Зачастую в небольших компаниях нет специалистов, обладающих необходимой квалификацией, которая позволяет правильно выбрать оптимальное решение для корпоративной сетевой инфраструктуры. Помощи же со стороны крупных интеграторов ждать не приходится: им столь скромные проекты, как правило, неинтересны. Лишним подтверждением тому стал отказ многих из них участвовать в нашем проекте, сославшись на не соответствующий их статусу масштаб мероприятия.

Мы смоделировали следующую типовую ситуацию: некая вымышленная компания (далее Заказчик) располагает основным офисом, где находятся рабочие места 30 сотрудников (масштаб SMB), и тремя удаленными офисами, в каждом из которых работает по 4 человека (SOHO), причем все офисы расположены в пределах одного города. Заказчик попросил разработать комплексное предложение для решения следующих основных сетевых задач:

  • подключение каждого рабочего места к локальной сети на скорости 10/100 Мбит/с, а также (в основном офисе) предоставление двух интерфейсов 1 Гбит/с для серверов;
  • широкополосный доступ в Internet с резервированием, при этом основной канал должен быть проводной (Ethernet), а резервный может быть беспроводным (WiMAX, 3G или другой вариант);
  • объединение четырех офисов в единую сеть по VPN;
  • обеспечение защиты информационных ресурсов компании посредством встроенных средств сетевого оборудования.

Дополнительно изучалась возможность построения телефонной системы на базе технологии VoIP (для подключения IP-телефонов коммутаторы должны поддерживать технологию PoE).

Заказчик выдвинул несколько главных требований, в числе которых — минимизация стоимости проекта и числа задействованных «коробок» (предпочтение отдавалось интегрированным решениям «все в одном»), а также максимально простое управление и обслуживание оборудования (в частности, диагностика и настройка сетевых устройств удаленных офисов должна осуществляться из центрального офиса).

Неизвестно, что стало причиной — кризис или какие-то другие обстоятельства, но качество проработки полученных решений достойно самой высокой оценки. Почти все проектанты разработали несколько вариантов, не только выполнив требования Заказчика, но и предложив массу дополнительных возможностей.

БАЗОВАЯ ИНФРАСТРУКТУРА

Типовое решение поставленных задач предусматривает установку в центральном офисе машрутизатора/шлюза доступа с двумя портами глобальной сети, который, помимо выхода в Internet, обеспечивает сервисы безопасности и поддержку виртуальной частной сети (VPN).

Многие эксперты рекомендуют Заказчику использовать в качестве резервного не беспроводное, а второе проводное подключение — но через другого поставщика услуг Ethernet-доступа. Запрошенное же резервирование по беспроводному каналу в большинстве случаев реализуется с помощью дополнительного маршрутизатора и/или беспроводного модема (3G или WiMAX) (см. Рисунок 1).

Для подключения ПК и серверов в центральном офисе устанавливается типовой коммутатор Ethernet c портами 10/100 или 10/100/1000 Мбит/с. Если проект предусматривал подключение IP-телефонов, то предлагалась модель с поддержкой PoE.

Подключение к Internet филиалов реализуется по схожей схеме, только маршрутизатор выбирается меньшей производительности. При этом желательно, чтобы он был оснащен не менее чем четырьмя портами локальной сети — для подсоединения всех ПК. Некоторые проектанты не посчитали необходимым реализовать резервирование канала и для остальных офисов, но это не связано с какими-либо принципиальными техническими ограничениями.

Основные отличия проектов заключаются в реализации (и полноте) сервисов безопасности, а также в особенностях системы телефонии. Здесь кроется много интересных деталей, которые мы постараемся раскрыть ниже.

ПРОЕКТ ALLIED TELESIS

В центральном офисе Заказчика специалисты Allied Telesis предложили установить маршрутизатор AT-AR750S с двумя портами глобальной сети и пятью портами локальной сети (для повышения отказоустойчивости можно выбрать модифицированную версию этого маршрутизатора с резервированием блоков питания).

Устройство берет на себя функции VPN-концентратора для всей глобальной сети предприятия и межсетевого экрана (МЭ) для защиты внутрикорпоративных ресурсов от нежелательного вторжения. Функции шифрования данных (поддерживаются основные алгоритмы DES, 3DES, AES/256) выполняет отдельный процессор устройства, что повышает его производительность в целом. Способ организации резервного канала не конкретизирован.

Поскольку одним из основных требований к проектируемой сети была минимизация числа устройств, в основном офисе для подключения пользователей и серверов выбран коммутатор AT-x600-48Ts с 48 портами 10/100/1000. Его высокая стоимость (см. Таблицу 1) обусловлена большим числом встроенных функций, таких, например, как динамическая маршрутизация трафика, поддержка серверов DHCP и RADIUS.

