Para fins de TI remotos, VPN ou WAN?

A conectividade tradicional de WAN foi feita através de "linhas alugadas". Estes são circuitos de dados fornecidos por empresas de telecomunicações que aparecem, para seus propósitos, como conexões ponto-a-ponto dedicadas entre seus escritórios. (Na realidade, seus dados são tipicamente multiplexados junto com outros dados e transmitidos por circuitos de maior capacidade dentro da rede da companhia.) Esses circuitos geralmente são razoavelmente confiáveis e normalmente cobertos por um Acordo de Nível de Serviço (SLA) descrevendo como o tempo de inatividade será tratado e qual nível de serviço está sendo adquirido (largura de banda, latência, tempo de atividade, etc). Esses circuitos também são, tradicionalmente, bastante caros em comparação com outros métodos de conectividade remota. Esse tipo de conectividade é estritamente ponto-a-ponto e não há conectividade com a Internet. Muitos provedores oferecem a opção de "gerenciar" o dispositivo que conecta seu escritório remoto à rede de telecomunicações (conhecido como Customer Premise Equipment, ou CPE), de modo que a conexão WAN pode ser considerada "pronta para uso".

No extremo oposto do espectro, as Redes Privadas Virtuais (VPNs) permitem a criação de redes "virtuais" pela Internet. Você poderia, em teoria, obter serviço de Internet de qualquer provedor para cada escritório remoto e, como qualquer ponto de extremidade da Internet pode se comunicar com qualquer outro ponto de extremidade da Internet, use dispositivos de hardware ou software de VPN para criar uma rede virtual pela Internet. Os custos podem ser muito bons, mas você não tem garantia de confiabilidade de serviço, largura de banda, latência, etc. Os SLAs que você pode ter com cada provedor envolvido normalmente não farão diferença em relação ao nível geral de serviço alcançado. pela VPN porque é improvável que você tenha SLAs com todas as operadoras de rede pelas quais a VPN atravessa. Cada escritório, em um cenário de VPN, acaba tendo a conectividade com a Internet como um efeito colateral de ter uma conexão com a Internet para suportar a VPN. No entanto, você pode optar por executar o acesso à Internet do usuário por meio de um hub central para fornecer filtragem ou criação de log. Uma VPN pode estar "sempre ativa", mas a confiabilidade não é garantida.

No meio deste espectro estão as ofertas como o Multi-Protocol Label Switching (MPLS) (e, em anos anteriores, o Frame Relay) que fornece a aparência de conectividade dedicada enquanto, na verdade, opera mais como uma VPN rodando sobre o Rede do próprio provedor MPLS (comumente chamada de "nuvem"). O preço está mais próximo do da conectividade tradicional da WAN para as ofertas MPLS, mas os SLAs também são muito mais próximos aos da conectividade tradicional da WAN. Muitas ofertas de MPLS vêm com o acesso à Internet em cada site remoto, mas, como ocorre com as soluções de VPN, você pode optar por agregar as solicitações de Internet do usuário de forma centralizada. Muitos provedores de MPLS oferecem a opção de "gerenciar" o CPE no escritório remoto, liberando-o de qualquer responsabilidade de manter esse equipamento.

Em algumas áreas geográficas, você pode obter conectividade WAN de velocidade muito alta por meio de serviços como o metro-Ethernet. Normalmente, esses serviços assumem características de conexões tradicionais de WAN e VPN / MPLS. Os SLAs podem variar muito com base no provedor ou no ponto de preço escolhido.

A resposta específica para a sua empresa dependerá da sua largura de banda, latência, confiabilidade, orçamento e necessidades futuras de crescimento / aplicação. Não existe uma solução "tamanho único". Eu recomendaria obter cotações de vários fornecedores diferentes e fazer muitas perguntas. Eu ficaria desconfiado de contratos de longo prazo, a menos que você tenha certeza de que a solução escolhida é adequada para o seu negócio durante a vigência do contrato.

Você pode querer considerar a contratação de um consultor para usar hardware ou software "simulador de WAN" para simular vários tipos de conexões WAN, sobre as quais você pode testar seus aplicativos de software existentes. Saber que seu software vai funcionar em vários tipos de conexões WAN é algo que considero crítico antes de escolher um tipo de conexão. Você gastará um pouco de dinheiro adiantado, mas pode ficar tranqüilo de que sua eventual opção de conectividade de WAN seja adequada para os negócios.

