Juniper产品采购手册图文.docx
《Juniper产品采购手册图文.docx》由会员分享,可在线阅读,更多相关《Juniper产品采购手册图文.docx(30页珍藏版)》请在冰豆网上搜索。
Juniper产品采购手册图文
JuniperProductQuickReference
解决方案应用范例
应用说明
■EX4200:
EX4200利用集群交换技术,能够合并交换机的层级、减少互连链路的数量,进而降低网络的延迟、复杂性以及所需的交换机数量,并提供高效的上行链路(10Gb。
■EX8208:
EX8208交换机是一种高性能、高密度(可提供GbE和10GbE端口的平台,能够降低成本和操作的复杂性,增加整体的扩展能力,并提供运营商级的可靠性。
■SRX5800:
SRX5800平台具有可灵活扩展的性能,能够整合整个数据中心的安全服务。
■MX240/M120系列路由器:
M/MX系列路由器能够简化部署和管理,降低运维成本,还能利用MPLS/VPLS将资源共享扩大至不同的数据中心。
■VM防火墙(vGW:
提供虚拟机之间的安全访问策略,能够整合SRX/IDP及STRM来检测安全威胁和异常的网络流量。
■采用单一操作系统(Junos与单一管理系统(NSM,可加速应用与部署,减少所需的管理成本。
■通过减少数据中心的设备来降低空间、电力和冷却方面的要求,提高操作效率,进而改善整体的操作性能。
此方案可以帮助企业降低服务的部署成本,为其提供一个环保的数据中心。
11
采购手册-解决方案
SmartMobile分布式传输:
接入点转发数据
在分布式转发过程中,无线接入点不需要通过无线网络控制器转发它的数据流量。
这样就使较大规模的无线网络语音部署成为可能,因为语音数据包传输需要最短的路径,以便将延迟减少到最小。
分布式转发还能够整合802.11n,而且不需要升级现有无线网络控制器,它降低了无线网络控制器上的数据转发负载。
“端点数据交换记录”(StationSwitchingRecords是基于接入点转发数据,并在分布式转发过程中,无线网络控制器将每位相关用户的端点数据交换记录发送给接入点。
分布的端点数据交换记录能够用于用户及其设备的验证,这将确保联机的安全性。
端点数据交换记录包含设备地址、VLAN、子网段和网关、标签和交换机旗标、防火墙和QoS策略,并且禁止广播信息。
一旦接入点有用户的端点数据交换记录,接入点就能直接将信息流量传输到目的地网段。
存档、打印和应用服务也是以相似方法进行集中处理。
分布式QoS和防火墙策略实施
在分布式传输无线流量时,SmartMobile能够确保语音应用的服务质量(QoS。
它利用高速无线网络多媒体协议(WMM、DiffServ和优先级(802.1p管理,在整个核心网络实施QoS。
但是,无线接入点会根据端点数据交换记录执行QoS策略,无线接入点也会执行防火墙功能和策略,以满足信息安全和管理的要求。
分布式加密
SmartMobile能够集中定义安全策略,但是策略实施可以基于应用需要而选择分布式或集中式。
无线接入点能够执行802.11分组加密和解密功能,以确保加密性能可以随网络的发展而提升。
提高性能和可扩展性
分布式加解密模式将提供较好的性能,因为接入点内有专用的加密和解密处理芯片,它能够以较少的成本进行扩展。
另外,这方法支持以新的无线标准快速部署更多的接入点,而不是更昂贵的无线网路控制器。
当要扩大无线网络的覆盖范围时,企业会自然增加更多的接入点,并提高在接入点的加密能力和新兴标准的可用性。
即使用户数增加,也不用升级昂贵的无线网络控制器。
扩大企业应用范围:
户外覆盖范围
分布式数据传输主要是向户外和没有有线网络的地方延伸企业的无线网络服务。
分布式传输不用回传流量到无线网络控制器。
作为替代的解决方案,将在Mesh接入点执行策略。
