Проектирование корпоративных сетей на оборудовании Juniper Networks

Согласно современным требованиям бизнеса, сетевая инфраструктура локальной сети кампуса должна предоставлять высокопроизводительный доступ для большого количества проводных и беспроводных устройств. Для этого, как правило, необходимы:

• высокая плотность портов в пределах ограниченного пространства;
• решения по обеспечению высокой доступности сервисов в пределах локальной сети (HA — high availability);
• возможность гибкого наращивания портов с течением времени, например по мере увеличения абонентов;
• подача питания по сетевому кабелю (PoE — Power over Ethernet);

Развитие и обширное распространение унифицированных коммуникаций, а так же мобильности абонентов, выдвигают новые требования по качеству обслуживания (QoS/HQoS) и безопасности, причем точка предоставления требующихся сервисов должна находиться как можно ближе к точке подключения абонента к сети.

Большое и зачастую растущее количество коммутаторов и других устройств сетевого типа (маршрутизаторы , межсетевые экраны и т.п. ) требует наличия единой системы управления и мониторинга всех устройств сети.

Современные бизнес задачи предъявляют к LAN-коммутаторам особые требования. Нагляднее всего их рассматривать, основываясь на современных моделях построения LAN.

В настоящее время существуют два основных подхода построения сети: двух уровневая модель и трехуровневая. Исторически первой была разработана трехуровневая модель, предполагающая наличие коммутаторов:

1. Уровня доступа сети (первый уровень);
2. Уровня агрегации сети (второй уровень);
3. Уровня ядра сети (третий уровень).

Следующим логическим этапом развития дизайна сети стала двухуровневая модель, в которой объединили уровень агрегации и уровень ядра сети. Главным достоинством получившейся модели считается возможность существенно сократить расходы на оборудовании (CapEX) и расходы на обслуживании сети (OpEX) по сравнению с трехуровневым дизайном сети.

В зависимости от требований конкретного проекта можно применять как трехуровневую так и двухуровневую модель. Рассмотрим несколько общих решений, которые можно использовать или комбинировать при решении конкретной задачи.

Решения для построения локальных сетей LAN

Компания Датасистемс предлагает следующие коммутаторы Juniper для построения LAN.

Коммутаторы уровеня доступа.

На этот уровень Juniper позиционирует серию коммутаторов: EX 2200, EX 3200, EX 4200.

Модель EX2200 — считается наиболее экономичным вариантом, EX 4200 — наиболее полной согласно функционалу.

Например, только в модели EX 4200 реализована технология Виртуального шасси, где благодаря стекированию коммутаторов и получить из нескольких физических устройств одно логическое. Пользователю доступен выбор между 24 или 48 медных портов, а в EX 4200 плюс ко всему 24 оптических порта. Так как переподписка между портами доступа и uplink-портами на уровне доступа разрешена, в качестве uplink портов предлагается использовать до 4х SFP портов (доступны в каждой модели). Когда переподписка нежелательна, в EX 3200 и EX 4200 реализованы два 10GE uplink порта (XFP либо SFP+).

Как правило, требования по высокой доступности (HA) коммутаторов на уровне доступа, не предъявляются. При необходимости реализации таких требований следует учитывать следующее:

• в устройствах серии EX 4200 реализована технология Virtual Chassis для стекирования;
• модульная операционная система JunOS управляет работой всех коммутаторов. В ней реализованы функции изоляции системных процессов в защищенной области памяти операторского класса, а так же одновременное применение всех сделанных настроек, применение сделанных настроек с подтверждением и прочее;
• Модель EX 3200 позволяет резервирование с внешним блоком питания. В EX 4200 резервируются блоки питания внутри шасси.

В EX 3200 и EX 4200 предусмотрен блок для 4х GE портов, 2x10GE (XFP) портов либо комбинированный вариант: 4хGE либо 2x10GE (SFP+) в одном модуле, для резервирования Uplinks.
В EX 2200 предусмотрены только 4х GE uplink порта, по этому уровень доступа строится с использованием L2 либо L3 технологий. На всех коммутаторах Juniper (кроме серии EX 2200) по умолчанию реализован L3 функционал. Это предоставляют возможность реализации обеих вариантов без дополнительных затрат.

Для обеспечения унифицирования коммуникаций на коммутаторах уровня доступа присутствуют:

• порты с PoE в различных комбинациях. В моделях EX 3200 и EX 4200, с медными портами и AC питанием, всегда присутствуют минимум 8 портов с PoE;
• полный перечень наиболее типичных и распространенных на сегодня технологий QoS и безопасности.

