Построение защищённой межофисной сети на базе «С-Терра Шлюз» с динамической маршрутизацией

Задача

Клиент — компания с головным офисом в Москве и 6 региональными филиалами — требовал построить полноканальную, шифрованную и отказоустойчивую сеть передачи данных, соответствующую требованиям к защите персональных данных и внутренним политикам ИБ. Основные требования:

• использование российских криптографических решений,
• построение VPN-туннелей на базе «С-Терра Шлюз» с аутентификацией по сертификатам ГОСТ,
• организация динамической маршрутизации между офисами,
• поддержка резервирования каналов и ограничения трафика в туннелях.

Решение

Проект реализован на стеке отечественных и совместимых решений с полным контролем на уровне трафика, маршрутизации и криптозащиты.

1. VPN-инфраструктура на «С-Терра Шлюз»

• В каждом офисе установлен аппаратный шлюз «С-Терра Шлюз» с поддержкой ГОСТ Р 34.12-2015.
• Настроены IPsec-туннели между всеми площадками с аутентификацией по сертификатам из внутреннего УЦ (на базе Microsoft PKI с ГОСТ-провайдером).
• Все туннели работают в режиме транспортной защиты с поддержкой NAT-T и DPD (Dead Peer Detection).
• Обмен сертификатами и CRL выполняется по защищённым внутренним каналам — без выхода в интернет.

2. Транспорт и динамическая маршрутизация

• Внутри каждого IPsec-туннеля развёрнут GRE-туннель для передачи multicast-трафика и поддержки протоколов маршрутизации.
• На GRE-интерфейсах настроена гибридная схема маршрутизации:
• eBGP — между головным офисом и каждым филиалом (разные AS),
• iBGP — внутри головного офиса между резервными шлюзами,
• OSPF — как внутренний IGP для распространения маршрутов между VLAN внутри площадки.
• Настроены политики предпочтения (local-preference, MED) и фильтрация префиксов для управления потоками трафика.

3. Отказоустойчивость и QoS

• Каждый офис подключён к провайдеру через два независимых канала (основной и резервный).
• При потере основного канала:
• BGP-сессия переходит на резервный путь,
• OSPF перестраивает внутренние маршруты,
• трафик переключается за менее чем 45 секунд.
• Настроено ограничение пропускной способности внутри GRE-туннелей через policy-based QoS на «С-Терра Шлюз»:
• приоритет — для VoIP и систем мониторинга,
• ограничение — для резервного копирования и обновлений,
• минимальная гарантия — для критичных бизнес-приложений.

Результат

• Построена полностью защищённая межофисная сеть на российском криптографическом оборудовании.
• Все туннели аутентифицируются по сертификатам ГОСТ — без паролей и PSK.
• Динамическая маршрутизация (BGP + OSPF) обеспечивает автоматическое восстановление при сбое.
• Ограничение трафика в GRE предотвращает перегрузку каналов и гарантирует качество услуг.
• Инфраструктура соответствует требованиям 152-ФЗ, методическим рекомендациям ФСТЭК и внутренним политикам ИБ.
• Все данные остаются внутри периметра, без передачи третьим лицам.

Сегодня сетевая инфраструктура клиента — это не просто «каналы связи», а сертифицированная, отказоустойчивая и управляемая среда, построенная на отечественных решениях и готовая к интеграции с другими системами защиты.