数据中心基础架构产品和解决方案云就绪数据中心基础架构、安全、自动化

瞻博网络中国 © 2013 Juniper Networks, Inc. All rights reserved. | www.juniper.net/cn/zh | For Internal and Partner Only

数据中心基础架构产品和解决方案云就绪数据中心基础架构、安全、自动化

© 2013 Juniper Networks, Inc. All rights reserved. | 2For Internal and Partner Use Only

瞻博网络中国 Juniper Chinahttp://www.juniper.net/cn/

zh/

过去未来

今天

分散部署、物理分离

遗留、客户机 / 服务器、数据、 IPv4

蠕虫、病毒、木马和DDoS

整合

流量不断改变

威胁不断增加

高性能、虚拟化、更高的带宽利用率

多业务流量的融合

安全的集成

多种不同的管理系统运维成本不断提高统一的管理

云计算环境下数据中心的发展趋势



zh/

应用的进化Client – Server Architecture

Service Oriented Architecture

ServerServer

Server

Server

Server

Server

95% 25%

Client Client

数据流量的模型正在发生改变

A

D

CB

DB

75%

A

D

CB

DB



zh/

Switch and specialized device sprawl

Switch and specializeddevice virtualization

Networkvirtualization

Network services provisioning

Server and storage provisioning

Server network access virtualization

Server and storagedevice virtualization

Server and storage sprawl

Scale-out complexity Consolidation Virtualization Dynamic

Network

Server/Storage

数据中心内部的架构变化

http://china.emc.com/images/about/news/press/2011/greenplum-logo-large.jpg



zh/

服务器和存储的革命性改变服务器被统一化标准化并且虚拟化存储被统一化并且虚拟化基础网络设施和架构也会变得统一化和虚拟化最终形成：由一个单一网络构成的统一资源池



zh/

但是：当前的网络体系架构，并没有为此改变！！！

今天的设计架构面临着严峻的挑战1. 缓慢 2. 复杂抑制了扩展和灵活程度3. 昂贵

Up to 75% of traffic

Data Center

N

SEW



zh/

传统数据中心的常见设计思路

生产服务区域

办公区管理区业务区

交换核心区

测试区域

海外接入

分支机构广域网

业务区外联区域

EW



zh/

传统树形结构带来的问题

VM

传统的树形结构并不适应云计算下的服务器部署

OneHop

如何实现性能的优化



zh/

传统树形结构带来的问题

VM

应用和 VLAN 的配置发生改变

阴影部分

虚拟机的迁移带来的安全策略的动态改变传统树形结构



zh/

传统多层架构速度缓慢造价昂贵过于复杂

诸多挑战

传统结构面临的诸多局限

Up to 75% of traffic EW

S

N

Scale

Com

plex

ity

生成树协议使得 50% 的链路不能有效利用

不必要的层次化增加了业务的延迟

超过 50% 的端口用于设备间互联，效率低下



zh/

性能的挑战每一个额外的设备（每一跳）都在增加延迟每一跳，都增加了潜在的拥塞，潜在的故障和性能保障的不一致应用行为受到冲击

过于缓慢如何解决 : 设计一个扁平化网络，任意点之间都可以实现高速低延迟的连接



zh/

策略基础

架构安全自动化

简化

三步入云：构建适应云计算时代的数据中心网络的 3 个步骤



zh/

简化

云计算数据中心基础架构的简化设计



zh/

简化网络

汇聚层核心层

接入层

统一核心层接入层

Juniper Confidential

消除汇聚层，简化网络形成核心层—接入层两层架构

3 2 13 2



zh/

简化网络

接入层

Juniper Confidential

统一可扩展交换矩阵

3 2 11



zh/

数据中心矩阵1.两层架构2.

Juniper 的 3-2-1 数据中心进化模式传统三层架构3.

