云就緒的數(shù)據(jù)中心基礎(chǔ)架構(gòu)和安全方案

1、數(shù)據(jù)中心基礎(chǔ)架構(gòu)產(chǎn)品和解決方案云就緒數(shù)據(jù)中心基礎(chǔ)架構(gòu)和安全過(guò)去未來(lái)今天分散部署、物理分離遺留、客戶機(jī)/服務(wù)器、數(shù)據(jù)、IPv4蠕蟲、病毒、木馬和DDoS整合流量不斷改變威脅不斷增加高性能、虛擬化、更高的帶寬利用率多業(yè)務(wù)流量的融合安全的集成多種不同的管理系統(tǒng)運(yùn)維成本不斷提高統(tǒng)一的管理 云計(jì)算環(huán)境下數(shù)據(jù)中心的發(fā)展趨勢(shì)Switch and specialized device sprawlSwitch and specializeddevice virtualizationNetworkvirtualizationNetwork services provisioningServer and stor

2、age provisioningServer network access virtualizationServer and storagedevice virtualizationServer and storage sprawlScale-out complexityConsolidationVirtualizationDynamicNetworkServer/Storage數(shù)據(jù)中心內(nèi)部的架構(gòu)變化通用分布式計(jì)算架構(gòu)核心交換模塊計(jì)算中心集群服務(wù)接入集群服務(wù)接入集群內(nèi)部管理集群數(shù)據(jù)中心的兩種發(fā)展趨勢(shì)類GFS架構(gòu)在開源平臺(tái)上自行研發(fā)通過(guò)大量廉價(jià)PC攤薄成本節(jié)點(diǎn)損壞為常態(tài)傳統(tǒng)架構(gòu)融合虛擬化在成熟商

3、用平臺(tái)上自行研發(fā)強(qiáng)調(diào)平臺(tái)任何節(jié)點(diǎn)的穩(wěn)定性；ICP大中型企業(yè) 傳統(tǒng)數(shù)據(jù)中心的常見設(shè)計(jì)思路生產(chǎn)服務(wù)區(qū)域辦公區(qū)管理區(qū)業(yè)務(wù)區(qū)交換核心區(qū)測(cè)試區(qū)域海外接入分支機(jī)構(gòu)廣域網(wǎng)業(yè)務(wù)區(qū)外聯(lián)區(qū)域EW 傳統(tǒng)樹形結(jié)構(gòu)帶來(lái)的問(wèn)題VM傳統(tǒng)的樹形結(jié)構(gòu)并不適應(yīng)云計(jì)算下的服務(wù)器部署OneHop如何實(shí)現(xiàn)性能的優(yōu)化 傳統(tǒng)樹形結(jié)構(gòu)帶來(lái)的問(wèn)題VM應(yīng)用和VLAN的配置發(fā)生改變陰影部分虛擬機(jī)的遷移帶來(lái)的安全策略的動(dòng)態(tài)改變傳統(tǒng)樹形結(jié)構(gòu)傳統(tǒng)多層架構(gòu)速度緩慢造價(jià)昂貴過(guò)于復(fù)雜諸多挑戰(zhàn) 傳統(tǒng)結(jié)構(gòu)面臨的諸多局限Up to 75% of trafficEWSNScaleComplexity生成樹協(xié)議使得50%的鏈路不能有效利用不必要的層次化增加了業(yè)務(wù)的延遲

4、超過(guò)50%的端口用于設(shè)備間互聯(lián)，效率低下簡(jiǎn)化云計(jì)算數(shù)據(jù)中心基礎(chǔ)架構(gòu)的簡(jiǎn)化設(shè)計(jì) 簡(jiǎn)化網(wǎng)絡(luò)匯聚層核心層接入層統(tǒng)一核心層接入層消除匯聚層，簡(jiǎn)化網(wǎng)絡(luò)形成核心層接入層兩層架構(gòu)32132 簡(jiǎn)化網(wǎng)絡(luò)接入層統(tǒng)一可擴(kuò)展交換矩陣3211數(shù)據(jù)中心矩陣1.兩層架構(gòu)2.Juniper的 3-2-1 數(shù)據(jù)中心進(jìn)化模式傳統(tǒng)三層架構(gòu)3.EWUp to 75% of trafficEW簡(jiǎn)化網(wǎng)絡(luò)傳統(tǒng)網(wǎng)絡(luò)，三層架構(gòu)33213EthernetFC SANServersFC StorageNASSRX5800FCoEFC SANEX9200系列EX8200系列簡(jiǎn)化網(wǎng)絡(luò)FC 存儲(chǔ)器服務(wù)器EX4200/EX3300/EX4300/EX45

