Как построить корпоративную сеть?


Этому вопросу посвящено огромное количество учебной, технической и научно-популярной литературы: от толстых учебных пособий до коротких статей в новостных лентах. Регулярно проводятся специальные учебные курсы, записываются и выкладываются ознакомительные ролики и мастер-классы.


Разумеется, изучить теоретические основы и практическую часть настройки сетевого оборудования — без этого рабочую сеть не поднять.


Но достаточно ли этого? Даже глубокое знание теории не всегда позволяет учесть все нюансы и избежать чужих ошибок. Именно поэтому так полезно изучить чужой опыт, понять цели и задачи, посмотреть на реализацию.


Ниже мы предлагаем ознакомиться с конкретной реализацией на живом примере построения сети для крупного производителя косметики под брендом ESTEL.


О компании ESTEL


Создание бренда ESTEL принадлежит компании "Юникосметик", основанной предпринимателем Львом Охотиным (химик по образованию) в 1999 году в Санкт-Петербурге.


На данный момент два завода ESTEL в Санкт-Петербурге производят более 2000 наименований косметических товаров для широкого спектра потребностей. Средства данного бренда реализуются в более чем в 150 странах.


Что было в начале


Первоначально сеть предприятия находилась в зачаточном состоянии: несколько коммутаторов, Microsoft Forefront TMG в качестве шлюза, в том числе для доступа к корпоративной сети извне.


Надо сказать, что уже тогда существовала потребность в развитии сети. На тот момент было два завода, которые соединялись по VPN site-to-site, и несколько удалённых площадок (офисов).


Были пользователи, работавшие через VPN client-to-server (около 10 человек). Остальные (это ещё человек 30) подключались напрямую через RDP.


Особенность таких компаний как ESTEL в том, что они прирастают регионами, филиалами, отдельными салонами и другими точками присутствия. Это — экспансия на рынке, развитие и масштаб, и в то же время — зависимость от систем связи. Проще говоря, разветвлённая сеть — основа существования компании.


Куда и как развиваться


Исходя из существовавших на тот момент бизнес-процессов, удалённые филиалы должны работать на серверах корпоративного ЦОД, расположенного на территории завода в Санкт-Петербурге.


Всё решилось после подсоединения третьего филиала. Увеличение числа пользователей перешло некоторую критическую отметку и «старый-добрый» Microsoft Forefront TMG просто перестал «тянуть» в условиях увеличения нагрузки.


В то время компания взяла тренд на развитие сети собственной дистрибуции с расположением филиалов по всей России. Был намечен план развития с открытием до пяти филиалов в месяц, то есть планировался ощутимый рост всего, в первую очередь — трафика. Требовалась переделка всей сетевой инфраструктуры с направленностью на масштабирование. Стало понятно, что программные продукты универсального типа уже не подходят в качестве замены сетевого оборудования для внешней сети. Потребовалось специализированное аппаратное решение.


Выбор оборудования


Сеть передачи данных — сама по себе вещь довольно консервативная. А уж если речь идёт о распределённой централизованной инфраструктуре… Ничего хорошего в том, если центральный узел постоянно выходит из строя, и всем приходиться приостанавливать работу. Мелкие аварии на удалённых точках тоже могут доставить немало проблем — нужно как-то передавать сбойные устройства, отправлять им замену, в общем, тоже хлопот хватает.


Факторы, которые встали во главу угла при формировании списка требований:


