01. juli 2002 - 15:33Der er
31 kommentarer og 3 løsninger
Indretning af beboernetværk
Dette indlæg er for at bede om nogle råd til indretningen af et beboernetværk I en mindre andelsboligforening (33 lejligheder).
Vi er i gang med planlægningen af etableringen af et interntnetværk. Selve opsætningen og de basale hardware tager et professionelt firma sig af. Det vil sige de levere en eller anden router, netværkskabler og stik, switche (HP procurve) og sætte den del op.
Vi har tænkt på at sætte et par servere op (vi regner med at gøre det med linux af omkostningsårsager). En filserver (evt. Samba), en proxy server (mest af hastighedsgrunde) og noget til båndbreddestyring (evt. Trafficshaper) så vi undgår problemer med at enkelte brugere suger hele båndbredden.
Det jeg gerne vil have hjælp til i denne forbindelse er, hvordan skulle et sådan server setup være: · Hvad kræver det af hardware til serveren? · hvor på netværket skal de placeres (jeg tænker mellem router og switch)? · kan de køres fra samme boks? · er der nogen der kan anbefale en distribution? · Der er ingen computerhajer i foreningen, lyder det så for ambitiøst at køre netværket på den måde? · Hvilke servere kan anbefales og hvorfor?
Jeg håber nogen kan hjælpe med nogle generelle råd, senere vil jeg nok vende tilbage, når det handler om selv opsætningen.
Dit spørgsmål er for omfattende hvis et svar skal kunne bruges. det kræver konsulentbesøg fra en leverandør vil jeg mene ( husk ingen købetvang) Der er alt for mange spørgsmål der skal diskuteres inden et reelt råd kan gives
hvis i vil havde at en bruger ikke skal sluge alt båndbredden. Så skal i kører internet igennem en computer med Trafficshaper så internet bliver delt retfærdigt. det vil sige at folk på netværket skal havde en fast intern ip så der ikke opstår problemer på den måde, og så skal Trafficshaper bare sættes op. Det skal lige siges jeg ikke har nogen erfaring med programmer der deler båndbreden mellem flere computere. Den server der så skal styrer deling af internet kan samtidigt også kører proxy. placering af server: router-> proxy+inet-server -> switch -> brugere lav en server med en 800 p3 eller athlon og put 512 mb ram i den og en 10 gig hd, hvis i også vil havde den til at være fil server så smid to stk i på 40 gig og sæt dem i raid. så kan de 2 hdd i raid håndtere både proxy og filserver. Hvis i har pengende til det så køb en compaq, hp eller dell. De laver noget godt isenkram med den ses også tydeligt på prisen.
Hvis i vil smide alt i samme computer, så tag en og lav en dual p3 løsningn med 2 stk 1 ghz cpu'er og smid ½ gb ram i den. og lav den hdd løsning jeg nævner oppe over.
hvis routeren kan klarer at dele båndbreden så er det lige meget hvor i placere serveren. men ellers er det nødvendigt med mindste 2 stk netkort i serveren. Det ene skal sluttes til routeren det andet skal sluttes til switchen. hvad for et OS der skal smides på serveren skal i ikke spørger mig om, da der findes mange forskellige versioner. Men mit lille forslag ville mene en gang Redhat og brug ProftpD i stedet for Samda og lav noget FTP noget i stedet for.
zuzezimzulze tak for dit forløbige svar, jeg har dog et par yderligere spørgsmål.
HVorfor ProftpD istedet for Samba? Hardware løsningen forekommer mig ret dyr, kan mindre evt. ikke gøre det, uden at det går for meget ud over hastigheden (fx alle i samme box, uden dual)? Hvad er fordelen ved 2x40 gig raid fremfor en enkel 80 gig (Er det nødvendigt eller blot bedre for at kunne køre både fil og proxy server på en box?)? Du har ikke nævnt om det burde være en scsi-løsning, vi vil af prismæssige årsager helst undgå det.
Vi skal nok ud og købe hardwaren, men budgettet rækker nok til noget i den billige ende, så det bliver nok en bambus er der nogle billige stabile MB som evt. kunne anbefales?