5、0EX4550今天的數(shù)據(jù)中心結(jié)構(gòu)23212NAS瞻博QFABRIC產(chǎn)品：最簡(jiǎn)化FC StorageServers未來(lái)的數(shù)據(jù)中心矩陣13211NASOS=1N=1矩陣降低了復(fù)雜性復(fù)雜性5,0002,5000200010003000端口數(shù)量50004000600010,0007,500200100400300設(shè)備互操作互操作管理的設(shè)備對(duì)于QFABRIC產(chǎn)品，管理設(shè)備不會(huì)因?yàn)槎丝谠黾佣黾?000個(gè)端口時(shí): 管理的設(shè)備減少89% 互操作減少99%1000個(gè)端口時(shí): 管理的設(shè)備減少83% 互操作減少97%三個(gè)設(shè)計(jì)原則數(shù)據(jù)平面邊界豐富，核心簡(jiǎn)單任一點(diǎn)間一跳距離控制平面智能連接保證網(wǎng)絡(luò)的擴(kuò)展性和彈性管理平

6、面N=1如同操作單臺(tái)交換機(jī)革命性的數(shù)據(jù)中心架構(gòu) 單臺(tái)機(jī)框式交換機(jī)的數(shù)據(jù)平面1. 所有端口間存在互聯(lián)2. 一次查找，完成數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)平面單臺(tái)機(jī)框式交換機(jī)的控制平面統(tǒng)一控制平面所有端口采用同樣的管理平臺(tái)控制平面對(duì)設(shè)備進(jìn)行集中控制管理平面 單臺(tái)交換機(jī)無(wú)法實(shí)現(xiàn)擴(kuò)展但最終存在限制網(wǎng)絡(luò)的擴(kuò)展性存在挑戰(zhàn)盡管可以增加板卡犧牲這樣的簡(jiǎn)化，還是在擴(kuò)展的同時(shí)保持簡(jiǎn)化之美選擇在于: 高擴(kuò)展性數(shù)據(jù)平面Data Plane我們將板卡從機(jī)框上分離出來(lái).將機(jī)框內(nèi)的銅纜換成光纖為保證冗余，增加多個(gè)轉(zhuǎn)發(fā)矩陣QFabric InterconnectQFabric NodeData Plane我們將板卡從機(jī)框上分離出來(lái).將機(jī)框內(nèi)的銅

7、纜換成光纖為保證冗余，增加多個(gè)轉(zhuǎn)發(fā)矩陣保證了最大的擴(kuò)展性QFabric InterconnectQFabric Node 高擴(kuò)展性數(shù)據(jù)平面 高擴(kuò)展性數(shù)據(jù)平面數(shù)據(jù)平面Qfabric 轉(zhuǎn)發(fā)延遲低于目前市場(chǎng)的任何一款以太網(wǎng)機(jī)框式交換機(jī)所有端口之間直接互聯(lián)數(shù)據(jù)只需要在入口設(shè)備一次查找延遲超低: 平均低于 5us，極限低于3.71us QFabric NodeQFabric Interconnect 高擴(kuò)展性管理平臺(tái)管理平面單點(diǎn)管理界面擴(kuò)展部署自動(dòng)化管理的交換機(jī)數(shù)量始終=1QFabric Director將板卡和矩陣分離，使用光纖連接.多個(gè)矩陣設(shè)備提供冗余multiple Interconnect de

8、vices.控制平面集中，邊界依舊智能邏輯上為一臺(tái)設(shè)備InterconnectNodeI/O ModulesFabricRoute Engine Qfabric-單一交換平臺(tái)的革命Director QFABRIC Juniper 香港節(jié)點(diǎn)演示圖QFabric 硬件QFabric Interconnect連接所有的 QF/Node 設(shè)備（相當(dāng)于矩陣）QFabric Node節(jié)點(diǎn)設(shè)備，既可以作為獨(dú)立交換機(jī)運(yùn)行，也可以作為QFABRIC的節(jié)點(diǎn)設(shè)備QFabric Director2U 固定配置X86-based 系統(tǒng)架構(gòu)（相當(dāng)于控制引擎）QFabric解決方案簡(jiǎn)單，有效扁平化，點(diǎn)對(duì)點(diǎn)一跳可達(dá)單一設(shè)備管