这非常重要的,由于带宽非常有限,因此需要降低回传的流量,并节省和优化不足的带宽。
最佳的路径选择
SmartMobile选择和使用最佳的路径,是企业应用在户外和非覆盖范围的一项技术。
那些Mesh入口会因为质量或按信道权重选择无线通信线路,SmartMobile的智能交换模式将优化在整个无线网络应用的传输流量,并且比一般的路由协议更为灵活。
18
JuniperProductQuickReference
(图3-3-2
特有的跨网络移动性
移动性范围(最多32个MobileExchange知道它的所有移动性范围都在通过网络之间交换"Seed"。
"Seed"通知每个MobileExchange所在的移动性范围,MobileExchangeVLAN参数和一切相关客户端的移动性VLAN参数。
设备交换记录支持隧道到终端,如此SmartMobile能建立基于SSR的动态隧道到终端,及移动性范围对任何MobileExchange或者在移动性AP。
SmartMobile智能型的交换性能和可扩展性的最佳化
由于SmartMobile,IT管理人员可以决定根据什么流量应该到集中式和什么流量应该到分布式。
IT管理人员建立服务作为SmartMobile的网络配置的部分。
能建立不同的服务特性适合不同的应用的要求。
例如,IT管理人员可能选择对通道全部用户流量或者隔开控制器,但是有可以使用分布式的传输到全部员工。
或者IT管理人员可以使用分布式的传输全部语音流量,但是传输其它流量到中心端。
这种交换模式可以适合特殊的应用要求。
大规模采用语音无线网络(VoWLAN
多年来VoIP通讯已经有较完善的会话发起协议(SIP以及用户数据包数据数据包协议(UDP,对VoIP尽可能完善的运送,VoIP技术带来现在普遍性的部署,建立VoIP通话包括手持设备连接到中心的SIP伺服器,直接处理传输手持设备之间通讯初始沟通数据包(SIP-negotiatedUDP,一旦无线网络控制器确定手持装置和用户,VoIP手持装置就可以彼此交谈。
实质上,SmartMobile在分布式传输上选择最短的路径穿过网络,尽可能降低的延迟和不稳定,这就是保证高质量的语音电话。
19
采购手册-解决方案
不妥协的安全
SmartMobile提供不妥协的安全防护商业营运和数据保密,可分为三个部份:
■Endpoint完整性保证
由于endpoint完整性保证,SmartMobile防止错误的配置或者行动的设备会通过检查最新的安全修补程序、服务修正程序,个人防火墙和路由策略,防病毒和防间谍程序的软件。
■802.1X认证和加密
强大的认证、授权、统计,结合wirelessprotectedaccess(WPA2加密防止滥用和测录的人,隔离在私人用户和群组之间的流量,并且确保数据隐私。
■基于应用的防火墙策略
SmartMobile针对应用提供每一个用户,每一个设备,每一个群组策略,执行给QoS排程,位置和安全过滤,策略被实施在最接近于终端的网络里,保护网络带宽并且改善性能。
全面性的入侵检测防御
集中管理
SmartMobile保留集中式的管理,提供IT管理人员从单一的控制台完全对无线网络控制器的管控,才能够给集中规划、配置、部署,及管理无线网络控制器,降低运维成本和总持有费用,并且让组织有大服务用户但是只要较少IT投资费用。
RingMaster有整合3D规划,可以帮助企业规划部署他们室内和户外的无线网络,RingMaster使能够网络管理员对支持数以万计个用户有效地设定、部署、监控并且优化无线网络,IT管理人员能基于用户的身分确定策略,不管他们在有线或者无线网络中漫游接入网络,他们能一致性接入他们的资源。
移动接入点支持即插即用,并且可以通过无线网络控制器进行设定和控制,这增加管理效率和安全。
20
JuniperProductQuickReference
