Document03

Построение локальных сетей иЦентров Обработки Данных наоборудовании Juniper Networks

Минаков АнтонТехнический Консультант[email protected]

2 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

Бизнес тенденции в Кампусе

Использование сети для повышения прдуктивности Важность сети растет ввиду акселерации роста бизнеса и инноваций Повышение производительности сети улучшает продуктивность бизнеса

(InformationWeek)

Распространение Единых Коммуникаций (Unified Communications) 46% Северо Американских компаний уже используют Телефонию на базе IP (Forrester,

2006) 39% Северо Американский компаний используют VoIP для связи с удаленными

пользователями (Forrester, 2006) Влияние на полосу пропускания LAN и качества обслуживания

Приложения требовательные к полосе пропускания Использование таких технологий как Unified Communications и видео услуг Вебофикация приложений

Безопасность Ежегодное повышения количества инцидентов связанных с безопасностью Распространение как внутренних так и внешних типов атак Развертывание и использование политик прав пользователей, например Network Access

Control (NAC)

Беспроводной доступ Потребности в беспроводном доступе и роуминге


Безопасность №1 *IBM Internet Security Systems X-Force® 2008 Trend & Risk Report


Безопасность №1*IBM Internet Security Systems X-Force® 2008 Trend & Risk Report


Спам*IBM Internet Security Systems X-Force® 2008 Trend & Risk Report

Phishing URL Hosted

Spam Origin

URL Hosted Spam


Архитектура КампусаОбзор безопасности

LAG/RTG

Стековыемаршрутизирующие

Ethernet Коммутаторы

Модульныемаршрутизирующие

Ethernet коммутаторы

Сервера

Прил./БД/Web Услуги

WAN доступ

Безопасность/NOC

WAN доступ• Политики Маршрутизации• FW/NAT/IPS• DOS/DDoS, Anti-Replay• UAC – узел, IPsec VPN• AV, AS, WF• Дополнительно:• IPS/P2P контроль

1

1

Уровень Распределения• FW/ACL• Policers• Storm Control• Политики Маршрутизации• UAC узел

2

Пользователи/Доступ

• Voice VLAN• IEEE802.1x/UAC/Proxy ARP• DHCP snooping/DAI• Trust DHCP/option 82• MAC (move) limit/IP SG• VLAN изоляция• Управление обновлениями• Управление уязвимостями

3

5

DMZ

• VR/Zones/IP Spoofing• Malformed packet защита• IPS/AV/AS/WF• SSL Offload

4

2


• SSL Proxy/SSL VPN• NBAD/SIEM• IDP Profiler/AVT/ATDM• AAA• Защищенная WANоптимизация

5

3

LAG/R

TG

IP WAN

LAG/R

TG

DMZ

4

7

ЗащищеннаяМультимедиа зона

6

LAG/R

TG

Пользователи

Терабитные коммутаторы

Серверная Группа

• Host IPS• Управление обновлениями• Определение Уязвимостей• Профилирование Узлов/Услуг

7

VoIP• Host IPS• Защищенное управление• Voice VLAN, сегментация

6


SRX650

Идеально для региональных офисов, большихфилиалов

Модули- LAN коммутация Процессоры маршрутизации и услуг с

дополнительным резервированием (будущее) ИП с дополнительным резервированием Голосовая конфигурация (модернизация через

PIM карты в 2010)

Полный набор UTM функций IDP, Antivirus, Анти-спам, Web фильтрация,

Контентная фильтрация UAC правоприминительный узел

Max Gig E 52 портов(2 x 24 GE PIM + 4 встроенные порты)

* Поддержка в JUNOS 9.6

35KСоединений в секунду (CPS)

48 порта GE, 250 W или 500 W

Питание поверх Ethernet (802.3af, 802.3at)

JUNOS 9.5Поддержка версия ПО JUNOS

900 MbpsСистема Предотвращения Атак

1.5 GbpsVPN производительность —AES256+SHA-1 3DES+SHA 1

512 KМакс. Одновременных сессий (512MB/1GB RAM)

2.5 GbpsFirewall pпроизводительность (IMIX)

900KppsFirewall производительность (Firewall + МаршрутизаторPPS 64байт)

A/A* или A/П,GPIM горячей замены,

Двойные ЦПУ*, Двойные ИП

Высокая Доступность

SRX650Функциональность

ДААкселерация Безопасности Контента—

ЭкспрессAV и Обнаружение и Предотвращениявторжений

900KppsПроизводительность Маршрутизатора

Встроенный Ethernet 4 x GE

WAN слоты 8 x GPIM

USB порты (флешь) 2 на каждыйпроцессор

Firewall производительность (Большие Пакеты) 7.0 Gbps

Антивирус 350 Mbps


M-Серия Маршрутизаторов

323284

(+2FE or 1 GE fixed)Кол-во PIC на

шасси

22924Шасси на шкаф

ДаДаДаПитание & ОхлаждениеРезервирование

384 DS-3128 OC-3,

128 OC-12,64 OC-48

384 DS-3128 OC-3, 32 OC-12, 8 OC-48

96 DS-332 OC-3

48 DS-3 16 OC-3

ОптимальнаяЕмкость

DS0 to OC-192/10GE

DS0 to OC-48c/STM-16

DS-0 to OC-48c/STM-16

DS-0 to OC-12c/STM-4 and GE

Максимальнаяскорость

320+ Gbps40+ Gbps12.8 Gbps8.4 GbpsПропускнаяспособность

Большие PoPСредние/БольшиеPoP

Средний PoP PE, Граничный

маршрутизаторКампуса

малые PoP PE, Граничный

маршрутизаторкампуса, предприятие

Место положениев сети

M320M40eM10iM7i


Региональныйофис

Головнойофис

Мобильныепользователи

Department Servers DMZ-1

Finance

HR

Sales

Управляемая, доверяемаяБезопасность удаленной сети

Сетевой уровеньУровень управления

Подключение сетейУсловия подключения

IPSec VPNТип VPN

ФиксированныеТип подключения

Область применения

НеизвестнаяБезопастность удаленной

сети

Пользователей и приложенийУровень управления

Каждое приложениеУсловия подключения

SSL VPNТип VPN

Мобильный илификсированныйТип подключения

Область применения

Telecommuters

Клиенты,

Партнёры

Инфо

Удалённый офис

IPSec VPN против SSL VPN

Удаленные офисыТерминалы, мобильныепользователи, сети партнёров


СерверПриложений

КорпоративнаяСеть

Сотрудники скорпоративными

ПК

Сотрудники сдомашним ПК

Сотрудники смобильнымиустройствами

SSL VPN Простота Использования В любое время, в любом месте с домашнегоили корпоративного ПК, мобильноготелефона или интернет киоска

Не требуется установки ПО, настройки илиобслуживания

Требуется Только Веб браузер & Интернетсоединение

Пример #1 – Удаленный Доступ для Сотрудников

Email Сервер

Повышенная безопасность с SSL VPN Зашифрованный и аутентифицированный доступ Ограничение пользовательского доступа копределенным приложениям и ресурсам

Расширенные механизмы проверки безопасностина конечном узле прежде чем предоставитьдоступ

МСЭМаршрутизатор



Партнеры

Пример #2 – Внешний Портал

Клиент/СерверПриложения

Гибкость с использованием SSL VPN Быстрое добавление/удаления доступа дляпартнеров, поставщиков и клиентов Не требуется установки клиентского ПО наустройстве Доступ с любого устройство имеющего Веббраузер

SSL VPN Управление Ограничение доступа к определенномуприложению или ресурсу Гарантия соответствия корпоративным политикамперед предоставлением доступа Не требуется обслуживание или настройкапользовательского устройства

Поставщики

МСЭ

Клиенты

Маршрутизатор

ВебПриложения


Email Сервер


Партнеры

Сотрудники

Продолжая Работать с SSL VPN Предоставление удаленного доступа вовремя аварийной ситуации при пиковыхнагрузках

Продолжение активности в случаевозросшего спроса на доступ

Доступ для партнеров и клиентов

Предоставление Продуктивности с SSL VPN Пользователи могут работать из дома или другогоместа

Доступ может быть осуществлен с любогоустройства с поддержкой веб технологий

Гарантия безопасности сотрудников & минимизациявремени простоя

Пример #3 – Восстановление в аварийных ситуациях

Веб ПриложенияМСЭ

Маршрутизатор

СерверПриложенийКлиенты

Незапланированные события, которые могут повлиять на бизнес:Ураган, Метель, Атаки, Вторжение Вируса, Террористическая Атака


Простота интеграции в существующуюинфраструктуру AAA

Полная Интеграция в клиентскую инфраструктуру AAA AD, LDAP, RADIUS, Сертификаты, OTP, и.т.п.

Интеграция с системой управления паролями Пользовательское Самообслуживание для управления паролем Снижение издержек на поддержку, повышенная продуктивность Все стандарты LDAP, MSFT AD

Единый пароль – Встроенные возможности Средство для работы для всех веб приложений простота дляпользователей

Формы, Заголовки, SAML, Cookie, Базовая Аутентификация, NTLM SAML Поддержка – Единый пароль для входа, интеграция с I&AM платформами На базе стандартов Web SSOпартнерство с ведущими АМ производителями (CA, Oracle, RSA, и.т.д.)


Решение в Зависимости от Задач

Три разных метода доступа для контроля доступа пользователей к ресурсамДинамический Контроль Доступа на базе Пользователя, Устройства, Сети…

- Доступ к Веб приложениямпередача и доступ к файлам, Telnet/SSH приложениям, и

Outlook Web Доступ

- Выборочный контрольдоступа на любом уровне URL

или файл

- Идеально для большинствапользователей которым требуетсядоступ с любого устройства из

любой сети (корпоративный ноутбук, домашний ПК, партнерский иликлиентский ПК, киоск, PDA, и.т.п.)

