Я работаю в небольшой страховой компании, у которой всего 2 офиса. Прямо сейчас, если что-то пойдет не так в другом офисе, это всего лишь короткая поездка. Но...
Эта компания расширяется, и к концу года у нее будет еще 4-5 офисов в США. Мой босс считает, что правильным решением было бы подключить все офисы к сети VPN для доступа в Интернет с удаленным размещением сервера. Меня беспокоит то, что я не смогу выпустить необходимые обновления программного обеспечения / ОС с помощью VPN, поскольку это не всегда соединение. Его беспокоит то, что он не хочет иметь что-либо в доме, например, брандмауэр или сетевое соединение, от которых зависят все вспомогательные офисы.
Имейте в виду, что и я, и мой начальник имеют такой же опыт работы в сети, как Паула Абдул. Какая была бы оптимальная настройка в
Вообще говоря, стратегии подключения удаленных офисов (известные как глобальные сети или WAN) к центральному офису разбиваются на выделенные и неспециализированные соединения. Линии на самом деле немного расплывчаты, потому что маловероятно, что ваша компания когда-либо действительно сама проложит провода к удаленным офисам, поэтому на самом деле вы всегда полагаетесь на транзит через чужую сеть для удаленного подключения. Однако степень, в которой это соединение предназначено для вашего использования, может варьироваться.
Традиционное подключение к глобальной сети осуществляется по «выделенным линиям». Это каналы передачи данных, предоставляемые телекоммуникационными компаниями, которые для ваших целей представляют собой выделенные соединения точка-точка между вашими офисами. (На самом деле ваши данные обычно мультиплексируются вместе с другими данными и передаются по каналам с более высокой пропускной способностью внутри сети телекоммуникационной компании.) Эти каналы обычно достаточно надежны и обычно охватываются соглашением об уровне обслуживания (SLA), описывающим, как будет обрабатываться время простоя и какой уровень обслуживания приобретается (пропускная способность, время ожидания, время безотказной работы и т. д.). Эти схемы также традиционно довольно дороги по сравнению с другими методами удаленного подключения. Этот тип подключения - это строго передача данных точка-точка, и подключение к Интернету обычно не предоставляется. Многие провайдеры предлагают возможность «управления» устройством, которое соединяет ваш удаленный офис с телекоммуникационной сетью (известное как Customer Premise Equipment, или CPE), так что подключение к WAN можно рассматривать «под ключ».
На дальнем конце спектра виртуальные частные сети (VPN) позволяют создавать «виртуальные» сети через Интернет. Теоретически вы можете получить услуги Интернета от любого поставщика услуг Интернета для каждого удаленного офиса, и, поскольку любая конечная точка Интернета может взаимодействовать с любой другой конечной точкой Интернета, использовать аппаратные устройства или программное обеспечение VPN для создания виртуальной сети через Интернет. Затраты могут быть очень хорошими, однако в конечном итоге вы не получаете никаких гарантий надежности обслуживания, пропускной способности, задержки и т. Д. Соглашения об уровне обслуживания, которые могут быть заключены с каждым отдельным участвующим интернет-провайдером, обычно не имеют никакого значения в отношении общего достигнутого уровня обслуживания. с помощью VPN, поскольку маловероятно, что у вас будут соглашения об уровне обслуживания с каждым оператором сети, через который проходит VPN. В сценарии VPN каждый офис получает подключение к Интернету в качестве побочного эффекта подключения к Интернету для поддержки VPN. Однако вы можете в любом случае разрешить доступ пользователей в Интернет через центральный концентратор для обеспечения фильтрации или ведения журнала. VPN может быть «всегда включен», однако надежность не гарантируется.
Посередине этого спектра находятся такие предложения, как многопротокольная коммутация по меткам (MPLS) (и, в предыдущие годы, Frame Relay), которая обеспечивает видимость выделенного подключения, в то время как на самом деле она больше похожа на VPN, работающую через собственный провайдер MPLS. сеть (обычно называемая «облаком»). Цены на предложения MPLS ближе к традиционному подключению к глобальной сети, но соглашения об уровне обслуживания обычно также намного ближе к ценам на традиционные подключения к глобальной сети. Многие предложения MPLS поставляются вместе с доступом в Интернет на каждом удаленном сайте, но, как и в случае с решениями VPN, вы можете выбрать централизованное агрегирование пользовательских Интернет-запросов. Многие провайдеры MPLS предлагают возможность «управлять» CPE в удаленном офисе, освобождая вас от любой ответственности за обслуживание этого оборудования.
В некоторых географических регионах вы можете получить очень высокоскоростное подключение к глобальной сети с помощью таких сервисов, как Metro-Ethernet. Обычно эти службы приобретают характеристики традиционных подключений в стиле WAN и VPN / MPLS. SLA могут сильно различаться в зависимости от поставщика или выбранной цены.
Конкретный ответ для вашей компании будет зависеть от вашей пропускной способности, задержки, надежности, бюджета и будущего роста / потребностей приложений. Не существует универсального решения. Я бы порекомендовал получить расценки от ряда различных поставщиков и задать много вопросов. Я бы с осторожностью относился к долгосрочным контрактам, если вы не уверены, что выбранное вами решение подходит для вашего бизнеса на протяжении всего срока действия контракта.
