Обзор и обновления решений Juniper Networks по маршрутизации, коммутации и безопасности
Маршрутизаторы серии МХ
Рис. 1. — Серия МХ. Мультисервисные маршрутизаторы границы сети
Линейка MX — флагманский продукт компании. На Рис. 1 показан весь модельный ряд, − шесть устройств, от младшей модели до топовой, а также виртуальное устройство vMX (подробнее о нем ниже).
За счет высокой универсальности MX могут использоваться в самых различных сценариях работы − для управления подписчиками широкополосного доступа и в Enterprise-сценариях как VPN концентратор. За счет очень качественной multicast-поддержки МХ хорошо подходят для распределения видеопотока. Еще один вариант использования − сервисный шлюз. МХ позволяют организовать Firewall и NAT (Network Address Translation)
Классическая модель развертывания сервисов предполагает, что под каждый сервис используется свое аппаратное устройство. Если использовать MX, все это можно совместить. Один из самых востребованных сценариев использования MX операторском сегменте − это BNG или Bras, − все, что связано с авторизацией абонентов и учетом трафика.
Рис. 2. — Enterprise-сценарии, реализованные на базе MX
Пример корпоративного сценария − совместная работа ЦОД (DC Interconnect). Если на предприятии используются приложения, которые нуждаются в L2 mobillity, например vMotion, то для этого обычно делают отдельное решение, чтобы «растянуть» L2 сегмент через публичную сеть либо через backbone соединение. MX в этом отношении поддерживает VXLAN, то есть может использоваться как «переводчик» между центром данных и LAN.
Модельный ряд МХ
В общем виде модельный ряд МХ показан выше. Рассмотрим его более подробно.
Рис. 3. — Старшая модель ряда, MX2020
Следующая модель (по мере уменьшения) имеет в два раза меньшую потенциальную пропускную способность чем MX2020, − 40 Tbps. Далее идут MX960 на 14 слотов, МХ480 (то же самое на 8 слотов), 4-слотовая модель и т.д., вплоть до форм-фактора USB-флешки.
Рис. 4. — Виртуальный МХ
Как показано на рисунке, виртуальный MX использует ту же JunOS, адаптированную для работы как виртуальная машина
Зачем нужно это решение? Оно прекрасно подходит пользователю, если ему нужен функционал MX, но нет необходимости в потоках данных уровня 20–80 Gbps. Виртуальный МХ типично используется на скоростях 2–10 Gbps.
На сегодня для него достигнуто соответствие полному функционалу МХ на 90–95%. В ближайшее время паритет будет достигнут, и разработка нового функционала будет идти параллельно, − т.е., все, что будет разработано для «больших» физических MX, будет перенесено и на виртуальный MX.
Линейные карты для МХ
Линейные карты MPC (Modular Port Concentrator) востребованы на рынке и их развитие продолжается. Уже сменилось несколько поколений карт, вплоть до MPC7. Они поддерживаются на всех MX-шасси, т.е. вне зависимости от используемого шасси можно формировать любую комбинацию линейных карт. На Рис. 5 показаны в том числе интерфейсные карты MIC (Modular Interface Cards), которые также можно набирать в различных комбинациях.
Рис. 5. -Линейные карты МРС1/МРС2
Уже в поколении МРС1 / МРС2 были реализованы поддержка различных интерфейсов и очень важная для операторов поддержка HQoS (Hierarchical Quality of Service) — www.juniper.net/documentation/en_US/junos13.3/topics/concept/mx-series-qos-faq-overview.html
В МPС3 производительность была доведена до 130 Gbps. Карты имели уже фиксированную конфигурацию с характеристиками, показанными на Рис. 6. В MPC6 производительность повысилась до 480 Gbps на слот.
Новейшие карты МPС 7 также поддерживают до 480 Gbps. Однако здесь жестко заданных физических портов с фиксированной скоростью уже нет. Их заменили виртуальные порты, характеристики которых задаются программно. Поэтому здесь можно формировать произвольную комбинацию портов на 10, 40 и 100 Gbps.
Рис. 6. — Характеристики и использование линейной карты MPC7E в моделях MX960 / MX480 / MX240
Характеристики остальных линейных карт от MPC1 до MPC6 сведены в таблицу.
