WAN Design Questions
我的任務是重新設計我們公司在北美的 WAN。我們在美國有兩個辦事處,一個在紐約,一個在中西部。我們還在歐洲設有辦事處。除了加入歐洲廣域網和美國廣域網之外,我不會在歐洲接觸任何東西。
目前拓撲如下:
我們在 PA 有一個異地託管設施,WAN 在全球範圍內連接在一起。兩個美國站點的網際網路連接通過 PIX 防火牆從這裡進入。到紐約的網際網路連接很好,但到中西部的辦公室存在延遲問題。每個站點都通過 T1 連接到 PA,所有流量,包括網路和網際網路,都通過這些 T1 鏈路傳輸。
未來拓撲:
異地託管設施將被取消,實際上將轉移到我們的中西部地區。這就是將 WAN 捆綁在一起的地方。
我正在尋找有關如何在速度、成本和安全性方面進行最佳設計的建議。目前,我們在美國祇有一個訪問網際網路的點,即通過異地託管設施。我在想,為了給每個辦公室提供快速、可靠的網際網路連接,最好是單獨連接到每個站點,而不是讓一個網路連接到中西部,然後通過廣域網連結到紐約. 商務艙電纜連接是我的想法,當然每個都有自己的防火牆。然後,使用 T1 將兩個辦公室連接在一起……或者有更快、同樣可靠且更便宜的方法將兩者連接在一起嗎?
請在我的想法中戳破洞,因為我需要從設計的角度更好地理解可用的內容。
考慮查看來自不同國家供應商(QWest、AT&T 等)的 MPLS 產品。您可以在每個遠端辦公室獲得 Internet 連接,並通過提供商的“雲”獲得站點之間的“私有”連接。從概念上講,這有點像在站點之間使用 VPN,只是提供商的設備正在處理 VPN 連接。
您可能會發現每月的費用並沒有您想像的那麼糟糕。如果您將語音電話帶入圖片中,您實際上可能會節省成本。
編輯(現在我有更多時間):
MPLS 提供商通常會通過解決方案“免費”為您提供一些“好”的東西,包括:
- 雲內部的 NAT 和防火牆。將 MPLS 引入還沒有防火牆的站點可以節省成本,但通常不如在現場擁有自己的防火牆那樣靈活(並且不容易審計或取出計數器)。我有一個客戶,他有一個 MPLS 提供商,允許我們在不託管面向 Internet 的伺服器的站點上使用他們的防火牆功能,但將託管面向 Internet 的伺服器的站點上的所有流量傳遞到那裡的防火牆沒有過濾器或 NAT。它實際上相當不錯。
- 跨 MPLS 雲的流量的 QoS。如果您知道您將在需要獲得優先級的雲上的站點之間擁有特定的流量,您通常可以在雲中(以及每個站點的 CPE 上)進行配置。
- 到 Internet 的中央出口,如果您願意的話。以使用您的雲頻寬為代價,您通常可以請求一個配置,使遠端站點對 Internet 的所有訪問都遍歷雲並在“中心”站點出口。
您可以靈活地使用多個 ISP。我有一位客戶正在將 MPLS 用於“重要”遠端站點,並使用 Cisco ASA 設備和商品 DSL 或有線網際網路連接用於“不太重要”站點的 VPN 連接。(他們在他們的“中心”站點上執行一個 VPN 集中器設備,該設備通過 MPLS 提供商通過網際網路公開。)
理論上,如果 MPLS 雲“宕機”,您還可以使用動態路由協議或浮動靜態路由通過二級商品 Internet 連接對 VPN 隧道進行“故障轉移”。如果您的正常執行時間需要證明費用合理,請調查一下。MPLS 網路的典型問題發生在“最後一英里”(典型的愚蠢的電信問題——智能插座故障、光纖被 BIFF 等),但不在“雲”中。