EW Up to 75% of traffic EW



zh/

简化网络传统网络，三层架构3

3 2 13

Ethernet

FC SAN

Servers FC StorageNAS



zh/

SRX5800

FCoE

FC SAN

EX9200 系列EX8200 系列

简化网络

FC 存储器服务器

EX4200/EX3300/EX4300/EX450EX4550

今天的数据中心结构2

3 2 12

NAS



zh/

Typical tree configuration

定义理想网络扁平化，任意点之间高速低延迟的连接



zh/

定义理想网络扁平化，任意点之间高速低延迟的连接

单一设备N=1

交换矩阵数据平面• 扁平化—仅需一次查找• 任意点到任意点互联控制平面• 单一设备• 共享状态

交换矩阵

单一交换机提供了简化但是单一交换机不可能扩展



zh/

定义理想网络– 一个矩阵

如同单一设备一样简化同时具备网络的弹性一个网络矩阵就是

扁平化，任意点之间高速低延迟的连接单一设备

N=1

交换矩阵数据平面• 扁平化—仅需一次查找• 任意点到任意点互联控制平面• 单一设备• 共享状态



zh/

虚拟机框技术

Stratus— 层云

定义理想网络– 一个矩阵

如同单一设备一样简化同时具备网络的弹性一个网络矩阵就是



zh/

瞻博 QFABRIC 产品：最简化

FC StorageServers

未来的数据中心矩阵1

3 2 11

NAS

OS=1N=1



zh/

矩阵降低了复杂性

复杂性5,000

2,500

0 20001000 3000端口数量

50004000 6000

10,000

7,500

200

100

400

300

设备互操作

互操作

管理的设备对于 QFABRIC 产品，管理设备不会因为端口增加而增加

6000 个端口时 :• 管理的设备减少 89%• 互操作减少 99%

1000 个端口时 :• 管理的设备减少 83%• 互操作减少 97%



zh/

三个设计原则

数据平面边界丰富，核心简单任一点间一跳距离

控制平面智能连接保证网络的扩展性和弹性

管理平面 N=1如同操作单台交换机

革命性的数据中心架构



zh/

单台机框式交换机的数据平面

1. 所有端口间存在互联2. 一次查找，完成数据转发

数据平面



zh/

单台机框式交换机的控制平面

统一控制平面

所有端口采用同样的管理平台

控制平面对设备进行集中控制

管理平面



zh/

单台交换机无法实现扩展

… 但最终存在限制网络的扩展性存在挑战

尽管可以增加板卡

牺牲这样的简化，还是在扩展的同时保持简化之美选择在于 :



zh/

高扩展性数据平面Data Plane

我们将板卡从机框上分离出来 .将机框内的铜缆换成光纤为保证冗余，增加多个转发矩阵

QFabric Interconnect

QFabric Node



zh/

Data Plane我们将板卡从机框上分离出来 .将机框内的铜缆换成光纤为保证冗余，增加多个转发矩阵保证了最大的扩展性


QFabric Node

高扩展性数据平面



zh/

高扩展性数据平面数据平面

Qfabric 转发延迟低于目前市场的任何一款以太网机框式交换机

1. 所有端口之间直接互联2. 数据只需要在入口设备一次查找3. 延迟超低 : 平均低于 5us ，极限低于 3.71us

QFabric Node




zh/

高扩展性管理平台管理平面

• 单点管理界面• 扩展部署自动化

管理的交换机数量始终 =1

QFabric Director



zh/

• 将板卡和矩阵分离，使用光纤连接 .• 多个矩阵设备提供冗余

multiple Interconnect devices.

• 控制平面集中，边界依旧智能• 逻辑上为一台设备

Interconnect

Node

I/O Module

s

FabricRoute Engine

Qfabric---- 单一交换平台的革命Director



zh/

QFABRIC Juniper 香港节点演示图



zh/

QFabric 硬件QFabric Interconnect

连接所有的 QF/Node 设备（相当于矩阵）

QFabric Node

节点设备，既可以作为独立交换机运行，也可以作为 QFABRIC 的节点设备

QFabric Director

2U 固定配置X86-based 系统架构（相当于控制引擎）



zh/

QFabric解决方案—简单，有效扁平化，点对点一跳可达单一设备管理

N=1

一个高性能数据中心意味着如同一台数据设备一样简化管理，并且提供高性能的网络连接常规网络设计的高扩展性和灵活性

交换矩阵架构数据层面

控制平面扁平化 Any-to-Any

单一设备管理

同时具有



zh/

10G10G10G10G10G

QFabric—按需扩展的业务模型

…..

