У меня большая сеть с более чем 1500 ПК и 9000 учетными записями пользователей в университете. Мы разделили пользователей на 5 групп и распределяем между ними пропускную способность, используя точку доступа MikrotiK с бэкэндом бухгалтерского учета NTTAC. Мы не только контролируем максимальную пропускную способность / скорость для пользователя, но также ограничиваем время доступа в Интернет. В этом сценарии все пользователи проходят проверку подлинности на сервере Active Directory, на котором также работает NTTAC +. Мы установили шлюз на машину MikrotiK со страницей точки доступа, которая добавляет правило переадресации для пользовательского трафика после аутентификации точки доступа (хотя учетные данные пользователя такие же и аутентифицируются на сервере AD, мы не используем SSO, чтобы пользователь мог работать с местные услуги, когда это необходимо, и сохранить его / ее ограничения по времени доступа в Интернет)
Теперь есть некоторые проблемы: 1 - Кажется, что с таким большим количеством пользователей MikrotiK был выдвинут на край и не может обрабатывать такой трафик с помощью точки доступа. 2 - сервер AD стал точкой отказа, и его отсутствие привело к потере многих служб.
Следовательно, я ищу лучшие практики для крупномасштабного пользовательского (не на основе ПК / IP) разделения / формирования полосы пропускания без единой точки отказа.
Устранить единую точку отказа AD на самом деле довольно просто. Мы решили эту проблему, поместив службы AD LDAP (которые, как я полагаю, использует NTTAC +) за балансировщиком нагрузки. Таким образом, у нас есть 4 сервера, предоставляющих услуги аутентификации LDAP с одного IP-адреса, а балансировщик нагрузки гарантирует, что мертвые серверы удалены. Мы также являемся университетом (20 000 студентов, 3 000 сотрудников), и эти четыре сервера постоянно подвергаются атакам нашего приложения единого входа и просто работают. Даже во вторник патчей, когда все они перезагружаются.
Одно предостережение заключается в том, что вам может потребоваться установить новый сертификат SSL на эти серверы, который включает IP / DNS-имя IP // имя IP-адреса балансировщика нагрузки.