简化的网络架构
利用集群交换技术,企业最多可将10台EX4200以太网交换机进行互连,建立一个集群交换配置,这样就大幅减少了需要管理的设备数量。
利用集群交换技术、完整的功能以及线速性能,EX4200可配置为二合一的系统,如接入/汇聚设备,或汇聚/核心设备。
对于中型企业而言,这是一大福音,因为他们可使用EX4200来建立精简的双层网络架构,从而摒弃传统的三层局域网架构。
减少一个网络层有助于简化网络结构,并有效减少网络设备的数量以及设备的互连需求。
单一操作系统(Junos
Junos整合了路由、交换和安全服务。
单一操作系统最大的好处是:
降低操作复杂性、改善运行效率,并提供动态服务。
最后,总体拥有成本(TCO也将随之降低。
Junos软件提供一致的操作环境,可以简化网路运行、提高可用性与性能,并保护企业应用。
Junos每一季度都会定期推出新的版本,各个版本全都经过长时间的测试,能够稳定地提供新的功能,以满足不断改变的网络需求,并提高网络的可用性与扩展性。
集中的系统设置与策略定义
NetworkandSecurityManager(NSM是一套多功能的管理工具,可以管理网络中所有的路由、交换和安全基础架构。
NSM可集中执行端到端的设备生命周期管理,并制订细粒度的网络策略。
此外,NSM还提供完整的监控、报告和调查工具,以改进IT管理的效率与成本,并优化网络安全架构。
优异的威胁监控能力
STRM系列可收集来自瞻博网络和其它厂商的网络产品的安全事件与警报信息,并对所有的这些信息进行整理,以便在整个企业范围内进行严密的威胁管理。
通过全面收集数据,并进行关联比对,企业可检测出过去经常无法扫瞄的威胁,并在适当的时间以适当的方式进行防御,从而满足合规性和策略控制方面的要求。
它还提供网络报告、趋势分析和易于定制的法规。
降低总体拥有成本
减少资金支出——瞻博网络的分布式企业解决方案建立于开放式系统架构之上,并采用了行业标准,因而可以充分运用已经过实践检验的现有技术,从而降低扩展网络功能所需的资金支出。
降低运行成本——利用单一操作系统和单一网络管理应用软件,能够简化流程,降低网络运行成本。
网络管理人员只需学习一套操作系统与管理软件,便可全面地操作和控制所有网络设备。
此外,随着网络设备数量的骤减和操作方式变得更简单,网络运维与服务成本也会随之大幅下降。
25
采购手册-解决方案
■MX系列以太网多业务路由器能够提供优异的校园应用支撑能力,同时保证处理性能的不下降。
这一点尤为重要,特别是在校园网络承载大量的教科研应用系统的情况下,必须保证对应用系统具有良好的承载;
■MX系列以太网多业务路由器提供了电信级的高可靠性,从而构架稳定可靠的校园网络;■MX系列以太网多业务路由器具有较高的性价比,并提供可持续扩展的能力;
第二,构建扁平化的校园网络。
校园网整体发展的趋势是向着层次清晰化,整体架构扁平化的方向发展,以网络层次清晰化为目标,按照网络中不同的功能定位,实现二三层网络分离,构建物理和逻辑层次清晰的三层路由网络(核心业务控制层面和二层宽带接入网(宽带业务接入层面。
核心三台MX960路由器构建的业务控制层面提供了统一的用户终结和业务控制功能。
通过控制层面设备的大容量、少节点、广覆盖,有效减少网络的物理和逻辑级联级数,网络架构更加清晰,效率更高。
同时核心节点的高性能和丰富的功能特性也保障了在整个网络中能够提供统一高效的业务控制能力,实现管理控制的集中化。
宽带接入层包括了网络的汇聚和接入层没,用于负责用户和业务的接入和二层VLAN的隔离,而不再提供用户终结和业务控制方面的能力,有利于减轻这个层面设备的压力,提高整体网络的可靠性,同时,网络结构扁平化有利于网络中故障和问题的判断和处理,网络更易于管理和维护,同时也有利于网络的扩展和保护投资。
