Впровадження VPN ч.2

Для побудови ВПМ мережі на власному обладнанні необхідно визначитися — на якому обладнані буде побудована мережа. Написав технічне завдання, щодо вимог до майбутньої мережі, я відправив його до виробників телекомунікаційного обладнання з проханням надати пропозиції щодо побудови мережі. Згідно наданих пропозицій єдиним більш-менш адекватним рішенням було від D-Link. Але, коли побачив ціну одного пристрою… економією тут і не пахло.

 Знову поринув у пошук… і натрапив на обладнання Mikrotik. Ось воно, рішення, яке відповідає прийнятній ціні та обходить по технічним можливостям усіх інших претендентів.

Типова схема підрозділу Миколаївської області.

СХЕМЫ VPN

 Отже, міграція буде проходити у 2 етапи. Перший — переключення усіх точок на звичайний (мінімальний) тариф ОГО-Старт (50 грн/м). Другий — установка комутаторів Mikrotik RB-750.

Після закінчення першого етапу:
1. Швидкість виросла із 512/512 Kb до 4/2 Мb.
2. Сума оплати зменшилась із 416 грн. до 62 грн.
3. Отримали головний біль із вірусами, так як раніше в підрозділах вихід до Інтернет був контрольований через проксі-сервер.

 Загальний час першого етапу вийшов трохи більше одного місяця по причині низької кваліфікації працівників Укртелекому у районах та недостатня їх кількість. У деяких районах вони просто були відсутні, тому на місце прийшлося виїжджати самостійно.

Тепер спробуємо приблизно прорахувати нашу економію.

Всього за 2011 01 02 03 04 05 06 07 08 09 10 11 12 Всього за 2012
Інтернет Фарлеп VPN  —  —  — 240 240 240 240 240 240 240 240 240 240 2400
Інтернет Фарлеп осн.канал  —  — 210 210 210 210 210 210 210 210 210 210 210 2310
PRI Farlep 4320 360 360 360 360 360 360 360 360 360 360 360 360 4320
ТУ МНС Оптичне Farlep 8220 685 685 685 685 0 0 0 0 0 0 0 0 2740
ТУ МНС ВПН Укртелеком 14112 1176 1176 1176 1176 1176 1176 0 0 0 0 0 0 7056
СДПЧ-1 Оптичне Farlep 8220 685 685 685 685 210 210 210 210 210 210 210 210 4420
СДПЧ-2 4956 413 413 413 62 62 62 62 62 62 62 62 62 1797
СДПЧ-3 4956 413 413 413 62 62 62 62 62 62 62 62 62 1797
ПДПЧ-16 Оптичне Farlep 8220 685 685 685 685 210 210 210 210 210 210 210 210 4420
СДПЧ-8 4956 413 413 413 62 62 62 62 62 62 62 62 62 1797
СДПЧ-25 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-5 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-6 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-9 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-12 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-17 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-19 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-20 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-21 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-26 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-27 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-28 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-29 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-30 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-31 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-32 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-33 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-34 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДЧП-35 4956 413 413 413 413 62 62 62 62 62 62 62 62 2148
СДПЧ-36 Радіоканал Intellecom 3000 250 250 250 250 250 250 250 250 250 250 250 250 3000
ВСЬОГО 155124 12927 13137 13377 12324 4020 4020 2844 2844 2844 2844 2844 2844 76869

Що ж, приблизна економія в 76 тисяч в перший рік, а це тільки половина… непогано! Наступний рік гарантовано 150 тис. економії!!! А окрім економії, ми ще маємо шикарні швидкості!

В якості головного пристрою встановлено Mikrotik RB1100, а в підрозділах Mikrotik RB750. На початку з’єднання відбувалося тунельним протоколом PPTP, а згодом від нього відмовлено та перейдено на L2TP. На відміну від  PPTP, L2TP зарекомендував себе більш стабільною роботою.

На відділеному маршрутизаторі локальна мережа розбита на 3 сегменти. Перший — 192.168.XXX.1/26 — в цьому діапазоні усі пристрої мають вихід в Інтернет та VPN  мережу. Другий — 192.168.XXX.64/26 сегмент має вихід тільки до VPN . Третій сегмент 192.168.XXX.192/26 (гостьовий)- використовуються для вперше підключених пристроїв, які в подальшому, згідно заявок, переводяться до необхідного сегменту.
В першому сегментів присвоєння ІР адрес відбувається згідно схеми:
1- комутатор, 2-7 резерв, 8-10 ІР камери, 11 — SIP шлюз, 12-40 ІР телефони.

Дане рішення дозволило організувати стабільне VPN з’єднання підрозділу із ГУ та надати доступ до усіх мережевих ресурсів. Усім користувачам заборонено вихід до мережі Інтернет безпосередньо через власний комутатор. Для цього використовується проксі сервер ГУ, який обслуговує усіх користувачів області та дозволяє централізовано застосовувати обмеження до мережі згідно діючої політики безпеки.

Типова схема підрозділу Миколаївської області із власним обладнанням VPN. Типова схема підрозділу-in-mikrotik

Далі основна настройка відділеного Mikrotik RB750.


Впровадження VPN 2003-2004 (частина 1)

2 мысли о “Впровадження VPN ч.2”

  1. «Усім користувачам заборонено вихід до мережі Інтернет безпосередньо через власний комутатор. Для цього використовується проксі сервер ГУ, який обслуговує усіх користувачів області та дозволяє централізовано застосовувати обмеження до мережі згідно діючої політики безпеки»
    Підкажіть, в яку сторону думати… який чином мікротік підрозділу заставити ходити через проксі-сервер управління?
    Поділіться налаштуваннями, як це зробити, що прописати і т.д.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *