Обзор сделан на основе доклада

Под катом стенограмма с разбивкой по времени и слайдами.

Дисклеймеры:
1. Стенограмма с редактурой.
2. Просим помнить о разнице в письменной и устной речи.
3. Скриншоты/слайды в большом размере, иначе ничего не разобрать.


00:01 Для начала, наверное, немного о компании, Павел уже [сказал несколько вводных слов], у меня также будет несколько слайдов на эту тему. Компания была основана в 1996 году, первый продукт Juniper Networks это был маршрутизатор для операторского сегмента и на тот момент он был первый продукт, где было осуществлено разделение Control plane и data plane. Тогда это была инновация, второй инновацией было то, что на тот момент все решения этого класса работали на аппаратной части общего назначения, т.е. это х 86 сервера, это сильно сказывалось на производительности. Juniper Networks была первая компания, которая сделала свой [специализированный чип для коммутации пакетов]. Вот слайд с цифрами, по количеству сотрудников – это 9 тысяч, офисы есть в 47 странах и вот наша история, соотношение наших продуктов, т.е. первая серия – это М серия в 1998 году, потом в 2004 была куплена компания NetScreen, это были решения по безопасности Firewall, IPS. Сейчас это все называется SRX. И в 2008 мы вошли на рынок коммутации Enterprise с EX серии.



1.44 Это география разных офисов, штаб-квартира находится в Саннивейле в силиконовой долине и я недавно приехал из Амстердамского офиса, это самый большой офис в Европе, там у нас находится также Hub для JTAC для технической поддержки. В ближайшем будущем будет открываться русскоязычный JTAC также. Ну и соответственно начнем по продуктам. Первая часть – это маршрутизация, я буду рассказывать про серию MX – это наш флагманский продукт, очень универсально устройство, здесь присутствует весь модельный ряд от младшей модели до топовой. И вот виртуальное устройство, про него Дмитрий расскажет подробнее, а я дам общее описание.



2:45 MX – это очень универсальное устройство, функционал позволяет использовать его в различных сценариях, он может использоваться как для управления подписчиками для широкополосного доступа, может использоваться в Enterprise сценариях как VPN концентратор, может использоваться для распределения видео, там очень хорошая поддержка multicast и как сервисный шлюз, т.е. делать Firewall, делать NAT в хорошем масштабе, речь идет о десятках миллионов сессий. Один из примеров его использования, если есть классическая модель развертывания сервисов – у вас под каждый сервис, будь-то Firewall или NAT имеется своя железка отдельная, да? То на основе MX это все можно совместить на базе маршрутизатора. Это один из самых востребованных сценариев использования для MX, кто в операторском сегменте работает, наверное, знает, это BNG или Bras, это все, что связано с авторизацией абонентов, все, что связано с учетом трафика



4:33 Пример сценария использования для Enterprise предприятий, один из них Interconnect датацентров, то есть если у вас есть приложения, которые нуждаются в L2 mobillity, например vMotion, то для этого обычно надо ставить отдельное решение, для того, чтобы L2 сегмент растянуть через какую-то публичную сеть либо через backbone соединение, MX поддерживает VXLAN, то есть он может использоваться как переводчик между вашим датацентром и между вашей lan сетью. И Дмитрий подробно расскажет об этом процессе.



05.25 Теперь о модельном ряде, я начну сверху, т.е. это самое большое решение, емкость до 80 терабайт, следующая модель в два раза меньше 40 терабайт, и вот уже начинаются более такие приземленные MX – это модель 960 на 14 слотов, т.е. в некоторых модель 480 – это то же самое, просто 8 слотов, модель 4х слотовая и вот такой вот маршрутизатор, который более такого компактного формфактора.



06.43 Вот и виртуальный MX – это по сути дела тот же самый код, та же самая операционная система, которая была адаптирована для работы как виртуальная машина, опять же у Дмитрия будет более подробный доклад на эту тему. Зачем нужно это решение? Это решение нужно, когда нужен функционал MX, но не нужно 20 – 80 гигабит в секунду, например, а надо, может быть, гигабит, два, десять, на данный момент. Если смотреть на паритет функционала, где-то 90-95% между физическим MX-ом и виртуальным MX-ом уже есть. В ближайшее время паритет будет достигнут и разработка нового функционала, он будет идти параллельно, то есть то, что будет на физическом MX, оно будет переходить и на виртуальный MX. По линейным картам, это одна из таких сильных сторон продукта, потому что если смотреть на модельный ряд, были несколько поколений линейных карт — если первые назывались МPС1, МPС2, то сейчас мы где-то на MPC6, МPС7, они все поддерживаются на всех шасси. Т.е. вы можете использовать вне зависимости от вашего шасси любую комбинацию линейных карт. Сама карта называется MPC (Modular Port Concentrator) и под нее идут такие интерфейсные карты, называются MIC. Т.е. у вас есть два слота, и вы можете набирать разные комбинации.



