Сетевые решения — Построение распределенной сети для предприятий малого бизнеса - TelecomBook

Сетевые решения — Построение распределенной сети для предприятий малого бизнеса

Иногда приходят люди с просьбой спроектировать сеть для небольшой организации в распоряжении которой обычно от двух до четырех филиалов, разбросанных по городу. Иногда спрашивают, как организовать отказоустойчивый доступ к сети Интернет и какое оборудование для этого необходимо. В том числе не исключается возможность организации удаленного доступа из любой точки земного шара к внутренней сети предприятия.

Многие разработчики сетевого оборудования предлагают свои собственные решения для реализации поставленной задачи. Мой опыт позволяет с уверенностью заявить, что как минимум, Cisco и более бюджетный Linksys способны удовлетворить требованиям построения распределенной сети с резервированием каналов связи.

Для удовлетворения подобных задач предприятий малого бизнеса, среди оборудования Cisco можно выделить такие модели маршрутизаторов, как Cisco871/K9, Cisco871/K8, Cisco877/K9, Cisco877/K8 и более производительные Cisco1811/K9, Cisco1811/K8. Из оборудования Linksys можно порекомендовать следующие модели: Linksys RV042, Linksys RV082, Linksys RV16. Все перечисленные модели кроме серии Cisco800 также имеют дополнительный WAN порт для подключения резервного канала связи, но это не значит что Cisco800 не поддерживает функцию резервирования. Правильно подобранная операционная система Cisco800 (Advanced IP Services) открывает доступ к данной функции.

Основными отличиями моделей с маркерами К8 и К9 являются поддерживаемые протоколы шифрования данных. А именно, К8 поддерживает протокол шифрования DES. DES — Data Encryption Standard, протокол шифрования, разработанный IBM, длина ключа которого составляет 56 бит. С ростом вычислительных мощностей, сегодня данный протокол не является эталоном безопасности. На его смену пришел 3DES, который поддерживает оборудование с маркировкой К9. 3DES – Triple Data Encryption Standard, протокол, пришедший на смену DES. Использует три ключа DES для шифрования данных. Следовательно, для его работы требуется больше вычислительных ресурсов процессора.

Технически оборудование Cisco, с точки зрения организации защищенных туннелей, умеет работать с оборудованием Linksys, что проверено на практике и, что в принципе не удивительно, ведь Linksys является брэндом, принадлежащим компании Cisco да и стандартные протоклы шифрования пока еще никто не отменял. На счет совместимости оборудования других производителей с Cisco я не могу утверждать, но опыт подсказывает, что с этим не должно возникнуть особых проблем, тем более, что на Cisco всегда можно что-нибудь подкрутить, тем самым выполнить тонкую настройку.

В принципе для успешного построения распределенной телекоммуникационной сети достаточно знать, что такое IPSec и как он работает. Для этого можно прочитать статью IPSec. Уже после того, как вы будете иметь представление и протоколах шифрования данных и обмена ключами, можно приступать к настройке оборудования. Здесь главное помнить основной принцип настройки оборудования, так чтобы оно работало друг с другом, — это одинаковые параметры шифрования данных. Например, если на одном устройстве мы выбрали протокол шифрования данных DES, то и на удаленном устройстве должен быть тоже DES, а не 3DES или AES. Тот же принцип относится к протоколам проверки подлинности данных и обмена ключами. Несоответствие одного из этих параметров на одном из устройств не позволит поднять IPSec туннель между ними.

При планировании расходов на закупку оборудования с целью объединения нескольких офисов компании в одну единую защищенную и отказоустойчивую сеть и обеспечение их Интернетом, может пригодится следующая информация:

  1. Маршрутизаторы, поддерживающие IPSec туннели (протоколы, перечисленные в статье IPSec) в количестве равном количеству удаленных офисов.
  2. Маршрутизатор с двумя WAN портами, поддерживающий минимум столько IPSec туннелей, сколько удаленных офисов имеет компания, умноженное на два (т.к. 2 WAN), плюс запас на будущий рост.
  3. Один Интернет-канал в каждом удаленном офисе с фиксированным «белым» IP адресом.
  4. Два Интернет-канала (желательно от разных организаций) в главном офисе с фиксированными IP адресами.

В конечном счете, топология сети может выглядеть следующим образом:

К сожалению, пример того, как все это настроить привести невозможно из-за различий в настройках оборудования разных брэндов, которые имеют свои особенности. Единственное, могу подсказать, что при настройке отказоустойчивой сети на оборудовании Cisco, необходимо знать следующее:

  1. Как подключить два канала связи к одному устройству;
  2. Как настраивать SLA, для автоматического переключения на резервный интернет-канал и обратно на основной;
  3. Как настраивать event-manager, для автоматического сброса NAT трансляций в случае переключения каналов связи;
  4. Как настраивать IPSec туннели или IPSec GRE туннели с динамической маршрутизацией в зависимости от масштабов распределенной сети компании.
  5. Как подкрутить таймеры проверки работоспособности туннелей IPSec на маршрутизаторах удаленных офисов (подсказка, обратите внимание на команды crypto isakmp invalid-spi-recovery и crypto isakmp keepalive), что пригодится при обнаружении обрыва одного из каналов связи в главном офисе и соответственно автоматической перенастройки туннеля на новый адрес.
  6. В качестве бонуса, можно научиться настраивать PPTP сервер на центральном маршрутизаторе, который обеспечит безопасный удаленный доступ к внутренней сети компании сотрудника из любой точки земного шара, где есть Интернет.

Так, если использовать технологию IPSec, можно создать безопасную распределенную телекоммуникационную сеть для предприятия малого бизнеса используя подходящее оборудование, примеры которого были приведены в самом начале статьи.

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика