2 votos

Para fines informáticos remotos, ¿vpn o wan?

Trabajo para una pequeña compañía de seguros que sólo tiene 2 oficinas. Ahora mismo, si algo va mal en otra oficina, es sólo un corto viaje por carretera. Pero...
Esta empresa se está expandiendo y tendrá 4 o 5 oficinas más en Estados Unidos a finales de año. Mi jefe cree que la solución adecuada sería tener todas las oficinas en una VPN para el acceso a Internet, con el servidor alojado de forma remota. Lo que me preocupa es que no podría enviar las actualizaciones de software/OS necesarias con una VPN, ya que no se trata de una conexión permanente. Su preocupación es que no quiere tener nada en casa, como un cortafuegos o una conexión de red para que todas las oficinas satélite dependan de él.

Ten en cuenta que tanto mi jefe como yo tenemos tanta experiencia en redes como Paula Abdul. ¿Cuál sería la configuración óptima en

11voto

Evan Anderson Puntos 118832

En general, las estrategias para conectar oficinas remotas (conocidas como redes de área amplia, o WAN) a una oficina central se dividen en conexiones dedicadas y no dedicadas. En realidad, las líneas son un poco borrosas porque es poco probable que su empresa lleve los cables a las oficinas remotas por sí misma, por lo que, en realidad, siempre se depende del tránsito por la red de otra persona para la conectividad remota. Sin embargo, el grado en que esa conectividad está dedicada a tu uso puede variar.

La conectividad tradicional de la WAN se ha realizado a través de "líneas alquiladas". Se trata de circuitos de datos proporcionados por las empresas de telecomunicaciones que parecen, a sus efectos, conexiones dedicadas punto a punto entre sus oficinas. (En realidad, sus datos suelen estar multiplexados junto con otros datos y se transmiten a través de circuitos de mayor capacidad dentro de la red de la empresa de telecomunicaciones). Estos circuitos suelen ser bastante fiables y suelen estar cubiertos por un acuerdo de nivel de servicio (SLA) que describe cómo se gestionará el tiempo de inactividad y qué nivel de servicio se está adquiriendo (ancho de banda, latencia, tiempo de actividad, etc.). Estos circuitos son también, tradicionalmente, bastante caros en comparación con otros métodos de conectividad remota. Este tipo de conectividad es estrictamente de datos punto a punto y no se suele proporcionar conectividad a Internet. Muchos proveedores ofrecen la opción de "gestionar" el dispositivo que conecta su oficina remota a la red de telecomunicaciones (conocido como Equipo en las Instalaciones del Cliente, o CPE) de manera que la conexión WAN puede considerarse "llave en mano".

En el otro extremo del espectro, las redes privadas virtuales (VPN) permiten crear redes "virtuales" a través de Internet. En teoría, se podría obtener un servicio de Internet de cualquier ISP para cada oficina remota y, dado que cualquier punto final de Internet puede comunicarse con cualquier otro punto final de Internet, utilizar dispositivos de hardware o software de VPN para crear una red virtual a través de Internet. Los costes pueden ser muy buenos, pero al final no se garantiza la fiabilidad del servicio, el ancho de banda, la latencia, etc. Los acuerdos de nivel de servicio (SLA) que pueda tener con cada uno de los ISP implicados no supondrán, normalmente, ninguna diferencia con respecto al nivel de servicio global alcanzado por la VPN, ya que es poco probable que tenga SLA con cada uno de los operadores de red por los que atraviesa la VPN. Cada oficina, en un escenario de VPN, acaba teniendo conectividad a Internet como efecto secundario de tener una conexión a Internet para soportar la VPN. Sin embargo, se puede optar por ejecutar el acceso a Internet de los usuarios a través de un concentrador central de todos modos para proporcionar el filtrado o el registro. Una VPN puede estar "siempre encendida", pero la fiabilidad no está garantizada.

En medio de este espectro se encuentran ofertas como la conmutación de etiquetas multiprotocolo (MPLS) (y, en años anteriores, la retransmisión de tramas), que ofrece la apariencia de una conectividad dedicada mientras que, en realidad, funciona más como una VPN que se ejecuta en la propia red del proveedor de MPLS (comúnmente denominada "nube"). Los precios de las ofertas MPLS son más parecidos a los de la conectividad WAN tradicional, pero los acuerdos de nivel de servicio suelen ser también mucho más parecidos a los de la conectividad WAN tradicional. Muchas ofertas MPLS vienen con acceso a Internet en cada sitio remoto, pero, al igual que con las soluciones VPN, se puede optar por agregar las solicitudes de Internet de los usuarios de forma centralizada. Muchos proveedores de MPLS ofrecen la opción de "gestionar" el CPE en la oficina remota, lo que le libera de la responsabilidad de mantener ese equipo.

En algunas zonas geográficas se puede obtener una conectividad WAN de muy alta velocidad a través de servicios como metro-Ethernet. Normalmente, estos servicios adoptan las características de las conexiones tradicionales de tipo WAN y VPN/MPLS. Los acuerdos de nivel de servicio pueden variar mucho según el proveedor o el precio elegido.


La respuesta específica para su empresa va a depender del ancho de banda, la latencia, la fiabilidad, el presupuesto y las futuras necesidades de crecimiento/aplicación. No existe una solución única para todos. Yo recomendaría pedir presupuestos a varios proveedores y hacer muchas preguntas. Yo desconfiaría de los contratos a largo plazo, a menos que estés seguro de que la solución que elijas es adecuada para tu empresa durante toda la duración del contrato.