В качестве маршрутизаторов удаленных офисов предложены устройства AT-AR415S. Они оснащены четырьмя портами локальной сети, поэтому для работы четырех человек установка какого-либо дополнительного оборудования не требуется. При необходимости резервирования канала доступа в Internet один из интерфейсов можно сконфигурировать в качестве второго порта глобальной сети. Благодаря наличию встроенного асинхронного консольного порта для подключения внешнего модема администратор сети может управлять этим устройством даже при отсутствии связи по основному каналу.

Если Заказчик решит внедрить систему IP-телефонии, то в головном офисе вместо коммутатора AT-x600-48Ts можно установить два коммутатора AT-x600-24Ts-POE, объединив их в высокоскоростной стек. Каждое такое устройство способно обеспечить дистанционное электропитания 24 IP-телефонов. Маршрутизаторы удаленных офисов предлагается дополнительно оснастить сервисной платой с двумя портами FXS, куда подключаются аналоговые телефоны (как полагают эксперты Allied Telesis, для офиса, в котором работают четыре человека, двух телефонных линий вполне достаточно). При наличии такой платы маршрутизаторы выступают в качестве шлюзов VoIP, обеспечивая связь с центральной IP-УАТС. Вопросы, связанные с выбором УАТС, в проекте не рассматривались.

ПРОЕКТ CISCO

Для подключения к Internet и организации VPN в центральном офисе специалисты Cisco рекомендовали установить маршрутизатор Cisco 881 3G со встроенным МЭ Cisco IOS Firewall. С целью повышения уровня безопасности в проект включен продукт Cisco Spam and Virus Blocker, реализованный как отдельный сервер. Для организации VPN между филиалами и центральным офисом была предложена технология Dynamic Multipoint VPN (DMVPN), которая, по утверждению Cisco, гарантирует высокую отказоустойчивость и быстрое переключение соединений VPN при аварии на основном канале.

В качестве шлюзов, устанавливаемых в филиалах, в проекте указаны маршрутизаторы Cisco SR520 с четырьмя портами локальной сети. Если маршрутизатор центрального офиса Cisco 880 3G поддерживает резервное подключение к Internet через сеть 3G, то маршрутизаторы филиалов SR5200 подобной возможностью не располагают. При наличии такой потребности устройства SR520 можно заменить маршрутизаторами Cisco 871, дополнив их недорогими коммутаторами (например, 8-портовым Cisco SRW208) для подключения пользователей.

Телефонную систему предложено построить на базе продукта Unified Communications 560 (UC 560), который, по утверждению представителей компании Cisco, отличает невысокая цена и широкая функциональность (поддерживаемые сервисы включают голосовую почту, конференц-связь, IVR и др.). Рабочие места рядовых сотрудников предполагается оснастить телефонами SPA502G (одна линия), а руководителям и секретарю выделить аппараты SPA508G (восемь линий). Всего в проекте предусмотрена установка трех таких аппаратов, один из которых комплектуется консолью расширения SPA500S с 32 клавишами.

В присланную нам спецификацию внесено только 28 IP-телефонов для центрального офиса (Таблица 2), но в этом нет никакой недоработки ее составителей. Двое «обделенных» сотрудников могут воспользоваться обычными аналоговыми аппаратами, подключив их к портам FXS устройства UC 560 (два таких порта еще останутся свободными). Число классических телефонных интерфейсов UC 560 может быть увеличено за счет слота VIC, куда также может быть установлена плата с портом Е1.

ПРОЕКТ «ИНФОРМСВЯЗИ» НА ОБОРУДОВАНИИ CISCO

Заказчик ожидал, что ему будет предложено решение на базе маршрутизаторов Cisco ISR, которые «в одной коробке» объединяют сервисы передачи данных, обеспечения безопасности, организации VPN и телефонии. Однако специалисты Cisco посчитали, что для его задачи лучше подходит описанное выше оборудование. Но проект на основе ISR мы тоже получили – от компании «Информсвязь», которая рекомендовала установить в центральном офисе модель 2811, а в удаленных – 1861 (см. Таблицу 3).

Проект «Информсвязи» характеризуется, пожалуй, наименьшим числом устройств. В центральном офисе маршрутизатор Cisco ISR дополняется коммутатором Catalyst 2960, а в филиалах все необходимые порты предоставляют маршрутизаторы ISR 1861. Каждый такой маршрутизатор оснащен восемью интерфейсами 10/100 Ethernet с функцией PoE, интерфейсом Fast Ethernet для соединения с глобальной сетью и четырьмя портами FXS для подключения аналоговых телефонов. Для стыковки с ТфОП предусмотрено четыре порта FXO, которые могут быть заменены на интерфейсы ISDN BRI. Кроме того, имеется слот расширения, куда могут устанавливаться различные интерфейсы, в том числе и 3G.

