Eu tenho uma linha T1 dedicada que funciona entre o meu escritório e meu data center. Ambas as extremidades têm endereços IP públicos.
Em ambas as extremidades, temos roteadores AdTran T1 que se conectam a firewalls SonicWall.
Os SonicWalls fazem uma VPN site-to-site e lidam com a tradução da rede, para que os computadores na rede do escritório (10.0.100.x) possam acessar os servidores no rack (10.0.103.x).
Então, a pergunta: posso apenas adicionar uma rota estática ao SonicWalls para que cada rede possa acessar uma à outra sem a VPN? Existem problemas de segurança (como alguém adicionar a rota estática apropriada e poder acessar o escritório ou o datacenter)? Existe outra maneira melhor de fazer isso?
A razão pela qual estou vendo isso é porque o T1 já é um pipe bem pequeno e ter a sobrecarga de VPN torna a conectividade realmente lenta.
-
Esclarecimentos (obrigado pelas respostas até agora):
O obstáculo para mim é que o T1 tem um endereço IP público. Se eu configurar uma rota no escritório que diz "você pode encontrar o gateway para 10.0.103.0 em 200.XYZ", pode algum cara na internet também configurar a mesma rota e também poderá acessar minha rede 10.0.103.0?
Com a VPN, sei que não é possível porque existem protocolos de autorização que impedem que pessoas de fora entrem.
Como alternativa, acho que a pergunta é "Qual é a maneira correta de rotear entre duas redes remotas através de uma linha T1?"
O T1 em questão tem um endpoint físico em meu escritório e outro endpoint físico em algum lugar no datacenter, mas, novamente, o endereço IP é público.
Não estou preocupado com o fato de que as pessoas das empresas de telecomunicações ou de datacenter estão farejando minhas senhas (se fossem, isso seria uma droga, mas essa situação está acima do meu limite de paranóia :).
Dependendo do modelo dos roteadores Cisco e se eles estão atualizados com o IOS mais recente. Contrate um administrador da Cisco para configurar os roteadores corretamente e você poderá eliminar todos os Sonicwalls juntos.
Tudo o que você precisa é de uma ACL endurecida e roteamento configurado corretamente.
mas, o tráfego da VPN não deve diminuir muito a conexão, eu começaria a testar o tráfego perdido e ver se você está sendo atacado.
O que você quer dizer com "necessidade"? É provavelmente bastante seguro, mas não é 100% seguro. Você tem um fio de cobre dedicado físico entre eles? Não pense assim. Provavelmente, apenas dois T1s que passam pela rede do seu provedor com largura de banda dedicada. Então, alguém na rede do provedor pode interceptar seus dados. Então, se isso é realmente sensível, a resposta é não.
você confia na sua empresa de telecomunicações?
você confia em sua própria rede?
A latência dos custos de criptografia?
Quão sensíveis são os dados?
Quais dados estão fluindo pela linha T1? e por quê?
o que você está tentando proteger e de quem?
se você começar a usar a criptografia, poderá solucionar problemas se der errado?
Quando você envia dados pela Internet, arrisca que alguém intercepte os dados. O que você deve realmente perguntar é se a empresa considera seus dados confidenciais? .
Se não remover a VPN, não espere um grande impulso se o fizer.
Você também pode ver se sua empresa pode comprar uma linha de cabo ou DSL, o que pode ajudar a reduzir a carga. Boa sorte!.
Sons simples Os roteadores / firewalls devem ter hardware acelerador de VPN incorporado.
e para ser honesto, firewalls sônicos me preocupam um pouco,
você já considerou o cisco ASA ou uma unidade de firewall de maior qualidade?
Eu acho que será onde a melhoria é feita.
o funcionamento interno da unidade é o que está causando o seu problema com o throughput vpn.
Eric.