Современные распределенные корпоративные сети (WAN) должны обладать необходимыми качествами для поддержки бизнес-приложений, предъявляющих высокие требования как к надежности транспортной инфраструктуры, так и к полосе пропускания.

Обязательными условиями для передачи голоса по IP, использования видеоконференцсвязи являются высокая доступность, поддержка многоадресного трафика и качество обслуживания.

Специалисты CTI применяют в своих решениях продукты компании Cisco. Их использование позволяет внедрять новые приложения и сервисы на всех уровнях распределенной корпоративной сети — как в центральном офисе, так и в филиалах, не усложняя самой сети и не увеличивая затраты на обслуживание.
При построении территориально распределенных сетей применяются следующие модели маршрутизаторов:

• Cisco 800 Series Routers;
• Cisco 1800 Series Integrated Services Routers;
• Cisco 2800 Series Integrated Services Routers;
• Cisco 3800 Series Integrated Services Routers;
• Cisco 7200 Series Routers;
• Cisco 7600 Series Routers.

Решения для центрального офиса крупной корпоративной сети

В типичной распределенной сети маршрутизаторы выполняют одну из двух задач — агрегируют подключения удаленных офисов или подключаются к центральному устройству.

Используя в центральных офисах маршрутизаторы серии Cisco 7200, 7301, 7304 или 7600, предприятия могут предоставить доступ к централизованным ресурсам сотрудникам в удаленных офисах, партнерам, мобильным пользователям, обеспечивая в то же время все требования к безопасности, масштабируемости и производительности.

Решения для филиалов, средних и малых сетей — маршрутизаторы с интеграцией сервисов

Интенсивное развитие филиальной сети и смещение деловой активности в филиалы создают для IT-служб как новые проблемы, так и новые возможности.

Продуктивность сотрудников в удаленных офисах напрямую зависит от возможности непрерывного доступа к необходимым приложениям и опыта использования этих приложений. Сотрудники филиалов должны применять в своей работе тот же набор сервисов, что и в центральном офисе. Надежная сетевая инфраструктура становится в этой ситуации жизненно необходимой.

Разветвленная и хорошо оснащенная сеть филиалов способствует успешному развитию бизнеса. Сетевая инфраструктура является ключевым компонентом для работы бизнес-приложений в распределенной среде. Маршрутизаторы с интеграцией сервисов позволяют обеспечить в филиалах необходимый набор функций в единой компактной платформе, исключая необходимость использования нескольких отдельных устройств.

Многие сервисные модули, например модули голосовой почты, модули обнаружения вторжений, кэширования трафика и т. д., имеют собственные аппаратные ресурсы, устраняющие влияние сервисов на производительность маршрутизатора и в то же время управляемые с помощью единого интерфейса управления. Интеграция сервисов значительно расширяет область применения маршрутизаторов, снижает сложность сети и ее общую стоимость владения.

В результате сегодня перед филиалами стоит задача внедрения новых технологий и приложений для совместной работы, и решаться эта задача должна с учетом минимизации стоимости решения.

Как правило, требуются следующие функции, не зависимо от того, интегрированы они или реализованы в виде отдельных продуктов:

• маршрутизация;
• безопасная передача данных по каналам связи — шифрование трафика с использованием туннелей VPN;
• службы защиты от несанкционированного доступа — межсетевые экраны, устройства обнаружения и предотвращения вторжений, средства антиспуфинга, защиты от атак вида «отказ в обслуживании», трансляции сетевых адресов, антивирусные программы и т. п.;
• приложения для совместной работы — IP-телефония, видеоконференции и т. п.;
• средства оптимизации использования полосы пропускания — поддержка качества обслуживания для разных видов трафика, средства оптимизации полосы пропускания для каналов связи между офисами;
• мобильность — организация зон беспроводного доступа.

Обычно в филиалах различные функции, такие как межсетевые экраны, обнаружение и предотвращение вторжений, телефония, управление сетью, реализуются с помощью специализированных устройств. В одном филиале для этого может использоваться десяток различных устройств. Бюджет, выделяемый для оснащения филиалов, ограничен, и вначале закупается только оборудование, необходимое для подключения филиала к центральному офису.

В дальнейшем специализированные устройства добавляются либо в результате выделения дополнительных финансовых средств, либо в качестве ответной меры на какое-нибудь событие. Например, атака вида «отказ в обслуживании» может стать побудительной причиной для приобретения межсетевого экрана и устройства предотвращения вторжений, реакцией на распространение вирусов будет установка антивирусного приложения.

Такая модель развития предполагает минимальные начальные капиталовложения. Ее недостатками являются отсутствие масштабируемости и возникающие проблемы с совместимостью оборудования различных производителей.

Другой подход заключается в использовании устройств, специально созданных для интеграции различных сервисов и приложений, способных эволюционировать по мере появления новых. Основным отличием таких платформ является архитектура, оптимизированная для одновременного выполнения тесно интегрированных функций с высокой производительностью.

Незначительное отставание в производительности и, иногда, функциональности, по сравнению со специализированными устройствами является чаще всего приемлемым, потому что получаемые преимущества значительно перевешивают возможные недостатки. Различие в производительности практически исчезает по мере того, как устройства с интегрированными сервисами оснащаются встроенными процессорами и жесткими дисками для увеличения производительности приложений. Далее, так как различные сервисы являются частью одного устройства, снижаются затраты на обучение, управление и поддержку.

Именно этот подход мы используем в своей работе, предлагая своим клиентам устанавливать в филиалах маршрутизаторы с интеграцией сервисов (Integrated Services Router — ISR) компании Cisco.
Семейство маршрутизаторов ISR позволяет подобрать оптимальное решение для сети любого размера, с учетом необходимых функций, плотности портов, перспектив развития, стоимости и производительности.

Маршрутизаторы семейств Cisco 800 и 1800 предназначены для использования в малых и домашних офисах. Модульные маршрутизаторы Cisco 1841, 2800 и 3800 поддерживают более ста интерфейсных модулей, позволяющих подключить канал связи с использованием практически любой среды передачи и протокола. При необходимости смены интерфейса клиент может самостоятельно заменить модуль. Различные сервисы могут быть реализованы с помощью соответствующей версии программного обеспечения Cisco IOS или путем добавления аппаратных акселераторов.

Маршрутизация

Маршрутизаторы с интеграцией сервисов поддерживают самый полный в отрасли набор протоколов маршрутизации, включая Enhanced Interior Gateway Routing Protocol, Open Shortest Path First, Routing Information Protocol, Border Gateway Protocol, Optimized Edge Routing. Поддерживаются протоколы IPv4 и IPv6.
Виртуальные частные сети (VPN)
Маршрутизаторы ISR позволяют создавать VPN-туннели как между локальными сетями офисов, так и для подключения удаленных пользователей. Межофисные VPN-туннели могут представлять собой IPSec VPN или MPLS VPN. Туннели VPN для подключения удаленных пользователей могут использовать стандарты IPSec или SSL.
Для аппаратной реализации шифрования выпущен новый модуль Advanced Integration Module (AIM), поддерживающий SSL и IPSec-туннели.

Безопасность

Маршрутизаторы с интеграцией сервисов, часто являющиеся пограничными устройствами в сети, позволяют использовать функции безопасности на разных уровнях:

• межсетевой экран. Cisco IOS Firewall — это сертифицированный межсетевой экран с контролем соединений, защищающий сеть от атак и несанкционированного доступа, а также обеспечивающий эффективный контроль трафика в сети.

Настройка межсетевого экрана может быть проведена с помощью графического интерфейса специального приложения Cisco Router and Security Device Manager (SDM), которое поставляется бесплатно. Для больших сетей с несколькими межсетевыми экранами может быть использован продукт Cisco Security Manager;

• система предотвращения вторжений (IPS). Динамическое инспектирование сетевого трафика с целью обнаружения и предотвращения вторжений может выполняться с помощью специального модуля или программного обеспечения Cisco IOS. В дополнение к имеющейся базе готовых сигнатур можно создавать собственные сигнатуры. Модуль IDS хранит базу сигнатур локально и записывает в журналы все события. Он может посылать сигналы тревоги, сбрасывать пакеты или разрывать соединения;
• идентификация пользователей. Маршрутизаторы поддерживают гибкие механизмы аутентификации и авторизации пользователей, учета пользовательского трафика.

