Физическая выделенная линия связи
Коммутируемый доступ
Коммутируемый доступ является, вероятно, одним из первых общедоступных способов удаленного подключения к сетям передачи данных.
Классическая схема организации такого доступа довольно проста – компания покупает один или несколько телефонных номеров и необходимое количество соединительных линий (аналоговых или в цифровом потоке E1) у оператора классической телефонной связи, устанавливает модемный пул, настраивает сервер доступа и может подключать пользователей.
В настоящее время данный способ доступа в сеть практически потерял свою привлекательность из-за низкой устойчивости соединений и скорости доступа и высоких затрат на выделенные телефонные номера, покупку входящего телефонного трафика и т.п. Вместо него все чаще используется подключение через Интернет по защищенному VPN-туннелю, поскольку сегодня подключение к Интернету порой найти проще, чем аналоговый городской телефон.
До сих пор используется некоторыми компаниями для подключения своих мобильных сотрудников к корпоративной сети передачи данных, а в некоторых случаях таким способом подключаются небольшие офисы.
К основным плюсам данного подключения следует отнести возможность мобильного подключения пользователей из любой географической точки, возможность контролировать доступ в сеть и «непередача» корпоративной информации по сетям передачи данных общего пользования. Хотя данные, передаваемые по телефонной сети общего пользования, обычно также нуждаются в дополнительной защите.
Сейчас услугу коммутируемого доступа в корпоративную сеть предлагают многие операторы связи. При этом все пользователи используют единый телефонный номер для доступа в свои корпоративные сети, а определение их принадлежности к той или иной компании осуществляется на основе уникального имени и пароля. Управление именем и паролем может быть делегировано оператором в компанию-заказчик услуги.
Пройдя авторизацию, пользователь через транспортную сеть оператора попадает в свою корпоративную сеть. По уровню безопасности такой доступ, с одной стороны, мало чем отличается от доступа в корпоративную сеть через Интернет, с другой стороны, в том, что сотрудники компании не соприкасаются с Интернетом, тоже есть немалое преимущество.
Таким же образом может осуществляться подключение небольших филиалов, которым требуется только периодический доступ к корпоративным ресурсам.
Для мобильных пользователей, а также для организации доступа из мест, где нет фиксированной телефонной связи и доступа в Интернет, возможна схема подключения к корпоративной сети с использованием GPRS. В этом случае пользователь подключается по GPRS к Интернету, а затем с помощью VPN-клиента подключается к корпоративной сети.
Рис. 2. Варианты организации коммутируемого доступа к КСПД
Основной недостаток коммутируемого доступа – низкая скорость передачи данных. Это зачастую делает некомфортной или даже невозможной работу с корпоративными приложениями. Лишает возможности удаленной работы с большими объемами данных. При необходимости доступа к приложениям на низких скоростях, такую функцию обычно закладывают заранее, используя специально написанные «тонкие» клиенты. В случае необходимости удаленной работы с приложениями, требующими больших объемов передачи данных, прибегают к использованию терминальных серверов (сейчас для этих целей в основном используется Citrix MetaFrame или Microsoft Terminal Server). В таких случаях удаленный пользователь сначала устанавливает соединение с терминальным сервером, а уже с него работает с необходимыми приложениями. При этом все данные приложения передается по высокоскоростным каналам между сервером приложений и терминальным сервером, а пользователь получает только копии экрана терминального сервера. Кстати говоря, использование терминальных серверов дает сетевым администраторам дополнительную единую точку контроля удаленного доступа к корпоративным приложениям.
Схемы с вариантами подключения приведены на Рис. 2.
Физическая выделенная линия связи
Для связи офисов всегда использовались выделенные линии связи. Изначально выделялась прямая медная двух- или четырехпроводная линия связи, на окончаниях которой устанавливалось каналообразующее оборудование, обычно – аналоговый модем. Существенным ограничением для организации таких линий связи служат два фактора – длина линии связи (обусловлена максимальным допустимым сопротивлением линии) и наличие свободных пар в здании. Физические характеристики могут отличаться у двух медных пар, идущих в одном кабеле, а они существенно влияют на скорость связи и количество ошибок, возникающих при передаче данных.