- Доступ к клиент/серверприложениям как Windows &

Java приложения

- Простой доступ к такимприложениям как Citrix,

Microsoft Outlook, иLotus Notes

Идеально для удаленных &мобильных сотрудников ипартнеров если у них предустановлено ПО на их ПК

- Похоже на IPSec с полнымтуннелированием сетевого

доступа

Поддержка всех клиентскихприложений и приложенийреального времени таких как

VoIP & потоковое мультимедиа

- Рекомендовано для удаленныхи мобильных сотрудников, которым требуется полный

сетевой доступ

Core AccessSecure Application Manager (SAM)

Network Connect

Доступ к Клиент/Сервер и вебприложениям похожий на LAN сиспользованием Network Connect

Выборочный контроль доступак веб приложениям с

использованием Core Access method

Выборочный контроль доступа кклиент/сервер приложениям с

использованием Secure Application Manager


• Полная поддержка доступа на 3-ем уровне, аналогично IPSec VPN• Адаптивный, Двойной Транспортный режим

• Изначально пытается установить высокопроизводительный IPsec транспорт• Если сетью не поддерживается, автоматически переключается на SSL

• Кросс платформенная динамическая загрузка (A|X или Java)• Диапазон опций – запуск браузера, отдельный EXE, скрипт для запуска, MSFT Gina• Учет на стороне клиента, аудит и Диагностика

Высокая Доступность

Транспортный режимВысокая Доступно

сть

Транспортный режим

High Performance Transport Mode

High Performance Transport ModeXВ

ысокопроизводительныйтранспортный режим

Высокопроизводительныйтранспортный режим

Методы Доступа (Приложения & Ресурсы)- Network Connect -


Пре-АутентификацияПолучениеинформации отпользователя, сети, конечного узла

Аутентификация &Авторизация

Аутентифицированномупользователюназначаются права

Назначение ролей

Назначение свойств длясессии дляпользовательской роли

Ресурсная Политика

Приложениядоступныепользователю

Управление Привилегиями Доступа – 1 URLТа же самая персона получает доступ из 3-х разных мест

•Host Checker: Пройдена•AV RTP включен•Обновления свежие

•Серт. Устройстваt: Присутствует•Тип Устройства: Win XP

Управляемый ПК

Не управляемый(Домашний ПК/Киоск)

Мобильноеустройство

•Host Checker: Не пройдена•AV не установлен•Персонального МСЭ нет

•Серт. Устройства: Нет•Тип Устройства: Mac OS

•Host Checker: Н/Д

•Серт. Устройства: Нет•Тип Устройства: Win Mobile 6.0

•Аутен.: ЦифровойСертификат

•Назначение Роли: Управляемый

•Аутен.: AD Username/ Password

•Назначение Роли: НеУправляемый

•Аутен.: ЦифровойСертификат

•Назначение Роли: Мобильный

•Метод Доступа:Network Connect

•Файловый Доступ: Включен•Тайм-аут: 2 часа•Host Checker: Периодическая

•Метод Доступа: Core

•SVW Включен•Файловый Доступ: Выключен•Тайм-аут: 30 минут•Host Checker: Периодическая

•Метод Доступа: WSAM, Core

•Файловый Доступ: Включен•Тайм-аут: 30 минут

•Outlook (полнаяверсия)•CRM Клиент/Сервер•Интранет•Корп. Файл Сервера•Sharepoint

•Outlook Web Доступ (беззагрузки/полученияфайла)•CRM Веб (толькочтение)•Интранет

•Outlook Mobile•CRM Web•Интранет•Корп. Файл Сервера


customers.company.com

employees.company.com

partners.company.com

Одно Устройство для Множественных ГруппОптимизация политик и пользовательского опыта для разных пользователей

MRP, КвотаторПриложения

Core Без клиентныйДоступ

Включен – Любой AV, PFW

Host Checker

Username/PasswordАутентификация

Портал Поддержки,Документы

Приложения

Core Без КлиентскийДоступ

Включен – Любой AV, PFW

Host Checker

Username/PasswordАутентификация

L3 Доступ кприложениям


Core + Network ConnectДоступ

Включен – Any AV, PFWHost Checker

OTP или СертификатАутентификация

“Партнер” Роль

“Сотрудник” Роль

“Клиент” Роль


Безопасность оконечного узла- Host Checker -

Вирус

Аэропорткиоск

МобильныйПользователь

Домашний ПКПользователь

УправляемыйПК

Пользователь

Host Checker- Проверка устройств до & во время сессииГарантия соответствия устройства скорпоративными политиками- Устройства коррекции в случае надобности- Кросс платформенная поддержка

- Антивирус не установлен- Персональный МСЭ включен- Коррекция пользователяустановка антивируса- Как только установлен, пользователь получает доступ

- Антивирусная проверка вреальном времени присутствует- Персональный МСЭ включен- Обновления свежие- Пользователь получает полныйдоступ

- Антивирус не установлен- Персональный МСЭ неустановлен- Пользователь получаетминимальный доступ


Безопасность Оконечного Узла- Защищенное Виртуальное Пространство -

Ограниченный/Заблокированный I/O Доступ

Данные Сессиишифруются на лету (AES)

Завершение Сессии: Защищенное Удаление

ИЛИ Постоянство Сессии(Зашифровано)

Операции работы сбуфером памятиблокированы

(ВиртуальныйРеальный)

Real Desktop SVW

•Доставка Host Checker (Java/ActiveX) •Win 2k/XP Системы (привилегиипользователя)•Доступ к приложениям, согласнонастройкам Администратора

•DoD очистка согласно стандарту•Защита Пароля постоянство сессий•Контролируемый I/O Доступ•Настраиваемый визуальный интерфейс

File System

Реальный Виртуальный


Защита Системы

Разработка с принципом “Прежде всего Безопасность” Специализированная ОС на базе Linux Защита от множества известных атак AES зашифрованный жесткий диск на каждом устройстве

Защита данных в транзите Распространение данных URL подмена

Juniper Security Incident Response Team (SIRT) быстрорасследует любые потенциальные уязвимости


WX Клиент – Основные функции

ПО Клиент на базе Windows с полным набором технологий поWAN оптимизации NSC™ Технология для компрессии и кэширования TCP акселерация всех TCP приложений (HTTP, другие …) AppFlow™ для акселерации CIFS

Авто обнаружение сервера WXC в ЦОД Не требуется настройка клиента для постоянной оптимизации

Интеграция с Juniper SA SSL VPN для обеспечения полнойоптимизации решений по удаленному доступу Авто развертывание и запуск WX Клиента на базе политики

удаленного доступа Авто модернизация клиентских настроек и ПО Все политики безопасности остаются на SA

Совместное использование с существующими устройствамиWAN акселерации и VPN решениями в клиентской сети Работает с любым VPN продуктом или методом сетевого доступа Простота развертывания в существующих оптимизированных WAN

сетях


Решение WX Клиент

Штаб Квартира/ЦОД

WX клиент

Интранет/Экстранет

• Клиенты инсталлируются на Windows 2000/XP PC• Количество инсталлируемых клиентов не ограничено• Лицензирование продуктов на WXC устройстве зависит от количества

одновременных пользователей• WXC устройства (WXC 2600, WXC 590 или WXC 3400) устанавливается за решением

удаленного доступа• Открытая VPN сессия от клиентского PC до VPN шлюза• Открытый WX клиент – автоматическая ассоциация к WXC устройству за VPN

концентратором• Решение: WXC устройство + лицензия на количество одновременных

пользователей

WXC

VPN

Мобильныйпользователь

WAN

СервераПриложений


WX Клиент – Сценарии развертывания


WX Клиент и WXC Сеть: Простота совместного использования

WX Клиент

WX Клиент

Интранет/Экстранет

Мобильные пользователи и малые офисы с WX Клиентами на ПК получают оптимизированных доступк приложениям в ЦОДе

Филиалы с WXC устройствами имеютоптимизированное подключение к WXC устройстве вЦОД

WXC

SA SSL VPN

Филиал

Intranet/Extranet

WXC

WXC

ЦОДМобильный пользователь/Малый Офис

MPLS

WAN СервераПриложений


WX Клиент – интеграция с Juniper SA SSL VPN

Интегрированный быстрый и защищенный удаленныйдоступ для мобильных пользователей

• Пользователи аутентифицируются и защищено получают доступ в SA SSL VPN• WX Клиент автоматически передается и запускается после старта Network Connect

VPN сессии, прозрачно для мобильного пользователя• Трафик пользователя незамедлительно оптимизируется


WXC Серия – продуктовая линейка

64Kbps 2Mbps 20Mbps 45Mbps 155Mbps

CMS

WX 100

Модуль

WXC 1800• 512Kbps до 2Mbps• 10 Удаленных Сайтов

Встроенное

Автономное

Централизованноеуправление

Филиал Центр Обработки Данных

10Mbps

WXC 590• 2 Mbps до 45 Mbps• 140 Удаленных Сайтов

WXC 500• 512 Kbps до 20 Mbps• 50 Удаленных Сайтов

WXC 2600• 2Mbps до 8Mbps• 20 Удаленных Сайтов

WXC 3400• 10Mbps до 45 Mbps• 140 Удаленных Сайтов

WX Stack• 34 Mbps до 155 Mbps• 840 Удаленных Сайтов• WX100 + до 6 x WXC590

WXC ISM 200 для J-series • 512 Kbps до 10 Mbps• 10 Удаленных Сайтов

WXC программный клиент



LAG/RTG





Сервера


WAN доступ



1

1


2



3

5

DMZ


4

2



5

3

LAG/R

TG

IP WAN

LAG/R

TG

DMZ

4

7


6

LAG/R

TG





7


6


Элементы Архитектуры

Коммутация


Ethernet коммутатор EX2200

GbE коммутатор для филиалови доступа с низкой плотностьюпортов

Фиксированная конфигурация 24 или 48 портов Модели с опцией PoE 4 SFP

JUNOS L2 и RIP в базе L3 расширенная лицензия

Фиксированный ИП ивентиляторы Потребление ниже чем укоммутаторов 10/100

Рек. Цена от $1,995 GbE за 10/100

Roadmap

550 (450) W

100 (0) W

550 (450) W

100 (0) W

Макс. ПотреблениеПитания (вкл. РоЕ)# Порты Тип порта РоЕ

портыФикс. порты

24 10/100/1000B-T 0 4 SFP

24 10/100/1000B-T 24 4 SFP

48 10/100/1000B-T 0 4 SFP

48 10/100/1000B-T 48 4 SFP


Ethernet коммутаторы EX 3200 Серии

Фиксированная, отдельнаяконфигурация

Гибкость модулей для подключения кмагистрали 4-портовый GbE (SFP) 2-портовый 10GbE (XFP)

Модульные ИП и системы охлаждения Быстро заменяемый ИП AC, DC Внешняя Опция Резервного ИП Быстро заменяемый модуль охлаждения Полный Класс 3 PoE (15.4 W)

ЖК Дисплей

Поддержка 3-го уровня в базовойлицензии

Высота в стойке 1 слото место

# Порты Тип порта РоЕпорты

Макс. ПотреблениеПитания (вкл. РоЕ)

24 10/100/1000B-T 8 190 (320) W

24 10/100/1000B-T 24 190 (600) W

48 10/100/1000B-T 8 190 (320) W

48 10/100/1000B-T 24 190 (930) W


Ethernet Коммутаторы EX 4200 Сериис Технологией (Виртуальное Шасси) Virtual Chassis™

Технология Виртуальное Шасси™ 128Гбит/с виртуальная шина Управляя до 10 устройств как одним Масштабирование с использованием интерфейсов

10GbE Мастер & Резервное управляющее устройство

Гибкость выбора модулей для подключения кмагистрали

4-портовый GbE (SFP) 2-портовый 10GbE (XFP)

Полностью резервный ИП & охлаждение Двойной АС, DC ИП горячей замены Внешняя опция резервного ИП Быстро заменяемый модуль охлаждения, несколько

вентиляторов Полный Класс 3 PoE (15.4 W)

ЖК Дисплей

Поддержка 3-го уровня в базовой лицензии

Высота в стойке 1 слото место

# Порты Тип Порта PoEПорты

Макс. ПитаниеПотребление (вкл.