08:45 Что тут хотелось бы отметить: поддержка различных интерфейсов и различных технологий, т.е. от 1 до 10 гигабит, 40, 100 гигабит поддержка там ТDN интерфейсов, ATM, Sonet, HQoS — иерархическая quality of service для операторов очень важна. Следующая линейка – это карта МPС3, здесь уже производительность уже повысилась до 130 гигабит, это фиксированные карты, т.е. здесь уже определенное количество портов и производительность от 160 до 260 гигабит в секунду. Здесь то же самое 260 гигабит в секунду и комбинация разных портов, т.е. можно либо 2х100 гигабит плюс 8х10 гигабит и иметь разные комбинации. На МПС6 производительность уже повысилась до 480 гигабит на слот. И вот новые карты МPС 7 тоже могут поддерживать до 480 гигабит в секунду. Здесь, что интересно, как таковых физических портов здесь нет, есть виртуальные порты, которые вы, грубо говоря, задаете сами, здесь можно иметь комбинацию 100, 40 и 10 практически произвольно.



10:44 (2-й докладчик) [Предлагаю немного поменять формат презентации. Потому как IPSec, платы, интерфейс и т.д., если не знать о Juniper очень многого, то все эти термины не помогут узнать что такое Juniper и для каких он направлений, так мне кажется. Собственно, поэтому у меня предложение сделать акцент на те разделы, которые посвящены общим обзорным темам, подробнее остановится на этих слайдах и основных месседжах о том, что такое Juniper Networks. Все остальное, с точки зрения, плат, интерфейсов и так далее можно получить в добавочных материалах. Основная наша задачи, как я думаю, основательно объяснить — зачем Juniper Networks?].



11.35 Хорошо, я сделаю поправку. Есть вот такие сервисные карты MS-MPC и MS-MIC – это специальная карта для развертывания сервисов типа IPSec, NAT, они обычно идут в операторский сегмент. На МХ также присутствует технология Virtual chassis, т.е. это технология, которая позволяет двум устройствам работать как единое логическое устройство в сценариях там, где вам надо сделать active-active. Таблица характеристики, по производительности, по емкости, и другие данные для справки. И то же самое по картам.



13.05 (2-й докладчик) Присоединюсь к нашему коллеге, можно продолжить, я хотел сказать, что в принципе, с точки зрения маршрутизации, маршрутизатор представлен во всех крупных операторах связи.



Наши MX это флагманская платформа, модель, она развивается и имеет Roadmap на несколько лет вперед, соответственно, говоря в целом нашем портфеле решении по маршрутизации – MX большие маршрутизаторы. Следующий момент, это как раз серия маршрутизаторов серии ACX, которая предназначена для того, чтобы решать задачи уровня доступа, т.е. для постройки сетей, например для сетей Mobile Backhole либо для реализации каких-либо технологических сетей, связей для энергетического оборудования, потому что это оборудование в принципе может работать и в широком температурном диапазоне и есть варианты, которые защищены и можно вешать на улицу. Преимуществом данного решения является то, что можно настраивать целиком прозрачные и End-to-End MPLS структуру, со всеми ее преимуществами: управление сервисами, обеспечением качества сервиса и даже передача той же синхронизации — задача миграции от традиционной, классической SDH, PDH на современные пакетные сети. Сейчас оборудование, то, которое поддерживает полностью синхронизацию — это синхронный Ethernet, протокол PTP достигается уровень качества SDH 50 миллисекунд и даже выше соответственно — это оборудование вполне позволяет это сделать. Кроме этого на нем можно настраивать достаточно большие масштабируемые сети Metro Ethernet, у нас не так давно был анонсировал маршрутизатор серии AСХ. Опять же, с точки зрения инвестиции, особенностью является то, что лицензируется он по количеству портов. Например, вы строите сеть в самом начале и большое количество портов не нужно, купите пару-тройку 10 гигабитных интерфейсов все остальные в качестве гигабит используются. Начинаете расширять сеть, покупайте лицензию, т.е. платите за развитие, не обязательно платить сразу и сейчас для того, чтоб запустить эту сеть.