Здесь мы рассмотрим все вопросы безопасности, обслуживания и централизированного управления.

Уровень агрегации и совмещенный уровень: агрегация + ядро.

Коммутаторы серии EX 4200 и EX 8000 позиционируются на уровень агрегации, либо совмещенный уровень агрегация+ядро.

Все модели серии EX предлагаются для уровня агрегации в режиме стека (Virtual Chassis) либо совмещенного (агрегация + ядро). Преимуществом данной системы заключается в возможности поэтапного наращивания стека в зависимости от реальных потребностей.

Все модели серии EX 8000 разработаны либо для уровня агрегации, либо совмещенного (агрегация + ядро). Основное преимущество — возможность построения полностью неблокируемого участка сети с высоким уровнем надежности и доступности без переподписки.

В коммутаторах такого уровня учитываются повышенные требования по отказоустойчивости. В EX 4200 и EX 8000 резервируются блоки питания и блоки вентиляторов. В EX 4200 резервирование RE (control plane) обеспечивается средствами технологии Virtual Chassis. В роли основной и резервной RE выступают по одному из коммутаторов стека. В EX 8000 резерв RE происходит путем установки двух отдельных модулей RE. По физическим портам резервирование в пределах одного шасси (реального или виртуального) в EX 4200 и EX 8000 осуществляется при помощи LACP протокола.

Уровень ядра сети

Коммутаторы серии EX 8000 позиционируются на уровень ядра сети для агрегации 10GE и 1GE портов. Предполагается, что крупная сеть имеет трехуровневый дизайн и в основном агрегации подлежат 10GE порты. В то же время, в случае необходимости, доступны линейные карты для агрегации 1GE портов.

К коммутаторам данного уровня предъявляются высокие требования по НА, не допускается переподписка между портами, но при этом особых требований к плотности портов доступа, PoE портам, не выдвигается.

Обеспечение безопасности

Одной и самых важных и многофакторных задач, которая осуществляется во время всего жизненного цикла сети — обеспечение безопасности.

Обеспечение сетевой безопасности является сложной и многофакторной задачей, которая должна решаться постоянно в течение всего жизненного цикла сети. Самые распространенные реализованные модели сетевой безопасности включают в себя:

• выделенный штат высококвалифицированных специалистов, которые выполняют следующие задачи — мониторинг, анализ консолидированных данных о состоянии сети со всех уровней, анализ сообщений о инцидентах нарушения безопасности, формирование политик безопасности, имплементаця политик на разных уровнях сети, мониторинг;
• центральное устройство (группу устройств) безопасности, в котором консолидируются разноплановые сведения о текущем состоянии сети, которые предоставляются инженерам по безопасности интерфейса для анализа консолидированных данных и применения выработанных политик на конечных устройствах и на всех уровнях иерархии;
• конечных устройств, основные требования к которым (в контексте обеспечения сетевой безопасности) состоят в способности взаимодействовать с центральными устройствами безопасности и отрабатывать полученные политики безопасности на реальном пользовательском трафике.

Более детально мы рассмотрим последний пункт этого перечня.

• EX 3200 и EX 4200 полностью интегрированы и способны взаимодействовать с Juniper Networks Unified Access Control (UAC), что позволяет идентифицировать пользователя при его подключении к сети и авторизировать его (per port / per user), путем динамического создания политик безопасности и QoS, на основании профилей, полученных от UAC. При этом обеспечивается как контроль доступа по порту (802.1Х) так и политики на основе анализа уровней L2-L4.
• Реализованы механизмы защиты от угроз типа: внешняя / внутренняя подмена адресов, man-in-the-middle, DoS. К этим механизмам относятся: DHCP snooping, DAI (dynamic ARP inspection) и ограничение MAC адресов на порту.
• На самих коммутаторах присутствуют шесть заранее настроенных профилей, которые включают в себя наиболее распространенные варианты подключений.

Доступна функция дублирования трафика пользователя в указанное место LAN для детального анализа системами безопасности и/или журналирования.

Обеспечение качества обслуживания (QoS)

Повышенные требования к качеству обслуживания предъявляются на местах, где реальный трафик превышает физически возможную пропускную способность канала / порта / устройства. Данная ситуация называется переподпиской, и в этом случае, часть трафика отбрасывается. Потеря пакетов для многих приложений не является критичным, например, в самом протоколе TCP реализованы механизмы повторной передачи и понижения интенсивности трафика при возникновении его потерь. Но существуют группы приложений, для которых потеря трафика недопустима, например — голосовой и видео трафик. При потере пакетов происходит искажение информации.

