WAN 设计问题

WAN 设计问题

我的任务是重新设计我们公司在北美的 WAN。我们在美国有两个办事处,一个在纽约,一个在中西部。我们在欧洲也有办事处。除了将欧洲 WAN 与美国 WAN 连接起来之外,我不会触及欧洲的任何事务。

当前拓扑结构如下:

我们在宾夕法尼亚州拥有一个异地托管设施,全球的 WAN 都在这里连接。美国两个站点的互联网连接通过 PIX 防火墙从这里进入。到纽约的互联网连接很好,但到中西部办事处存在延迟问题。每个站点都通过 T1 连接到宾夕法尼亚州,所有流量(包括网络和互联网)都通过这些 T1 链路传输。

未来的拓扑结构:

场外托管设施将被取消,实际上将转移到我们位于中西部的地点。这里将负责 WAN 的连接。

我正在寻找有关如何在速度、成本和安全性方面进行最佳设计的建议。目前,我们在美国只有一个互联网接入点,即通过异地托管设施。我认为,为了为每个办公室提供快速、可靠的互联网连接,最好为每个站点建立单独的连接,而不是将一个网络连接连接到中西部,然后通过 WAN 链路连接到纽约。我想到的是商务级有线连接,当然每个连接都有自己的防火墙。然后,用 T1 将两个办公室连接在一起……或者有没有更快、同样可靠且更便宜的方法将两个办公室连接在一起?

请指出我的想法中的漏洞,因为我需要从设计角度更好地了解可用的内容。

答案1

考虑查看来自各个国家供应商(QWest、AT&T 等)的 MPLS 产品。您可以在每个远程办公室获得互联网连接,并在供应商的“云”上获得站点之间的“私人”连接。从概念上讲,这有点像在站点之间建立 VPN,只是供应商的设备负责处理 VPN 连接。

您可能会发现每月的费用并不像您想象的那么高。如果您将语音电话纳入考虑范围,您实际上可能会节省成本。

编辑(现在我有更多的时间):

MPLS 提供商通常会随解决方案“免费”提供一些“好”东西,包括:

  • 云中的 NAT 和防火墙。将 MPLS 引入尚未安装防火墙的站点可以节省成本,但通常不如在现场安装自己的防火墙那么灵活(并且审计或获取计数器也不那么容易)。我有一个客户,他有一个 MPLS 提供商,允许我们在没有托管面向 Internet 的服务器的站点上使用他们的防火墙功能,但会将托管面向 Internet 的服务器的站点的所有流量传递到防火墙,而无需过滤器或 NAT。这实际上相当不错。

  • 跨 MPLS 云的流量的 QoS。如果您知道在云上的站点之间会有需要优先处理的特定流量,您通常可以在云中(以及在每个站点的 CPE 上)配置此项。

  • 如果您需要,可以采用集中出口到互联网。以使用云带宽为代价,您通常可以请求一种配置,使远程站点对互联网的所有访问都穿过云并从“中心”站点出口。

在使用多个 ISP 时,您可以获得一定的灵活性。我有一个客户,他使用 MPLS 连接“重要”的远程站点,使用 Cisco ASA 设备和商用 DSL 或有线互联网连接连接“不太重要”的站点。(他们在“中心”站点运行 VPN 集中器设备,该设备通过 MPLS 提供商在互联网上公开。)

理论上,如果 MPLS 云“瘫痪”,您还可以使用动态路由协议或浮动静态路由跨次级商用互联网连接“故障转移”到 VPN 隧道。如果您的正常运行时间需求证明花费是合理的,请考虑这一点。MPLS 网络的典型问题发生在“最后一英里”(典型的愚蠢的电信问题——智能插孔故障、光纤被 BIFF 等),而不是在“云”中。

答案2

我赞同 Evan Anderson 提出的 MPLS 建议。这是我为自己的网络考虑的解决方案。

从逻辑上讲,这是指向云的,所有复杂的路由都由提供商完成。这就要求您在整个基础设施中拥有一个统一的提供商*。这并不像听起来那么糟糕,因为您和您的提供商之间需要进行一些配置协作。我不想多次这样做。

此外,请注意,对于不比 T1 大太多的带宽,您可以采用城域以太网类型的解决方案。这非常好,即使您从 5Mb/s 之类的带宽开始,因为您可以在将来扩展而无需添加更多线路。这在您的分支机构中可能并不重要,但听起来您的“中心”位置肯定可以使用不止 T1。请务必向您正在货比三家的提供商提及这一点。其中一些提供商不会(至少在 2 年前不会)混合他们的 T1 和以太网 MPLS 云。现在可能是也可能不是这种情况。

如果我处于你的情况,我会选择一家非常大的提供商,这样你就可以选择将你的欧洲节点连接到 MPLS 网络。这样的提供商并不多(或者至少在我寻找的时候没有)。

-* 有第三方提供商可以弥补运营商之间的差距。本质上,他们连接两家运营商并管理您在两家运营商上的连接。Blargh。

答案3

我认为你走在正确的轨道上。绝对只用实际的分支机构流量加载你的 VPN/分支机构连接。除非你出于某些更高安全性或集中过滤/审计原因而将其通过主数据中心,否则请将互联网流量单独留给每个站点的本地提供商。

答案4

你也可以这样做IPSEC VPN 隧道使用商务级连接通过互联网传输。如果您的上传速度很快,您可能会获得更多带宽。但是,由于它通过互联网传输,因此您将无法享受 QoS,并且理论T1 可能更可靠。

您还可以考虑使用多协议标签交换 (MPLS)提供商连接您的所有办公室。提供商将能够为您实施一些 QoS,然后您可以使用单独的互联网连接。提供商将隔离您的流量,因此它就像您在两者之间有一个 VPN 一样。基本上,使用 MPLS,提供商可以为您做更多的事情,这可能是一个缺点,也可能是一个优势。

相关内容