player84, вам нравится там работать?

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

дело не в нравится\не нравится, дело в том, что платят и платят стабильно, выше среднего по городу, а если у Вас на руках дочь маленькая и жена в декрете, то как бы вариантов не дофига.
не жалуюсь я вовсе, а констатирую факты, печально это все, когда понимания концепции нет сверху и все работы только на бумаге.

player84 тогда делайте что хотите, на самом деле вариантов в таком случае не много, хотите - радиус - делайте радиус, авторизацию и прочие вещи запилить - реализуйте, надо делать вид деятельности, и под это дело учитесь, все будет работать через задницу, не беда будет бегать и с умным видом что-то ремонтировать. Зарплату платят и отлично, а еще если навернете, так и уволить будет сложно очень. Главное учитесь, пробуйте, читайте, считайте что вот такой полигон вам предоставили стартап в жизнь. AD можно развернуть и на Samba кстати и лицензий не надо будет, еще тут переход на LInux грозит, вообще шикарная тема, специалистов по нему - 0.

Мы то со своей колокольни смотрим, провайдерская сеть в жесточайших условиях конкуренции не терпит ни минуту простоя, клиенты разбегутся. Поэтому и советуем как проще и надежнее сделать. Проще очень важный резон, сколько раз слышал от друзей как надежные сети разваливались из-за кривых ручек которые куда-то влезли и что-то там в меру своих умственных возможностей наконфигуряли, перед походом в горы. А потом целый отдел сидел и дооооолго не мог понять что происходит.

Если тема покатит переходить на на российское оборудование, напишите посоветую что брать чтобы работало.

Всякого разного рода начальники не смогут понять никогда, что хороший админ - человек который сидит и ничего не делает, а плохой - тот который в мыле целыми днями бегает. Здесь мерой работы считают усталость.

Вот прям по всем ответам согласен с tracert.

вот поэтому я и спрашиваю, как правильнее и как качественнее, чтобы потом не столкнуться с большими бедами, но вот хотят они блокировку портов - будет им блокировка портов, по поводу отказоустойчивости буду стараться сделать как можно "качественнее", DHCP стало отказоустойчивым 3 дня назад, уже провели тестирование, написали инструкции по развертыванию и настройке - все работает превосходно.

а подмена маков и ip - это дело рук разработчиков, они не в домене и не будут в нем в ближайшие 2 года наверное, потому как руководство их не хочет и не подписывает документ о слиянии наших сеток, который подразумевает переустановку ОС на всех компах у них + лишение прав администратора, а значит весь состав отела упирается и бунт поднимает, давит на руководство, а директору на это пофигу, они сейчас отделены от нас физически, у них нет в сети инета, но каждый на компе админ))) что им позволяет делать что угодно, в том числе и ставить себе "свистки", им просто было нечем заняться и они решили вот так вот развлечься, еще сложность заключается в том, что розетки сетевые как нашей сетки, так и их сетки располагаются часто в одной комнате, т.к. им надо пользоваться документообором к примеру нашим, т.е. они могут не только подключиться в нашу сетку физически, но и к примеру патч-кордом соединить эти сети или сделать нам кольцо на одном из коммутуторов

с обучением Вы полностью правы, самоучусь как могу и по возможности как появляется время + компания оплачивает обучение, проживание и билеты до столицы - что считаю большим плюсом.

кстати, что можно использовать как альтернативу блокировки портов? гостевой влан? просто ситуация такова, что внутренние процессы по структуре предприятия "гоняют" людей из одного отдела в другой, соответственно люди переезжают со своими компа не только внутри здания, но и между ними, машин почти 600, забивать такое кол-во маков и переносить их постоянно очень много времени будет занимать.

IP-MAC-Port Binding + dhcp snoop спасут отца русской демократии.

включите loopdetect

что в твоем понимании "блокировка портов" и зачем она нужна?

блокировка портов для меня - это порт постоянно выключен на коммутаторе, пока пользователь\комп не пройдет аутентификацию на коммутаторе или коммутатор + радиус (думаю на счет сертификата, есть в компании свой сервер сертификатов, разворачивался для использования MS Exchange 2010\2013 + MS Lync 2013 или логин\пароля)

IP-MAC-Port Binding + dhcp snoop спасут отца русской демократии.

вопрос возможно глупый, но все же:
для маршрутизации в данном примере подразумевается, что 1 Vlan - это 1 подсеть с маской 24 бита, но логически у меня не выходит делить таким образом, т.е. несколько Vlan имеют больше 254 адресов, тогда мне стоит создавать просто crea ? я правильно понимаю?

имеется ввиду: IP-MAC-Port Binding в режиме DHCP Snooping?
тогда как соседние коммутаторы узнают о мак\ip? т.е. от магистрального уходят линки на коммутаторы доступа, на одном авторизовался "клиент", а на соседнем "редиска, он же не хороший человек", который подменил себе mac\ip?