Знакомство с оборудованием Juniper
Предмет гордости компании Juniper Networks — маршрутизаторы серии MX производительностью 400 Гбит/с.
МХ-серия является не только отличным решением для межоператорского обмена трафиком, но и является основным инструментом для агрегации клиентских подключений. Устройства могут выступать в качестве маршрутизаторов широкополосной агрегации абонентов — физических лиц в моделях IPoE и PPPoE.
Ознакомиться с технической документацией можно здесь
Из чего состоит маршрутизатор Juniper
RE (Routing Engine)
Отвечает за работу протоколов маршрутизации (поддержание соседства, обмен маршрутной информацией, выбор лучшего маршрута и т.д.) и за управление маршрутизатором (сбор и хранение статистики по интерфейсам, сбор и хранение логов).
RE является полноценным сервером, который включает в себя:
CPU
RAM
HDD/SSD — жесткий или твердотельный накопитель, предназначен для хранения логов и файлов.
CF card — карта памяти, предназначена для хранения актуальной конфигурации и используемой версии JunOS OS.
USB port — порт предназначен для подключения внешнего носителя, который может быть использован например для загрузки или восстановления системы. Загрузка операционной системы начинает с CF-card, потом HDD/SSD и и в последнюю очередь USB-flash disk.
Ethernet port — порт для управления маршрутизатором, который состоит из 3 портов:
Для высокой отказоустойчивости RE (Routing Engine) устанавливают по два: основной и резервный, поддерживающий горячую замену.
PFE (Packet Forwarding Engine)
PFE обрабатывает весь трафик. Устанавливается на интерфейсной плате, которая может содержать 1, 2 или 4 PFE и поддерживает горячую замену. Каждый PFE обслуживает только свою группу интерфейсов. В составе интерфейсной карты есть CPU, который управляет всеми PFE.
Switch and Control Board
Это плата, которая отвечает за коммутацию пакетов между различными PFE и связность между RE и PFE.
Switch fabric
Switch fabric — фабрика коммутации предназначена для передачи трафика между PFE. Она соединяет все PFE в единую топологию. Фабрики коммутации отличаются по пропускной способности.
JunOS OS
Оборудование Juniper Networks работает под управлением JUNOS. JunOS OS — это FreeBSD, которую переработали инженеры Juniper. JunOS состоит из ядра и процессов, которые отвечают только за свою отдельную функцию. Под каждый процесс выделяется часть памяти, поэтому если какой то процесс зависает, то он не влияет на остальные.
Одним из самых важных элементов JunOS OS является ядро, которое выполняет базовые функции: управление процессами, разделение доступа к памяти, ресурсам. За остальными функциями — маршрутизация, мониторинг состояния, отвечают специальные «процессы». Они запускаются при старте системы.
mgd — management daemon — управление оборудованием
dсd — Device control daemon — конфигурация интерфейсов
chassisd — chassis daemon — мониторинг состояния всех компонентов маршрутизатора
rpd — routing protocol daemon — отвечает за все протоколы маршрутизации, от RIP до BGP.
Командный интерфейс JUNOS
Командный интерфейс JUNOS позволяет не только выполнять команды, но и вводить конфигурацию. Конфигурация представляет собой директивы конфигурирования той или иной подсистемы.
Работа с командной строкой в JUNOS разделяется на 2 режима:
Operational Mode (приглашение командной строки «>») — доступны команды show и команды для мониторинга сети (monitor, ping, test, traceroute).
Configuration Mode (приглашение командной строки «#») — режим, в котором происходит настройка устройства. Активировать данный режим можно командой «Configure» или «Edit» в режиме Operational Mode.
Routing Instance
Предназначен для манипуляций с трафиком (маршрутизация и инкапсуляция). Позволяют условно разделить один роутер на несколько «виртуальных». Каждый созданный instance будет обрабатывать трафик независимо от других instance. Применяется в основном для организации MPLS VPN. Существует несколько типов routing instance:
Forwarding — используется для построения специальных filter-based forwarding applications (ну или policy-based routing в терминологии Cisco). При этом интерфейсы не привязываются к RI, а остаются в дефолтном RI.
Layer 2 virtual private network (VPN) — используется для организации MPLS L2VPN.
Nonforwarding — все маршруты и интерфейсы помещаются в основной routing instance, но при этом можно разделить основную таблицу маршрутизации на несколько поменьше.
