Описание:
Существует организация «О». Общей локальной сети – нет. Хранение важной информации выполняется локально на компьютерах без резервирования. Общий объем важных данных не превышает 70-90 Гб, (с учетом всей рабочей информации выйдет ~120-130 Гб).Подключение к Интернет выполняется по технологии Ethernet из 4 разных точек, без учета трафика. Антивирусная защита обеспечивается не полностью (где-то установлен Dr. Web, где-то Avast, где-то вообще ничего ).
Условия:
Количество компьютеров: 16 шт
Возможное увеличение кол-ва компьютеров до 20-23 шт
Сервера: БЭСТ 5
Точек подключения к провайдеру Интернет: 4 по 256 Кбит/с
Учет трафика: нет
Возможность внешнего подключения к сети локальной сети: нет
Бюджет на локальную сеть в размере 120 000 руб. (не все сразу, но в итоге не более этой суммы). При этом бюджет серверов из них составит ~60 000-65 000 тыс. руб.
Есть маршрутизатор: D-link DIR-100
Задача:
Создание локальной сети организации, включающее в себя:
Объединение всех компьютеров в сеть
Создание централизованного хранилища файлов, с разделением прав на доступ, (Сетевое хранилище с RAID 1 и 2-мя HDD по 1 Тб).
Организация серверов для обеспечения внутренней инфраструктуры сети: LDAP, DHCP, DNS(Уместить все в одной железке).
Также организовать возможность внешнего подключения к сети (VPN сервер) и учета Интернет трафика (Proxy-сервер или раздача через VPN).
Ориентировочная схема сети:
Приблизительно как на рисунке:
http://www.linuxcenter.ru/lib/articles/networking/project_3.jpg
Вопрос:
Какой вариант реализации подойдет лучше всего:
1-ый вариант:
под сетевое хранилище использовать QNAP TS-219P+;
для других серверов отдельную железку с возможностями виртуализации. Т.к. для реализации одних вещей подойдет FreeBSD, Ubuntu или какой-нибудь специализированный свободный дистрибутив (Clear OS, Untungle, например), а для других только WinSrv (2003,2008) (например, для сервера обновления антивируса Касперского или 2Гис, а так же сервера БЭСТ 5) и все это запихнуть в одну железку (в качестве гипервизора предполагаю использовать VMware ESXi).
QNAP TS-219P+ стоит 25 000 вместе с 2-мя HDD по 1 Тб.
2-ой вариант:
Или можно все развернуть на одной железке (все виртуальные сервера, в том числе файловый сервер).
3-ий вариант:
Или сетевое хранилище использовать только для хранения резервных копий, а так все развернуть на одной железке (все виртуальные сервера, в том числе файловый сервер).
Какие еще есть предложения?
Буду признателен за любые конструктивные предложения и критику!

Я думаю, что все это можно сделать на одной серверной машине, главное чтоб она была мощная и выдерживала запросы ваших 16 машин в сети. Реализовать это можно как с FreeBSD так и с Windows Server - что вам больше нравится. В каждую точку из 4-х нужно поставить роутер Cisco или Fortinet и создать между ними тунели ГРЕ - это и есть виртуальная локальная сеть, на них же можете поднять и виртуальные прокси, и фаерволы настроить и политики доступа, и по-моему даже почтовики, смотря какие модели роутеров вы приобретете. Я сам не из России, потому не могу сказать сколько они будут стоить у вас, тем более в рублях. Если бюджет не позволяет другого роутера кроме того, что вы указали тогда нужно на сервере сделать пул на который из других сетей можно поднять связь с сервером через VPN-соединение, но все равно - одним роутером вам не обойтись, все равно надо в каждую точку поставить, чтоб хотябы инет раздавали на локальные компы. Можно конечно помучаться - в тот комп куда идет канал поставить вторую сетевуху которая будет раздавать инет от первой на всю сеть через свич, но тогда замучаетесь с IP-маршрутизацией, каждой машине будете сами назначать айпи-адрес, вобщем это извращение.
Скорость 256 кб это будет маловато, если вы на главном сервере создадите файловое хранилище, хотя по логике вещей проще и удобнее создавать его там. И еще момент такой, нужно подумать о резервном интернет-канале, на случай если в какой-то точке канал упадет - то разумеется в ней пропадет доступ по сети к другим точкам, в т.ч. и серверу гда находятся хранилище, почта и т.д.
Если есть внешний айпи-адрес, можно не мудрить с впн, а на роутерах создать перенаправление портов на сервер, причем в целях безопасности, в правилах фаервола указать, что допустим доступ разрешен только с такого-то айпишника (например с вашего домашнего), тогда без проблем сможете дистанционно заходить на сервер.

