Розподілені корпоративні мережі (WAN)

У складі багатьох підприємств малого, середнього чи великого бізнесу існує декілька географічно ізольованих частин (окремий офіс, будівля або навіть комплекс споруд), кожна з яких має власну локальну мережу передачі даних (провідну чи безпровідну). В залежності від адміністративного поділу підприємства, функціональне наповнення окремих мереж може відрізнятися. Наприклад, мережа головного офісу компанії, як правило, містить усі ключові корпоративні ресурси (різноманітні сервери, резервовані шлюзи підключення до публічних мереж тощо). З іншого боку, мережа невеликого віддаленого офісу може зовсім не містити власних серверів або їх кількість буде незначною.

У будь-якому випадку, завжди буде існувати задача спільного використання загальних корпоративних ресурсів. Тому окремі віддалені фізичні локальні мережі потрібно об’єднувати в одну логічну розподілену корпоративну мережу (WAN).

Задачі, що вирішуються за допомогою розподілених корпоративних мереж передачі даних 

  • Захищене об’єднання географічно розподілених локальних сегментів мережі в єдину корпоративну мережу передачі даних. Якщо для зв’язку між віддаленими сегментами мережі буде використано, наприклад, публічну незахищену мережу Internet, існуватиме ризик порушення конфіденційності чи цілісності даних. Тому обов’язковою вимогою до WAN-мережі є захист корпоративної інформації, що передаватиметься будь-якими некорпоративними каналами зв’язку. Найпоширенішим способом такого захисту є створення захищеної «віртуальної приватної мережі» (VPN) з обов’язковою перевіркою достовірності мережевих вузлів та з шифруванням даних.
  • Впровадження централізованого концентратора віддалених підключень (VPN-серверу). Ця задача є видозміненим випадком основної задачі (створення WAN-мережі). Відмінність полягає в тому, що віддалені «мережі» складаються з однієї робочої станції. Такі робочі станції можуть належати як мобільним співробітникам підприємства, так і партнерам компанії (клієнтам, постачальникам, службі віддаленої технічної підтримки тощо).
  • Забезпечення пріоритетної передачі чутливих даних та загальний контроль використання наявних каналів зв’язку (підтримка механізмів QoS). Зазвичай зовнішні канали зв’язку мають значно меншу пропускну здатність, ніж внутрішні канали всередині локальної мережі. Між різними корпоративними сервісами, що використовують розподілену мережу, досить часто виникає конкуренція за її ресурси. Така конкуренція призводить до втрати деякої частини даних одного або, у гіршому випадку, всіх сервісів. Деякі сервіси, наприклад, IP-телефонія, можуть бути вкрай чутливі до такої втрати. Тому під час створення WAN необхідно мати можливість забезпечити вищий пріоритет передачі певній частині даних (або гарантувати їм певну полосу пропускання). З іншого боку, в окремих випадках деякий тип інформації важливо взагалі блокувати, не даючи йому доступ до розподіленої мережі.
  • Оптимізація та ущільнення даних з метою найбільш ефективного використання наявних каналів зв’язку. У деяких випадках лише за допомогою механізмів QoS неможливо гарантувати високу якість передачі даних корпоративних сервісів крізь розподілену мережу. Прикладом може бути ситуація, за якої передача даних пріоритетного типу потребує каналів більшої пропускної здатності, ніж є в наявності. У цьому випадку необхідно або збільшити пропускну здатність наявних WAN-каналів зв’язку, або використовувати комплекс методів оптимізації даних (наприклад, дедуплікацію, стискання, кешування тощо).

 

Продукти та рішення, що використовуються для створення розподілених корпоративних мереж 

Маршрутизатори фіксованої конфігурації інтерфейсів

Ці пристрої мають фіксовану кількість WAN-інтерфейсів і, як правило, відносно невелику пропускну здатність (від десятків до сотень Мбіт/сек). Досить часто такі маршрутизатори мають вбудовані Ethernet-порти для підключення до мережі кінцевих пристроїв. Зазвичай цей клас маршрутизаторів використовують у невеликих віддалених підрозділах підприємства для підключення як до публічної мережі Internet, так і до розподіленої корпоративної мережі.

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP, MikroTik, TPLink, DLink, ZyXEL та багато інших.

Модульні маршрутизатори

Ці модульні пристрої можуть складатися з таких основних компонент: шасі (з вмонтованими або дискретними модулями керування та базовими інтерфейсами), блоків живлення, блоків вентиляторів та інтерфейсних плат. Модульною може бути не лише апаратна частина, але й операційна система, завдяки чому можливо досягти високого рівня надійності та безперервності роботи. Ці пристрої, як правило, мають достатньо високу пропускну здатність (від сотень до тисяч Мбіт/сек, чи навіть до десятків Гбіт/сек). Зазвичай цей клас маршрутизаторів використовують в головних офісах або відносно великих віддалених підрозділах підприємства. Для забезпечення більшого рівня захищеності інформації необхідно впроваджувати окремі пристрої для підключення до різних типів зовнішніх мереж (окремий Internet-шлюз, окремий VPN-концентратор).