Рис. 7. — Характеристики MPC
Сервисные карты
Следует отдельно отметить сервисные карты MS-MPC и MS-MIC. Это − специальные карты для развертывания сервисов типа IPSec и NAT. Они типично используются в операторском сегменте.
Рис. 8. − Сервисная карта MS-MPC и модуль MS-MIC
В маршрутизаторах серии МХ также реализована технология Virtual Chassis, которая позволяет двум физическим устройствам работать как единое логическое устройство в сценариях типа active-active. Сегодня маршрутизаторы серии МХ используют практически все операторы связи.
MX — это флагманская платформа Juniper Networks. Она развивается, и «дорожная карта» для нее разработана на несколько лет вперед. В портфеле решений компании MX они классифицируются как «большие» маршрутизаторы.
Линейкой MX предлагаемый Juniper ассортимент продукции далеко не исчерпывается. В соответствии с требованиями сегментов рынка, где представлена компания, она предлагает целый ряд хорошо принятых потребителями продуктов.
Маршрутизаторы серии ACX
Маршрутизаторы серии ACX предназначены для решения задач уровня доступа. Они используются для построения таких сетей, как Mobile Backhole, либо для реализации технологических сетей, связывающих энергетическое оборудование.
Рис. 9. — Линейка маршрутизаторов серии ACX
Соответственно, ACX должны работать в широком температурном диапазоне. Есть варианты в защищенном исполнении, которые могут работать в сложных условиях.
Преимуществом решения является то, что можно настраивать целиком прозрачную End-to-End MPLS структуру, со всеми ее преимуществами − управлением сервисами, QoS и синхронизацией (при миграции с традиционной, классической SDH, PDH на современные пакетные сети).
Оборудование полностью поддерживает синхронный Ethernet. При работе по протоколу PTP достигается уровень качества SDH 50 мс и менее. Можно создавать и достаточно большие, масштабируемые сети Metro Ethernet
Для маршрутизаторов серии AСХ, с точки зрения окупаемости инвестиций (ROI), особенностью является то, что они лицензируются по количеству портов, которое может увеличиваться (и, соответственно, оплачиваться) по мере расширения сети.
Коммутаторы серии EX
Рис. 10. — Ассортимент и классификация по назначению коммутаторов серии ЕХ
Коммутаторы серии EХ предназначены в основном для сегмента Enterprise, для решений уровня кампусных сетей.
Рис. 11. — Универсальный 1G коммутатор ЕХ4300
Коммутатор EХ4300 может применяться как в Entrprise-кампусах, так и в датацентрах. Это − универсальное решение, отказоустойчивое и масштабируемое.
Коммутаторы могут быть собраны в Virtual Chassis с помощью любых интерфейсов. Это устройство имеет 4×40-Gbps интерфейса, − в зависимости от того, какой трансивер QSFP (Quad Small Form-factor Pluggable) используется. Virtual Chassis может работать на удалении до 80 км. Кроме этого, Virtual Chassis может быть смешанным, объединяя 1 Gbps и 10 Gbps устройства.
Серия EХ начинается с гигабитных коммутаторов (Juniper вышла на рынок в 2008 г. и сразу предложила 1 Gbps, минуя 100 Mbps).
Решения на базе EX хорошо масштабируются, начиная от фиксированных и заканчивая модульными коммутаторами. Последние выполнены на базе маршрутизаторов MX, но имеют несколько иное ПО и значительно меньшую цену. Функционал аппаратной части адаптирован для построения коммутаторов как ядра кампусов и датацентров. В структуре предложений Juniper соответствующее место занимают также линейные карты серии EX.
Рис. 12. — Характеристики линейных карт EX9200
Платформа SRX
Рис. 13. — Линейка и назначение межсетевых экранов серии SRX
Производительность решений, построенных на SRX, может составлять 100, 200, 300 и 400 Mbps, 1 и 1,5 Gbps в режиме обычного межсетевого экрана. Производительность на сервисах зависит от типа сервиса и находится в пределах 50–500 Mbps.
