Назад | Перейти на главную страницу

Интеграция Active Directory, Squid и формирователя трафика (например, MikroTik)

У нас в университете большая сеть, насчитывающая около 10 000 пользователей. У нас есть AD, и мы хотим использовать сервер Squid для кэширования и аутентификации NTLM. Интернет у нас тоже 40 Мбит / с, мы собираемся его поделить.

В AD у нас есть студенты, учителя, ... организационные единицы, и каждая группа должна иметь соответствующую скорость Интернета. Я знаю, что мы должны использовать формирователь трафика для наилучшего совместного использования Интернета.

Первый вопрос: какой шейпер трафика подходит для использования (в Linux)? Можем ли мы использовать MikroTik?

Во-вторых, можем ли мы использовать аутентификацию Squid для идентификации пользователей и их OU из AD, а затем дать им скорость Интернета из формирователя трафика (и как мы можем)?

В-третьих: есть ли другое решение этой проблемы? (Проблема: использование AD с лучшим способом совместного использования подключения к Интернету.)

Простой ответ - использовать что-то вроде 802.1x.

Если у вас есть абсолютно чистый лист, вы можете купить коммутаторы enterasys, которые могут применять политики к пользователям на основе ответов радиуса 802.1x. Преподаватели получат неограниченную пропускную способность, студенты будут получать 50 кбит / с в Интернет, но без ограничений для локальной сети и т. Д.

Если у вас есть существующая сеть (и вы не используете коммутаторы enterasys), вы затем поместите разные классы пользователей в разные подсети, а затем примените формирование трафика на границе с помощью freebsd и PF или формирования трафика Linux и на основе эти подсети. Любая существующая подсеть будет разделена на 2-4 подсети, каждая из которых будет иметь свою политику. Было бы хлопотно развернуть, но не до абсурда.

В другой жизни я установил брандмауэр для беспроводной сети нашего кампуса, который настроил перехватывающий портал и аутентифицировал пользователей по базе данных ldap. Было бы довольно легко применить различные политики формирования трафика на основе атрибутов пользователя. Однако настройка этого была далеко не тривиальной, и в наши дни я бы не стал предлагать ее в качестве решения.

Я уверен, что у других есть другие способы решения этой проблемы, и мой вполне может быть более сложным и не таким надежным, как эти другие способы.

Squid поддерживает аутентификацию NTLM.

Для управления полосой пропускания вы можете изучить функцию squid, известную как пулы задержки.

На ум приходит Blue Coat с их решениями PacketShaper и Proxy, которые могут легко удовлетворить ваши потребности, но, очевидно, это стоит денег. Конечно, университет с 8000 пользователей может себе это позволить, но если нет, у вас есть несколько вариантов.

Во-первых, если вы хотите использовать squid для прозрачного перехвата трафика, аутентификация не может быть выполнена. Поэтому убедитесь, что у вас есть возможность назначить настройки прокси-сервера в браузере для каждой машины в сети.

Решение, предложенное Крисом, скорее всего, сработает, но его действительно будет немного сложно реализовать и поддерживать.

Пулы задержки можно было бы использовать в качестве ограничителя пропускной способности, но как формирователь трафика я не верю, что Squid способен на это. Для этого вам понадобится другое программное решение, и я не уверен, что вы найдете много качественных формирователей трафика или простых в использовании / настраиваемых формирователях трафика бесплатно.