головна
WAN та SD-WAN мережа

WAN та SD-WAN

Об’єднання віддалених офісів та підприємств у цілісну мережу

про напрямок

До складу багатьох підприємств малого, середнього чи великого бізнесу входять декілька географічно ізольованих офісів чи будівель з власними локальними мережами. Залежно від адміністративного поділу підприємства, функціональне наповнення окремих мереж може відрізнятися. Наприклад, мережа головного офісу, як правило, містить усі ключові корпоративні ресурси. В той же час мережа невеликого віддаленого офісу може зовсім не містити власних серверів або їх кількість буде незначною.

У будь-якому випадку, завжди існує потреба спільного використання загальних корпоративних ресурсів. Через що окремі віддалені локальні мережі об’єднують в одну логічну розподілену корпоративну (WAN). Зараз починає активно поширюватись новий підхід до організації таких зв'язків - програмно визначені розподілені корпоративні мережі (SD-WAN). Такі мережі характеризуються потужними існтрументами керування трафіком, централізованим управлінням та моніторингом.

Вирішує завдання

Захищене об’єднання географічно розподілених сегментів в єдину корпоративну мережу.

Якщо для зв’язку між віддаленими сегментами мережі буде використано, наприклад, публічну незахищену мережу інтернет, існуватиме ризик порушення конфіденційності чи цілісності даних. Тому обов’язковою вимогою до WAN-мережі є захист корпоративної інформації, що передаватиметься будь-якими публічними каналами зв’язку. Найпоширеніший спосіб такого захисту – створення «віртуальної приватної мережі» (VPN) з обов’язковою перевіркою достовірності мережевих вузлів та з шифруванням даних.

Впровадження централізованого концентратора віддалених підключень (VPN-серверу).

Це видозмінений випадок основної задачі (створення WAN-мережі). Відмінність полягає в тому, що віддалені вузли у VPN-мережі – це робочі станції, які можуть належати як мобільним співробітникам підприємства, так і партнерам компанії (клієнтам, постачальникам, службі віддаленої технічної підтримки, тощо).

Забезпечення пріоритетної передачі чутливих даних та загальний контроль використання наявних каналів зв’язку (підтримка механізмів QoS).

Зазвичай зовнішні канали зв’язку мають значно меншу пропускну здатність, ніж внутрішні канали локальної мережі. Між різними корпоративними сервісами, що використовують розподілену мережу, досить часто виникає конкуренція за її ресурси. Це призводить до втрати деякої частини даних одного або, у гіршому випадку, всіх сервісів. IP-телефонія, наприклад, може бути вкрай чутлива до такої втрати. Тому під час створення WAN необхідно забезпечити найвищий пріоритет передачі певній частині даних (або гарантувати їм окрему смугу пропускання). З іншого боку, в окремих випадках деякий тип інформації важливо взагалі блокувати, не даючи йому доступ до розподіленої мережі.

Ущільнення даних для найбільш ефективного використання наявних каналів зв’язку.

У деяких випадках неможливо гарантувати високу якість передачі даних крізь розподілену мережу лише за допомогою механізмів QoS. Прикладом може бути ситуація, за якої передача даних пріоритетного типу потребує каналів більшої пропускної здатності, ніж існуючі. У цьому випадку необхідно або збільшити пропускну здатність наявних WAN-каналів, або використовувати комплекс методів з оптимізації масиву даних (дедуплікацію, стискання, кешування, тощо).

Оптимізація управління різними елементами мережі та трафіком за допомогою рішень на основі SD-WAN.

Програмно-конфігуровані розподілені мережі дозволяють великим компаніям спрощувати процес підключення нових філій та управління ними. Рішення на базі цієї технології дозволяють будувати складні розподілені топології, забезпечувати інтелектуальну маршрутизацію трафіку для різних додатків з урахуванням якості каналів зв’язку тощо. Такий підхід відрізняється економією при розгортанні нових віддалених підключень, а також можливістю значно оптимізувати процес управління трафіком, включаючи його сегментацію та захист.

наш підхід

Розробка рішень, що максимально відповідають поставленим задачам

Обов’язковим етапом підготовки будь-якого є збір інформації про кількість підрозділів підприємства, кількість та пропускну здатність зовнішніх каналів зв’язку цих підрозділів, кількість користувачів і таке інше. Під час підготовки пропозицій наші спеціалісти обов’язково уточнюють особливості експлуатації майбутньої підсистеми. У деяких випадках для проведення модернізації необхідно додатково виконувати аудит існуючої мережі. У результаті замовник неодмінно отримає оптимальну специфікацію обладнання, а також рекомендації щодо його ефективного використання.

Створення керованих підсистем

Незважаючи на те, що пристрої, призначені для побудови розподілених корпоративних мереж, завжди мають функціонал віддаленого керування, при створенні масштабних WAN-мереж бажано мати інструменти централізованого керування великою кількістю пристроїв та моніторингу їх роботи.

Забезпечення високого рівня надійності

Стабільність роботи розподіленої корпоративної мережі досягається за рахунок використання обладнання з великим прогнозованим часом між відмовами (так званим параметром MTBF), а також шляхом апаратного резервування ключових її елементів. Під час впровадження WAN важливо обрати технології, які гарантуватимуть максимально швидке відновлення роботи у випадку аварії.

Високий рівень безпеки запропонованих рішень

При проєктувані розподіленої корпоративної мережі наші спеціалісти надають перевагу граничним пристроям, які підтримують сучасні протоколи створення захищених з’єднань та надійні методи шифрування даних, рольовий доступ адміністраторів до інтерфейсу керування та інші методи гарантування високого рівня інформаційної безпеки.

Створення гнучких та легко масштабованих підсистем

Під час проєктування WAN-архітектури інженери компанії Netwave, як правило, використовують централізований підхід до побудови таких мереж. Цей принцип передбачає використання виділених центральних маршрутизаторів («hub») для агрегації захищених віртуальних з’єднань з віддаленими пристроями («spoke»). Така схема дуже просто масштабується шляхом додавання нового віддаленого маршрутизатора та налаштування його захищеного підключення до центральних вузлів мережі.

Створення супровідної проєктної документації

Під час роботи над проєктом розподіленої корпоративної мережі наші фахівці готують обов’язковий перелік попередньої документації, який включає специфікацію обладнання, загальну функціональну схему мережі та пояснювальну записку з детальним описом принципів роботи мережі. Після впровадження рішення обов’язковий комплект доповнюється важливими експлуатаційними документами із детальними функціональними та структурними схемами, логічними схемами роботи окремих функцій мережі та рекомендаціями щодо експлуатації.

варіанти задіяних рішень

Ці пристрої мають фіксовану кількість WAN-інтерфейсів і, як правило, відносно невелику пропускну здатність (від десятків до сотень Мбіт/сек). Досить часто такі маршрутизатори мають вбудовані Ethernet-порти для підключення до мережі кінцевих пристроїв. Зазвичай цей клас пристроїв використовують у невеликих віддалених підрозділах підприємства для підключення як до публічної мережі Internet, так і до розподіленої корпоративної мережі.

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP, MikroTik та багато інших.

Подібні пристрої складаються з декількох компонентів: шасі, блоків живлення, вентиляторів та інтерфейсних плат. Модульною при цьому може бути не лише апаратна частина, але й операційна система, завдяки чому досягається високий рівень надійності та безперервності роботи. Модульні маршрутизатори, як правило, мають достатньо високу пропускну здатність (від сотень до тисяч Мбіт/сек, чи навіть до десятків Гбіт/сек). Використовують їх зазвичай у головних офісах або відносно великих віддалених підрозділах. Для підвищення захисту інформації необхідно використовувати додаткові пристрої для підключення до різних типів зовнішніх мереж (окремий Internet-шлюз, окремий VPN-концентратор).

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP та багато інших.

Це клас пристроїв є найбільш поширеним серед підприємств малого та середнього бізнесу через те, що його використання може значно знизити загальну вартість інфраструктури та її обслуговування. Продуктивність багатофункціональних пристроїв варіюється в дуже широкому діапазоні (від десятків Мбіт/сек до десятків Гбіт/сек) і залежить, в тому числі, від переліку активованих функцій.

Виробники: Cisco, Juniper Networks, Checkpoint, Fortinet, HP та інші.

Формат реалізації цього класу продуктів може бути різноманітним: програмний чи апаратний модуль для маршрутизатора, окремий фізичний пристрій, віртуальний сервер. Важливо лише враховувати можливу несумісність продуктів різних виробників між собою.

Виробники: Riverbed Technology, Cisco, Blue Coat, Citrix та інші.

Цей клас пристроїв використовується операторами зв’язку, а не кінцевими підприємствами. Такі комутатори мають багато спільного з обладнанням для побудови локальних провідних мереж. Їх особливість – підтримка спеціалізованих для операторів зв’язку протоколів, наприклад, QinQ, MPLS тощо.

Виробники: Cisco, HP, Extreme Networks, Juniper Networks та інші.

Обладнання для SD-WAN мереж, як правило, складається з двох частин: маршрутизаторів кінцевих точок, переважно фіксованих, та підсистем керування. Останні можуть складатися з декількох компонентів та є програмним забезпеченням, що працює, як правило, у хмарі виробника.

Виробники: Cisco (Viptela), VMware (VeloCloud), Fortinet, SilverPeak, Versa