大規模ネットワークの帯域幅共有とアカウンティング::ベストプラクティス
私は大学に1500台以上のPCと9000人のユーザーアカウントを持つ大規模なネットワークを持っています。ユーザーを5つのグループに分類し、NTTACアカウンティングバックエンドを備えたMikrotiKのホットスポットを使用してユーザー間で帯域幅を共有しています。ユーザーの最大帯域幅/レートを制御するだけでなく、インターネットにアクセスするための時間制限も制御します。このシナリオでは、すべてのユーザーは、NTTAC +も実行するActiveDirectoryサーバーに対して認証されます。ホットスポット認証後にユーザートラフィックの転送ルールを追加するホットスポットページを備えたMikrotiKマシンにゲートウェイを設定しました(ユーザーの資格情報は同じでADサーバーに対して認証されますが、SSOを使用してユーザーが操作できるようにすることはありません必要に応じてローカルサービスを提供し、インターネットアクセスの時間制限を節約します)
さて、いくつかの問題があります:1-この多数のユーザーで、MikrotiKはそのエッジにプッシュされており、ホットスポットでそのようなトラフィックを処理できないようです。 2-ADサーバーが障害点になり、ADサーバーがないと、多くのサービスが失われます。
したがって、単一障害点のない大規模なユーザーベース(PC/IPベースではない)の帯域幅共有/シェーピングのベストプラクティスを探しています。
ADの単一障害点の解決は実際には非常に簡単です。ロードバランサーの背後にADLDAPサービス(NTTAC +が使用していると思われるもの)を配置することで解決しました。このようにして、単一のIPアドレスからLDAP認証サービスを提供する4台のサーバーがあり、ロードバランサーはデッドサーバーが削除されていることを確認します。私たちは大学(2万人の学生、3人のスタッフ)でもあり、これら4つのサーバーは常にSSOアプリケーションの影響を受け、機能しています。それらがすべて再起動されるパッチ火曜日の間でさえ。
注意点の1つは、IP/DNS-IPの名前//ロードバランサーIPの名前を含む新しいSSL証明書をサーバーに配置する必要がある場合があることです。