Я не указал, что одной из задач является:
Организация централизованного (единого) Интернет-канала. Т. к. все компьютеры находятся в одном здании это не составит большого труда.

Спасибо за отклик!
По поводу ВПН: так и будет.
Резервного интернет-канала - увы не получиться. Один провайдер и наши 4 точки подключения к его одной точке присутствия.
Вопрос все еще актуален, хотя я уже склоняюсь к 3 варианту...

Значит я не до понял, я думал что 4 точки находятся в отдельных зданиях и районах города. Если в одном здании - то я не вижу проблемы, тянете локальную сеть на все машины, через ваш маршрутизатор раздаете им интернет (для этого достаточно всего одной точки подключения к провайдеру), политики доступа в интернет устанавливаете на самом маршрутизаторе. Раз сеть локальная тогда врядли будет утеряна связь сервером - все хранилища размещайте на нем, чтоб не было ситуации когда нужна какая-то инфа и потом будете гадать на каком же из машин она находится и включена ли щас эта машина или нет, просто раз в неделю делайте бэкап данных. А на счет доступа, допустим конкретного юзера к конкретной папке это легко можно реализовать и на винде и на фрибсд.

Это все ясно, но вопрос именно в том, как лучше это реализовать.
1. Виртуальные сервера + файловое хранилище
2. Виртуальные сервера
3. Виртуальные сервера + хранилище резервных копий

2-ой вариант предполагает использовать одно физическое устройство (сервер) для виртуализации и для сохранности данных использовать RAID 1.
Ну а чтоб железка не погорела - хорошее охлаждение и ИБП
+ наклейка: не бить, не кантовать, с горки не спускать, при пожаре выносить первым

Все варианты жизнеспособны, но что будет оптимальней...

ну я и предложил второй вариант, не знаю что лично для вас значит "оптимальней", но меньше гемора будет и меньше телодвижений надо будет делать в работе именно при втором варианте, т.к. при первом варианте во-первых задолбаетесь все это настраивать, и если где-то че-то будет не так работать - замучайтесь искать в чем именно проблема. Если имеется ввиду скорость передачи данных, тут уже другой вопрос....

Есть маршрутизатор: D-link DIR-100 »
Забудь - однозначно не справится.

Бюджет на локальную сеть в размере 120 000 руб. (не все сразу, но в итоге не более этой суммы). При этом бюджет серверов из них составит ~60 000-65 000 тыс. руб. »
Давай считать.
1. Шкаф сетевой 19'' со всеми патч-панелями и бесперебойником - закладывай тысяч тридцать.
2. Кабельные каналы (по коридору и по кабинетам) - ещё столько же
3. Работы по прокладке и монтажу сети. В принципе можно сделать и самому, но это будет долго и сложно (без опыта - дольше и сложнее в несколько раз)
Главный вопрос здесь - центральный свитч. Я использую DLink DES-1026G - недорогой, 24 стомегабитных порта для рабочих станций и 2 гигабитных - для серверов. Купил больше года тому назад за шесть килорублей.