PoE)

24 10/100/1000B-T 8 190 (320) W

24 100/1000B-T 24 190 (600) W

24 100B-FX/1000B-X Н/Д 190 (190) W

48 10/100/1000B-T 8 190 (320) W

48 10/100/1000B-T 48 190 (930) W


EX 4200 СерияОрганизация Виртуального Шасси

Длинные VC кабелирасширяют существующийVC, макс. Высота или длина5 метров

Опция 1 – Последовательноеподключение в кольцоДоступ

Опция 2 – Плетенное КольцоЦОД - Top of Rack, Доступ

Длинные VC кабели для 3-хкоммутаторов, макс. Высота 15 метров*

WP: Virtual Chassis Offers Chassis Class Functionality


Виртуальное шасси может быть территориально распределенным сиспользованием 10Gbps или Gbps портов.

EX 4200 Virtual ChassisВарианты подключения (2)

Virtual Chassis Location #1 Virtual Chassis Location #2

GbE или 10GbE Virtual ChassisDedicated

Virtual Chassis

GbE или 10GbE Virtual Chassis

До 70 km

Опция 3 – использование 10Gbps/1Gbps портовОпция 4 – использование VC на LAG

ЕХ4200-24F


Сравнение EX2200/3200/4200

Функциональность EX2200 EX3200 EX4200

Рек. цена (24T) $1,995 $3,000 $6,000

L3 функциональность в базе (RIP) (RIP, OSPF, PIM) (RIP, OSPF, PIM)

Расширенная функциональность(BGP, IS-IS, MPLS, IPv6 маршрутизация) X (License) (License)

Модульный ИП и Охлаждение X

Модульные порты подключения к магистрали X

DC ИП X

Модель для оптической агрегации X X

Резервные ИП и охлаждение X X

Технология Virtual Chassis X X

Шум 40dB - 45dB 47dB - 55dB 47dB - 54dB

Глубина (inches) 10 16.4 16.4

Макс. PoE Питание на порт (Полное PoE) 30W (450W) 15.4W (740W) 15.4W (740W)


EX 8208

Модульные компоненты JUNOS software

Routing engines

Switching fabrics

Multiple power supplies

Fan tray

Высокая производительность Производительность наскорости среды на всех портахна всех длинах пакетов Распределенная коммутация

Juniper фабрика коммутации

Управление Консоль

Out of band

J-Web

Fan tray (side-side airflow)

6 PSU bays for N+1 or N+N AC redundancy(6kW max)

LCD монитор

8/16линейныхкарт

1+1 redundantRouting engines

2+1 redundantSwitch fabrics

6 PSU bays for N+1 AC or N+N DC redundancy(12kW max)

Fan Tray

1+1 redundantSwitch fabrics

14 RU, 21″ глубина До 384 GbE, или

64 10GbE порта

21 RU, 25″ глубина До 768 GbE, или

128 10GbE порта

EX 8216


EX 8200Типы линейных карт

EX8200-48F 48 SFP 100/1000 интерфейсы Обработка на скорости среды для любого размера пакетов (64-

9216 байт) 48Gbps, 71 млн. пакетов в секунду 10 to 25 s задержка порто-портв зависимости от размера пакета

8 очередей, 42MB буфер на порт

EX8200-48T 48 RJ45 10/100/1000 interfaces Обработка на скорости среды для любого размера пакетов (64-

9216 байт) 48Gbps, 71 млн. пакетов в секунду 10 to 25 s задержка порто-порт в зависимости от размерапакета 8 очередей, 42MB буфер на порт

EX8200-8XS 8 SFP+ 10GbE интерфейсы Обработка на скорости среды для любого размера пакетов (64-

9216 байт) 80Gbps, 119 млн. пакетов в секунду 8 to 15 s задержка порто-портв зависимости от размера пакета

8 очередей, 512MB буфер на порт


Line Card 0Line Card 0Line Card 0

PFE2PFE2 PFE2PFE2 PFE2PFE2 PFE2PFE2

EX 8208 Плоскость управления

SRE1SRE1SRE1

…

•FIB•RIB•ACL

SRE0SRE0SRE0

Line Card 7Line Card 7Line Card 7


Line CardLine CardCPUCPU

Line CardLine CardCPUCPU

•FIB•RIB•ACL

400,000IPv4 Маршрутов

160,000MAC Адресов

64,000Access Control Lists


320 320 GbpsGbps кк МатрицеМатрице КоммутацииКоммутации

Линейная картаЛинейнаяЛинейная картакарта

EX 8200 Архитектура линейной карты (8-Порт 10GbE)

(8) 10 GbEПортов


SwitchFabric

Interface

SwitchFabric

Interface

SwitchFabric

Interface

SwitchFabric

Interface

PacketProcessor

PacketProcessor

PacketProcessor

PacketProcessor

Line Line CardCardCPUCPU L2 и L3 (IPv4 & v6)

Access control listsQoS мркировкаОграничение полосыпропускания

ЗеркалированиеGRE туннелированиеMPLS (2-label)

Управлениеперегрузками512Mb буфер/порт100 ms буферизации

Планировщик трафикаРепликацияМногоадреснойпередачи


EX 8200 Архитектура линейной карты (48-port GbE)

(48) GbEпортов

ЛинейнаяКарта

ЛинейнаяЛинейнаяКартаКарта

PFE2PFE2

SwitchFabric

Interface

PacketProcessor

PFE2PFE2

SwitchFabric

Interface

PacketProcessor

Line Line CardCardCPUCPU

160 160 GbpsGbps кк МатрицеМатрице коммутациикоммутации

L2 и L3 (IPv4 & v6)Списки контроля доступаQoS маркировкаОграничение Полосы ПропусканияЗеркалированиеGRE туннелированиеMPLS (2-label)

Управления перегрузками42Mb буфер/порт50 ms буферизации

Планировщик трафикаРепликация многоадресной передачи


EX 8200 PFE2 Обзор Высокая производительность Производительность на скорости среды на любых размерах пакетовна 1G и 10G портах

100G интерфейс на общую шину с существующими ASIC 10-15us задержка порт-порт (64-байтные пакеты) 255 LAG групп на шасси, 1-12 портов на LAG Локальный ЦПУ на линейную карту для масштабируемостиподсистемы управления

Последовательная обработка пакетов Нет потери производительности при включенных ACL Нет потери производительности для IPv6 или MPLS/GRE туннелей Нет медленных путей в ЦПУ обработке трафика подсистемы данных 8 очередей на порт



Безопасность


Juniper Networks IDP75/250/800/8200


Опционально BypassВстроенный BypassОтказоустойчивый режим

Любая комбинация из 4-хмодулей интерфейсов

ввода/вывода : • 4-портовый GE Copper

with bypass • 4-портовый GE fiber SFP

• 4-портовый GE SX-bypass • 2-портовый 10 GE SR-

bypass

Десять RJ-45 Ethernet

10/100/1000 сbypass

Восемь RJ-45 Ethernet 10/100/1000 с bypass

Два RJ-45 Ethernet

10/100/1000 сbypass

Набор интерфейсов

Ежедневно и критическиеОбновление Сигнатур8 включая сигнатуры с контролем состояния сессий и обнаружение задних дверейМеханизмы Детектирования

Пассивный сниффер, встроенный мост, встроенный Proxy-ARP, и встроенныймаршрутизаторОперационные режимы

5 Million500,00070,00010,000Макс. Количество сессий10 Gb1Gb300 Mb150 MbМакс. Производительность

IDP 8200IDP 800IDP 250IDP 75


Методы Детектирования Трафика

Реальный Взгляд внутрь сетевых угроз и проактивная защита вашей сети прежде чембудет осуществлена атака на критические

ресурсы

Предотвращение скомпрометированныхузлов от загрязнения внутренней сети такими

методами как отравление ARP кэша

Защита ваших основных сетевых ресурсов отшироковещательных SYN атак

Пропуск только разрешенного трафика иблокировка неправомерных источников

Про активная защита отнесанкционированной активности или

блокирование DDOS атак

Предотвращение профилированиявредоносных программ в случае, если другиемеры безопасности были неэффективны

Про активная защита сети от не известныхуязвимостей

Минимизация ложных срабатываний

Преимущества

Открытые порты, занятые фальшивымиресурсами, для осуществления неправомерной

деятельности

Атаки 2-го уровня определяются сиспользованием предопределенных правил дляконтроля ARP таблиц, обработки фрагментов, тайм-оутов соединений и байт/длины порогов

пакетов

Защита на базе SYN-cookie от SYNшироковещательных атак

Проверяется правомерность разрешенныхадресов внутри и снаружи сети

Эвристические правила обнаружения шаблоновненормального поведения трафика, который

может являться атакой

Эвристические шаблоны аномальности трафикаи анализ пакетов для обнаружения троянов и

наборов для получения прав root

Проверка использования протоколов несоответствующих RFC, используемые для

взлома или вывода систем из строя

Сигнатуры применяются только на релевантныйтрафик определенный соответствующими

контекстами протоколов

Описание Функций

Сетевые приманки

Обнаружение на 2-омУровне

Защита от DoS

Обнаружение подложныхIP

ОбнаружениеАномальности Трафика

Обнаружение «ЗаднихДверей»

Обнаружениеаномальности протоколов

Обнаружение на базеобновляемых сигнатур

Функциональность


Возможности IDP

Обеспечение гибкости при развертыванииIDP в любых сетевых сценариях

Инсталляция и Обслуживание упрощается, и в тоже время гарантируя высокий

уровень безопасности сети

Ваша сеть уже защищена против новыхуязвимостей

Использование правил и политик на базетрафика приложений а не портов – защитаконтроль за стандартными приложениями