VPN routing and forwarding (VRF) — используется для организации L3VPN. Содержит в себе не только таблицу маршрутизации (routing table), но и таблицу коммутации (forwarding table). При этом трафик с интерфейса отображается в RI один-к-одному, что позволяет передавать метки маршрутизации и принимать их, получая распределенный VPN.
Используя протоколы динамической маршрутизации (BGP, OSPF или ISIS) можно организовать обмен информацией между PE (provider edge) и CE (client edge) таким образом, что каждый из них будет получать и отдавать маршруты только внутри VPN канала.
Virtual router — производная от VRF, но без функций: VRF import, VRF export, VRF target, или route distinguisher.
Так как таблица маршрутизации находится только в пределах одного роутера, то не подходит для создания L3VPN.
Virtual private LAN service (VPLS) — организация многоточечного распределенного L2VPN поверх MPLS. Для клиента будет выглядеть как виртуальный свич, к портам которого подключены его пограничные (CE) устройства.
Таблица маршрутизации в JUNOS
Главная таблица называется inet.0 и содержит ipv4 юникаст маршруты. Также в JUNOS можно создавать несколько таблиц маршрутизации. По-умолчанию в системе созданы:
inet.0 — используется для ipv4 юникаст маршрутов;
inet.1 — используется для мультикаста;
inet.2 — используется для Multicast Border Gateway Protocol (MBGP) с проверкой RPF (Reverse Path Forwarding);
inet.3 — используется для MPLS маршрутов;
inet.4 — используется для Multicast Source Discovery Protocol (MSDP) маршрутов;
inet6.0 — используется для ipv6 юникаст маршрутов;
mpls.0 — используется для mpls next hops.
Часто используемые команды
show interfaces — просмотр состояния интерфейса порта
Пояснения к примеру:
Интерфейс ge-0/0/1.1210 расшифровывается как:
ge — это тип интерфейса (Gigabit Ethernet)
0 — номер физического слота на нашем шасси.
0 — номер карты, вставленной в слот.
1 — номер порта на карте PIC.
После точки указывается номер VLAN.
show route — просмотр таблицы маршрутизации
Пояснения к примеру:
inet.0 — название таблицы маршрутизации
в JUNOS используются следующие таблицы маршрутизации:
inet.0 — используется для ipv4 unicast-маршрутов;
inet.1 — используется для мультикаста;
inet.2 — используется для MBGP (Multicast Border Gateway Protocol);
inet.3 — используется для MPLS маршрутов;
inet.4 — используется для MSDP (Multicast Source Discovery Protocol) маршрутов;
inet6.0 — используется для ipv6 unicast-маршрутов;
mpls.0 — используется для mpls next hops.
Local/0 — источник маршрута и его приоритет
*[Direct/0] — активный выбранный маршрут
show interfaces terse — просмотр интерфейсов и назначенных им IP адресов
monitor traffic — просмотр трафика на выбранном порту
set interfaces — установка IP-адреса на интерфейсе
set interfaces fe-0/0/0 unit 0 family inet address 192.168.220.1/24
Удаление IP-адреса на интерфейсе
delete unit 0 family inet address 192.168.220.1/24
show configuration — просмотр конфигурации
После команды show configuration указываем какую именно конфигурацию необходимо смотреть. Например, для просмотра конфигурации интерфейсов необходимо набрать show configuration interfaces
Поиск и диагностика подключения
Необходимо проверить прохождение пакетов «Компании А». Для этого заходим на оборудование и
набираем команду show route table CompanyA.inet.0 192.168.0.25
После отработки команды видим, что интерфейс подключен через гигабитный порт ge-0/1/1.10, смотрим интерфейс командой show interfaces ge-0/1/1.10
Находим локальный IP, в нашем примере это Local: 192.168.0.26 и пробует его пропинговать
ping routing-instance companyA 192.168.0.26
Линейка оборудования Juniper
Коммутаторы
CTP — Обеспечение надежной и эффективной работы технологий уплотнения с временным разделением канала (TDM) и других приложений, которые используют коммутацию каналов, внутри IP-сетей нового поколения.
EX — Ethernet-коммутаторы серии EX представляют собой высокопроизводительные высокодоступные решения операторского класса для конвергентных сред филиалов, кампусов и центров обработки данных, а также для поставщиков услуг.
PTX — Известные в отрасли системы конвергентного суперъядра созданы, чтобы обеспечить предельную производительность пакетного транспорта и беспрецедентную эффективность управления ядром сети.
QFX — Коммутаторы серии QFX представляют собой высокопроизводительные пограничные устройства с низкой задержкой.
Маршрутизаторы
ACX — Маршрутизаторы серии ACX представляют собой основу технологии Juniper Universal Access, благодаря адаптивной служебной архитектуре, быстрому развертыванию служб доступа и прозрачной платформе доставки.
BX — Шлюзы многостанционного доступа являются частью решения для маршрутизации в транспортных сетях. Они позволяют решить проблемы, связанные с пропускной способностью канала, снизить эксплуатационную стоимость оборудования и в будущем может быть использовано
ERX — Маршрутизаторы семейства Juniper Networks ERX предназначены для работы «на краю» сети. Они позволяют предоставлять услуги широкополосного доступа абонентам, использующим технологии xDSL, кабельные модемы, беспроводные сети и Ethernet.
J — Маршрутизаторы Juniper Networks серии J расширяют возможности корпоративных приложений и обеспечивают надежную связь с удаленными офисами за счет высокопроизводительных средств сетевой защиты и новейших сервисов
JCS — Идеально подходит для построения архитектур маршрутизации, отвечающих стандартам будущего. Она дает возможность конвергировать различные сервисы на едином оборудовании продвижения данных, обеспечивая четкое разграничение между сервисами.
M — Надежность, стабильность, безопасность и богатая функциональность в сочетании с функциями для работы в сетях IP/MPLS.
MX — Маршрутизаторы 3D Universal Edge серии MX поддерживают масштабируемость полосы пропускания, абонентов и служб, отвечая быстро растущим потребностям предприятий и поставщиков услуг в сетях любого размера.
SRX — Архитектура динамического предоставления услуг шлюзов Services Gateway серии SRX обеспечивает интегрированную маршрутизацию, коммутацию и безопасность для систем в филиалах предприятий и в полевых условиях.
T — В течение десяти лет маршрутизаторы ядра серии T находят применение в сетях крупнейших поставщиков услуг, предоставляющих проводные, мобильные, видео- и облачные сервисы.
WXC — Платформы для ускорения работы приложений WXC обеспечивают надёжный доступ к приложениям и услугам, доступным в WAN-сети, способны обнаруживать и останавливать избыточные процессы, ускоряют работу протокола TCP и иных протоколов приложений
MAG — Эти шлюзы представляют собой точки доступа с возможностью гибкой конвергенции для сетей VPN с шифрованием SSL и контроля доступа к сети, а также предоставляют службы ускорения работы приложений.
SA — Обеспечение доступа к корпоративным ресурсам и приложениям для удаленных сотрудников, клиентов и партнеров предприятия из любой точки подключения и в любое время.
Межсетевые экраны
IDP — Защита от атак на уровне сети и приложений, прежде чем сети будет причинен ущерб, и минимизация временных и материальных затрат, связанных с поддержанием безопасности сети.
ISG — Эти высокопроизводительные шлюзы созданы специально для обеспечения безопасности в сети, поэтому они обладают масштабируемыми средствами обеспечения безопасной работы сетей и приложений и предназначены для крупных предприятий, операторов связи
NetScreen — Служит для обеспечения безопасности на высокопроизводительных платформах межсетевых экранов/VPN на крупных предприятиях, в компаниях операторов связи и сетях ЦОД.
STRM — Единое решение управления производительностью и безопасностью сети для предприятий и операторов связи, предлагающее функции ведения журналов, управления угрозами и соблюдения требований стандартов безопасности для продуктов производства Juniper
Беспроводные сети
AX — Высокопроизводительные точки беспроводного доступа стандарта 802.11n (WLAN), оптимально подходящая для использования в удаленных подразделениях предприятий.
CX — Решения серии CX являются простыми, гибкими и самыми надежными в отрасли решениями для организации беспроводной связи в сетях WAN.