Скорости, обеспечиваемые на таких каналах, колебались от 9,6 кбит/с до 128 кбит/с (т.е. сравнимы со скоростью коммутируемого доступа) и позднее до 2 Мбит/с и выше (при появлении xDSL-технологий). Этого вполне достаточно для предоставления доступа в Интернет небольшого офиса или отдельного пользователя, но зачастую не хватает для объединения локальных сетей офисов.
В настоящее время такой способ организации связи между офисами компаний используется довольно редко. Основными причинами этого стали недостаточная скорость предачи данных, низкое качество связи, организованное на таких каналах, и очень жесткие требования к качеству линий, которое может меняться со временем и сильно зависит от погодных условий и состояния канализации, по которой проложена трасса. При параллельной передаче данных по нескольким медным парам, идущим в одном кабеле, возможно возникновение дополнительных помех из-за взаимного влияния сигнала в одной паре на сигнал в соседней. Это также увеличивает количество ошибок и вынуждает снижать скорость передачи данных. Также для объединения локальных сетей часто бывает недостаточной скорость передачи данных, которая обеспечивается на таких каналах.
Сейчас медные прямые пары используются в основном DSL-операторами для организации «последней мили» при обеспечении доступа в Интернет.
В настоящее время для организации связи по выделенной линии все чаще используются волоконно-оптические линии, доступность которых стала намного выше. Скорости передачи данных на таких каналах достигают 10 Гбит/с, а максимальная дальность – до 70 км и больше (на скорости 1 Гбит/с). Волоконно-оптическая пара может быть арендована у оператора предоставления каналов передачи данных или принадлежать организации. В последнем случае придется также самостоятельно арендовать канализацию, по которой проложен кабель. Также на организацию ляжет необходимость диагностировать неисправности ВОЛС и заботиться о восстановлении кабеля при его обрывах. Эти задачи обычно передают на аутсорсинг или создают собственные службы поддержки.
При всех преимуществах использования волоконно-оптических линий связи основными его недостатками являются те же, что и для медных пар – это в первую очередь необходимость прокладки или аренды кабеля, а также длительная процедура восстановления работы канала при авариях (операторы гарантируют восстановление связи в течение 24 или 48 часов с момента аварии). Такие длительные простои заставляют организовывать резервные линии связи с обязательным разнесением маршрутов пролегания кабелей, организацией резервных вводов в здание и т.п. Это не всегда возможно, да и стоимость строительства или аренды ВОЛС в настоящее время относительно высока.
Тем не менее при необходимости объединить ЛВС нескольких офисов в пределах города на скорости 1Гбит/с и выше альтернативы использования выделенных ВОЛС сейчас нет.
К плюсам этих решений также относится и то, что ВОЛС может быть использована для таких протоколов, как Fibre Channel. При недостатке физических волоконно-оптических пар между двумя объектами есть возможность применить такие технологии уплотнения, как CWDM или DWDM.
В этом случае компания получит от 8 до 64 независимых каналов передачи данных в одной оптоволоконной паре.
Сегодня именно волоконно-оптические линии связи используются при необходимости объединения центральных офисов клиентов с выделенными центрами обработки данных, связи основного и резервного ЦОД. По ВОЛС можно передавать данные любых протоколов на скоростях, равных или превосходящих скорости в ЛВС, построенной в пределах одного здания. При этом канал связи перестает быть узким местом корпоративной сети передачи данных.
Если необходимо использовать только протоколы IP и/или Ethernet, то получить аналогичные услуги можно у операторов городских сетей передачи данных (MAN), стоимость услуг которых в настоящее время падает. На сети MAN оператором самостоятельно реализуются решения по отказоустойчивости и автоматическому переводу маршрутов передачи данных с основных каналов на резервные. Обычно эти переключения должны происходить в автоматическом режиме и незаметно для пользователей услуги. У оператора имеются круглосуточные дежурные смены, системы мониторинга каналов, регламенты действий в аварийных ситуациях. Поскольку оператор использует единое решение для всех своих клиентов, то это обычно обходится дешевле, чем создание заказчиком собственных схем резервирования и служб мониторинга и поддержки.
Компания должна позаботиться о резервировании «последней мили» – т.е. участка от подключаемого офиса до ближайшей точки присутствия оператора связи. Обычно это проще и дешевле, чем самостоятельно резервировать весь канал связи от одного офиса до другого.