на не стандартных портах

Преодоление попыток обмануть другиеметоды IDP обнаружения с

использованием методов запутывания

Точность определения атак и попытокиспользования известных уязвимостей

Точность применения сигнатур улучшаетсяс применением контекстов использования

протоколов


Доступны различные режимы настройки, включая Sniffer, Прозрачный режим, Мост

или режим Маршрутизатора

Группировка сигнатур для защиты откритических атак на типовое предприятиеопределяется Juniper Командой Сетевой

Защиты

Обнаружение аномальности протоколов иобеспечение заплаток в тот же день на

новую найденную уязвимость

Использование контекстов, протокольнойинформации и сигнатур для идентификации

приложений на любом порту

Обеспечивается ПовторноеАссемблирование, нормализация и

декодирование протоколов

Более 5000 сигнатур для идентификациианомалий, атак, шпионского ПО и

приложений

Поддерживается декодирование более 60 протоколов с более чем 500 контекстов дляпроверки корректности использования

протоколов


Несколько ОперационныхРежимов

Рекомендуемые политики

Защита от атак нулевогодня

Знание Приложений / идентификация

Дешифрование Трафика

Сигнатуры

ДекодированиеПротоколов



Гранулированный Контроль Трафика

Попытки запуска DDoS атакобнаруживаются через аномальность

трафика, DOS обнаружение или сетевыхприманок

Простота Обслуживания. Администраторамбольше не требуется думать и решать какаядолжна быть реакция на каждую угрозу

Использование уникальных политик на базедепартамента клиента или согласно

требуемым политикам

Обеспечение видимости текущих угроз насети и возможность предотвратить

возможную атаку

Оптимизация сети и гарантия необходимойполосы пропускания для критичных бизнес

приложений

Обеспечение соответствующего уровняреагирования на атаки


Запрет Доступа на гранулированном уровнето есть варьируя от определенного узла до

определенного потока трафика принастраиваемой продолжительности

временного интервала

Juniper Команда Сетевой Защиты даетрекомендации по соответствующимдействиям для каждого объекта атаки

Уникальные политики могут использоватьсяна разных VLAN

Несколько пассивных методов реагированиявключают в себя запись в журнал и

повторный старт ТСР

Пакеты маркируются согласно стандартуDiffServ

Поддерживаются различные методы ответа, включая сброс пакета, сброс соединения,

закрытие сессии клиента, сессии сервера иликлиента/сервера


IP действие

Рекомендуемые Действия

Правила на базе VLAN

Пассивные МетодыРеагирования

QoS / DiffServ Маркировка

Активные МетодыРеагирования




LAG/RTG





Сервера


WAN доступ



1

1


2



3

5

DMZ


4

2



5

3

LAG/R

TG

IP WAN

LAG/R

TG

DMZ

4

7


6

LAG/R

TG





7


6



SIEM/NBAD


ЗащитаИнформацииИ управлениеСобытиями

Введение в Juniper SIEM/NBAD РешениеSTRM – “Менеджер Выявления Угроз Безопасности”

STRM Основные прикладные функции

Управление Логами Обеспечивает сбор на долгосрочной

основе, архивацию, поиск и отчетностьзаписей журнала событий, информациипотоков и данных приложений

Безопасность Информации иУправление Событиями (SIEM) Централизация мониторинга

гетерогенных событий, корреляция иуправление

Определение Аномалий СетевогоПоведения (NBAD) Обнаружение аномалий в сетевой

активности с использованием данных осетевых потоках и приложениях

Интеграция Непрерывности Сети & Данных по Безопасности

АнализПоведения на

Сети

Управлениезаписямижурналов

STRM


Непревзойденные Данные & Управление Логами

Сетевые События Коммутаторы & маршрутизаторы, включая потоки данных

Записи Журнала Безопасности Межсетевые Экраны, IDS, IPS, VPNы, Сканеры Уязвимостей, Антивирусные

Шлюзы, Персональные Антивирусы, & UTM устройства

Записи Журнала Операционных Систем/Узлов Microsoft, Unix и Linux

Приложения БД, почтаl & web

Пользователь и активы Аутентификационные Данные

Поддержка ведущих производителей: Сетевое взаимодействие: Juniper,Cisco, Extreme, Nokia, F5, 3Com, TopLayer и

другие Безопасность: Juniper, Bluecoat, Checkpoint, Fortinet, ISS, McAfee,Snort, SonicWall,

Sourcefire, Secure Computing, Symantec, и другие Сетевые потоки данных: NetFlow, JFlow, Packeteer FDR, & SFlow Операционные Системы: Microsoft, AIX, HP-UX, Linux (RedHat, SuSe), SunOS, и

другие Приложения: Oracle, MS SQL, MS IIS, MS AD, MS Exchange, и другие

Доступные утилиты безопасности: Maxmine (обеспечивает географию) Shadownet Botnet

Настройка логов через модуль поддержки устройства - Device Support Module (DSM) Адаптивный Экспортер Записей - Adaptive Logging Exporter (ALE)

Интеграция частных приложений и функциональных систем

ШаблоныСоответств

ия

ТочныйПоиск

СистемаОтчетности


Управление НарушениямиИнтеллектуальный рабочий процесс для Операторов

Кто Атакует ?

Что подвергаетсяАтаке ?

Какой будетурон ?

Где мне искать ?


Отчетность

220+ Идеальных шаблонов Отчетности

Полностью настраиваемый механизм отчетности: создание, брендирование и планировщик доставкиотчетов

Специальные пакеты отчетности длярегуляционных требований PCI, SOX, FISMA, GLBA, и HIPAA

Отчеты на базе контролирующих структур: NIST, ISO и CoBIT

Новые отчеты для SSL, IC и UTM:• Неудачные попытки Аутентификациипользователя• Контроль превышений времени Доступак Ресурсам• Успешное неуспешное проверкапользователя на соответствие политикам• Наиболее пользуемые Ресурсы повремени и пользователю• Рейтинг Заблокированных источников, сайтов


STRM Портфель

STRM500

STRM2500

250EPS 500EPS 1000EPS 5000EPS 10000 + EPS

Мал

оеПредп

риятие

Мал

ое-

Средн

ееПредп

риятие

Крупны

епр

едпр

иятия

&Опера

торы

Свя

зи

STRM 500 QFC

(50 MB – 200MB QFlow collection)

STRM 500 QFC

STRM 5000 STRM 2500

FP

STRM 5000 STRM 2500

EP

STRM 500 QFC

STRM5000

25K – 50K flows15K flows2500EPS

200K – 400K flows

STRM 500 QFC

STRM5000

STRM 2500 EP/FP Combo

Distributed

100K – 200K flows


Продукты STRM

700/710 Вт/модуль AC/DC700/710 Вт/модуль AC/DC

AC/DC горячей замены

Опция одновременного использования AC/DC

Макс. 100к

До 2500

8 Гб / 6х250 Гб RAID 5

Средний

STRM 2500STRM 500 STRM 5000

Рыночный Сегмент Малый Крупный

Память / Хранение 8 Гб / 2х500 Гб RAID 1 8 Гб / 6х500 Гб RAID 10

Событий в секунду До 500 До 10 000

Потоков в минуту Макс. 15к Макс. 400к

Питание

400/710 Вт/модуль AC/DC


STRM 2008.3 Поддерживаемая Функциональность

EP/FP ComboDistributed

Support

STRM 500

STRM 2500

STRM 5000

Log Management

Only

Flow Processor

Event Processor

QFlowCollector



Унифицированный контроль доступа


• Централизованныйсервер политик

• Аутентификацияпользователей• Оценка конфигурацииустройств• Определение роли• Принятие решения одоступе• Распределение политикпо устройствамбезопасности

• Связь с пользователемво время сессии

• Производительнаяплатформа

• Аутентификация• Различные запросы

Layer 2 (802.1X) иLayer 3 (EAPoHTTP, Web login)

• MS-Active Directory, LDAP, token, RADIUS, PKI, локальная БД

• EAP и RADIUSоснованы натехнологииSteel-Belted Radius®

• Проверка соответствия• Проверка наличияобновлений• ПО безопасности

• Антивирус• Firewall• Spyware • Antimalware

• Windows Service Packs

• Системные значения• Процессы• Файловаясистема• Записи реестра• MAC адрес

• Layer 2 (802.1X)• Контролируемыйдоступ к сети• Отдельное решениедля каждогоподключения• Контроль награнице сети• Беспроводные итрадиционныеподключения• Поддержка многихпроизводителей

• Различные типыустройств

• Любой Juniper firewall/VPN, IDP

• Любое 802.1X совместимоеустройство

• Точки доступа• Коммутаторы, включая Juniper EX-series• Другие 802.1X устройства

• Layer 3 – 7• Любой Juniper FW/VPN, IDP

• Защищенностьвнутри сети

• Includes SSG and ISG with IDP (ScreenOS 5.4 or later)

• Производительностьот 75Mbps до 30Gbps

Juniper Unified Access Control Компоненты

Infranet Controller• 3 способа связи сконтроллером

• UAC Agent

• Режим без агента

• Odyssey® Access Client Enterprise Edition (EE)

Клиентское ПО Enforcement Points


UAC Агент для Apple Mac OS и Macintosh Платформ

UAC Агент для Apple® Macintosh® ОС UAC Агент для Mac OS® поддерживает:

Apple Mac OS версия 10.4 (Tiger) и 10.5 (Leopard) Macintosh Intel i386 и PowerPC платформы Apple Safari®

Проводная/Беспроводная аутентификация на уровне 2, на уровне 3 –аутентификация и функциональность проверка узла (Host Checker)

IC Серия

IDP Серия SRX Серия

SSG Серия ISG Серия

JUNIPER FIREWALLS

EX Series

802.1X Коммутатор/Точка Доступа

DATA CENTER

Данные

Финансы


UAC Агент дляApple Mac OС

Mac

Mac



LAG/RTG





Сервера


WAN доступ



1

1


2



3

5

DMZ


4

2



5

3

LAG/R

TG

IP WAN

LAG/R

TG

DMZ

4

7


6

LAG/R

TG





7


6


ЦЕНТР ОБРАБОТКИ ДАННЫВВЕДЕНИЕ


ЦОД – общие положения

Основополагающими документы TIA-942, EN 50173-5, ISO/IEC 24764. (www.tiaonline.org)

ЦОД означает специально спроектированное помещение, оснащенное сложной инженерно-технической инфраструктурой, созданной для обеспечения надежной бесперебойной работыаппаратно-программных средств. В соответствии свышеуказанными источниками обязательными элементами этойинфраструктуры являются: герметичные помещения система бесперебойного питания; система прецизионного кондиционирования, призванная обеспечитьнеобходимые параметры окружающей среды (температура и влажность) длясерверного оборудования;

автоматическая система газового пожаротушения; система контроля доступа; система видеонаблюдения; фальшполы; система диспетчеризации; каналы сети передачи данных для связи с внешним миром


4 уровня инфраструктуры ЦОД согласно ANSI/TIA-942-2005

1970 г.

99,749

22

488

0.45

Нет

1

Помещение

Tier 2

1995 г.1985 г.1965 г.Типовой проект впервыереализован

0,41,628,8Общая длительностьотказов за год, ч

99,99599,98299,671Доступность ЦОД, %

Параметр / Класс ЦОД Tier 1 Tier 3 Tier 4

Тип Здания Помещение Выделенное Выделенное

Количество энерговводов 1 Один активный, второй резервный

Два активных отразных подстанций

Бесперебойноекондиционирование Нет Возможно Есть

Высота фальшпола вметрах 0.3 0.75 – 0.9 0.75 – 0.9

Нормативная нагрузка нафальшпол кг/м2 415 732 1000+


Российская специфика

Проблемы наличие свободных электрических мощностей, выделяемых для помещенияЦОД только за согласование и получения бумажного варианта документа ТУ на

присоединение к энергосети может составить свыше 180 млн. рублей! Емкость Соответствие стандартам

Потребности клиентов SLA Business continuity services

Тенденции рынка дата-центров в ближайшие 3–5 лет* повышение качества сервисов (особенно в ЦОДах категорий 3 и 4) повышенное энергопотребление и реализация принципа выбора операторасвязи (carrier neutral)

На западе – Green DC Затраты на электроэнергию по некоторым данным к 2010 году будут составлять до

70% операционных расходов

*Согласно выводам исследовательской компании Tier 1 Research


Основные услуги на рынке ЦОД Colocation

провайдер размещает оборудование клиента в своем дата-центре и подключает егок сети передачи данных или каналам связи с высокой пропускной способностью

Экономия на организацию собственной серверной комнаты и канала связи отпровайдера до клиента (последней мили).

WWW сервера, шлюзы IP-телефонии. Коммерческие ЦОД также включают пользование инженерной инфраструктурой, охраной простейшие операции по обслуживанию оборудования (перезагрузить, вставить

диск и т. п.)

Другие сопутствующие услуги, например, резервное копирование данных, защита информации, обычно оказываются провайдером за отдельную плату.

Несколько возможных вариантов услуги Colocation Предоставление в аренду телекоммуникационную стойку или серверный шкаф Предоставление в аренду отдельных юнитов в стандартной 19” стойке или

серверном шкафу Предоставление в аренду стойкоместа для размещения своих собственных

серверных шкафов с оборудованием.

С юридической точки зрения, услуга размещения оборудования как таковая не являетсялицензируемой


Услуги хостинга (dedicated, shared)

Коммерческие дата-центры имеют возможность предоставлятьтакие хостинговые услуги как Выделенный сервер Виртуальный выделенный сервер (VPS) Виртуальный хостинг

Дополнительные услуги KVM over IP консольный доступ Firewall Организация удаленного резервного копирования и храненияданных для информационных систем клиентов с гарантиейпоследующего восстановления по запросу.


Категории Провайдеров

Провайдеров услуг ЦОД можно разделить на две основныекатегории: владельцы ЦОД которые инвестировали денежные средства в проектыстроительства дата-центров и, после ввода ЦОД в эксплуатацию, обеспечивают его полноценное обслуживание со всемивытекающими отсюда издержками

компании-оптовые арендаторы площадей ЦОД которые скупают площади зачастую еще на стадии строительстваЦОД за относительно невысокую цену, а затем перепродают этууслугу значительно дороже в розницу, часто в комплексе сосложными ИТ-решениями и продуктами собственной разработкиили дистрибуции

«Операторонезависимый» ЦОД проводит гибкую политику в части присутствияоператоров связи на своей площадке и тем самым имеет существенное конкурентное

преимущество перед операторскими ЦОДами.


Конкурентные преимущества ЦОД

Альтернативные высокоскоростные каналы связи создаютдополнительную привлекательность ЦОДу.

Наличие резервного офиса для организации услуги Business Continuity

Интерес вызывает наличие в ЦОД оборудования для резервногокопирования информации, лучше, если такое решение имееттерриториально распределенную структуру.

Возможность установки нестандартного клиентского оборудованиясуществует далеко не в каждом дата-центре

Предоставление полного комплекса услуг по обслуживанию ИТ-инфрастуктуры заказчика, аутсорсинг

Наличие международного партнерства


ЦЕНТР ОБРАБОТКИ ДАННЫХАРХИТЕКТУРА


Архитектура ЦОДОбзор надежности

LAG/RTG

Trunk/LAG

…Стек Коммутаторов Терабитные Коммутаторы

Стековые маршрутизирующиеEthernet Коммутаторы



ОсновныеУслуги


ЗащищеннаяМультимедиа

зона

WAN доступ


WAN доступ• Высокая доступность• NSR,ISSU,GRES• OSPF/RIP/ BGP• MPLS/VPLS• QoS / Policing / Shaping• VLAN Трансляция• Accounting SCU/DCU

1

1

Уровень Распределения

• 1GbE / 10GbE Uplinks• LAG/RTG• VRF Lite• Уровень 2 / Уровень 3

22


• IPS• Firewall / NAT• SIEM/NBAD• SSL Offload• UTM• IPsec/SSL VPN

3

3

Доступ Серверов• Стоечный коммутатор• Виртуальное шасси• 1GbE / 10GbE Uplinks• NIC Team/802.3ad

4

4


• Защищенная зонамультимедиа• Прил. / БД / Web Услуги• Основные услуги

• DNS / DHCP / LDAP

5

5

LAG/R

TG

LAG/RTG

IP WAN


Архитектура ЦОДОбзор безопасности

LAG/RTG

Trunk/LAG

…Стек Коммутаторов Терабитные Коммутаторы

Стековые маршрутизирующиеEthernet Коммутаторы



ОсновныеУслуги


ЗащищеннаяМультимедиа

зона

WAN доступ


WAN доступ• Политики Маршрутизации• FW фильтры• Traffic sampling, Forwarding иActive Flow Мониторинг• Дополнительно:• Детектирование Атак• IPS/P2P контроль• Услуги туннелирования

1

1

Уровень Распределения

• Firewall фильтры• Policers• Storm Control• Безопасность на порту

22


• IPS/SSL Inspection• Firewall / NAT• SIEM/NBAD• SSL Offload• UTM• IPsec/SSL VPN

3

3

Доступ Серверов• VLAN изоляция• DAI/MAC limiting/move• IP source guard/Option 82• Unrestricted Proxy ARP• Распределенные IPS сервера

4

4



5

5

LAG/R

TG

LAG/RTG

IP WAN


Модернизация ПО в процессеэксплуатации ISSU

Простота миграции с одной версии JUNOS на другую Минимизация времени при модернизации

Минимизация рисков

Использует non-stop active routing длямодернизации подсистемы управления Сохранение L3 соседств и маршрутизации

Сохранение L2 keep-alives

Сохранение управления над каналами

Незначительные влияния на обработкупакетов

9.x 9.yНет сбоев у

пользователей

Непрерывная система


PrimaryRouting Engine

Non-Stop Active Routing

Автономное решение Не требуется поддержка другими узлами

Нет прерываний протокольных соседств Переключение прозрачно для соседей

Контроль репликации информации соседств нарезервный RE Обновления маршрутизации, хелло сообщений,

статуса соседств, и.т.п.

Двойная активная протокольная сессия Резервный RE полностью активен и способен

незамедлительно принять на себя сессии

Переключение не зависит от стабильноститопологии Изменения топологии может происходить во

время переключения

Active StandbyRouting Engine

Непрерывная система


LAG/RTG

Увеличение полосы пропускания

Отказоустойчивые каналы

Лучшее использование каналов Хэш на L2/L3/L4

Увеличение полосы пропускания

Отказоустойчивые каналы Логически один коммутатор, но физически

подключается к разным

Лучшее использование каналов Хэш на L2/L3/L4

RTG и STP взаимно исключают друг друга наданном порту

Уровень агрегации (Коммутаторы A и B) RTG не настроен, можно использовать STP без ограничений

Уровень Доступа (Коммутатор C) Нет STP на каналах использующих RTG

STP BPDUs полученные от соседа будут сброшены на RTG каналах

= Link Aggregation

Link Aggregation Group (LAG)

Коммутатор А Коммутатор Б

LAG & Virtual Chassis

Коммутатор А

Коммутатор C

Коммутатор Б

Virtual Chassis

Redundant Trunk Group (RTG)

Коммутатор А

Коммутатор C

Коммутатор Б

Нет STP


Поддержка виртуализацииПодключение Vmware сервера к сети

Один или более EX коммутаторов может быть использована для тегированияразного трафика разных VLAN и произвести интеграцию VMware ESX в сеть ЦОД

Лучшие рекомендации по доступности (минимум 2 NICы): Объединения обоих NIC в группу Использование VLANов для разделения трафика как минимум на три сети (1 или

более для VMов, 1 для Консольной ОС, и 1 для VMotion)

Mgmt vlan

VMotionvlan

VM vlans


Варианты установки EX-4200 (1)Сверху стойки

К Магистрали (LAG 1) К Магистрали (LAG 1)К Магистрали (LAG 2) К Магистрали (LAG 2)

Стойка 1 Стойка 2 Стойка 3 Стойка 4 Стойка 5 Стойка 6 Стойка 7 Стойка 8 Стойка 9 Стойка 10

Ряд 1

RE0 RE1 LCLCLCLCLCLCLCLC

10GbE Магистральных подключений

10GbE Расширение Виртуального шасси

64GbE Выделенное Виртуальное Шасси

RE0RE1LC

Мастер Виртуального ШассиРезервный мастер Виртуального шассиЛинейные карты Виртуального шасси

Один ряд, реализации «top of rack» До 3 метра между стойками

Конфигурация типа цепочка с расширением длязавершения кольца

Единое логическое шасси сквозь ряд стоек До 480 GbE серверных портов и 16 10GbE

магистральных портов 2+8 Мастер резервирование

Мастер Приоритет 250 на RE0 и RE1 Мастер Приоритет 128 на линейных картах

Разнесение в пространстве Мастер и резервного RE Снижение в 10 раз присутствие Spanning-tree


Варианты установки EX-4200 (2)Сверху стойкиК магистрали (LAG 1) К магистрали (LAG 1)К магистрали (LAG 2) К магистрали (LAG 2)

Стойка 1 Стойка 2 Стойка 3 Стойка 4 Стойка 5 Стойка 6 Стойка 7 Стойка 8 Стойка 9 Стойка 10

