WAN Design Questions

3

Recebi a tarefa de redesenhar a WAN da nossa empresa na América do Norte. Temos dois escritórios nos EUA, um em NY e um no centro-oeste. Nós também temos escritórios na Europa. Não vou tocar em nada na Europa, com a exceção de ingressar na Euro WAN com a WAN dos EUA.

A topologia atual é a seguinte:

Temos uma instalação de hospedagem externa em PA, onde a WAN, globalmente, se une. A conexão de internet para os dois sites dos EUA entra por aqui, através de um firewall PIX. A conectividade com a Internet para NY é boa, mas para o escritório do centro-oeste há problemas de latência. Cada site se conecta ao PA por meio de um T1, e todo o tráfego, tanto de rede quanto de internet, é transportado por esses links T1.

A topologia futura:

A instalação de hospedagem fora do local será eliminada e, na verdade, será movida para a nossa localização no meio-oeste. É aqui que o empate da WAN ocorrerá.

Estou procurando sugestões sobre a melhor forma de projetar isso em termos de velocidade, custo e segurança. Atualmente, temos apenas um ponto de acesso à internet nos EUA, que é através da instalação de hospedagem externa. Estou pensando que, para fornecer uma conexão de internet rápida e confiável a cada escritório, seria melhor ter conexões individuais para cada site em vez de ter uma conexão de rede indo para o meio-oeste e, em seguida, passar o link WAN para NY . Conexão a cabo de classe executiva é o que eu tinha em mente, cada um com seu próprio firewall, é claro. Em seguida, conecte os dois escritórios com um T1 ... ou existem métodos mais rápidos, igualmente confiáveis e menos dispendiosos para conectar os dois juntos?

Por favor, insira buracos nas minhas ideias, pois preciso entender melhor o que está disponível do ponto de vista do design.

    
por Citizen Chin 28.07.2009 / 21:07

6 respostas

3
Considere as ofertas MPLS de vários provedores nacionais (QWest, AT & T, etc). Você pode obter conectividade com a Internet em cada escritório remoto e conectividade "privada" entre os sites da "nuvem" do provedor. Conceitualmente, é um pouco como ter uma VPN entre os sites, exceto pelo fato de o equipamento do provedor estar lidando com a conectividade VPN.

Você pode descobrir que o custo mensal não é tão ruim quanto você pensa. Se você colocar seu telefone de voz na foto, poderá acabar economizando custos.

Editar (agora que tenho mais tempo):

Algumas "boas" coisas que os provedores de MPLS geralmente oferecem "de graça" com a solução incluem:

  • NAT e firewall dentro da nuvem. Pode ser uma economia de custos para trazer o MPLS para sites que ainda não possuem firewalls, mas normalmente não é tão flexível quanto ter seu próprio firewall no local (e não é tão fácil de auditar ou obter contadores). Eu tenho um cliente que tem um provedor MPLS que nos permite usar sua funcionalidade de firewall nos sites que não hospedam servidores voltados para a Internet, mas passa todo o tráfego no site onde os servidores voltados para a Internet estão hospedados no firewall lá sem filtros ou NAT. Na verdade é bem legal.

  • QoS para tráfego que cruza a nuvem MPLS. Se você sabe que vai ter fluxos de tráfego específicos entre sites na nuvem que precisam ter prioridade, geralmente você pode provisionar isso na nuvem (e no CPE em cada site).

  • Saída central para a Internet, se você quiser. Em detrimento do uso da sua largura de banda da nuvem, você pode solicitar uma configuração que faça com que todo o acesso à Internet dos sites remotos percorra a nuvem e a saída em um site "hub".

Você pode ter alguma flexibilidade com o uso de vários ISPs. Eu tenho um cliente que está usando MPLS para os sites remotos "importantes" e conexões VPN usando dispositivos Cisco ASA e DSL de commodity ou conexões de Internet a cabo para os sites "menos importantes". (Eles estão executando um dispositivo concentrador de VPN em seu site "hub" que é exposto através da Internet através do provedor MPLS.)

Em teoria, você também pode usar um protocolo de roteamento dinâmico ou rotas estáticas flutuantes para fazer "failover" em túneis VPN através de conexões de Internet de mercadorias secundárias se a nuvem MPLS "cair". Se o seu tempo de atividade precisa justificar a despesa, olhe para isso. Os problemas típicos com as redes MPLS acontecem na "última milha" (problemas típicos de telecomunicações - problemas com falhas inteligentes, fibras sendo BIFF, etc.), embora não na "nuvem".

    
por 28.07.2009 / 21:22
4

Eu sugiro a segunda sugestão de Evan Anderson de MPLS. É a solução que considerei para minha própria rede.