Теперь сервера. Как видно, СКС отнимает значительную часть бюджета, так что здесь лучше обойтись недорогими, но столь же надёжными, вариантами. Лучше запустить всё на одном железе, используя несколько виртуальных машин. В качестве основы предлагаю Linux с бесплатным VirtualBox.
На одну виртуальную машину можно будет поставить Windows Server - это будет контроллер домена (включая DNS и DHCP). Сюда же можно будет поставить то, что работает только под Windows.
Ещё одну виртуальную машину под управлением Linux можно выделить для всего остального (включая файлохранилище и базы данных).

Теперь железо. Специальные серверные платформы я брать не советую. Конечно, рэйд восьмидесятого уровня на дисках SCSI/SAS - это очень круто, вот только куда ты будешь эти диски подцеплять, если сервер ремонта запросит? :)
Серверное железо хорошо, когда его много. А когда сервер один, то в соответствии с принципами взаимозаменяемости, лучше взять обычное железо помощнее, тем более что оно тоже рэйды поддерживает.
Теперь в случае сбоя достаточно будет переключить диски на другую мощную машину - благо Linux такое позволяет, а Windows из под виртуалки изменений не заметит.

Однако шлюз интернета лучше сделать на отдельном оборудовании. Для этого подойдёт любой старый системный блок - серверные варианты Linux работают на чём угодно, а Squid и другие сетевые службы тоже много ресурсов не требуют. Впрочем, я от греха подальше таки предпочёл потратиться на новый блок питания...

Ещё одну старую машину можно задействовать для резервирования, и для большей безопасности поставить в другой части здания, дабы у неё было больше шансов уцелеть при пожаре, потопе и других стихийных бедствиях.

Кстати, в серверную нужно поставить кондиционер. Потому что мощный системник (особенно два) в комнатке "метр на два" моментально Африку сделает. А жёсткие диски перегрев не любят...
Кондей будет работать в режиме 24/365 , а значит нужно будет брать надёжный (читай, "дорогой") и с зимней опцией. Ещё тысяч тридцать к бюджету прибавь.

2 JaRule:
ну начну я со второго варианта, а там и с хранением резервных копий что-нибудь придумаю...
оптимально - для меня это - определенный компромисс меду стоимостью и производительностью решения.

2 El Scorpio
т.е. D-link DIR-100 выкинуть и поставить комп в качестве шлюза?

Давайте считать:
1. Шкаф сетевой 19'' со всеми патч-панелями и бесперебойником - закладывай тысяч тридцать.
будет настенный ШРН-М-12.650 (ЦМО), без патч панелей (7600 с крепежом руб) + бесперебойник APC Smart-UPS 1000 RM 2U, USB (SUA1000RMI2U) (почти 20000 руб.)
2. Кабельные каналы (по коридору и по кабинетам) - ещё столько же
ну сдесь все в потолок подвесной и жгутиками к подвесам, тока в кабинетах кабель канал и там где шкаф короб 60*40 к потолку (все это не более 2500 руб)
3. Работы по прокладке и монтажу сети. В принципе можно сделать и самому, но это будет долго и сложно (без опыта - дольше и сложнее в несколько раз) »
но буду делать сам, т.к. опыт есть, а денег нет. (т.е 0 руб)

Свитч думал взять D-link DES-3200-26 или D-link DES-3028(в приоритете) (оба стоят ~8500 руб)- в дальнейшем думаю может случиться ситуация присоединить еще одно здание, где нужна будет оптика (до него порядка 250 метров...)

С серверами все ясно, но думал вообще не привязываться к Microsoft Windows Server (сделать все что можно без них LDAP, DHCP, DNS - все на linux, и на Windows Srever вынести то, что вообще пока без него не может).
Буду пробовать БЭСТ 5 настроить на linux ubuntu LTS (linux terminal server) может придется прикупить WINE@Etersoft... на свободном установить не удалось...
да и сервера обновлений тоже вроде можно под wine'ом завести (Kaspersky Administration Kit 8.0 и 2Гис)...

