Кейс
Финансовый сектор традиционно входит в число наиболее уязвимых отраслей. В первом полугодии 2025 года количество кибератак на российский финсектор по сравнению с аналогичным периодом 2024 года. Наиболее частые последствия таких инцидентов – утечки конфиденциальных данных и перебои в работе сервисов.
О компании
В условиях распределённой филиальной структуры риски усиливаются: чем больше точек подключения, тем выше требования к контролю трафика, шифрованию и отказоустойчивости. Похожие вызовы встали перед инфраструктурой страховой компании «Росгосстрах», которая нуждалась в обновлении оборудования для построения виртуальной межфилиальной сети.
ПАО СК «Росгосстрах» – одна из крупнейших страховых компаний в России с многолетней историей и широкой географией присутствия – более 200 городов по всей стране (свыше 1500 точек продаж и обслуживания). По данным на февраль 2026 года, «Росгосстрах» обслуживает 7+ млн клиентов.
Такой масштаб означает постоянный обмен значительными объёмами чувствительных данных между филиалами. На фоне роста числа кибератак вопрос модернизации сети был определён как один из приоритетов развития.
Цели и задачи проекта
Часть сетевой инфраструктуры «Росгосстрах» ранее базировалась на оборудовании предыдущих поколений. Его характеристики уже не в полной мере соответствовали текущим требованиям. Дополнительно была необходимость в реализации программы импортозамещения.
Перед внедрением нового оборудования стояли следующие цели и задачи:
- организовать защищённую связь между территориально распределёнными офисами компании по РФ с использованием технологии DMVPN;
- обеспечить достаточную пропускную способность с учётом роста трафика;
- обеспечить совместимость с технологиями DMVPN и IPsec других вендоров на уровне оборудования;
- обеспечить масштабируемость решения;
- реализовать аппаратную платформу с минимум пятью портами Ethernet на одном оборудовании и возможностью подключения консольного порта для администрирования.
В рамках предпроектной оценки рассматривались решения различных вендоров. По итогам технического анализа было принято решение остановиться на оборудовании Eltex:
«Выбранное решение максимально соответствует функциональности классического маршрутизатора, при этом обеспечивает необходимые механизмы масштабирования и безопасной передачи данных, а также требования по производительности и импортонезависимости».
Николай Дроздов заместитель начальника управления инфраструктуры ПАО «Росгосстрах»
Используемое оборудование
В проекте задействовали сервисные маршрутизаторы Eltex: ESR-3100* в качестве hub и ESR-15R в качестве spoke. На данный момент используются свыше 1000 единиц оборудования – внедрение в инфраструктуру выполнено на 85% от запланированного объёма. Завершение развёртывания сети предусмотрено следующим этапом.
Архитектура решения
Межфилиальная сеть Росгосстрах изначально была построена с применением технологии DMVPN. При модернизации стояла задача сохранить выбранную архитектурную модель, обеспечив её реализацию на новой аппаратной платформе. Сервисные маршрутизаторы ESR поддерживают DMVPN, что позволило интегрировать их без изменения логики взаимодействия узлов.
DMVPN (Dynamic Multipoint VPN) — технология построения защищённой распределённой сети для территориально распределённых организаций. Она упрощает масштабирование филиальной инфраструктуры: при подключении новых офисов не требуется настраивать отдельные туннели между каждым узлом сети. Благодаря этому подключение новых площадок происходит быстрее.
Технология объединяет несколько механизмов:
- IPsec – обеспечивает шифрование каналов связи;
- GRE – реализует туннелирование с поддержкой multicast и broadcast-трафика, что позволяет использовать всю широту сетевых протоколов, работающих в корпоративных сетях;
- NHRP – протокол динамического разрешения адресов. Он позволяет минимизировать конфигурацию на центральных узлах и формировать временные туннели между филиалами.
В архитектуре выделяются Hub- и Spoke-узлы. Hub выполняет роль NHS (Next Hop Server) в рамках NHRP: принимает регистрации новых участников и координирует построение динамических туннелей.
Маршрутизаторы поддерживают коммутацию данных по меткам (MPLS), что позволяет при необходимости строить MPLS-сегменты поверх DMVPN-инфраструктуры. Дополнительно устройства выполняют функции межсетевого экрана, включая IPS/IDS, контроль приложений (AppControl), веб-фильтрацию и другие механизмы защиты.
Отказоустойчивость обеспечивается за счёт возможности создания топологии Dual-hub. Каждый Spoke-маршрутизатор устанавливает туннели одновременно с двумя Hub-узлами. Такая модель позволяет при недоступности одного из Hub обеспечить работоспособность сети через второй.