  1. Один вендор для всего: от точек доступа до центральных скоростных коммутаторов. Очень уж не хотелось разводить зоопарк различного оборудования от разных производителей и потом иметь трудности в обслуживании и модернизации. Помимо техподдержки в рамках «одного окна», есть потребность в создании единой экосистемы, когда всё оборудование легко интегрируется и без проблем взаимодействует между собой.
  2. Доступность в России. Это важно. Купить замечательное устройство с кучей полезных функций, которое можно привезти, например, из США или другой удалённой страны, и потом при малейшей проблеме отправлять его по гарантии и терпеливо ждать, когда приедет замена… Такой вариант точно не подходит для динамичного бизнеса. Важно, чтобы все проблемы решались здесь и сразу, а не через неопределённое время после длительной переписки с заокеанскими коллегами.
  3. Цена. Для независимого бизнеса, который зарабатывает свои деньги самостоятельно, стоимость решения — такой же важный фактор, как и эффективность. Понятно, что бесплатный сыр бывает только в мышеловке, но переплачивать никому не хочется. Поэтому нужны устройства надёжные и недорогие.
  4. Простота управления. Чем проще и быстрее можно разобраться, установить, настроить и потом передать управление в техподдержку — тем лучше. И ещё важна хорошая документация, написанная по принципу: «прочитал и сделал».
  5. Производительность, количество внешних линий, наличие определённых функций — это, несомненно, важные показатели. Но не менее важно постоянное развитие. Нужно быть уверенным в том, что через год, два, десять лет эта компания будет не просто формально присутствовать на рынке, а вести постоянный НИОКР и обновлять парк предлагаемых моделей.
  6. Известное имя. Подытожив всё вышесказанное, становится понятно, что это должен быть не новоявленный полубренд, а известная компания с хорошей репутацией на рынке.

Одним из главных претендентов на роль такого вендора была компания Cisco Systems. Однако сразу остановила высокая цена.


Потом стали рассматривать предложения других известных брендов, которые так же соответствуют заявленным требованиям, но более скромны в финансовом вопросе. Рассматривалось оборудование пяти ведущих мировых производителей.


В итоге остановились на Zyxel.


Ниже комментарий IT директора компании ESTEL Леонида Немцова:


«Мы остановились на решениях Zyxel, потому что только здесь обнаружились отличное соотношение цена/качество, широкая линейка продукции бизнес-сегмента, удобство и простота первоначальной настройки»


Описание внешней сети между штаб-квартирой и филиалами


Как уже было сказано выше, компания прирастает за счёт новых отделений. Поэтому внешней структуре сети уделяется большое значение.


Основная топология — звезда, центром которой является ЦОД в Санкт-Петербурге. В основе для подключения «лучей» находится стек из мощных шлюзов ZyWALL 1100 (в ближайшее время планируется переход на USG 2200, он уже прошёл тестовые испытания), а на периферии — более скромные «железки», например, ZyWALL 310. Далее по мере убывания используются ZyWALL 110, USG 60, USG 40 и так далее.


Примечание. Крупные филиалы подключаются Site-To-Site, маленькие Client-To-Site, отдельные клиенты подключаются через VPN клиент SecuExtender. Для данного случая это довольно удобный и простой способ подключения пользователей.

А как насчёт самого главного офиса и ЦОД?


Разумеется, сеть внутри периметра главного офиса и ЦОД также была модернизирована.


В качестве центрального коммутатора установлен XS3700-24. Во-первых, это устройство способно выдерживать серьёзные нагрузки, во-вторых, в наличии порты 10G.


Ниже идёт комментарий самого Леонида Немцова:


«В качестве ядра выбран 10 гигабитный XS3700. Он — L2+, а не L3, но на тот момент 10Gb уровня L3 в портфеле производителя не было.


Для уровня агрегации выбраны XGS2210 разных модификаций, включая модели с PoE. На каждом уровне «кампуса» (этаж, здание, склад и т.п.) установлены несколько коммутаторов, объединённых в стек. Стек соединён с ядром оптикой на 10Gb.


Практически все клиенты включаются в этот стек. Там, где требуется, в качестве уровня доступа установлены GS1900.


Серверы включены напрямую в ядро (не стали ставить отдельный коммутатор), отделены VLAN, сетевые карты — 10Gb.


Видеонаблюдение — отдельный VLAN.»


Что с WiFi?


Отдельно стоит рассказать о внутренней WiFi сети.


WiFi раздаёт несколько SSID (несколько VLAN): гостевой/рабочий


В качестве контроллера точек доступа центрального офиса выступает ZyWALL 1100 с дополнительными лицензиями на управление точками доступа


На каждой площадке (филиале) организован бесшовный роуминг.


Примечание. Изначально были приобретены отдельные контроллеры WiFi NXC-2500. Один из них остался работать в одном из филиалов. На остальных площадках WiFi переведён на управление со шлюзов. Тем более что в последних прошивках увеличено число лицензий на количество точек до 8.

