Задержкой добавляемой цепочкой коммутаторов в большинстве сетей, в том числе корпоративных можно пренебречь. Для того чтобы получить дополнительную миллисекунду задержки вам потребуется от 20 до 200 устройств в цепочке.
Приведенные вами "правила" не существуют и я бы сказал являются вредными советами.
Кол-во портов коммутаторов и их кол-во в первую очередь определяются их размещением. Предельные же скорость достигаются подбором оборудования и схемой коммутации.
xr0m46, подключаемся к mikrotik, смотрим нагрузку на внешнем интерфейсе. После чего к нем по проводу подключаем ПК и запускаем любой speedtest или 4k youtube, если нагрузка на интерфейсе поднимается до заявленной провайдером( близкой ), значит бутылочное горлышко ниже.
Параллельно мониторим загрузку процессора на mikrotik, гипотетически может быть перегружен он.
На головном mirotik с белым адресом:
bridge - ip:192.168.11.1/24
шаблон ipsec policy между 192.168.11.1 и 192.168.11.0/24 в туннельном режиме.
На "клиентском mikrotik"
bridge -ip:192.168.11.2 network 192.168.11.1
ipsec policy между 192.168.11.1 и 192.168.11.2
там же прописываем при с публичным ip головного mikrotik.
Клиентский mikrotik подключает к головному, устанавливает соединении.
На головном автоматически генерируется политика ipsec policy между 192.168.11.1 и 192.168.11.2 из шаблона.
Согласно политике весь трафик на 192.168.11.1 будет заворачиваться в ipsec туннель и пойдет на головной микротик, где будет развернут и передан на 192.168.11.1.
Удобство данной схемы, независимость от маршрутизации, публичных ip адресов клиентских mikrotik( они могу быть и серыми ) и вся настройка кроме одно пункта peer на клиентских устройствах не зависит больше ни от каких ip адресов и интерфейсов.
Пока с клиентского устройства есть маршрут до головного с публичным ip туннель поднимется( ну если конечно между ними не будет дропаться трафик )
Поскольку в ipsec нет интерфейсов, а это часто бывает не очень удобно, хотя по большому счету можно и без них, на чистой маршрутизации, на 192.168.11.1 - 192.168.11.2 вешает ipip туннель.
Но qos как хочется у меня пока так и не получился. Единственный вариант который вроде может получится это через dscp метки, они вроде как сохраняются при "переходе" из обычного трафика в ipsec и обратно.
Скорее всего все же верну обратно два туннеля и будут метить трафик через ipip интерфейсы.
Да. По вашему замечанию peers это точки куда подключатся, а не точки между которыми шифруется трафик. Шифрование определяется политикой, а политика используется при подключении к определенному peer.
Схему прохождения пакетов я знаю и как qos настраивается тоже.
Какие именно два набора понадобятся, можете привести пример?
Для конкретики
wan1 - 192.168.8.2
wan2 - 192.168.9.2
ipsec bridge - 192.168.11.5 на одном конце и 192.168.11.1 на другом( в качестве peer публичный адрес второго маршрутизатора ).
ipip туннель с 192.168.11.5 на 192.168.11.1, адреса 192.168.15.5 на одном конце и 192.168.15.1 на другом.
Нужно по разному разметить ipip трафик в случае когда ipsec пошел через разные wan интерфейсы.
Korhoff, профиль можно перенести. Централизованно как, но вы должны точно заранее знать все необходимые пути, и это не очень хорошо, поскольку буквы дисков назначаются системой и могут меняться. Права на каталоги можно назначать через групповые политики.
Плюс в случае необходимости передать данные одного пользователя другому возникнут сложности с поиском этих самых файлов и изменением прав на них. В случае же с профилем достаточно скопировать файлы из одного профиля в другой.
grabbee, здесь нет главного. Обратите внимание на пометки доверия trust.
Можно было бы обойтись и без federation service если бы было прямое доверие между локальной аутентификацией и saas.
Я не уверен, что важно умный. Мне кажется не нужно обладать супер интеллектом для работы в ИТ с приличной зарплатой.
Важнее личностные качества, такие как склонность к аналитическому мышлению и способность к "алгоритмизации", упорство, трудоспособность, базовая обучаемость, "жажда" критики и очень важно трудолюбие и способность управлять своим временем, самодисциплина и самомотивация.
Я бы даже сказал в любой не сильно творческой профессии, трудоспособность и трудолюбие, бьет талант и интеллект, при этом бьет в одни ворота.
Vilmof20, тогда вам не в ИТ. Вы ни рыба ни мясо, сам не знаю я чего хочу, такие в ИТ выплывали лет 15 назад.
Сейчас рынок разделился, на "эникеев" и спецов. Все что вы читаете по ЗП и перспективы в ИТ касается только спецов. Для эникеев уготована ЗП офис менеджера и ноль перспектив.
Приведенные вами "правила" не существуют и я бы сказал являются вредными советами.
Кол-во портов коммутаторов и их кол-во в первую очередь определяются их размещением. Предельные же скорость достигаются подбором оборудования и схемой коммутации.