Для обеспечения QoS необходимо классифицировать (Classification) трафик в точке входа в сеть и маркировать различные типы трафика нужным приоритетом (marking). Далее передача данных в первую очередь осуществляется для трафика с более высоким приоритетом, отбрасывая наименьшие приоритеты. Это достигается путем выстраивания трафика в различные очереди и специфической обработкой каждой очереди (Scheduling).

На коммутаторах Juniper эти технологии реализованы в объеме, соответствующем аналогичному перечню основных конкурентов. Классификация: L2-L4 Classification criteria: Interface, MAC address, Ethertype, 802.1p, VLAN, IP address, DSCP/IP Precedence, TCP/UDP port numbers, etc.; маркирование: 802.1p, DSCP /IP Precedence; Scheduling: Strict priority (SP), Shaped Deficit Weighted Round-Robin (SDWRR), 8 аппаратных очередей на порт.

Обеспечение высокой доступности (HA)

Высокая доступность не является ключевым требованием для коммутаторов уровня доступа, но очень важна для уровня агрегации и критично важна для ядра сети. Повышение требований по HA определяется стоимостью простоя, или размером другого ущерба, вызванного неспособностью устройства (в данном обзоре — коммутатора) выполнять свои функции.

Особенностью EX 4200 серии в контексте HA является то, что стек Virtual Chassis предоставляет большое количество HA функциональности, присущей модульным системам. Например — основной и резервный модули управления, резервирование линейных интерфейсных карт. При этом аналогами модуля управления или линейной карты модульного шасси выступают отдельные коммутаторы стека.

Все коммутаторы работают под управлением операционной системы операторского класса JunOS. Коммутация реализована на базе ASIC микросхем собственной разработки Juniper, что вносит большой вклад в общий уровень высокой доступности (HA) коммутаторов. Подробнее о JunOS и ASIC — далее.

Обеспечение требований централизированного управления

Коммутаторы всех серий могут управляться посредством интерфейса командной строки (CLI), веб-интерфейса, единой консоли Juniper Networks Network and Security Manager (NSM), которая позволяет с одной консоли управлять всеми устройствами Juniper, входящими в систему. Все данные о конфигурации, авариях, и производительности экспортируются в системы мониторига и безопасности ведущих третьих производителей (HP OpenView, IBM Tivoli and Computer Associates Unicenter software).

На уровне агрегации, удобным является возможность объединения коммутаторов EX 4200 в стек при помощи 1GE либо 10GE портов. Невысокая скорость стека компенсируется возможностью построения логических коммутаторов, которые физически состоят из территориально разнесенных устройств.

Особенности аппаратно-программных решений

Микросхемы ASIC на уровне коммутации и ОС JunOS, позволяют оборудованию Juniper уже давно подтверждать репутацию операторского класса.

Задачи связанные с управлением и отработкой протоколов маршрутизации решает встроенная Routing Engine (RE), неблокируемую коммутацию пакетов обеспечивает Packet Forwarding Engine (EX-PFE). Вся система работает в соответствии с данными, полученными от RE.

Структура EX-PFE является уникальной, благодаря использованию специализированных микросхем ASIC собственной разработки Juniper (производство IBM). Это позволяет максимально оптимизировать физическую структуру микросхем под решаемые задачи.

ОС JunOS имеет следующие преимущества для бесперебойной работы RE:

• модульная архитектура. Каждый процесс идет в собственной защищенной области памяти. Это позволяет оберегать все процессы и работу системы в целом, от проблем, возникших в одном модуле.
• единая база кода для всего выпуска линейки маршрутизаторов и коммутаторов JunOS. Каждый новый релиз тщательно тестируется на отсутствие ошибок;
• одна ветка релизов и предсказуемый выпуск релизов. Это существенно упрощает обслуживание Juniper сетей. Постоянное усовершенствование моделей позволяет сосредоточится на качественной проверке каждого нового релиза и обеспечить предсказуемый и стабильный выход новых релизов. В течение квартала выходят подрелизы с исправлениями, один раз в квартал — релиз с добавлением функционала и поддержки нового оборудования;
• встроенные средства защиты от человеческих ошибок при настройке.