Сервер для офиса

Материал из Энциклопедия для сетевых администраторов
Перейти к: навигация, поиск
Уровень сложности
Без рейтинга
Автор: RemiZOffAlex

Как выбрать сервер для офиса

Сервер для офиса - это выделенный компьютер, отвечающий за работоспособность всего офиса в целом. Выполняет роль центрального информационного узла в сети. Отвечает за следующие сервисы:

  • Сетевой шлюз - обеспечивает доступ к сети Интернет, работоспособность локальной сети, удалённый доступ;
  • Хранение и управление базой данных (клиент-серверный вариант работы - 1С:Предприятие 8);
  • Корпоративный сайт/портал и электронная почта;
  • Почтовый сервер;
  • Хранение и сетевой доступ к файлам и каталогам (файловый вариант работы - 1С:Предприятие 8);
  • Резервное копирование;
  • многое другое.

Мощность сервера имеет прямую зависимость от размера компании (количества обслуживаемых сервером рабочих пользовательских станций). Также необходимо предусмотреть увеличение мощностей (апгрейд), т.к. со временем любая фирма разрастается. К примеру при выборе материнской платы необходимо руководствоваться наличием свободных отсеков для установки дополнительных планок памяти.

Pencil.gif
Примечание
Увеличение мощностей может стать в дальнейшем серьезной проблемой при переносе на другую платформу. Для предупреждения этой проблемы можно (и нужно) использовать виртуализацию.

Требования

Exclamation mark 3d.png
Внимание
Качество выбранного сервера лежит внутри треугольника ограниченности
  • Надёжность
  • Быстродействие
  • Низкая стоимость
Light bulb icon.png
Совет
Расчёт сервера всегда весьма условный. Но лучше посоветоваться у трех и более (не знакомых между собой) опытных системных администраторов
  • Количество обслуживаемых машин. Здесь необходимо учесть не только ПК сотрудников, но и технику (сетевые принтеры, сканеры, маршрутизаторы, точки доступа и т.д. и т.п.)
  • На сколько будет загружено железо сервера при максимальном потоке (трафик, вычислительная нагрузка на ЦПУ, в случае БД объём оперативной памяти, не лишним будет учесть даже размер кеша процессора)
  • На сколько гибко настраивается программное обеспечение (хочу заметить, что, несмотря на все требования начальства, работать со всем хозяйством будет именно системный администратор, а значит ему выбирать то, что он лучше знает и имел больше опыта)
  • Что необходимо пропускать через себя
  • Система логирования
  • Система мониторинга

Платформы

Аппаратная платформа компьютера

Pencil.gif
Примечание

Автор информирует исходя из собственного опыта о том, что для офисного сервера подходит любой современный компьютер с общей стоимостью около 1-1,5 тысяч условных единиц. Такой конфигурации достаточно для обеспечения работоспособности базовых сервисов.

Минимальная виртуализация обойдется в 2-3 тысячи условных единиц.
  • Любой современный компьютер на платформе x86-64
  • Желательно как минимум две сетевые карты 1Гб/с
  • Два жёстких диска RAID I
  • ОЗУ: минимум 1 ГБ
Pencil.gif
Примечание
На сервере необходимо иметь как минимум два жёстких диска, для обеспечения минимальной отказоустойчивости за счёт избыточности (RAID I)

Программная платформа

Pencil.gif
Примечание
Другие программные платформы не рассматриваются по различным соображениям, в том числе и избыточной ресурсоёмкости самих ОС (что в рамках решаемых задач считается не выгодным решением)

Программно-аппаратная платформа

Сеть

Scheme 1.jpg

Выбираем по своим запросам диапазон адресов для локальной сети. Для офисной и домашней сети рекомендуются 192.168.0.0/24. Для нескольких сетей и/или больших (провайдер) 10.0.0.0/8

Установка

  • Сборка сервера


RAID

Light bulb icon.png
Совет
Использование двух и более дисков желательно для обеспечения отказоустойчивости RAID I, RAID V, RAID-Z

Разбивка диска

Light bulb icon.png
Совет
Размер раздела подкачки должен быть равен 2-3 размерам оперативной памяти
Exclamation mark 3d.png
Внимание

Личное наблюдение. Возможно кому-то понадобится: при установке CentOS или Fedora на два диска со следующей разбивкой через стандартный инсталлятор:

  • /dev/sda: /boot; swap; /
  • /dev/sdb: /home
Загрузчик ставится почему-то на /dev/sdb. В результате загрузка невозможна.

