Исследование территориально-распределенной сети крупного холдинга, выявление недостатков конфигурации, предоставление рекомендаций по оптимизации.
Санкт-Петербург
30сентября 2017
все проекты

Исходные данные проекта

Заказчик — крупный холдинг, имеющий 20 подразделений в разных городах России (офисы, производственные площадки, заводы).

Сеть построена на оборудовании Mikrotik (линейка моделей от простых коммутаторов до мощных маршрутизаторов серии CCR1036), однако вследствие настройки разными специалистами в разное время и под разные локальные задачи (GRE-туннелей, отсутствия QoS, статической маршрутизации и пр. причин), наблюдались проблемы в работе различных сетевых сервисов.

Постановка задачи

  1. Провести аудит существующей сети;
  2. Предоставить заключение и рекомендации по оптимизации;
  3. Составить техническое задание по модернизации сетевой инфраструктуры;
  4. Выполнить настройку оборудования, согласно сформированному техническому заданию (в рамках второй части проекта, см. «Часть 2. Настройка оборудования»).

Оцениваемые параметры

Заказчиком были предоставлены данные по 20 (Двадцати) пограничным маршрутизаторам и данные для подключения к ним в режиме Read-Only.

В результате изучения конфигурации маршрутизаторов оценивались следующие параметры:

  1. Корректность настройки безопасности роутера от атак извне;
  2. Корректность настройки беспроводной сети, при ее наличии;
  3. Корректность настройки туннелирования трафика и маршрутизации;
  4. Корректность настройки резервных каналов, при их наличии.

Для изучения связей была составлена упрощенная схема туннелирования трафика в сети заказчика, без учета резервирования каналов передачи данных.

По результатам изучения конфигураций, были выявлены основные проблемы, характерные для всех маршрутизаторов (в архитектуре сети), и частные локальные проблемы в настройках отдельных устройств.

Основные проблемы конфигурации маршрутизаторов

  1. На некоторых маршрутизаторах не был отключен MAC-Telnet и Neighbors Discovery на WAN-интерфейсах, что теоретически могло позволить подключиться к маршрутизатору извне в обход файрволла;
  2. На Wifi-маршрутизаторах не была ограничена выходная мощность, а также не указан режим работы regulatory-domain с выбором страны Russia, что приводило к существенному ухудшению качества работы беспроводной сети. На маршрутизаторах с использованием CapsMan был сконфигурирован только один канал передачи данных, что позволяло предположить, что планирование покрытия не производилось;
  3. Маршрутизаторы, имеющие более одного WAN-интерфейса и GRE-туннеля, не имели правил в файрволле, запрещающих построение туннеля с src-address, отличным от адреса интерфейса;
  4. Сложная структура туннелирования трафика и отсутствие динамической маршрутизации усложняли управление сетью, увеличивали вероятность ошибок персонала при конфигурировании оборудования;
  5. В маршрутизаторах с несколькими WAN-интерфейсами не использовалась балансировка нагрузки при выходе клиентов в Интернет;
  6. Не использовался мониторинг.

 

Рекомендации по оптимизации сетевой инфраструктуры

В результате исследования сетевой инфраструктуры были предоставлены рекомендации по модернизации сети:

  1. Изменить общую архитектуру сети, позволяющую упростить структуру туннелирования траффика;
  2. Разработать схему IP-адресации, позволяющую жестко типизировать раздачу адресов на предприятии, определять источник трафика независимо от разрастания сети, упростить управление политиками трафика на ядре;
  3. Использовать протокол динамической маршрутизации OSPF;
  4. Разработать политики безопасности и файрволла;
  5. Разработать и внедрить QoS, приоритезацию трафика;
  6. Выполнить планирование частотного диапазона беспроводных сетей, установить пакет обновлений, развернуть wireless controller Capsman;
  7. Организовать новые политики доступа в сеть Интернет;
  8. Предусмотреть резервирование каналов и балансировку нагрузки;
  9. Разработать алгоритм принятии решения и способы обновления ПО маршрутизаторов;
  10. Для построения VPN использовать GRE-туннели со встроенным шифрованием;
  11. Для организации удаленного доступа пользователей по сети VPN к сети предприятия использовать технологии SSTP и Open VPN;
  12. Составить перечень активных сервисов маршрутизаторов и их защиты; 
  13. Развернуть систему мониторинга оборудования по протоколу SNMP.

На основании согласованных рекомендаций, было составлено техническое задание на настройку оборудования (в рамках второй части проекта, см. «Часть 2. Настройка оборудования»).

Хотите обсудить похожий проект?
Отправьте запрос менеджеру