Puede considerar la posibilidad de contratar a un consultor para que utilice hardware o software de "simulador WAN" para simular varios tipos de conexiones WAN en las que pueda probar sus aplicaciones de software existentes. Saber que su software va a funcionar en varios tipos de conexiones WAN es algo que yo consideraría crítico antes de elegir un tipo de conexión. Gastará un poco de dinero por adelantado, pero podrá tener la tranquilidad de que su eventual elección de conectividad WAN será adecuada para la empresa.

3voto

Zypher Puntos 26466

Su preocupación es que no quiere tener nada interno, como un cortafuegos o una conexión de red de la que dependan todas las oficinas satélite.

Bueno, vas a tener que tener ALGO para algún tipo de conectividad de red. Dependiendo del tamaño de las oficinas yo sugeriría algo como el ASA5505 si son pequeñas <10 personas. O modelos más grandes para más personas. Entonces su mejor opción es configurar una vpn punto a punto entre todas las oficinas.

Tendrás un equipo del que vas a tener que depender para tener acceso a Internet, así que ¿por qué no hacer que sea algo en lo que puedas configurar una vpn P2P?

1voto

DrZaiusApeLord Puntos 866

Parece que necesitas investigar la diferencia entre la VPN de sitio a sitio y sólo ejecutar el cliente VPN. Con una VPN sitio a sitio será igual que en su red y cualquier acción de inicio (instalaciones iniciadas por GP, etc.) funcionará, aunque se ejecutará más lentamente a través de la WAN. Deberías mirar si tu ancho de banda en tu oficina central es suficiente para esto primero. En el caso de las oficinas remotas, lo mejor es la conexión de sitio a sitio. Compre routers compatibles que tengan funciones de VPN.

No entiendo las exigencias de su jefe. Si ustedes están haciendo algún tipo de intercambio de archivos con la oficina principal, entonces tendrán que depender de la oficina central. Un enfoque híbrido es un pequeño servidor de archivos en cada local con asignaciones de red a la oficina central. Es más rápido y siguen teniendo acceso a la oficina central. Por supuesto, hay que hacer una copia de seguridad de este servidor en algo, como un NAS local o una unidad de cinta.

Por último, no es necesario que la VPN esté siempre encendida para que se emita algo. Esto depende totalmente de lo que estés usando para enviar actualizaciones. Hay muchas maneras de hacerlo, muchas de las cuales no requieren estar siempre encendidas. Dependiendo del tamaño de sus actualizaciones, podría almacenarlas en el servidor de archivos remoto y escribir su script para instalarlas desde allí en lugar de que todo el mundo las descargue a través de la WAN.

0voto

Asok Puntos 121

Me ocupo de varios clientes con oficinas dispersas conectadas remotamente mediante túneles IPSec de sitio a sitio en una topología de concentrador/radio: cada radio (oficina remota) puede conectarse a los recursos del concentrador (sede central), pero no entre sí. Cada ubicación tiene una conexión a Internet (T1 y ADSL), un pequeño y económico dispositivo de firewall/router que mantiene el túnel IPSec y proporciona a la oficina acceso a Internet.

Dado que las necesidades de cada ubicación remota son mínimas, un Terminal Server se adapta bien a sus necesidades, y como tal, hacemos un túnel dividido principalmente, es decir, el único tráfico que se enruta a través del túnel VPN es al clúster de Terminal Server que está físicamente ubicado en la oficina central, todo lo demás sale a través de Internet directamente. Esto funciona bastante bien: las reglas del cortafuegos son lo suficientemente estrictas como para que el único tráfico permitido en la sede central esté directamente relacionado con el Terminal Server (donde realizan la mayor parte de su trabajo), lo que significa que no me preocupa que el ancho de banda de la sede central sea consumido por un cliente de torrent en algún lugar o que los virus se propaguen a través de archivos compartidos. Algunos otros pueden señalar que las políticas de usuario final adecuadas / aplicación, etc., eliminarían estos riesgos en la fuente, pero en nuestro caso estas oficinas remotas operan con cierta autonomía, y la mano de obra / recursos simplemente no están ahí para proporcionar un control regular / diario o llamadas de servicio.

Sin embargo, este escenario que he descrito puede no funcionar bien para usted: puede tener aplicaciones, procesos y políticas que están más estrechamente vinculados a la oficina principal y requieren/esperan condiciones de red "tipo LAN". Para ello, es posible que tenga que buscar servicios y niveles de servicio WAN más robustos, como los sugeridos por Evan.

-2voto

Jake Puntos 509

La VPN es realmente para que los usuarios externos se conecten a la red interna. Para la situación inversa, el escritorio remoto y servicios como logmein.com podrían ser viables. Son sencillos y gratuitos.

Yo uso logmein.com. Y si vas a estar en mi caso, donde muchos de los pesonales de ventas llevan escritorios por todo el mundo, entonces la VPN no va a ser suficiente. A la larga, logmein.com todavía se hizo cargo de la infraestructura de VPN que tenemos.

Como anécdota, conseguimos recuperar un portátil perdido a través de logmein.com porque el incauto ladrón lo dejó conectado a Internet.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: