Дано: windows-based сеть, ≈900 активных портов, существующих на зоопарке различного оборудования. Все в одном сегменте (мопед не мой).
Задача: унификация и разделение структурных подразделений
Ограничения: все админы сети умеют готовить windows. Остальное — с трудом.
Как я это вижу на пальцах: структурные подразделения разделены в различные VLAN при помощи 802.1x и, например, Windows NPS (вариатнов радиуса много; виндовый интересен тем, что он бесплатне в рамках серверной ОС). На серверную фабрику все это приходит в виде большого-большого транка, где средствами адаптеров серверов (при необходимости) и фиксированных VLAN на портах распределяется по ресурсам.
Практически, я построил небольшую лабу и завтра буду разбираться с возможными косяками реализации, которых более 9000 описано в интернетах.
Плюсы:
1. достаточно простая архитектура, не требующая маршрутизации между сегментами
2. при поддержке со стороны коммутаторов — реализуется бесплатно, не требуя дополнительного ПО
Минусы:
1. возможные косяки в реализации
2. это — единственный адекватный вариант (mac-based vlan на такой сети, кмк, будет адом), который приходит в голову. подозреваю, должны существовать другие.
>Все в одном сегменте
Это что значит? Один броадкастовый домен? Без маршрутизации?
Вообще суть задачи не до конца ясна. Структурные подразделения между собой должны общаться? Выход в интернет нужен всем? Унификация чего требуется? Расскажите, плиз, поподробнее. Постараемся помочь ;)