16:09 Заканчивая обзор маршрутизации коммутации, нужно сказать о коммутаторе серии EХ, который предназначен в основном для сегмента Enterprise, для решений кампусных сетей, но соответственно как некоторые из наших коммутаторов EХ, соответственно EХ4300 он может применяться как в Entrprise кампусах так и в датацентрах. Универсальное решение, отказоустойчивое, масштабируемое и одной из особенностей наших коммутаторов является то, как они умеют стекироваться. Эти коммутаторы можно собрать в единый стек, т.е. виртуальная шасси — не короткие кабели по полметра, по метру — а с помощью SFP интерфейсов, т.е., например, это устройство имеет 4x40 гигабитных интерфейса, в зависимости от ого какую QSFP туда вставили, мы сможем растянуть наш стек до 80км. Кроме этого стек поддерживает смешанное устройство, можно объединять в едином стеке как 10 гигабитные, так и гигабитные устройства. Все наши презентации будут доступны, в конце вы сможете сфотографировать QR код и взять мою презентацию, потому что есть еще очень много технических нюансов которые будут касаться непосредственно конфигурации оборудования. И конечно в любой момент вы можете к нам обратиться за консультацией как лучше подавать решение.



18:12 Обзор нашей системы Virtual chassis на которой реализован функционал стекирования



18:30 Серия EХ начинается от самых небольших гигабитных коммутаторов, т.к. мы вышли на рынок в 2008 году, у нас нет 100 мегабитных коммутаторов, мы уже сразу предлагаем гигабиты, соответственно масштабируется данное решение начиная от фиксированных, заканчивая модульными коммутаторами, которые в принципе выполнены на базе маршрутизоторов MX, но соответственно имеют чуть-чуть другое программное обеспечение и за значительно меньшую цену, но в принципе функционал аппаратной части как раз который адапритован по строительству коммутаторов ядра, кампусов и датацентров.



19:24 Особенность — линейные карты позволяют от 1 гигабит до 100 гигабит масштабировать данное решение.



19:33 От «сотки» до «пятитысячника» и все что ниже 650 серии устройства для триала т.е. там потолок, производительность, по-моему 1,5 гигабита. И еще одно, различие в том что поддержка MPLS была до 650 серии. Производительность начинается со 100 мегабит и 200 мегабит, 300 мегабит, 400 мегабит,1 гигабит, 1,5 гигабит. Это обычный Firewalling. Производительность на сервисах зависело от типа сервиса и была 50-500 мегабит.



20:39 А сейчас вот вышло обновление 300 серия, т.е. они заменяют полностью модели ряда 100 и 200. Для сравнения на следующем сайте, цифры производительности — это IMIX (реалистичный трафик), потому что обычно они дают эти цифры для больших пакетов, здесь все цифры для IMIX и для NGFW внизу указано что тутда входит, там у нас и IPS, Application Firewall и с логированием.



21:31 Вот так эти коробки выглядят, здесь более детальные характеристики. С чем была связана миграция? Во-первых, модельный ряд довольно долго не обновлялся и производительность для некоторых заказчиков не очень оптимальна. А вторая причина то, что в Европейском союзе есть такая сертификация RoHS и по ней некоторые компоненты SRX они не проходили, потому что есть какие-то токсичные элементы, и под эту сертификацию было сделано обновление.



22.44 Отличие этих моделей только в скелинге, на некоторых моделях можно добавлять интерфейс: ADSL, T1,E1. Все эти цифры будут вам доступны в слайдах для дальнейшего ознакомления.



23.25 И вот новая модель 14-й серии. Здесь, по сути дела, такой минисервер, на нем можно поставить 100 гиговый SSD и логика в том, что могут стать сторонние приложения. У нас есть три основных вида VPN, авто VPN, для обычных hub-and-spoke, преимущество в том, что если вы добавляете новый spoke, вам не надо перенастраивать hub, т.е. он автоматически это делает. Есть еще ADVPN – это аналог Cisco DMVPN т.е. у вас между филиалами туннели создаться динамический и они идут напрямую. И последний group VPN – это аналог Cisco VPN GETVPN. Но, если Cisco GETVPN основан на своих закрытых протоколах, то Juniper пытается следовать своим путем по общепринятым стандартам. На сколько я понимаю основное преимущество group VPN, что вы можете создавать динамический тоннель между разными филиалами без использования тунеля. То есть ваши данные шифруются, они просто паролятся, но для этого нужен MPLS. Обычно это для больших Enterprise, когда они берут сервис MPLS и сервис провайдер он предоставляет для них такую возможность использовать такую модель.



