close

Вход

Забыли?

вход по аккаунту

Образовательный портал «РЕШУ ЕГЭ» (http;pdf

код для вставкиСкачать
Успешные внедрения ТРИНИТИ
технологий Juniper Networks.
Основано на реальных событиях.
www.trinitygroup.ru
МОДЕРНИЗАЦИЯ
ПЕРИМЕТРА
СЕТИ
www.trinitygroup.ru
Модернизация периметра сети сервиспровайдера/ЦОД
Задача:
Необходимо модернизировать периметр сети сервис-провайдера, имеющего свой
собственный ЦОД.
Требования заказчика к решению:
•
•
•
•
•
•
Возможность принимать несколько полных таблиц BGP (Full View)
Высокая отказоустойчивость решения
Уровень производительности ~ до 5 Гбит трафика
Гибкие возможности по сетевым интерфейсам
Наличие мощной системы предотвращения вторжений (IPS)
Отсутствие проблем интеграции с существующими сегментами сети заказчика,
сетей клиентов, сетей DMZ
• Переход на новое решение с минимальным даунтаймом
July 4, 2014
Внедрение технологий Juniper Networks
3
Старая архитектура сетевого периметра заказчика
IS P A
AS xxxx
IS P B
AS yyyy
C2821
C2821
ASA5510
Active
ASA5510
Standby
Cat3560
DMZ
July 4, 2014
Внедрение технологий Juniper Networks
Cat3560
ЛВС
Клиенты
4
Необходимо решить следующие проблемы:
• Улучшить уровень отказоустойчивости
Решение обладает минусами в части отказоустойчивости по
существующей топологии
• Улучшить производительность и масштабируемость
Планируется подключать дополнительные каналы, решение должно
хорошо масштабироваться, существующее решение упирается в
потолок производительности, также
создает трудности в приеме Full View BGP (недостаточный объем
памяти, очень медленная обработка BGP Feed)
• Улучшить безопасность
В существующем решении недостаточный контроль за трафиком
приложений, трудно защититься от Evasive-техник обхода
межсетевого экрана, IPS-модуль к ASA5510 максимум до 150 Мбит,
к тому же End Of Sale.
July 4, 2014
Внедрение технологий Juniper Networks
5
Новое решение на Juniper
ISP A
ISP B
AS yyyy
AS xxxx
ISP C
AS zzzz
BGP
BGP
Juniper MX5
BGP
Juniper MX5
ge-2/0/0
SRX
Cluster
Juniper SRX650
Juniper SRX650
Juniper EX2200 Virtual Chassis Lite
ЛВС
July 4, 2014
Внедрение технологий Juniper Networks
DMZ
Клиенты
6
Поставленные задачи решили, проблемы устранены !
• Улучшить уровень отказоустойчивости
–
–
–
–
Нет единой точки отказа
Возможность проводить регламентные работы без прерывания работы
Соответствует Best Practice от Juniper в архитектуре Internet Edge
Кластер из межсетевых экранов SRX сохраняет состояние пользовательских сессий, при
Failover кластера пользовательские сессии не разрываются.
• Улучшить производительность и масштабируемость
–
–
–
–
4 млн маршрутов в RIB, 1 млн маршрутов в FIB = BGP Full View нет проблем !
Производительность МСЭ – до 7 Gbps, 900 Mpps, 512k сессий, до 30k сессий в секунду !
Производительность IPS – до 1 Gbps !
Наконец то подключили каналы от третьего провайдера !
• Улучшить безопасность
– Полноценно экранировали сети заказчика, сети клиентов и сети DMZ !
– Единая отказоустойчивая точка применения политик для межсетевого трафика
– IPS позволяет более глубоко защитить все подключенные сети, опционально можно
настраивать политики для трафика не в разрезе IP-адресов/портов, а приложений
(Application Firewall – нужна дополнительная лицензия)
July 4, 2014
Внедрение технологий Juniper Networks
7
Считаем и сравниваем бюджеты
Cisco 2821
Cisco ASR1002-X
Juniper MX5
87 Mbps (CEF)
5 Gbps (up to 36Gbps)
20 Gbps (up to 80Gbps)
170 kpps
до 30 Mpps
55 Mpps
нет
да
да
2x1Gbit
4x1Gbit SFP
20x1Gbit SFP
Максимальный размер RIB
-
до 3.5 млн
4 млн
Максимальный размер FIB
-
до 1 млн
1 млн
EoS
70 000$
36 000$
Cisco ASA5510
Cisco ASA5545-X
Juniper SRX650
300 Mbps
3 Gbps
7 Gbps
150-300 Mbps
900 Mbps
1 Gbps
Максимально сессий
130 000
750 000
512 000
Максимально сессий в секунду
2x1Gbit
30 000
30 000
Встроенные порты
5x1FE
8x1GE
4x1GE
Поддержка 10GE
нет
нет
2x10GE
Цена (List Price)
EoS
26 200$
24 500$
Масштабируемость
Производительность
Поддержка 10GE
Встроенные порты
Цена (List Price)
Производительность МСЭ
Производительность IPS
July 4, 2014
Внедрение технологий Juniper Networks
8
ПРОЕКТИРОВАНИЕ
КАМПУСНОЙ СЕТИ И
СЕТИ ФИЛИАЛОВ
www.trinitygroup.ru
Построение сети кампуса предприятия
Цель:
Модернизировать кампусную сеть предприятия, организовать отказоустойчивое ядро
сети, отказоустойчивое подключение к сети серверной фермы.
Вводные:
• 3 здания в кампусе, в одном из них организуется отдельная серверная
• Топология сети представляет «гирлянду», много точек отказа, проблемы с STP
(широковещательные шторма) часто приводят к остановке работы
• Уровни ядра, распределения и доступа «размазаны» по всей сети.
• Сеть представляет собой смесь управляемых и неуправляемых коммутаторов =
головная боль в управлении
Требования и задачи:
• Привести топологию сети в порядок, построить уровень доступа, ядра/агрегации,
подключения серверной фермы к сети
• Заказчик ориентировался на Cisco, но готов рассмотреть другие предложения,
главное – соотношение цены к функциональности и удобству управления
July 4, 2014
Внедрение технологий Juniper Networks
10
Решение на основе оборудования Juniper
ЦЕНТРАЛЬНАЯ СЕРВЕРНАЯ
2x1Gbit
Juniper Mixed Virtual Chassis
2x Juniper EX4550-32F + 2x Juniper EX4200-24T
6 x 10 Gbit Aggregated Ethernet
Juniper EX 3300 Virtual Chassis (6x Juniper EX3300-48T)
Здание А
July 4, 2014
Внедрение технологий Juniper Networks
Здание В
Здание Б
11
Сравниваем бюджеты
Решение на Cisco
Решение на Juniper
Cisco WS-C4500X-32SFP+
(2шт)
Juniper EX4550-32F-AFI
(2шт) + EX-VC1-128G (2шт)
$78 000
$72 000
Сisco WS-C3750X-24T-S (2шт)
+ C3KX-NM-10G (2шт)
Juniper EX4200-24T (2шт)
$20 000
$11 500
Сisco WS-C3750X-48T-S (6шт)
+ C3KX-NM-10G (6шт)
Juniper EX3300-48T (6шт)
Коммутаторы кампуса – стоимость
(List Price)
$92 000
$66 000
Цена (List Price)
$200 000
$149 500
Ядро сети 10GE
Ядро сети - стоимость (List Price)
Серверная ферма
Серверная ферма - стоимость (List
Price)
Коммутаторы кампуса
July 4, 2014
Внедрение технологий Juniper Networks
12
Построение филиальной сети предприятия
Цель:
Построить распределенную филиальную сеть предприятия, обеспечение сотрудников
