INLINE Technologies
Eng

Публикации

«BYTE/Россия», № 6, 2006

Защищенные коммуникации в территориально распределенных компаниях

Дмитрий СабаевНа вопросы журнала «BYTE/Россия», заданные ведущим экспертам компаний – системных интеграторов, отвечает руководитель Отдела мультисервисных сетей компании INLINE Technologies Дмитрий Сабаев.

Каковы, на ваш взгляд, предпочтительные технологии и конкретные технические решения для организации защищенных соединений в территориально распределенных компаниях масштаба города и области?

Разобьем задачу построения распределенных корпоративных сетей на различные уровни решений и выберем оптимальные технологии на каждом из них.

Начнем с решений инфраструктурного уровня и посмотрим на транспортные технологии. Здесь наиболее важными требованиями будут являться скорость, отказоустойчивость, качество обслуживания, время восстановления и т.д., и отчасти поэтому в качестве инфраструктурного решения для узлов сети лучше остановиться на технологиях Gigabit Ethernet, 10 Gigabit Ethernet и технологиях агрегации EtherChannel. Эти технологии обладают хорошим соотношением цена–качество и позволят заказчику в обозримое время не беспокоиться о пропускной способности. Добавим, что если требуется высокая отказоустойчивость узлов, то целесообразно применить дублирование оборудования узлов с использованием соответствующих технологий и протоколов.

В инфраструктурный уровень также войдет и транспортная сеть оператора связи, где в качестве услуги по организации каналов связи лучше рассмотреть услугу MPLS/VPN, которая позволит заказчику платить за реально переданный трафик, а не за выделенный канал. На базе единой структуры MPLS/VPN оператора целесообразно организовать собственную сеть из динамических VPN. Это обеспечит при сохранении требований безопасности более простое и логичное взаимодействие всех узлов в одном операторском VPN, что существенно облегчит введение новых узлов и их обслуживание.

Конечно, для реализации механизмов отказоустойчивости стоит предусмотреть резервное соединение между узлами через другого оператора связи или через Интернет. Однако следует учесть, что требования к отказоустойчивости, балансированию нагрузки и резервированию в конечном счете приведет к более сложной архитектуре протоколов маршрутизации в корпоративной сети, к использованию большего количества оборудования и как следствие – к более высоким требованиям к обслуживающему персоналу заказчика.

Практически в обязательном порядке добавим в инфраструктурный уровень беспроводные сегменты сети стандарта 802.1g, которые обеспечат пользователям мобильность в офисе компании.

Пойдем дальше и разобьем сеть на логические подсистемы. Начнем, к примеру, с подсистемы безопасности. В эту подсистему войдет достаточно много технологий, среди которых: шифрование трафика между узлами на основном и резервном каналах связи; локальное и/или удаленное подключение пользователей к сети с использованием технологии Cisco NAC, которая не даст подключать клиентские машины без установленных патчей операционных систем или новых антивирусных баз (конечно, перспективная технология, но непростая при внедрении и эксплуатации); удаленный доступ к ресурсам сети при помощи VPN-соединений как в традиционном виде, так и при помощи SSL VPN; единая система управления подсистемами информационной безопасности и работа с инцидентами нарушений политик безопасности; технологии и решения защиты беспроводной части сети.

Подсистему корпоративной телефонной связи, без сомнения, сделаем на базе протокола IP. При строительстве распределенных корпоративных сетей уже скоро это можно будет назвать традиционным решением. IP-телефония полностью оправдывает себя при эксплуатации, дальнейшем развитии и интеграции с другими подсистемами. При этом о стоит иметь в виду возможность маршрутизации внешнего голосового трафика через пакетную сеть «голосовых» операторов связи для уменьшения стоимости междугородних/международных разговоров. Стоит также отметить ценовую доступность персональных систем видеосвязи, которые очень просто интегрируются с системам IP-телефонии.

Конечно, для единого управления массой подсистем целесообразно использовать системы управления, и выбирать их стоит тщательно, так как вряд ли мы сможем найти одну систему. Скорее всего, это будет комплекс систем управления для сетевого оборудования, серверных платформ, а в качестве единой надстройки можно использовать, например, решение компании Managed Objects.

Какова, по вашему мнению, оптимальная стратегия минимизации издержек при создании защищенной телекоммуникационной инфраструктуры территориально распределенных компаний? На что заказчикам стоит обратить особое внимание при выборе конкретных решений?

При создании защищенной телекоммуникационной инфраструктуры всегда стоит соблюдать баланс между желаниями и финансовыми возможностями. Если рассматривать на этом этапе стратегию минимизации издержек, ее стоит разбить на две составляющие: организационную и техническую. Организационная составляющая должна предусматривать ведение проекта по канонам проектной деятельности как со стороны исполнителя, так и со стороны заказчика, начиная от проектирования и заканчивая четко подготовленным внедрением. Это подразумевает создание проектных команд с обеих сторон, что поможет минимизировать возможные проблемы при проектировании и внедрении. Четкая совместная работа таких проектных команд и ориентация на достижение цели существенно снизят издержки и внесут прозрачность при контроле ведения комплексного проекта.

Под технической составляющей стратегии минимизации издержек будем подразумевать создание решений, которые просты при внедрении и обслуживании, современных, безопасных и обладающих гибкостью при дальнейшем развитии.

Заказчику следует обратить внимание на применение технологий, которые хорошо себя зарекомендовали и под которые массово выпускается оборудование. Стоит избегать технологий и протоколов, поддерживаемых только одним вендором (proprietary protocols), пусть даже это и несет некоторые плюсы в конкретный момент. Поверьте, в противном случае неминуемо стать заложником вендорских «штучек».

Следующий совет – сделать ставку на производителей-лидеров, что поможет избежать проблем при обслуживании. Это начинается с качества проектирования решений и заканчивается сервисом. Неправильно запроектированное решение, возможно, даже и станет работать, но вот его развитие будет существенно затруднено аппаратными и программными ограничениями, не учтенными на этапе дизайна. Касаясь сервиса, стоит отметить, что небольшие производители телекоммуникационного оборудования, как правило, не имеют хорошо организованной службы поддержки, да еще и с русскоговорящими инженерами.

Еще один совет заказчикам, как минимизировать издержки при внедрении и обслуживании: уже на этапе проектирования решения наряду с системным интегратором или вендором привлекать (предварительно, естественно, вложив средства в их подготовку) собственных высококвалифицированных специалистов или аутсорсеров. Таким образом, заказчик получит компетентный взгляд на качество проектируемой инфраструктуры вне зависимости от мнения компании-проектировщика.


Наверх
Вопрос эксперту
Сергей Гаврилов
Серверы, СХД, системы виртуализации
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Александр Переведенцев
Инженерная инфраструктура ЦОД
Александр Гурьянов
Обслуживание систем и аутсорсинг
Константин Соловьев
КСПД, центры обработки данных, технологические сети
Дмитрий Мороз
Информационная безопасность
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, эт. 6, Москва, 123060   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2020  ООО «Инлайн технолоджис»