Integração do Active Directory, Squid e shaper de tráfego (como MikroTik)

1

Temos uma grande rede em nossa universidade com cerca de 10.000 usuários. Nós temos um AD e queremos usar um servidor Squid para armazenamento em cache e autenticação NTLM. Temos 40 Mbit / s Internet também, vamos compartilhá-lo.

No AD, temos alunos, professores, ... UOs e cada grupo deve ter sua velocidade de Internet apropriada. Eu sei que devemos usar um modelador de tráfego para compartilhar a Internet da melhor maneira.

A primeira pergunta é: qual forma de tráfego é adequado para uso (no Linux)? Podemos usar um MikroTik ?

O segundo é: podemos usar a autenticação do Squid para identificar usuários e suas UOs do AD e, em seguida, dar a eles a velocidade da Internet do formador de tráfego (e como podemos)?

O terceiro é: existe alguma outra solução para resolver este problema? (Problema: usando o AD com a melhor maneira de compartilhar a conexão com a Internet.)

    
por Ansari 12.10.2010 / 14:08

3 respostas

2

A resposta fácil é usar algo como 802.1x.

Se você tem uma lousa totalmente em branco, você vai comprar switches enterasys que podem aplicar políticas a usuários com base em respostas de raio 802.1x. O corpo docente receberia largura de banda ilimitada, os alunos receberiam 50k / s na Internet, mas ilimitados para a rede local, etc.

Se você tiver uma rede existente (e não estiver usando switches enterasys), colocará diferentes classes de usuários em sub-redes diferentes e aplicará a modelagem de tráfego na borda usando o freebsd e o PF ou a modelagem de tráfego do linux. e com base nessas sub-redes. Qualquer sub-rede existente seria dividida em 2 a 4 sub-redes, cada uma com uma política diferente. Seria um incômodo para implantar, mas não absurdamente difícil.

Em outra vida, configuro um firewall para a rede sem fio do campus que configura um portal cativo e usuários autenticados em um banco de dados do ldap. Teria sido muito fácil aplicar diferentes políticas de modelagem de tráfego com base nos atributos do usuário. Configurar isso, no entanto, estava longe de ser trivial, e eu não sugeriria isso como uma solução nos dias de hoje.

Tenho certeza de que outras pessoas têm outras maneiras de resolver esse problema, e as minhas podem ser mais complexas e não tão confiáveis quanto essas outras formas.

    
por 27.12.2009 / 21:46
1

O Squid suporta a autenticação NTLM.

Para o gerenciamento de largura de banda, convém investigar um recurso do squid, conhecido como pools de retardo .

    
por 29.12.2009 / 15:46
0

Existem soluções de software compráveis que podem atender suas necessidades facilmente, o Blue Coat vem à mente, com suas soluções PacketShaper e Proxy, mas obviamente isso custa dinheiro. Certamente, uma universidade de 8.000 usuários poderia ter tal coisa, mas se não, você tem algumas opções.

Primeiro, se você quiser usar o squid para interceptar transparentemente o tráfego, a autenticação não pode ser feita. Portanto, verifique se você pode ter configurações de proxy atribuídas no navegador para todas as máquinas na rede.

A solução sugerida por Chris provavelmente funcionaria, mas na verdade seria um pouco complexo implementar e dar suporte.

Os pools de atraso seriam utilizáveis como um limitador de largura de banda, mas como um modelador de tráfego, não acredito que o squid seja capaz de fazer isso. Você precisaria de outra solução de software para isso e não tenho certeza se encontrará muitos shapers de tráfego de qualidade ou que é fácil usar / configurar shapers de tráfego gratuitamente.

    
por 29.12.2009 / 21:25