Ряд 1

RE0 RE1 LCLCLCLC LCLCLCLC

Один ряд, реализации «top of rack» До 3 метра между стойками

Плетенная конфигурация Единое логическое шасси сквозь ряд До 480 GbE серверных портов и 20 10GbE

магистральных портов 2+8 Мастер резервирование

Master Priority of 250 on RE0 and RE1 Master priority of 128 on Line Cards

Разнесение в пространстве Мастер и резервного RE Снижение в 10 раз присутствие Spanning-tree

10GbE Магистральных подключений



RE0RE1LC



Варианты установки EX-4200 (3)Несколько рядов стоек

Один ряд, реализации «top of rack» До 3 метров между стойками

Плетеная конфигурация Расширение Виртуального шасси

сквозь ряд Single logical chassis across multiple rows До 480 GbE серверных портов и 16

10GbE магистральных портов 2+8 Мастер резервирование Разнесение в пространстве Мастер и

резервного RE

Ряд 1

К магистрали (LAG 1) К магистрали (LAG 2)

Стойка 1 Стойка 2 Стойка 3 Стойка 4 Стойка 5

RE0 LCLCLCLC

Ряд 2

К магистрали (LAG 1) К магистрали (LAG 2)

Стойка 1 Стойка 2 Стойка 3 Стойка 4 Стойка 5

LCLCLCLC RE110GbE Магистральных подключений



RE0RE1LC



Server Racks

Шкаф с коммутаторами

GbE от серверов

RE0

RE1

LC

LC

LC

LC

LC

LC

LC

LC

К магистрали (LAG 1)



К магистрали (LAG 2)10GbE каналы

64GbE Выделенные Virtual Chassis

RE0RE1LC

Virtual Chassis МастерVirtual Chassis Резервный МастерVirtual Chassis Линейная карта

Реализация в конце ряда Конфигурация типа кольцо Единое логическое шасси - 10 слото мест в стойке

До 480 GbE серверных портов и20 10GbE магистральныхканалов

2+8 резервирования Мастера

Лучшая практика ЦОД - End of Row


ЦЕНТР ОБРАБОТКИ ДАННЫХКОМПОНЕНТЫ


Решения Juniper Networks для построения сетевойинфраструктуры ЦОД

Единая подсистема управления сиспользованием Виртуального Шасси

ВиртуализацияБезопасности

10 GbE (в резерве)

1 GbE

10 GbE (Активный)

WAN Доступ

Уровень Ядра

УровеньДоступа

M СерияМХ Серия

EX8216SRX5800

EX4200

Высокая плотность, 10GbE на скоростисреды

Расширение Virtual Private LANs с MPLS

EX2500

IDP8200IDP8200IDP8200

NSM

STRM

SA кластер


EX2500

Может использоваться для Layer 2 10GbE подключений высокойплотности

Производительность 480 Gbps полный дуплекс Все порты неблокируемые Предсказуемая задержка для пакетов

любой длины ~700 наносекунд

Фиксированная конфигурация 1RU 24 10GbE (SFP+) портов Front-to-back & back-to-front вентиляция Резервированный блок питания исистема вентиляции

Малое энергопотребление (average 165W)

Доступно 2Q2009

Model # Ports Port Type

EX2500-24F-FB 24 24-port GbE/10GbE SFP+ Front-to-Back airflow

EX2500-24F-BF 24 24-port GbE/10GbE SFP+ Back-to-Front airflow

10GbE Layer 2 коммутатор с высокой плотностьюпортов (24 порта) для ЦОД (top-of-rack развертывание), Фиксированный 1RU форм факторВысокая Доступность

Поддержка Uplink Failure Detection (UFD) дляподдержки Network Adaptor Teaming длясерверовFailure Detection Pair12 статик транк групп (portchannels) и до 24 LACP транк групп до 12 портов в группе

ACL – L2/L4 (до 127 - L2 ACL, до 127 - L3 ACL)






1 GbE


WAN Доступ




EX8216SRX5800

EX4200



EX2500


NSM

STRM

SA кластер


EX Серия – масштабирование

Параметр EX2500 EX3200/ EX4200 EX8200

MAC таблица 16K 24K 160K

Таблицамаршрутизации

(IPv4)N/A 12K 400K

QoS очередейна порт 8 8 8

Firewall фильтров 128 7K 64K

Multicast групп 1K 2K 4K

LAG групп 12 32/64 255

Макс. LAGпропускнаяспособность

120Gbps 80Gbps 120Gbps






1 GbE


WAN Доступ




EX8216SRX5800

EX4200



EX2500


NSM

STRM

SA кластер


MX-Серия

ВысокопроизводительныеEthernet Маршрутизаторы С мощной

функциональностью покоммутации и безопасности

Расширенные функциимаршрутизации: MPLS сетевая виртуализация, Многоадресная передача сминимальной задержкой, QoS, IPv6

Масштабируемый, отказоустойчивый Полностью отказоустойчивый

дизайн Распределенная архитектура

обработки пакетов Полный набор маршрутизации

JUNOS Производительная JUNOS

IPv4/IPv6 маршрутизация Богатый набор MPLS L2 &

L3 VPN услуг

ДаДаДаОтказоустойчивость

48 / 48024 / 24012 / 12010 GigE/Gig E порты

720 Mpps360 Mpps180 MppsПроизводительность обработки пакетов

• 17.5 x 27.8 x 23.5 in

• 14 Slot / 16RU

• (3 на 7’ шкаф)

• 17.5 x 14 x 23.8 in

• 8 Слот / 8 RU

• 6 на 7’ шкаф

• 17.5 x 8.7 x 23.8

• 4 Слот / 5 RU

• 9 на 7’ шкаф

Размеры Шасси

480Gbps (полный дуплекс)240Gbps (полныйдуплекс)

120Gbps (полныйдуплекс)

Емкость

Боковое охлаждение

• Пассивная шина

• Резервные Routing Engines

• Резервные Switching Fabric (1+1)

• Резервное охлаждение & Питание

• 3 DPC слота (2 срезервными SCB)

• 40 Gbps на слот

MX240

Боковое охлаждение




• Резервное охлаждение& Питание

• 6 DPC слотов


MX480MX Серия MX960

DPC слоты ипроизводительностьполный дуплекс/ Слот

• 12 DPC слотов (11 срезервными SCB)


Надежноеаппаратноеобеспечение




• Резервное охлаждение & Питание

Охлаждение Фронтальное охлаждение


Интерфейсные картыMXFPC-2 MXFPC-3

PB-10C48-SON-B-SFP PC-10C192-SON-VSR

PB-40C3-10C12-SON2-SFP PC-10C192-SON-XFP

PB-40C3-40C12-SON-SFP PC-40C48-SON-SFP

PB-40CH012-STM4-IQE-SFP

PB-1CH0C48-STM16-IQE-SFPDPC-R DPC-X

MPLS- коммутация Да Да

IP- маршрутизация ДаС ограничениями –только трафикуправления

IP/VPN Да Только для трафикуправления (>8.5)

L2 circuit Да ДаVPLS Да ДаL2-коммутация, STP/RSTP и пр. Да Да

Управлениепосредством SRC-PE

Да Да

IP-multicast Да ДаuRPF Да НетSCU/DCU Да НетФильтры Большое число Ограниченное число

Enhanced Queuing (DPC-Q)Высоко производительная карта с поддержкойочередей на VLAN (до 64,000 очередей на

карту)


MX серия

VPLS поверх MPLS Архитектуры

VPLS Высокая Доступность

Трансляция VLAN

Статистика Учёт на физическому/логическому интерфейсу Счетчики в условиях фильтрации Source Class Usage (SCU) и Destination Class Usage (DCU) Flow статистика Счётчики по выходным очередям MPLS flow information


IP/MPLS L3 VPN

VPNСерверный VLAN

VLAN соответствуют virtual routing instances. VPN подключают routing instances через ЦОДы

Trunk

VLAN

Wan Доступ

Ядро

Доступ

Конвергентная высоко эффективная сеть

Защищеннаяизоляция бизнеса иприложений Качествообслуживания отсервера до серверачерез ЦОДы


Коммутация через ЦОДы с использованием VPLS

ЦОД 1

ЦОД 2

ЗеркалированиеVLAN 1 ЗеркалированиеVLAN 2 ЗеркалированиеVLAN 1ЗеркалированиеVLAN 2

Ядро Зеркалирование ирезервные узлынаходятся в единомVLAN разнесенным поЦОДам

Требуется узел споддержкой VPLS науровне агрегации / ядра

Требуется жесткоевыделение полосыпропускания


ЦОД 2

ЦОД 1

Ядро

Server Live Migration across Data Centers

VM 1

VM 2

VM 2

VM 1

Vmotion поверхVirtual Chassis

Виртуальны машиныиспользуют путьсозданныйL2VPN/VPLS

Подсети едины вЦОДах

Гарантированнаяполоса пропускания изадержки поверх WAN


Позиционирование модульных платформ

L2 QoS, L3 QoSHQoS, L2 QoS, L3 QoSQoS

MPLS L3 VPN, MPLS L2 VPN, IPSec VPNVPN

Graceful RE SwitchoverISSU, NSR, MPLS FRR, VPLS Multi-homingВысокая доступность

128k MAC addr, 4k VLANs1M MAC addr, 8k-16k VLANs, 64k Circuit IDsL2 Масштабируемость

512k IPv4 routes, 128 BGP peers16M/1M IPv4 маршрутов (RIB/FIB), 2k BGP peersL3 Масштабируемость

MX 240/480/960 EX 8208/8216

Позиционированиепродуктов

Маршрутизатор Ethernet Услуг, с функциямкоммутации и безопасности Ethernet Коммутатор

Целевое использование WAN Gateway, Campus, LAN Aggregation & Core, Data Center Aggregation & Core Ethernet Коммутатор

MPLS, VPLS Контент LAN Агрегация & Ядро, Агрегация & ЯдроЦОД

Multicast 256k multicast groups 4k multicast groups

IP Версия IPv6, IPv4 Контент IPv4

Расширенные услуги Stateful Firewall & IPSec MAC limiting, Allowed MAC addresses






1 GbE


WAN Доступ




EX8216SRX5800

EX4200



EX2500


NSM

STRM

SA кластер




Опционально BypassВстроенный BypassОтказоустойчивый режим

Любая комбинация из 4-хмодулей интерфейсов

ввода/вывода : • 4-портовый GE Copper

with bypass • 4-портовый GE fiber SFP

• 4-портовый GE SX-bypass • 2-портовый 10 GE SR-

bypass

Десять RJ-45 Ethernet

10/100/1000 сbypass

Восемь RJ-45 Ethernet 10/100/1000 с bypass

Два RJ-45 Ethernet

10/100/1000 сbypass

Набор интерфейсов

Ежедневно и критическиеОбновление Сигнатур8 включая сигнатуры с контролем состояния сессий и обнаружение задних дверейМеханизмы Детектирования

