Единая централизованная корпоративная сеть передачи данных ГК «РИКВЭСТ»

Заказчик
ООО "Риквэст-Сервис"
Руководитель проекта со стороны заказчика
ИТ-поставщик
Kerio Control
Сроки выполнения проекта
Январь, 2019 - Июль, 2019
Масштаб проекта
1000 человеко-часов
700 автоматизированных рабочих мест
Цели
Организация единого информационного пространства географически распределенной по всей территории Российской Федерации Компании с большим количеством узлов и элементов сетей передачи данных для совместного использования сотрудниками Компании централизованных информационных сервисов.
Компания имеет 23 филиала в различных городах Российской Федерации от Владивостока до Калининграда со средним количеством автоматизированных рабочих мест на каждом филиале около 30. Все вычислительные мощности и корпоративные информационные системы, работающие в режиме online, физически располагаются в Головном офисе в Москве. Соответственно, для эффективной и бесперебойной работы пользователей филиалов Компании необходимо было создать единую корпоративную сеть с заданными параметрами пропускной способности и отказоустойчивости.

Уникальность проекта

Уникальность проекта заключается в применении недорогих программно-аппаратных межсетевых экранов, что позволяет, в отличии от дорогостоящих аппаратных решений известных вендоров, очень быстро в аварийных случаях восстанавливать работу узла сети, используя практически любой резервный компьютер, развернув на нём бэкап конфигурации узла на ПО Kerio Control.
Использованное ПО
В рамках проекта было применено унифицированное серверное оборудование в форм-факторе 1U:
1) Для шлюзов VPN-туннелей - сервер ASUS RS500-E6/PS4;
2) Для контроллеров доменов - сервер IBM X3250 M4.
В качестве ПО применены:
1) Программный межсетевой экран Kerio Control;
2) Программа администрирования и мониторинга сети 10-Strike LANState.

Сложность реалиазации
Основная сложность реализации заключалась в организации дублированных каналов доступа в Интернет от 2-х независимых провайдеров федерального уровня в большом количестве городов Российской Федерации с едиными требованиями к технологиям передачи данных и к тарифным параметрам.
Описание проекта
Основные этапы проекта:
1) Проработка и определение стандартов корпоративных политик леса доменов;
2) Выбор ПО для организации VPN-туннелей – Kerio Control;
3) Проработка аппаратной архитектуры филиальных шлюзов и контроллеров доменов;
4) Организация «последних миль» для ЛВС филиалов с обязательным для каждого филиала привлечением 2-х независимых провайдеров и применением 2-х различных технологий передачи данных (один канал на ВОЛС, второй - на РРЛ);
5) Выбор ПО для администрирования и мониторинга сети - 10-Strike LANState;
6) Отработка на отдельно взятом филиале программно-аппаратного комплекса управления филиальным узлом корпоративной сети;
7) Поэтапное клонирование программно-аппаратного комплекса управления филиальным узлом корпоративной сети с последующим разворачиванием и настройкой на каждом филиале;
Полномасштабное развертывание ПО администрирования и мониторинга сети в рамках всей корпоративной сети передачи данных с настройкой оповещений о событиях в узлах единой корпоративной сети.
Таким образом, с запуском в промышленную эксплуатацию единой корпоративной сети передачи данных, пользователи каждого филиала Компании подключаются к информационным сервисам, развёрнутым в частном ЦОД Головного офиса, посредством VPN-туннеля, поднятого на программно-аппаратном шлюзе с одновременным использованием 2-х независимых каналов доступа в Интернет с настроенной балансировкой пропускной способности. При этом работа компьютеров филиальных пользователей управляется политиками собственного поддомена, входящего в единый лес доменов Компании. Мониторинг состояния всей корпоративной сети производится сотрудниками отдела системного администрирования Головного офиса посредством ПО 10-Strike LANState и они получают оповещения в виде электронных писем и SMS о критичных состояниях всех узлов корпоративной сети передачи данных. Системный администратор филиала может мониторить только свой узел корпоративной сети передачи данных и получать оповещения в виде электронных писем и SMS о критичных состояниях своего узла.
Успешность проекта подтвердилась следующими результатами:
- беспрецедентно возросла отказоустойчивость корпоративной сети передачи данных, что крайне важно для Компании, поскольку, учитывая специфику бизнеса и часовые пояса (8 часовых поясов) пользователи работают с информационными системами Компании в режиме 7/24. За время эксплуатации Единой централизованной корпоративной сети передачи данных не было ни одного сколько-нибудь заметного прерывания работы пользователей ни на одном филиале;
- значительно упростилось администрирование корпоративной сети передачи данных за счет применения унифицированных программно-аппаратных комплексов управления узлами сети, интеллектуальной системы мониторинга и мгновенных оповещений о критичных состояниях узлов сети.