9、理N=1一個(gè)高性能數(shù)據(jù)中心意味著如同一臺(tái)數(shù)據(jù)設(shè)備一樣簡(jiǎn)化管理，并且提供高性能的網(wǎng)絡(luò)連接常規(guī)網(wǎng)絡(luò)設(shè)計(jì)的高擴(kuò)展性和靈活性交換矩陣架構(gòu)數(shù)據(jù)層面控制平面扁平化Any-to-Any單一設(shè)備管理同時(shí)具有QFabric 的主要組件包括Interconnect矩陣互聯(lián)NodeI/O 設(shè)備Director管理和控制平面Qfabric 產(chǎn)品線基本組件QFX3000-M QFX3000-GQFabric InterconnectQFX3600-IQFX3100QFabric NodeQFX3500QFabric InterconnectQFX3008-IQFabric DirectorQFX3100QFabric

10、NodeQFX3600可以從單體交換機(jī)的思路去考慮控制平面節(jié)點(diǎn)設(shè)備NEWCPE SwitchesCPE SwitchesEX4200-24TEX4200-24FEX4200-24FEX4200-48T交換矩陣QFABRIC組件：QFX3500/QFX3600 56 ports of 10GbE server facing 14 ports of 40GbE Capable server facingQFX3600 NodeQFX3500 Node18 ports, 1GbE, Copper36 ports, 10GbE or 1GbE, Fiber12 ports, 10GbE or 2/4/

11、8G FC48 ports, 10GbE, Fiber所有連接服務(wù)器端口支持: L2,L3,DCB,FCoE 32 ports of 10GbE server facing 8 ports of 40GbE Capable server facing 48 ports of 10GbE server facing 12 ports of 40GbE Capable server facingQFX3600 Node 端口的靈活配置3:1 Oversub = 4 fabric 40G uplinks each 48 ports of 10GbE server facing 12 ports of

12、 40GbE Capable server facing6:1 Oversub = 2 fabric 40G uplinks each 56 ports of 10GbE server facing 14 ports of 40GbE Capable server facingLine Rate = 8 fabric 40G uplinks each 32 ports of 10GbE server facing 8 ports of 40GbE Capable server facing 4x10GbE4x10GbE4x10GbE4x10GbE4x10GbE4x10GbE4x10GbE4x1

13、0GbE4x10GbE4x10GbE4x10GbE4x10GbE4x10GbE4x10GbEUplinks to QFX3008-I or QFX3600-IQfabric組件 : QFX3000-M 和 QFX3000-GLatency 3us end-endLatency 5us end-endCloud/SP DC (768-614410G ports)IT Enterprise/ HPC DC (48-768 10G ports)1 U QFabric/InterconnectModular chassis QFabric/InterconnectManaged & operated

14、as 1 switchRuns Junos operating systemCommon QFabric/Node (QFX3500, QFX3600) & Director (QFX3100)Storage Convergence: Lossless & DCB supported. FCoE & FC-GatewayQFabric控制平面（QFX3100）Interconnect ( Qty 1 4 ) Nodes ( Qty 1 16 ) Control Plane Ethernet AControl Plane Ethernet B1G copper or Fiber Links可插拔

15、冗余電源/風(fēng)扇2.1G Dual Intel 4core CPU36G DRAMRaid 備份硬盤LCD液晶顯示10G10G10G10G10GQFabric按需擴(kuò)展的業(yè)務(wù)模型.10GQFX3600QFX3500QFX3500QFX3500QFX3500QFX3600Qfabric可以根據(jù)業(yè)務(wù)的增長(zhǎng)，動(dòng)態(tài)的增長(zhǎng)擴(kuò)容，增加投資的保護(hù)123478按照3：1端口模型1664128384768307261441512763QFabric DirectorQFabric InterconnectQFabric NodeQFabric InterconnectQFX3600-IQFabric Node #1

16、QFX3600中小型數(shù)據(jù)中心組網(wǎng)方案模型 QFX3000-M 1：1 收斂模型最大可以支持256個(gè)10GbE 或者 64個(gè)40GbE限速端口4個(gè)3600-I 16*40G 1RU交換矩陣每個(gè)node 8個(gè)40 Gig 上聯(lián)40G Fabric LinkLEGEND1 GBEQFabric Node # 8 QFX3600QF/DirectorQFabric InterconnectQFX3008-IQFabric Node #1QFX3600中小型數(shù)據(jù)中心組網(wǎng)方案模型 QFX3000-G 1：1 收斂模型最大可以支持1024個(gè)10GbE 或者 256個(gè)40GbE限速端口2 QFX3008-I

17、交換矩陣每個(gè)交換矩陣上2塊16*40Gig 矩陣卡40G Fabric LinkLEGEND1 GBEQFabric Node # 8 QFX3600QF/Director每個(gè)node 8個(gè)40 Gig 上聯(lián)QFabricNode #1QFabric Node #16QFabricNode #3QFabricNode #2中小型數(shù)據(jù)中心組網(wǎng)方案模型 QFX3000-M 混合收斂模型端口數(shù)根據(jù)收斂比變化（根據(jù)區(qū)域設(shè)計(jì)決定）仍然使用4個(gè)3600-I作為交換矩陣3：1收斂可以直接選用3500作為node，1：1和2：1選用3600，3500/3600可以混搭40G Fabric LinkLEGEND

18、1 GBEQF/DirectorQFabric InterconnectQFX3600-I上行鏈路選擇40GE的好處增加上行鏈路帶寬，提高收斂比（對(duì)于HPC運(yùn)算尤為重要）減少物理鏈路數(shù)量，降低延遲（主要降低部分serialization delay）極大的減少布線壓力，非常利于管理減少LAG配置（LAG=端口聚合）極大程度上避免了LAG鏈路hash算法帶來(lái)的流量不均衡問(wèn)題40G OM4 MMF(Structured Cables)High DensityServer RackLow Density Server RackEnd of Row Network RackPatch Panel10G

19、BASE-SR MMF Cables F#2QF/NodeEnd of POD Network RackEnd of POD Network RackHigh DensityServer RackLow Density Server RackEnd of Row Network RackPatch Panel10GBASE-SR MMF CablesF#3QF/NodeHigh DensityServer RackLow Density Server RackEnd of Row Network RackPatch Panel10GBASE-SR MMF CablesF#4QF/Node交換矩

20、陣機(jī)框業(yè)務(wù)板卡物理布線連接建議根據(jù)服務(wù)器密集程度，選取TOR或者M(jìn)OR布線方式。數(shù)據(jù)中心的中間層機(jī)柜放置交換矩陣機(jī)框（根據(jù)實(shí)際要求選取位置），采用OM3或者OM4布線標(biāo)準(zhǔn)延展40GE光線到各個(gè)Rack整個(gè)數(shù)據(jù)中心作為一個(gè)交換機(jī)進(jìn)行管理和維護(hù)。F#3數(shù)據(jù)中心布線方式參考40GE到4 X 10GE 端口的轉(zhuǎn)換兩種方式QSFP to 4 X 10 SFP DAC （1M and 3M）節(jié)省模塊，適合近距離使用 QSFP to 4 X 10GE SR optic ( 距離較長(zhǎng) )兩兔遍地走，安能辨我是雌雄？使用技術(shù)不同，方案不同，效果不同IEEE standard MC-LAG LACP OSPF/B

21、GPVCS Fabric MCT w/ VPLS TRILL based FSPFFabricPath VPC+ TRILL based IS-IS & FSPFIEEE standard MC-LAG LACP OSFP/BGPProprietary QFabricFlexFabric IRF LACP OSPF/BGP所有方案共同解決的問(wèn)題取消生成樹，使得鏈路更加有效，構(gòu)建類Fabric形式數(shù)據(jù)中心但是，我們還要考慮第一，收斂比和流量模型在本次方案中非常重要，10GE uplink基本上不在考慮之列使用Qfabric，可以靈活調(diào)整收斂比例，根據(jù)實(shí)際的業(yè)務(wù)需求進(jìn)行部署和擴(kuò)展第二，解決問(wèn)題的方

22、法和思路：complex is good， but simple is better使用Qfabric，不需要進(jìn)行學(xué)習(xí)額外的技術(shù)（如Trill），不需要考慮諸如設(shè)備間協(xié)議的設(shè)計(jì)和配置，聚合端口冗余備份，以及hash的有效性等復(fù)雜問(wèn)題，只需要關(guān)注，如何配置VLAN和IP第三，管理，運(yùn)維，機(jī)房布線等綜合性的考慮使用Qfabric，對(duì)于多個(gè)端口，僅為一個(gè)設(shè)備進(jìn)行管理，極大的減少了設(shè)備的管理復(fù)雜程度安全 云計(jì)算數(shù)據(jù)中心的安全策略 安全 云就緒安全（數(shù)據(jù)的流量模型）Data CentersClientsGlobal High-Performance NetworkServer to ServerDC t

23、o DCClient to DC 未來(lái)網(wǎng)絡(luò)能夠應(yīng)對(duì)這些挑戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)核心服務(wù)器 / 存儲(chǔ)器HTTP/Web 服務(wù)服務(wù)器可擴(kuò)展的動(dòng)態(tài)安全性應(yīng)用可視性具有身份識(shí)別能力的網(wǎng)絡(luò)123自動(dòng)化的安全基礎(chǔ)架構(gòu)4Management & Compliance 安全云就緒安全（需要提供的安全服務(wù)）ServicesFinance zoneClientsInternet虛擬機(jī)安全SSL VPN0day攻擊防護(hù)網(wǎng)絡(luò)地址轉(zhuǎn)譯入侵防護(hù)管理可視性流量?jī)?yōu)化DoS 防護(hù)應(yīng)用層監(jiān)控 防火墻功能驗(yàn)證功能加密功能DMZ虛擬云安全服務(wù)IDENTITYUserAppHr ZoneHypervisorVM4VM1VM2VM3Virtua