ProftpD gør at du kan oprette ftp kontoer i stedet for. Men det er så i det tilfælde hvis man vil overvåge hvad der sker på serveren og hvad der bliver lagt op. Kender ikke så meget til Samba men er jo også en god mulighed. kender bare ikke så meget til det. Det jeg gik udfra med hardware var at ligge alt sammen i en box. Fordelen ved 2x40 gig i stedet for 1x80 gig er at hvis den er meget belastet, så skal 80 gigen fare frem og tilbage på hele harddisk dobbelt så meget som hvis det er 2x40 gig i raid, da der ved 2x40 gig i raid bliver data delt på begge hdd så der ligger ½ delen af en fil på begge hdd. det øger hastigheden. men det er jo kun mit forslag, du kan sagtens uden problemer bruge en 80 gig eller en 40 gig for den sags skyld. Jeg ved jo ikke lige hvad den skal bruges til. men når man vil kører både filserver og proxy fra samme, så vil jeg ligger højst vægt på at man har nok ram i computeren. ellers lav en 1 ghz comp med en 1x10 gig til software og så brug 1x40(80) til der hvor folk kan gemme filer og hvor proxy ligger cache. og så smid ½-1 gig ram i da, det kan bliver krævende hvis 30 folk prøver belaster på samme tid. Start med ½ gig og hvis det bliver for langsomt så smid yderligere 1 gig i den. Det jeg har haft i tankerne har hele tiden været IDE da jeg ved at SCSI er dyrt som bare f.... bambus hardware kan sagtens kører lige så stabilt som noget fra Compaq og de andre server leverandøre. jeg har selv gode erfaringer med Abit bundkort. har ikke haft nogle problemer med dem jeg har haft. jeg vil ikke anbefale andre bundkort da jeg ikke har nogen kendskab til andre. men der findes mange forskellige test på nettet over bundkort så læs nogle og find ud af hvad du selv vil fortrække.
fordelen hvis man ville bruge SCSI er at man ikke belaster CPU'en så meget som hvis man IDE hdd. man kan jo altid opgradere det man har.
Lige et spørgsmål til, ProftpD hvor kan man få fat i det, ligger det fx på RH 7.3 distributionen? Der kan man i alle fald få fat i samba, men hvad med trafficshaper ligger det også der?
Det som i skal passe på, ved at samle hele skidtet i en maskine, er at der hurtigt kan opstå et flaskehals problem. Hvis vi f.eks. siger at der er 20 der bruger netværket samtidigt; de fem downloader/uploader til serveren, mens de resterende 15 surfer. Der kan hurtigt både opstå problemer med liniens traffik, samtidigt med, at jeg ikke tror at en enkelt maskine ville kunne styre både proxy og ftp optimalt, medmindre der bliver sat en kraftig cpu og nogle scsi drev i. Desuden skal man være sikker på at båndbredde-styringen fungerer optimalt. Min forslag går på, at opsætte minimum to maskiner. En til proxy og styring, og en til filserver. Og da jeg er stærk modstander af servere på det lokale netværk, ville jeg anbefale jer at undersøge, om routeren har mere end en udgang til LAN. Hvis ikke, så opsæt en linux router med tre netkort. Et til ADSL, et til LAN og et til DMZ. I DMZ'en kan man så sætte de servere op, som man skal bruge. Meningen med det, er at hvis serveren bliver hacket, kommer man ikke videre ind på det lokale netværk, men "kun" til serveren. En anden ting i SKAL have, er en ordentlig firewall. Der har jeg ikke den store erfaring, men udfra egen erfaring, kan jeg sige, at jeg har en gammel pentium 75 maskine, som jeg har sat op som Linux router. Den booter fra en diskette, men har både funktion som router og firewall, og det virker perfekt!! Den har kørt i et halvt år nonstop uden problemer.
I må undskylde, hvis det står lidt rodet, men jeg har meget at sige, mens jeg prøver at presse det ned på så få linier som muligt... Men spørg endeligt hvad jeg mener :-)
www.proftpd.net selvfølgelig er det jo altid smartets med flere servere til forskellige ting, en til proxy en til filserver en inet brede distribution. men de har jo et minimalt budget, så vidt jeg kan forstå af det over stående. Af egen erfaring ved jeg at nogle routere kun route de porte man sætter den til og ikke andet. d.v.s. at routeren faktisk måske er en mindre firewall i sig selv. men som du nævner exodusdk så kan der opstå en flaskehals. Hvis deres budget siger god for det, så er det klart at de skal lave 2 computere i stedet for. et stk filserver og et stk proxy,inetsharing,inetdistribution i stedet for. men den egentlige flaskehals er jo altid budgettet :)
Jeg havde lige glemt budget-problemet. Tak for påmindelsen zuzezeminulezinzelt... Arh, glem det...
Men de må ha' overvejet omkostningerne ved flere servere, da han skriver "Vi har tænkt på at sætte et par servere op".
Min tanke med en linux router, var bare en mulighed hvis deres medfølgende router ikke har muligheden for flere LAN's. Og med hensyn til blokering af porte i routeren, så ved jeg skam godt, at man i de fleste routere kan blokere for uudnyttede porte (jeg har immervæk brugt to Cisco semestre på at lære at konfigurere routere og switch'e). Men det som jeg ser som et problem, da de ikke er de største nørde, er at det tit er meget besværligt at åbne/lukke porte i standard routere, da de er sat op på forhånd hos udbyderen. Og af personlig erfaring, kan jeg sige at visse udbydere ikke er vældig glade for at hjælpe med "pilleriet".
Men min helt, helt egen personlige mening er, at vente med filserveren, hvis den ikke kan få en dedikeret maskine. Jeg ser det som en halv løsning at knalde skidtet sammen i én. Men som sagt er det muligt...
det smarteste de skal gøre, er at få det hele til at fungere inden de begynder at sætte diverse ting op, efter min mening. hvis de var mig der skulle sætte de op ville jeg klart starte med at få det hele oppe og kører og så bagefter begynder at sætte proxy op, og så sætte serveren op til at dele båndbreden så folk ikke bliver snydt. men jeg tror da de må kende lidt til det, eller kender nogle folk der vil kunne hjælpe. man skal bare ha i tankerne at vis man begynder at tage professionelle folk til hjælp med opsætning af ting så bliver det dyrt som bare f..... det er vel ikke sværer at de til at starte med vil kunne hente filerne de skal bruge fra de andre på det lokalnet de skal havde. hvis de laver en linux router så skal de måske sætte routeren op til at route al traffiken til linux routeren hvis de vil til at begynde med diverse programmer der kan de. men faren kan hurtigt bliver at nogle folk vil smadre deres linuxrouter ved at hacke sig ind på den hvis de ser muligheden for det. en firewall kan altid bliver omgået. men hvi den router de for kan klare det med port routing så ser jeg ingen grund til at begynde med firewall. men folk har hver sin menig så det må vel bare være op til dem selv hvad de vil gøre. men først og fremmest skal vel lige havde det op at kører, og så kommer alt det sjove bagefter :)
forslag 1 er det bedste efter min mening. det med angreb er noget man aldrig kan slippe for, derfor at exodusdk bragte firewall på banen. og jeg tvivler på nogen inde fra jeres eget netværk vil gøre. men udefra vil der altid komme noget. Bare i har firewall på så er i beskyttet så godt som man nu kan. bare den er konfigureret rigtigt.
Jeg har et tillægs spørgsmål, jeg tænkte, at måske er det slet ikke en god ide at have en proxy server for beboerforeningen, hvis vi kun er 33 lejligheder. Er det for få til at få nogen rigtig effekt (hastighedsmæssigt)? Har i evt. nogen tanker om, hvor mange brugere man som tommelfingerregel skal være for en proxy kan betale sig?
nu har du ikke nævnt noget om hvad for en forbindelse det er i for og hvor stor den er. det vil kun betyde at serveren skal arbejde endnu mere hvis den skal køre proxy da den først skal checke om side ligger på server eller om den skal til at hente den fra nettet. det kan øge hastigheden hvis folk besøger de samme sider men hvis alle folk besøger vidt forskellige side giver det ikke den store effekt. men man kan jo altid bare pille proxy serveren ned hvis man ikke synes at det giver nogen effekt.
ok. det svarer til at folk har cirka en 300 kbit forbindelse. (11000/33) så ville jeg sætte trafficshape op til at folk måske kunne bruge op til ½ mbit max hvis det skulle være. men jeg tror ikke jeg personlig selv i sådanne et tilfælde ville smide en proxy op da båndbredden er til at man henter hurtigt nok. men hvis i nu havde været 100 på nettet på en 11 mbit, så ville jeg nok smide noget proxy op. jeg tror bare i skal starte med at sætte det hele op, og hvis det kører for langsomt. så prøv med proxy, og hvis det stadigt kører for langsomt så er det fordi at folk downloader meget.
Og så glemte jeg lige... Med hensyn til lokal sikkerhed, så er det sådan, at firewall'en kan aktiveres på den udgang fra routeren hvor din server(e) er placeret (DMZ), sådan så det er ligemeget hvilken linie det kommer ind i routeren fra, det bliver alligevel knaldet i firewall'en når det vil ud på server-linien.
Og hvis i samtidigt opbygger jeres interne netværk med subnets (evt. et subnet pr. lejlighed) har i også en lille sikkerhed der. Begrebet subnets bliver brugt om en metode, hvor man inddeler IP-addresser i flere forskellige under-net (subnets). Jeg kan godt lave nogle eksempler hvis du/i ønsker det...
