Обновление решений

Маршрутизация. Коммутация. Безопасность.

Дмитрий Карякин

Системный инженер

JNCIE #428

Маршрутизация

Junos Trio / vTrio

MX 3D серияуниверсальные сервисные маршрутизаторы

Junos OS Junos ServicesJunos Space

MX 240, MX480, MX960

~2Tbps- ~10Tbps

MX 2010, MX2020

40Tbps-80Tbps

MX5, MX10, MX40,

MX80

20Gbps-80Gbps

MX104

80Gbps

vMX

100Mbps - 120Gbps

Стратегия виртуализации MX

Branch Office

HQ Carrier

Ethernet Switch

Cell Site Router

Mobile &

Packet

GWs

Aggregation

Router/

Metro Core

DC/CO

Edge

Router

Service

Edge

Router

Core

Enterprise Edge/Mobile

EdgeAggregation/Metro/Metr

o core

Service Provider

Edge/Core and EPC

vCPE, Virtual Branch vPE, vBNG

Virtual Routing Engine (vRE), Virtual Route Reflector (vRR)

MX SDN Gateway

Hardware Virtualization

SW

Control plane and OS: Virtual JunOS, Forwarding plane: Virtualized Trio, WAN controller: NorthStar

vBNG,

vPE, vCPE

Data center

Applic

ations

Virtual & Physical MX

vMX

MX

Forwarding Plane Control Plane

Trio ASIC

Trio μCode

Trio μCode

compiled as x86

instructions

= + +

= + +

x86 processor

Такая модель позволяет vMX сохранить паритет с аппаратным MX

Обзор vMX• Виртуальный маршрутизатор на основе x86 платформы

• Эффективное разделение плана управления и передачи данных

• Лицензируется по полосе пропускания и функционалу

• Области применения:

– vPE, vCPE, vBNG, vRR

– шлюз для публичных и приватных облаков (включая NAT, IPSec, FW)

– распределенные ЦОД и мини ЦОД

– NFV и сервисные цепочки

Guest OS (Linux) Guest OS (JUNOS)

Hypervisor

x86 Hardware

CH

AS

SIS

D

RP

D

LC

-K

ern

el

DC

D

SN

MP

vTRIO

VFP VCP

Универсальные сервисные маршрутизаторыMX серия

Высокопроизводительные карты• SCBE2 фабрика коммутации

– 480G/слот; 10.56T/MX960

– 360G/слот с отказоустойчивостью

• MPC6e линейная карта

– 500G per slot performance

– 48x 10GbE ports/slot, 960/rack

– 4x 100GbE ports/slot; 80/rack

• MPC5e линейная карта

– 240G per slot performance

– 128K sessions & 1M queues & 10M FIB

– 24x10G or 6x 40G; 2x100G + 4x10G

• MS-MPC и MS-MIC

– Сервисные карты

– IPSec, FW, NAT

MPC6eMPC5eSCBe2

MS-MPC

MS-MIC

1.6T

2015

2T

2017+

400G 2T+ Продолжается

разработка новых

чипов, что

защищает

инвестиции

Juniper Agile Deployment Methodology – JAM

Существующее решение

14.1 15.1

Быстрое развертывание нового аппаратного

обеспечения

Использование стабильной версии Junos

Улучшить время доставки сервисов

ТРЕБОВАНИЯ РЫНКА

• Устранение необходимости обновления ОС

• Достаточно добавить пакет с драйверами

• Минимизация времени простоя

• Целевые карты:

• NG MPC2 and MPC3

• MPC7, MPC8, MPC9

• MX2008

ПРЕДЛАГАЕМОЕ РЕШЕНИЕ

JAM

14.1 14.1

Обзор NG-MPC1H 2015

MODEL BANDWIDTH HQOS

MPC2E-3D-NG 80Gbps No

MPC2E-3D-NG-Q 80Gbps Yes

MPC3E-3D-NG 130Gbps No

MPC3E-3D-NG-Q 130Gbps Yes

• Последний Trio чипсет с обновлённым CPU

• Возможность программного апгрейда HQoS

(отдельные SKU)