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP та багато інших.

Багатофункціональні мережеві пристрої

Це клас пристроїв є найбільш поширеним серед підприємств малого та середнього бізнесу через те, що його використання може значно знизити загальну вартість створення інфраструктури та вартість її володіння. Продуктивність багатофункціональних пристроїв варіюється в дуже широкому діапазоні (від десятків Мбіт/сек до десятків Гбіт/сек) і залежить, в тому числі, від переліку активованих функцій.

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP та інші.

Спеціалізовані пристрої оптимізації потоків даних для WAN-каналів

Формат реалізації цього класу продуктів може бути різноманітним: програмний чи апаратний модуль для маршрутизатора, окремий фізичний пристрій, віртуальний сервер. Важливим аспектом для врахування при впровадженні цього рішення є несумісність продуктів різних виробників між собою.

Виробники: Riverbed Technology, Cisco, Blue Coat, Citrix та інші.

Спеціалізовані мережеві комутатори для операторів зв’язку

При створенні розподіленої корпоративної мережі цей окремий клас пристроїв використовується операторами зв’язку, а не кінцевими підприємствами. Такі комутатори мають багато спільного з комутаторами, призначеними для побудови локальних провідних мереж. Їх особливістю є підтримка спеціалізованих для операторів зв’язку протоколів, наприклад, QinQ, MPLS тощо.

Виробники: Cisco, HP, Extreme Networks, Juniper Networks, Alcatel-Lucent та інші.

Підходи компанії NETWAVE до впровадження розподілених корпоративних мереж

Розробка рішень, що максимально відповідають поставленим задачам

Обов’язковим етапом у підготовці будь-якого проекту рішення зі створення чи модернізації розподіленої корпоративної мережі є збір первинної вхідної інформації, наприклад, кількість територіальних підрозділів підприємства (адміністративних офісів, виробничих підприємств, торгівельних майданчиків тощо), кількість та пропускна здатність зовнішніх каналів зв’язку таких підрозділів, кількість користувачів тощо. Під час підготовки пропозицій наші спеціалісти обов’язково уточнюють особливості експлуатації майбутньої підсистеми, наприклад, перелік корпоративних сервісів, що використовуватимуть WAN як транспорт, наявність виділених корпоративних центрів обробки даних, необхідність підтримки маршрутизаторами додаткових функцій та інші. У деяких випадках проведення модернізації необхідно додатково виконувати аудит існуючої розподіленої мережі. У результаті роботи наших спеціалістів замовник обов’язково отримає оптимальну специфікацію обладнання, а також рекомендації щодо його ефективного використання.

Створення керованих підсистем

Незважаючи на те, що пристрої, призначені для побудови розподілених корпоративних мереж (маршрутизатори та ін.), завжди мають функціонал віддаленого керування, у випадку створення великих за масштабом WAN-мереж бажано мати інструменти централізованого керування багатьма пристроями та централізованого моніторингу їх роботи.

Забезпечення високого рівня надійності рішень

Надійність та безвідмовність роботи розподіленої корпоративної мережі можливо досягти за рахунок використання обладнання з великим прогнозованим часом між відмовами (так званим параметром MTBF), а також за умови апаратного резервування (дублювання) ключових її елементів (граничних маршрутизаторів, мережевих екранів, каналів зв’язку тощо). Під час впровадження WAN важливо обрати такі технології, що гарантуватимуть максимально швидке відновлення роботи у випадку аварії (наприклад, технології автоматичного створення резервних VPN-з’єднань, протоколи динамічної IP-маршрутизації та ін.).

Забезпечення високого рівня безпеки рішень, що пропонуються

При проектуванні розподіленої корпоративної мережі наші спеціалісти надають перевагу граничним пристроям, що підтримують сучасні протоколи створення захищених з’єднань (IPSec, SSL тощо), надійні методи шифрування даних (3DES, AES тощо), рольовий доступ адміністраторів до інтерфейсу керування та інші методи гарантування високого рівня інформаційної безпеки.

Створення гнучких та легко масштабованих підсистем

Під час створення архітектури WAN інженери компанії NETWAVE, як правило, використовують централізований підхід до побудови розподілених мереж. Цей принцип передбачає використання виділених центральних маршрутизаторів («hub») для агрегації захищених віртуальних з’єднань з віддаленими пристроями («spoke»). Така схема дуже просто масштабується шляхом додавання нового віддаленого маршрутизатора та налаштування його захищеного підключення до центральних вузлів мережі.

Створення супровідної проектної документації

Під час роботи над проектом створення розподіленої корпоративної мережі наші фахівці готують обов’язковий перелік попередньої документації, що включає специфікацію обладнання, загальну функціональну схему мережі та пояснювальну записку, що містить детальний опис принципів її роботи. Після завершення впровадження рішення обов’язковий комплект доповнюється важливою експлуатаційною документацією, що включає детальні функціональні та структурні схеми, логічні схеми роботи окремих функцій мережі (наприклад, схема розподілу IP-адрес чи схема роботи протоколу динамічної маршрутизації) та важливі рекомендації щодо експлуатації.