Producten van Juniper Networks: verschil tussen versies

Juniper Networks is een fabrikant van netwerkapparatuur. Begonnen als een leverancier van backbone-routers voor internetproviders in 1995, is het inmiddels een leverancier van een breed assortiment routers, switches en beveiligingssystemen.

JUNOS

JUNOS is het centrale besturingssysteem van alle apparaten van Juniper Networks. Het is te vergelijken met Cisco's IOS of IOS-XR. JUNOS is een modulair besturingssysteem dat zorg draagt voor de werking van alle Juniper Networks-systemen. Via de command-line-interface van JunOS kan men de netwerksystemen van Juniper configureren.

JunOS is gebaseerd op FreeBSD, een Uniximplementatie die ontwikkeld is op de Universiteit van Californië - Berkeley. De huidige JUNOS versie 8.5 is gebaseerd op FreeBSD versie 6.1. Versies vroeger dan JUNOS 5.0 waren gebaseerd op FreeBSD version 2.2.6.^[1]

Routers

Op het gebied van routers kent Juniper een aantal productlijnen:

M-series

De originele M-serie: de multiservice-Edge-routers voor toepassing aan de randen van de backbone. Startend met de M7i met een schakelcapaciteit van 10 Gbps tot aan de M320 met 320 Gbps totale switching-capaciteit. De originele M40 is nu opgevolgd door de M40e.^[2]

MX-series

De MX-serie zijn routers speciaal voor ethernet-switching en routering: ook deze lijn is bestemd voor de randen van een netwerk van een serviceprovider.^[3]

E-series

De E-serie routers zijn routers voor breedbandinternetproviders. De E-120 en E-320 bieden 120 en 360 Gbps switch-capaciteit voor de PoP's van breedbandproviders. Daarnaast is er de ERX-serie met diverse modellen aggregatie routers in een breedbandnetwerk^[4] zodat het verkeer van bijvoorbeeld meerdere kabelnetwerken samengevoegd en geconcentreerd wordt via één router.

J-series

De J-serie routers zijn bedoeld voor toepassing in bedrijfsnetwerken met zowel werkstations, VOIP- als VPN-toepassingen. (Grote) bedrijven die een eigen netwerkinfrastructuur hebben worden bediend met deze reeks. De J-series bieden naast routeringfunctionaliteit ook firewallmogelijkheden en hardware VPN met encryptie. De serie begint met de J-2320 met 4 ethernet-interfaces en 3 zogenaamde PIM-slots en eindigt met de J-6350 die ook 4 ethernet-interfaces 'on board' heeft en plaats biedt aan maximaal 6 PIM en 4 EPIM-slots^[5].

T-series

De zware T-serie wordt toegepast in het hart van een backbone: de T-320 kan toegepast worden in datacentra waar gewoekerd moet worden met de ruimte. De T-320 neemt een derde 19"-kast in. De T-640 biedt ruimte aan 8 sloten, en elk slot heeft een schakelcapaciteit tot 40 Gbps. De T-1600 is net als de 640 een halve 19"-kast groot, maar meerdere chassis samen kunnen een T-1600 vormen. Vervolgens is er in de T-serie de Matrix-optie waarbij tot 4 T-640 samen een logische router vormen. Deze biedt dan 32 sloten en een doorvoercapaciteit tot 2,5 Tbps. De top of the line vormt momenteel de T-Matrix plus, die tot 16 T-1600-routers kan combineren in een logische routeringsmachine. Vervolgens kan dat systeem dan gepartioneerd worden met het het JCS1200-beheersysteem.^[6][7]

Nichemarkten

Voor speciale toepassingen zijn er nog routers zoals de LN1000 die 8 x 1Gbps-ethernet-interfaces biedt en routering, switching, firewall, VPN en een intrusion detection systeem biedt in een zeer solide uitvoering. De LN1000 is erop gebouwd om bestand te zijn tegen trillingen, hoge vochtigheid, grote hoogtes etc. Router is bedoeld voor toepassing in mobiele buitenopstellingen, in vliegtuigen en andere voertuigen.^[8]

De BX7000 is bedoeld voor toepassing door mobiele operators met 3G/4G om het verkeer van vele sites te concentreren naar centrale punten. De BX7000 wordt gebruikt op de remote sites en ondersteunt onder andere straalverbindingen voor connectie met een centrale site.^[9]