Маршрутизаторы ISR оснащены всеми необходимыми встроенными средствами для организации телефонной связи в малом офисе: это поддержка PoE и наличие Сisco Unified Communications Manager Express — программной IP-УАТС, встроенной в операционную систему маршрутизаторов. По мнению специалистов «Информсвязи», система Cisco UC Manager Express идеально подходит для компаний, которым требуется недорогая, надежная и многофункциональная телефонная система, расширяемая до 240 рабочих мест. Управление подключаемыми IP-телефонами может осуществляться по протоколам SIP и SCCP. При этом могут использоваться телефоны как компании Cisco, так и любых других производителей, поддерживающих стандарт SIP.

В своем проекте «Информсвязь» не указала конкретные модели IP-телефонов, оставив их выбор на усмотрение Заказчика. Что же касается обес-печения информационной безопасности и организации соединений VPN, то в этом отношении интегратор рекомендует всецело положиться на встроенные средства маршрутизаторов ISR. Настройка и мониторинг всех сервисов устройств ISR осуществляется из центрального офиса. Для этого администратор может использовать как обычный Web-браузер, который работает через встроенный в ПО маршрутизатора HTTP-сервер, так и специальные средства управления, например, Quick Configuration Tool для быстрого развертывания IP-телефонии и netManager для мониторинга работоспособности и производительности конвергентной сети.

ПРОЕКТ D-LINK

Московский офис D-Link разработал для Заказчика три варианта проекта. Первый — базовый — наиболее дешевое решение, которое не требует специального обслуживания (выделенного сотрудника для сопровождения), но при этом отвечает всем основным требованием. Для обеспечения доступа в Internet в центральном офисе устанавливается МЭ DFL-210, оснащенный одним портом глобальной сети, одним портом для организации демилитаризованной зоны (DMZ) и четырьмя портами локальной сети. Интерфейсы свободно конфигурируемы, поэтому порт DMZ можно настроить для резервного подключения по беспроводному каналу — для этого к порту МЭ подсоединяют маршрутизатор DIR-320 MTC Router с 3G-модемом, который приобретается отдельно.

Исходя из наличия в центральном офисе нескольких отделов, например отдела продаж и бухгалтерии, специалисты D-Link посоветовали разделить их трафик. Хотя все компьютеры подключены к одному коммутатору (DES-1228), использование технологии VLAN позволит осуществлять все «общение» между различными подразделениями через МЭ, на котором настраиваются необходимые политики доступа. Разработчики проекта отмечают, что DFL-210 поддерживает современную технологию обнаружения и нейтрализации сетевых атак (IDS), позволяет запретить доступ к социальным сетям наподобие «одноклассники.ру» (или открыть его только в определенные часы), а также блокировать работу большинства видов мессенджеров (ICQ, MSN, Jabber и др.). Для подключения удаленных офисов в DFL-210 применяется технология IPSec, которая, кроме прочего, обеспечивает доступ удаленных пользователей к централизованным серверам, где находятся, например, базы данных или бухгалтерское ПО. Проект D-Link предусматривает развертывание в головном офисе сети WiFi (на базе DAP-2553 — внутриофисной точки доступа с поддержкой технологии 802.11n).

Второй вариант отличается от первого поддержкой технологий ZoneDefence, для чего используются другие модели МЭ и коммутатора (см. Таблицу 4). Это частично обслуживаемое решение предполагает административное вмешательство в случае срабатывания механизмов защиты. Оно позволяет дополнительно блокировать компьютеры, зараженные вирусами или принадлежащие тем пользователям, которые не соблюдают политики безопасности. Предположим, кто-то из сотрудников, нарушив корпоративную этику, запускает ICQ. Зафиксировав эту попытку, МЭ — в зависимости от конфигурации — либо запретит сеанс, оповестив администратора, либо заблокирует пользователя, либо отправит служебное сообщение на коммутатор, чтобы запрещающее правило было реализовано этим устройством.

