Обзор и обновления решений Juniper Networks по маршрутизации, коммутации и безопасности

Маршрутизаторы серии МХ

4264e94279574213b2512fb52f2eda42.jpg
Рис. 1. — Серия МХ. Мультисервисные маршрутизаторы границы сети

Линейка MX — флагманский продукт компании. На Рис. 1 показан весь модельный ряд, − шесть устройств, от младшей модели до топовой, а также виртуальное устройство vMX (подробнее о нем ниже).

За счет высокой универсальности MX могут использоваться в самых различных сценариях работы − для управления подписчиками широкополосного доступа и в Enterprise-сценариях как VPN концентратор. За счет очень качественной multicast-поддержки МХ хорошо подходят для распределения видеопотока. Еще один вариант использования − сервисный шлюз. МХ позволяют организовать Firewall и NAT (Network Address Translation)

Классическая модель развертывания сервисов предполагает, что под каждый сервис используется свое аппаратное устройство. Если использовать MX, все это можно совместить. Один из самых востребованных сценариев использования MX операторском сегменте − это BNG или Bras, − все, что связано с авторизацией абонентов и учетом трафика.

21ccc7b7327e458d90347954dee395ac.jpg
Рис. 2. — Enterprise-сценарии, реализованные на базе MX

Пример корпоративного сценария − совместная работа ЦОД (DC Interconnect). Если на предприятии используются приложения, которые нуждаются в L2 mobillity, например vMotion, то для этого обычно делают отдельное решение, чтобы «растянуть» L2 сегмент через публичную сеть либо через backbone соединение. MX в этом отношении поддерживает VXLAN, то есть может использоваться как «переводчик» между центром данных и LAN.

Модельный ряд МХ

В общем виде модельный ряд МХ показан выше. Рассмотрим его более подробно.

8bc7a963153e40d7bef1a72594387a79.jpg
Рис. 3. — Старшая модель ряда, MX2020

Следующая модель (по мере уменьшения) имеет в два раза меньшую потенциальную пропускную способность чем MX2020, − 40 Tbps. Далее идут MX960 на 14 слотов, МХ480 (то же самое на 8 слотов), 4-слотовая модель и т.д., вплоть до форм-фактора USB-флешки.

1e95d6b073b44914a5c031ef2ee8c776.jpg
Рис. 4. — Виртуальный МХ

Как показано на рисунке, виртуальный MX использует ту же JunOS, адаптированную для работы как виртуальная машина

Зачем нужно это решение? Оно прекрасно подходит пользователю, если ему нужен функционал MX, но нет необходимости в потоках данных уровня 20–80 Gbps. Виртуальный МХ типично используется на скоростях 2–10 Gbps.

На сегодня для него достигнуто соответствие полному функционалу МХ на 90–95%. В ближайшее время паритет будет достигнут, и разработка нового функционала будет идти параллельно, − т.е., все, что будет разработано для «больших» физических MX, будет перенесено и на виртуальный MX.

Линейные карты для МХ

Линейные карты MPC (Modular Port Concentrator) востребованы на рынке и их развитие продолжается. Уже сменилось несколько поколений карт, вплоть до MPC7. Они поддерживаются на всех MX-шасси, т.е. вне зависимости от используемого шасси можно формировать любую комбинацию линейных карт. На Рис. 5 показаны в том числе интерфейсные карты MIC (Modular Interface Cards), которые также можно набирать в различных комбинациях.

c0e41740430641759548e2805dc0cd7c.jpg
Рис. 5. -Линейные карты МРС1/МРС2

Уже в поколении МРС1 / МРС2 были реализованы поддержка различных интерфейсов и очень важная для операторов поддержка HQoS (Hierarchical Quality of Service) — www.juniper.net/documentation/en_US/junos13.3/topics/concept/mx-series-qos-faq-overview.html

В МPС3 производительность была доведена до 130 Gbps. Карты имели уже фиксированную конфигурацию с характеристиками, показанными на Рис. 6. В MPC6 производительность повысилась до 480 Gbps на слот.

Новейшие карты МPС 7 также поддерживают до 480 Gbps. Однако здесь жестко заданных физических портов с фиксированной скоростью уже нет. Их заменили виртуальные порты, характеристики которых задаются программно. Поэтому здесь можно формировать произвольную комбинацию портов на 10, 40 и 100 Gbps.

b343af643c1748b0aa3d8f799b958f72.jpg
Рис. 6. — Характеристики и использование линейной карты MPC7E в моделях MX960 / MX480 / MX240

Характеристики остальных линейных карт от MPC1 до MPC6 сведены в таблицу.

8b1c088c58ca437a9473dbbb4c747cfe.jpg
Рис. 7. — Характеристики MPC

Сервисные карты

Следует отдельно отметить сервисные карты MS-MPC и MS-MIC. Это − специальные карты для развертывания сервисов типа IPSec и NAT. Они типично используются в операторском сегменте.

da65261c8b5d4238885283df41b22ee7.jpg
Рис. 8. − Сервисная карта MS-MPC и модуль MS-MIC

В маршрутизаторах серии МХ также реализована технология Virtual Chassis, которая позволяет двум физическим устройствам работать как единое логическое устройство в сценариях типа active-active. Сегодня маршрутизаторы серии МХ используют практически все операторы связи.

MX — это флагманская платформа Juniper Networks. Она развивается, и «дорожная карта» для нее разработана на несколько лет вперед. В портфеле решений компании MX они классифицируются как «большие» маршрутизаторы.

Линейкой MX предлагаемый Juniper ассортимент продукции далеко не исчерпывается. В соответствии с требованиями сегментов рынка, где представлена компания, она предлагает целый ряд хорошо принятых потребителями продуктов.

Маршрутизаторы серии ACX

Маршрутизаторы серии ACX предназначены для решения задач уровня доступа. Они используются для построения таких сетей, как Mobile Backhole, либо для реализации технологических сетей, связывающих энергетическое оборудование.

b8f85932245046a9b966e9450dc0eba7.jpg
Рис. 9. — Линейка маршрутизаторов серии ACX

Соответственно, ACX должны работать в широком температурном диапазоне. Есть варианты в защищенном исполнении, которые могут работать в сложных условиях.

Преимуществом решения является то, что можно настраивать целиком прозрачную End-to-End MPLS структуру, со всеми ее преимуществами − управлением сервисами, QoS и синхронизацией (при миграции с традиционной, классической SDH, PDH на современные пакетные сети).

Оборудование полностью поддерживает синхронный Ethernet. При работе по протоколу PTP достигается уровень качества SDH 50 мс и менее. Можно создавать и достаточно большие, масштабируемые сети Metro Ethernet

Для маршрутизаторов серии AСХ, с точки зрения окупаемости инвестиций (ROI), особенностью является то, что они лицензируются по количеству портов, которое может увеличиваться (и, соответственно, оплачиваться) по мере расширения сети.

Коммутаторы серии EX

41f1f1640a664ea3aaa72c42dc151204.jpg
Рис. 10. — Ассортимент и классификация по назначению коммутаторов серии ЕХ

Коммутаторы серии EХ предназначены в основном для сегмента Enterprise, для решений уровня кампусных сетей.

228f5cb540a14a588850add0d187eaec.jpg
Рис. 11. — Универсальный 1G коммутатор ЕХ4300

Коммутатор EХ4300 может применяться как в Entrprise-кампусах, так и в датацентрах. Это − универсальное решение, отказоустойчивое и масштабируемое.

Коммутаторы могут быть собраны в Virtual Chassis с помощью любых интерфейсов. Это устройство имеет 4×40-Gbps интерфейса, − в зависимости от того, какой трансивер QSFP (Quad Small Form-factor Pluggable) используется. Virtual Chassis может работать на удалении до 80 км. Кроме этого, Virtual Chassis может быть смешанным, объединяя 1 Gbps и 10 Gbps устройства.

Серия EХ начинается с гигабитных коммутаторов (Juniper вышла на рынок в 2008 г. и сразу предложила 1 Gbps, минуя 100 Mbps).

Решения на базе EX хорошо масштабируются, начиная от фиксированных и заканчивая модульными коммутаторами. Последние выполнены на базе маршрутизаторов MX, но имеют несколько иное ПО и значительно меньшую цену. Функционал аппаратной части адаптирован для построения коммутаторов как ядра кампусов и датацентров. В структуре предложений Juniper соответствующее место занимают также линейные карты серии EX.

ebcf1d78e65c46c2a63fb31f9223d0eb.jpg
Рис. 12. — Характеристики линейных карт EX9200

Платформа SRX

7e78d795d3274c038f3590b0e82b3334.jpg
Рис. 13. — Линейка и назначение межсетевых экранов серии SRX

Производительность решений, построенных на SRX, может составлять 100, 200, 300 и 400 Mbps, 1 и 1,5 Gbps в режиме обычного межсетевого экрана. Производительность на сервисах зависит от типа сервиса и находится в пределах 50–500 Mbps.

4e36c15f74b34eaaa75e9ac3f1a96295.jpg
Рис. 14. — Обновление платформы SRX

Сейчас вышло обновление, серия 300. Она полностью заменяет модели ряда 100 и 200.