Modules

Bijna alle routers van Juniper zijn modulair van opzet. Ofwel alleen met betrekking tot de interfacekaarten (al dan niet met on-board-schakelprocessing) of een complete range aan beheer, processor en netwerkinterfaces kaarten. Afhankelijk van het gekozen routerplatform zijn er verschillende switching en interface-modules bruikbaar. J-series routers en de Secure Services Gateway (SSG) kennen de Physical Interface Modules (PIM's) en Enhanced Interface Modules (EPIM's). Een PIM of EPIM biedt ofwel WAN-interfaces (E1, T1, ADSL, E3, ISDN BRI etc.) als LAN- of ethernet-interfaces. Een module kan 1 tot 4 ethernet-interfaces bieden in koper of glas.^[10]

De E-series-router gebruikt LM's waarbij het cijfer de schakelcapaciteit per kaart aangeeft LM-4 voor 4 Gbps en de LM10 voor 10 Gbps per module. De LM4 biedt POS- en ATM-interfaces met 1, 2, 4 of 8 interfaces per halve kaart. Daarnaast zijn er 4 of 8 poorts-Gigabit-ethernetkaarten en 2 poorts-10Gb-LM4's (waarbij 1 poort actief is en de ander stand-by). De LM10-U biedt 1 x 10Gb-ethernet-interface en de LM10-A biedt 20Gb-interfaces ^[11]

De zware T-series biedt interface-modules met, bijvoorbeeld, 10 x 10Gb oversubscribed PIC of de 4 x OC192 optische interfaces (met DWDM of de multipoort STM1/STM4 POS interfaces. In een volledig uitgeruste Matrix plux-opstelling kunnen zo 2560 10Gb-interfaces gebruikt worden die 50% van de lijnsnelheid aan switchingcapaciteit aankunnen.^[12][13]

Beveiligingssystemen

Juniper biedt een aantal producten die bedoeld zijn om netwerken te beschermen tegen ongeoorloofde toegang van buitenaf, aanvallen, ongewenst verkeer, voorkomen van aftappen van data etc. Voor elke deelmarkt levert het bedrijf dedicated apparaten; dus firewalls, VPN-concentrators, secure-wifi-access-punten enzovoort, maar ook zijn er een groot aantal combinatieproducten: een ethernetswitch met router-opties, VPN-SSL-encryptie en firewallfuncties ineen. Naast de verschillende apparaten is er ook een beheerplatform waarmee alle verschillende netwerk-systemen via een centraal platform beheerd kunnen worden.

IDP

Juniper levert ook systemen voor Intrusion Detection and Prevention (IDP). De meeste beveiligingsproducten zijn gemaakt om toe te passen op het koppelvlak tussen een bedrijfsnetwerk en een openbaar netwerk (lees: internet): een firewall houdt inkomend ongewenst verkeer tegen en voorkomt dat een interne gebruiker verbindingen maakt met een extern systeem wat niet gewenst is. En een VPN-access-concentrator maakt het mogelijk dat iemand van buitenaf toegang kan krijgen tot het bedrijfsnetwerk maar alleen via VPN waarbij het verkeer versleuteld wordt en de identiteit van de inlogger extra gecontroleerd wordt.

Een IDP-systeem werkt echter anders: hij bewaakt het verkeer binnen een netwerk zelf: door het inzetten van IDP-systemen op strategisch knooppunten in het netwerk kan het dataverkeer dat binnen het bedrijfsnetwerk blijft geanalyseerd worden en wordt er alarm gegeven als er verdacht dataverkeer plaatsvindt. Net als bij gewone inbraakalarmsystemen moet een IDP-systeem de juiste balans vinden tussen het voorkomen van valse alarmmeldingen en het missen van daadwerkelijke problemen.

Enkele principes of technieken die worden gebruikt zijn: het herkennen van ongewenst verkeer of aanvalspoging op basis van de handtekening van de verkeersstroom. Dit gaat onder andere via een database met signatures van verdachte datastromen. Indien er een nieuw datapatroon behorend bij een aanval is onderkend, dan wordt die dezelfde dag verstuurd naar alle IDP-systemen.

Een andere methodiek is het herkennen van sterk afwijkende verkeerspatronen: indien een bepaalde pc plots een geheel nieuw verkeerspatroon laat zien dan kan dit gerapporteerd worden aan de beheerder en/of kan dit verkeer worden tegengehouden.

Tenslotte is het mogelijk om zeer specifiek te configureren welke computer of gebruiker wat voor verkeer mag genereren en wanneer: zo kan de gebruiker bijvoorbeeld bepalen dat verkeer naar poort 80 van de intranetserver of naar het internet toegestaan is, maar dat er alarm wordt geslagen als die pc verbinding maakt met op poort 80 een ander werkstation binnen het LAN.^[14]

Intergrated Security Gateway

Een Intergrated Security Gateway is een volledig geïntegreerde firewall, VPN-concentrator en IDP appliance ineen. De ISG1000 heeft een maximale doorvoersnelheid als firewall van 2 Gbps en voor VPN-concentrator met 3DES of AES de helft daarvan. Voor het ISG2000-model gelden dubbele doorvoersnelheden.^[15]

Netscreen

Via de modellen in de Netscreen-reeks biedt Juniper de zakelijke en providermarkt een geïntegreerd platform voor firewall en VPN-access-concentrator met encryptie. De twee nog bestaande modellen kunnen als firewall een datastroom van 10 resp. 30 Gbps aan en als VPN-concentrator met encryptie 5 resp. 15 Gbps. Zowel de Netscreen 5200 als 5400 kennen maximaal 10 ethernet interfaces: 8 x mini-GBIC en 2 x XFP10Gbps.

Verder ondersteunt het platform 40.000 beleidsregels en verwerkt het maximaal 1 resp. 2 miljoen gelijktijdige sessies, ten minste 4096 VLAN's en kan men er 3 tot ruim 1000 virtuele routers configureren.^[16]

Service Gateways

De SRX-productenserie zijn gecombineerde firewall en VPN-concentrators en lopen vanaf de SRX100 (doorvoersnelheid firewall 650 Mbps, Intrusion protection: 60 Mbps), 3-DES-VPN-encryptie: 65 Mbps^[17] tot aan de SRX5800 (doorvoersnelheid firewall 120 Gbps, intrusion protection en 3-DES VPN: 30 Gbps)^[18][19]

De kleine modellen vanaf de SRX100 tot aan de SRX650 zijn ontworpen voor decentrale opstelling om (remote) locaties te koppelen aan het centrale netwerk op het hoofdkantoor of in een datacenter. Al deze modellen hebben een aantal vaste LAN-interfaces: van 8 x fast ethernet voor de SRX100 tot 4 x 10/100/1000 Gigabit-interfaces op de 650. Behalve de SRX100 hebben ze vervolgens een of meer WAN-interfaces voor de koppeling met de centrale apparatuur in het datacenter. Voor de modellen voor de (kleinere) remote locaties (SRX2x0-modellen) worden onder meer de volgende WAN-interfaces aangeboden: T1/E1 2Mb PDH/huurlijnverbinding, ADSL, SDSL, VDSL, geïntegreerde DOCSIS-kabelmodem of optische groot-bereik-ethernet-interfaces. Hoewel de SRX650 officieel nog een remote Service Gateway is kan deze ook als kleine centrale gateway worden toegepast.

Voor centrale opstelling zijn er de modellen SRX3x00 en SRX5x00: dit zijn systemen die het verkeer van vele remote locaties kunnen ontvangen om te koppelen met de centrale IT-infrastructuur op het hoofdkantoor of in een speciaal datacentrum. Al deze systemen zijn modulair van opzet, zowel qua LAN- en WAN-interfaces alsook qua route-engine, firewall-processor en VPN-module etc. Het zwaarste model, de SRX5800, biedt een firewalldoorvoercapaciteit tot 120 Gbps en een doorvoersnelheid als VPN-concentrator met (bijvoorbeeld) 3-DES encryptie en ook als IPS tot 30 Gbps.^[19] Alle datacenter-SRX-modellen kunnen in een redundante clusteropstelling worden gebruikt. Hierbij kan men kiezen uit active-active (twee of meer apparaten verdelen het verkeer middels load-sharing). Als vervolgens een systeem buiten dienst gaat neemt de ander het over. Afhankelijk van de load op de overblijvende systemen zou de performance kunnen teruglopen als een van de apparaten uitvalt.

Een andere configuratieopstelling is active-passive: als er op enig moment slechts één systeem actief is en de ander is idle vindt er een fail-over plaats. Dit betekent dat de tot dan toe passieve node al het verkeer overneemt van het nu stoppende systeem.^[20]

Software

Met Identity and Policy control en Steel Belted Radius biedt Juniper beheerders van bedrijfsnetwerken gereedschap om goede bewaking van authenticatie en beveilingingsbeleid af te dwingen. Zo is er de Steel Belted Radius-server in een uitvoering als DHCP-server in een bedrijfsnetwerkomgeving of in een ISP-omgeving. Deze extra robuuste DHCP-servers draaien op de Juniper-servers. In combinatie met Odyssey Access Client biedt het een compleet platform voor veilige authenticatie op basis van RADIUS.^[21]

Switches

De Juniper EX-series-ethernetswitches is een reeks switches beginnend bij een non-modulaire 24 of 48 poorts-ethernetswitch (EX2200)^[22] tot een modulaire switch van 8 of 16 slots, waarbij elk slot ofwel 48 x (10/)100/1000 interfaces over koper of glas mogelijk maakt of 8 x 10 Gbps. (EX8200)^[23].

De switches bieden layer-2-functies als VLAN-tagging, spanning-tree-protocol, port-monitoring etc. En ook IP layer 3-routeringsopties zijn ondersteund, zoals IPv4- en IPv6-route-informatie en BGP-4-routing.^[24]

Draadloos

Juniper heeft de AX111, een op afstand beheerd wifi-toegangspunt. Daarnaast biedt Juniper de CX111, die via mobiele netwerken verbindingen opzet: ofwel als standaardverbinding of als alternatieve bij uitval van de gewone (VPN-based) backboneverbinding: bij uitval van de backbone via een bekabeld netwerk (privénetwerk of VPN-tunnel over internet) kan de CX111 zorg dragen voor een alternatieve verbinding via UMTS/HSDPA. De CX111 kan als stand-alone-apparaat ingezet worden of als add-on voor een SSG-platform^[25] of in combinatie met een SRX- of J-series-router^[26].

Bronvermelding

Bronnen, noten en/of referenties:

1. º Details JUNOS op website Toolbox.com, bezocht 22 augustus 2010
2. º Juniper website over de M series routers, bezocht 21 augustus 2010
3. º Juniper website over de Mx series routers, bezocht 21 augustus 2010
4. º Juniper website over de E-series routers, bezocht 21 augustus 2010
5. º Juniper website over de J-series routers, bezocht 21 augustus 2010
6. º Informatie over JCS1200 beheersysteem, bezocht 20 augustus 2010
7. º Juniper website over de T en TX series routers, bezocht 21 augustus 2010
8. º Informatie LN1000 op website Juniper, bezocht 19 augustus 2010
9. º Juniper website BX productlijn, bezocht 21 augustus 2010
10. º ePIM compatibility list, downloaded 20 augustus 2010
11. º Juniper website over LM4 en LM10, bezocht 21 augustus 2010
12. º Info 10 x 10Gb PIC op Junipersite, bezocht 21 augustus 2010
13. º Overzicht modules voor de TX Matrix plus op Junipersite, bezocht 21 augustus 2010
14. º Features and benefits Juniper IDP series, bezocht 22 augustus 2010
15. º ISG details, productdetails van Juniper, bezocht 20 augustus 2010
16. º Details Netscreen series firewall/VPN appliances op website Juniper
17. º Technische details SRX100 op productenpagina Juniper. Opgevraagd 22 augustus 2010
18. º Technische details SRX5800 op productenpagina Juniper. Opgevraagd 22 augustus 2010
19. ↑ ^{19,0 19,1} SRX hoofdpagina: Vergelijk SRX modellen bezocht 21 augustus 2010
20. º Implementation guides data flow in the cloud-ready datacentre, bezocht 21 augustus 2010
21. º Details Identity and policy control
22. º Productpagina EX2200 op Juniper.net, bezocht 22 augustus 2010
23. º Productpagina EX8200 op Juniper.net, bezocht 22 augustus 2010
24. º External Routing Engine informatie op website Juniper
25. º Configure CX111 in SSG environment
26. º Configure CX111 in SSG and J-series router environment

  Intertaalkoppelingen via Wikidata (via reasonator)