WLA — Беспроводные точки доступа серии WLA позволяют создавать сети как внутри, так и снаружи помещений для инфраструктур любого размера или типа с поддержкой низкой задержки передачи, высокой масштабируемости и производительности для беспроводной IP-телефонии
WLC — Контроллеры беспроводных локальных сетей серии WLC используются для интеграции надежных, масштабируемых, безопасных, беспроводных локальных сетей в существующие инфраструктуры проводной связи в системах любого масштаба — от филиалов небольших компаний
WLM — Системы управления беспроводными локальными сетями серии WLM унифицируют управление инфраструктурами, безопасностью и службами, давая администраторам сети возможность планировать, настраиваеть, развертывать, отслеживать и оптимизировать беспроводные сети
Выбирайте лидера в сфере ИИ
Компания Juniper Networks вошла в число лидеров Gartner® Magic Quadrant™ 2021 в сегменте инфраструктуры для проводных и беспроводных сетей LAN, получив самые высокие оценки за концепцию и ее реализацию.
Откройте для себя лучший в отрасли ИИ
Получите интеллектуальные возможности, необходимые для оптимизации сети. Обеспечьте поддержку на основе ИИ для каждого устройства под управлением Junos, используя Juniper Support Insights. Добейтесь соответствия требованиям современных беспроводных устройств, используя ИИ для Wi‑Fi 6E (6 ГГц).
Мы ориентируемся на пользовательский опыт.
Оцените преимущества нашего портфеля решений.
Это ведущий в отрасли ИИ
Получите конкурентное преимущество
Достигайте реальных результатов благодаря нашим высокопроизводительным решениям для сетей и кибербезопасности.
ИТ-специалисты
Поставьте пользовательский опыт на первое место.
Сети в эпоху облачных технологий могут быть сложными, но самое важное требование очень простое: пользовательский опыт. Улучшите пользовательский опыт как ИТ-отделов, так и конечных пользователей с помощью решений Juniper для автоматизации и анализа на основе ИИ.
Испытайте в действии корпоративную среду с поддержкой ИИ благодаря нашим вебинарам и демонстрациям.
Поставщики услуг
Трансформируйте свой бизнес с помощью сочетания облачных решений, 5G и ИИ.
Используйте облако, чтобы трансформировать инфраструктуру, операции и сервисы с помощью автоматизации и инноваций. Наши решения ориентированы на ваш пользовательский опыт сетевого оператора, а также на пользовательский опыт ваших клиентов, позволяя вашему бизнесу оставаться адаптивным, конкурентоспособным и защищенным в условиях быстро меняющейся экономической ситуации.
Автоматическая проверка, мониторинг и обеспечение качества обслуживания во всей сети WAN — круглосуточно.
Операторы облака
Обеспечивайте исключительный пользовательский опыт в облаке.
Внедряйте инновации и обеспечивайте производительность и адаптивность, необходимые вашим клиентам. Наши облачные решения помогут вам эффективно и безопасно предоставлять приложения и услуги в облачной среде.
Переходите на 400G и повышайте эффективность благодаря защищенной, настраиваемой и экономичной сети.
Счастливые клиенты, реальные результаты
Узнайте, как наши клиенты меняют способы сетевого взаимодействия, стиль работы, а также образ жизни людей.
крупнейших в мире поставщиков услуг используют решения Juniper
ведущих розничных торговых компаний обеспечивают отличные возможности благодаря нашим продуктам
лучших операторов облака выполняют масштабирование с использованием наших решений
“Благодаря решениям Juniper мы создали более простую и последовательную высокопроизводительную сеть, которую при этом проще поддерживать.”
Откройте для себя Juniper
Шаблон для телеком-облака.
Компания Deutsche Telekom в партнерстве с Juniper модернизирует услуги с помощью современной архитектуры телекоммуникационного облака и комплексной сквозной автоматизации.
Сетевые решения для ЦОД
Juniper Apstra 4.0: новый уровень открытых сетей на основе намерений для автоматизации центров обработки данных в повседневной работе
Будьте в курсе
Обновите параметры рассылки, чтобы получать актуальные аналитические материалы Juniper по интересующим вас темам.
Что такое SASE?
Термин SASE был введен компанией Gartner в 2019 г. для описания современной архитектуры кибербезопасности. Использование SASE упрощает управление безопасностью и повышает эксплуатационную эффективность сети.
Почему Juniper опережает конкурентов
Не обязательно верить нам на слово. Посмотрите, что говорят ведущие отраслевые обозреватели.
Магический квадрант Gartner в сегменте инфраструктурных решений для проводных и беспроводных сетей LAN. Авторы: Майк Туссен (Mike Toussaint), Кристиан Каналес (Christian Canales), Тим Зиммерман (Tim Zimmerman), 15 ноября 2021 г.
