Постановка задачи:
Информационная Сеть (ИС) из 12 сервисных площадок, распределенная географически. Клиенты через публичный Интернет имеют доступ к сервисам ИС, причем выбор сервисной площадки производится на основе взаимного географического расположения клиента и площадки. Сервисные площадки, распределенные по всей планете, соединены в единую сеть посредством шифрованных VPN каналов, проложенных через публичные сети, принцип организации сети – каждый с каждым (Full mesh).

Каждый узел сети должен иметь избыточность по коммуникационному оборудованию и каналам 1+1, переключение между основными и резервными устройствами должно осуществляться автоматически. Каждый узел состоит из 3 основных сетей: сеть управления, сеть передачи служебных данных и сеть DMZ, где находятся доступные извне интерфейсы серверов. Все эти сети должны быть изолированы друг от друга с использованием Stateful Inspection Firewall.

Реализация:
Функции коммутации второго уровня и первого рубежа безопасности, включая защиту топологии сети по протоколу STP, организацию агрегации связей с серверами и списки доступа (пакетный фильтр) возложены на коммутаторы Allied Telesis AT-x600-24Ts. Защита сети от вторжений с помощью брандмауэра с контролем состояния соединения (Stateful Inspection Firewall), шифрование данных, перемещаемых между площадками, и маршрутизации подсетей возложены на маршрутизаторы Allied Telesis AR770S.

Согласно поставленной задаче коммутаторы собраны в стек, представляющий собой единое отказоустойчивое логическое устройство, технология VCStack. Избыточность и отказоустойчивость маршрутизаторов реализована посредством протокола VRRP на маршрутизаторах и функцией триггерного переконфигурирования на коммутаторах.
Площадки ИС размещаются в дата центрах на условиях co-location, оператор подключает оборудование 2 независимыми Ethernet интерфейсами, электрическими или оптическими, на скоростях Gigabit Ethernet.
На каждом из 12 сайтов подняты туннельные логические интерфейсы 3 уровня с использованием протокола L2TP, связывающие все сайты в единую Full mesh сеть, причем все туннели шифруются с использованием протокола IPSec.

Так как каждый сайт в своем составе имеет по два роутера, связи с остальными сайтами VPN сети созданы с избыточностью, каждый роутер каждого сайта связан одновременно со всеми роутерами VPN сети, кроме роутера, установленного на той же площадке.

Трафик между сайтами, как было сказано выше, передается через шифрованные VPN туннели, маршрутизация возложена на протокол OSPF, причем метрики туннельных интерфейсов заданы так, чтобы наилучшим маршрутом выбирался путь от мастер роутера одного сайта к мастер роутеру другого сайта.

Серверы каждого сайта соединены с парой коммутаторов в стеке двумя Gigabit Ethernet интерфейсами, используется протокол Link Aggregation IEEE 802.3ad, на коммутаторах агрегация осуществляется через два порта на разных коммутаторах. Таким образом, при выходе из строя коммутатора или обрыве патч-корда сервер продолжает предоставлять сервис.

Для серверов сети маршрутизатором по умолчанию выступает виртуальный маршрутизатор, что реализуется протоколом VRRP, описаным в RFC 3768. В нормальном режиме функционирования мастер маршрутизатор являеются маршрутизатором по умолчанию для всех пакетов внутренней и DMZ сети. В случае отказа главногомаршрутизатора или падения внешнего интерфейса, второй маршрутизатор берет на себя функцию default gateway.
Аналогично, для маршрутизатора датацентра шлюзом в сеть явялется виртуальный маршрутизатор, определенный протоколом VRRP.
С точки зрения серверов, маршрутом по умолчанию является маршрут через DMZ (сеть 192.0.200/24 в примере), маршрутом в сеть передачи служебных данных является маршрут до сети 192.168/16, и в сеть управления – 192.168.255/24.
На втором уровне OSI подключение к провайдеру осуществляется через стек AT-x600, что защищает непрерывность сервиса от выхода из строя граничного коммутатора датацентра и обрыва патч-корда. Кроме того, служебная информация, необходимая для функционирования VRRP, передается через собственное устройство, а значит, гарантированно не будет отфильтрована. По тем же причинам защита от образования петли коммутации на стороне оператора датацентра реализована на AT-x600.

Маршрутизаторы в решении выступают также в качестве Stateful Inspection Firewall, осуществляя фильтрацию трафика между всеми сегментами сети.

Заключение
Данный пример инсталляции раскрывает возможности оборудования Allied Telesis при построении высоконадежных корпоративных сетей передачи данных как внутри филиала или головного офиса, так и между подразделениями геологически распространенной компании. Дополнение логической структуры сети функциями балансировки нагрузки на серверы позволяет создать надежную площадку для хостинга публичного ресурса компании (WEB, FTP и т.п.). При необходимости, возможно подключение двух и более независимых операторов для обеспечения надежного выхода в Интернет пользователей внутри сети. Для подключения удаленных пользователей к ресурсам сети возможно создание динамических IPSec VPN каналов. Дополнительную безопасность придает пользователям внутри сети придает наличие механизмов HTTP и SMTP проксирования.
Таким образом, коммутационное и маршрутизирующее оборудование Allied Telesis можно рекомендовать для строительства корпоративных сетей различного назначения.

Малый офис – офис из 5-7 человек. В таком офисе, как правило, нет собственного IT специалиста, все работы, связанные с обслуживанием IT инфраструктуры, возложены на аутсорсинговую компанию или частного мастера. Для такой компании важно, чтобы IT инфраструктура офиса отвечала следующим критериям:
• Надежность. Инфраструктура должна требовать к себе минимум внимания как с точки зрения конфигурирования, так и с точки зрения отказоустойчивости.
• Легкость обслуживания. Оборудование должно быть стандартизованным, легко управляться. Документация по оборудованию должна быть доступной.
• Гарантия. Оборудование должно иметь расширенную гарантию, чтобы выход из строя одного компонента инфраструктуры не приводил к длительным простоям.

Данное решение для малого офиса основано на оборудовании Allied Telesis и NAS (сетевое хранилище) NetGear.

Пример малого офиса

В качестве шлюза для выхода в Интернет используется маршрутизатор Allied Telesis AR-415S. По мере роста численности персонала компании и потребности сети передачи данных в дополнительных сервисах маршрутизатор AR415S обеспечивает офис входящими VPN соединениями для удаленных работников, позволяет работать в сети Интернет персоналу постепенно растущего офиса, расширяя свою производительность за счет увеличения разрешенного количества одновременных сессий Firewall.
Увеличение количества работников влечет за собой увеличение требуемого числа рабочих мест. Установка дополнительного коммутатора GS950 позволит подключить к сети предприятия дополнительные персональные компьютеры работников.

Вариант развития сети офиса

При расширении предприятия, как правило, увеличивается и площадь, требуемая для размещения работников. Коммутаторы GS950 имеют по два слота для установки SFP модулей, что позволяет соединять их с использованием оптических каналов для увеличения расстояния между точками установки коммутаторов. Поддержка технологий STP и RSTP позволяет строить сети кольцевой топологии, защищая тем самым работоспособность сети в случае обрыва одного межкоммутаторных кабелей или выходя из строя моудля SFP. Коммутаторы Allied Telesis способны обеспечить базовый функционал, необходимый для подключения серверов начального уровня, зачастую использующихся на малых предприятиях.

Почти большой офис

Отдельно стоит отметить возможные беспроводные подключения мобильных устройств работников. Точки доступа Allied Telesis WA7400 имеют способность образовывать кластеры, позволяя администраторам одновременно управлять сетью, состоящей из не более 8 точек доступа. Технология WiFi позволяет легко и быстро подключать мобильные устройства для доступа к корпоративной сети и выхода в Интернет, организовывать временные рабочие места, покрывать сетью площади, где прокладка кабелей по тем или иным причинам затруднена.

Оборудование

Маршрутизатор Allied Telesis AR-415S

Ключевыми особенностями маршрутизатора Allied Telesis AR-415S является высокая производительность и надежность. Заявленный производителем показатель бесперебойной работы – 90 000 часов минимально. Это эквивалентно примерно 10 годам работы без выключений и перезагрузок. Маршрутизатор способен выполнять базовые функции HTTP и SMTP Proxy, обеспечивая, таким образом, высокоуровневую защиту локальной сети. Путем открытия лицензий реализуется принцип “pay-as-you-grow”, по которому дополнительные функции подключаются по необходимости без изменения аппаратной конфигурации. Такими функциями являются: VPN-концентратор (от 1 в базе до 50 максимально одновременных сессий); подключение к сети Интернет через двух разных провайдеров с балансировкой нагрузки; брандмауэр от 2000 до 8000 одновременных сессий. Производительность данного маршрутизатора обеспечивается аппаратной реализацией обработки IPSec. Производительность маршрутизатора позволяет обрабатывать одновременно 3DES VPN, NAT и Firewall на скорости 95 мбит/сек, при использовании 256 битного ключа для AES-256 VPN совместно с NAT и Firewall производительность составляет 80 мбит/сек.

24х портовый гигабитный коммутатор Allied Telesis GS-950/24

Серия гигабитных коммутаторов AT-GS950 является эффективным средством для построения управляемого гигабитного уровня доступа. Web управление может использоваться для настройки таких функций как сегментирование сети на подсети VLAN, определение политик качества обслуживания QoS, агрегацию связей, зеркалирование портов, очередей приоритетов и протокола безопасности 802.1x, ограничение полосы пропускания и т.п. Наиболее интересны модели с 16 и 24 портами, т.к. их ПО отвечает всем требованиям, применимым к данному классу устройств. Отдельно стоит отметить неблокируемую архитектуру (48 гбит/сек для 24х портового устройства и 32 гбит/сек для 16ти портового) и высокий показатель наработки на отказ (более 187 тысяч часов). Таким образом, коммутаторы серии GS950 являются эффективным решением, сочетающим возможность гигабитного подключения рабочих станций и серверов с высокими функциональными возможностями.

Точка доступа учережденческого (enterprise) класса Allied Telesis WA7400

Точки доступа Allied Telesis WA7400 предлагают обширный набор функций для построения беспроводных сетей малых и средних предприятий. Беспроводные устройства WA7400 имеют 2 радиоинтерфейса для обеспечения надежной работы и построения сложных топологий. Существует возможность включения WA7400 одновременно как беспроводного моста и как точки доступа для подключения беспроводных абонентов. Точки способны работать с несколькими SSID, каждый из которых отвечает за подключение к различным VLAN. Таким образом, беспроводные абоненты, подключаясь к различным идентификаторам SSID, работающим одновременно на территории предприятия, получают доступ к соответствующим сегментам корпоративной сети передачи данных. Эта же функция позволяет выделить сегмент для гостевого беспроводного доступа. Точки доступа WA7400 могут объединяться в кластеры из до 8 устройств, позволяя централизованно управлять параметрами безопасности и качества обслуживания в беспроводной сети. Важной особенностью точек доступа Allied Telesis WA7400 является наличие функции обнаружения неконтролируемых (rogue) точек доступа, являющихся потенциальными дырами в безопасности сети.

На этом я закончу обзор оборудования малой офисной сети Allied Telesis. Возможны апдейты. Следующим будет пример построения офисной сети средних размеров.

PS. Простите мне маленькую рекламу Сейчас я работаю в компании Новые Системы Телеком, которая является официальным системным интегратором компании Allied Telesis. Соответственно, любое оборудование доступно к заказу через меня и компанию, где я сейчас работаю.