Prostě historický a živelný vývoj v podfinancovaném školství. Ani pamětníci o některých věcech moc neví.

Zdá se, že převládá názor na virtualizaci. Přijde mi to také smysluplné, už kvůli záložnímu řešení. Náš asi nejvýkonnější stroj je čtyřjádrový Xeon s 8 GB RAM (Dell PowerEdge T20). Myslíte si, že je to dostatečný výkon pro tu virtualizaci? Třeba s navýšením RAM? Na kolik byste doporučili?

O virtualizaci toho opravdu moc nevím. Vím, že existuje oblíbený nějaký VMware. Pojem kontejner mi nic neříká. Mohl by mě prosím někdo postrčit správným směrem, kde začít studovat? Nějaké šikovné odkazy třeba?

Ředitel je ochoten zaplatit třeba nějakou konzultaci. Rozhodně preferuji konzultaci a následně si to budeme řešit sami s případnými průběžnými konzultacemi, místo toho, aby nám to někdo celé udělal a my nebudeme zase nic moc vědět. Našel by se někdo ochotný z Brna?

Jen pár poznámek, většina zde už byla řečena.

• Začít od konce, tedy definovat spužby, které chcete mít. Pro ty služby definovat, kvalitu služby (vadí když mail nepojede hodiny, dvě nebo max výpadek je do 5 minut
• určit si jak službu z potřebnou kvalitou realizuji. např web mohu mít na VPS ce s patrně mnohem vyšší rychlostí než na uploadu liky ze školy. na vstupu mohu mít router s OpenWRT, zálohy může dělat přímo NAS softem, který jede na něm. Servry (ve smyslu běžící služby) bych rozumně virtualizoval a možná rozumne sdružil DHCP, DNS, LDAP, Radius může běžet na jednom stroji. Třeba na nějaké malině. v podstatě to nic nedělá.
• zjistil zátěže na systémy a sít a podle ní upravil parametry serverů a VLAN. Oddělit studenty a pracovníky na L2 úrovni mi připadá jako dobrý nápad.
• Nahodit si rozumný monitoring a centrální logovací server. Na monitoring třeba xymon nebo nagios. At se ví když se děje něco špatného

Taková drobnost: předpokládám, že aspoň tušíte, jak má vypadat rozložení zátěže, co je po LAN a co jde do internetu. A tomu přizpůsobujete ostatní. A čekal bych, že i máte představu, co tak může nastat např. za 3 roky a že budete připraven ... tj. že Vaše dnešní práce, úpravy a tak mají nějaký smysl.