Архитектурное решение по организации границы сети для компании «САНГ»

О заказчике

Дистрибуторская компания «САНГ» успешно работает на российском рынке бытовой химии 25 лет и представляет такие крупные мировые бренды как Henkel, Schwarzkopf, Energizer, Schick, L’Oreal, BIC, Conte, Bella и многие другие.

Сегодня «САНГ» – это:

  • 23 центра дистрибьюции, охватывающих 75% территории России и 18% населения страны от Урала до Дальнего Востока;
  • более 43 000 адреса доставки;
  • более 43 000 кв.м. оборудованных складов;
  • более 1 200 квалифицированных сотрудников.
О проекте
 

Компания САНГ является одной из лидирующих компаний в дистрибуции товаров бытовой химии. Постоянное взаимодействие сотрудников компании с внутренними и внешними информационными ресурсами, распределенная структура компании, которую составляют территориально удаленные филиалы, определяют необходимость использования современных, отказоустойчивых и производительных систем связи и коммуникации между площадками.
 
Перед специалистами LWCOM были поставлен ряд задач:
 
1. Модернизировать сетевое оборудование в центральном офисе:
  • обеспечить сегментирование локальной сети и маршрутизацию между сегментами;
  • обеспечить отказоустойчивое подключение серверов и сетевого оборудования уровня доступа к ядру сети;
  • решение должно обладать запасом производительности.
2. Обеспечить отказоустойчивое подключение к сети Интернет:
  • использовать выделенную автономную систему AS;
  • настроить подключение к сети Интернет с использованием каналов передачи данных от нескольких операторов связи;
  • обеспечить отказоустойчивое подключение к сети Интернет и балансировку потоков трафика.
3. Обеспечить контроль взаимодействия с сетью Интернет:
  • модернизировать межсетевые экраны на границе локальной сети и сети Интернет;
  • активировать функционал VPN подключений удалённого доступа на базе межсетевого экрана;
  • обеспечить расширенный контроль доступа пользователей к ресурсам сети Интернет;
  • обеспечить доступ к ресурсам локальной сети из сети Интернет.
4. Провести модернизацию схемы организации филиальной сети:
  • заменить каналообразующее сетевое оборудование;
  • обеспечить отказоустойчивое подключение филиалов к центру, а так же взаимодействие между собой;
  • обеспечить масштабируемость решения.
Решение
Рисунок.jpg
Модернизация сети в центральном офисе заключалась в замене устаревшего коммутатора ядра сети на два новых коммутатора Cisco WS-C3850. Установленные новые коммутаторы  обладают расширенным функционалом маршрутизации и обеспечивают связь между сегментами локальной сети, а так же подключение филиалов и сети Интернет к ресурсам в центральном офисе через  каналообразующее оборудование. Использование технологии стэкирования, а так же агрегации сетевых соединений обеспечивает отказоустойчивое подключение серверов и сетевого оборудования уровня доступа к ядру сети. Коммутаторы обладают значительным запасом производительности и позволят в будущем использовать подключение на скоростях до 10Гбит в секунду.

Подключение к сети Интернет было организовано с использованием двух маршрутизаторов CISCO2951 с активированным протоколом динамической маршрутизации BGP и анонсированием своей автономной системы через 2х операторов связи. Таким образом была решена задача отказоустойчивого подключения и балансировки потоков трафика по двум каналам передачи данных.

Контроль и защита границы сети была обеспечена двумя межсетевыми экранами Cisco ASA5525, объединёнными в отказоустойчивую пару.  Базовый функционал МСЭ обеспечивает фильтрацию трафика на сетевом уровне, а так же обеспечивает доступ из сети Интернет к ресурсам локальной сети. Расширенный контроль доступа пользователей к сети Интернет был организован с использованием программных модулей Cisco FirePower на базе Cisco ASA.  Он представляет собой URL фильтрацию и контроль приложений. Удалённый доступ к сети организации настроен с использованием программного обеспечения Cisco Anyconnect. Аутентификация пользователей в задачах расширенного контроля и VPN подключений удалённого доступа была настроена с использованием данных, полученных из корпоративного каталога.

Обновлённая схема филиальная сети была организована по технологии Cisco DMVPN. Использовалось 2 маршрутизатора CISCO3925 в центральном отделении, а так же маршрутизаторы CISCO1941 и CISCO2921 в филиалах. Данная технология обеспечивает защищённое и отказоустойчивое подключение удалённых офисов к центру и обеспечивает балансировку потоков трафика как при взаимодействии филиалов с центром, так и при взаимодействии между собой. Маршрутизаторы позволяют использовать новейшие технологии настройки качества обслуживания, гарантируя пропускную способность для критически важных приложений локальной сети

Ход проекта

Реализация проекта заняла 3 месяца, в течение которых велась активная совместная работа инженеров LWCOM и команды заказчика. Как отметили представители компании «САНГ», сбоев во время реализации проекта не было, все работы были выполнены качественно и сданы срок. Особенно можно отметить, что все работы проводились в рабочее время на рабочей сети, но это не отразилось на деятельности предприятия: все сотрудники предприятия решали текущие задачи в обычном режиме. Это стало возможным благодаря высокому уровню компетенций инженеров LWCOM и профессионализму команды специалистов «САНГ», которые принимали самое активное участие в проекте.

Результат

1. Модернизировано сетевое оборудование в центральном офисе. Обеспечена отказоустойчивость и запас производительности.

2. Решены задачи по модернизации подключения к сети Интернет и защите этого подключения

3. Проведена модернизация филиальной сети с применением решений лучших практик.

4. Использовано сетевое оборудование ведущего мирового производителя. Обеспечена единая точка входа в техподдержку. 

5. Подготовлена исполнительная документация.