CBS нашла решение для оптимизации работы сети заказчика в европейском дата-центре

• 20.07.2015
• 420

Специалисты компании CBS успешно завершили комплексный проект, который включал аудит и последующую модернизацию IT-инфраструктуры площадки, расположенной в Европе.

Ситуация

Заказчик оказывает услуги по системной интеграции и дальнейшему обеспечению стабильной работы IT-инфраструктуры различных компаний. На базе площадки, расположенной в дата-центре в Европе, он предоставляет своим клиентам сервис, который дает возможность размещать часть их IT-инфраструктуры за рубежом.

На момент начала проекта работу площадки в Европе обеспечивала система, состоявшая из двух маршрутизаторов ISR 1900 и 2800, двух коммутаторов Cisco 3560, выполнявших функцию ядра сети, и двух коммутаторов Cisco 2960 для доступа к сети. К коммутаторам ядра и доступа были подключены серверы. Маршрутизаторы использовались для выхода в интернет, а также для перенаправления почтового трафика на систему Cisco Ironport и организации защищённых IPSec VPN-каналов, по которым осуществлялось соединение с внешними офисами. Для удаленного подключения клиентов к сети использовались программные шлюзы Kerio и TMG. Отметим, что сеть хранения данных и локальная сеть имели общую инфраструктуру.

Задача

До обращения в CBS заказчик занимался настройкой оборудования на площадке самостоятельно. Со временем у него появился ряд пожеланий по модернизации инфраструктуры сети и оптимизации ее работы. В частности, необходимо было повысить производительность, управляемость и защищенность сети, обеспечить централизацию процессов контроля, учета и фильтрации трафика, а также управления VPN-соединениями. В связи с этим заказчик обратился в компанию CBS для проведения аудита и последующего внесения изменений в работу площадки, если это потребуется.

Результаты аудита

В ходе проверки инженеры компании CBS выявили факторы, отрицательно влиявшие на эффективность работы сети. Для начала, топология площадки в Европе не обеспечивала отказоустойчивости сетевой инфраструктуры. Кроме того, доступ в интернет осуществлялся через нескольких провайдеров, однако использовавшиеся настройки не были оптимальными, так как позволяли переключить маршрут только в случае физического отказа канала или интерфейса маршрутизатора. Стоит отметить, что даже исправность физического канала «последней мили» во многих случаях не может однозначно указывать на работоспособность провайдера, таким образом, данная настройка не соответствовала требованиям отказоустойчивости.

Далее, архитектура, объединявшая LAN и SAN сегменты сети, не позволяла добиться максимального уровня производительности.

Защищенный канал IPSec для удаленных подключений применял неустойчивый к взлому алгоритм шифрования данных DES, что снижало безопасность сети. И наконец, на маршрутизаторах был отключен сбор системных сообщений, что могло в дальнейшем затруднить получение информации о проблемах, возникающих в работе сети.

Решение

Завершив аудит, инженеры CBS приступили к корректировке работы IT-инфраструктуры заказчика. Была произведена перекоммутация оборудования, что привело к частичному изменению логики работы сети и нейтрализации факторов, снижавших ее отказоустойчивость. Предложенная топология позволила физически разделить LAN и SAN сети, что, в итоге, повысило надежность и производительность IT-инфраструктуры. Для усиления степени защиты данных был установлен межсетевой экран ASA 5512-Х, который частично заменил использовавшиеся ранее шлюзы Kerio. Это привело к оптимизации работы сети и увеличило ее производительность.

Версии программного обеспечения для сетевого оборудования заменили на более стабильные, а алгоритм шифрования данных для работы с VPN - на устойчивый к взлому.

Для сбора информации о работе сети (загрузка устройств, интерфейсов, каналов связи) был настроен сервер мониторинга по протоколу SNMP, для сбора системных сообщений - организован выделенный Syslog-сервер. В дальнейшем это позволит оперативно решать возможные проблемы в работе IT-инфраструктуры. «Установка физического межсетевого экрана, который централизованно осуществляет контроль и учет трафика и может регулировать степень открытости интернета для различных групп пользователей, сделала инфраструктуру клиента более простой и управляемой. Кроме того, мы добились значительного повышения отказоустойчивости системы», - рассказал инженер проекта Борис Усков.

Итоги проекта

В результате проведенной работы специалистам CBS удалось оптимизировать работу сети заказчика. В частности, обеспечить централизованное управление VPN-соединениями, а также контроль и фильтрацию трафика. Изменение топологии, которое привело к разделению LAN и SAN cетей, увеличило их производительность и надежность. Установка физического межсетевого экрана сделала систему более надежной и отказоустойчивой, за счет частичной замены использовавшихся ранее программных шлюзов. Кроме того, для обеспечения удаленного доступа к инфраструктуре дата-цента с помощью VPN было установлено программное обеспечение Cisco AnyConnect, которое, по свидетельству заказчика, повысило устойчивость и стабильность связи удаленных пользователей.