Бесперебойная и безопасная связь между отдельными подразделениями критически важна для производственного предприятия. Чтобы связать филиалы, многие компании используют технологию VPN site-to-site, которая создает защищенные каналы между сетями. Но даже самая продвинутая технология бесполезна без качественных и современных межсетевых экранов, способных обеспечить высокую производительность и надежность VPN-соединений. В этом кейсе мы расскажем, как обновили сетевое оборудование на базе Cisco ASA для крупной производственной компании.
Проблема: устаревшее сетевое оборудование
Офис и производство предприятия удалены друг от друга. Для обеспечения связи между подразделениями и доступа к внутренним ресурсам компании используется VPN site-to-site на базе устаревшего сетевого оборудования Cisco ASA 5505. Клиент обратился к нам с просьбой заменить сетевое оборудование на новое, а старое оставить как подменный фонд.
Решение, обеспечивающее безопасность связи
В ходе общения выяснили потребности компании и предложили клиенту купить сетевое оборудование того же производителя и серии – Cisco ASA, но из более новой линейки. Обновление межсетевого экрана позволит успешно противодействовать угрозам и обеспечит более высокий уровень сетевой безопасности, а также даст возможность контролировать трафик предприятия.
Поскольку производитель ушел с российского рынка, необходимо было найти сетевое оборудование Cisco ASA без smart-аккаунтов. В противном случае после замены пришлось бы придумывать обходные пути для того, чтобы активировать и использовать устройства в дальнейшем. Мы нашли поставщика, который предоставлял нужное оборудование без smart-аккаунтов, что помогло избежать лишних затрат и сложностей с активацией. Для корректной активации с сохранением лицензионности пришлось воспользоваться услугами дополнительного сервиса.
Пока ожидали доставки сетевых устройств, проанализировали текущие настройки на имеющемся сетевом оборудовании и выяснили, что для защиты каналов связи между офисом и производством клиент использует VPN-соединение site-to-site (point-to-point), а к внутренней сети подключается через функционал Cisco AnyConnect. Таким образом, наша основная задача заключалась в том, чтобы заменить старые устройства на новые и поднять VPN site-to-site с минимальными остановками в работе.
Этапы работ по замене межсетевых экранов Cisco Asa
Заказали сетевое оборудование и, когда оно было доставлено, начали поэтапно выполнять замену.
- Подготовили стенд, на котором произвели все предварительные настройки сетевого оборудования Cisco ASA.
- Обновили прошивку, внутреннее ПО устройств, настроили порты под текущих провайдеров, перенесли правила со старых устройств.
- Провели ревизию правил и усилили безопасность сети, удалив ненужные и неактуальные правила.
После согласования с клиентом времени для проведения замены установили новые устройства в стойках и переключили на них интернет-провайдеров. Затем мы осуществили настройку VPN-соединения site-to-site и убедились, что все необходимые для работы ресурсы локальной сети офиса доступны с производства.
Результаты: модернизация, экономия, защита сети
Клиент получил следующие преимущества от нашего решения:
- Помогли сэкономить. Найденный нами поставщик Cisco ASA предоставлял межсетевые экраны без smart-аккаунтов, что сэкономило клиенту деньги и время.
- Сохранили лицензии. Благодаря специальному сервису не возникло проблем с активацией лицензий.
- Усилили безопасность связи. Мы провели ревизию правил и усилили безопасность сети, удалив ненужные и неактуальные правила. Обновление устройств до последней версии ПО повысило защиту от угроз и атак. Корректная настройка VPN site-to-site обеспечила надежный, стабильный канал связи между филиалами и доступ к локальной сети офиса с производства. Также мы настроили функционал подключения к внутренней сети через Cisco AnyConnect, что позволило сотрудникам работать удаленно с любого устройства.
- Провели модернизацию без простоев. Замена устаревшего сетевого оборудования Cisco Asa на новое прошла, как и планировалось, в период наименьшей загрузки производства. Поэтому риски потери данных и вынужденной остановки производственного оборудования был исключен.
Кроме того, на предприятии теперь имеется подменный фонд из ранее использовавшихся устройств Cisco Asa. Так что оно не рискует остаться без связи в случае аварий, при выходе сетевого оборудования из строя, например, из-за перепада напряжения, а также при наступлении другого форс-мажора.
Организационные моменты
Мы закрыли проект за две недели, выполнив за это время следующие работы:
- поиск поставщика, подбор и заказ сетевого оборудования (плюс ожидание доставки);
- анализ текущих настроек и правил;
- подготовка стенда и предварительная настройка новых устройств;
- согласование времени для замены устаревшего оборудования;
- монтаж новых устройств в стойках и переключение провайдеров;
- настройка VPN-соединения, проверка работоспособности каналов связи и доступности ресурсов.
В проекте участвовали один технический специалист по сетевому оборудованию Cisco ASA и один менеджер проекта. Сложностей в проекте не возникло, все прошло гладко и в срок.
Наша команда готова помочь вам в решении любых ИТ-вопросов: от подбора оборудования под актуальные задачи бизнеса и организации ИТ-инфраструктуры под ключ до технического обслуживания и внедрения программных решений. Если вы хотите улучшить свою ИТ-инфраструктуру, повысить безопасность и эффективность бизнеса, свяжитесь с нами.
Автор статьи: Евгений Зубов, руководитель технической поддержки