Предложение по созданию защищенной сети VPN

8 сентября 2009 г.

Данный проект предназначен для связи в единую защищенную сеть, географически распределенных офисов компании. В основу реализации положена технология VPN (вируальные частные сети). Сеть строится на оборудование лидера в производстве сетевых устройств - CISCO.

ЦЕЛИ ДОКУМЕНТА

Предоставление коммерческого предложения по созданию защищенной сети VPN для связи в единую сеть географически распределенных офисов.
ЗАДАЧИ ДОКУМЕНТА

  1. Подготовить план создания защищенной сети VPN
  2. Разработать концепцию информационных потоков
  3. Разработать несколько вариантов реализации защищенной сети

ПОСЛЕДУЮЩИЕ ДЕЙСТВИЯ

Заказчику предлагается выбрать один из вариантов. На основе выбранного варианта составляется проект по созданию защищенной сети VPN. Далее, по подготовленному проекту сеть будет реализована и введена в эксплуатацию.

1. ОСНОВНЫЕ ПОЛОЖЕНИЯ

1.1. Участники

Заказчик:
  • ООО «Мои счастливые звёзды» г. Москва
    Представитель:
     
  • ООО «Мои счастливые звёзды» г. Минск
    Представитель:


Исполнитель:
  • ООО «ХотСаппорт» г. Москва
    Представитель: Кондауров К.Н.
     
  • Интернет-провайдер:
    ЗАО «Internet-online»

1.2. Предпосылки

Компания МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ является компанией производителем надувных игрушек с территориально распределенной инфраструктурой.

ГОЛОВНОЙ ОФИС НАХОДИТСЯ НА ТЕРРИТОРИИ БИЗНЕС-ЦЕНТРА «НЕБОСКРЁБ» (Г. МОСКВА)
Персонал:
Руководство компании
Сотрудники офиса
Оборудование:
Группа серверов
Рабочие станции
Канал связи с сетью Интернет обеспечивается Компанией ООО «INTERNET-ONLINE»

ДОПОЛНИТЕЛЬНЫЙ ОФИС НАХОДИТСЯ НА ТЕРРИТОРИИ Г. МИНСК
Персонал:
Сотрудники офиса
Оборудование:
Группа серверов
Рабочие станции
Канал связи с сетью Интернет обеспечивается местным провайдером

НАСТОЯЩЕЕ ПОЛОЖЕНИЕ ДЕЛ
На данный момент основная часть работ в компании проводится в большей мере на сервере размещенном в головном офисе компании. Вследствие территориального разделения инфраструктуры компании имеется необходимость обеспечения возможности защищенного обмена информационным трафиком между двумя локальными сетевыми сегментами головного и дополнительного офиса.

1.3. Бизнес-требования

ТРЕБОВАНИЯ К КАНАЛАМ СВЯЗИ

  • Каналы связи должны обеспечивать пропускную способность не менее 5 Мбит/с для обеспечения поступления потоков данных с биржевыми сводками.
  • Разрывы связи не должны превышать 1 час при наличии электропитания и канала доступа в сеть Internet.

ТРЕБОВАНИЯ К ФУНКЦИОНАЛУ ОБОРУДОВАНИЯ
Используемое оборудование должно обеспечивать:

  • Защиту внутренних сетей от внешних воздействий;
  • Возможность разграничивать доступ из локальной сети во внешнюю;
  • Возможность подключения дополнительных интернет-каналов;
  • Возможность расширения защищенной сети VPN.

ТРЕБОВАНИЯ К РАЗМЕЩЕНИЮ ОБОРУДОВАНИЯ
Оборудование, образующее защищенную сеть VPN, должно быть обеспечено:

  • Бесперебойным электропитанием;
  • Заземлением;
  • Температурным режимом согласно паспорту оборудования.

1.4. Возможные решения

В виду большой стоимости обеспечения выделенных каналов была предлагается более дешевая и гибкая технология «Виртуальных частных сетей» (Virtual Private Networks, VPN) и объединения сетевых сегментов посредством каналов связи сети «Интернет». Данная технология обладает положительными и отрицательными качествами.
Положительные:

  • относительная дешевизна организации и эксплуатации
  • независимость от территориальной удаленности
  • простота реализации и масштабируемости решения.


Отрицательные:

  • зависимость от качества каналов связи
  • сложность сетевого оборудования
  • относительная большая вероятность кратковременных программно-аппаратных сбоев установленного канала связи между оборудованием


Ограничения:

  • необходимость, как минимум, одного реального ip адреса
  • максимальная скорость канала ограничена каждым участком канала связи по пути следования пакетов между оборудованием решения и пропускной способностью самого оборудования

Существуют различные варианты реализации каналов связи VPN:

  • программно-аппаратные
  • программные

Программно-аппаратные решения могут быть реализованы на оборудовании CISCO, NORTEL, DLink, 3COM и других производителей.
Программные решения могут быть реализованы на продуктах компаний Microsoft, OpenVPN Technologies и других.