Поскольку по физически выделенным каналам передачи данных идет только трафик клиента, каналообразующее оборудование также принадлежит клиенту, то для организации несанкционированного доступа к передаваемой информации требуются специальные действия по снятию информации с медных или оптических пар. Однако, поскольку заказчик далеко не всегда контролирует всю территорию, по которой проходит кабель, часто применяется дополнительная защита передаваемых данных, например путем их шифрования.
Цифровая выделенная линия (синхронный канал) в сети оператора связи («clear channel»)
Для постоянной надежной связи удаленных офисов часто используются выделенные цифровые каналы передачи данных. В этом случае оборудование заказчика подключается синхронными портами (V.35, X.21, E1) к оборудованию провайдера связи, а провайдер организует передачу данных по своей сети (обычно TDM-сеть). При этом на канальном уровне модели ISO OSI оборудование заказчика на одном конце канала «видит» оборудование, установленное на другом конце канала, из-за чего такой канал и называют чистым.
Данный способ объединения ЛВС офисов удобен пользователям, поскольку практически не зависит от расстояния между офисами, отличается крайне малыми задержками (обычно в пределах сотни микросекунд, т.е. на 2-3 порядка меньше, чем в пакетных сетях передачи данных). При предоставлении интерфейса E1 заказчик получает возможность разделить канал на несколько независимых каналов (установкой своего мультиплексора).
Однако, согласно современным требованиям, скорость передачи данных по таким каналам относительно низка (обычно в пределах 2 Мбит/с, хотя возможно арендовать канал E3, T3 или STM-1). При увеличении скорости передачи данных резко возрастает и стоимость данного канала, она значительно выше стоимости аренды L3 VPN-каналов той же скорости.
Организация связи через выделенные каналы «точка-точка» требует использования для каждого такого канала отдельного порта, что уменьшает гибкость и масштабируемость решения в случае объединения большого количества удаленных объектов (Рис. 3). Следует также иметь в виду, что стоимость синхронного порта передачи данных на скорости ниже 2 Мбит/с превосходит стоимость 100-мегабитного порта Ethernet, и рост стоимости порта происходит быстрее его скорости.
Рис. 3. Организация СПД на основе выделенных каналов связи
В настоящее время применение таких каналов может быть обусловлено в первую очередь необходимостью передачи голосового трафика по TDM-каналам в «чистом виде», и, возможно, какими-то специфическими приложениями. Их целесообразно использовать и в случаях, когда компания в состоянии обеспечить постоянную загрузку канала на скорости, близкой к максимальной.
Перспектив использования таких каналов для корпоративной передачи данных скорее всего не будет. На существующих сетях операторов связи они еще предоставляются, но активно развиваются уже другие технологии (такие как MPLS VPN).
Организация передачи данных в каналах, основанных на мультиплексировании сигнала с разделением по времени, не позволяет информации одного клиента попадать в сети другого клиента без нарушения исходной связи. Однако надо иметь в виду, что передаваемые данные всегда доступны операторам, предоставляющим канал. Поэтому многие компании склонны защищать любой внутрикорпоративный трафик, который передается по внешним (арендованным физическим или виртуальным) каналам.
Основное преимущество цифровой выделенной линии: заказчик получает «чистый» канал, который может использоваться по его усмотрению. Могут передаваться данные любых канальных протоколов. Дальность подобного канала фактически неограниченна. Задержки на таких каналах измеряются десятками микросекунд.
Недостатки: относительно низкая скорость передачи данных, более высокая стоимость канала по сравнению с L3 VPN той же пропускной способности.
Канал в пакетной сети оператора (Frame Relay, ATM)
Объединение офисов через операторские сети Frame Relay и ATM была самой распространенной в недалеком прошлом. В общем случае для корпоративного заказчика схема подключения выгладит следующим образом (Рис. 4): каждый офис подключается одним (или несколькими) портами к сети передачи данных заказчика. После этого в пределах сети заказчика организуются виртуальные каналы, которые связывают его офисы.
Рис. 4. Использование пакетной сети передачи данных оператора связи для построения КСПД
Виртуальные каналы настраиваются программно и для каждого устанавливается собственная гарантированная скорость передачи данных, а офис достаточно подключить к сети оператора одним портом нужной пропускной способности. Программная настройка виртуальных соединений позволяет создавать новые соединения между офисами и легко менять параметры существующих соединений без изменения физической топологии сети.