Logicamente, é apontar para a nuvem e todo o roteamento complexo é feito pelo provedor. Isso exige que você tenha um provedor unificado em toda a sua infraestrutura *. Isso não é tão ruim quanto parece, já que há um pouco de colaboração de configuração entre você e seu provedor. Eu não gostaria de fazer isso várias vezes.

Além disso, esteja ciente de que, para não-muito-mais-que-um-T1, você pode entrar nas soluções do tipo metro-ethernet. Isso é excelente, mesmo se você começar com algo como 5Mb / s, porque você pode expandir no futuro sem adicionar mais linhas. Pode não ser importante em seus ramos, mas parece que seu local "central" poderia definitivamente usar mais de um T1. Tome cuidado para mencionar que os provedores que você está comprando ao redor com. Alguns deles não (ou pelo menos há 2 anos) misturam suas nuvens MPLS de ethernet e ethernet. Isso pode ou não ser o caso agora.

Se eu estivesse na sua situação, eu iria com um provedor muito grande, onde você teria a opção de conectar seus nós europeus à rede MPLS também. Não há muitos (ou pelo menos não quando eu estava olhando).

- * Existem provedores de terceiros que podem preencher a lacuna entre operadoras. Essencialmente, eles se conectam a ambos e gerenciam sua conexão em ambos. Blargh

    
por 28.07.2009 / 21:49
0

Eu acho que você está no caminho certo. Definitivamente, apenas carregue suas conexões de VPN / filial com o tráfego real da filial. Deixe o tráfego da Internet para o provedor local individualmente em cada site, a menos que você tenha alguns motivos de segurança / filtragem centralizados / auditoria para levá-lo pelo datacenter principal.

    
por 28.07.2009 / 21:13
0

Várias outras respostas implicam isso, mas considere o uso da conexão com a Internet em cada site como uma conexão de backup para o outro local dos EUA ou para o da Europa. Você pode configurar uma VPN site a site que automaticamente (flutuante estática ou maior custo administrativo) entra em ação se o seu link principal ficar inativo. Isso é especialmente bom se eles estiverem usando portadoras diferentes.

    
por 28.07.2009 / 21:38
0

Você também pode fazer Túneis VPN IPSEC pela internet com as conexões da classe executiva. Se você receber aqueles com uma boa velocidade de upload, provavelmente terá mais largura de banda. No entanto, você não terá QoS, uma vez que ele passa pela Internet e, em teoria, o T1 pode ser mais confiável.

Você também pode considerar o uso de um provedor MPLS para conectar todos os seus escritórios. O provedor poderá implementar algumas QoS para você e, em seguida, você poderá usar a conexão separada para a Internet. O provedor irá isolar seu tráfego para que ele aja como se você tivesse uma VPN entre os dois. Basicamente, com o MPLS, o provedor faz muito mais por você, o que pode ser uma desvantagem ou uma vantagem.

    
por 28.07.2009 / 21:23
0

Uma pergunta que tenho é qual é o custo deste projeto e quais são os objetivos? Você está negociando ações em tempo real através desta rede ou apenas mantendo escritórios remotos em contato com a matriz para folha de pagamento e estoque? Existe algum interesse em falar sobre isso? Alguém lhe pedirá para veicular o vídeo uma semana depois de comprar todo o seu equipamento?

A maneira mais barata de obter links rápidos para a Internet é usar DSL / fios / cabo de provedores locais, obter dois links independentes e executar VPNs sobre esses e protocolos de roteamento nas VPNs, para que você tenha um failover confiável sobre os " Rede interna. Isso também é complexo estúpido e provavelmente mais difícil de se manter operacional a longo prazo, mas barato e rápido.

Se você estiver disposto a fazer um grande teste, obtenha o MPLS de um provedor e deixe que ele gerencie seu equipamento e sua rede. Mas, o mesmo provedor MPLS é capaz de alcançar todos os sites do seu escritório? Caso contrário, você terá que executar uma VPN entre eles (os provedores de MPLS normalmente não oferecem túneis MPLS entre provedores). Se você tem uma operação nacional, estará limitado a 3 a 8 provedores com acesso a todos os seus sites. Se você é uma operação global, esse número ficou muito menor, a menos que você esteja disposto a subornar os provedores a conversar entre si.

Eu evitaria os T1s - eles são muito lentos e muito caros para o que você recebe. Eu também tenho visto pouca confiabilidade de alguns provedores. O T3 fracionário geralmente não é muito mais, mas muitas vezes você também pode obter Ethernet dos mesmos provedores que oferecem o T1 / T3.

    
por 29.07.2009 / 05:54