Задать вопрос

MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

Нужна помощь с аргументом руководству касательно построения распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Зашел разговор с руководителем о вопросе модернизации распределенной сети предприятия в масштабах области. Сейчас есть MPLS от национального провайдера плюс еще несколько выделенных линий по городу, где находится головной офис. На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации). MPLS от национального провайдера и выделенки от местного руководитель считает надежными каналами связи (в плане безопасности), но цены на них намного выше цен на интернет от того-же национального провайдера.

В центральном офисе планируется апгрейд сетевой инфраструктуры с заменой оборудования на Juniper SRX240+EX4200+EX2200

Я предлагаю отказаться от мплс-а и выделенок, везде включить мегадешевый и намного более быстрый интернет (по сравнению со скорость MPLS-a), заменить роутеры на Juniper SRX100 и организовать еще и резерв в бранчах через GPRS (есть некоторое количество GPRS роутеров Conel ER75i которые могут работать и в качестве обыкновенных модемов).

В итоге получается следующая схема:

Route-Based IPsec между головным офисом и бранчами с OSPF и резервированием каналов связи через GPRS.

По моим подсчетам экономия на замене MPLS-a на интернет (с учетом внедрения резервных каналов через GPRS) в год будет составлять порядка стоимости двух новых Juniper SRX 100B. Бранчей 8 штук. Получится что за 4 года окупится стоимость покупки SRX-ов, дальше — профит. Учитывая что за MPLS мы используем уже более 4-х лет (2 точки уже 5 лет) и сворачивать бизнес не собираемся, а только расширятся — при изначальном использовании интернета мы бы могли сэкономить уже приличную сумму и дальше она будет только увеличиваться.


Руководства прельщает идея экономить на связи, но:

1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома), и предлагает использовать динамические адреса в бранчах.

2) Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).


Хотел бы услышать отзывы\критику о моей идее, а так же попросить у уважаемого сообщества помощи в составлении аргументов в пользу моей идеи.

Так же хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах. С ходу вижу только одну проблему — IPSEC может устанавливаться только со стороны бранча.
  • Вопрос задан
  • 6095 просмотров
Подписаться 4 Оценить Комментировать
Решения вопроса 1
@JDima
распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Это отвратительно.
На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации).

Переходите на DMVPN+EIGRP/OSPF.
У Жунипера есть нечто похожее.
1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома)

ACL, разрешающий пакеты только от ЦО. Еще можно тупо не делать маршрут на 0/0 в интернет, сделав лишь хостовые маршруты на центральные роутерц.
Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).

DMVPN.
хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах.

На хабах нельзя указать в ACL список адресов бранчей. Терпимый воркараунд — узнать у операторов диапазоны возможных адресов. Но на самом деле светить узлы в интернет не так опасно, как кажется, если не наделать глупостей.
Ну а DMVPN даже сквозь NAT пробивает — я тестировал.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
А каков размер трафика в каналах?

Варианты с Микротиком не рассматривали? И дешево, и гибко настраивается.
Ответ написан
Комментировать
m0ps
@m0ps Автор вопроса
Можно махнуть на те же 860-е. Много заменять?

Менять не много, но 860 — тоже только RIP. OSPF — 870/880 с AdvIPServices.

Как я уже сказал — смысла в переходе на жуниперы особо не вижу, если цискина инфраструктура уже развернута.

Головной офис будет переезжать и будет меняться все оборудование на Juniper — т.к. старое уже морально и физически устарело (выбор на джунипер пал из-за цены проекта — безоговорочность выигрывает у циско).

У меня сотни бранчей. Нигде никогда такого не было. Никто из моих знакомых тоже никогда не слышал об атаках на споки.
А откуда атакующий узнает статический адрес спока? Внутренним сотрудникам (кроме администраторов) он неизвестен, и выяснить его они не могут. Никакие обращения на сторонние ресурсы с этого адреса идти не могут. Ни на какие внешние воздействия он не отзывается, кроме как от хаба (или при phase 2 — от других споков).
Итого: атака ИСКЛЮЧИТЕЛЬНО маловероятна. Ну никто не будет этим заниматься. Скорее забьют центральный канал, на который указывают MX и A записи глобального DNS.

А вот это именно тот аргумент, который я хотел услышать. Спасибо!
Ответ написан
SLIDERWEB
@SLIDERWEB
ИТ-Куроводитель
Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

Я думаю, что не суть какое оборудование использовать. Главное чтобы ответсвенные сотрудники умели его правильно готовить.
Я лично, недавно сталкивался с такой задачей — объяснить руководству. Особо оно не упиралось, руководство это. я лишь объяснил, что использование чужого (операторского) MPLS/VPN — дополнительная колонка в карте рисков. Ничто, кроме совести, не мешает оператору вклиниться в нашу частную сеть + стоимость своего MPLS — в 60 раз дешевле (в нашем случае).
В итоге на имеющихся кошках приготовил «солянку» Dual Hub DMVPN + MPLS + EIGRP + QoS. Руководство сначала сомневалось, ибо паблик по обоим каналам менее стабилен на порядки, по сравнению с арендуемым MPLS, однако после первых трех месяцев аптайма КСПД и ужасающей статистики по падению каналов (которое никак не сказалось на SLA) — довольно итоговым результатом.
Ответ написан
shapa
@shapa
Ни циска, ни джун если совсем уж правильно все сделать.

Для этого есть специализированное решение.

www.talari.com

image
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы