Специалистами нашей организации реализован проект по объединению локально вычислительных сетей магазина с филиальной структурой, на оборудовании Mikrotik.
Исходные данные. У заказчика сеть магазинов с одним центральным офисом и двадцатью удаленными филиалами, расположенными в городах Республики Башкортостан. Существующее объединение сетей реализовано с использованием услуги MPLS VPN (Multiprotocol Label Switching Virtual Private Network) с небольшой полосой пропускания (от 256 Кбит/с до 1 Мбит/с) и достаточно высокой абонентской платой.
Цель проекта – уменьшить операционные затраты на обслуживание объединения сетей. Для достижения цели было принято решение отказаться от услуги MPLS VPN, а объединение сетей реализовать через сеть Интернет.
В каждом филиале установлен маршрутизатор Mikrotik. Через Интернет были настроены двадцать PPTP (Point-to-Point Tunneling Protocol) туннелей до центрального офиса. В центральном офисе и филиале подключение к сети Интернет реализовано с постоянным публичным IP-адресом, что позволило повысить уровень безопасности, настроив Firewall на Mikrotik, разрешив PPTP трафик только с доверенных IP-адресов. Стоимость услуги доступа в сеть Интернет с постоянным IP-адресом значительно ниже, чем стоимость MPLS VPN. В результате, после реализации проекта, заказчик получил экономию 400000 рублей в год на оплате за объединение сетей.
Также в рамках проекта было разработано решение по обеспечению отказоустойчивого подключения к сети Интернет центрального офиса. В центральном филиале дополнительно устанавливается маршрутизатор Mikrotik с подключением ко второму оператору связи. В каждом филиале через сеть Интернет настраиваются по одному L2TP (Layer 2 Tunneling Protocol ) туннелю с IPsec (IP Security) шифрованием до маршрутизаторов в центральном офисе. Далее «поверх» L2TP туннелей настраивается протокол динамической маршрутизации OSPF (Open Shortest Path First). Для обеспечения прохождения туннельного трафика только через основной канал первого оператора связи, уменьшается приоритет OSPF маршрутов, работающих через резервный канал связи второго провайдера.
Интересное решение. На наш взгляд, факта экономии в 400 000 рублей уже более, чем достаточно для реализации подобного ИТ проекта в сети магазинов.
Технически реализации выглядит весьма изящно. Особенно радует резервирование центрального офиса на двух разных провайдеров Интернет. Применение динамического протокола OSPF внутри туннелей действительно хорошее решение для гарантированного резервирования без потери связности в распределенной филиальной сети.
Отличная реализация!
Добрый день! Спасибо за положительную оценку! Динамическая маршрутизация (OSPF) в данной реализации хороша тем, что не требуется дополнительно мониторить доступность канала связи. При авариях у оператора связи, отключается Интернет, далее «падает» туннельный интерфейс, далее «падает» OSPF соседство. И переключение на резервный канал происходит автоматически без участия администратора. В противном случае при использовании статической маршрутизации обязательно возникнет, так называемый blackhole, и трафик гарантированно будет теряться, переключение на резервный канал не отработает.
Очень интересная информация