• Динамическое управление питанием

• Универсальная MPC поддерживает все типы MIC

• Новый –IR бандл для включений пиринга и

агрегациии

• Полный паритет по функционалу с MPC1/2/3

ПРЕДЛАГАЕМОЕ РЕШЕНИЕ

ТРЕБОВАНИЯ РЫНКА

Улучшение масштабируемости по

маршрутам, производительности и

конвергенции

Длительная защита инвестиций

Улучшение эффективности слота

Поддержка HQoS для BE и BBE

приложений

JAM

Next GEN PORT EXTENDER 1H 2015

ТРЕБОВАНИЯ РЫНКА

• Объединение Satellite Nodes в единый узел

• Родная поддержка в Junos

• Основан на открытом стандарте - 802.1BR

• Упрощенное управление и провижининг

• Единая точка обновления ПО

• Единая точка эксплуатации и провижининга

• «Plug and Play» эксплуатация и управление

тысячами портов как одним устройством

ПРЕДЛАГАЕМОЕ РЕШЕНИЕ LAG

Aggregation

Device

Satellites

УСТРОЙСТВА АГРЕГАЦИИ

ROLE: Intelligent services hub to manage

hundreds of connected network devices

MODELS: MX240, 480, 960, 2010, 2020

СПУТНИКИ

ROLE: Physical interface connectivity

MODELS: EX 4300, QFX 5100

Вынести низкоскоростные порты за пределы

шасси

Единая точка управления

Реализация на основе открытых стандартов

Plug and play operation

Маршрутизаторы доступаACX серия

60Gbps производительность шасси

Seamless MPLS обеспечивает наиболее гибкую архитектуру сервисов

Интегрированные генераторы точного времени для наибольшего QoE (1588v2 GM, BC, TC, OC, SyncE, and Hybrid Mode)

Богатый функционал сквозного мониторинга «end-to-end»: Latency, jitter, иE-OAM visibility metrics

Адаптированы для работы вне помещений, отсутствие вентиляторов, оптимизировано энергопотребление

Интегрированное зонды и средства измерения SLA, что устраняет необходимость в отдельных NID.

Поддержка POE++ (до 65W)

1 / 10G интерфейсы для конвергированногодоступа

Satellite Node для MX (Junos Node Unifier)

ACX серияуниверсальные маршрутизаторы доступа

Универсальный доступ

для сетей мобильных

операторов,

технологических и других

приложений

Обеспечивает сквозную

передачу синхронизации

Открытая система для

инноваций

ACX Series

ACX4000

ACX2000

ACX2100

ACX1100

ACX1000

Операционная система JUNOS, JUNOS SDK

ACX500-O ACX500-O-POEACX500

ACX2200

ACX500 – маршрутизатор доступа

• 2x 1GE (SFP) + 4x 1GE (Combo, 3x PoE+ support)

• Temp. Hardened (-40 to +65 C), Passive cooling, Power Budget for PoE –

80W

• 17.5 in. (W) x 1.75 in. (H) x 9.4 in. (D)

• Advanced Timing – GPS receiver integration, GM capability

• Advanced Security – IPSec, NAT, MacSec and TPM

• Advanced SLA management – RFC2544, Y.1564, TWAMP

• 3x 1GE (SFP) + 3x 1GE (Cu, PoE+ support)

• IP65 compliant, Passive cooling, Power Budget: 45W

• 12 x 8 x 4 in.(w/o PoE), 16 x 10 x 4in.(with PoE)

Внутреннее исполнение

Наружное исполнение (без и с PoE)

Общие характеристики

Доступность: 1H 2015

ACX5000 – маршрутизатор агрегацииACX5048

48 x 1/10GbE SFP+

6 x 40GbE QSFP uplinks

1.44 Tbps throughput

1U fixed form factor

ACX5096

96 x 1/10GbE SFP+

8 x 40GbE QSFP uplinks

2.56 Tbps throughput

2U fixed form factor

E-LINE, E-LAN with full E-OAM, IP-VPN Services

Comprehensive L2 Multicast Solution over IP/MPLS Infrastructure

Reliable Networking: ISSU, MC-LAG, Flexible Virtual Chassis Deployments

Synch: 1588 TC

Коммутация

Масштабируемость

Высокая плотность

Производительность шасси до 13.2 Tbps

Интерфейсы 1G, 10G, 40G и 100G

Программируемый

Программируемый ASIC (Junos)

