Задать вопрос
m0ps
@m0ps
сети

MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

Нужна помощь с аргументом руководству касательно построения распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Зашел разговор с руководителем о вопросе модернизации распределенной сети предприятия в масштабах области. Сейчас есть MPLS от национального провайдера плюс еще несколько выделенных линий по городу, где находится головной офис. На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации). MPLS от национального провайдера и выделенки от местного руководитель считает надежными каналами связи (в плане безопасности), но цены на них намного выше цен на интернет от того-же национального провайдера.

В центральном офисе планируется апгрейд сетевой инфраструктуры с заменой оборудования на Juniper SRX240+EX4200+EX2200

Я предлагаю отказаться от мплс-а и выделенок, везде включить мегадешевый и намного более быстрый интернет (по сравнению со скорость MPLS-a), заменить роутеры на Juniper SRX100 и организовать еще и резерв в бранчах через GPRS (есть некоторое количество GPRS роутеров Conel ER75i которые могут работать и в качестве обыкновенных модемов).

В итоге получается следующая схема:

Route-Based IPsec между головным офисом и бранчами с OSPF и резервированием каналов связи через GPRS.

По моим подсчетам экономия на замене MPLS-a на интернет (с учетом внедрения резервных каналов через GPRS) в год будет составлять порядка стоимости двух новых Juniper SRX 100B. Бранчей 8 штук. Получится что за 4 года окупится стоимость покупки SRX-ов, дальше — профит. Учитывая что за MPLS мы используем уже более 4-х лет (2 точки уже 5 лет) и сворачивать бизнес не собираемся, а только расширятся — при изначальном использовании интернета мы бы могли сэкономить уже приличную сумму и дальше она будет только увеличиваться.


Руководства прельщает идея экономить на связи, но:

1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома), и предлагает использовать динамические адреса в бранчах.

2) Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).


Хотел бы услышать отзывы\критику о моей идее, а так же попросить у уважаемого сообщества помощи в составлении аргументов в пользу моей идеи.

Так же хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах. С ходу вижу только одну проблему — IPSEC может устанавливаться только со стороны бранча.
  • Вопрос задан
  • 6103 просмотра
Комментировать
Подписаться 4 Оценить Комментировать
Решение пользователя JDima К ответам на вопрос (5)
@JDima
распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Это отвратительно.
На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации).

Переходите на DMVPN+EIGRP/OSPF.
У Жунипера есть нечто похожее.
1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома)

ACL, разрешающий пакеты только от ЦО. Еще можно тупо не делать маршрут на 0/0 в интернет, сделав лишь хостовые маршруты на центральные роутерц.
Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).

DMVPN.
хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах.

На хабах нельзя указать в ACL список адресов бранчей. Терпимый воркараунд — узнать у операторов диапазоны возможных адресов. Но на самом деле светить узлы в интернет не так опасно, как кажется, если не наделать глупостей.
Ну а DMVPN даже сквозь NAT пробивает — я тестировал.
Ответ написан
2 комментария
2 комментария