Свалилась на меня задачка, решил кое-как… На суд общественности.
Постановка задачи:
Информационная Сеть (ИС) из 12 сервисных площадок, распределенная географически. Клиенты через публичный Интернет имеют доступ к сервисам ИС, причем выбор сервисной площадки производится на основе взаимного географического расположения клиента и площадки. Сервисные площадки, распределенные по всей планете, соединены в единую сеть посредством шифрованных VPN каналов, проложенных через публичные сети, принцип организации сети – каждый с каждым (Full mesh).
Каждый узел сети должен иметь избыточность по коммуникационному оборудованию и каналам 1+1, переключение между основными и резервными устройствами должно осуществляться автоматически. Каждый узел состоит из 3 основных сетей: сеть управления, сеть передачи служебных данных и сеть DMZ, где находятся доступные извне интерфейсы серверов. Все эти сети должны быть изолированы друг от друга с использованием Stateful Inspection Firewall.
Реализация:
Функции коммутации второго уровня и первого рубежа безопасности, включая защиту топологии сети по протоколу STP, организацию агрегации связей с серверами и списки доступа (пакетный фильтр) возложены на коммутаторы Allied Telesis AT-x600-24Ts. Защита сети от вторжений с помощью брандмауэра с контролем состояния соединения (Stateful Inspection Firewall), шифрование данных, перемещаемых между площадками, и маршрутизации подсетей возложены на маршрутизаторы Allied Telesis AR770S.
Согласно поставленной задаче коммутаторы собраны в стек, представляющий собой единое отказоустойчивое логическое устройство, технология VCStack. Избыточность и отказоустойчивость маршрутизаторов реализована посредством протокола VRRP на маршрутизаторах и функцией триггерного переконфигурирования на коммутаторах.
Площадки ИС размещаются в дата центрах на условиях co-location, оператор подключает оборудование 2 независимыми Ethernet интерфейсами, электрическими или оптическими, на скоростях Gigabit Ethernet.
На каждом из 12 сайтов подняты туннельные логические интерфейсы 3 уровня с использованием протокола L2TP, связывающие все сайты в единую Full mesh сеть, причем все туннели шифруются с использованием протокола IPSec.
Так как каждый сайт в своем составе имеет по два роутера, связи с остальными сайтами VPN сети созданы с избыточностью, каждый роутер каждого сайта связан одновременно со всеми роутерами VPN сети, кроме роутера, установленного на той же площадке.
Трафик между сайтами, как было сказано выше, передается через шифрованные VPN туннели, маршрутизация возложена на протокол OSPF, причем метрики туннельных интерфейсов заданы так, чтобы наилучшим маршрутом выбирался путь от мастер роутера одного сайта к мастер роутеру другого сайта.
Серверы каждого сайта соединены с парой коммутаторов в стеке двумя Gigabit Ethernet интерфейсами, используется протокол Link Aggregation IEEE 802.3ad, на коммутаторах агрегация осуществляется через два порта на разных коммутаторах. Таким образом, при выходе из строя коммутатора или обрыве патч-корда сервер продолжает предоставлять сервис.
Для серверов сети маршрутизатором по умолчанию выступает виртуальный маршрутизатор, что реализуется протоколом VRRP, описаным в RFC 3768. В нормальном режиме функционирования мастер маршрутизатор являеются маршрутизатором по умолчанию для всех пакетов внутренней и DMZ сети. В случае отказа главногомаршрутизатора или падения внешнего интерфейса, второй маршрутизатор берет на себя функцию default gateway.
Аналогично, для маршрутизатора датацентра шлюзом в сеть явялется виртуальный маршрутизатор, определенный протоколом VRRP.
С точки зрения серверов, маршрутом по умолчанию является маршрут через DMZ (сеть 192.0.200/24 в примере), маршрутом в сеть передачи служебных данных является маршрут до сети 192.168/16, и в сеть управления – 192.168.255/24.
На втором уровне OSI подключение к провайдеру осуществляется через стек AT-x600, что защищает непрерывность сервиса от выхода из строя граничного коммутатора датацентра и обрыва патч-корда. Кроме того, служебная информация, необходимая для функционирования VRRP, передается через собственное устройство, а значит, гарантированно не будет отфильтрована. По тем же причинам защита от образования петли коммутации на стороне оператора датацентра реализована на AT-x600.
Маршрутизаторы в решении выступают также в качестве Stateful Inspection Firewall, осуществляя фильтрацию трафика между всеми сегментами сети.
Заключение
Данный пример инсталляции раскрывает возможности оборудования Allied Telesis при построении высоконадежных корпоративных сетей передачи данных как внутри филиала или головного офиса, так и между подразделениями геологически распространенной компании. Дополнение логической структуры сети функциями балансировки нагрузки на серверы позволяет создать надежную площадку для хостинга публичного ресурса компании (WEB, FTP и т.п.). При необходимости, возможно подключение двух и более независимых операторов для обеспечения надежного выхода в Интернет пользователей внутри сети. Для подключения удаленных пользователей к ресурсам сети возможно создание динамических IPSec VPN каналов. Дополнительную безопасность придает пользователям внутри сети придает наличие механизмов HTTP и SMTP проксирования.
Таким образом, коммутационное и маршрутизирующее оборудование Allied Telesis можно рекомендовать для строительства корпоративных сетей различного назначения.