Программируемый план контроля и управления через открытый API

Автоматизация

Гибкий

Оптимизирован как для ЦОД, так и для кампусных решений

Обширная поддержка протоколов

Богатый набор функционала

Готов для SDN

Обзор EX9200 серии

Juniper One Custom Silicon

EX9204 EX9208EX9214

Switch Fabric 2

• EX9200 готов для 480Gbps на слот с SF2

• Обновление блоков питания, вентиляторов и фабрики не требуется

• 10.5 Tbps на EX9214

• Поддерживает до 480Gbps на слот

• 320Gbps на слот с резервирование фабрики коммутации

Увеличение ёмкости

Защита инвестиций

• 250Gbps с отказоустойчивым «enhanced chassis»

• 205Gbps с отказоустойчивым «non-enhanced chassis»

• 260Gbps без отказоустойчивости

10GbE/100GbE линейные карты

• Дополнительный 10GbE SFP+ порт на фронтальной панели для будущего использования

10G порты

• 4x40GbE

• 120Gbps bandwidth

• Single PFE

EX9200-4QS

• Combo 24x10GbE or 6x40GbE

• 240Gbps Bandwidth

• Two PFEs

EX9200-6QS

Линейные карты 40GbE

EX9200 и MX серияНаиболее гибкие шлюзы для дата центров

VM

VM

VM

VM

VM

VM

VM

VM

VM

Contrail“New” Encaps

Bare MetalNSXBare Metal

VM

VM

VM

EX9200 или MX Series—

одна платформа для

соединения нескольких

сайтов и облаков

Universal SDN gateway“Connecting islands”

Open, standards-based DCIEVPN, MPLS, VPLS

Seamless workload mobilityEfficient traffic forwarding

VM Mobility Traffic Optimizer

Коммутаторы уровня распределения и доступа

EX4300 модель c SFP10 устройств в Virtual Chassis

32x100M/1000M SFP ports

2x40GbE fixed QSFP+ ports

4x10GbE Fixed uplink ports

1 слот расширения

2x40 GbE ports

8x10GbE ports

Дополнительная лицензия

EX-32F-AFL

SKU GE portsIn-built 10GbE

In –built 40GbE ports

Total 10/40GbE

portsCooling

Power supply

EX4300-32F 32 4 2 12/4 AFO ACEX4300-32F-DC 32 4 2 12/4 AFO DC

4x10GbaseXСлот расширения

Power supplies 2x40GbaseX fans

2x40GbaseX8x10GbaseX

32xGbaseX

Компактный и высокопроизводительный

1/10/40GbE density in 1U

Бесперебойное функционирование

In-service software upgrades (ISSU)

Smart Analytics

Insight Technology

Сетевая сегментация

MPLS (L3VPN)

Обзор коммутатора EX4600

4x40GBASE-X

Слоты расширения

8x10GbE

или

4x40GbE

24xGBASE-X

10GBASE-X platform for distribution

24x10GBASE-X SFP+ ports

4x40GbE fixed QSFP+ ports

10-member Virtual Chassis platform

Junos VM

(Master)Junos VM

(Backup)

Junos VM

(Upgraded

Master)

Архитектура EX4600

x86 HardwarePacket Forwarding

Engine

Kernel-based virtual machines

Linux Kernel

Задача

Минимизация потери трафика и

производительности сети в процессе обновления

ПО на коммутаторе

Решение

TISSU—Topology-independent in-service software

upgrades

Преимущество

Seamless upgrade

Нет потери трафика

Нет влияния на производительность

Нет риска потери отказоустойчивости

Нет флапов интерфейсов

Независимость от архитектуры сети

коммутаторов

In service software upgrade (ISSU)

Время

Зад

ер

жка и

ли

гл

уб

ин

а о

чер

ед

и

Высокий порог

Низкий порог

Микроберст

Проблема:

• Невидимые потери трафика

• Невидимое администраторами влияние на приложения

• Препятствие загрузки сети в соответствии с планируемой ёмкостью

Преимущества:

Ликвидация белых пятен в сети

Индикатор производительности приложений для администраторов

Централизованный анализ, корреляция и отчетность

Возможность планирования емкости и распределения нагрузки

Решение:

