dang Опубликовано 23 сентября, 2014 (изменено) Доброго времени суток, уважаемые. Прошу помощи в "причёсывании" сети. Досталось предприятие с ~500 хостами. Основное здание (~350 хостов) и 5 филиалов (по ~30 хостов). Основное здание: Аплинк 100 мбит, vlan, приходит в первую сетевуху сервера "шлюз": win 2008, Traffic Inspector. Вторая сетевуха смотрит в локалку. Локалка на L1 D-Link'ах, 22 подсеть. В TI авторизация пользователей по ip-адресам (адреса статические, DHCP отсутствует "в мерах безопасности"). Юзеры авторизуются через AD. Присутствует грядка локальных серверов (БД, файлопомойки). Филиалы: Аплинки от того же оператора, тот же vlan, адреса из той же подсети, статические. Планирую: 1. Перевести сеть на DHCP, в TI перейти на авторизацию по учётной записи из AD; 2. Уйти от vlan'ов оператора к VPN. В филиалы куплены Mikrotik 2011UiAS-2HnD-IN в качестве VPN-клиента. VPN-сервером выставить TI или отдельную железку?. 3. Разграничить трафик из филиалов. Тут 2 направления: 1 - локальные ресурсы, ходить на которые необходимо через "шлюз" и 2 - внешний интернет, куда можно ходить через провайдера, в обход моего "шлюза". 4. Отсеивание левых устройств. Тут кроме привязки ip-mac или ipsec ничего в голову не приходит. Основной вопрос по 3 пункту: Микротик умеет работать с AD, как с Radius-сервером. Но в случае потери связи с AD (такое случается), у пользователей в филиалах не будет ни локальных ресурсов, ни интернета. Заводить локальный radius на каждом микротике и при необходимости править юзеров руками на них? Какие есть выходы из данной ситуации? По 2 пункту: Оставить пользователей в той же сети или для каждого филиала сделать свою подсеть с микротиком в качестве шлюза? Тут нужна помощь по маршрутам. Не силён в этом. Посоветуйте, как сделать "правильно и красиво", пожалуйста. Изменено 23 сентября, 2014 пользователем dang Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 сентября, 2014 А что вы хотите получить вообще то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alteron Опубликовано 25 сентября, 2014 Вот мне не понятно, вот скажите, как лучше. Не знаешь... Сейчас работает... Все довольны? Дак не трогай! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
slepnoga Опубликовано 25 сентября, 2014 По сети не скажу ;) ( т.к не понятно чего хотите ), но с точки зрения мелкомягких в филиалы надо впендюривать DS или RODS, чем проблема и закрывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 сентября, 2014 Если в ти юзеры по ип авторизауются то нафиг нужен вообще ти, когда такое же без проблем делается на фре/линухе. Этот же тазик сможет и впн сервером быть. И днс (кеширующий рекурсер) и дхцп... В ад юзеры авторизуются явно не для инета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 26 сентября, 2014 Ну если АД отсох, то вообще никакого кина не будет, и локальный кеш не спасёт. Слейвы АД нужно ставить, да. Хоть там стопицот каналов - они не собственные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...