dang Posted September 23, 2014 (edited) · Report post Доброго времени суток, уважаемые. Прошу помощи в "причёсывании" сети. Досталось предприятие с ~500 хостами. Основное здание (~350 хостов) и 5 филиалов (по ~30 хостов). Основное здание: Аплинк 100 мбит, vlan, приходит в первую сетевуху сервера "шлюз": win 2008, Traffic Inspector. Вторая сетевуха смотрит в локалку. Локалка на L1 D-Link'ах, 22 подсеть. В TI авторизация пользователей по ip-адресам (адреса статические, DHCP отсутствует "в мерах безопасности"). Юзеры авторизуются через AD. Присутствует грядка локальных серверов (БД, файлопомойки). Филиалы: Аплинки от того же оператора, тот же vlan, адреса из той же подсети, статические. Планирую: 1. Перевести сеть на DHCP, в TI перейти на авторизацию по учётной записи из AD; 2. Уйти от vlan'ов оператора к VPN. В филиалы куплены Mikrotik 2011UiAS-2HnD-IN в качестве VPN-клиента. VPN-сервером выставить TI или отдельную железку?. 3. Разграничить трафик из филиалов. Тут 2 направления: 1 - локальные ресурсы, ходить на которые необходимо через "шлюз" и 2 - внешний интернет, куда можно ходить через провайдера, в обход моего "шлюза". 4. Отсеивание левых устройств. Тут кроме привязки ip-mac или ipsec ничего в голову не приходит. Основной вопрос по 3 пункту: Микротик умеет работать с AD, как с Radius-сервером. Но в случае потери связи с AD (такое случается), у пользователей в филиалах не будет ни локальных ресурсов, ни интернета. Заводить локальный radius на каждом микротике и при необходимости править юзеров руками на них? Какие есть выходы из данной ситуации? По 2 пункту: Оставить пользователей в той же сети или для каждого филиала сделать свою подсеть с микротиком в качестве шлюза? Тут нужна помощь по маршрутам. Не силён в этом. Посоветуйте, как сделать "правильно и красиво", пожалуйста. Edited September 23, 2014 by dang Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 23, 2014 · Report post А что вы хотите получить вообще то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alteron Posted September 25, 2014 · Report post Вот мне не понятно, вот скажите, как лучше. Не знаешь... Сейчас работает... Все довольны? Дак не трогай! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slepnoga Posted September 25, 2014 · Report post По сети не скажу ;) ( т.к не понятно чего хотите ), но с точки зрения мелкомягких в филиалы надо впендюривать DS или RODS, чем проблема и закрывается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 25, 2014 · Report post Если в ти юзеры по ип авторизауются то нафиг нужен вообще ти, когда такое же без проблем делается на фре/линухе. Этот же тазик сможет и впн сервером быть. И днс (кеширующий рекурсер) и дхцп... В ад юзеры авторизуются явно не для инета. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergeylo Posted September 26, 2014 · Report post Ну если АД отсох, то вообще никакого кина не будет, и локальный кеш не спасёт. Слейвы АД нужно ставить, да. Хоть там стопицот каналов - они не собственные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...