Ход проекта
Интеграцию и внедрение оборудования выполняли специалисты «Росгосстрах». Для настройки оборудования использовалась открытая документация и дизайн-гайды Eltex.
Перед масштабным развёртыванием была организована пилотная зона в нескольких офисах в Москве. Для тестирования заказчик приобрёл различные модели маршрутизаторов и проверил работу ключевых сетевых технологий. Отдельное внимание уделялось совместимости с оборудованием других вендоров.
На раннем этапе тестирования была выявлена особенность, связанная с ограничением по количеству одновременных DMVPN-подключений на маршрутизаторах уровня Hub (ESR-3100). Эта особенность не привела к остановке проекта, но потребовала корректировки архитектурного подхода. Вместо масштабирования за счёт увеличения числа Spoke на одном Hub было принято решение перераспределить нагрузку.
Со стороны Eltex взаимодействие строилось через систему технической поддержки. В ходе внедрения одновременно находились в работе несколько обращений, по которым предлагались рекомендации по оптимизации конфигураций. Часть вопросов была закрыта настройками и переработкой схемы, часть остаётся в проработке с учётом последующих обновлений программного обеспечения.
Результаты проекта
Проект находится в завершающей стадии: поставки завершены в полном объёме, завершается внедрение оставшихся маршрутизаторов в филиалы сети. На текущий момент реализована большая часть архитектуры.
«Финансовый сектор сегодня сталкивается с постоянным ростом числа кибератак и усложнением требований регуляторов. Каждое подключение филиала или сервисного узла создаёт новые точки потенциальной уязвимости. Надёжная, управляемая и прозрачная сетевая инфраструктура становится не просто техническим, а стратегическим инструментом для защиты данных и поддержания работы бизнеса. Совместная работа с „Росгосстрах“ показала, что системный подход к проектированию сети позволяет минимизировать риски и сохранять высокий уровень доверия клиентов».
Максим Бахарев, руководитель группы продаж Eltex
Уже на данном этапе «Росгосстрах» получил:
- защищённую распределённую DMVPN-сеть с сегментированной архитектурой Hub/Spoke;
- централизованную модель управления межфилиальным взаимодействием;
- повышение отказоустойчивости за счёт кластеризации и распределения нагрузки между Hub-узлами;
- унифицированную аппаратную платформу в рамках политики импортозамещения;
- задел на масштабирование сети без изменения базовой архитектуры.
«Замена телекоммуникационного оборудования – важный этап модернизации инфраструктуры. Необходимость модернизации вызвана такими факторами, как рост нагрузки, необходимость импортозамещения и уход с отечественного рынка зарубежных компаний. На замену зарубежным вендорам приходят отечественные производители, каждый из которых предлагает широкую палитру телекоммуникационных устройств. Выбор среди существующего многообразия не прост. В проекте замены оборудования региональной сети считаю, что в выборе в пользу оборудования Eltex мы не ошиблись. Кроме незначительных корректировок, которые обязательно сопровождают большие проекты, больших сложностей с внедрением не встретили. Оборудование, которое использовали в проекте, полностью отвечает требованиям по составу технологий и представляет собой качественного конкурента аналогичным решениям западных производителей. Хочу выразить благодарность всей команде Eltex. Благодаря совместным усилиям проект находится на стадии завершения. Затруднения, которые возникли в процессе реализации, устранены, решения и дальнейшее развитие понятно. Благодарю за сотрудничество и поддержку»
Николай Дроздов заместитель начальника управления инфраструктуры ПАО «Росгосстрах»
Компании, которые планируют модернизацию филиальной сети с переходом на импортонезависимое решение, могут протестировать сервисные маршрутизаторы ESR в собственной инфраструктуре и оценить их возможности в реальных эксплуатационных сценариях. За подробностями обратитесь к нам: sales@eltex.ru.
*линейка ESR развивается: сейчас полноправным преемником ESR-3100 является модель ESR-3150
В статье упоминается
- Интерфейсы:
- 8x1G Combo, 4x10G SFP+
- Производительность:
- FW - 21,69 Гбит/с, IPsec VPN - 3,35 Гбит/с
- Питание:
- AC/DC, 2 сменных БП
- Интерфейсы:
- 4x1G, 2x1G SFP
- Производительность:
- FW - 1,17 Гбит/с, IPsec VPN - 257 Мбит/с, IPS/IDS - 137 Мбит/с
- Питание:
- AC
- Интерфейсы:
- 8x1G, 8x10G SFP+
- Производительность:
- FW - 24,0 Гбит/с, IPsec VPN – 3,24 Гбит/с, IPS/IDS - 1,11 Гбит/с
- Питание:
- AC/DC, 2 сменных БП