24、l MachinesFC SANMX系列EX8216SRX5800服務(wù)器存儲(chǔ)器在一個(gè)平臺(tái)上動(dòng)態(tài)分配安全服務(wù)擴(kuò)展到100 Gbps平臺(tái)基于用戶可視性和策略，自動(dòng)更改防火墻策略利用單一的平臺(tái)來(lái)確保流量轉(zhuǎn)移的安全可以和虛擬機(jī)kernel防火墻共享安全策略 可擴(kuò)展的動(dòng)態(tài)安全性 應(yīng)用可視性不連續(xù)的數(shù)據(jù)分析業(yè)務(wù)分析Deep packet intelligenceProtocolIP AddrPortDataSAPSizeJoeWhat application?What user?User Location?User device?利用協(xié)議解碼和應(yīng)用特征碼來(lái)識(shí)別運(yùn)行在網(wǎng)絡(luò)上的應(yīng)用在會(huì)話日志上查看應(yīng)用ID，以

25、了解網(wǎng)絡(luò)行為支持?jǐn)?shù)據(jù)中心管理，基于被訪問(wèn)的應(yīng)用進(jìn)行正確決策，以便管理安全風(fēng)險(xiǎn)AppSecure：Apptrack介紹應(yīng)用來(lái)自客戶端的字節(jié)數(shù) (定制) (總計(jì))CountFTP1,047,754 2,097Windows File Share1,030,00631HTTP376,29616Bit Torrent316,06416None154,168302NETBlog151,63216VoIP128,266 16Facebook104,73516TFIP67,92016Telnet54,768 16SRX5800SRX5600簡(jiǎn)化操作動(dòng)態(tài)服務(wù)架構(gòu)可擴(kuò)展性能SRX3400SRX3600使用數(shù)據(jù)中

26、SRX系列構(gòu)建高性能云就緒數(shù)據(jù)中心SRX1400SRX1400 數(shù)據(jù)中心防火墻動(dòng)態(tài)服務(wù)架構(gòu)多項(xiàng)綜合業(yè)務(wù)支持能力（FW, IPS, NAT, IPsec VPN, DDoS, QoS, and Routing）基于流的服務(wù)處理控制和數(shù)據(jù)平面分離無(wú)需特定服務(wù)插卡模塊化機(jī)框設(shè)計(jì)擴(kuò)展插槽位于前端接口模塊支持GE和10GE服務(wù)處理模塊線性擴(kuò)展JUNOS軟件優(yōu)勢(shì)多進(jìn)程模塊化可腳本定制Max PortsIntegrated Ports: 6 x 10/100/1000 Copper Ethernet RJ45 EITHER 6 x SFP (1000) OR 3 x SFP (1000) & 3 x SPF

27、+ 10G Other interface modules: 2 x 10Gbps XFP, 16 x 1Gbps SFP, OR 16x10/100/1000 Copper Ethernet RJ45Max Service Processing CardsSRX1400 NSPC OR SRX3K NPC & SPCSRX1400: 正面圖3 RU大小模塊化機(jī)框1個(gè)擴(kuò)展槽 (前部)可以和SRX300 板卡互換Junos 軟件高擴(kuò)展性 最大可達(dá)70,000 (CPS)新建最大可達(dá)1.5 million 會(huì)話高性能最大10 Gbps 防火墻吞吐最大 3 Gbps IPS最大 4 Gbps IPs

28、ec VPN高可靠性冗余可熱插拔AC/DC電源NEBS-III 標(biāo)準(zhǔn)可熱插拔風(fēng)扇模塊化軟件SRX1400 正面圖SRX1400 NSPC 或者 SRX3000 NPC & SPC熱插拔風(fēng)扇管理模塊擴(kuò)展插槽(SRX 3000 IOC)電源模塊可選冗余電源模塊可選基本系統(tǒng): GE (12 on-boardGbE ports) or XGE(9 on-boardGbE ports and 3 10GbE ports)SRX3000 系列數(shù)據(jù)中心防火墻Module DescriptionMax PortsInterface16-port 10/100/1000 TX72 or 104RJ-4516-p