Jeg kender ikke til subnets så det ville da være rart med et eksempel,
Jeg kender ikke så meget til traffic shaper, men så vidt jeg har forstået er fordelen ved programmet, at man kan fordele båndbredden dynamisk, så jeg ville tro man ikke skulle tildele hver bruger et fast del (som fx ½ mbit)? Men der er måske noget jeg har misforstået?
jeg kender heller ikke noget noget til trafficshaper men jeg kan forstille mig som du selv siger at man deler det mellem folk, og så gir hver en ½ mbit for det er jo ikke altid at folk bruger alt den båndbrede man har til rådighed. http://www.tldp.org/HOWTO/mini/IP-Subnetworking-4.html <-- hvad jeg lige hurtigt kunne finde om subnets men som man siger google er din "ven".
Undskyld, at jeg ikke har svaret tidligere, men med en 10 timers arbejdsdag, og en knægt på fem måneder, er der ikke meget fritid... Jeg kommer med et eksempel senere idag... Konen skal jo ox ha' lidt kvalitetstid :-)
fuck, fuck, fuck, fuck... Og undskyld mit sprog... Jeg har lige siddet og skrevet et alenlangt eksempel med forklaringer og hele pisset, men da jeg trykker "Udfør", ryger jeg bare til den samme side igen... Hvor jeg IKKE er logget ind... Jeg er åbenbart blevet logget af mens jeg har skrevet...
Jeg fristes til at sige noget meget grimt om E.dk lige nu...
I kan f.eks. bruge ip addressen 172.16.0.0 til jeres netværk. I sætter jeres subnet mask til at være 255.255.255.0. Så har i 254 subnets med hver 254 hosts at råde over. Det virker måske af meget, og det er det også, men jeg har gjort det sådan fordi det meget hurtigt ellers kan blive uoverskueligt for det ikke trænede øje. ;-) I må bare tro på, at det jeg siger er rigtigt...
En hurtig gennemgang af ip-addressen 172.16.0.0: 172.16 = det overordnede netværk. Det er en addresse specificeret af et eller andet udvalg til at være et privat netværk. Første .0 = Subnet værdien. Andet .0 = Host værdien.
F.eks. addressen 172.16.13.72 = Maskine nummer 72 i det 13'ende subnet.
Meningen med det her er, at hver lejlighed så får et subnet at råde over. Jeg ville uddelegere ip adresserne og subnets'ne på følgende måde: Lejlighed 1 : 172.16.1.1 til 254 Lejlighed 2 : 172.16.2.1 til 254 Lejlighed 3 : 172.16.3.1 til 254 ... Lejlighed 33: 172.16.33.1 til 254
Routeren og serveren skal jo selvfølgelig også med på netværket. Routeren og serveren smider jeg på samme subnet: Router : 172.16.254.1 Server : 172.16.254.2
Ulempen ved at have router og hosts på forskellige subnets er, at hvis en person vil starte f.eks. en spilserver, skal de porte som serveren bruger (Counter-strike = 27015 som standard) "føres videre" til den pågældende ip addresse ved hjælp af "Nat", eller i Linux "port forwarding" (tror jeg da vist nok det hedder).
Det er mit forslag. Hvis jeg har lavet en bommert vil jeg meget gerne have det af vide, da jeg selv mener at dette er det nemmeste for ikke-nørder... ;-) Og igen, spørg endelig hvis det ikke er forklaret godt nok...
vdr. en evt. firewall (hvis I vil have en separat..) -så tjek www.smoothwall.org ud. Den kan køre på en ganske lille maskine... Jeg har med held installeret den på en p75/32mb RAM/512 MB hdd :) ...så det er jo ikke store krav ...
Jeg har lige installeret en SME ServerV5 fra Mitel networks (tidligere E-Smith). De har virkeligt fået lavet et godt, sikkert og nemt værktøj hvis det der skal bruges er en Gateway/firewall/proxy/DNS Server/FTP server/Samba fildeling/Mailserver/Webserver etc. etc. Den kan til brug af 33 klienter køre på en PII 400 Mhz, 256 mb ram. Jeg synes du skal kigge på den.
Denne "udgåede" version er ikke længere supporteret af Mitel, hvorfor man heller ikke kan downloade den fra pallepirats link. Man kan med fordel bladrer lidt op i ftp-hirkiet (i ovestående link) og finde andre versioner og andre linux distributioner... :-)
Så snart jeg evt. selv får en site op med masser af plads vil jeg lægge sme-serveren op til download.. for det kan da ikke passe at der kun skal være éet sted i verden hvor man kan downloade denne smarte lille server. Jeg har ikke tjekket sikkerhedsniveauet i sme-serveren's firewall, men ideen og funktionaliteten er nice.
Jeg ved godt at denne tråd er lukket for længe siden med der er måske stadig folk der læser gamle spørgsmål af interesse... og det er så træls når link man gerne ville følge ikke længere virker...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.