…..10G QFX3600QFX3500QFX3500QFX3500QFX3500QFX3600

Qfabric 可以根据业务的增长，动态的增长扩容，增加投资的保护

1 2 3 4 7 8

按照 3 ： 1 端口模型

1664128

38476830726144

1512763

QFabric DirectorQFabric Interconnect

QFabric Node



zh/

QFabric InterconnectQFX3600-I

QFabric Node #1QFX3600

中小型数据中心组网方案模型 QFX3000-M 1 ：1 收敛模型

最大可以支持 256 个10GbE 或者

64 个 40GbE 限速端口4 个 3600-I 16*40G

1RU 交换矩阵每个 node 8 个 40 Gig 上联

40G Fabric Link

LEGEND

1 GBE

QFabric Node # 8 QFX3600

QF/Director



zh/


QFabric Node #1QFX3600

中小型数据中心组网方案模型 QFX3000-G 1 ：1 收敛模型

最大可以支持 1024个 10GbE 或者 256 个 40GbE 限速端口

2 QFX3008-I 交换矩阵每个交换矩阵上 2块16*40Gig 矩阵卡

40G Fabric Link

LEGEND

1 GBE

QFabric Node # 8 QFX3600

QF/Director

每个 node 8 个 40 Gig 上联



zh/

QFabricNode #1

QFabric Node #16

QFabricNode #3

QFabricNode #2

中小型数据中心组网方案模型 QFX3000-M 混合收敛模型

端口数根据收敛比变化（根据区域设计决定）仍然使用 4 个 3600-I作为交换矩阵

3 ： 1收敛可以直接选用 3500作为 node ， 1 ： 1 和 2 ： 1选用 3600 ， 3500/3600 可以混搭

40G Fabric Link

LEGEND

1 GBE

QF/Director




zh/

上行链路选择 40GE 的好处1. 增加上行链路带宽，提高收敛比（对于 HPC 运算尤为重要）2. 减少物理链路数量，降低延迟（主要降低部分 serialization delay ）3. 极大的减少布线压力，非常利于管理4. 减少 LAG 配置（ LAG= 端口聚合）5. 极大程度上避免了 LAG 链路 hash 算法带来的流量不均衡问题



zh/

安全云计算数据中心的安全策略



zh/

安全 – 云就绪安全（数据的流量模型）Data CentersClients Global High-Performance Network

Server to ServerDC to DC

Client to DC

http://images.google.com/imgres?imgurl=http://www.interactiondesign.se/blog/wp-content/uploads/2007/01/iphone_425px.jpg&imgrefurl=http://www.interactiondesign.se/blog/2007/01/the-iphone-user-experience-a-first-look/&usg=__nedaDwDVVi6mhxeE-d4EETDrK-8=&h=461&w=425&sz=48&hl=en&start=1&um=1&tbnid=_Xj4b4p53llQNM:&tbnh=128&tbnw=118&prev=/images?q=iphone+user++picture&hl=en&rlz=1T4ITVA_enUS216US222&um=1

http://images.google.com/imgres?imgurl=http://media.libsyn.com/media/sellinggeek/PCUserPic.jpg&imgrefurl=http://sellinggeek.com/category/commentary/&usg=__4rv0uIELfSmY6qZjH7vSkEDtkWw=&h=1050&w=698&sz=385&hl=en&start=1&um=1&tbnid=GJxj3tZugIkspM:&tbnh=150&tbnw=100&prev=/images?q=pc+user+picture&hl=en&um=1



zh/

未来网络能够应对这些挑战

数据中心

网络核心

服务器 / 存储器 HTTP/Web 服务

服务器

可扩展的动态安全性

应用可视性

具有身份识别能力的网络

1

2

3

自动化的安全基础架构4



zh/

Management & Compliance

安全—云就绪安全（需要提供的安全服务）

Services

FINANCE ZONE

CLIENTS

Internet

虚拟机安全

SSL VPN

6. 0day攻击防护7. 网络地址转译8. 入侵防护9. 管理可视性10.流量优化

1. DoS 防护2. 应用层监控 3. 防火墙功能4. 验证功能5. 加密功能

DMZ 虚拟云安全服务

IDENTITY

User App

HR ZONE

Hypervisor

VM4

VM1

VM2

VM3

Virtual Machines



zh/

FC SAN

MX 系列

EX8216

SRX5800

服务器存储器

• 在一个平台上动态分配安全服务• 扩展到 200 Gbps 平台• 基于用户可视性和策略，自动更改防火墙策略• 利用单一的平台来确保流量转移的安全• 可以和虚拟机 kernel防火墙共享安全策略

可扩展的动态安全性



zh/

应用可视性

不连续的数据分析业务分析

Deep packet intelligence

Protocol

IP Addr Port

Data

SAPSize

Joe

What application?What user?