Третий вариант специалисты D-Link назвали стандартным, поскольку его выбирает для себя все большее число заказчиков. Наряду с «продвинутыми» технологиями обеспечения безопасности, этот проект предполагает использование IP-телефонии, для чего в качестве коммутатора устанавливается модель DES-3828P/E с поддержкой PoE, а для управления вызовами — IP-УАТС DVX-7090, реализованная на платформе MERA SIPrise. Система способна обслуживать различные голосовые терминалы, в том числе мобильные телефоны с поддержкой SIP и WiFi (например, Nokia E71). Офисную сеть можно подключить к ТфОП через шлюз DVG-6008, имеющий порты FXO, а для поддержки аналоговых телефонов можно установить шлюз DVG-2102 с портами FXS. Сотрудники удаленных офисов совершают вызовы и получают звонки через центральный офис. Данное решение предполагает, что вся исходящая связь осуществляется через оператора VoIP, а входящая — по линиям ТфОП.

Для удаленных офисов все варианты предусматривают установку VPN-маршрутизатора DIR-130, который обес-печивает аппаратную поддержку IPSec и оснащен восемью портами 10/100. В третьем варианте офисы могут оснащаться IP-телефонами и шлюзами DVG-2102 для подключения аналоговых аппаратов. Но одной лишь телефонией специалисты D-Link не ограничились: они предложили снабдить офисы системами видеомониторинга с применением мегапиксельных IP-камер DCS-3110 (стоимостью 512 долларов). Благодаря этим камерам, руководитель или другое ответственное лицо может в любой момент узнать, чем заняты сотрудники или что происходит в офисе в нерабочее время, а подключенные к камере динамик и микрофон позволят полноценно общаться с человеком, который в это время находится в удаленном офисе.

Предложение D-Link очень привлекательно как по цене, так и по числу дополнительных возможностей. Даже то, что в нем не предусмотрено резервирование канала в удаленных офисах, не является каким-то принципиальным ограничением: при желании Заказчик сможет использовать в филиалах схему, предложенную для центрального офиса, причем решение D-Link все равно останется одним из самых недорогих.

ПРОЕКТ NETGEAR

Представители московского офиса компании Netgear разработали два варианта, причем каждый из них включает еще два подварианта: с резервированием Internet-канала в филиале и без такового.

В первом случае в качестве шлюза доступа предлагается использовать межсетевой экран FVS336G с двумя портами глобальной сети и четырьмя гигабитными портами локальной сети, к которым подсоединяются серверы и коммутатор, обслуживающий конечных пользователей. FVS336G позволяет подключать удаленных сотрудников по VPN как посредством IPSec (в комплект поставки входит одна лицензия на програм-мный клиент VPN), так и при помощи технологии SSL, которая для доступа к корпоративным ресурсам требует только наличия Web-браузера (FVS336G поддерживает до 10 одновременных соединений по SSL).

Резервирование доступа к Internet реализуется путем подключения ко второму порту глобальной сети беспроводного маршрутизатора MBR624GU и USB-модема оператора сети 3G (модем приобретается отдельно). Специалисты Netgear предупредили, что при работе по сети 3G организация соединения VPN будет невозможна, поскольку операторы таких сетей предоставляют «серые» (внутренние) IP-адреса, а для организации туннеля IPSec между шлюзами (не путать с туннелем «шлюз-клиент») необходимо, чтобы оба устройства обладали «белыми» (глобальными) IP-адресами. VPN будет автоматически повторно подключаться при восстановлении основного канала.

Различия между решениями для удаленных офисов связаны с резервированием канала связи. Если надобности в этом нет, рекомендуется установить МЭ FVS318G с восемью гигабитными портами и подключать пользователей напрямую к МЭ. В случае необходимости подключения дополнительного беспроводного канала используется та же связка FVS336G + MBR624GU, что и в центральном офисе.

Во втором варианте МЭ FVS336G меняется на унифицированную систему защиты от угроз UMT. Эта значительно более мощная (и дорогая) система способна сканировать Web- и почтовый трафик для выявления зловредных программ, защищать от спама, а также контролировать P2P- и IM-трафик для блокировки работы таких нежелательных программ, как Bittorrent и ICQ. Представители Netgear отмечают применение в данном решении запатентованной технологии Stream Scanning, сокращающей задержки при сканировании трафика (процесс проверки начинается еще до того, как данные будут полностью получены), технологии обнаружения вирусов Sophos с использованием свыше миллиона сигнатур, а также алгоритмов Zero Hour Threat для защиты в реальном времени от неизвестных угроз. Для систем UMT не предусмотрено лицензирование по числу пользователей, необходимо лишь ежегодно или один раз в три года приобретать подписку на обновление сигнатур и ПО.

В Таблице 5 приведены данные только по одному из подвариантов второго варианта, когда в центре устанавливается система UMT25, а в филиалах — UTM10, но в филиалах нет резервирования канала. Резервирование может быть реализовано аналогично тому, как это сделано в первом варианте. Кроме того, настройку можно осуществить таким образом, чтобы весь Internet-трафик филиалов проходил через систему UMT центрального офиса, и тем самым снизить стоимость решения, отказавшись от установки дорогостоящих систем UTM в филиалах.