294a219d2d9d44038e08f893b0c7cbf2.jpg
Рис. 15. — Характеристики новой серии SRX300

На Рис. 16. в таблицу сведены показатели производительности в реалистичном трафике IMIX. Обычно данные приводятся для больших пакетов, но здесь все цифры − для IMIX и NGFW. В нижней части таблицы указано, что туда входит − IPS, Application Firewall и логирование.

2983e3595e2a4e699fa25837e75e31a3.jpg
Рис. 16. — Сравнительные характеристики моделей SRX300 и SRX320

С чем был связан выпуск SRX320? Во-первых, модельный ряд довольно долго не обновлялся, и производительность для некоторых заказчиков оказывалась не оптимальной. Во-вторых, требовалось провести сертификацию Европейского союза RoHS, для чего требовались некоторые изменения.

В остальном отличие этих моделей только в масштабировании и некоторых дополнительных возможностях, − например, в SRX320 можно добавить интерфейс ADSL, T1 или E1.

Последняя модель, SRX340, по сути, представляет собой «минисервер». В его конфигурацию можно включить SSD на 120 Gb, где обычно располагаются сторонние приложения.

3f92b27616524de4a45df7e04ff33af0.jpg
Рис. 17. — Характеристики SRX340

В модели SRX340 используется три основных вида VPN.

Авто VPN для обычных hub-and-spoke. Преимущество в том, что если вы добавляете новый spoke, вам не надо перенастраивать hub, это происходит автоматически. ADVPN, аналог Cisco DMVPN, позволяет динамически создавать туннели между филиалами. Третий, group VPN — это аналог Cisco VPN GETVPN. Но, если Cisco GETVPN основан на своих закрытых протоколах, то Juniper следует общепринятым стандартам.

Основное преимущество group VPN в том, что он позволяет создавать динамический туннель между филиалами без использования туннеля в его классическом понимании. Обычно это полезно для больших решений класса Enterprise, когда они хотят получить сервис MPLS, и сервис-провайдер предоставляет для них возможность использовать такую модель.

Инструменты управления SRX

b1c325b7787948968c215fbc3dee3948.jpg
Рис. 18. — Состав и назначение Junos Space Security Director

Панель управления Junos Space Security Director v. 15.2 сейчас доступна для внутреннего тестирования. В поставку включены 48 шаблонов и примеров для быстрого создания собственных уникальных панелей.

6aad6beeb1be4673b68e44f5853b0627.jpg
Рис. 19. — Junos Space Security Director Dashboard v. 15.2

Кроме того, новый Log GUI позволяет удобный просмотр логов. Его цель − сделать управление SRX более понятным и удобным. Раньше выборку выполнять было сложнее, вручную. Теперь информация суммируется и выводится в удобной для восприятия форме.

e8aa772b88b649c38c8ed25e07b0cde7.jpg
Рис. 20. — Application Signatures

В плане Application visibility ранее также нужно было делать запросы вручную. Теперь, в новой версии, видно все, что проходит через SRX, по категориям, − например, можно легко определить самые востребованные приложения по пропускной способности.

Либо можно охарактеризовать трафик приложения, например, социальной сети, YouTube и т.д. Если навести курсор на определенное приложение, выводится трафик по пользователям, количество сессий, а имя пользователя берется из Active Directory.

Имеется также User Firewall, который можно связать с LDAP и использовать как дополнительный элемент политики. Кроме диаграмм, вся информация в панели управления представляется и в текстовом виде.

5a4006fabb1b4a53acd5fdc9ebca7bdb.jpg
Рис. 21. — Event Viewer: List View

Одним из самых востребованных инструментов для операторов является обработчик логов. Раньше это была просто «стена текста», и надо было точно знать, что искать, чтобы локализовать информацию.

Теперь есть окно, где, например, интенсивные события представлены одним графиком. Если есть какой-то скачок, сразу можно туда навестись и получить более подробную информацию.

315968295c994fffb0e363e0abe32e55.jpg
Рис. 22. — Events & Logs: Aggregation

То же касается агрегации. В данном окне видим уже трафик по определенным потокам. Здесь можно увидеть и Source, и Destination и порты.

В заключение можно сказать, что сегодня Juniper Networks предлагает практически исчерпывающий ассортимент маршрутизаторов и коммутаторов для профессионального применения операторами связи и предприятиями среднего и крупного масштаба.


Дистрибуция решений Juniper Networks в Украине, Беларуси, Молдове, Армении, Грузии, Таджикистане, Казахстане, других странах СНГ.

Курсы по обучению Juniper Networks

МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание

© Habrahabr.ru