WAN Design Вопросы
Мне было поручено изменить WAN нашей компании в Северной Америке. У нас есть два офиса в США, один в Нью-Йорке и один на Среднем Западе. У нас также есть офисы в Европе. Я не буду касаться ничего в Европе, за исключением присоединения к Euro WAN и US WAN.
Текущая топология выглядит следующим образом:
У нас есть удаленный хостинг в PA, где глобальная сеть WAN связывает воедино. Подключение к Интернету для двух американских сайтов осуществляется через брандмауэр PIX. Интернет-соединение с Нью-Йорком в порядке, но с офисом среднего запада есть проблемы с задержкой. Каждый сайт подключается к PA через T1, и весь трафик, как сетевой, так и интернет, передается по этим каналам T1.
Топология будущего:
Хостинг за пределами площадки будет ликвидирован и фактически будет перенесен на наш средний западный регион. Вот где произойдет связывание WAN.
Я ищу предложения относительно того, как лучше всего спроектировать это с точки зрения скорости, стоимости и безопасности. В настоящее время у нас есть только одна точка доступа к Интернету в США, которая осуществляется через сторонний хостинг. Я думаю, что для обеспечения быстрого и надежного интернет-соединения с каждым офисом, было бы лучше иметь индивидуальные соединения с каждым сайтом вместо того, чтобы одно сетевое соединение направлялось на средний запад, а затем передавало соединение WAN с Нью-Йорком., Кабельное соединение бизнес-класса - это то, что я имел в виду, каждый со своим брандмауэром, конечно. Затем соедините два офиса вместе с T1... или есть более быстрые, одинаково надежные и менее дорогие способы соединить два вместе?
Пожалуйста, проделайте дыры в моих идеях, так как мне нужно лучше понять, что доступно с точки зрения дизайна.
6 ответов
Подумайте о рассмотрении предложений MPLS от различных национальных провайдеров (QWest, AT&T и т. Д.). Вы можете получить подключение к Интернету в каждом удаленном офисе и "частное" подключение между сайтами через "облако" провайдера. Концептуально, это немного похоже на наличие VPN между сайтами, за исключением того, что провайдер обеспечивает обработку VPN-подключения.
Вы можете узнать, что ежемесячные расходы не так плохи, как вы думаете. Если вы привнесете свой голосовой телефон в изображение, вы можете фактически получить экономию средств.
Изменить (теперь, когда у меня есть еще немного времени):
Вот некоторые "приятные" вещи, которые поставщики MPLS будут часто предоставлять вам "бесплатно" с этим решением:
NAT и межсетевой экран внутри облака. Может привести к снижению затрат на перенос MPLS на сайты, которые еще не имеют брандмауэров, но, как правило, не так гибки, как наличие собственного брандмауэра на месте (и не так просты для аудита или извлечения счетчиков). У меня есть Заказчик, у которого есть поставщик MPLS, который позволяет нам использовать их функции брандмауэра на сайтах, на которых нет серверов, подключенных к Интернету, но передает весь трафик на сайте, где серверы, подключенные к Интернету, размещены в брандмауэре. без фильтров или NAT. Это на самом деле довольно приятно.
QoS для трафика, пересекающего облако MPLS. Если вы знаете, что между облачными сайтами будут иметься определенные потоки трафика, которые должны иметь приоритет, вы обычно можете обеспечить это в облаке (и на CPE на каждом сайте).
Центральный выход в Интернет, если вы этого хотите. За счет использования пропускной способности вашего облака вы, как правило, можете запросить конфигурацию, которая заставляет весь доступ к Интернету с удаленных сайтов проходить через облако и выходить на "узловой" сайт.
Вы можете иметь некоторую гибкость при использовании нескольких интернет-провайдеров. У меня есть один клиент, который использует MPLS для "важных" удаленных сайтов и VPN-подключения с использованием устройств Cisco ASA и стандартных DSL-соединений или кабельных подключений к Интернету для "менее важных" сайтов. (Они используют концентратор VPN на своем узле-концентраторе, который доступен через Интернет через поставщика MPLS.)
Теоретически, вы также можете использовать протокол динамической маршрутизации или плавающие статические маршруты для "аварийного переключения" на VPN-туннели через вторичные обычные интернет-соединения, если облако MPLS "сломалось". Если ваше время безотказной работы оправдывает расходы, посмотрите на это. Типичные проблемы с сетями MPLS возникают в "последней миле" (типичные проблемы со связанными головами операторов связи - выход из строя умных домкратов, волоконно-оптические каналы и т. Д.), Но не в "облаке".
