我在一所大学拥有一个大型网络,拥有 1500 多台 PC 和 9000 个用户帐户。我们将用户分为 5 组,并使用 MikrotiK 的热点和 NTTAC 计费后端在他们之间共享带宽。我们不仅控制用户的最大带宽/速率,还控制访问互联网的时间限制。在这种情况下,所有用户都通过同样运行 NTTAC+ 的 Active Directory 服务器进行身份验证。我们已将网关设置为 MikrotiK 计算机,该计算机带有一个热点页面,该页面在热点身份验证后为用户流量添加了转发规则(尽管用户凭据相同且通过 AD 服务器进行身份验证,但我们不使用 SSO 来让用户在需要时使用本地服务并节省其互联网访问时间限制)
现在,存在一些问题:1 - 似乎由于用户数量庞大,MikrotiK 已经被推到了边缘,无法通过热点处理这样的流量。2 - AD 服务器已经成为故障点,它的缺失导致许多服务的丢失。
因此,我正在寻找基于大规模用户(而非基于 PC/IP)的带宽共享/塑造的最佳实践,而不会出现单点故障。
答案1
解决 AD 单点故障其实相当简单。我们通过将 AD LDAP 服务(我推测 NTTAC+ 会使用)置于负载平衡器之后来解决此问题。这样,我们就有 4 台服务器从单个 IP 地址提供 LDAP 身份验证服务,而负载平衡器可确保移除死机服务器。我们也是一所大学(20,000 名学生、3,000 名教职员工),这四台服务器不断受到我们的 SSO 应用程序的影响,并且正常工作。即使在补丁星期二它们全部重新启动时也是如此。
需要注意的一点是,您可能需要将新的 SSL 证书放入这些服务器中,其中包括该 IP 的 IP/DNS 名称//负载均衡器 IP 的名称。