throughtheether

Делал тоже самое только в медицине.
Пробивайте прямой линк. Сэкономит кучу нервов. Если на одной территории, то оптика однозначно, даже не сомневайтесь, если в разных районах, то L2 через провайдера.
Про скорость 100мбит забудьте, это прошлый век. Делайте сразу гигабит, так же сэкономит нервы и через три года не придется переделывать.
И, простите, зачем вам три домена на три корпуса? Это бред сивой кобылы. У вас на них разные сайты висят? В каждом корпусе свой системный администратор? Или что? Для чего это нужно?
И еще вопрос, на кой черт два сервера на каждый корпус? Что на этих серверах? Зачем они должны стоять в разных корпусах?

Для 200+ ПК одного домена, более чем достаточно, делаете хозяина инфраструктуры в главном корпусе, DNS, DHCP, там же резервный DC на другом сервере.

Главное - надежная, емкая транспортная инфраструктура, а на ней все остальное гораздо проще и легче делается.

Если по пунктам, то выглядит так (при условии нахождения на одной территории):
1. Одномодовая оптика на 16 волокон от второстепенных к главному корпусу.
2. В главном, оптический гигабитный коммутатор уровня ядра
3. Во второстепенных, гигабитные коммутаторы уровня сети, с оптическим портом
4. В главном ставите все сервера.
5. В главном поднимаете DC, резервный DC, файлсервер и все, что еще вам нужно.

И все, никакого геморроя с лесами и доверием и впн.
Леса нужны когда у вас уже филиалы целые в разных районах и городах, со своими политиками и т.д.
А на 200 компьютеров такое городить - это верх некомпетентности.

Посмотрите на gevent (http://www.gevent.org). Мне кажется, это именно то, что Вам нужно.

Скажите вашему начальству, что если в вашей сети ведется обработка персональных данных студентов, вы обязаны использовать строго определенные СЗИ с правильными сертификатами ФСТЭК и ФСБ, которые стоят кучу денег.

Проще всего наверное в wiki (twiki или redmine например) держать карточки серверов. До кучи прикрутить к нему www.graphviz.org
вот например очень хорошая статья - cumulusnetworks.com/blog/complex-topology-and-wiri... и вот itsecworks.com/2012/03/16/networking-topology-with...
Желательно учитывать, что нужно несколько картинок делать с разной степенью детальности и разными уровнями - физическим, логическим, сетевым, коммутационным и т.д.

До кучи - blog.zabbix.com/maps-for-the-lazy/2898

Разница все же есть. Не в результате, а методе которым это результат получаем. (использование [] эффективней)

Припустим есть у нас такой код

items = [1, 2, 3, 4]

def get_item_as_method():
    return items.__getitem__(1)

def get_item_as_operator():
    return items[1]

Если мы дизассемблируем (модуль dis) эти функций увидим следующие:

Для get_item_as_method:

LOAD_GLOBAL            0 (items)
LOAD_ATTR                1 (__getitem__)
LOAD_CONST             1 (1)
CALL_FUNCTION        1 (1 positional, 0 keyword pair)
RETURN_VALUE

Для get_item_as_operator:

LOAD_GLOBAL              0 (items)
LOAD_CONST               1 (1)
BINARY_SUBSCR
RETURN_VALUE

Видим в первом случае для получения результата нужно выполнить две операций (LOAD_ATTR и CALL_FUNCTION), а в первом всего одну BINARY_SUBSCR.

Смотрите в сторону vrf - наименее затратный способ с точки зрения ресурсов. Делаете 3 vrf, к каждый из них вносите пару vlan/pppoe интерфейсов, плюс в каждом vrf прописываете свои маршруты по умолчанию.

Работает для TCP: в iptables для нежелательных соединений вместо прописать -j REJECT --reject-with tcp-reset. Таким образом будет отличить закрытый и отфильтрованный порты почти невозможно (только по разнице в микросекундах, что с джиттером интернет-соединений не получится).

я немного не специалист по сетям, однако для себя я сделал следующий вывод :
Адрес сети и широковещательный адрес - это всего лишь IP адреса, одни из множества.
И реакция сетевых устройств зависит от близости реализации к стандарту.
Ничто не мешает, кроме искусственных ограничений, поставить эти адреса как адреса машины. Другое дело как будет реагировать другое оборудование в сети при посылке пакетов на этот адрес.
Немного обсуждения можно почитать вот тут

Если все сделано на цисках, зачем покупать микротик? Тем более в центральную точку.

Вопрос, возможно ли поднять туннели на микротике не меняя настройки ASA?

нет, кроме того, еще не ясно, как у вас настроен IPSec и будет ли поддерживать микротик все опции, включенные на асашках

Насколько мне известно, Easy VPN - проприетарная технология компании Cisco со всеми вытекающими последствиями, в т. ч. с отсутствием возможности реализовать её в каком-либо виде на не-Cisco устройствах...

Можно через route-map сделать, можно vrf заюзать.

Четвертый, пятый и шестой роутеры подключены к первому, второму и третьему роутерам по WDS, тем самым расширяя зону покрытия, IP этих роутеров

За такие дела, того кто это сотворил надо расстрелять. Хотя это пожалуй будет слишком уж мягкое наказание.

Как правильно настроить сеть?

Для начала соединить все точки доступа проводом, переключить их в режим обычной точки доступа, и назначить всем одинаковый SSID для удобства клиентов, хотя можно сделать все разные, на работу сети это никак не повлияет.

Т.е основные действия -

• вдумчивое размещение каждого роутера
  
• планирование покрытия, чтобы был соседние точки не мешали друг другу.
  
• никакой связи между роутерами по WiFi, только проводом.
  

Еще нюанс, который имеется в протоколе SIP именно у Ростелекома.
1. Ростелеком не знает о существовании e.164. Т.е., телефонный номер должен транслироваться в формате +7, а не 8. Либо вообще без 8 и +7, т.е. 10 цифр.
2. Ростелеком не принимает аутентификационные данные в виде email. Только в виде 10-ти значного телефонного номера.
3. Поле Contact должно обязательно быть в 10-ти значном формате. Никаких URI.

Второй пункт может помешать регистрации на сервере ростелекома. Первый пункт - исходящим звонкам. Третий - входящим звонкам.
Дело в том, что для Ростелекома не существует понятия RFC. Так что у них свои стандарты, под которые вам придется подстраиваться.