联强国际 Juniper渠道快讯

用新型网络技术助企业提高网络经济性

在如今的企业，公司网络绝不仅是将员工连接在一起的通信媒介，而是企业开展日常业务不可或缺的工具。实际上现代企业的所有业务流程都是在线活动：无论是关键业务交易、外部协作还是提高企业的竞争优势，网络都发挥着不可或缺的作用。

因此，企业持续投入巨资来构建网络基础设施便不足为奇。但由于网络技术发展速度太快，老化的网络系统和陈旧的习惯也决定了企业IT预算的支配方式：他们将一半甚至更多的IT预算用在“运行”上，希望维持现状以继续生存。长此以往，网络变得非常庞大且难于处理；为了维护系统，企业也被迫投入过多的人力、物力和财力。

作为著名的高性能网络供应商——瞻博网络公司认为上述方法从本质上存在缺陷。于是瞻博将最新技术成果与创新的交换和路由技术结合在一起，改变现有模式并提高了网络的经济性。通过在小巧平台上提供线速、高密度端口，支持“按需购买，渐进扩展”的可扩展性，以及在所有交换平台上提供企业所需的高可用性(HA)特性，瞻博网络大幅度降低了规划、部署、实施和运行企业网络的产品和资源需求。

瞻博MX系列：电信运营商级别的以太网路由器

瞻博网络解决方案从局域网核心开始转型企业网络，然后通过广域网路由器提供OC-12和以太网等多个接口，同时在传统媒体与以太网之间提供关键的媒体转换服务。

瞻博网络MX系列以太网多业务路由器(ESR)正是此类产品。MX系列专用于提供互联网级路由及以太网核心交换机的端口密度，为以太网密度及性能制定了业界新标准，最多能够为480个GbE端口或48个10GbE端口提供每秒960千兆位(Gbps)的路由性能。MX系列路由器也运行公认的JUNOS路由软件，与全球前40大电信运营商网络中部署的路由器使用同样可靠的路由协议，同时提供高可用性功能来确保高性能、可创收的网络始终处于不中断运行。这个独特组合使MX系列路由器能够将大型数据中心和园区网络中部署的广域网路由器及核心局域网交换机集成到单一平台中。

瞻博EX系列：提升网络经济性

瞻博网络EX系列以太网交换机则能通过融合局域网核心及汇聚层来提高企业网络的经济性。以瞻博网络EX 8200系列兆兆位机箱交换机为例，它最多支持64个(8插槽机箱)或128个(16插槽机箱)线速10GbE端口，是功能强大的高性能解决方案，能够轻松扩展来满足持续扩张的企业需求。

EX 8200系列交换机可以通过两种方式来提高网络的经济性。首先EX8200使企业无需部署多个交换层，从而避免了复杂性、成本、过多订购和时延问题。其次，万兆以太网(10GbE)端口密度允许中型企业网络去除整个汇聚层，以便接入交换机通过线速10GbE链路直接连接网络核心。消除整个汇聚交换机层还能大幅度降低前期购置成本并简化网络运行——包括操作系统升级以及组件的添加、删除、更改和故障排除等。

突破性的集群交换技术

值得一提的是，瞻博网络突破性的研发了“集群交换”技术，使EX 4200系列集群交换机得以在一个外观小巧、经济高效、可“按需购买，渐进扩展”的平台中提供模块化机箱的高可用性和高密度端口，藉此提高网络的经济性。

每个EX 4200系列集群交换机支持可选的前端面板上行链路模块，提供4个千兆以太网(GbE)或2个万兆以太网(10GbE)端口用于高速连接汇聚或核心交换机，还允许企业用户最多将10个EX 4200系列集群交换机通过永续性的方式互连在一起，并作为一个产品管理它们。

与普通机箱式交换机相比，瞻博网络的EX 4200系列集群交换机占地空间仅为1/8，成本不到1/3，属于新一代的交换产品。而且企业一开始可以部署只包含一个1机柜单元(1 RU)交换机的单一集群交换，然后再根据需要添加，从而降低前期购置成本，将节省的预算用于购买新技术。

降低企业运行成本

瞻博网络能帮助企业将广域网边缘和局域网核心等层次合并到MX系列路由器中，或将局域网核心及汇聚层合并到EX 8200系列兆兆位机箱交换机中，减少网络中的设备数量，相同功能也使瞻博网络EX 4200系列集群交换机能够减少接入和汇聚交换机的总数，从而降低网络和管理要求。

以部署在配线间中的接入层交换机为例，通常大楼每个楼层都设有两个配线间，各配线间中单独部署“可堆叠的”交换机来支持用户。而瞻博网络的EX 4200系列集群交换机则能够在每个楼层上创建单一“虚拟”产品，从而将需要管理的配线间接入交换机的总数减少一半，通过降低管理和维护负担来提高运行的经济性。