Возможно, вам захочется привлечь консультанта для использования оборудования или программного обеспечения «Симулятор глобальной сети» для моделирования различных типов подключений к глобальной сети, с помощью которых вы сможете протестировать существующие программные приложения. Знание того, что ваше программное обеспечение будет работать с различными типами соединений WAN, - это то, что я считаю критически важным, прежде чем выбирать тип соединения. Вы потратите немного денег заранее, но можете быть уверены, что ваш окончательный выбор подключения к глобальной сети подойдет для бизнеса.
Его беспокоит то, что он не хочет иметь что-то в доме, например, межсетевой экран или сетевое соединение, от которых зависят все вспомогательные офисы.
Что ж, вам понадобится ЧТО-ТО для какого-то сетевого подключения. В зависимости от размера офисов я бы предложил что-то вроде ASA5505, если они меньше <10 человек. Или модели большего размера для большего количества людей. Тогда лучше всего настроить точку-точка vpn между всеми офисами.
У вас будет оборудование, от которого вы будете зависеть, чтобы получить доступ в Интернет, так почему бы не сделать его чем-то, на чем вы сможете настроить P2P vpn?
Похоже, вам нужно изучить разницу между Site-to-Site VPN и простым запуском VPN-клиента. При межсайтовом взаимодействии они будут такими же, как в вашей сети, и любые действия при запуске (установки, инициированные GP и т. Д.) Будут работать, хотя в глобальной сети они будут выполняться медленнее. В первую очередь вам следует проверить, достаточна ли пропускная способность вашего центрального офиса для этого. Для удаленных офисов лучше всего подходит site-to-site. Купите совместимые маршрутизаторы с функциями VPN.
Я не понимаю требований вашего босса. Если вы, ребята, обмениваетесь файлами с главным офисом, то они должны зависеть от центрального офиса. Гибридный подход - это небольшой файловый сервер на каждом локальном компьютере с сетевым подключением к вашему центральному офису. Это быстрее, и у них по-прежнему будет доступ к центральному офису. Конечно, вам нужно сделать резервную копию этого сервера на что-нибудь, например, на локальный NAS или ленточный накопитель.
Наконец, вам не нужен «всегда активный» VPN, чтобы что-то выдвинуть. Это полностью зависит от того, что вы используете для отправки обновлений. Есть много способов сделать это, многие из которых не требуют постоянного включения. В зависимости от размера ваших обновлений вы можете захотеть сохранить их на удаленном файловом сервере и написать свой сценарий для установки оттуда, вместо того, чтобы все скачивали через WAN.
Я ухаживаю за несколькими клиентами с удаленными офисами, удаленно подключенными через туннели IPSec типа «сеть-сеть» в топологии «концентратор / луч» - каждый луч (удаленный офис) может подключаться к ресурсам в концентраторе (HQ), но не друг к другу . В каждом месте есть подключение к Интернету (T1s и ADSL), небольшой недорогой брандмауэр / маршрутизатор, который поддерживает туннель IPSec и обеспечивает офис доступом в Интернет.
Поскольку потребности каждого удаленного местоположения минимальны, сервер терминалов хорошо соответствует их потребностям, и поэтому мы в первую очередь используем раздельное туннелирование. то есть единственный трафик, который направляется через туннель VPN, - это кластер терминального сервера, который физически расположен в офисе HQ, все остальное идет напрямую через Интернет. Это работает достаточно хорошо: правила брандмауэра достаточно жесткие, чтобы единственный трафик, разрешенный в расположении штаб-квартиры, был напрямую связан с сервером терминалов (где они выполняют большую часть своей работы), а это означает, что меня не беспокоит пропускная способность в штаб-квартире. где-то используются торрент-клиентом или вирусами, распространяющимися через общие файловые ресурсы. Некоторые другие могут указать, что надлежащие политики / обеспечение соблюдения конечных пользователей и т. Д. Устранят эти риски у источника, но в нашем случае эти удаленные офисы работают с некоторой автономией, а людские ресурсы / ресурсы просто не существуют для обеспечения регулярного / ежедневного мониторинг или сервисные вызовы.
Однако описанный мной сценарий может не сработать для вас: у вас могут быть приложения, процессы и политики, которые более тесно связаны с главным офисом и требуют / ожидают сетевых условий, подобных LAN. Для этого вам может потребоваться изучить более надежные услуги / уровни обслуживания WAN, например, предложенные Эваном.
VPN действительно предназначен для подключения внешних пользователей к внутренней сети. В противоположной ситуации можно использовать удаленный рабочий стол и такие службы, как logmein.com. Они простые и бесплатные.
Я использую logmein.com. И если вы собираетесь в моем случае, когда многие из продавцов имеют настольные компьютеры по всему миру, то VPN не собирается сокращать это. В конечном итоге logmein.com по-прежнему берет на себя всю инфраструктуру VPN, которая у нас есть.
В качестве дополнительной истории нам удалось восстановить потерянный ноутбук через logmein.com, потому что ничего не подозревающие они оставили его подключенным к Интернету.