Специалисты Netgear не предусмотрели в своем предложении средств PoE, но отметили, что соответствующую поддержку обеспечит выбор другой модели коммутатора, причем подобный подход не приведет к существенному удорожанию решения. По запросу Заказчика проектанты оперативно предоставили несколько вариантов решения с PoE.

ПРОЕКТ PLANET

Самый дорогостоящий элемент проекта Planet (более двух третей стоимости всего базового инфраструктурного оборудования) — шлюз безопасности CS-2000. Помимо функциональности МЭ и поддержки VPN, он наделен спам-фильтром и эвристическим анализатором для проверки электронной почты на наличие зараженных вирусами вложений; подозрительные сообщения сохраняются на встроенном жестком диске. По утверждению производителя, CS-2000 позволяет администратору сети блокировать использование сотрудниками сетей P2P для обмена файлами, а также различных IM-систем, таких как MSN, Yahoo Messenger, ICQ, QQ и Skype. Два интерфейса глобальной сети на шлюзе обеспечивают балансировку нагрузки и резервирование каналов. Представители Planet, обеспокоенные тем, чтобы высокая цена шлюза CS-2000 не отпугнула Заказчика, предусмотрели возможность замены этого устройства на более дешевую модель CS-1000, которая стоит на 50 тыс. руб. меньше.

Для доступа в глобальную сеть рекомендовано установить во всех офисах беспроводные маршрутизаторы WNRT-625G, которые поддерживают стандарты 802.11b/g/n. Такое устройство имеет один проводной порт глобальной сети и четыре порта локальной (10/100), а при наличии внешнего USB-модема оно позволяет «пробросить» резервный канал через сеть UMTS. Маршрутизатор реализует только базовые функции межсетевого экрана (например, контроль доступа по МАС-адресу и блокировку определенных URL), поэтому филиалы будут защищены гораздо хуже, чем центральный офис.

Кроме базового инфраструктурного оборудования, Planet включила в проект решение по организации корпоративной телефонной связи с установкой IP-УАТС в центральном офисе. Были предложены как проводные, так и беспроводные SIP-телефоны. Мы просчитали вариант с 42 проводными телефонами (см. Таблица 6). Беспроводной телефон VIP-193 стоит 5160 руб., т.е. примерно вдвое дороже проводного.

К недостаткам проекта, помимо уже упомянутой слабой защиты филиалов, можно отнести оснащение центрального офиса коммутатором, содержащим всего 24 порта 10/100, тогда как требовалось подключить 30 пользователей. Впрочем, увеличение числа коммутируемых портов Ethernet не представляет серьезной проблемы и не слишком увеличит стоимость решения.

ПРОЕКТ ZyXEL

Для защиты сети центрального офиса рекомендован МЭ ZyWALL 35, в котором для подключения к Internet имеются два порта глобальной сети с резервированием и балансировкой нагрузки. Эксперты ZyXEL считают наиболее экономичным и надежным способом резервирования доступа в Internet подключение к двум независимым Ethernet-провайдерам (отказ возможен только в случае аварии на всей городской сети или на последних 100 м при одновременном отключении электроэнергии на коммутаторах доступа). Как вариант, к одному из портов может быть подключен Internet-центр MAX-206M2, обеспечивающий доступ к сетям мобильного WiMAX на скорости до 30 Мбит/с. Продукт сертифицирован для использования в сети Yota и в декабре 2009 г. должен появиться в розничной продаже. Еще одно преимущество варианта с MAX-206M2 — возможность дополнительного резервирования телефонной связи по SIP благодаря двум встроенным портам FXS.

Для организации локальной сети центрального офиса предложены коммутаторы MES-3528 и ES-2108PWR, у которых есть все необходимые средства, обеспечивающие защиту трафика пользователей, конфиденциальных данных и паролей для доступа к сетевым ресурсам от внутренних угроз и перехвата нелояльными сотрудниками, а также приоритезацию трафика IP-телефонии и других критичных приложений. 24 порта Fast Ethernet коммутатора MES-3528 используются для подключения рабочих мест, оборудованных аналоговыми телефонами, один из четырех гигабитных портов — для агрегации трафика со второго коммутатора локальной сети (ES-2108PWR), три оставшихся — для подключения серверов. Четыре слота для SFP-трансиверов позволяют разместить серверы в безопасном месте, подключив их по волоконно-оптическому кабелю. При помощи коммутатора ES-2108PWR с восемью портами Fast Ethernet PoE можно подсоединить шесть пользователей, имеющих IP-телефоны, а остальные PoE-порты задействовать для организации работы двух беспроводных точек доступа NWA-3160/3500 и формирования беспроводной сети.