第三,是要实现整个校园网真正的精细化管理,包括以下几个方面:
■针对校园网络,包括对校园网内部和到外部网络的访问进行有效的监视、记录和审计,实现对使用者身份、网络IP地址及其访问行为的识别和记录,做到可跟踪和可追查;
■能够对网络中的使用者,实现基于用户身份的行为控制,诸如可访问的资源权限、对网络带宽的占用等方面的控制,做到可控制、可管理;
■网络应用的精细化管理,实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障;
■在某大学核心部署的MX系列路由器,今后还能够提供相应的用户功能,即提供用户的接入网络时相应的认证和控制的功能,实现每个用户的网络登录认证、IPv4/IPv6地址分配、权限控制、上下行带宽控制、详细的上网行为记录等功能,从而提供了基于用户身份的精细化管理和基于应用的深度控制,也实现了整个网络的可视、可控、可管理、可追查。
32
JuniperProductQuickReference建议架构
(图4-3-1效益与好处
该政府机构的网络有将近800个站点,利用瞻博网络SRX系列安全路由器来进行广域网连接和支持VPN加密通道,并基于防火墙策略来控制进出流量,成功地降低了总的采购预算,并减少了设备管理和备件需求,还利用一个网络管理系统来辅助设置数量庞大的VPN通道,从而减少了管理人员的设置负担和人为错误,有效地为大型政府机构做了一个分布式网络连接架构示范。
案例二整体解决方案
客户简介
某机构在中央总部有数千名员工,并服务全国重要的外地单位,由于要新建大楼,计划更新网络并建立远程备份中心。
35
采购手册-解决方案
客户需求
外地单位需要通过实时可靠的广域网来访问数据中心,新大楼的基础建设需要有高效的运行架构,并具有多层次的网络安全规划,当主要单位的机房发生故障时,需要能够将服务快速切换到备份单位以提供全年不中断的服务。
解决方案
■广域网:
使用新一代边缘路由器MX80,提供高达80Gbps的传输能力,并采用模块化的操作系统,以确保所有的处理和执行都在受保护的资源中进行,从而避免单一功能发生问题时需要重启整机,并提供运营商级的运行可靠性。
而主用和备用机房之间的主机可用性,将由负载平衡服务器进行监测,并报告给全局服务器负载平衡器(Globalserverloadbalancer,在接收到客户端的请求后,将指定适当的主机提供服务。
■第一层安全区:
在外层网络使用瞻博IDP800作为入侵防御系统,并另外利用SRX650执行防火墙功能,由于将两种防御机制交给不同的硬件来执行,加强了全方位的安全防护。
■机房核心区:
使用瞻博网络EX8200核心交换机来提供6.2Tbps的高速交换能力,并通过动态路由交换协议掌握全域的路由清单。
■第二层安全区:
由于需要异构平台提供两层安全保护,瞻博网络除了在第一层安全区使用Junos系列网络安全设备SRX以外,另外还提供ScreenOS的ISG系列做为第二层网络安全设备,从而成为了在同一环境下利用单一网络管理系统管理自身的两种异构安全设备的唯一厂商,而且都以专门的硬件设备提供高性能的接入支持。
■内部主机区:
考虑到主机群的高可用性,在主机区采用了负载平衡设备。
采用具有集群交换功能的EX4200系列全线速交换机来提供无阻塞的最大性能,并将多部交换机堆栈组成单一管理单元,以减少需要管理的设备,减少传统架构所需的冗余线路,节省上行链接的高速端口,这是一种高效运行的设计架构,最后还有专用的线路提供主要单位与备份中心的广域网传输。
■外地单位:
外地单位人数大多在百人以下,广域网与局域网也采用双机冗余的架构以避免单点失效的问题,并以分流策略管理连接的网段与可接入的对象。
SRX安全路由器同时执行广域网路由功能与安全策略,EX交换机则视外地单位的规模大小可选择单机或多台堆栈形成集群交换。
36
升级会员 