29、ort GbE68 or 100SFP2-port 10GbE8 or 12XFPMax Service Processing Cards (SPC)SRX3400 4 SRX3600 7動(dòng)態(tài)服務(wù)架構(gòu)多項(xiàng)綜合業(yè)務(wù)支持能力（FW, IPS, NAT, IPsec VPN, DDoS, QoS, and Routing）基于流的服務(wù)處理控制和數(shù)據(jù)平面分離無(wú)需特定服務(wù)插卡模塊化機(jī)框設(shè)計(jì)擴(kuò)展插槽位于前端和后端 SRX3400 -7個(gè)擴(kuò)展插槽 SRX3600 12個(gè)羅漢插槽 接口模塊支持GE和10GE服務(wù)處理模塊線性擴(kuò)展JUNOS軟件優(yōu)勢(shì)多進(jìn)程模塊化可腳本定制3 RU模塊化機(jī)框7 個(gè)擴(kuò)展插槽(正面4個(gè)背

30、面3個(gè))Junos 軟件高擴(kuò)展性 最大150,000 (CPS)新建最大3million 會(huì)話High performance最大30Gbps 防火墻性能最大8 Gbps IPS 性能最大8 Gbps IPsec VPN性能高可靠性冗余電源和風(fēng)扇模塊化軟件SRX3400 正面視圖SRX3400 背面視圖管理模塊擴(kuò)展槽電源支持模塊12 on-boardGbE portsUSB擴(kuò)展槽冗余電源支持模塊16 x 10/100/1000 I/O card風(fēng)扇16 x GbE SFP I/Ocard擴(kuò)展槽(SPC / NPC)2 x 10 GigE I/O card前面板指示后面板指示風(fēng)扇門交換矩陣SRX

31、3400:正面和背面視圖控制模塊擴(kuò)展槽位電源模塊12 on-boardGigE portsUSB冗余店面模塊16 x 10/100/1000 I/O card風(fēng)扇16 x GbE SFP I/Ocard擴(kuò)展插槽SRX3600 正面視圖SRX3600 背面視圖2 x 10 GigE I/O card交換矩陣板Fan traydoor擴(kuò)展插槽前面板指示后面板指示SRX3600:正面和背面視圖5 RU模塊化機(jī)框12 個(gè)擴(kuò)展插槽(正面6個(gè)背面6個(gè))Junos 軟件高擴(kuò)展性 最大270,000 (CPS)新建最大6 million 會(huì)話High performance最大55Gbps 防火墻性能最大15

32、 Gbps IPS 性能最大15 Gbps IPsec VPN性能高可靠性冗余電源和風(fēng)扇模塊化軟件SRX5000 系列數(shù)據(jù)中心防火墻Module DescriptionMax PortsInterface40-port GbE200 or 440SFP4-port 10GbE20 or 44SFP16-port GbE FlexIOC160 or 352SFP/RJ454-port 10GbE FlexIOC40 or 88SFPMax SPCsSRX5600 5SRX5800 11業(yè)界最高性能單體防火墻動(dòng)態(tài)服務(wù)架構(gòu)多項(xiàng)綜合業(yè)務(wù)支持能力（FW, IPS, NAT, IPsec VPN, DDo

33、S, QoS, and Routing）基于流的服務(wù)處理控制和數(shù)據(jù)平面分離無(wú)需特定服務(wù)插卡模塊化機(jī)框設(shè)計(jì)擴(kuò)展插槽 SRX5600 -6個(gè)擴(kuò)展插槽 SRX5800 12個(gè)羅漢插槽 接口模塊支持GE和10GE服務(wù)處理模塊線性擴(kuò)展JUNOS軟件優(yōu)勢(shì)多進(jìn)程模塊化可腳本定制擴(kuò)展槽位控制面板上部風(fēng)扇SPC服務(wù)處理卡交換矩陣SCB40 x GbE IOC管理模塊風(fēng)扇模塊SRX5600 正面視圖SRX5600 背面視圖SRX5600:正面和背面視圖8 RU模塊化機(jī)框6個(gè)擴(kuò)展插槽橫插槽設(shè)計(jì)可以使用接口卡和服務(wù)卡Junos 軟件高擴(kuò)展性 最大400,000 (CPS)新建最大60 million 會(huì)話High p

34、erformance最大100Gbps 防火墻性能最大50 Gbps IPS 性能最大75 Gbps IPsec VPN性能高可靠性冗余電源和風(fēng)扇冗余控制平面冗余交換矩陣模塊化軟件控制面板Air intake底部風(fēng)扇上部風(fēng)神SPC服務(wù)處理卡4 x 10GbE I/O Card40 x GbE I/O Card管理模塊交換矩陣卡Expansion slots(fits any module)SRX5800 正面視圖SRX5800 Rear ViewPower suppliesFRUSRX5800:正面和背面視圖* To achieve more than 12.5M CP sessions, u