Проект ZyXEL изначально был ориентирован на поддержку телефонии, что выражалось, среди прочего, в разумном выборе числа портов PoE с учетом оптимального соотношения IP-телефонов и обычных аналоговых аппаратов. В качестве IP-УАТС предложено модульное решение X6004, предоставляющее хорошие возможности для расширения. Специалисты ZyXEL просчитали вариант с использованием для подключения к ТфОП модуля с четырьмя портами FXO, которые будут служить резервом транкам SIP для исходящих вызовов (если с подключением к Internet возникнут проблемы). Более интенсивное взаимодействие с ГТС можно обеспечить посредством канала E1.

В целях сокращения затрат подавляющей части сотрудников предлагается установить традиционные телефоны, которые подключаются к шлюзу P-2024. IP-телефонами V301-T1 могут быть оснащены восемь рабочих мест (в пределах числа портов PoE). Такие аппараты логично установить тем, кто активно пользуется телефонной связью, в том числе междугородной — функция Presence позволит значительно сократить время, затрачиваемое на непродуктивные вызовы, а две линии SIP повысят надежность связи в случае отказа офисной IP-АТС или плановых работ. В комплект с IP-АТС включены восемь лицензий на программные телефоны V100, которые могут использоваться мобильными пользователями и в удаленных офисах.

Для удаленных офисов специалисты ZyXEL разработали четыре (!) варианта. Два из них основаны на использовании МЭ ZyWALL 2 Plus с четырьмя портами локальной сети и предусматривают возможность резервирования доступа в Internet по коммутируемой линии на скорости до 150 Кбит/с (при подключении к сети SkyLink через модем с портом RS-232). Они различаются моделью шлюза для подключения аналоговых телефонов (см. Таблицу 7). Еще один вариант предполагает установку МЭ ZyWALL 2WG со встроенной беспроводной точкой доступа и слотом для установки модема PC Card, который обеспечит подключение к сетям 3G или SkyLink (EV-DO, до 600 Кбит/с). В этом случае, помимо работы по основному каналу, предусматривается резервирование подключения как аналоговых телефонов (функция Lifeline в шлюзе), так и IP-телефонов (по сети 3G). Наконец, в четвертом варианте предложено обойтись одним интегрированным устройством доступа P-2608HW (с подключением по ADSL), позволяющим подключить четыре ПК, восемь телефонов, организовать резервирование телефонии по каналу FXO и «приземление» в сеть ГТС звонков из Internet/корпоративной сети, а также развернуть беспроводную локальную сеть 802.11g.

Кроме всего прочего, ZyXEL разработал для Заказчика проект, основанный на использовании услуг виртуальной IP-УАТС. Но это уже тема для отдельной статьи.

ПРОЕКТ «ТАЙЛЕ» НА ОБОРУДОВАНИИ D-LINK И ZYXEL

Компания «Тайле» предложила Заказчику два варианта — «правильный» и «бюджетный». Как сказано в ее ответе, первый ориентирован на «грамотную в плане ИТ» организацию, которой нужно эффективное и надежное решение по адекватной цене. Второй вариант больше подойдет там, где руководство привыкло экономить на всем.

В первом случае локальная сеть центрального офиса организуется на базе коммутатора D-Link DES-3052P с необходимым числом портов и поддержкой технологии PoE, а доступ в Internet осуществляется через уже знакомый нам по проекту ZyXEL межсетевой экран ZyWALL 35 EE со встроенным антивирусом Касперского (см. Таблицу 8). Для резервирования связи специалисты «Тайле» (как и эксперты ZyXEL) рекомендуют обратиться к услугам второго Ethernet-провайдера — «это решение более надежно и не требует покупки дополнительного оборудования». Однако если Заказчик ориентируется на беспроводное подключение, то (как и в проекте D-Link) они советуют использовать 3G-маршрутизатор МТС DIR-320 (USB-модем в комплекте).

При выборе оборудования для удаленных офисов разработчики исходили из того, что резервирования канала доступа в Internet не требуется. Они предложили оснастить эти офисы межсетевыми экранами ZyXEL ZyWall 5EE со встроенным четырехпортовым коммутатором, при этом для подключения ПК всех сотрудников нет необходимости устанавливать дополнительные устройства. Хотя, как отмечает Яков Юницкий, заместитель директора по ИТ компании «Тайле», ZyXEL ZyWall 5EE не относится к разряду дешевых продуктов, это оборудование «наилучшим образом зарекомендовало себя в ИТ-инфраструктурах множества заказчиков, оно отличается высокой надежностью и производительностью и легко «переживет» увеличение количества пользователей в филиале». Возможно, выбор в пользу именно этого продукта был сделан еще и потому, что он эксплуатируется в качестве филиального МЭ в сети самой «Тайле».

