dang Posted September 23, 2014 (edited) · Report post Доброго времени суток, уважаемые. Прошу помощи в "причёсывании" сети. Досталось предприятие с ~500 хостами. Основное здание (~350 хостов) и 5 филиалов (по ~30 хостов). Основное здание: Аплинк 100 мбит, vlan, приходит в первую сетевуху сервера "шлюз": win 2008, Traffic Inspector. Вторая сетевуха смотрит в локалку. Локалка на L1 D-Link'ах, 22 подсеть. В TI авторизация пользователей по ip-адресам (адреса статические, DHCP отсутствует "в мерах безопасности"). Юзеры авторизуются через AD. Присутствует грядка локальных серверов (БД, файлопомойки). Филиалы: Аплинки от того же оператора, тот же vlan, адреса из той же подсети, статические. Планирую: 1. Перевести сеть на DHCP, в TI перейти на авторизацию по учётной записи из AD; 2. Уйти от vlan'ов оператора к VPN. В филиалы куплены Mikrotik 2011UiAS-2HnD-IN в качестве VPN-клиента. VPN-сервером выставить TI или отдельную железку?. 3. Разграничить трафик из филиалов. Тут 2 направления: 1 - локальные ресурсы, ходить на которые необходимо через "шлюз" и 2 - внешний интернет, куда можно ходить через провайдера, в обход моего "шлюза". 4. Отсеивание левых устройств. Тут кроме привязки ip-mac или ipsec ничего в голову не приходит. Основной вопрос по 3 пункту: Микротик умеет работать с AD, как с Radius-сервером. Но в случае потери связи с AD (такое случается), у пользователей в филиалах не будет ни локальных ресурсов, ни интернета. Заводить локальный radius на каждом микротике и при необходимости править юзеров руками на них? Какие есть выходы из данной ситуации? По 2 пункту: Оставить пользователей в той же сети или для каждого филиала сделать свою подсеть с микротиком в качестве шлюза? Тут нужна помощь по маршрутам. Не силён в этом. Посоветуйте, как сделать "правильно и красиво", пожалуйста. Edited September 23, 2014 by dang Share this post Link to post Share on other sites
Ivan_83 Posted September 23, 2014 · Report post А что вы хотите получить вообще то? Share this post Link to post Share on other sites
Alteron Posted September 25, 2014 · Report post Вот мне не понятно, вот скажите, как лучше. Не знаешь... Сейчас работает... Все довольны? Дак не трогай! Share this post Link to post Share on other sites
slepnoga Posted September 25, 2014 · Report post По сети не скажу ;) ( т.к не понятно чего хотите ), но с точки зрения мелкомягких в филиалы надо впендюривать DS или RODS, чем проблема и закрывается. Share this post Link to post Share on other sites
Ivan_83 Posted September 25, 2014 · Report post Если в ти юзеры по ип авторизауются то нафиг нужен вообще ти, когда такое же без проблем делается на фре/линухе. Этот же тазик сможет и впн сервером быть. И днс (кеширующий рекурсер) и дхцп... В ад юзеры авторизуются явно не для инета. Share this post Link to post Share on other sites
Sergeylo Posted September 26, 2014 · Report post Ну если АД отсох, то вообще никакого кина не будет, и локальный кеш не спасёт. Слейвы АД нужно ставить, да. Хоть там стопицот каналов - они не собственные. Share this post Link to post Share on other sites