мобильным удаленным доступом к приложениям.
Вводные:
• Компания планирует развивать региональные представительства и офисы продаж.
Число точек продаж планируется около 120 и будет расти дальше.
• В компании принята централизованная модель работы, все сервисы расположены в
своем ЦОД, удаленные площадки будут подключены к ЦОД через сеть Internet
Требования и задачи:
• Обеспечить отказоустойчивое VPN-подключение удаленных площадок к ЦОД с
использованием 2-х операторов связи, на каждой площадке. Каналы на основной
площадке 2 x 100 Mbit, на удаленных площадках 2-3 Мбит. Ядро VPN-сети должно
быть зарезервировано.
• Заказчик ориентировался на Cisco, но готов рассмотреть другие предложения,
главное – соотношение цены к функциональности и удобству управления
July 4, 2014
Внедрение технологий Juniper Networks
13
Решение на основе оборудования Juniper
Juniper SRX240H2 Cluster
ISP1
ISP2
VPN2
Spoke to
Hub
VPN1
Spoke to
Hub
INTERNET
ISP A1
ISP B1
Juniper SRX100H
July 4, 2014
Внедрение технологий Juniper Networks
ISP An
.
ISP Bn
ISP An
Juniper SRX100H
14
Сравниваем бюджеты
Ядро VPN-сети (VPN Hub)
Cisco 2921-SEC/K9
Cisco ASA5515-X
Juniper SRX240H2
Полный
Частичный
Полный
151 Mbps
до 1.2 Gbps
до 1.8 Gbps
-
250 000
15 000
256 000
8 500
85 Mbps
250 Mbps
300 Mbps
225 (без HSEC)
250
1000
Отказоустойчивость
нет
HA Failover
HA Сluster
Поддержка GRE туннелей
да
нет
да
3 x 1GE
Широкий выбор
6 x 1GE
нет
16 x 1GE
Широкий выбор
нет
Да
Да
IPSec VPN, SSL VPN
IPSec VPN, SSL VPN
IPSec VPN
$4 600
$5 000
$3 000
Функционал маршрутизатора
Производительность
(Stateful Inspection)
Максимальное кол-во сессий
Максимально сессий в секунду
Производительность VPN
(3DES/AES)
Максимально IPSec-туннелей
Фиксированные интерфейсы
Доступные WAN интерфейсы
Функционал UTM
(Unified Threat Management)
Remote Access VPN
Цена (List Price)
July 4, 2014
Внедрение технологий Juniper Networks
15
Сравниваем бюджеты
Узел VPN-сети (VPN Spoke)
Cisco 891
Cisco ASA5505
Juniper SRX100H
Полный
Частичный
Полный
85 Mbps
до 150 Mbps
до 700 Mbps
-
10 000 (до 25 000)
4 000
32 000
1 800
70 Mbps
100 Mbps
65 Mbps
Максимально IPSec-туннелей
50
10 (до 25)
128
Отказоустойчивость
нет
HA Failover (Stateless c
доп лицензией)
HA Сluster
Поддержка GRE туннелей
да
нет
да
Фиксированные интерфейсы
Доступные WAN интерфейсы
Функционал UTM
(Unified Threat Management)
2 x 1GE + 4 x 10/100
нет
8 x 10/100M
нет
8 x 10/100M
нет
нет
Да
Да
Remote Access VPN
IPSec VPN, SSL VPN
IPSec VPN, SSL VPN
IPSec VPN
$1 300
$995
$700
Функционал маршрутизатора
Производительность
(Stateful Inspection)
Максимальное кол-во сессий
Максимально сессий в секунду
Производительность VPN
(3DES/AES)
Цена (List Price)
July 4, 2014
Внедрение технологий Juniper Networks
16
СПАСИБО
Талтаев Чингис
Офисы:
+7 (812) 327-59-60 доб.2209
+7 (905) 211-71-80
Санкт-Петербург
+7 (812) 327-5960
[email protected]
Москва
+7 (495) 232-9230
Екатеринбург
+7 (343) 378-4150
Сайт
www.trinitygroup.ru
Технический форум
www.3nity.ru
1/--страниц
Пожаловаться на содержимое документа