IP-телефония

Используя маршрутизаторы с интеграцией сервисов, можно построить полноценную систему IP-телефонии офиса, включающую средства обработки вызовов, шлюзы в телефонную сеть общего пользования, голосовую почту, службы автосекретаря, систему конференцсвязи. Архитектура маршрутизаторов позволяет устанавливать модули, осуществляющие голосовые функции, на материнскую плату, не занимая внешних слотов, которые могут быть использованы для интерфейсных модулей.

Решения IP-телефонии для маршрутизаторов ISR включают в себя Cisco CallManager Express, являющийся частью программного обеспечения Cisco IOS, Cisco Unity Express и функцию Survivable Remote Site Telephony (SRST), позволяющую маршрутизатору осуществлять коммутацию локальных вызовов и выход в телефонную сеть общего пользования при отсутствии связи с сервером CallManager, установленным в центральном офисе. Маршрутизаторы поддерживают стандартные протоколы Media Gateway Control Protocol (MGCP), Session Initiation Protocol (SIP) и H.323, а также аналоговые и цифровые модули для подключения к традиционному телефонному оборудованию (факс-аппаратам, УАТС, аналоговым телефонам).

Оптимизация полосы пропускания

Специальные модули для оптимизации полосы пропускания позволяют улучшить производительность приложений, работающих через каналы связи, сокращая таким образом разрыв между скоростями доступа в локальной и распределенной сети.

Реализованные проекты

Реорганизация сети холдинга «Макслевел»

«Макслевел» — это крупная и динамично развивающаяся холдинговая компания, включающая несколько товарных направлений. Основной вид деятельности — поставка и продажа сантехники, мебели и аксессуаров для ванной комнаты, мебели для кухни. Также компания занимается продажей и поставкой встроенной бытовой техники, корпусной и мягкой мебели, интерьерных аксессуаров, текстиля и света, оборудования для бассейнов, фитнесс-центров и аквапарков, отопительного и водогрейного оборудования, кабин с ИК нагревом и саун, проектированием и строительством котельных бытового и промышленного назначения.

В холдинговой компании «Макслевел» работает более 500 сотрудников. В Москве открыты 3 крупных специализированных салона. Компания имеет разветвленную сеть филиалов, осуществляющих деятельность во всех федеральных округах России.

Перед модернизацией сеть состояла из двух центральных офисов в Москве, объединенных выделенным каналом связи Ethernet 10 Mbit/s.

Общая численность сотрудников в московских офисах составляла более 200 человек. Локальные сети офисов были построены на базе оборудования от разных производителей. К одному из центральных офисов подключались 6 филиалов через выделенные каналы связи и 5 филиалов — через Интернет.

Существующая сеть работала нестабильно. Связь с филиалами через VPN-туннели периодически пропадала. Отсутствовало резервирование оборудования и каналов связи.

Было принято решение полностью модернизировать корпоративную сеть, используя в качестве сетевого и коммуникационного оборудования продукты компании Cisco.

В результате модернизации в центральных офисах были построены высокопроизводительные локальные сети. Для подключения филиалов через Интернет используется технология Dynamic Multipoint VPN. Данная технология была выбрана по следующим причинам:

• упрощение администрирования — на центральных маршрутизаторах необходимо настроить только один туннель multipoint GRE, один профиль IPSec для всех удаленных маршрутизаторов. Не нужно настраивать списки доступа для выделения трафика, требующего шифрования;
• туннели строятся динамически, не требуется постоянный IP-адрес для удаленных офисов;
• поддерживается многоадресный трафик, что позволяет использовать протоколы динамической маршрутизации в распределенной сети;
• туннели организуются по кратчайшему пути между офисами, не обязательно через центральный маршрутизатор.

В филиалах установлены маршрутизаторы с интеграцией сервисов серии Cisco 2800. Помимо задач маршрутизации, обеспечения безопасности и шифрования трафика, передаваемого по VPN туннелям, Cisco 2800 обеспечивают объединение офисных телефонных станций, а в ряде филиалов система телефонии построена на базе Cisco CallManager Express.

Модернизированная сеть компании «Макслевел» позволила:

• обеспечить максимальную скорость и качество работы приложений в распределенной сети;
• повысить надежность функционирования сетевой инфраструктуры;
• обеспечить возможность объединения в единый номерной план телефонных систем географически распределенных офисов, снижения стоимости звонков между абонентами внутри компании.