我的任务是重新设计我们公司在北美的 WAN。我们在美国有两个办事处,一个在纽约,一个在中西部。我们还在欧洲设有办事处。除了加入欧洲广域网和美国广域网之外,我不会在欧洲接触任何东西。
当前拓扑如下:
我们在 PA 有一个异地托管设施,WAN 在全球范围内连接在一起。两个美国站点的互联网连接通过 PIX 防火墙从这里进入。到纽约的互联网连接很好,但到中西部的办公室存在延迟问题。每个站点都通过 T1 连接到 PA,所有流量,包括网络和互联网,都通过这些 T1 链路传输。
未来拓扑:
异地托管设施将被取消,实际上将转移到我们的中西部地区。这就是将 WAN 捆绑在一起的地方。
我正在寻找有关如何在速度、成本和安全性方面进行最佳设计的建议。目前,我们在美国只有一个访问互联网的点,即通过异地托管设施。我在想,为了给每个办公室提供快速、可靠的互联网连接,最好是单独连接到每个站点,而不是让一个网络连接到中西部,然后通过 WAN 链接到纽约. 商务舱电缆连接是我的想法,当然每个都有自己的防火墙。然后,使用 T1 将两个办公室连接在一起……或者有更快、同样可靠且更便宜的方法将两者连接在一起吗?
请在我的想法中戳破洞,因为我需要从设计的角度更好地理解可用的内容。
我赞同 Evan Anderson 对 MPLS 的建议。这是我为自己的网络考虑的解决方案。
从逻辑上讲,它是指向云的,所有复杂的路由都是由提供商完成的。这需要您在整个基础架构中拥有一个统一的提供商*。这并不像听起来那么糟糕,因为您和您的提供商之间需要进行一些配置协作。我不想多次这样做。
另外,请注意,对于不超过 T1 的情况,您可以使用城域以太网类型的解决方案。这非常好,即使您从 5Mb/s 之类的东西开始,因为您可以在未来扩展而无需添加更多行。它在您的分支机构中可能并不重要,但听起来您的“中心”位置肯定可以使用更多的 T1。请注意向您正在购物的供应商提及这一点。他们中的一些人没有(或至少在 2 年前没有)混合他们的 T1 和以太网 MPLS 云。现在可能是这样,也可能不是。
如果我遇到你的情况,我会选择一个非常大的供应商,在那里你可以选择将你的欧洲节点连接到 MPLS 网络。没有很多(或者至少在我看的时候没有)。
-* 有第 3 方提供商可以弥合运营商之间的差距。从本质上讲,它们连接到两者并管理您在它们上的连接。布拉格。
考虑查看来自不同国家供应商(QWest、AT&T 等)的 MPLS 产品。您可以在每个远程办公室获得 Internet 连接,并通过提供商的“云”获得站点之间的“私有”连接。从概念上讲,这有点像在站点之间使用 VPN,只是提供商的设备正在处理 VPN 连接。
您可能会发现每月的费用并没有您想象的那么糟糕。如果您将语音电话带入图片中,您实际上可能会节省成本。
编辑(现在我有更多时间):
MPLS 提供商通常会通过解决方案“免费”为您提供一些“好”的东西,包括:
云内部的 NAT 和防火墙。将 MPLS 引入还没有防火墙的站点可以节省成本,但通常不如在现场拥有自己的防火墙那样灵活(并且不容易审计或获取计数器)。我有一个客户,他有一个 MPLS 提供商,允许我们在不托管面向 Internet 的服务器的站点上使用他们的防火墙功能,但将托管面向 Internet 的服务器的站点上的所有流量传递到那里的防火墙没有过滤器或 NAT。它实际上相当不错。
跨 MPLS 云的流量的 QoS。如果您知道您将在需要获得优先级的云上的站点之间拥有特定的流量,您通常可以在云中(以及每个站点的 CPE 上)进行配置。
到 Internet 的中央出口,如果您愿意的话。以使用您的云带宽为代价,您通常可以请求一个配置,使远程站点对 Internet 的所有访问都遍历云并在“中心”站点出口。
您可以灵活地使用多个 ISP。我有一位客户正在将 MPLS 用于“重要”远程站点,并使用 Cisco ASA 设备和商品 DSL 或有线互联网连接用于“不太重要”站点的 VPN 连接。(他们在他们的“中心”站点上运行一个 VPN 集中器设备,该设备通过 MPLS 提供商通过互联网公开。)
理论上,如果 MPLS 云“宕机”,您还可以使用动态路由协议或浮动静态路由通过二级商品 Internet 连接对 VPN 隧道进行“故障转移”。如果您的正常运行时间需要证明费用合理,请调查一下。MPLS 网络的典型问题发生在“最后一英里”(典型的愚蠢的电信问题——智能插座故障、光纤被 BIFF 等),但不在“云”中。
我认为你在正确的轨道上。绝对只使用实际的分支机构流量加载您的 VPN/分支机构连接。将 Internet 流量单独留给每个站点的本地提供商,除非您有一些更高安全性或集中过滤/审核的理由将其通过主数据中心。
您还可以使用企业级连接在 Internet 上进行IPSEC VPN 隧道。如果您获得具有良好上传速度的那些,您可能会拥有更多带宽。但是,您将没有 QoS,因为它通过 Internet 传输,理论上T1 可能更可靠。
您还可以考虑使用MPLS提供商来连接您的所有办公室。提供商将能够为您实施一些 QoS,然后您可以使用单独的 Internet 连接。提供商将隔离您的流量,因此就好像您在两者之间有一个 VPN。基本上,使用 MPLS,提供商可以为您做更多的事情,这可能是缺点也可能是优点。
其他几个答案暗示了这一点,但考虑使用每个站点的 Internet 连接作为与美国其他位置或欧洲位置的备份连接。您可以设置一个站点到站点 VPN,如果您的主链接出现故障,该 VPN 会自动(浮动静态或更高的管理成本)启动。如果他们通过不同的运营商,这尤其好。
我的一个问题是这个项目的成本是多少,目标是什么?您是通过这个网络实时交易股票,还是只是让远程办公室与总部保持联系以获取工资和库存?有没有兴趣对此进行配音?在您购买所有设备一周后,有人会要求您播放视频吗?
获得快速互联网链接的最便宜方法是使用本地提供商的 DSL / fios / 电缆,获得 2 个独立链接,然后在这些链接上运行 VPN,并在 VPN 上运行路由协议,这样您就可以在“内部”网络上进行可靠的故障转移. 这也是愚蠢的复杂,从长远来看可能更难保持运行,但便宜又快。
如果您愿意花大价钱,请从一家供应商处获取 MPLS,让他们管理您的设备和网络。但是,同一个 MPLS 提供商是否能够访问您所有的办公地点?如果没有,您必须在它们之间运行 VPN(MPLS 提供商通常不提供提供商之间的 MPLS 隧道)。如果您在全国范围内开展业务,您将被限制为 3-8 个提供商,可以访问您的所有站点。如果你是一家全球性企业,那么这个数字会小很多,除非你愿意贿赂供应商让他们互相交谈。
我会避免使用 T1——它们真的很慢而且你得到的东西非常昂贵。我还看到一些供应商的可靠性确实很差。分数 T3 通常不会更多,但通常您也可以从提供 T1/T3 的同一供应商处获得以太网。