25:27 И теперь вот по инструментам управления SRX — это Secure Director, раньше он выглядел так. Тут очень много вещей в которых нужно разобраться, и в плане usability это не самая удобная форма восприятия информации. Вот так вот он выглядит, вот эта версия 15.2, она выйдет вообще в конце года, сейчас она доступна для внутреннего тестирования. Здесь более визуальное представление информации, которая сгруппирована. Есть 48 разных шаблонов и примеров, по которым вы можете просто сделать свою панель управления. Самый топ приложений или какие правила больше всего срабатывают и т.д.



27:21 И еще о логах, визуальной информации в принципе не было, были только вот такие ивенты: откуда, когда, что, что произошло. Сейчас есть новый Log GUI, который позволяет делать вот такую карту. Цель этого решения в том, что нужно сделать управление SRX более понятным, более удобным. Потому что раньше это было менее функционально, раньше вручную или каким-то другим способом нужно было выбирать то что тебе нужно, а здесь мы сразу суммируем в удобной форме для восприятия.



28:12 В плане Application visibility есть вот такие разные сигнатуры, они то ли 2 то ли 4 тысячи, но при этом какого-то инструмента для визуального представления информации немного. Нужно было вручную делать запросы. Теперь в новой версии будет видно все, что проходит через SRX, вот App ID включен, то здесь мы можем видеть по категориям, например, самые востребованные приложения по пропускной способности. Либо их можно охарактеризовать по характеру, например, продуктивности, там всякие социальные сети, youtube и т.д. И там же, если навести курсор на определенное приложение, оно также показывает по пользователям, сколько трафика было, количество сессий, имя пользователя здесь берется из Active Directory здесь есть user firewall вы можете связать его в вашу LDAP. И использовать это как дополнительный элемент вашей политики. Ну и та же самая информация предоставлена в текстовом виде.



30.06 И теперь о самых востребованных вещах для операторов, как вы будете обрабатывать логи, если на каждой коробке в день если не сотни то тысячи всяких разных событий, как вообще переварить всю эту информацию, если у вас не 10, не 20, а 100. Раньше это была стена текста и надо было знать, что ты ищешь, чтоб локализовать информацию. А теперь здесь есть вот такое вот окно, где, например, интенсивные события представлены одним графиком, если у вас есть какой-то скачок, то сразу можете туда навестись, и получить более подробную информацию. А вот здесь вот показано, что за 30 секунд у вас было за 60 событий, надо просто кликнуть и оно развернет все эти события.



31:32 И то же самое агрегации. На данном окне видим уже по определенным потокам, показывается и Source, Destination и порты. Вот этот вот продукт, если б я его хотел посмотреть в production, то на следующей неделя он будет готов в лабе у меня там есть SRX и я могу вам показать, можно сделать конверцию, где можно показывать не только скриншоты.



Дистрибуция Juniper в Украине, Грузии, Азербайджане, Беларуси, Армении, Молдове, странах СНГ — juniper@muk.ua

Учебные курсы и тренинги по решениям Juniper (УЦ МУК, Киев)

МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание

Комментарии (7)


  1. ibKpoxa
    22.12.2015 15:49

    А сколько стоит виртуальный МХ на 1, 5, 10Гбит?


  1. bougakov
    22.12.2015 16:01
    +1

    писать про Juniper на следующий день после скандала с бэкдорами в VPN (https://www.schneier.com/blog/archives/2015/12/back_door_in_ju.html) — это отважно. Нет бы отсидеться под корягой недельку


    1. ibKpoxa
      22.12.2015 16:53
      +1

      Бэкдоры в ScreenOS, это старые устройства из купленной джунипером компании НетСкрин или как там её, а во всех представленных продуктах JunOS.


      1. JDima
        22.12.2015 19:20

        Ну это уже закапывание головы в песок. Бекдор был внедрен лет через 8 после покупки Netscreen, когда бизнес юниты уже давно объединились и, вполне вероятно, одна и та же команда работчиков работала над обеими ветками кода.

        Говорить «это не JunOS, так что ничего особенного» очень неправильно.


        1. ibKpoxa
          22.12.2015 19:58

          Если даже открытый код не даёт гарантий, что нет бэкдоров и уязвимостей, то тут закрытый код и бэкдор могли не найти никогда.
          Никто не говорит что ничего особенного в уязвимости, я сказал что представленная линейка не подверженна обнаруженному бэкдору, это не значит, что в ней есть бэкдор или что его там нет.


  1. saboteur_kiev
    22.12.2015 16:24

    Несмотря на все презентации, у меня о juniper устойчивое впечатление как о глючном java клиенте, который не хочет штатно и автоматом подниматься под linux/unix.


  1. aragel
    23.12.2015 01:41

    10G-base в Америке стоит в районе 4к, у нас наверное с коэффициентом 1.5.