При внедрении IP-телефонии в офисах SOHO специалисты «Тайле» советуют отказаться от применения PoE, так как при малом числе пользователей приобретение коммутатора с поддержкой PoE, как правило, экономически нецелесообразно. При этом телефоны лучше купить те же, что и для головного офиса; это позволяет унифицировать оборудование (что важно для удобства администрирования, а, кроме того, для формирования фонда подменного оборудования), а также оставляет возможность перехода на PoE в будущем.

Второй («бюджетный») вариант реализуется полностью на оборудовании D-Link. Для организации локальной сети центрального офиса предложено взять два коммутатора D-Link DES-1228P с поддержкой PoE — это позволяет несколько сэкономить, но не соответствует требованию к минимизации количества устройств в инфраструктуре. А для доступа в Internet и резервирования каналов с автоматическим переключением выбран МЭ D-Link DFL-800. Офисы SOHO рекомендовано оснастить межсетевым экраном D-Link DI-804HV, в который встроен четырехпортовый коммутатор. По словам Михаила Гришунина, заместителя директора по продукции компании «Тайле», «данный МЭ тоже хорошо зарекомендовал себя во многих ИТ-проектах, отличается простотой настройки, надежностью и легко поддерживает увеличение числа пользователей в филиале до 10-15 человек». Это оборудование специалисты «Тайле» использовали в своей инфраструктуре ранее, но из-за значительного роста нагрузки были вынуждены перейти на более производительное решение.

В части телефонного оборудования «Тайле» предложила только сами телефоны: и для центрального офиса, и для филиалов; рекомендованы модели DPH-150SE с поддержкой PoE. Для электропитания аппаратов в филиалах придется дополнительно приобрести адаптеры. Вопрос выбора IP-УАТС не рассматривался.

ПРОЕКТ «ОТКРЫТЫХ ТЕХНОЛОГИЙ» НА ОБОРУДОВАНИИ JUNIPER И AVAYA

Довольно неожиданным стало присутствие в нашем проекте Juniper — компании, больше известной как производитель маршрутизаторов операторского уровня. Но эксперты «Открытых Технологий» сочли возможным предложить Заказчику оборудование Juniper вместе с решением телефонии от Avaya.

Выполнение задач подключения к Internet, организации VPN-взаимодействия и обеспечения безопасности в центральном офисе предполагается «поручить» высокопроизводительному маршрутизатору Juniper SRX240H с 16 портами 10/100/1000 (см. Таблица 9). В режиме МЭ его производительность составляет 1,5 Гбит/с, а в режимах шифрования (3DES/AES) и обнаружения вторжений (IPS) — 250 Мбит/с. В качестве системы организации VPN-туннелей SSL для мобильных пользователей рекомендуется выбрать Juniper SA700 с лицензией на 10 одновременных SSL-подключений. При подключении пользователя осуществляется проверка наличия на рабочей станции специализированного ПО (антивируса, МЭ и т.д.), открытых/закрытых портов, реестра, машинных сертификатов и т.д. В случае отсутствия необходимого ПО осуществляется его автоматическая загрузка. Для централизованного управления сетью предложена система Juniper NSM, с помощью которой выполняется конфигурирование сетевого оборудования, мониторинг в режиме реального времени, сбор служебных сообщений, визуализация топологии сети и управление системами IPS.

В филиалах планируется установить маршрутизаторы Juniper SRX210H-POE, часть портов которых поддерживает функционал PoE. Для осуществления звонков из филиала в филиал, минуя центральный офис, VPN-взаимодействие осуществляется на основе протокола IPSec по принципу «каждый с каждым». Непрерывность бизнес-процессов обеспечивается за счет резервирования коммуникации на основе моста 3G, который подключается к маршутизатору через порт Ethernet. Выбор канала осуществляется с помощью алгоритмов динамической маршрутизации BGP. Сотрудники выходят в Internet через филиальный маршрутизатор. Кроме того, взаимодействие сотрудников с центральным офисом через VPN может быть организовано без какого бы то ни было общего сетевого оборудования — посредством установки внешних USB-модемов 3G на рабочих станциях. В данном случае SSL-туннель в центральный офис организуется с каждой рабочей станции.