Настройка

Сетевые подключения

Для построения минимального шлюза необходимо как минимум два сетевых подключения: один смотрит в локальную сеть, второй в сторону интернет сети.

Использование гибрида VLAN и VPN позволит организовать более сложные конструкции сетей. Так к примеру можно объединить два и более офисов

Физический уровень

PhysicalLevel.png

Логический уровень

LogicalLevel.png

Маршрутизация

Для доступа к удалённым подсетям необходимо правильно прописать маршруты, которые должны быть в полном комплекте до каждой подсети и учитывать каждый узловой шлюз.

  • GW1: 192.168.0.0/24
  • GW2: 192.168.3.0/24
  • VPN: 192.168.2.0/24

GW1:

user $ /ip route add gateway=192.168.2.1 dst-address=192.168.0.0/24

GW2:

user $ /ip route add gateway=192.168.2.2 dst-address=192.168.3.0/24

VLAN

Служит для разделения сети на несколько логических сегментов, изолированных друг от друга

Wiki 1.png

Межсетевой экран

VPN

Подключение удалённых офисов и/или сотрудников.

Exclamation mark 3d.png
Внимание

Ошибка многих пользователей при создании VPN туннеля: удаленная сеть недоступна.

Решение: L2TP, PPTP и PPPoE не умеют передавать маршруты. Для корректной работы туннеля в оба конца необходимо соблюсти некоторый рекомендации:

  • Исключить из NAT подсеть VPN и подсети за VPN
  • Добавить в таблицу маршрутизации близлежащего шлюза все маршруты до удалённых подсетей, где шлюзом будет IP выходного конца туннеля
Pencil.gif
Примечание
OpenVPN умеет передавать маршруты для клиента до подсетей за VPN

Сбор и анализ сетевого трафика

DHCP

FreeBSD
root # pkg install isc-dhcp43-server

DNS

Списки открытых DNS серверов
Организация IP Комментарий
Norton DNS
  • 198.153.192.1
  • 198.153.194.1
Yandex DNS Базовый
  • 77.88.8.8
  • 77.88.8.1
Быстрый и надежный DNS
Безопасный
  • 77.88.8.88
  • 77.88.8.2
Без мошеннических сайтов и вирусов
Семейный
  • 77.88.8.7
  • 77.88.8.3
Без сайтов для взрослых
OpenDNS IPv4
  • 208.67.222.222
  • 208.67.220.220
IPv6
  • 2620:0:ccc::2
  • 2620:0:ccd::2
Comodo SecureDNS
  • 8.26.56.26
  • 8.20.247.20
Google Public DNS IPv4
  • 8.8.8.8
  • 8.8.4.4
IPv6
  • 2001:4860:4860::8888
  • 2001:4860:4860::8844

WEB (HTTP, HTTPS)

Файловый сервер

Служит для общего доступа к файлам и папкам по сети.

Мониторинг

Сбор статистики:

Самописные скрипты

Клиенты:

Логирование

Прокси-сервер

Служит для вырезки рекламы, баннеров, контроля доступа к web-ресурсам и организации промежуточного моста (к примеру для обхода блокировки).

Примеры правил для MikroTik блокировка социальных сетей.

Exclamation mark 3d.png
Внимание
Работа регулярных выражений layer7-protocol в MikroTik специфична выборкой первых 10 пакетов или 2 КБ данных
/ip firewall filter
add action=drop chain=forward comment="block socials" layer7-protocol=social protocol=tcp dst-port=80
add action=drop chain=forward layer7-protocol=social protocol=tcp dst-port=443

/ip firewall layer7-protocol
add name=social regexp="(vk.com|odno(c|k)la(s|ss)niki|facebook|fall-in-love|loveplanet|my.mail.ru)"

Принт-сервер

Общий сервер печати, управляющий принтерами в офисе.

Почтовый сервер

IP-телефония

Сервер бездисковой загрузки

Сервер бездисковой загрузки позволит загружать любую машину по сети.

Резервное копирование

Служба точного времени

Рекомендованные сервера:

  • ntp1.vniiftri.ru
  • ntp2.vniiftri.ru
  • ntp3.vniiftri.ru

Управление

CLI

WEB

Ссылки