Александр Чекалин

Каковы параметры канала и его загрузка? Netflow как вариант анализировать - тоже вариант, это даст картину, куда и как ходят устройства (не юзеры, а именно IP-адреса). На этой свежей картине можно уже делать анализ, не случилось ли чего в сети.

Каспер - он хороший, но не умеет всего. Увы. Как и любые другие антивирусы. Зато мешать трафику может, тоже увы, и не знаешь, когда его заклинит на эту тему. Я бы не особо ему верил, но это, конечно, только личное, и только их опыта.

Прокси вас спасет, но тоже не от всего. Всякие скайпы и прочая p2p-нечисть не особо любит ограничения, посему нужно для себя ответить на вопрос: что вы хотите, фильтровать или просто иметь красивый отчет. Отчет, повторюсь, и netflow позволит собрать, но при этом это будет пассивно. Если же есть желание ограничивать доступ к ресурсам, без файрволла не обойтись, и варианты понятны: либо файрволл закрыват юзерам инет в принципе, а прокси пробрасывает несколько протоколов, либо прокси нет, трафик идет напрямик (через нат), но файрволл закрывает доступ к "нежелательным" ресурсам. Во всех вариантах есть и плюсы, и минусы.

Гендиру обосновать обычно никак, кроме как стоимостью сопровождения - но обычно з/п админа меньше, чем сумма вложения. Упирайте на управляемость, на уменьшение числа ошибок, на безопасность, когда кто-то увольняется, и его учетки надо закрыть везде.

Отключите IPv6 на машине. В свойствах сетевой платы (скрин из Windows 10, но в 7-ке все выглядит сравнимо):



Ну и, для надежности, не забудьте на роутере IPv6 вообще отключить.

Да, и отключите Teredo и другие варианты IPv6 over IPv4 на машине - от греха. От администратора запустите консоль, и дайте команды:

netsh interface teredo set state disabled
netsh int ipv6 isatap set state disabled
netsh int ipv6 6to4 set state disabled

(включить обратно можно при помощи тех же команд, но с указанием "type=default", примерно так: netsh interface teredo set state type=default).

Ну, за надежность бриджа не волнуйтесь, на нем построен весь микротик. Так что делайте бридж, а него добавляйте fa1 и fa6, а fa2..fa5 и fa7..fa10 делайте slave-ами с master-ами, соответственно, fa1 и fa7.

Интересно, чем ваши поиски закончились, и к чему Вы пришли. Вижу, что спрашивали давно, да ))

P.S. Mikrotik 1100AH (точнее, Mikrotik 1100AHx2, без x2 уже давно нет в продаже) не стоит, у него не "плоское поле" портов, а пара коммутаторов по 5 портов + еще два, по разному подключеных к процессору ( i.mt.lv/routerboard/files/Block-RB1100AHx2.pdf ). Это по уму самая неудачная схема, чтобы творить LAG-и. С другой стороны, трафик, требующий линков 8 Гб/сек (по 4 в каждую сторону), невольно заставляет спросить - точно ли вам такая железка подойдет, что Вы на ней будете делать, да и вообще, есть ли уверенность, что LAG так хорошо каналы пробалансирует в связках, что Вы на выходе получите приличную загрузку линков. Или вопрос только в надежности?

Посмотрите в сторону новых моделей с SFP+ модулями, где сразу будут 10 Гб/сек в каждую сторону. Правда, вопрос в свичах, не все умеют SFP+, но на таком трафике и бюджет на свичи должен найтись...