По поводу серверов - да согласен в случае если железка умрет - будет проблемой найти замену. Буду думать на счет мощного железа в обычный системник... но в качестве гипервизора все равно VMware ESXi -очень уж удобная штучка...

По поводу серверной - ее как таковой нет - поэтому и шкаф настенный в рабочем помещении - думаю закрепить его так чтоб можно было оторвать только с куском стены... а охлажение в кабинете нормальное... не холодно конечно но в районе 20 градусов максимум...

так ну в общем вопрос решен...
как начало -вариант 2, а затем к варианту 3...

а охлажение в кабинете нормальное... не холодно конечно но в районе 20 градусов максимум... »
А, ну тогда всё нормально.

С серверами все ясно, но думал вообще не привязываться к Microsoft Windows Server (сделать все что можно без них LDAP, DHCP, DNS - все на linux, и на Windows Srever вынести то, что вообще пока без него не может). »
Я знаю, что теоретически можно поднять контроллер домена на Linux, но практически никогда с этим не сталкивался

да и сервера обновлений тоже вроде можно под wine'ом завести (Kaspersky Administration Kit 8.0 и 2Гис)... »
DrWeb Enterprise Server и под Linux работает. Кроме того, на вики.дрвёб.ру есть скрипт загрузки обновлений.

может случиться ситуация присоединить еще одно здание, где нужна будет оптика (до него порядка 250 метров...) »
Медиаконвертер в свободный гигабитный порт

DrWeb Enterprise Server и под Linux работает »
Не знал. Учту. Хотя я к DrWeb - как-то не очень хорошо отношусь, мне по душе разработки Лаб. Касперского.

Медиаконвертер в свободный гигабитный порт »
по цене: Медиаконвертор + обычный свитч ~= управляемый свитч
но управляемым он от этого не станет...
а во втором здании может быть возьму просто с меньшим количеством портов типа DES-3010G...

Теперь прошу помочь подобрать\оценить конфигурацию сервера для виртуализации:
Корпус CHIEFTEC UNC-310L-B 7500

Корзина для hot swap SNT-2131 SATA 4000

блок питания FSP Group Hexa 500W 2000

материнская плата Intel S5520HC 14000

Память DDR3 ECC PC10600 2GB Kingston KVR1333D3E9S/2G CL9 2*900

Жесткий SATA 1TB Western Digital WD1002FAEX 2*2420

Процессор Intel Xeon E5606/ 2.13 GHz OEM 7200

Дисковод DVD-RW Black Nec Sony Optiarc AD-7700S Dual Layer Slim OEM 850

HW RAID плата PCI Express RAID SAS LSI Logic 9211-4i (LSI00191) KIT 8000

Модуль управления Intel AXXRMM3 2500

Пока вышло на 52700 руб.
+10% - 57970 руб.
2 El Scorpio
Все таки решил серверную платформу взять, просто железо по проще. А виртуалки с VMware ESXi и на обычном компе загрузятся (на время ремонта, в случае если с серваком какой трабл...).
Что забыл, что-то не учел? осталось еще ~10000 руб

Что забыл, что-то не учел? осталось еще ~10000 руб »
Лицензию на серверный Windows + кучу "лицензий клиентского доступа" (CAL) по числу компьютеров, которые будут к службам Microsoft этого сервера обращаться :)

Оказывается БЭСТ 5.34 работает с linux... Правда не совсем гладко...
http://appdb.winehq.org.ru/objectManager.php?sClass=version&iId=1

Так что можно обойтись без Windows Server и ограничиться Ubuntu + RX@Etersoft + WINE@Etersoft Network
ИТОГО: 0 руб + 2900.00 руб + 12400.00 руб = 15300.00 руб

дороговато, конечно, но дешевле чем Терминальный WinServer...
будем копать дальше...

А как железо? У кого-нибудь есть опыт работы с таким?