GARTNER является зарегистрированным товарным знаком и знаком обслуживания компании Gartner, Inc. и/или ее аффилированных компаний в США и других странах и используется в настоящем документе с их разрешения. Все права защищены.
Компания Gartner не осуществляет поддержку поставщиков, продуктов или услуг, описанных в ее исследовательских публикациях, и не советует пользователям технологий выбирать только тех поставщиков, которые имеют наивысшие рейтинги или другие достижения. Исследовательские публикации Gartner содержат мнения исследовательской организации Gartner и не должны рассматриваться как констатация фактов.Компания Gartner отказывается от любых явных или подразумеваемых гарантий в отношении настоящего исследования, в том числе от любых гарантий коммерческой ценности и пригодности для конкретной цели.
Обзор и обновления решений Juniper Networks по маршрутизации, коммутации и безопасности
Маршрутизаторы серии МХ
Рис. 1. — Серия МХ. Мультисервисные маршрутизаторы границы сети
Линейка MX – флагманский продукт компании. На Рис. 1 показан весь модельный ряд, − шесть устройств, от младшей модели до топовой, а также виртуальное устройство vMX (подробнее о нем ниже).
За счет высокой универсальности MX могут использоваться в самых различных сценариях работы − для управления подписчиками широкополосного доступа и в Enterprise-сценариях как VPN концентратор. За счет очень качественной multicast-поддержки МХ хорошо подходят для распределения видеопотока. Еще один вариант использования − сервисный шлюз. МХ позволяют организовать Firewall и NAT (Network Address Translation)
Классическая модель развертывания сервисов предполагает, что под каждый сервис используется свое аппаратное устройство. Если использовать MX, все это можно совместить. Один из самых востребованных сценариев использования MX операторском сегменте − это BNG или Bras, − все, что связано с авторизацией абонентов и учетом трафика.
Рис. 2. – Enterprise-сценарии, реализованные на базе MX
Пример корпоративного сценария − совместная работа ЦОД (DC Interconnect). Если на предприятии используются приложения, которые нуждаются в L2 mobillity, например vMotion, то для этого обычно делают отдельное решение, чтобы «растянуть» L2 сегмент через публичную сеть либо через backbone соединение. MX в этом отношении поддерживает VXLAN, то есть может использоваться как «переводчик» между центром данных и LAN.
В общем виде модельный ряд МХ показан выше. Рассмотрим его более подробно.
Рис. 3. – Старшая модель ряда, MX2020
Следующая модель (по мере уменьшения) имеет в два раза меньшую потенциальную пропускную способность чем MX2020, − 40 Tbps. Далее идут MX960 на 14 слотов, МХ480 (то же самое на 8 слотов), 4-слотовая модель и т.д., вплоть до форм-фактора USB-флешки.
Рис. 4. — Виртуальный МХ
Как показано на рисунке, виртуальный MX использует ту же JunOS, адаптированную для работы как виртуальная машина
Зачем нужно это решение? Оно прекрасно подходит пользователю, если ему нужен функционал MX, но нет необходимости в потоках данных уровня 20-80 Gbps. Виртуальный МХ типично используется на скоростях 2-10 Gbps. На сегодняшний день в лаборатории Juniper удалось получить 40Gbps imix half duplex.
На сегодня функционал vMX не полностью соответствует функционалу аппаратного MX. В ближайшее время паритет будет достигнут, и разработка нового функционала будет идти параллельно, − т.е., все, что будет разработано для «больших» физических MX, будет перенесено и на виртуальный MX.
Линейные карты для МХ
Линейные карты MPC (Modular Port Concentrator) востребованы на рынке и их развитие продолжается. Уже сменилось несколько поколений карт, вплоть до MPC7. Они поддерживаются на всех MX-шасси, т.е. вне зависимости от используемого шасси можно формировать любую комбинацию линейных карт. На Рис. 5 показаны в том числе интерфейсные карты MIC (Modular Interface Cards), которые также можно набирать в различных комбинациях.
Уже в поколении МРС1 / МРС2 были реализованы поддержка различных интерфейсов и очень важная для операторов поддержка HQoS (Hierarchical Quality of Service) — www.juniper.net/documentation/en_US/junos13.3/topics/concept/mx-series-qos-faq-overview.html
В МPС3 производительность была доведена до 130 Gbps. Карты имели уже фиксированную конфигурацию с характеристиками, показанными на Рис. 6. В MPC6 производительность повысилась до 480 Gbps на слот.