His concern is that he doesn't want to have to have anything in-house, like a firewall or a network connection for all of the satellite offices to depend on.

Bem, você terá que ter ALGO para algum tipo de conectividade de rede. Dependendo do tamanho dos escritórios, eu sugiro algo como o ASA5505 se eles forem menores que 10 pessoas. Ou modelos maiores para mais pessoas. Então sua melhor aposta é configurar um ponto para apontar a VPN entre todos os escritórios.

Você terá um equipamento no qual terá que depender para ter acesso à internet, então por que não fazer algo que você pode configurar uma VPN P2P?

Parece que você precisa pesquisar a diferença entre VPNs site-a-site e apenas executar o cliente VPN. Com um site para site, eles serão como em sua rede e quaisquer ações de inicialização (instalações iniciadas pelo GP, etc.) funcionarão, embora elas sejam executadas mais lentamente na WAN. Você deve verificar se a sua largura de banda em seu escritório central é suficiente para isso primeiro. Para escritórios remotos, o site a site é o melhor. Compre roteadores compatíveis que tenham recursos de VPN.

Eu não entendo os requisitos do seu chefe. Se vocês estão fazendo algum tipo de compartilhamento de arquivos com o escritório principal, eles precisam depender do escritório central. Uma abordagem híbrida é um pequeno servidor de arquivos em cada local com mapeamentos de rede para o seu escritório central. É mais rápido e eles ainda teriam acesso ao escritório central. Claro que você precisa fazer o backup deste servidor para algo, como um NAS local ou uma unidade de fita.

Por último, você não precisa da VPN 'always on' para fazer nada. Isso depende totalmente do que você está usando para enviar atualizações. Há muitas maneiras de fazer isso, muitas das quais não exigem sempre. Dependendo do tamanho de suas atualizações, você pode querer armazená-las no servidor de arquivos remoto e gravar seu script para instalar a partir daí, em vez de todos baixarem por meio da WAN.

Eu cuido de vários clientes com escritórios remotos conectados remotamente por túneis IPSec site-a-site em uma topologia hub / spoke - cada spoke (escritório remoto) pode se conectar a recursos no hub (HQ), mas não um ao outro. Cada local tem uma conexão com a Internet (T1s e ADSL), um dispositivo pequeno e barato de firewall / roteador que mantém o túnel IPSec e fornece ao escritório acesso à Internet.

Como as necessidades de cada local remoto são mínimas, um Terminal Server atende bem às suas necessidades e, como tal, nós dividimos o tunelamento principalmente. Ou seja, o único tráfego que é roteado através do túnel VPN é para o cluster do Terminal Server que está fisicamente localizado no escritório do HQ, tudo o resto sai diretamente pela Internet. Isso funciona muito bem: as regras do firewall são apertadas o suficiente para que o único tráfego permitido no local do HQ esteja diretamente relacionado ao Terminal Server (onde realizam a maior parte do trabalho), o que significa que não me preocupo com a largura de banda do HQ consumido por um cliente de torrent em algum lugar ou vírus se espalhando por meio de compartilhamentos de arquivos. Alguns outros podem apontar que políticas, fiscalização, etc. apropriadas para o usuário final eliminariam esses riscos na fonte, mas, no nosso caso, esses escritórios remotos operam com alguma autonomia, e os recursos / recursos humanos simplesmente não existem para fornecer monitoramento ou chamadas de serviço.

No entanto, este cenário que descrevi pode não funcionar bem para você: você pode ter aplicativos, processos e políticas que são mais bem acoplados ao escritório principal e exigir / esperar condições de rede "semelhantes a LAN". Para isso, você pode precisar de serviços mais robustos da WAN / níveis de serviço, como os sugeridos pela Evan.

A VPN é realmente para usuários externos se conectarem à rede interna. Para a situação inversa, a área de trabalho remota e os serviços como logmein.com podem ser viáveis. Eles são simples e gratuitos.

Eu uso o logmein.com. E se você vai estar no meu caso, onde muitas das vendas pesonnel carregam desktops em todo o mundo, então a VPN não vai cortá-lo. No longo prazo, o logmein.com ainda assumiu a infra-estrutura de VPN que temos.

Como uma história paralela, conseguimos recuperar um laptop perdido via logmein.com porque o pessoal desavisado deixou-o conectado à internet.