По сравнению с сетью, построенной на выделенных каналах, где для каждого выделенного канала необходим физический порт на каждой стороне соединения, существенно уменьшается количество необходимых физических портов. За счет этого в каждом офисе возможно использовать более простое оборудование или обходиться меньшим количеством устройств.
Повышается и надежность данного вида соединения. Поскольку внутри сети оператора обычно уже используются собственные механизмы повышения отказоустойчивости, то заказчику достаточно зарезервировать только собственное оборудование доступа и «последнюю милю» от своего оборудования до сети оператора связи.
Стоимость такого решения для заказчика также обычно ниже, чем при использовании выделенных синхронных/асинхронных каналов благодаря следующим факторам:
- нужно меньше оборудования;
- стоимость каждого виртуального канала ниже стоимости соответствующего физического канала (за счет использования недозагруженной полосы пропускания одних соединений другими).
Тем не менее в настоящее время такие подключения следует делать только если используются какие-либо специфические приложения или при подключении новых офисов к корпоративной сети, которая уже объединена по данной технологии, поскольку по многим потребительским параметрам такие сети уступают сетям IP VPN.
Типовые скорости каналов Frame Relay – до 2 Мбит/с. Часто этих скоростей уже недостаточно для современных приложений. ATM – от 2 до 155 Мбит/с, однако такие подключения распространены относительно мало, а стоимость порта и канала ATM превышает стоимости IP/MPLS-каналов аналогичной скорости.
По уровню безопасности виртуальные FR/ATM каналы несколько уступают выделенным линиям. Трафик одного клиента, передаваемый по сети Frame Relay, отделен от трафика другого клиента и не может попасть в его сеть. Однако данное разделение – программное и может быть нарушено незаметно для пользователя, например из-за ошибки оператора.
L3 VPN канал
В настоящее время это наиболее активно развивающийся сервис, который предоставляют операторы передачи данных. Сети MPLS продолжили логическое развитие сетей VPN на базе FR и ATM каналов. Сеть MPLS имеет внутреннюю логику сетей IP – MPLS-маршрутизаторы используют IP-адресацию, внутри сети MPLS используются специально адаптированные протоколы IP-маршрутизации.
Подключение к сети MPLS для клиента выглядит как подключение к обычной IP-сети. При этом провайдер может обеспечивать клиенту ряд возможностей, которые, будучи собраны вместе, делают сети MPLS более привлекательными, чем подключение через Frame Relay и ATM сети, это в первую очередь:
- сквозная поддержка внутри операторской сети нескольких классов обслуживания;
- возможность сохранения собственного плана IP-адресации;
- возможность маршрутизации IP-трафика между офисами Заказчика в сети оператора;
- организация доступа в Интернет.
Рассмотрим каждую из этих услуг.
Сквозная поддержка нескольких классов обслуживания. Сейчас в корпоративных сетях происходит активный переход к так называемым конвергентным сетям передачи данных. Это означает, что клиенты хотят передавать по единой сети все свои данные – начиная от трафика, получаемого через Интернет и интранет, и заканчивая голосовым и видеотрафиком. К каждому трафику предъявляются свои особенные технические требования – по скорости, задержкам, вариации задержки, допустимым потерям пакетов и прочим параметрам. Если внутри ЛВС каждого офиса заказчик в состоянии самостоятельно контролировать данные параметры, то при передаче данных через глобальную сеть у него нет такой возможности. Данная проблема не возникает при использовании «чистых каналов», в которых передача пакетов происходит последовательно, важно только отправлять пакеты в нужном порядке.
В случае же с пакетной сетью передачи данных заказчик хочет быть уверенным, что приоритетный для него трафик будет обслужен провайдером в первую очередь и с необходимым качеством. В настоящее время все провайдеры сетей MPLS поддерживают, по крайней мере, три класса обслуживания. Называться они могут по-разному, но основные классы следующие:
- класс трафика реального времени: параметры обслуживания данного класса предусматривают выполнение требований, предъявляемых голосовому и видеотрафику. Это означает, что для данного класса гарантируется самая низкая задержка и минимальный «джиттер», который может обеспечить провайдер у себя в сети. При этом допустим некоторый процент потерь пакетов (обычно около 1%);
- класс критического трафика: предназначен для передачи трафика, критического для бизнеса заказчика (например, транзакции баз данных, передача данных приложений, от которых зависит деятельность заказчика). Обычно для этого класса гарантируется низкая задержка и минимальный процент потерь пакетов;
- класс «по умолчанию»: для данного класса трафика обычно устанавливается только порог, который не должны превышать потери пакетов (0,5-3%). В данный класс должен попадать не критичный для бизнеса или не чувствительный к задержкам трафик заказчика (данные, получаемые из Интернета, электронная почта и т.п.).