• Обнаружение микроберста трафика

• Логирование событий

• Отчетность о микроберстах и зонах возникновения

• Передача потока событий микроберста (JSON, CSV)

EX4600network Insight

Virtual Chassis Fabric

Up to 32 members

Коммутаторы QFX5100

Spine-Leaf

…

Virtual Chassis

Up to 10 members

QFabric

Managed as a Single Switch

Layer 3 Fabric

L3 Fabric

QFX5100

… Up to 128 members

10GbE / 40GbE │L2/L3, MPLS │

Низкая задержка │FCoE │ SDN

Cloud Analytics engine (CAE)

• Analytics Engine

– Application Signature based data collection

– Schema based enablement of devices for data collection

– Agent based approach for co-relatable data collection

• Visualization with Network Director

– Layered and correlated view of Overlay and Underlay

DC Networking

Infrastructure

Physical Host with Hypervisor

VM VM CA

Network DirectorAnalytics

Controller

QFX / EX Switches

JUNOS DA

QFX / EX Switches

JUNOS DA

QFX / EX Switches

JUNOS DA

Physical Host with Hypervisor

VM VM CA

DA – Device Agent

CA – Compute Agent

VMs

VTEPs

TOR

Fabric, Path

Correlated

view of

Overlay &

Underlay

1

2

3

4

Обновление Junos: ЦОД, облака, SDN

• BGP L3 VPN

• Ethernet-over-MPLS (draft Martini)

• MPLS fast-reroute (FRR): link-protection & node-link-protection

Платформа: QFX серия

• Стандарт определяет максимум 255 flow таблиц

• Производительность сравнима с OpenFlow 1.0

• Поддержка OpenFlow включается в Junos отдельным пакетом

Платформы: QFX5100, EX9200

• Интеграция с VMware NSX

• Соединение VxLAN с VLAN

• Подключение VxLAN к PW/VPLS/EVPN/IPv4/IPv6/L3VPN

Платформы: QFX5100, EX9200

VxLAN

OVSDB

OpenFlow 1.3

MPLS L3 VPN

& FastRerote

• Адаптивная балансировка нагрузки по потокам

• Отсутствие нарушения порядка пакетов

• Обратная связь в реальном времени

• Независимость выбора пути от коммутатора

VCF Adaptive Flowlet splicing

Безопасность

Обновление Junos SRX

• Log Director: Integrated Reporting

• Junos X47

• Commit and Confirm

• Облачный сервис Spotlight Secure

• Adaptive intelligent firewall

• Интеграция сервиса в Junos Space

• Unified Threat Management (UTM)

• AppSecure, WebFiltering, AV, AntiSpam, Content Filtering

• IPS

• IPsec VPN

• Transparent mode (включая режим кластера)

• VMware vSphere 5.5

• Deterministic NAT

• Port Block Allocation (PBA) NAT

Firefly Perimeter

x47-D10.2

SRX550 – 5800

Junos Space

Security Director

Архитектура решения Spotlight SecureAttacker Fingerprints

Command & Control

GeoIP

1

Spotlight Connector

2

Security

DirectorLog

Director

Space H/W

Space “Fabric” ESX

4

SRX550 or higher

models only

Local Attacker Details

3

1. Aggregated & Optimized cloud-based threat intelligence

2. Juniper-provided threat intelligence to customer premise

3. Local/Customer data aggregated into solution

4. Centralized management by Security Director

5. Scalable (aggregated) intelligence distribution

5

Система управленияJunos Space Security Director

Firewall management

IPsec VPN management

Network Address Translation (NAT)

management

Intrusion prevention (IPS) signature

management

Application-level policy management

Рабочий процесс публикации политик улучшает

точность и исключает ошибки

Junos Space Security DirectorАВТОМАТИЗАЦИЯ

• Обеспечивает

масштабируемое

управление

безопасностью

• Улучшает охват,

упрощает

администрирование

политик безопасности

• Делает жизненный цикл

управления политиками

безопасности быстрым и

интуитивно-понятным

через консоль web 2.0

UTM unified threat

management

Security Services

Security Director v.13.3R2 – июль 2014

• Integrated Reporting – появилась возможность

создания отчетов по событиям безопасности на

основе Junos Space Log Director

• Junos X47

– Multi-zone global FW policy – назначение более

одной зоны в глобальную FW политику

безопасности

– AppID 2.0 - AppFW Granular Control (RLI#536) –

возможность блокирования части приложения,

например, заблокировать только видео в Skype, но

разрешить все остальное.

