Для побудови ВПМ мережі на власному обладнанні необхідно визначитися – на якому обладнані буде побудована мережа. Написав технічне завдання, щодо вимог до майбутньої мережі, я відправив його до виробників телекомунікаційного обладнання з проханням надати пропозиції щодо побудови мережі. Згідно наданих пропозицій єдиним більш-менш адекватним рішенням було від D-Link. Але, коли побачив ціну одного пристрою… економією тут і не пахло.
Знову поринув у пошук… і натрапив на обладнання Mikrotik. Ось воно, рішення, яке відповідає прийнятній ціні та обходить по технічним можливостям усіх інших претендентів.
Типова схема підрозділу Миколаївської області.
Отже, міграція буде проходити у 2 етапи. Перший – переключення усіх точок на звичайний (мінімальний) тариф ОГО-Старт (50 грн/м). Другий – установка комутаторів Mikrotik RB-750.
Після закінчення першого етапу:
1. Швидкість виросла із 512/512 Kb до 4/2 Мb.
2. Сума оплати зменшилась із 416 грн. до 62 грн.
3. Отримали головний біль із вірусами, так як раніше в підрозділах вихід до Інтернет був контрольований через проксі-сервер.
Загальний час першого етапу вийшов трохи більше одного місяця по причині низької кваліфікації працівників Укртелекому у районах та недостатня їх кількість. У деяких районах вони просто були відсутні, тому на місце прийшлося виїжджати самостійно.
Тепер спробуємо приблизно прорахувати нашу економію.
Всього за 2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | Всього за 2012 | |
Інтернет Фарлеп VPN | – | – | – | 240 | 240 | 240 | 240 | 240 | 240 | 240 | 240 | 240 | 240 | 2400 |
Інтернет Фарлеп осн.канал | – | – | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 2310 |
PRI Farlep | 4320 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 360 | 4320 |
ТУ МНС Оптичне Farlep | 8220 | 685 | 685 | 685 | 685 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2740 |
ТУ МНС ВПН Укртелеком | 14112 | 1176 | 1176 | 1176 | 1176 | 1176 | 1176 | 0 | 0 | 0 | 0 | 0 | 0 | 7056 |
СДПЧ-1 Оптичне Farlep | 8220 | 685 | 685 | 685 | 685 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 4420 |
СДПЧ-2 | 4956 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 1797 |
СДПЧ-3 | 4956 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 1797 |
ПДПЧ-16 Оптичне Farlep | 8220 | 685 | 685 | 685 | 685 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 210 | 4420 |
СДПЧ-8 | 4956 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 1797 |
СДПЧ-25 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-5 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-6 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-9 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-12 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-17 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-19 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-20 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-21 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-26 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-27 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-28 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-29 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-30 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-31 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-32 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-33 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-34 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДЧП-35 | 4956 | 413 | 413 | 413 | 413 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 62 | 2148 |
СДПЧ-36 Радіоканал Intellecom | 3000 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 250 | 3000 |
ВСЬОГО | 155124 | 12927 | 13137 | 13377 | 12324 | 4020 | 4020 | 2844 | 2844 | 2844 | 2844 | 2844 | 2844 | 76869 |
Що ж, приблизна економія в 76 тисяч в перший рік, а це тільки половина… непогано! Наступний рік гарантовано 150 тис. економії!!! А окрім економії, ми ще маємо шикарні швидкості!
В якості головного пристрою встановлено Mikrotik RB1100, а в підрозділах Mikrotik RB750. На початку з’єднання відбувалося тунельним протоколом PPTP, а згодом від нього відмовлено та перейдено на L2TP. На відміну від PPTP, L2TP зарекомендував себе більш стабільною роботою.
На відділеному маршрутизаторі локальна мережа розбита на 3 сегменти. Перший – 192.168.XXX.1/26 – в цьому діапазоні усі пристрої мають вихід в Інтернет та VPN мережу. Другий – 192.168.XXX.64/26 сегмент має вихід тільки до VPN . Третій сегмент 192.168.XXX.192/26 (гостьовий)- використовуються для вперше підключених пристроїв, які в подальшому, згідно заявок, переводяться до необхідного сегменту.
В першому сегментів присвоєння ІР адрес відбувається згідно схеми:
1- комутатор, 2-7 резерв, 8-10 ІР камери, 11 – SIP шлюз, 12-40 ІР телефони.
Дане рішення дозволило організувати стабільне VPN з’єднання підрозділу із ГУ та надати доступ до усіх мережевих ресурсів. Усім користувачам заборонено вихід до мережі Інтернет безпосередньо через власний комутатор. Для цього використовується проксі сервер ГУ, який обслуговує усіх користувачів області та дозволяє централізовано застосовувати обмеження до мережі згідно діючої політики безпеки.
Типова схема підрозділу Миколаївської області із власним обладнанням VPN.
Далі основна настройка відділеного Mikrotik RB750.
Впровадження VPN 2003-2004 (частина 1)
“Усім користувачам заборонено вихід до мережі Інтернет безпосередньо через власний комутатор. Для цього використовується проксі сервер ГУ, який обслуговує усіх користувачів області та дозволяє централізовано застосовувати обмеження до мережі згідно діючої політики безпеки”
Підкажіть, в яку сторону думати… який чином мікротік підрозділу заставити ходити через проксі-сервер управління?
Поділіться налаштуваннями, як це зробити, що прописати і т.д.
Це описано цій статті http://videooko.net/?p=193