我们有一个庞大的networking,大约有10000个用户。 我们有一个AD,并希望使用Squid服务器进行caching和NTLM身份validation。 我们也有40 Mbit / s的互联网,我们将分享它。
在AD我们有学生,老师,…… OU,并且每个小组应该有它适当的互联网速度。 我知道我们应该使用stream量整形器以最好的方式共享Internet。
第一个问题是:哪个stream量整形器适合使用(在Linux中)? 我们可以使用MikroTik吗?
第二个是:我们可以使用Squid身份validation从AD识别用户和他们的OU,然后从stream量整形器给他们的互联网速度(以及我们可以如何)?
第三是:有没有其他解决scheme来解决这个问题? (问题:使用AD以共享Internet连接的最佳方式。)
简单的答案是使用类似802.1x的东西。
如果你有一个完全空白的石板,你可以去购买enterasys交换机,它可以根据802.1x半径响应将策略应用到用户。 学院将获得无限的带宽,学生将获得50k /秒的互联网,但无限的本地networking等。
如果你有一个现有的networking(并且你没有使用enterasys交换机),那么你将把不同类别的用户放到不同的子网中,然后在freebsd和PF或linux的stream量整形的基础上,这些子网。 任何给定的现有子网将被分成2-4个子网,每个子网有不同的策略。 部署会很麻烦,但不是很荒唐。
在另一种生活中,我为我们的校园无线networking设置了一个防火墙,这个防火墙设置了一个强制门户,并通过一个ldap数据库来validation用户。 根据用户属性应用不同的stream量整形策略会非常容易。 但是,设置这个过程并不是微不足道的,而且我现在也不会build议这个解决scheme。
我相信其他人也有解决这个问题的其他方法,而且我的问题可能会更复杂,不像其他方式那么可靠。
Squid支持NTLM身份validation。
对于带宽pipe理,您可能需要调查一下被称为延迟池的squidfunction。
有可购买的软件解决scheme,可以轻松满足您的需求,Blue Coat想到了PacketShaper和Proxy解决scheme,但显然这需要花钱。 8000用户大学当然可以承受这样的事情,但如果没有,你有几个select。
首先,如果你想使用squid来透明地拦截stream量,那么authentication是不能完成的。 因此,请确保您可以在浏览器中为networking上的每台计算机分配代理设置。
克里斯提出的解决scheme可能会起作用,但实施和支持确实有点复杂。
延迟池可用作带宽限制器,但作为stream量整形器,我不相信鱿鱼能做到这一点。 您将需要另一个软件解决scheme,我不知道你会发现许多高质量的stream量整形器或易于使用/configurationstream量整形器是免费的。