Новейшие карты МPС 7 также поддерживают до 480 Gbps. Однако здесь жестко заданных физических портов с фиксированной скоростью уже нет. Их заменили виртуальные порты, характеристики которых задаются программно. Поэтому здесь можно формировать произвольную комбинацию портов на 10, 40 и 100 Gbps.
Рис. 6. — Характеристики и использование линейной карты MPC7E в моделях MX960 / MX480 / MX240
Характеристики остальных линейных карт от MPC1 до MPC6 сведены в таблицу.
Рис. 7. – Характеристики MPC
Следует отдельно отметить сервисные карты MS-MPC и MS-MIC. Это − специальные карты для развертывания сервисов типа IPSec и NAT. Они типично используются в операторском сегменте.
Рис. 8. − Сервисная карта MS-MPC и модуль MS-MIC
В маршрутизаторах серии МХ также реализована технология Virtual Chassis, которая позволяет двум физическим устройствам работать как единое логическое устройство в сценариях типа active-active. Сегодня маршрутизаторы серии МХ используют практически все операторы связи.
MX — это флагманская платформа Juniper Networks. Она развивается, и «дорожная карта» для нее разработана на несколько лет вперед. В портфеле решений компании MX они классифицируются как «большие» маршрутизаторы.
Линейкой MX предлагаемый Juniper ассортимент продукции далеко не исчерпывается. В соответствии с требованиями сегментов рынка, где представлена компания, она предлагает целый ряд хорошо принятых потребителями продуктов.
Маршрутизаторы серии ACX
Маршрутизаторы серии ACX предназначены для решения задач уровня доступа. Они используются для построения таких сетей, как Mobile Backhole, либо для реализации технологических сетей, связывающих энергетическое оборудование.
Рис. 9. – Линейка маршрутизаторов серии ACX
Соответственно, ACX должны работать в широком температурном диапазоне. Есть варианты в защищенном исполнении, которые могут работать в сложных условиях.
Преимуществом решения является то, что можно настраивать целиком прозрачную End-to-End MPLS структуру, со всеми ее преимуществами − управлением сервисами, QoS и синхронизацией (при миграции с традиционной, классической SDH, PDH на современные пакетные сети).
Оборудование полностью поддерживает синхронный Ethernet. При работе по протоколу PTP достигается уровень качества SDH 50 мс и менее. Можно создавать и достаточно большие, масштабируемые сети Metro Ethernet
Для маршрутизаторов серии AСХ, с точки зрения окупаемости инвестиций (ROI), особенностью является то, что они лицензируются по количеству портов, которое может увеличиваться (и, соответственно, оплачиваться) по мере расширения сети.
Коммутаторы серии EX
Рис. 10. — Ассортимент и классификация по назначению коммутаторов серии ЕХ
Коммутаторы серии EХ предназначены в основном для сегмента Enterprise, для решений уровня кампусных сетей.
Рис. 11. — Универсальный 1G коммутатор ЕХ4300
Коммутатор EХ4300 может применяться как в Entrprise-кампусах, так и в датацентрах. Это − универсальное решение, отказоустойчивое и масштабируемое.
Коммутаторы могут быть собраны в Virtual Chassis с помощью любых интерфейсов. Это устройство имеет 4 х 40-Gbps интерфейса, − в зависимости от того, какой трансивер QSFP (Quad Small Form-factor Pluggable) используется. Virtual Chassis может работать на удалении до 80 км. Кроме этого, Virtual Chassis может быть смешанным, объединяя 1 Gbps и 10 Gbps устройства.
Серия EХ начинается с гигабитных коммутаторов (Juniper вышла на рынок в 2008 г. и сразу предложила 1 Gbps, минуя 100 Mbps).
Решения на базе EX хорошо масштабируются, начиная от фиксированных и заканчивая модульными коммутаторами. Последние выполнены на базе маршрутизаторов MX, но имеют несколько иное ПО и значительно меньшую цену. Функционал аппаратной части адаптирован для построения коммутаторов как ядра кампусов и датацентров. В структуре предложений Juniper соответствующее место занимают также линейные карты серии EX.
