Постановка задачи:
Информационная Сеть (ИС) из 12 сервисных площадок, распределенная географически. Клиенты через публичный Интернет имеют доступ к сервисам ИС, причем выбор сервисной площадки производится на основе взаимного географического расположения клиента и площадки. Сервисные площадки, распределенные по всей планете, соединены в единую сеть посредством шифрованных VPN каналов, проложенных через публичные сети, принцип организации сети – каждый с каждым (Full mesh).

Каждый узел сети должен иметь избыточность по коммуникационному оборудованию и каналам 1+1, переключение между основными и резервными устройствами должно осуществляться автоматически. Каждый узел состоит из 3 основных сетей: сеть управления, сеть передачи служебных данных и сеть DMZ, где находятся доступные извне интерфейсы серверов. Все эти сети должны быть изолированы друг от друга с использованием Stateful Inspection Firewall.

Реализация:
Функции коммутации второго уровня и первого рубежа безопасности, включая защиту топологии сети по протоколу STP, организацию агрегации связей с серверами и списки доступа (пакетный фильтр) возложены на коммутаторы Allied Telesis AT-x600-24Ts. Защита сети от вторжений с помощью брандмауэра с контролем состояния соединения (Stateful Inspection Firewall), шифрование данных, перемещаемых между площадками, и маршрутизации подсетей возложены на маршрутизаторы Allied Telesis AR770S.

Согласно поставленной задаче коммутаторы собраны в стек, представляющий собой единое отказоустойчивое логическое устройство, технология VCStack. Избыточность и отказоустойчивость маршрутизаторов реализована посредством протокола VRRP на маршрутизаторах и функцией триггерного переконфигурирования на коммутаторах.
Площадки ИС размещаются в дата центрах на условиях co-location, оператор подключает оборудование 2 независимыми Ethernet интерфейсами, электрическими или оптическими, на скоростях Gigabit Ethernet.
На каждом из 12 сайтов подняты туннельные логические интерфейсы 3 уровня с использованием протокола L2TP, связывающие все сайты в единую Full mesh сеть, причем все туннели шифруются с использованием протокола IPSec.

Так как каждый сайт в своем составе имеет по два роутера, связи с остальными сайтами VPN сети созданы с избыточностью, каждый роутер каждого сайта связан одновременно со всеми роутерами VPN сети, кроме роутера, установленного на той же площадке.

Трафик между сайтами, как было сказано выше, передается через шифрованные VPN туннели, маршрутизация возложена на протокол OSPF, причем метрики туннельных интерфейсов заданы так, чтобы наилучшим маршрутом выбирался путь от мастер роутера одного сайта к мастер роутеру другого сайта.

Серверы каждого сайта соединены с парой коммутаторов в стеке двумя Gigabit Ethernet интерфейсами, используется протокол Link Aggregation IEEE 802.3ad, на коммутаторах агрегация осуществляется через два порта на разных коммутаторах. Таким образом, при выходе из строя коммутатора или обрыве патч-корда сервер продолжает предоставлять сервис.

Для серверов сети маршрутизатором по умолчанию выступает виртуальный маршрутизатор, что реализуется протоколом VRRP, описаным в RFC 3768. В нормальном режиме функционирования мастер маршрутизатор являеются маршрутизатором по умолчанию для всех пакетов внутренней и DMZ сети. В случае отказа главногомаршрутизатора или падения внешнего интерфейса, второй маршрутизатор берет на себя функцию default gateway.
Аналогично, для маршрутизатора датацентра шлюзом в сеть явялется виртуальный маршрутизатор, определенный протоколом VRRP.
С точки зрения серверов, маршрутом по умолчанию является маршрут через DMZ (сеть 192.0.200/24 в примере), маршрутом в сеть передачи служебных данных является маршрут до сети 192.168/16, и в сеть управления – 192.168.255/24.
На втором уровне OSI подключение к провайдеру осуществляется через стек AT-x600, что защищает непрерывность сервиса от выхода из строя граничного коммутатора датацентра и обрыва патч-корда. Кроме того, служебная информация, необходимая для функционирования VRRP, передается через собственное устройство, а значит, гарантированно не будет отфильтрована. По тем же причинам защита от образования петли коммутации на стороне оператора датацентра реализована на AT-x600.

