Необхідно створити розподілену мережу, безпечно об'єднує філії, і надати користувачам філій доступ до корпоративних ресурсів.
Рішення повинно забезпечити:
Корпоративна мережа компанії повинна:
- Підтримувати різні варіанти останньої милі для філій: оптика, мідні порти 10/100/1000, варіанти DSL. бездротове підключення;
- Підтримувати якість сервісу, що надається оператором зв'язку для пріоритезації даних корпоративних систем і передачі голосу;
- Забезпечувати шифрування переданих даних і фільтрування трафіку;
Таблиця 1. Обладнання, що використовується.
Продуктивність ність Ipsec 3 DES Мбіт / с (з апаратним прискоренням)
Апаратне прискорення шифрування
ADSL,
G.SHDSL
WICS
HWICs: ADSL, G.SHDSL, 3G, T1 / E1, Serial
Таблиця 2. Вибір базової моделі.
шифрування 3DESс можливістю передавати голос
шифрування 3DESбез можливості передавати голос
C2801-VSEC- SRST / K9
C2801-VSEC- SRST / K9
C2811-VSEC- SRST / K9
CISCO2801- HSEC / K9
C2821-VSEC- SRST / K9
CISCO28 1 1 HSEC / K9
C2851-VSEC- SRST / K9
CISCO28 2 1 HSEC / K9
CISCO28 5 1 HSEC / K9
CISCO3825-V 3PN / K9
CISCO 3 8 25 - HSEC / K9
CISCO3845-V 3PN / K9
CISCO3825-HSEC / K9 + Call Manager
CISCO 3845 - HSEC / K9
Ми пропонуємо використовувати Таблицю 2 при виборі базової моделі маршрутизатора для філії / центрального офісу.
Для часткового розвантаження маршрутизатора в центральному офісі та організації DMZ пропонуємо використовувати міжмережевий екран Cisco ASA серії 55 xx.
Таблиця 3. Міжмережеві екрани Cisco ASA.
Багатофункціональний програмно-апаратний комплекс Cisco ASA 5500 призначений для вирішення відразу декількох завдань - розмежування доступу до мережевих ресурсів, захисту від атак, захисту взаємодії з віддаленими територіями, блокування вірусів, хробаків, шпигунського ПЗ та інших шкідливих програм.
Окремо, пропонуємо розглянути рішення, для захисту від спаму. Пристрої безпеки корпоративної електронної пошти IronPort C-series призначені для захисту від сьогоднішніх і завтрашніх поштових загроз. Ці пристрої побудовані на власній операційній системі IronPort AsyncOS. Оптимізована для передачі повідомлень, AsyncOS є фундаментом, який дозволяє одному пристрою IronPort C-series обробляти пошту більш ніж в десять разів ефективніше, ніж традиційні системи, засновані на Unix.
Основні можливості IronPort
- Захищає від вірусів, запобігає потраплянню шкідливого і шпигунського ПЗ на комп'ютери Вашої мережі через вкладені листи. (Якщо вірус новий і антивірусних сигнатур для нього ще немає, система захисту IronPort відправляє підозрілі листи в карантин до появи відповідних сигнатур. Таким чином, в середньому Ви виграєте 14 годин, за які вірус встиг би завдати Вам істотної шкоди);
- Захищає від спаму. (Висока ефективність при російськомовному спам і спам в картинках);
- Налаштовується в повній відповідності з Вашими вимогами і завданнями. (IronPort пропонує додаткові додатків для фільтрації спаму і вірусів, сканування контенту і впровадження політик);
- Легко масштабується до розмірів провайдерів;
- Має потужні засоби управління і звітності.
Для середніх і малих компаній пропонується пристрій IronPort C150. Це пристрій позиціонується для обслуговування до 1000 користувальницьких поштових скриньок.
У розглянутому прикладі, ми беремо наступні вихідні дані:
Таблиця 4. Вихідні дані для прикладу 1.
Малюнок 1. Архітектура рішення для прикладу 1.
У центральний маршрутизатор повинна підключатися оптика від провайдера. Для підключення використовується інтерфейсний модуль GLC-LH-SM.
На центральний маршрутизатор лягає додаткове навантаження щодо шифрування трафіку, тому пропонується використовувати модуль апаратного прискорення шифрування AIM - VPN.
Особливості
Таблиця 5. Вихідні дані для прикладу 2.
Малюнок 2. Архітектура рішення для прикладу 2.
У центральний маршрутизатор повинна підключатися оптика від провайдера. Для підключення використовується модуль HWIC-1GE-SFP і інтерфейсний модуль GLC-LH-SM.
На центральний маршрутизатор лягає додаткове навантаження щодо шифрування трафіку, тому пропонується використовувати модуль апаратного прискорення шифрування AIM - VPN.
Для отказоустойчивого доступу до серверів пропонується використовувати стек з 2-х комутаторів WS-C3750G-24T-S і дубльоване підключення серверів до стека. До цього стека, також дубльовано, підключаються комутатори WS-C2960-24TT-L.
Особливості
Ціни в специфікації не є остаточними і можуть служити тільки для бюджетної оцінки проекту.
Таблиця 6. Технічна специфікація рішення для прикладу 1.
Компанія Прогрес-Медіа готова розробити необхідну документацію та здійснити налаштування та підтримку обладнання. Для деяких типових проектів є посібник по самостійному налаштуванні обладнання. Даний посібник розглядається як альтернатива налаштування обладнання силами компанії Прогрес-Медіа і здатне значно скоротити витрати на пуско-наладку. Доступність допомоги для кожного конкретного типового проекту необхідно уточнювати додатково. У доповненні до наших послуг, ми можемо запропонувати навчання фахівців у сертифікованому навчальному центрі Cisco.