Рис. 12. – Характеристики линейных карт EX9200
Рис. 13. – Линейка и назначение межсетевых экранов серии SRX
Производительность решений, построенных на SRX, может составлять 100, 200, 300 и 400 Mbps, 1 и 1,5 Gbps в режиме обычного межсетевого экрана. Производительность на сервисах зависит от типа сервиса и находится в пределах 50-500 Mbps.
Рис. 14. — Обновление платформы SRX
Сейчас вышло обновление, серия 300. Она полностью заменяет модели ряда 100 и 200.
Рис. 15. – Характеристики новой серии SRX300
На Рис. 16. в таблицу сведены показатели производительности в реалистичном трафике IMIX. Обычно данные приводятся для больших пакетов, но здесь все цифры − для IMIX и NGFW. В нижней части таблицы указано, что туда входит − IPS, Application Firewall и логирование.
Рис. 16. — Сравнительные характеристики моделей SRX300 и SRX320
С чем был связан выпуск SRX320? Во-первых, модельный ряд довольно долго не обновлялся, и производительность для некоторых заказчиков оказывалась не оптимальной. Во-вторых, требовалось провести сертификацию Европейского союза RoHS 2, для чего требовались некоторые изменения.
В остальном отличие этих моделей только в масштабировании и некоторых дополнительных возможностях, − например, в SRX320 можно добавить интерфейс ADSL, T1 или E1.
Последняя модель, SRX340, по сути, представляет собой «минисервер». В его конфигурацию можно включить SSD на 120 Gb, где обычно располагаются сторонние приложения.
Рис. 17. – Характеристики SRX340
В модели SRX340 используется три основных вида VPN.
Авто VPN для обычных hub-and-spoke. Преимущество в том, что если вы добавляете новый spoke, вам не надо перенастраивать hub, это происходит автоматически. ADVPN, аналог Cisco DMVPN, позволяет динамически создавать туннели между филиалами. Третий, group VPN – это аналог Cisco VPN GETVPN. Но, если Cisco GETVPN основан на своих закрытых протоколах, то Juniper следует общепринятым стандартам.
Основное преимущество group VPN в том, что он позволяет создавать динамический туннель между филиалами без использования туннеля в его классическом понимании. Обычно это полезно для больших решений класса Enterprise, когда они хотят получить сервис MPLS, и сервис-провайдер предоставляет для них возможность использовать такую модель.
Инструменты управления SRX
Рис. 18. – Состав и назначение Junos Space Security Director
Панель управления Junos Space Security Director v. 15.2 сейчас уже доступна. В поставку включены 48 шаблонов и примеров для быстрого создания собственных уникальных панелей.
Рис. 19. — Junos Space Security Director Dashboard v. 15.2
Кроме того, новый Log GUI позволяет удобный просмотр логов. Его цель − сделать управление SRX более понятным и удобным. Раньше выборку выполнять было сложнее, вручную. Теперь информация суммируется и выводится в удобной для восприятия форме.
Рис. 20. — Application Signatures
В плане Application visibility ранее также нужно было делать запросы вручную. Теперь, в новой версии, видно все, что проходит через SRX, по категориям, − например, можно легко определить самые востребованные приложения по пропускной способности.
Либо можно охарактеризовать трафик приложения, например, социальной сети, YouTube и т.д. Если навести курсор на определенное приложение, выводится трафик по пользователям, количество сессий, а имя пользователя берется из Active Directory.
Имеется также User Firewall, который можно связать с LDAP и использовать как дополнительный элемент политики. Кроме диаграмм, вся информация в панели управления представляется и в текстовом виде.
Рис. 21. — Event Viewer: List View
Одним из самых востребованных инструментов для операторов является обработчик логов. Раньше это была просто «стена текста», и надо было точно знать, что искать, чтобы локализовать информацию.
Теперь есть окно, где, например, интенсивные события представлены одним графиком. Если есть какой-то скачок, сразу можно туда навестись и получить более подробную информацию.
Рис. 22. — Events & Logs: Aggregation
То же касается агрегации. В данном окне видим уже трафик по определенным потокам. Здесь можно увидеть и Source, и Destination и порты.
В заключение можно сказать, что сегодня Juniper Networks предлагает практически исчерпывающий ассортимент маршрутизаторов и коммутаторов для профессионального применения операторами связи и предприятиями среднего и крупного масштаба.
Дистрибуция решений Juniper Networks в Украине, Беларуси, Молдове, Армении, Грузии, Таджикистане, Казахстане, других странах СНГ.