Я второе предложение Эвана Андерсона о MPLS. Это решение, которое я рассмотрел для своей собственной сети.
По логике, это указывает на облако, и вся сложная маршрутизация выполняется поставщиком. Это требует, чтобы у вас был один унифицированный поставщик по всей вашей инфраструктуре *. Это не так плохо, как может показаться, поскольку между вами и вашим провайдером необходимо совместное конфигурирование. Я бы не хотел делать это несколько раз.
Кроме того, имейте в виду, что для не намного больше, чем a T1, вы можете попасть в решения типа Metro-Ethernet. Это превосходно, даже если вы начинаете с чего-то вроде 5 Мбит / с, потому что вы можете расширяться в будущем, не добавляя больше строк. Это может быть не важно в ваших ветках, но похоже, что ваше "центральное" местоположение определенно может использовать больше, чем T1. Обращайте внимание на тех поставщиков, с которыми вы ходите по магазинам. Некоторые из них не (или, по крайней мере, 2 года назад) не смешивают свои облака TLS и MPLS Ethernet. Это может или не может иметь место сейчас.
Если бы я был в вашей ситуации, я бы пошел с очень крупным провайдером, где у вас будет возможность также подключить ваши европейские узлы к сети MPLS. Там не много (или, по крайней мере, не было, когда я искал).
- * Есть сторонние провайдеры, которые могут сократить разрыв между перевозчиками. По сути, они соединяются с обоими и управляют вашим соединением на обоих. Blargh.
Я думаю, что вы на правильном пути. Определенно загружайте только ваши соединения VPN/ филиала с реальным трафиком филиала. Оставьте интернет-трафик локальному провайдеру на каждом сайте отдельно, если у вас нет причин для более высокой безопасности или централизованной фильтрации / аудита для прохождения через главный центр данных.
Несколько других ответов подразумевали это, но рассмотрите возможность использования интернет-соединения на каждом сайте в качестве резервного соединения либо с другим местоположением в США, либо с европейским. Вы можете настроить VPN типа "сеть-сеть", которая автоматически (с плавающей статической или более высокой административной стоимостью) активируется, если ваша основная ссылка не работает. Это особенно хорошо, если они через разных носителей.
У меня один вопрос: какова стоимость этого проекта и каковы цели? Вы торгуете акциями в реальном времени через эту сеть или просто поддерживаете удаленные офисы в контакте с головным офисом для расчета заработной платы и инвентаризации? Есть ли интерес к тому, чтобы озвучивать это? Кто-нибудь попросит вас показать видео через неделю после покупки всего вашего оборудования?
Самый дешевый способ получить быстрые соединения с Интернетом - это использовать DSL / fios / cable от местных провайдеров, получить 2 независимых канала, затем запустить VPN через них и протоколы маршрутизации через VPN, чтобы обеспечить надежное переключение при сбое через "внутреннюю" сеть., Это также глупо сложно и, вероятно, его труднее поддерживать в долгосрочной перспективе, но дешево и быстро.
Если вы хотите выписать крупный чек, получите MPLS у одного провайдера и позвольте ему управлять вашим оборудованием и сетью. Но может ли тот же поставщик MPLS достичь всех офисных сайтов? Если нет, вам придется запустить VPN между ними (поставщики MPLS обычно не предлагают туннели MPLS между поставщиками). Если у вас есть общенациональная деятельность, вы будете ограничены 3-8 провайдерами с охватом всех ваших сайтов. Если вы работаете в глобальном масштабе, это число станет намного меньше, если вы не захотите подкупать поставщиков, чтобы они общались друг с другом.
Я бы избежал T1s - они действительно медленные и очень дорогие за то, что вы получаете. Я также видел очень плохую надежность от некоторых поставщиков. Дробный T3 часто не намного больше, но часто вы также можете просто получить Ethernet от тех же провайдеров, которые предлагают T1/T3.
Вы также можете создавать IPSEC VPN-туннели через Интернет с подключениями бизнес-класса. Если вы получаете файлы с хорошей скоростью загрузки, у вас, вероятно, будет больше пропускной способности. Однако у вас не будет QoS, поскольку он идет через Интернет, и в теории T1 может быть более надежным.
Вы также можете рассмотреть возможность использования поставщика MPLS для подключения всех ваших офисов. Поставщик сможет внедрить для вас некоторое QoS, а затем вы можете использовать отдельное соединение для Интернета. Провайдер будет изолировать ваш трафик, чтобы он действовал так, как будто у вас есть VPN между ними. По сути, с MPLS провайдер делает для вас гораздо больше, что может быть как недостатком, так и преимуществом.