География проекта
Автоматизированные рабочие места информационных сотрудников ГК "РИКВЭСТ", работающих в Единой централизованной корпоративной сети передачи данных, организованы более, чем в 30 городах Российской Федерации, расположенных в Калининградской области, Северо-Западном, Центральном, Южном, Северо-Кавказском, Приволжском, Сибирском и Дальневосточном федеральных округах, а также в республике Крым (региональные центры Компании находятся в городах: Москва, Санкт-Петербург, Калининград, Пенза, Самара, Уфа, Саратов, Волгоград, Ростов-на-Дону, Новороссийск, Кисловодск, Екатеринбург, Новосибирск, Иркутск, Красноярск, Владивосток, Хабаровск, Тында, Чита, Севастополь, Тюмень).
Коментарии: 2
  • Владислав Карпенков
    Рейтинг: 30
    ООО 585*Золотой
    Руководитель по развитию ИТ решений
    28.11.2019 11:41

    Добрый день.
    Интересный проект.
    Несколько вопросов:
    1) По какой причине не выбрали в качестве резервных каналов LTE решения? Срок падения основного канала как правило не более нескольких часов - этот период можно "пережить" на модеме.
    2) Какое оконечное оборудование установлено в регионах? Интересует вендор/модель.
    3) Какой тип шифрования используется при построении туннелей?
    4) Какой протокол динамической маршрутизации используется?
    5) С какой целью сделали балансировку пропускной полосы?
    6) VPN - через Интернет/L2/L3?

  • Сергей Афанасьев
    Рейтинг: 395
    ООО "Риквэст-Сервис"
    Начальник службы ИТ
    28.11.2019 16:27

    Здравствуйте.
    Благодарю за проявленный интерес к проекту.
    Отвечаю на вопросы:
    1) Как вы знаете, уровень сигнала операторов сотовой связи может значительно зависеть от территориального расположения абонента. Как правило, все наши объекты находятся в промышленных зонах и, в отличие от центральных частей города, там не все операторы сотовой связи могут обеспечить удовлетворительный для передачи данных уровень сигнала (либо вообще ни один оператор). Это с одной стороны. А с другой стороны, под резервным каналом мы подразумеваем полноценный канал, который используется постоянно, а не только на периоды падения основного канала и бывают, например, ситуации, когда требуется функциональное разделение передачи данных по каналам или наоборот объединение полосы пропускания. В общем, мы формулировали требования к резервному каналу таким образом, чтобы он был организован на отличном от основного канала физическом принципе, но имел сопоставимую с основным каналом пропускную способность.
    2) Как я указывал в описании проекта, в качестве оконечного оборудования были применены серверы ASUS RS500-E6/PS4 с унифицированной конфигурацией. Эти серверы выполняют роль шлюзов с развернутыми на них программными межсетевыми экранами Kerio Control под управлением операционной системы Linux Debian.
    3) Kerio Control для создания туннелей VPN использует собственный проприетарный протокол Kerio VPN, более защищенный и превосходящей по производительности IPSec.
    4) Ответ такой же, как и на предыдущий вопрос, но предполагаю, что в основу взят протокол OSPF.
    5) Возможность балансировки нагрузки на несколько каналов (в нашем случае их 2), реализованная в Kerio Control, распределяет избыточную нагрузку на другой канал в целях поддержки доступности и производительности приложений. Например, если проводится видеоконференция с филиалом и по каналу идет видео поток, то сеансы пользователей, работающих с другими информационными системами, перераспределяются на другой канал. За счет балансировки создается своего рода единый канал с большей пропускной способностью, чем при использовании основного и резервного канала в отдельности. Отчасти здесь ответ и на первый вопрос.
    6) VPN - через Интернет.

Предметная область
Отрасль
Управление