Некоторые провайдеры поддерживают дополнительные классы обслуживания, например класс для передачи данных с приоритетом ниже, чем класс по умолчанию.
Описанная возможность позволяет пользователю организовать передачу данных между офисами с необходимым качеством обслуживания. Обычно пользователь должен самостоятельно отнести данные к тому или иному классу обслуживания перед их передачей в сеть оператора связи. Это делается путем маркировки IP-пакетов тем или иным согласованным с оператором значением поля DSCP в заголовке IP-пакета. Поддержка классов обслуживания в сетях Frame Relay также присутствует, но там по умолчанию имеется только высоко- и низкоприоритетный трафик, который определяет, какие пакеты могут быть отброшены в первую очередь при возникновении перегрузки в канале. Если возникнет необходимость обеспечить большее количество классов обслуживания, то потребуется организовать несколько виртуальных каналов между всеми узлами и самостоятельно распределять по ним трафик разного приоритета.
Возможность сохранения собственной IP-адресации. Данная возможность важна для компаний, которые уже имеют собственные ЛВС и используют собственные, немаршрутизируемые в Интернет адреса (а таких компаний в настоящий момент абсолютное большинство). Эта проблема вообще не возникает при использовании выделенных (физических или цифровых) каналов.
Поддержка маршрутизации трафика между офисами заключается в том, что сеть провайдера может представляться заказчику в виде некоторого «распределенного виртуального маршрутизатора», который «знает» об используемых внутри сети адресах и осуществляет маршрутизацию трафика между ними. Сети заказчика могут использовать статическую или динамическую маршрутизацию для связи с сетью провайдера. При этом провайдер обычно позволяет заказчику настроить взаимодействие с его сетью с помощью динамических протоколов маршрутизации и содержит таблицу маршрутизации для каждого заказчика отдельно. Динамическая маршрутизация обеспечивает организацию отказоустойчивого соединения сетей офисов заказчика с автоматической перемаршрутизацией трафика при выходе из строя части каналов или оборудования. Обычно в качестве протокола взаимодействия используется протокол BGP. В сети же заказчика используются другие протоколы динамической маршрутизации OSPF, EIGRP или RIP, или статическая маршрутизация. В этом случае заказчик должен организовать передачу информации о доступных маршрутах из одного протокола маршрутизации в другой.
Организация доступа в Интернет также может служить дополнительным стимулом для подключения к MPLS-сети одного оператора, поскольку позволяет получить все необходимые услуги из одних рук.
В классическом виде он приспособлен для передачи IP-данных пользователей, но имеется ряд протоколов AToM (Any Transport over MPLS), позволяющий передавать по сетям MPLS трафик канального уровня (обычно Ethernet).
Таким образом, следует сделать заключение, что MPLS\VPN сети в настоящее время наиболее полно обеспечивают корпоративного заказчика необходимыми услугами для создания распределенной корпоративной сети передачи данных.
В качестве особенностей данного подключения следует отметить два момента:
1. Маркировку IP-трафика, передаваемого по сети оператора, для помещения его в тот или иной класс обслуживания осуществляет сам заказчик на своем оборудовании.
2. Заказчик должен обеспечивать передачу трафика на скорости, не превышающей оговоренную. Данное требование появляется, например, когда у провайдера заказывается подключение к сети на скорости несколько мегабит в секунду, а подключение осуществляется интерфейсом FastEthernet с физической скоростью 100 Мбит/с.
По уровню безопасности VPN-соединения, организованные через сеть MPLS, приравниваются к Frame Relay каналам, т.е. считается, что трафик одного клиента не может быть доступен другим клиентам.
L2 VPN канал (обычно Metro Ethernet)
Для объединения корпоративных сетей на уровне Ethernet наиболее подходящим решением будет использование либо высокоскоростных арендованных каналов, либо услуг L2 VPN.
