Мне было поручено реорганизовать глобальную сеть нашей компании в Северной Америке. У нас есть два офиса в США, один в Нью-Йорке и один на Среднем Западе. У нас также есть офисы в Европе. Я не буду ничего трогать в Европе, кроме присоединения к Euro WAN с WAN США.
Текущая топология выглядит следующим образом:
У нас есть удаленный хостинг в Пенсильвании, где глобально объединяется глобальная сеть. Интернет-соединение для двух сайтов в США проходит через межсетевой экран PIX. Подключение к Интернету в Нью-Йорке в порядке, но в офисе на Среднем Западе есть проблемы с задержкой. Каждый сайт подключается к PA через T1, и весь трафик, как сетевой, так и Интернет, передается по этим каналам T1.
Будущая топология:
С удаленным хостингом будет покончено и, по сути, он будет перемещен в нашу локацию на Среднем Западе. Здесь и произойдет объединение глобальной сети.
Я ищу предложения о том, как лучше всего это спроектировать с точки зрения скорости, стоимости и безопасности. В настоящее время у нас есть только одна точка доступа к Интернету в США, которая осуществляется через удаленный хостинг. Я думаю, что для обеспечения быстрого и надежного подключения к Интернету для каждого офиса было бы лучше иметь отдельные подключения к каждому сайту, вместо того, чтобы иметь одно сетевое подключение, идущее на Средний Запад, а затем перетаскивать канал WAN в Нью-Йорк. . Я имел в виду кабельное соединение бизнес-класса, конечно, со своим брандмауэром. Затем соедините два офиса вместе с помощью T1 ... или есть более быстрые, одинаково надежные и менее дорогие методы для их соединения?
Пожалуйста, проделайте дыры в моих идеях, так как мне нужно лучше понять, что доступно с точки зрения дизайна.
Я поддерживаю предложение Эвана Андерсона о MPLS. Это решение, которое я рассмотрел для моей собственной сети.
По логике, это точка в облаке, и вся сложная маршрутизация выполняется провайдером. Для этого необходимо, чтобы у вас был один унифицированный провайдер для всей вашей инфраструктуры *. Это не так плохо, как может показаться, поскольку вам и вашему провайдеру необходимо немного поработать над конфигурацией. Я бы не хотел делать это несколько раз.
Кроме того, имейте в виду, что для не-намного-больше-чем-T1 вы можете получить решения типа метро-Ethernet. Это превосходно, даже если вы начинаете примерно с 5 Мбит / с, потому что в будущем вы можете расширить его, не добавляя дополнительных строк. Это может быть не важно в ваших филиалах, но похоже, что ваше «центральное» местоположение определенно могло бы использовать больше, чем T1. Обязательно сообщите об этом поставщикам, у которых вы делаете покупки. Некоторые из них не смешивают (или, по крайней мере, 2 года назад) свои облака T1 и Ethernet MPLS. Это может быть, а может и не быть сейчас.
Если бы я был в вашей ситуации, я бы выбрал очень крупного провайдера, где у вас также будет возможность подключить свои европейские узлы к сети MPLS. Их не так много (по крайней мере, когда я искал).
- * Существуют сторонние провайдеры, которые могут преодолеть разрыв между операторами связи. По сути, они подключаются к обоим и управляют вашим подключением на обоих. Бларф.
Рассмотрите возможность изучения предложений MPLS от различных национальных провайдеров (QWest, AT&T и т. Д.). Вы можете получить подключение к Интернету в каждом удаленном офисе и «частное» подключение между сайтами через «облако» провайдера. Концептуально это немного похоже на наличие VPN между сайтами, за исключением того, что оборудование провайдера обрабатывает VPN-соединение.
Вы можете обнаружить, что ежемесячная стоимость не так плоха, как вы думаете. Если вы добавите свой голосовой телефон на сцену, вы действительно можете сэкономить на расходах.
Изменить (теперь, когда у меня есть еще время):
Некоторые «приятные» вещи, которые поставщики MPLS часто предоставляют вам «бесплатно» вместе с решением, включают:
NAT и межсетевой экран внутри облака. Можно сэкономить средства на внедрении MPLS на сайты, на которых еще нет брандмауэров, но, как правило, не так гибко, как наличие собственного брандмауэра на месте (и не так просто проверить или избавиться от счетчиков). У меня есть заказчик, у которого есть поставщик MPLS, который позволяет нам использовать их функции брандмауэра на сайтах, на которых не размещены серверы с выходом в Интернет, но передает весь трафик с сайта, на котором размещены серверы с выходом в Интернет, на брандмауэр. без фильтров и NAT. На самом деле это довольно мило.
QoS для трафика, проходящего через облако MPLS. Если вы знаете, что у вас будут определенные потоки трафика между сайтами в облаке, которые должны иметь приоритет, вы обычно можете настроить это в облаке (и на CPE на каждом сайте).
Центральный выход в Интернет, если хотите. За счет использования полосы пропускания облака вы обычно можете запросить конфигурацию, которая заставляет весь доступ к Интернету с удаленных сайтов проходить через облако и выходить на «узловой» сайт.
Вы можете иметь некоторую гибкость при использовании нескольких интернет-провайдеров. У меня есть один заказчик, который использует MPLS для «важных» удаленных сайтов и VPN-соединения с использованием устройств Cisco ASA и стандартные DSL или кабельные Интернет-соединения для «менее важных» сайтов. (Они используют устройство-концентратор VPN на своем «узловом» сайте, который доступен через Интернет через поставщика MPLS.)
Теоретически вы также можете использовать протокол динамической маршрутизации или плавающие статические маршруты для «аварийного переключения» на VPN-туннели через вторичные бытовые Интернет-соединения, если облако MPLS «выйдет из строя». Если ваше время безотказной работы оправдывает расходы, изучите это. Типичные проблемы с сетями MPLS возникают на «последней миле» (типичные проблемы с упрямыми телефонными связями - выход из строя интеллектуальных разъемов, волоконно-оптические соединения BIFF и т.д.), но не в «облаке».
Я думаю, ты на правильном пути. Определенно загружайте свои соединения VPN / филиала только фактическим трафиком филиалов. Предоставьте интернет-трафик местному провайдеру индивидуально на каждом сайте, если у вас нет причин для более высокой безопасности или централизованной фильтрации / аудита, чтобы передать его через главный центр обработки данных.
Некоторые из других ответов подразумевали это, но рассмотрите возможность использования Интернет-соединения на каждом сайте в качестве резервного соединения либо с другим местоположением в США, либо с тем, что находится в Европе. Вы можете настроить межсайтовый VPN, который автоматически (плавающая статическая или более высокая административная стоимость) срабатывает, если ваш основной канал выходит из строя. Это особенно хорошо, если они проходят через разных операторов связи.
Вы также можете сделать Туннели IPSEC VPN через Интернет с подключениями бизнес-класса. Если вы получите такие с хорошей скоростью загрузки, у вас, вероятно, будет больше пропускной способности. Однако у вас не будет QoS, поскольку оно передается через Интернет и в теория T1 мог бы быть более надежным.
Вы также можете рассмотреть возможность использования MPLS провайдер для подключения всех ваших офисов. Провайдер сможет реализовать для вас QoS, после чего вы сможете использовать отдельное соединение для Интернета. Провайдер изолирует ваш трафик, чтобы он действовал так, как будто между ними есть VPN. По сути, с MPLS провайдер делает для вас гораздо больше, что может быть либо недостатком, либо преимуществом.
У меня есть один вопрос: какова стоимость этого проекта и каковы цели? Вы торгуете акциями в режиме реального времени через эту сеть или просто поддерживаете связь удаленных офисов с головным офисом для расчета заработной платы и инвентаризации? Есть ли интерес в том, чтобы озвучивать это? Кто-нибудь попросит вас просмотреть видео через неделю после того, как вы купите все свое оборудование?
Самый дешевый способ получить быстрые ссылки в Интернет - это использовать DSL / fios / кабель от местных провайдеров, получить 2 независимых канала, затем запустить VPN через них и протоколы маршрутизации через VPN, чтобы у вас было надежное аварийное переключение через «внутреннюю» сеть. . Это также глупо, сложно и, вероятно, труднее поддерживать в рабочем состоянии в долгосрочной перспективе, но дешево и быстро.
Если вы готовы выписать крупный чек, получите MPLS от одного провайдера и позвольте им управлять вашим оборудованием и сетью. Но может ли один и тот же провайдер MPLS получить доступ ко всем сайтам вашего офиса? Если нет, вам придется запустить между ними VPN (провайдеры MPLS обычно не предлагают туннели MPLS между провайдерами). Если у вас есть общенациональная деятельность, вы будете ограничены 3-8 провайдерами с охватом всех ваших сайтов. Если вы работаете в глобальном масштабе, это число станет намного меньше, если вы не захотите подкупить поставщиков, чтобы они разговаривали друг с другом.
Я бы избегал Т1 - они есть действительно медленный и очень дорогой для того, что вы получаете. Я также видел очень низкую надежность у некоторых провайдеров. Дробный T3 часто не намного больше, но часто вы также можете просто получить Ethernet от тех же провайдеров, которые предлагают T1 / T3.