Пассивный сниффер, встроенный мост, встроенный Proxy-ARP, и встроенныймаршрутизаторОперационные режимы

5 Million500,00070,00010,000Макс. Количество сессий10 Gb1Gb300 Mb150 MbМакс. Производительность

IDP 8200IDP 800IDP 250IDP 75


База правил правоприменительных политик дляПриложений (АРЕ)

Простота правоприменительных политик на базе приложений Настройка специальных политик приложений для:

Запретить службы мгновенных сообщений Ограничение полосы пропускания для P2P трафика Разрешить HTTP и FTP Приоритизация голосового трафика методом маркировки diffserv


Профилировщик приложений для мониторингаиспользования приложений

NSM поддерживает Application Volume Tracking (AVT) использование приложений на пользователя Производительность в байтах и пакетах Оба направления Клиент-Сервер и Сервер-Клиент


Использование в ассиметричных схемах в режиме «разрыв»

IDP8200 IDP устройство «встроенный режим»Встроенный режим bypass ! Не требуется внешнихустройств даже для 10GE каналов

G


SRX Шлюзы динамического предоставления услуг

Динамическое Предоставление Услуг

Единое Управление

Передача УровняПриложений

ПредотвращениеУгроз Контроль Доступа

SRX Шлюзы динамического предоставления услуг

Routing Firewall IPS IPSecVPN NAT


Функциональность шлюзов SRXПервые в семействе шлюзов динамического предоставления услугна базе JUNOS

Интегрированная Функциональность Безопасность: FW, IDP, DoS Сетевая функциональность: HA, NAT, QoS, Маршрутизация, ВиртуальныеМаршрутизаторы

Масштабируемость Линейная масштабируемость спостепенным увеличением карт

Лучшие показатели по ОперационнымРасходам (OPEX)

Базируется на JUNOS Конвергентная ОС для Juniper

• FW 60 Гбит/с• IDP 15 Гбит/с• $65K Шасси• Maкс. SPC - 5• Maкс. IOC - 5

• FW 120 Гбит/с• IDP 30 Гбит/с• $68K Шасси• Maкс. SPC - 11• Maкс. IOC - 11

ЛидерЛидер вово всехвсехкатегорияхкатегориях


Карты SRX 5x00

Две карты ввода/вывода (IOC) на скорости среды 4-портовый 10GE-XFP 40-портовый GE-SFP Производительностью 40Гб полный дуплекс каждая ~25-30 сетевых атак блокируются NP

Две карты ввода/вывода (IOC) с переподпиской 16x1 (SFP, RJ45), 4x10 (XFP) 20Гбит/с макс. производительность ~25-30 сетевых атак блокируются NP

Сервисный Модуль (Service Processing Card - SPC) Множественные HD-CPU подсистемы 20Гб производительность/1M Сессий/2.2Mpps 100K новых сессий / секунду Расширенная Маршрутизация Межсетевой Экран с контролем состояния сессий IDP/NAT/DoS/DDoS

Управляющий модуль коммутации (Switch Control Board - SCB) Высоко производительная матрица коммутации Контроль взаимодействия

Route Engine (RE) 1.3 ГГц процессор /c 2Гб памяти Полное разделение модуля управления и коммутации


SRX3000

Модульное шасси 12 слотов (6 спереди, 6 сзади) Модуль управления Высота шасси 5U

Встроенные интерфейсы 12 портов (8-10/100/1000 + 4-SFP) 2 порта управления

Производительность и емкость FW – 10 - 30 Gbps VPN – 10 Gbps IDP – 10 Gbps Одновременных сессий – 2M Кол-во новых подключений в сек. – 175k Одновременных IPSec VPN туннелей – 20k

Минимальная конфигурация ($60k) SRX 3600 Шасси 1 SPC 1 NPC

SRX 3600SRX 3400

Модульное шасси 7 слотов (4 спереди, 3 сзади) Модуль управления Высота шасси 3U

Встроенные интерфейсы 12 портов (8-10/100/1000 + 4-SFP) 2 порта управления

Производительность и емкость FW – 10 - 20 Gbps VPN – 6 Gbps IDP – 6 Gbps Одновременных сессий – 1M Кол-во новых подключений в сек. – 175k Одновременных IPSec VPN туннелей – 10k

Минимальная конфигурация ($50k) SRX 3600 Шасси 1 SPC 1 NPC


SRX 3x00 Карты

Switch Fabric Board (SFB) Фабрика коммутации (320Gbps) Включена виртуальная IOC (8x10/100/1000 + 4xSFP), HA-control (2xSFP) и

системный интерфейс (CRAFT)

Карты сетевой обработки (NPC) Один сетевой процессор (NP) – 10 Гбит/с

Карты обработки сервисов (SPC) Одна HD-CPU подсистема – 10 Гбит/с

Routing Engine (RE) 1.2 ГГц процессор с 1ГБ памяти Разделение подсистем коммутации и управления Включает CPP (central PFE controller) и CB (control board)

Карты ввода/вывода (IOC) 3 версии:

2х-портовая 10GE-XFP (SR, LR, ER) 16-портовая GE-SFP (SX, LX, LH, T) 16-портовая 10/100/1000 Copper

10 Гбит/с полнодуплексной пропускной способности (переподписка)






1 GbE


WAN Доступ




EX8216SRX5800

EX4200



EX2500


NSM

STRM

SA кластер


Функцио

наль

ность

Семейство Juniper SSL VPNФункциональность и масштабируемость согласно требованиям

Масштабируемость

Secure Access 700

Secure Access 2500Secure Access 4500

Secure Access 6500

Предназначен для:SME Защищенный удаленный доступ

Включено:Network Connect

Доп/модернизация:• 10-25 однов. пользователей

• Core Clientless Access• Network & Security

Manager (NSM)

Предназначен для:Среднее предприятиеSecure remote, интранет и экстранетдоступВключено:Core Clientless Access SAMNC

Предназначен для:Среднее большоепредприятиеSecure remote, интранет и экстранетдоступВключено:Core Clientless Access SAMNC


• Secure Meeting• Кластерные пары• EES• NSM


• Secure Meeting• Instant Virtual System• SSL Acceleration• Кластерные пары• EES• NSM

Предназначен для:Большое предприятие& Операторы услугSecure remote, интранет и экстранетдоступВключено:Core Clientless AccessSAMNCSSL акселерацияДиски, охлаждение горячейзамены

Доп/модернизация:• До 30K однов. пользователей

• Secure Meeting• Instant Virtual System• 4-порт SFP карта• 2nd AC или DC ИП• Мульти юнитКластеры

• EES, NSM


Предоставление услуг SSL VPN на базе сети Оператора

Клиент C

Клиент A

Клиент B

МаршрутизаторыДоступа

Оператора CPE Routers

POP SP Access Platform

Клиент A.SP.com

Клиент B.SP.com

Клиент C.SP.com

Виртуальная Система

AВиртуальная Система B

Виртуальная Система C

VLAN A

VLAN B

VLAN C


webmail.companyA.comfilesrv.companyA.comAuthsrv.companyA.com

Syslog.sp.comAuthsrv.sp.comГлобальный сервераутентификации дляКлиентов

webmail.companyC.comfilesrv.companyC.comAuthsrv.companyC.com

Перекрывающиеся IP адреса во внутреннейсети Клиента

webmail.companyB.comfilesrv.companyB.com


Функциональность решения на базе Secure Access 6500Управляемые сервисы с использованием функции Instant Virtual System (IVS)

Оператор может предложить: Управляемые SSL VPNуслуги на базе сетииспользуя одно устройствоили кластер

Каждая Виртуальная Системаобрабатывает одногоклиента, и может иметьуникальные атрибуты

Обслуживание множестваклиентов в не зависимости отперекрывающихсявнутренних IP адресовклиентов

Многомерная Виртуализация: Уровень Приложений, Сетевой Уровень, и Доступ

До 240 Клиентских виртуальных систем Уникальные Критерии Виртуализации :

VLANы DNS/WINS Доступ – AAA

–Области, Роли и Ресурсные Политики Название Узлов / URLы доступа, Полностьюнастраиваемый Пользовательский Интерфейс

Перекрещивающиеся IP адреса Клиентские интранеты NC сессии пользователей от нескольких клиентов

ПреимуществаФункциональность


Легкий и защищенный доступ к любым Citrix или Windows Терминальным Службам Промежуточный трафик через родную поддержку TS, WSAM, JSAM, Network

Connect, Hosted Java Applet

Родная поддержка TS Выборочный контроль использования Защищенная доставка клиента Встроенный единый доступ Java RDP/JICA Fallback WTS: Session Directory Citrix: Автоматическое переподключение клиента/надежностьсессий Много дополнительных опций понадежности, использованию, контролю доступа

Методы Доступа (Приложения & Ресурсы) - Терминальные Услуги -


ЦЕНТР ОБРАБОТКИ ДАННЫХУслуга Business Continuity


Большой выбор Фиксированный, полу модулярный, и

модульный форм фактор

WAN, беспроводные, и LAN интерфейсы

Голосовой шлюз

Расширенная интеграция Полный Набор JUNOS маршрутизирующих и

коммутируемых возможностей

Беспрецедентная безопасность, включаяFW, VPN, UTM, UAC, и полный IPS

Исключительная производительность идоступность

Аппаратно реализованнаяакселерация обеспечениябезопасности контента для экспрессAV и IPS

Разделение подсистем управления иобработки данных, резервированиеобработки и питания

Цены $699, $1099, $2999, и $16000 (Рек.)

Новые SRX Шлюзы Предоставления УслугНа базе Juniper Архитектуры Динамического Предоставления услуг

750/80 MbpsОпциональноОпционально

1 mini PIM слотSRX210

1500/250 MbpsОпциональноОпционально

4 mini PIM слотаSRX240

Опционально

Нет

SIPШлюз

Стандарт

Нет

Акселерацияконтентнойбезопасности

Модель Конфигурация FW/IPSПроизводи-тельность

SRX100 Фиксированная 600/50 Mbps

SRX650 8 GPIM слота 7000/900 Mbps

РасширенныйFW / VPN /ROUTING

в базе

16 X Gigabit Ethernet

Полный UTM

20X IPS производительность

До 80% ниже цена

В Планах


ЦЕНТР ОБРАБОТКИ ДАННЫХКАМПУСЭлементы АрхитектурыУправление


Настройка

Политики

Настройкиустройств

Шаблоны

VPN Менеджер

UTM

Импорт Моделирование ДобавлениеГрупп БыстроеРазвертывание

Развертывание

Управляя Жизненным Циклом

Мониторинг Обслуживание

Сбор записейжурнала Отчетность СтатусКонфигурации

Записи аудита

Profiler записижурнала VPN Мониторинг

СтатистикаУстройств

RMA

Встроенное ПО

БД Атак

Поиск иустранениенеисправностей


Шифрование от и до, аутентификация ТСРсоединения

Гибкая, Масштабируемая Архитектура

Распределенныйрежим Опция ВысокойДоступности

GUI Клиент• Поддержка Windows и Red Hat Linux• До 25 одновременных пользователей

Клиент A Клиент B

Админ Домена

Клиент C Клиент D


Клиент E


NSM Региональный Сервер

NSMXpress NSMXpress

NSMCM

6000 устройств 500 устройств 500 устройств

Админ ДоменаАдмин Домена


Программно Аппаратные комплексы NSM

Тип устройства NSMXpress NSM3000Firewall/VPN (SSG5, SSG20, SRX100, SRX210, SRX240, SRX650) 300 1500

IDP серия 25 50

Высоко производительные Firewall/VPN (SRX3400, SRX3600, SRX5600, SRX5800) 25 100

M Серия / МХ Серия 25 100

SA серия 30 50

IC серия 30 50

ЕХ серия 300 1500

Северный интерфейс (NBI) клиенты 5 5

NSM GUI клиенты 10 10


Juniper Network & Security Management (NSM)Единая система для управления и подготовки к работе устройств juniper

Основные ФункцииElement ManagementИнвентаризация, ПО, Конфигурация, Статус & управления загрузкой устройства

Настройка ПолитикЕдиный Интерфейс для доступа, защита и настройка политиккоммутатора

Простота РазвертыванияПрограммно – аппаратныйкомплекс

Единая EMS & Подготовка к работеМаршрутизация, Коммутация иБезопасность

Dual core Pentium D 2.8 GHZ CPU

4GB RAM

2x 250 GB SATA HDD

2x 300 Вт ИП (2ой Опционально)

Serial connector (DB9 DTE Male)

2x Ethernet 1000BASE-T (10/100/1000 комбо)


Линейка поддерживаемых устройств

Firewall / IPSec VPNSRX-210, SRX-3400, SRX-3600, SRX-5600, SRX-5800 ISG-1000, ISG-2000, NetScreen-Серия

Intrusion Prevention SystemsIDP 10, IDP 50, IDP 75, IDP 100, IDP 200, IDP 250, IDP 500, IDP 600, IDP 800, IDP 1000, IDP 1100, IDP 8200

Secure RoutersJ2320, J2350, J4350, J6350, SSG 5, SSG 20, SSG 140, SSG 320M, SSG 350M, SSG 520 and 520M, SSG 550 и 550M

SSL VPNSA 2000, SA 2500, SA 4000, SA 4000 FIPS, SA 4500, SA 4500 FIPS, SA 6000, SA 6000 FIPS, SA 6500, SA 6500 FIPS

Network Access ControlIC 4000, IC 4500, IC 6000, IC 6500

SwitchEX-3200, EX-4200, EX-8208

RoutersMX240, MX480, MX960, M7i, M10i, M40e, M120 и M320


Основной Резервный

Высокая Доступность NSMXpress & NSMCM

Синхронизация транзакций в реальном времени

Резервное копирование запрограммировано вкачестве задачи и блокирует БД отредактирования в момент резервного копирования

Переключение сервера – автоматически Механизм проверки доступности –

настраиваем

Опция с использованием совместного диска, чтопозволяет сделать доступным записи журналаустройства для другого сервера Среда Кампус/LAN Использование SAN/NAS или локально

подключенного хранилища

Монитор статуса сервера в пользовательскоминтерфейсе включает статус синхронизацииотказоустойчивой пары

При раздельном использовании сервера(Графический интерфейс пользователя и серверустройств находятся на различных машинах), только поврежденный компонент будетпереключен

По часоваясинхронизация БДконфигурации через

sync/ssh

Постояннаяпроверка

доступности дляавто

переключения

устройствоавтоматически

делает попытки поподключению квторому серверу

устройств, в случаепотери соединения

с основным

Клиент C Клиент D


NSMXpress

NSMCM


NSMCM автоматически

делает попытки поподключению к

второмурегиональному

серверу, в случаепотери соединения с

основным


Быстрое построение сетевой топологии

Построениесуществующей сетевойтопологии• Обнаружение Juniper и не-

Juniper устройств на базестандартов.

• Логическое отображениесетевой карты сопциональной панорамойи детализацией

• Опционально дляпростоты поиска - вид

• Сетевых устройств• Каналов• Свободных портов• Оконечныеустройства: ip-телефоны, принтеры, ПК, и.т.п.


RMA и Активация

ПодготовкаУстройства

11

22

33

4455

6677

Процедура RMA устройства обеспечиваетпростой метод замены вышедшего из строяустройства без потери настройки

Настройка устройства сохраняется в БД NSM

Замененному устройству требуется только IP адрес и подключение к сети для соединения сNSM сервером

NSM обновляет предыдущую сохраненнуюконфигурацию на устройстве и устройствовводится в эксплуатацию


Администрирование

Домены для распределенного предприятия или инфраструктуры СервисПровайдера

Гранулированное назначение административной активности на базе ролей Блокировка Объектов для безопасного одновременного администрированиямножественных объектов

Планировщик задач Аудит Логов Администрирование на базе ролей с более чем 100 выборочной активностью Домены и Под Домены Блокировка Объектов Заказные обзоры логов согласно потребностям пользователей и отчеты Поля для комментирования (устройство, политики, логи) и установленныепользователем флаги (логи)

Расширение безопасности за счет гарантирования пользовательского доступатолько к требуемой информации

Роли могут быть назначены пользователям, находящимся за пределами командыадминистраторов, например, может быть создана роль для высшего руководствадля просмотра отчетности


Аудит действий пользователя

Отслеживание действий пользователя через NSM

Информация о том кто и что делал и когда

Изменениеполитик

Изменениепараметров DNS

Административная информация


Процедура отладки политики

Проверка отчета на предметненормального поведенияПроверка отчета на предметненормального поведения

ДетализацияДетализация

Корректирование политики, которая генерирует событиеКорректирование политики, которая генерирует событие


Управление изменениями в конфигурациях

Регулярная синхронизацияи резервное копированиефайла конфигурацииустройства в БД NSM Архивирование версии

Может сравнивать дверазных конфигурации Из внутри NSM БД или Между NSM версиями итекущимиконфигурациями наустройстве


Управления ПО

Централизация версий ПО Также хранит обновления ПОи других имидж файлов

Централизация обновленияПО или Включая JUNOS измененияадминистративного контролядля имиджей


Прозрачность управления событиями

Централизованное управлениясобытиями Детализированный просмотрсобытия в реальном времени иисторические записи

Фильтры событий для концентрациина определенном типе событий Предустановленных & конфигурируемых пользователемфильтры доступны для всех типовустройств

Могут быть установлены тригерыдействия

Отчеты по событиям для анализатрендов & поиск в архиве Предустановленные & конфигурируемые пользователемотчеты доступны

Отчеты могут быть сохранены / напечатаны


Поддержка нулевого дня для новых версий ПО для устройств

Минимизация обновлений ПО сервера для поддержки новых версий ПО дляустройств. Текущее управление элементами для всех Juniper устройств путемобновлений schema

Управление элементами для устройств Juniper нулевого дня

2

1

Juniper Networks


Профайлер с IDP

Предоставляет детализацию потоков приложений и контекстов длябыстрой идентификации того, что происходит на сети

Прозрачность приложений и узлов, IP и Портов

IP Адреса


ОС


Профилировщик приложений для мониторингаиспользования приложений

NSM поддерживает Application Volume Tracking (AVT) использование приложений на пользователя Производительность в байтах и пакетах Оба направления Клиент-Сервер и Сервер-Клиент


Сетевое Управление 3-их производителей

L a s t u p d a te d : Ja n u a ry 2 6 , 2 0 0 9

V e ndor P rod uc t De s cr ip tion J UN O S re lea s e

T iv o li N e t C o ol O m niB u s v 7 .2

C en t ra liz e d fa u l t m an a g e m e nt , a n d tr ap a nd a la r m c o rr ela tio n a nd d ev ic e m o n ito rin g 9 .2

T iv o li IP N e tw or k M an a g er v 3 .7

IP ba s e d la ye r 3 n e tw o rk v is ua l iz a tio n a n d top o log y b a s e d e v en t c o rr ela tio n 9 .0

O pe n V iew N N M v 7 .5 D ev ic e d is c o v e ry , c ol le c t io n o f t ra ps a n d a la r m s , an d de v ic e h ea l th m on ito rin g

9 .2 R 2.15

O ps W a re N et w o rk A u to m a tio n

C en t ra liz e d c o n figu ra t io n & c h a n g e m a n a g em en t 9 .x

V is ta Ins igh t v3 .0 C en t ra liz e d p e rfo rm an c e m an a g e m e nt 9 .0

S m a rts v7 .0 3 C en t ra liz e d fa u l t m an a g e m e nt in c lu d in g d is c o v e ry , a la rm c o rre lat io n 9.2 R 3

S pe c tr um v8 .1C en t ra liz e d fa u l t m an a g e m e nt in c lu d in g d is c o v e ry , a nd tra p an d ala rm c or re la t io n a n d d e vic e m o n ito rin g

9.2 R 3

e H e a l th v 6.0 C en t ra liz e d p e rfo rm an c e m an a g e m e nt 9 .2

N et w o rk A u th or ity A u to m a tio n

P o lic y b as e d c on f ig u ra tio n & c h a ng e m a n a g em en t 9.2 R 3

O rio n N e tw o rk P e rfo rm a n ce M o ni to r

C om p r eh e n s iv e fa ul t a n d n e tw o rk p e rfor m a nc e m a na g e m e n t pla tfo rm 9 .0

R -S e r ie s N C C M N etw o rk C o n figu r at io n an d C h an g e M a n a g em en t 9 .2

C om p te l / A x io m S e rv ic e A c tiva tio n S e rv ic e A c tiv at io n an d pr ov is io n in g 9.2 R 3

Интеграция за счет JUNOS API на базе стандартов: NetConf, SNMP v1/v2/v3, Telnet, SSHv3, HTTP/HTTPs

СПАСИБО!!!

Documents

Document03