В качестве центральной системы IP-телефонии используется Avaya IP Office 500. Подключение к ТфОП осуществляется по потоку E1 (32 канала, но в комплект поставки включена лицензия на восемь каналов, остальные активируются дополнительными лицензиями). Из предлагаемого функционала Avaya IP Office 500 Виталий Томилко, эксперт компании «Открытые Технологии», выделяет возможность организации аудио-конференций на 64 участника, управления телефоном через ПК (Phone Manager Lite) и интеграции с Outlook (инициация вызова из карточки контакта в Outlook). Для секретаря и руководителя рекомендуется использовать телефон Avaya 1616 с расширительной консолью на 32 линии, для других сотрудников (в том числе работающих в филиалах) – аппараты Avaya 1603. Кроме того, голосовая связь может быть реализована с помощью программного телефона Avaya IP Softphone и гарнитуры.

Стоимость проекта, разработанного компанией «Открытые Технологии», — самая высокая, но и уровень функциональности тоже весьма внушителен. На все оборудование распространяется поддержка NBD (замена на следующий день), в решение включена годовая подписка на обновление сигнатур сервисов безопасности (Kaspersky AntiVirus, Web Filtering, Sophos AntiSPAM и IPS).

БОГАТСТВО ВЫБОРА

Анализ стоимостных характеристик проектов показывает, что в категорию недорогих решений попадают предложения компаний D-Link, Netgear, Planet и ZyXEL, а также основанное на оборудовании D-Link и ZyXEL предложение «Тайле». Воспользовавшись одним из предложений этих компаний, Заказчик сможет создать базовую сетевую инфраструктуру, затратив не более 100 тыс. руб. Оборудование телефонии в среднем в 1,5-2 раза дороже инфраструктурного оборудования, поэтому весь проект обойдется в 250-300 тыс. руб. К этой же ценовой категории можно отнести и телефонное оборудование NEC, предложенное компанией «Абител» (см. «Только телефония»).

Следующая ценовая категория — проекты на основе оборудования Allied Telesis и Cisco. За создание базовой сетевой инфраструктуры придется заплатить более 200 тыс. руб., а за комплексное решение со всем телефонным оборудованием (предложение Cisco) — почти 700 тыс. руб. Проект «Открытых Технологий», как уже говорилось, оказался самым дорогим...

Даже для компаний SMB/SOHO цена – далеко не единственный критерий выбора (хотя, конечно, очень важный). Каждый проект имеет свою «изюминку». Кому-то, возможно, приглянется принцип интегрированных сервисов телефонии, использованный в проекте «Информсвязь» (как в маршрутизаторах Cisco ISR), другие оценят возможность резервирования канала по высокоскоростному каналу WiMAX, представленную в проекте ZyXEL, третьи – беспрецедентно высокий (для компания SOHO/SMB) уровень поддержки, предложенный «Открытыми Технологиями», четвертые – что-то еще.
Выбор за вами!

Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.


Рисунок 1. Базовая сетевая инфраструктура.

Таблица 1. Проект Allied Telesis.

Таблица 2. Проект Cisco.

Таблица 3. Проект «Информсвязь».

Таблица 4. Проект D-Link.

Таблица 5. Проект Netgear.

Таблица 6. Проект компании Planet.

Таблица 7. Проект ZyXEL.

Таблица 8. Проект «Тайле».

Таблица 9. Проект компании «Открытые Технологии».


Только телефония

Компания «Абител» предложила Заказчику решение только той части задач, которая связана с телефонией, при этом она исходила из того, что его офисы уже объединены в единую корпоративную сеть на базе VPN, а предоставление услуг фиксированной связи осуществляется IP-провайдером (по протоколу SIP или Н.323). В основе проекта — коммуникационный сервер UNIVERGE SV8100 компании NEC. Хотя данное оборудование позволяет комбинировать в разных соотношениях аналоговые, цифровые и IP-линии, нашему Заказчику было предложено «чистое» IP-решение, которое, по мнению специалистов «Абител», позволит, во-первых, существенно сэкономить на построении внутренней инфраструктуры (за счет использования имеющейся локальной сети), а во-вторых, задействовать самые последние достижения в области IP-коммуникаций.

SV8100 устанавливается в центральном офисе и, кроме внутрикорпоративной связи, обеспечивает подключение к сети IP-провайдера. В филиале размещается только терминальное оборудование, которое подключается к локальной сети. Выход в ТфОП абоненты филиалов получают через центральный офис. Ориентировочная стоимость данного решения (без терминального оборудования) составляет 3 тыс. долларов. Окончательная цена зависит от используемых моделей терминалов и от требуемого дополнительного функционала.

Поделитесь материалом с коллегами и друзьями