1.5. Информационные потоки

В данный момент можно обозначить следующие основные информационные потоки:
Статистический поток — представляет собой информационный трафик. Предоставляется профессиональным участникам на платной основе. (Объем трафика примерно 4–5 Мегабит в секунду. Плотность потока относительно постоянная.)
Связь между офисами — представляет совокупность различных потоков необходимых для обеспечения территориальной работы. (Объем трафика составляет примерно 128–512 Кб/с. Плотность потока относительно непостоянная. Пик нагрузки приходится на рабочее время.)

2. СЦЕНАРИЙ ВНЕДРЕНИЯ РЕШЕНИЯ

2.1. Этап 1

Последовательность работ 1 этапа:

  1. Устанавливается дополнительный брандмауэр (брандмауэр и сервер VPN) между сетевыми сегментами INTERNET-ONLINE и МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ (г. Москва), при необходимости заменяется или дополняется существующий брандмауэр в дополнительном офисе (г. Минск) обеспечивающие следующие функции:
    • Маршрутизация сетевого трафика между внутренними и внешними сетевыми сегментами
    • Скрытие внутренней сетевой инфраструктуры МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ «извне»
    • Ограничение сетевого доступа от внешних угроз
    • Обеспечение защищенного канала связи между сетевыми сегментами МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ
  2. Устанавливается защищенный канал связи между головным офисом (г. Москва) и дополнительным офисом (г. Минск).
  3. Разграничиваются сетевые доступы на брандмауэрах компании МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ

     

2.2. Этап 2

Последовательность работ 2 этапа:

  1. Получение альтернативного канала связи МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ с сетью Интернет.
  2. Получение прямого информационного потока непосредственно с сервера статистики.

 

2.3. Этап 3

Последовательность работ 3 этапа:

  1. «Боевой» сервер МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ размещается на серверной площадке.
  2. Устанавливается дополнительный брандмауэр (брандмауэр и сервер VPN) между боевым сервером МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ и сетью Интернет обеспечивающий следующие функции:
    • Маршрутизация сетевого трафика между внутренними и внешними сетевыми сегментами
    • Ограничение сетевого доступа от внешних угроз
    • Обеспечение защищенного канала связи между сетевыми сегментами МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ
  3. Устанавливается защищенный канал связи между боевым сервером МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ и головным офисом (г. Москва).
  4. Устанавливается защищенный канал связи между боевым сервером МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ и дополнительным офисом (г. Минск).
  5. Разграничиваются сетевые доступы на брандмауэрах компании МОИ СЧАСТЛИВЫЕ ЗВЁЗДЫ

     

3. ВАРИАНТЫ РЕШЕНИЯ

Предлагается на выбор 2 варианта на оборудовании CISCO. Разница лишь в используемом оборудовании и ограничениях, накладываемых имеющимся функционалом.

Решение включает в себя следующие работы:

  1. Приобретение оборудования
  2. Настройка оборудования для организации доступа в сеть Internet
  3. Настройка Firewall и NAT
  4. Настройка VPN
  5. Тестирование
  6. Передачу оборудования в удаленный офис
  7. Запуск системы в эксплуатацию

 

3.1. Сравнение предлагаемых решений

Вариант 1 Cisco ASA 5500

  • Возможность подключения оптического модуля
  • Возможность включения IDS, фильтрацию контента, вирусов, спама
  • 50 VPN туннелей со скоростью до 100 Мбит/с
  • 8 управляемых разделенных портов RJ45, 1 разъем для подключения дополнительного модуля

Вариант 2 Cisco 1800

  • Возможность подключения оптического модуля, Wi-Fi модуля, IPS, v. 92 Analog Modem Dial Backup, ADSL
  • Поддержка протоколов маршрутизации: BGP, EIGRP, OSPF, RIPv1, RIPv2
  • До 50 VPN туннелей со скоростью до 40 Мбит/с
  • 2 управляемых порта RJ45 10/100 WAN, 8 управляемых разделенных портов RJ45 10/100 LAN, 1 разъем для подключения дополнительного модуля

По всем возникающим вопросам обращайтесь к руководителю направления виртуализации Кузнецову Дмитрию. Звоните по телефону +7 926 210 32 89 или отправьте сообщение.

Поддержка серверов
Поддержка локальных
Поддержка оборудования
По всем вопросам обращайтесь:
Тел.: (499) 3434 1 34
Написать нам письмо

Другие направления