ПРОЕКТИРОВАНИЕ КОРПОРАТИВНОЙ СЕТИ ООО «СБЕРБАНК-ТЕЛЕКОМ»

Аннотация. В статье представлено детальное проектирование корпоративной глобальной сети ООО «Сбербанк-Телеком», построенной на основе передовых технологий MPLS и SDN [3, 8]. Предложенная архитектура обеспечивает высокую пропускную способность (магистральные каналы 100+ Гбит/с, каналы филиалов 1–10 Гбит/с) и малые задержки (< 5 мс в ядре), а также гарантированное качество обслуживания (QoS) приоритетного трафика. Разделение сетевого трафика выполняется с помощью VRF и виртуальных сетей MPLS, а для обеспечения безопасности и шифрования используется IPsec [4]. Отказоустойчивость достигается через резервирование маршрутизаторов и применение BFD для мгновенного обнаружения обрыва каналов [5]. В работе описаны выбор оборудования, экономические расчёты и рассмотрены перспективы интеграции SDN/NFV и 5G-технологий.

Ключевые слова: проектирование, корпоративная сеть, ООО «Сбербанк-телеком».

Введение

Корпоративная сеть ООО «Сбербанк-Телеком» должна объединять более тысячи офисов и центров обработки данных Сбербанка, обеспечивая высокую производительность и надёжность для критичных банковских сервисов. В современных проектах WAN обычно применяют MPLS-архитектуру с использованием VRF для логического разделения сетей различных филиалов и подразделений [3]. Центральная управляющая плоскость (SDN) позволяет упрощать конфигурацию и динамически управлять маршрутизацией трафика [8]. Для защиты соединений применяется стандартное шифрование каналов IPsec (IKEv2, AES-GCM) [4]. Ключевыми требованиями являются высокая отказоустойчивость и минимальное время восстановления – поэтому в дизайн включены механизмы резервирования узлов (VRRP [6]) и быстрый протокол BFD для мгновенного обнаружения отказа канала [5].

Современное состояние проектирования сетей связи

Требования к проектированию сетей

На данный момент сеть связывает MPLS-магистраль с VPN-технологиями для филиалов. Типовая инфраструктура включает операторские маршрутизаторы с поддержкой 100G- и 10G-интерфейсов, соединяющих дата-центры и узлы IX. Применяется иерархическая модель (ядро – распределение – доступ), где ядро реализовано как полносвязная сеть MPLS, а распределённые узлы соединены в избыточные кольца. Задержки в магистрали не превышают 5–10 мс, в межрегиональных связях – 20–50 мс. Для обслуживания критичных приложений используются профили QoS (DSCP EF/AF) [9]. Центральные узлы имеют резервные каналы и маршрутизаторы с VRRP [6] и BFD [5], обеспечивая время восстановления менее 50 мс.

Основные требования к сети: магистральные каналы 100+ Гбит/с; каналы до отделений – 1–10 Гбит/с; RTT в ядре < 5 мс, по стране < 50 мс; выделенные классы DiffServ для голоса и транзакций [9]; отказоустойчивость через VRRP [6] и BFD [5]; сквозное шифрование IPsec (AES-GCM, SHA2) [4]; авторизация по 802.1X/RADIUS; поддержка SDN/NFV для централизованного управления [8].

Архитектура сети

Предлагаемая архитектура выполнена по модели ядро–распределение–доступ. В ядре развёрнут MPLS-транспорт с Segment Routing [7], обеспечивающим прокладку LSP без RSVP. Узлы магистрали соединены full-mesh каналами 100G; распределение – в кольцах с резервированием (LACP); доступ – коммутаторы 1/10G с PoE. VRF изолируют сети филиалов. Граничные BGP-сессии реализованы по VRF. Отказоустойчивость обеспечивается VRRP [6] и BFD [5]. Управление – через SDN-контроллер OpenDaylight [8].

Также растет интерес к применению специализированных программных решений для анализа состояния сетей и оперативного устранения неполадок. Инструменты вроде Cisco DNA Centre позволяют наблюдать за состоянием сетевого оборудования и своевременно предупреждать сбои, уменьшая издержки на поддержание работоспособности инфраструктуры.

Топология учитывает геораспределение: ядро — full-mesh между тремя ЦОДами; метрополитен — резервные оптические кольца; филиалы — звезда/кольцо к двум агрегирующим маршрутизаторам. DWDM-линки 100G и Ethernet 10/40/100G с резервированием (LACP). RTT региональных колец 5–10 мс, межрегиональных – 20–50 мс.

Мониторинг и перспективы корпоративной сети

Безопасность сети и её мониторинг

Для обеспечения безопасности межсетевого взаимодействия в проекте используется шифрование IPsec с алгоритмами AES-GCM и хэш-функцией SHA2 [4], что позволяет гарантировать целостность и конфиденциальность передаваемых данных даже в случае компрометации каналов связи. Сегментация корпоративного трафика реализована с помощью технологий VRF и MPLS, обеспечивая логическое разделение потоков между различными структурными подразделениями, сервисами и уровнями доступа.

Система мониторинга построена на многоуровневой архитектуре и охватывает как пассивный, так и активный сбор метрик. Используются протоколы SNMPv3 и gNMI для регулярного опроса сетевых устройств и получения телеметрических данных с высокой точностью. Потоковая аналитика обеспечивается за счёт протоколов NetFlow и IPFIX, позволяющих отслеживать объёмы, направления и типы трафика во всей сети. Для диагностики в реальном времени выполняется активное тестирование доступности и качества соединений с использованием утилит ping, traceroute, iperf и IP SLA.

Экономическая оценка и перспективы

CAPEX (Capital Expenditures) включает в себя капитальные вложения в маршрутизаторы операторского уровня с поддержкой 100G-интерфейсов, модульные шасси с возможностью расширения, отказоустойчивые L3-коммутаторы, системы оптической передачи (DWDM), а также специализированные серверы управления SDN и системы мониторинга. Такие инвестиции направлены на формирование долговременной сетевой инфраструктуры, обеспечивающей масштабируемость и высокую производительность.

OPEX (Operating Expenditures) охватывает текущие расходы на аренду каналов связи, техническое обслуживание оборудования, лицензии программного обеспечения и зарплаты персонала. Одним из значимых факторов сокращения OPEX является внедрение SD-WAN, позволяющее маршрутизировать второстепенный трафик через публичные интернет-каналы без потери качества, а также использовать агрегирование дешёвых каналов в дополнение к MPLS [10]. Это особенно актуально при подключении региональных и удалённых филиалов.

Автоматизация конфигурации и эксплуатации посредством SDN и NFV позволяет резко снизить ручной труд, устранить человеческий фактор и ускорить внедрение новых политик QoS, маршрутизации и безопасности. Согласно отраслевым оценкам, автоматизация позволяет на 30–50% сократить временные и финансовые затраты на управление, что способствует окупаемости капитальных вложений в течение 2–3 лет эксплуатации. Кроме того, унификация конфигураций и контроль со стороны центрального контроллера повышают согласованность и предсказуемость поведения сети.

Заключение

Подводя итог исследованию, можно утверждать, что проект обеспечивает отказоустойчивость, безопасность. Экономическая модель показывает окупаемость за счет оптимизации каналов и автоматизации.

Основу сети составляет MPLS-транспорт с логическим разделением трафика с помощью VRF и поддержкой дифференцированного обслуживания через механизмы QoS (в частности, с применением профилей DSCP). Централизованное управление политиками маршрутизации, приоритезацией трафика и безопасностью реализовано с использованием SDN-контроллера, что упрощает администрирование и снижает затраты на эксплуатацию. Применение протоколов резервирования, таких как VRRP и BFD, позволило достичь высокой отказоустойчивости и минимального времени восстановления сервисов — менее 50 мс в критических участках.

Дополнительно обеспечены меры информационной безопасности: вся межофисная передача защищена с помощью IPsec с алгоритмами шифрования AES-GCM, внедрена сегментация сети через VRF/MPLS, а также реализована комплексная система мониторинга на базе NetFlow, SNMP и SIEM. Экономическая модель показала, что применение SD-WAN и автоматизации процессов позволяет существенно снизить расходы на обслуживание и гибко масштабировать инфраструктуру.

Проект учитывает перспективы технологического развития и открыт для дальнейшей интеграции с SD-WAN, SASE, 5G и IoT. Возможность использования ML/AI для интеллектуального мониторинга и адаптации QoS делает сеть устойчивой к растущим требованиям цифровизации.