Рис. 14. — Обновление платформы SRX
Сейчас вышло обновление, серия 300. Она полностью заменяет модели ряда 100 и 200.
Рис. 15. — Характеристики новой серии SRX300
На Рис. 16. в таблицу сведены показатели производительности в реалистичном трафике IMIX. Обычно данные приводятся для больших пакетов, но здесь все цифры − для IMIX и NGFW. В нижней части таблицы указано, что туда входит − IPS, Application Firewall и логирование.
Рис. 16. — Сравнительные характеристики моделей SRX300 и SRX320
С чем был связан выпуск SRX320? Во-первых, модельный ряд довольно долго не обновлялся, и производительность для некоторых заказчиков оказывалась не оптимальной. Во-вторых, требовалось провести сертификацию Европейского союза RoHS, для чего требовались некоторые изменения.
В остальном отличие этих моделей только в масштабировании и некоторых дополнительных возможностях, − например, в SRX320 можно добавить интерфейс ADSL, T1 или E1.
Последняя модель, SRX340, по сути, представляет собой «минисервер». В его конфигурацию можно включить SSD на 120 Gb, где обычно располагаются сторонние приложения.
Рис. 17. — Характеристики SRX340
В модели SRX340 используется три основных вида VPN.
Авто VPN для обычных hub-and-spoke. Преимущество в том, что если вы добавляете новый spoke, вам не надо перенастраивать hub, это происходит автоматически. ADVPN, аналог Cisco DMVPN, позволяет динамически создавать туннели между филиалами. Третий, group VPN — это аналог Cisco VPN GETVPN. Но, если Cisco GETVPN основан на своих закрытых протоколах, то Juniper следует общепринятым стандартам.
Основное преимущество group VPN в том, что он позволяет создавать динамический туннель между филиалами без использования туннеля в его классическом понимании. Обычно это полезно для больших решений класса Enterprise, когда они хотят получить сервис MPLS, и сервис-провайдер предоставляет для них возможность использовать такую модель.
Инструменты управления SRX
Рис. 18. — Состав и назначение Junos Space Security Director
Панель управления Junos Space Security Director v. 15.2 сейчас доступна для внутреннего тестирования. В поставку включены 48 шаблонов и примеров для быстрого создания собственных уникальных панелей.
Рис. 19. — Junos Space Security Director Dashboard v. 15.2
Кроме того, новый Log GUI позволяет удобный просмотр логов. Его цель − сделать управление SRX более понятным и удобным. Раньше выборку выполнять было сложнее, вручную. Теперь информация суммируется и выводится в удобной для восприятия форме.
Рис. 20. — Application Signatures
В плане Application visibility ранее также нужно было делать запросы вручную. Теперь, в новой версии, видно все, что проходит через SRX, по категориям, − например, можно легко определить самые востребованные приложения по пропускной способности.
Либо можно охарактеризовать трафик приложения, например, социальной сети, YouTube и т.д. Если навести курсор на определенное приложение, выводится трафик по пользователям, количество сессий, а имя пользователя берется из Active Directory.
Имеется также User Firewall, который можно связать с LDAP и использовать как дополнительный элемент политики. Кроме диаграмм, вся информация в панели управления представляется и в текстовом виде.
Рис. 21. — Event Viewer: List View
Одним из самых востребованных инструментов для операторов является обработчик логов. Раньше это была просто «стена текста», и надо было точно знать, что искать, чтобы локализовать информацию.
Теперь есть окно, где, например, интенсивные события представлены одним графиком. Если есть какой-то скачок, сразу можно туда навестись и получить более подробную информацию.
Рис. 22. — Events & Logs: Aggregation
То же касается агрегации. В данном окне видим уже трафик по определенным потокам. Здесь можно увидеть и Source, и Destination и порты.
В заключение можно сказать, что сегодня Juniper Networks предлагает практически исчерпывающий ассортимент маршрутизаторов и коммутаторов для профессионального применения операторами связи и предприятиями среднего и крупного масштаба.
Дистрибуция решений Juniper Networks в Украине, Беларуси, Молдове, Армении, Грузии, Таджикистане, Казахстане, других странах СНГ.
Курсы по обучению Juniper Networks
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание