MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

Question

[m0ps]

Нужна помощь с аргументом руководству касательно построения распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Зашел разговор с руководителем о вопросе модернизации распределенной сети предприятия в масштабах области. Сейчас есть MPLS от национального провайдера плюс еще несколько выделенных линий по городу, где находится головной офис. На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации). MPLS от национального провайдера и выделенки от местного руководитель считает надежными каналами связи (в плане безопасности), но цены на них намного выше цен на интернет от того-же национального провайдера.

В центральном офисе планируется апгрейд сетевой инфраструктуры с заменой оборудования на Juniper SRX240+EX4200+EX2200

Я предлагаю отказаться от мплс-а и выделенок, везде включить мегадешевый и намного более быстрый интернет (по сравнению со скорость MPLS-a), заменить роутеры на Juniper SRX100 и организовать еще и резерв в бранчах через GPRS (есть некоторое количество GPRS роутеров Conel ER75i которые могут работать и в качестве обыкновенных модемов).

В итоге получается следующая схема:

Route-Based IPsec между головным офисом и бранчами с OSPF и резервированием каналов связи через GPRS.

По моим подсчетам экономия на замене MPLS-a на интернет (с учетом внедрения резервных каналов через GPRS) в год будет составлять порядка стоимости двух новых Juniper SRX 100B. Бранчей 8 штук. Получится что за 4 года окупится стоимость покупки SRX-ов, дальше — профит. Учитывая что за MPLS мы используем уже более 4-х лет (2 точки уже 5 лет) и сворачивать бизнес не собираемся, а только расширятся — при изначальном использовании интернета мы бы могли сэкономить уже приличную сумму и дальше она будет только увеличиваться.


Руководства прельщает идея экономить на связи, но:

1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома), и предлагает использовать динамические адреса в бранчах.

2) Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).


Хотел бы услышать отзывы\критику о моей идее, а так же попросить у уважаемого сообщества помощи в составлении аргументов в пользу моей идеи.

Так же хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах. С ходу вижу только одну проблему — IPSEC может устанавливаться только со стороны бранча.

Answer 1

[JDima]

распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.

Это отвратительно.

На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации).

Переходите на DMVPN+EIGRP/OSPF.
У Жунипера есть нечто похожее.

1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома)

ACL, разрешающий пакеты только от ЦО. Еще можно тупо не делать маршрут на 0/0 в интернет, сделав лишь хостовые маршруты на центральные роутерц.

Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).

DMVPN.

хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах.

На хабах нельзя указать в ACL список адресов бранчей. Терпимый воркараунд — узнать у операторов диапазоны возможных адресов. Но на самом деле светить узлы в интернет не так опасно, как кажется, если не наделать глупостей.
Ну а DMVPN даже сквозь NAT пробивает — я тестировал.

Comments

[m0ps]

Это отвратительно.

Что тут отвратительного?

Переходите на DMVPN+EIGRP/OSPF.

85х — из динамики не умеют ничего кроме рипа

ACL, разрешающий пакеты только от ЦО. Еще можно тупо не делать маршрут на 0/0 в интернет, сделав лишь хостовые маршруты на центральные роутерц.

Эт понятно, только вот у него есть аргумент: а если кто-то сознательно захочет нарушить работу предприятия… К примеру тупо забив каналы бранчей обыкновенными ICMP пакетами большого размера (Каналы не велики, мегабит до 10). При динамическом IP — перегрузил модем и все, при статике — ничего ты не сделаешь.

В общем задача то в чем:
Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

[JDima]

Что тут отвратительного?

Пардон, померещилось «статические маршруты» :)

85х — из динамики не умеют ничего кроме рипа

Можно махнуть на те же 860-е. Много заменять?

а если кто-то сознательно захочет нарушить работу предприятия… К примеру тупо забив каналы бранчей обыкновенными ICMP пакетами большого размера

У меня сотни бранчей. Нигде никогда такого не было. Никто из моих знакомых тоже никогда не слышал об атаках на споки.
А откуда атакующий узнает статический адрес спока? Внутренним сотрудникам (кроме администраторов) он неизвестен, и выяснить его они не могут. Никакие обращения на сторонние ресурсы с этого адреса идти не могут. Ни на какие внешние воздействия он не отзывается, кроме как от хаба (или при phase 2 — от других споков).
Итого: атака ИСКЛЮЧИТЕЛЬНО маловероятна. Ну никто не будет этим заниматься. Скорее забьют центральный канал, на который указывают MX и A записи глобального DNS.
И снова: споки DMVPN могут находиться хоть за провайдерским натом (наверняка еще дешевле). Неважно, какой у них адрес и откуда они подключаются; сразу при появлении доступа в интернет они состыкуются с хабами.

Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

Как я уже сказал — смысла в переходе на жуниперы особо не вижу, если цискина инфраструктура уже развернута.

Answer 2

[Грек Латинос]

А каков размер трафика в каналах?

Варианты с Микротиком не рассматривали? И дешево, и гибко настраивается.

Answer 3

[m0ps]

Можно махнуть на те же 860-е. Много заменять?

Менять не много, но 860 — тоже только RIP. OSPF — 870/880 с AdvIPServices.

Как я уже сказал — смысла в переходе на жуниперы особо не вижу, если цискина инфраструктура уже развернута.

Головной офис будет переезжать и будет меняться все оборудование на Juniper — т.к. старое уже морально и физически устарело (выбор на джунипер пал из-за цены проекта — безоговорочность выигрывает у циско).

У меня сотни бранчей. Нигде никогда такого не было. Никто из моих знакомых тоже никогда не слышал об атаках на споки.
А откуда атакующий узнает статический адрес спока? Внутренним сотрудникам (кроме администраторов) он неизвестен, и выяснить его они не могут. Никакие обращения на сторонние ресурсы с этого адреса идти не могут. Ни на какие внешние воздействия он не отзывается, кроме как от хаба (или при phase 2 — от других споков).
Итого: атака ИСКЛЮЧИТЕЛЬНО маловероятна. Ну никто не будет этим заниматься. Скорее забьют центральный канал, на который указывают MX и A записи глобального DNS.

А вот это именно тот аргумент, который я хотел услышать. Спасибо!

Comments

[JDima]

860 — тоже только RIP

Блин, что за хлам вы покупаете? :)

выбор на джунипер пал из-за цены проекта — безоговорочность выигрывает у циско

А на линейку ASA смотрели? Например, 5505, которая несравнимо мощнее 800-х роутеров, стоит около 15к рублей.
www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
Правда, тогда ни о каком DMVPN речи нет. Но у нас до сих пор полно бранчей, работающих за этими малышами. Ломаются редко, пашут стабильно.

[m0ps]

Блин, что за хлам вы покупаете? :)

Знаю… Просто до меня еще кто-то решил сэкономить и взял 85х серию, когда пошел отказ от FR, теперь сложно руководству объяснить почему надо покупать роутер который стоит в 2 раза дороже, если и на дешевом все работает.

А на линейку ASA смотрели?

Сейчас в центральном офисе стоит 5510 «на интернете». Железки хорошие, но смущает отсутствие GRE и PBR, так что при сравнимой цене — SRX100 более выгоде, т.к. в плане маршрутизации он не урезан как АСЫ, да и вообще, после знакомства с CLI джунипера, CLI в ISR и тем-более CLI в ASA кажутся каким-то каменным веком :)

[m0ps]

Про сравнимую цену — имел в виду 5505 и SRX100B

Answer 4

[Владимир Пилипчук]

Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

Я думаю, что не суть какое оборудование использовать. Главное чтобы ответсвенные сотрудники умели его правильно готовить.
Я лично, недавно сталкивался с такой задачей — объяснить руководству. Особо оно не упиралось, руководство это. я лишь объяснил, что использование чужого (операторского) MPLS/VPN — дополнительная колонка в карте рисков. Ничто, кроме совести, не мешает оператору вклиниться в нашу частную сеть + стоимость своего MPLS — в 60 раз дешевле (в нашем случае).
В итоге на имеющихся кошках приготовил «солянку» Dual Hub DMVPN + MPLS + EIGRP + QoS. Руководство сначала сомневалось, ибо паблик по обоим каналам менее стабилен на порядки, по сравнению с арендуемым MPLS, однако после первых трех месяцев аптайма КСПД и ужасающей статистики по падению каналов (которое никак не сказалось на SLA) — довольно итоговым результатом.

Comments

[JDima]

Ничто, кроме совести, не мешает оператору вклиниться в нашу частную сеть

Есть GETVPN. Есть DMVPN. А еще операторский MPLS имеет меньшие задержки, и сразу ясно, кто несет ответственность за связность из конца в конец.

[Владимир Пилипчук]

Простите, но я не понял смысла Вами сказанного.

[unsobill]

если MPLS то лучше делать GETVPN, если же Ethernet то DMPVN. как-то так вроде.

Answer 5

[shapa]

Ни циска, ни джун если совсем уж правильно все сделать.

Для этого есть специализированное решение.

www.talari.com