Для заказчика подключение к L2 VPN каналам обычно представляется в виде подключения к порту Ethernet (на скорости 10 или 100Мбит/с). При этом сеть оператора связи выступает в роли «виртуального коммутатора», пересылающего пакеты между ЛВС отдельных офисов. Количество офисов при этом теоретически не ограничено. Возможна организация соединения между офисами Ethernet-транками (стандарт IEEE 802.1q).
У провайдера в таком случае применяется технология инкапсуляции пользовательских VLAN в один свой VLAN по технологии Q-in-Q.
Однако при таком подключении зачастую сложно организовать резервные каналы из-за того, что провайдер может не пропускать по своей сети BPDU-пакеты заказчика и есть угроза возникновения петель в его Ethernet-сети.
К плюсам таких решений для корпоративного пользователя относится низкая, по сравнению с аналогичными решениями на базе MPLS сети, стоимость канала, простота настройки оборудования и его стоимость, возможность передачи трафика, отличного от IP.
Относительно низкая стоимость организации высокоскоростных Ethernet-каналов позволяет рассматривать данный способ подключения и для соединения сетей заказчика на уровне IP с установкой на окончании канала маршрутизаторов, на которые часто возлагается задача шифрования передаваемого трафика.
Разделение данных между клиентами в операторских MetroEthernet сетях основано на использовании меток VLAN-ID в сетях провайдера. Если по сети передаются конфиденциальные данные, то обычно предпринимаются дополнительные меры по обеспечению их безопасности.
Решение для шифрования Ethernet-трафика на высоких скоростях не распространено. Поэтому при необходимости шифрования Ethernet-трафика применяются специальные решения.
В частности, применяется инкапсуляция Ethernet-фреймов в IP-пакеты, которые затем шифруются перед передачей в каналы сети Metro Ethernet. Данное решение требует установки дополнительного высокопроизводительного сетевого оборудования. Зачастую проще и дешевле произвести изначальное планирование сети передачи данных так, чтобы соединение между офисами производилось на сетевом (IP) уровне или чтобы данные, требующие дополнительной защиты, шифровались до передачи в сеть на уровне приложений.
Доступ в Интернет
Организация связи ЛВС через Интернет получает все большее распространение вместе с доступностью самой сети.
Каждый офис компании в настоящее время имеет (или может легко получить) собственное подключение к Интернету по выделенному каналу. После этого между ЛВС офисов организуется зашифрованный канал VPN, по которому передаются данные (Рис. 5).
Сейчас качество предоставления доступа в Интернет в крупных городах достаточно высоко для передачи между офисами компании данных, не чувствительных к задержкам.
Рис. 5. Организация КСПД через VPN'каналы в Интернет
Основным минусом подключения через Интернет, с корпоративной точки зрения, является отсутствие каких либо гарантий относительно полосы пропускания, задержек и потерь пакетов.
Плюсы данного подключения следующие:
- высокая доступность услуги подключения к Интернету и, как следствие, быстрое время развертывания канала;
- низкая стоимость подключения;
- низкая стоимость владения такими каналами (центральный офис в любом случае имеет доступ в Интернет, остается подключиться только отдельным офисам).
Как следствие этих факторов, подключение через Интернет можно применить в следующих случаях:
- мобильные пользователи, у которых нет необходимости или возможности использовать другие способы подключения. В крайнем случае возможно осуществлять подключение по VPN-каналу после подключения к Интернету через GPRS-модем;
- домашние пользователи или малые офисы, которым нет необходимости постоянно передавать большие объемы данных;
- как временное решение, если в точке открытия нового офиса нет других каналов, кроме доступа в Интернет. Тогда на время организации постоянного канала офис работает с корпоративными данными через Интернет;
- организация относительно дешевого резервного канала, когда VPN-канал через Интернет организуется одновременно с выделенным каналом связи и используется в случае выхода из строя последнего.
Особое внимание при использовании интернет-подключений следует уделять вопросам безопасности, поскольку существует вероятность как перехвата передаваемых данных, так и проникновения в корпоративную сеть через Интернет. Поэтому обязательно использование межсетевых экранов. В некоторых случаях даже при подключении офисов через Интернет применяется модель корпоративной СПД с централизованным доступом в Интернет. В этом случае весь интернет-трафик удаленного офиса проходит через прокси-сервер, установленный в центральном офисе.