CBS завершила проект для ЗАО ИЦ «Акватория тепла»

Ситуация

Компания достаточно серьёзно подходит к вопросу отказоустойчивости своей ИТ-инфраструктуры. Практически всё оборудование и каналы связи задублированы. Серверная инфраструктура виртуализирована и запущена на базе отказоустойчивого кластера, в качестве ядра сети выступают несколько коммутаторов, объединённых в стек, IP-АТС на базе Cisco UCM, настроена в отказоустойчивом варианте. Так же обстоят дела с внешними каналами связи. Для обеспечения доступа в интернет используются два провайдера. Через них же обеспечивается связь с удалёнными офисами. Для связи с ТфОП используются два оператора связи. Один предоставляет подключение через поток E1, второй является SIP провайдером, доступ к которому осуществляется через интернет. Единственный аппаратно незарезервированный элементом сети - маршрутизатор Cisco 2951, к которому подключены все внешние каналы связи.

Задача

Необходимо обеспечить отказоустойчивость телефонии, доступа в интернет, а также каналов связи с удалёнными офисами в случае выхода из строя центрального маршрутизатора 2951. Нужно добиться максимальной автоматизации переключения на резервные каналы связи при отказе любого провайдера интернет доступа или телефонии, и переключения на резервный маршрутизатор в случае отказа маршрутизатора 2951.

Решение

Для обеспечения отказоустойчивости маршрутизатора 2951 было принято решение установить второй маршрутизатор Cisco. Этим маршрутизатором стал 2821, который долгое время был основным маршрутизатором, в последствии заменённым на 2951. Замена была необходима в силу недостаточной производительности 2821 для нужд компании. Однако это никак не мешает использовать его в качестве резерва и в случае отказа основного устройства обеспечивать работу с минимально необходимой производительностью, требуемой для компании.

При выборе решения принималось во внимание оборудование, установленное в удалённых офисах. Было выделено три группы офисов. В первой группе офисов были установлены маршрутизаторы линейки Cisco 2800 и 2900. При этом для наиболее критичных офисов было предусмотрено подключение через двух провайдеров. Во второй группе офисов использовались маршрутизаторы линейки Cisco 2800 и 2900 совместно с межсетевыми экранами ASA. В этих офиса шифрование трафика выполняется на базе ASA. В третьей группе офисов были установлены только межсетевые экраны ASA. Такая компоновка удалённых офисов сложилась исторически и привела к тому, что для решения одинаковых задач использовалось различное по типу оборудование с различными версиями операционных систем и разным функционалом. Всё это накладывало свой отпечаток на обеспечение работы VPN-соединений в отказоустойчивом режиме. Нам необходимо было учесть все эти моменты в проекте.

Еще одной областью, которая требовала повышенного внимания, стало обеспечение голосовой связи через двух провайдеров. Во-первых, кабель потока E1 был всего один и, вспоминая насколько было не просто его завести в здание компании, не было никакого желания использовать дублирующее соединение E1. Во-вторых, хоть провайдер SIP связи и поддерживал мульти регистрацию, использовать её крайне не хотелось. Это обусловлено тем, что в случае одновременной регистрации с нескольких устройств, входящие вызовы будут направляться на то устройство, которое последним отправило запрос (подтверждение) регистрации. Таким образом входящие вызовы могут попеременно приходить на разные маршрутизаторы, выполняющие роль голосового шлюза (CUBE в терминах компании Cisco). Нам же хотелось иметь полную предсказуемость логики маршрутизации вызовов в компании. Ещё один момент, который нам необходимо было учесть – это версия IP-АТС Cisco UCM. Текущая версия, установленная у заказчика, не поддерживала такую функцию, как SIP OPTIONS Ping на SIP-транке. Что в свою очередь не позволяет периодически в автоматическом режиме проверять доступность SIP-транка.

Принимая во внимание все нюансы, общая топология нового сегмента сети должна была выглядеть следующим образом.

Единая точка выхода из локальной сети была обеспечена с помощью протокола HSRP. Оба маршрутизатора для внутренней сети скрывались за одним виртуальным адресом. Для оптимизации маршрутизации трафика в случае отказа провайдера, напрямую подключенного к маршрутизатору, было настроено понижение приоритета маршрутизатора в HSRP группе. Таким образом потере связи с провайдером, виртуальный IP-адрес переходил на тот маршрутизатор, у которого сохранялась прямая связь с интернетом.

Обеспечить отказоустойчивую связь между офисами в автоматическом режиме удалось за счёт использования протокола динамической маршрутизации. В данном случае использовался протокол EIGRP. Для тех офисов, где были установлены только ASA, использовалась криптокарта с двумя пирами и проверка работоспособности IPSec-канала (Dead Peer Detection). Этого было достаточно из-за специфики работы ASA. После того как откажет основной маршрутизатор, удалённые ASA переключатся на второй. Но как только восстановит работу основной маршрутизатор и появится трафик в сторону ASA, он попытается установить IPSec соединение. В этом случае ASA удалит старое соединение через резервный маршрутизатор и установит связь с основным. Таким образом вся схема восстановит изначальное состояние.

Переключение между провайдерами связи было реализовано следующим образом. SIP провайдер переключался на второй маршрутизатор через скрипт, настроенный средствами Embedded Event Manager (EMM). Маршрутизация вызовов на CUCM определялась конфигурацией листа маршрутов (route list). При этом была учтена маршрутизация вызовов по направлениям в зависимости от их стоимости.

Результат

В результате реализации проекта компания решила вопрос с надёжных доступом к внешним каналам связи и получила полностью отказоустойчивую ИТ-инфраструктуру.

Оказанные услуги: унифицированные коммуникации, проектирование и создание сетевой инфраструктуры