35、se software knob available from Junos v10.4 or 11.4 and later 16 RU模塊化機(jī)框12個(gè)擴(kuò)展插槽豎插槽設(shè)計(jì)可以使用接口卡和服務(wù)卡Junos 軟件高擴(kuò)展性 最大400,000 (CPS)新建最大60 million 會(huì)話High performance最大200 Gbps 防火墻性能最大100 Gbps IPS 性能最大150 Gbps IPsec VPN性能高可靠性冗余電源和風(fēng)扇冗余控制平面冗余交換矩陣模塊化軟件SRX1400SRX3400SRX3600SRX5600SRX5800Max FW Throughput10 Gbps30

36、 Gbps55 Gbps100 Gbps200 GbpsMax VPN Throughput4 Gbps8 Gbps15 Gbps75 Gbps150 GbpsMax IPS Throughput3 Gbps8 Gbps15 Gbps50 Gbps100 GbpsMax PPS1.5 Mpps3.5 Mpps6.5 Mpps20 Mpps50 MppsMax Sessions1.5 million3 million6 million60 million60 millionNew & Sustained CPS70,000150,000270,000400,000400,000Interface

37、sIntegrated Ports: 6 x 10/100/1000 Copper Ethernet RJ45 EITHER 6 x SFP (1000) OR 3 x SFP (1000) & 3 x SPF+ 10GbE8 10/100/1000 + 4 SFP 16 x SFP module 2 x 10GbE module8 10/100/1000 + 4 SFP 16 x SFP module 2 x 10GbE module40 x SFP 4 x 10GbE XFP16 x TX/SFP FlexIOC4 x 10GbE XFP FlexIOC40 x SFP 4 x 10GbE

38、 XFP16 x TX/SFP FlexIOC4 x 10GbE XFP FlexIOCMax I/O PortsIntegrated Ports: See aboveOther interface modules: 2 x 10GbE XFP, 16 x GbE SFP, OR 16x10/100/1000 Copper Ethernet RJ4576 x GbE or8 x 10GbE108 x GbE or 12 x 10GbE200 x GbE or 40 x 10GbE440 x GbE or88 x 10GbESRX 系列 數(shù)據(jù)中心交換機(jī)性能比較SRX5000 高密度接口卡SRX5

39、K-FPC-IOC高密度以太網(wǎng)支持 2 種模塊16 x GbE (RJ45 or SFP)4 x 10GbE SFP20 Gbps 吞吐支持流量負(fù)載均衡支持Security screens / QoSSRX5K-4XGE-XFP高密度以太網(wǎng)4 x 10GbE XFP40 Gbps 吞吐支持流量負(fù)載均衡支持Security screens / QoS支持2M session 緩存SRX5K-40GE-SFP高密度以太網(wǎng)40 x GbE SFP40 Gbps 吞吐支持流量負(fù)載均衡支持Security screens / QoS支持2M session 緩存高速矩陣技術(shù)可擴(kuò)展機(jī)框chassis線性性

40、能增加行業(yè)頂級(jí)性能運(yùn)營(yíng)商級(jí)別的可靠性控制和轉(zhuǎn)發(fā)平面分離高可靠性冗余可信任的操作系統(tǒng)SRX Services Gateways可擴(kuò)展的性能，容量和服務(wù)密集度世界性能最高的防火墻和IPS設(shè)備統(tǒng)一OS，統(tǒng)一版本鏈動(dòng)態(tài)服務(wù)架構(gòu) (DSA)深密度服務(wù)靈活服務(wù)部署快速推向使用擴(kuò)展性和性能集成Firewall, IPS, IPsec VPN, DDoS/DoS, NAT, QoS, Routing, Application Security,等多種服務(wù)運(yùn)營(yíng)商級(jí)別可靠性控制平面和轉(zhuǎn)發(fā)平面分離高可用性支持ISSU接口和處理性能的擴(kuò)展性靈活接口插卡Gigabit Ethernet10 Gigabit Ethern

41、et任意板卡上執(zhí)行任意服務(wù)線性能力擴(kuò)展動(dòng)態(tài)服務(wù)架構(gòu) (DSA)工作碎片化分離造價(jià)昂貴沒有邏輯集成運(yùn)維和部署非常復(fù)雜性能穩(wěn)定完整集成內(nèi)置服務(wù)單一設(shè)備各自執(zhí)行各自功能Stateful FWIPsec VPNIDPRouting松散集成雖然物理看似集成但是功能分散，仍然為不同設(shè)備防火墻為主，其他采用插卡完成看似集成，實(shí)則不然完整集成硬件/軟件為集成而進(jìn)行優(yōu)化功能性能完全整合安全集成設(shè)備的演進(jìn)FirewallIPSFirewallIPS+SRX Series“偽集成機(jī)框式”安全設(shè)備數(shù)據(jù)流轉(zhuǎn)發(fā)的困惑:多跳傳輸，延遲高 Ingress Packet Egress Packet不同的安全功能由不同的插卡設(shè)備

42、來(lái)完成，轉(zhuǎn)發(fā)的本質(zhì)仍然是多臺(tái)設(shè)備Fabric Firewall Intrusion Prevention IPsec VPN NAT Routing /QoS Packet passes to fabric and multiple busesI/O CardBus 1Bus 3Bus 2Bus 5Bus 4 Flow LookupClassification DoS/DDoSPolicing Ingress Packet Egress Packet Services FW/VPN/IDP NAT/Routing QoS/ShapingFabricFabricIntegrated in SRX

43、5000 IOCOversubscriptionControl1.5SRX 系列高度集成安全功能轉(zhuǎn)發(fā)安全一次完成I/O CardsNetwork Processing CardsServices Processing Cards性能和服務(wù)集成的最佳平衡服務(wù)集成性能并非真正集成運(yùn)維和管理的噩夢(mèng)使用JUNOS實(shí)現(xiàn)服務(wù)集成通過(guò)SPC擴(kuò)展服務(wù)性能通過(guò)IOC擴(kuò)展接口性能管理運(yùn)維簡(jiǎn)單RouterFirewallIPSIPsec VPNNAT服務(wù)有限擴(kuò)展性不高面臨管理和運(yùn)維挑戰(zhàn)Firewall集成服務(wù)-動(dòng)態(tài)服務(wù)架構(gòu)和傳統(tǒng)安全產(chǎn)品的區(qū)別傳統(tǒng)應(yīng)用平臺(tái)Juniper SRX專用控制平面可擴(kuò)展接口可定制服務(wù)資源池單

44、一設(shè)備管理單一策略/配置可擴(kuò)展服務(wù)引擎Data Center SRX市場(chǎng)份額Worldwide Integrated Security ApplianceRevenue Market Share: $30,000Source: Infonetics Research, Network Security Appliances and Software 4Q11, March 2012安全虛擬化環(huán)境的安全策略和產(chǎn)品-vGW產(chǎn)品介紹IDC報(bào)告 服務(wù)器虛擬化的發(fā)展趨勢(shì)Source: IDCCapitalSavingsMillionsInstalledServers虛擬化/云計(jì)算引發(fā)的安全問(wèn)題虛擬化引入

45、了新的層次，導(dǎo)致系統(tǒng)引入新的威脅侵入點(diǎn)共享的資源池可能引起單點(diǎn)故障針對(duì)主機(jī)的威脅同樣會(huì)影響到guest osVMM提供的虛擬端口等導(dǎo)致內(nèi)部之間的流量監(jiān)控變得困難虛擬機(jī)的動(dòng)態(tài)遷移后如何保障安全策略的一致性利用虛擬化技術(shù)帶來(lái)了新的安全入侵手段SubvertBlue PillDatabaseSAPWWWVMwareDesktopDesktopVMwarePhysical NetworkVirtual SwitchVirtual SwitchPhysicalFirewall /IDSWWWPhysical ServerPhysical Server在vSwitch環(huán)境中的隔離挑戰(zhàn)VM 隔離的挑戰(zhàn)vSw

46、itches只提供基本的連接能力加載中在同一個(gè)vSwitch上的VM有能力通過(guò)hypervisor進(jìn)行互訪被設(shè)置了VLAN IDs的Port Group要求三層設(shè)備提供路由 Distributed vSwitches實(shí)際上并不提供安全能力VM管理員可以把vNICs設(shè)置到任何網(wǎng)絡(luò)上（哪怕是意外情況下）VLANs 并不具備安全功能 VLANs 僅僅是數(shù)據(jù)的邏輯隔離.Agents base防火墻帶來(lái)的系統(tǒng)資源，大約200MB/VM存在資源占用，降低VM使用性能 在虛擬機(jī)環(huán)境下的安全部署當(dāng)前 虛擬機(jī)環(huán)境下的安全部署新思路基于Hypervisor的防火墻部署模式，可以和VMotion/DRS/DPM/FT進(jìn)行集成 狀態(tài)型防火墻可以使用“Security Design for vGW”統(tǒng)一進(jìn)行管理安全策略可以隨VM自動(dòng)遷移，并且和硬件防火墻實(shí)現(xiàn)聯(lián)動(dòng)vGW 安全系統(tǒng)解決方案運(yùn)營(yíng)商/企業(yè)級(jí)產(chǎn)品三層體系架構(gòu)“VMs