User Location?User device?

• 利用协议解码和应用特征码来识别运行在网络上的应用• 在会话日志上查看应用 ID ，以了解网络行为• 支持数据中心管理，基于被访问的应用进行正确决策，以便管理安全风险

AppSecure ： Apptrack介绍

1,047,784

1,030,006

375,296

316,064

154,168

151,632

128,256

104,736

67,920

54,768

Top Applications SRX-Top Apps By Bytes from Client (custom) (sum)03/12/10 01:00 - 03/12/10 01:30

FTP

Windows File Share

HTTP

BitTorrent

None

NetBios

VoIP

Facebook

TFTP

Telnet

应用来自客户端的字节数 (定制 ) (总计 ) Count

FTP 1,047,754 2,097Windows File Share 1,030,006 31HTTP 376,296 16Bit Torrent 316,064 16None 154,168 302NETBlog 151,632 16VoIP 128,266 16Facebook 104,735 16TFIP 67,920 16Telnet 54,768 16



zh/

自动化



zh/

云计算数据中心 - 网络面临的问题自动化虚拟化多租户大型化当前数据中心在向云计算数据中心发展过程中，在网络性能、灵活性等诸多方面遭遇挑战。在性能方面：改造现有网络协议、引入新的网络架构、升级网络设备性能在灵活方面：满足虚拟化和多租户的按需灵活组网需求时，特别是 IAAS 服务基础构建时，网络资源的池化、自动化是最急需解决的问题， SDN技术成为当前云计算数据中心的首选方案。



zh/

Juniper SDN介绍



zh/

Juniper SDNService Provider Research & EducationEnterprise

MPLS Overlay

Juniper Virtual Route Reflector VRR

Juniper Virtual Router / Switch VRX

Sol

utio

n

Juniper SoftwareStra

tegy

VMware / Microsoft Software

VXLAN Overlay+ end-to-end VLAN

OpenFlow

Open Source Software

Juniper Virtual Services: Firefly, Juniper Services Platform (JSP), ...

Pro

toco

ls

OpenFlow

PCEP, BGP-TE, ALTO, I2RS, ...

VXLANL3VPN, EVPN, VPLS

Virt

ual

Net

wor

kS

DN

Con

trolle

r

Juniper SDN ControllerVMware/ MS SDN Controller• vCloud Networking and Security

• Nicera Network Virtualization Platform

vSwitch (VMware, MS, ...)

Juniper Hardware: Routers, Switches, Security Gateways, ... (MX, EX, PTX, QFX, SRX, ...)

Open vSwitchServices (VMware, F5, ...)

Open Source SDN ControllerFloodlight, Trema, ...

Juniper PoC SDN Controllers

Juniper End-to-End Solution Partner with VMware / MS Work with Open Source



zh/

JUNIPER programmability

Software

Integration with leading orchestration applications

Silicon

Custom Juniper ASIC Programmable packet

forwarding engine

VXLAN NVGRE

MPLS over IP

Business agility demands programmability

System

Junos Automation Junos SDK Native interfaces

SDN



zh/

role of contrail in a virtualized environmentOrchestratorOpenStack, CloudStack

Contrail Controller"Logically Centralized, Physically Distributed"

Physical Network(Fabric)

Physical and

VirtualNetworkServices

VM

VM VM

VM

Server Server

Storage

Physical Network(Gateway)

Sto

rage

Com

pute

Network (Physical and Virtual)

Com

puteN

etw

ork

High Level Abstraction

Low Level Realization

Contrail vRouter

瞻博网络中国 © 2013 Juniper Networks, Inc. All rights reserved. | www.juniper.net/cn/zh | For Internal and Partner Only

Documents

数据中心基础架构产品和解决方案 云就绪数据中心基础架构、安全、自动化

数据中心基础架构产品和解决方案云就绪数据中心基础架构、安全、自动化