Точки доступа WiFi, установленные на складе, позволяют использовать беспроводные складские терминалы (сканеры кодов), что позволяет автоматизировать многие функции логистики и складского учёта.


К сожалению, промышленное оборудование само по себе довольно консервативное и не всегда поддерживает новый формат. В частности, это удерживает от перехода на WiFi 6 (пока не планируется).


О проведении работ по внедрению


Все операции производятся собственными силами IT отдела компании ESTEL.


Например, полный цикл замены центрального шлюза на ZyWALL 1100 в центральном офисе, включающий: изучение, настройку, тестирование и ввод в эксплуатацию межсетевого оборудования — на это ушло 2 месяца. Как уже писали ранее, это важнейший узел распределённой сети, при запуске которого следует учесть все нюансы.


Леонид Немцов так комментирует этот этап:


«Дальнейший ввод оборудования в эксплуатацию затруднений не вызывал, так как всё оборудование настраивалось аналогично. Кроме того, нашими специалистами были пройдены курсы и сданы экзамены Zyxel Certified Network Engineer (ZCNE) Security Level 1 и 2, а также ZCNE Switch Level 1 и 2, что очень помогло разобраться в тонких настройках».


Примечательно, что первоначально взяли на тестирование Zyxel ZyWALL 310 и потом перешли к более серьёзному оборудованию. В принципе, такой подход оправдан, ведь помимо центрального узла очень важно иметь надёжные устройства на периферии.


Информационная поддержка и обучение сотрудников


Леонид Немцов: «Как уже было сказано выше, у Zyxel хорошая документация, помимо инструкций есть Knowledge base на сайте. Дополнительно к этому сотрудники обучаются у вендора, то есть в учебном центре Zyxel. Раньше отправляли специалистов на очные курсы, сейчас из-за пандемии коронавируса используется удалённый формат обучения».


Процесс реализации и внедрения


Zyxel обеспечивает простое управление устройствами, а хорошая подробная документация помогает быстро войти в курс дела. Поэтому не было проблем из серии: «Не могу понять, как это работает.


Разумеется, всегда нужно тщательно разобраться в принципах работы устройств, его настройках, провести тестирование, отработать на стенде и только потом внедрять в production. Это рабочий процесс, который всегда должен присутствовать.


Леонид Немцов также подчеркнул, что нужно обязательно заботиться об уровне образования и обеспечивать профессиональный рост. В противном случае не будет никакого развития компании. Какое бы дорогое оборудование ни закупалось, в первую очередь всё решают люди, которые с ним работают.


Что не подошло


При первичном изучении и во время тестирования было решено попробовать сервисы безопасности, предлагаемые Zyxel на аппаратном уровне. Среди них антивирус, антиспам, патруль и т.п. Однако их включение резко снизило производительность шлюза. Поэтому пришлось отказаться от использования встроенных функций в центральном офисе и перейти на сторонние решения. В удалённых офисах применение встроенных функций частично имеет место.


Также Леонид Немцов отметил, что шлюзы USG20 и USG20W скорее относятся к СМБ сектору и в корпоративной сети могут использоваться весьма ограниченно, для подключения совсем небольших объектов.


Чего не хватает


Есть нереализованная потребность в IP телефонии. Хотелось бы иметь оборудование для всех сервисов от одного вендора, в том числе и для голосового общения. Тем более, ещё недавно такое оборудование было в портфеле Zyxel.


Перспективы развития проекта


На данный момент проект по модернизации сети в основном реализован. Далее планируются частичные улучшения (например, переход на USG 2200), и масштабирование на новые объекты.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Официальный сайт компании Estel
  5. Сети 10 GBE без синяков и шишек
  6. Коммутаторы ядра сети — что это такое, для чего нужны и как выглядят
  7. Коммутаторы L2, L2+ и L3 — что, когда, куда, откуда, как, зачем и почему?
  8. Убираем старые проблемы защиты крупных и малых сетей
  9. Маршрутизируем и защищаем сеть
  10. Паук для паутины или центральный узел распределенной сети
  11. Технология PoE в вопросах и ответах
  12. Что останется в серверной?
  13. Синхронизация точек доступа WiFi для совместной работы
  14. Business Firewall USG2200-VPN