Маршрутизаторы в решении выступают также в качестве Stateful Inspection Firewall, осуществляя фильтрацию трафика между всеми сегментами сети.

Заключение
Данный пример инсталляции раскрывает возможности оборудования Allied Telesis при построении высоконадежных корпоративных сетей передачи данных как внутри филиала или головного офиса, так и между подразделениями геологически распространенной компании. Дополнение логической структуры сети функциями балансировки нагрузки на серверы позволяет создать надежную площадку для хостинга публичного ресурса компании (WEB, FTP и т.п.). При необходимости, возможно подключение двух и более независимых операторов для обеспечения надежного выхода в Интернет пользователей внутри сети. Для подключения удаленных пользователей к ресурсам сети возможно создание динамических IPSec VPN каналов. Дополнительную безопасность придает пользователям внутри сети придает наличие механизмов HTTP и SMTP проксирования.
Таким образом, коммутационное и маршрутизирующее оборудование Allied Telesis можно рекомендовать для строительства корпоративных сетей различного назначения.

Инфраструктура сети средних размеров с "горячим" резервом.

Офис средних размеров, в первую очередь, отличается от малого офиса объемами предаваемых данных и повышенными требованиями к надежности инфраструктуры. В таких сетях уже более ярко выражено сегментирование коммутаторов организации на узлы ядра сети, узлы агрегации и доступа. Зачастую, в предприятиях, не имеющих больших площадей, коммутаторы ядра выполняют также агрегирующие функции. Требования к таким коммутаторам – высочайшая производительность, отказоустойчивость и расширенный функционал. Современная линейка продуктов компании Allied Telesis предлагает на эту роль Multilayer коммутаторы AT x900-12 и AT x900-24, отличающиеся портовой емкостью, количеством слотов расширения и пропускной способностью фабрики коммутации. Для уровня доступа оптимальным по соотношению цена/качество является семейство коммутаторов Allied Telesis AT-8000S/AT-8000GS. Отдельно выделю следующие модели коммутаторов Allied Telesis:

Allied Telesis AT 8000GS/48

Агрегацию трафика серверов допустимо осуществлять на коммутаторах ядра, если серверная ферма не большая. В случае большого серверного хозяйства и высоких требований к скорости передачи данных в приложениях клиент-сервер интерес представляют Layer 2+ коммутаторы Allied Telesis 9448 Ts/XP, которые имеют разъемы для установки XFP модулей, дающие 10Гбит/сек подключение к ядру сети, и слоты для установки стековых модулей.

Allied Telesis AT-9448Ts/XP

Большие локальные сети могут распространяться на несколько зданий. Для таких сетей характерно ярко выраженное ядро сети, состоящее из нескольких высоконадежных и высокопроизводительных коммутаторов, соединенное 10 Гбит/сек оптическими каналами. Для этих целей компания Allied Telesis предлагает коммутатор SwitchBlade x908. Функции агрегирования в таких организациях идеально ложатся на коммутаторы x900, позволяющие осуществлять 10G подключение к ядру сети.

Allied Telesis SwitchBlade x908

Для средних и больших сетей представляет маршрутизатор Allied Telesis AR-770S, поддерживающий до одной тысячи одновременных сессий AES VPN, на скорости в 500 Мбит/сек. Этот маршрутизатор имеет разъемы для установки модулей SFP, что позволяет осуществлять подключение к оператору или коммутатором компании по оптическими линиями. Поддержка WAN Load Balancing и протокола VRRP позволяет создавать высоконадежные и, при этом, бюджетные конфигурации.

Allied Telesis маршрутизатор с поддержкой IPSec VPN AR-770S