EnglishVKTelegram
  • О компании
  • Пресс-центр
  • Решения и услуги
  • Отрасли
  • Проекты
  • Карьера
    • Публикации
    «BYTE/Россия», № 6, 2006

    Защищенные коммуникации в территориально распределенных компаниях

    Дмитрий СабаевНа вопросы журнала «BYTE/Россия», заданные ведущим экспертам компаний – системных интеграторов, отвечает руководитель отдела мультисервисных сетей компании INLINE Technologies Дмитрий Сабаев.

    BYTE: Каковы, на ваш взгляд, предпочтительные технологии и конкретные технические решения для организации защищенных соединений в территориально распределенных компаниях масштаба города и области?

    Дмитрий Сабаев: Разобьем задачу построения распределенных корпоративных сетей на различные уровни решений и выберем оптимальные технологии на каждом из них.

    Начнем с решений инфраструктурного уровня и посмотрим на транспортные технологии. Здесь наиболее важными требованиями будут являться скорость, отказоустойчивость, качество обслуживания, время восстановления и т.д., и отчасти поэтому в качестве инфраструктурного решения для узлов сети лучше остановиться на технологиях Gigabit Ethernet, 10 Gigabit Ethernet и технологиях агрегации EtherChannel. Эти технологии обладают хорошим соотношением цена–качество и позволят заказчику в обозримое время не беспокоиться о пропускной способности. Добавим, что если требуется высокая отказоустойчивость узлов, то целесообразно применить дублирование оборудования узлов с использованием соответствующих технологий и протоколов.

    В инфраструктурный уровень также войдет и транспортная сеть оператора связи, где в качестве услуги по организации каналов связи лучше рассмотреть услугу MPLS/VPN, которая позволит заказчику платить за реально переданный трафик, а не за выделенный канал. На базе единой структуры MPLS/VPN оператора целесообразно организовать собственную сеть из динамических VPN. Это обеспечит при сохранении требований безопасности более простое и логичное взаимодействие всех узлов в одном операторском VPN, что существенно облегчит введение новых узлов и их обслуживание.

    Конечно, для реализации механизмов отказоустойчивости стоит предусмотреть резервное соединение между узлами через другого оператора связи или через Интернет. Однако следует учесть, что требования к отказоустойчивости, балансированию нагрузки и резервированию в конечном счете приведет к более сложной архитектуре протоколов маршрутизации в корпоративной сети, к использованию большего количества оборудования и как следствие – к более высоким требованиям к обслуживающему персоналу заказчика.

    Практически в обязательном порядке добавим в инфраструктурный уровень беспроводные сегменты сети стандарта 802.1g, которые обеспечат пользователям мобильность в офисе компании.

    Пойдем дальше и разобьем сеть на логические подсистемы. Начнем, к примеру, с подсистемы безопасности. В эту подсистему войдет достаточно много технологий, среди которых: шифрование трафика между узлами на основном и резервном каналах связи; локальное и/или удаленное подключение пользователей к сети с использованием технологии Cisco NAC, которая не даст подключать клиентские машины без установленных патчей операционных систем или новых антивирусных баз (конечно, перспективная технология, но непростая при внедрении и эксплуатации); удаленный доступ к ресурсам сети при помощи VPN-соединений как в традиционном виде, так и при помощи SSL VPN; единая система управления подсистемами информационной безопасности и работа с инцидентами нарушений политик безопасности; технологии и решения защиты беспроводной части сети.

    Подсистему корпоративной телефонной связи, без сомнения, сделаем на базе протокола IP. При строительстве распределенных корпоративных сетей уже скоро это можно будет назвать традиционным решением. IP-телефония полностью оправдывает себя при эксплуатации, дальнейшем развитии и интеграции с другими подсистемами. При этом о стоит иметь в виду возможность маршрутизации внешнего голосового трафика через пакетную сеть «голосовых» операторов связи для уменьшения стоимости междугородних/международных разговоров. Стоит также отметить ценовую доступность персональных систем видеосвязи, которые очень просто интегрируются с системам IP-телефонии.

    Конечно, для единого управления массой подсистем целесообразно использовать системы управления, и выбирать их стоит тщательно, так как вряд ли мы сможем найти одну систему. Скорее всего, это будет комплекс систем управления для сетевого оборудования, серверных платформ, а в качестве единой надстройки можно использовать, например, решение компании Managed Objects.

    BYTE: Какова, по вашему мнению, оптимальная стратегия минимизации издержек при создании защищенной телекоммуникационной инфраструктуры территориально распределенных компаний? На что заказчикам стоит обратить особое внимание при выборе конкретных решений?

    Дмитрий Сабаев: При создании защищенной телекоммуникационной инфраструктуры всегда стоит соблюдать баланс между желаниями и финансовыми возможностями. Если рассматривать на этом этапе стратегию минимизации издержек, ее стоит разбить на две составляющие: организационную и техническую. Организационная составляющая должна предусматривать ведение проекта по канонам проектной деятельности как со стороны исполнителя, так и со стороны заказчика, начиная от проектирования и заканчивая четко подготовленным внедрением. Это подразумевает создание проектных команд с обеих сторон, что поможет минимизировать возможные проблемы при проектировании и внедрении. Четкая совместная работа таких проектных команд и ориентация на достижение цели существенно снизят издержки и внесут прозрачность при контроле ведения комплексного проекта.

    Под технической составляющей стратегии минимизации издержек будем подразумевать создание решений, которые просты при внедрении и обслуживании, современных, безопасных и обладающих гибкостью при дальнейшем развитии.

    Заказчику следует обратить внимание на применение технологий, которые хорошо себя зарекомендовали и под которые массово выпускается оборудование. Стоит избегать технологий и протоколов, поддерживаемых только одним вендором (proprietary protocols), пусть даже это и несет некоторые плюсы в конкретный момент. Поверьте, в противном случае неминуемо стать заложником вендорских «штучек».

    Следующий совет – сделать ставку на производителей-лидеров, что поможет избежать проблем при обслуживании. Это начинается с качества проектирования решений и заканчивается сервисом. Неправильно запроектированное решение, возможно, даже и станет работать, но вот его развитие будет существенно затруднено аппаратными и программными ограничениями, не учтенными на этапе дизайна. Касаясь сервиса, стоит отметить, что небольшие производители телекоммуникационного оборудования, как правило, не имеют хорошо организованной службы поддержки, да еще и с русскоговорящими инженерами.

    Еще один совет заказчикам, как минимизировать издержки при внедрении и обслуживании: уже на этапе проектирования решения наряду с системным интегратором или вендором привлекать (предварительно, естественно, вложив средства в их подготовку) собственных высококвалифицированных специалистов или аутсорсеров. Таким образом, заказчик получит компетентный взгляд на качество проектируемой инфраструктуры вне зависимости от мнения компании-проектировщика.