– NAT port groups – создание группы портов для

использования в качестве объекта

Сравнение Junos Space и JSA

НазначениеМультивендорная

поддержка

Junos Space

Logging

Интеграция с

конфигурациейНет

Secure

AnalyticsSIEM++ Да

Security Director v.14.1R1 – сентябрь 2014

• Usability Enhancements – упрощение интерфейса,

навигации и процедур конфигурации

– Просмотр состояния SRX кластеров

– Расширение конфигурационных мастеров

• Commit and Confirm – при применении новой

конфигурации на устройства появилась возможность

просмотра и подтверждения измененного кода

• Integration of Spotlight Secure service – облачный

сервис SRX, выполняющий агрегацию данных, анализ и

обеспечивает безопасность услуг

Security Director v.14.1R12 – Q4-2014• VPN Import – возможность импорта конфигурации

существующих VPN туннелей

– Auto VPN: Spoke to Spoke

– IDP Dynamic Filtering

• Distributed Log Collectors – масштабируемость сбора

log событий с помощью удаленных коллекторов

• Usability Enhancements: Drag and Drop, VPN статус для

индивидуальных туннелей, UTM улучшения

• Поддержка Junos x48

Управление удаленным доступомJunos Pulse

Pulse VPN Client

• iOS, Android, WinPhone

Pulse Workspace

Network

Endpoint

Cloud

Connect Secure SSL VPN

Policy Secure NAC

Mobile Secure Mobile Security

Pulse Workspace UI

Pulse Mobile

Security Suite

Pulse Odyssey Access

Client

Pulse VPN Client

• Win, Mac, Linux

Pulse Network Connect

Pulse Policy Secure

Gateway

• IC/MAG Hardware

• Virtual Appliance

Juniper SRX Integration

for L3 Enforcement

Pulse Steel-Belted RADIUS

Pulse Connect

Secure Gateway

• SA/MAG Hardware

• Virtual Appliance

Pulse Secure Product Portfolio

Будущее Pulse Secure

Background:On July 22 Juniper announced

a definitive agreement to sell its

Junos Pulse product portfolio to

Siris Capital, a Private Equity

firm. All of Juniper Pulse

Engineering, JTAC, PLM and

Pulse field SE’s

will join the new Company

Company Name:

Pulse Secure, LLC

HQ: Silicon Valley, CA

Regional Offices: Westford &

India

Employees: 200+

Компания

Products:SSL VPN, NAC, MAG (HW),

SBR, Pulse MSS

Day 1 Priorities: Provide support &

investment for existing

products

Focus on BYOD and

Mobility, Mobile Device

Security, Management, &

Cloud

Establish tight integration

with Juniper

Update roadmap in

September, 2014

Продукты

Key contacts for customer and partner concerns/questions:Customers: sales@pulsesecure.net

Partners/Distributors: partners@pulsesecure.net

Early access website: (use email address as password)http://pulsesecure.thetempdomain.com

Three Phases to the Transition:

Поддержка пользователей

Announce to ClosePost-Close

Transition Services Beyond

Announce:

July 22

Close:

Est Oct 1st

End of TSA Dec 31

(extension possible)

Business as Usual

Purchase from

Juniper

partners

Support direct

from Juniper

and/or

Partners

Business as Usual

Purchase from

Juniper partners

JTAC is direct

from Juniper via

Pulse Secure

employees

and/or Partners

Begin to

establish

relationship with

Pulse Secure

Switch to Pulse

Secure

Purchase from

Pulse Secure

partners or

Juniper*

Support from

Pulse Secure and

Pulse Secure

partners

*Pending finalization of

formal resell

arrangement

Вопросы?

Материал презентации и

обратная связь:

http://goo.gl/forms/

akCRUdyw63

Дмитрий Карякин

dkaryakin@juniper.net