上述这些都将帮助企业有效地降低高达IT预算60%的前期购置和后期运行成本，允许重新分配剩余IT预算用于部署领先技术。而且这种新型的网络技术能够在不对网络基础设施产生影响的基础上，进一步提升高绩效企业的竞争力。当然，网络发展一日千里，瞻博网络公司也会无时无刻为企业提供最新的网络技术方案，以配合未来的高速增长。

SOA须打造四重安全性

安全性是较为宽泛的概念，涉及到从端点(服务器和最终用户的PC等)到核心的所有网络层。有观点认为既然SOA是应用级实施，那么只需确保应用服务器和端点提供适当的验证和授权功能以及端到端的安全传输(如SSL)即可。Juniper网络公司中国区总经理张小琳认为，这种认识比较片面，SOA须在四个方面打造安全性。

网络安全性

谈到网络安全性，张小琳认为，业内首先想到的是防火墙。然而，随着端口80/443传输越来越多的web流量，基于L3/4防火墙的传统网络安全方法虽然仍有存在的必要，但却不足以提供全面的保护。需要深层检测并保护这些端口中的流量。因此，必须部署入侵检测与防御专用的应用层安全产品来补充网络防火墙。这些产品可检测到恶意用户或恶意代码(如蠕虫)创建的模式(攻击签名)或异常流量及协议，以防它们利用应用的安全漏洞，从而在攻击到达目的地之前阻断它们。

访问安全性

张小琳表示，远程访问是企业应用中的关键组件。移动用户(包括内部员工、顾问、业务伙伴和客户)需要安全而轻松地访问企业应用，包括互联网上的SOA应用。通过VPN和SSL加密线路来连接企业应用现已成为业界标准，用于确保安全地访问面向公众的应用。业界正在朝着SSLVPN迁移并在SSLVPN上实施技术标准化，以便获得更高的灵活性和粒度更细的控制。使用JuniperSA系列等最新的SSLVPN网关解决方案，管理员将能够利用SSLVPN细粒度的应用、文件和URL级访问控制功能以及客户端安全保护功能，以便基于用户身份和客户端点安全评估结果（使用主机检查器等技术完成）动态控制应用访问。这将使企业能够使用SSLVPN在各种情况下安全地设置访问控制机制。

端点安全性

不仅是远程端点需要安全保护，在办公室外围访问SOA应用的端点也需要适当的安全保护。例如，员工可绕过所有的外围防御措施，将染毒的笔记本电脑轻松带入办公室。这些受感染的设备可发动web服务器攻击并中断网络中web服务的运行。

张小琳认为，端点安全策略执行不当是造成近期大量蠕虫和威胁泛滥的罪魁祸首。缺乏直接控制以及未能合理地执行端点策略使企业屡遭安全威胁，包括最新的防病毒保护机制、主机入侵防御机制、可接受的软硬件配置以及限制程序的运行等。

数据中心安全性

无论是否正在使用SOA，数据中心都需要通过防火墙和IDP等技术得到适当保护。张小琳表示，如果SOA大量使用web服务交易，将带来更繁重的SSL加密负担(https)。在加密/解密以及对SSL交易进行密钥处理时，将生成大量的CPU处理杂务，对CPU利用率产生负面影响，进而影响性能和可扩展性。JuniperDX等SSL卸载产品能够解决可扩展性问题并加密整个应用交易。对于需要端到端加密的环境，SSL产品能够从客户端加密/解密连接，还能重新加密与后端服务器之间的连接，这对负载平衡器和广域网加速器等需要纯文本数据才能运行的其它网络服务至关重要。

张小琳表示，总而言之，SOA的安全风险同时来自内外部。企业中使用Web服务进行互操作的系统对于内外部攻击的防御能力越来越差。当这些系统使用的Web服务由供应商和业务伙伴等外部机构提供时，SOA和web服务的部署工作将变得更加复杂。因此，应全面考虑上述所有因素并谨慎部署最新的安全解决方案，如应用级防火墙、IDP、SSLVPN和SSL卸载产品等，以便为企业中的SOA环境提供安全保护。

【联强技术加油站】：ScreenOS的多链路负载均衡功能

随着互联网的不断发展，现代企业越来越多的依靠互联网来部署自己的关键业务；不管是为了保证企业互联网业务的可靠性还是为了进一步扩展企业的互联网接入带宽，很多企业都采用了租用多条互联网接入链路的方式。那么如何将流量在多条链路上进行负载均衡呢？Juniper防火墙的ScreenOS系统提供几种不同的手段来完成这种功能。

ECMP

ScreenOS支持ECMP (Equal Cost Multi-Path /等值多路径) 功能，即支持将流量在多条等cost值的路径上进行负载分担。

假如用户有两条链路接入互联网，则可设置两条静态默认路由 (ScreenO中静态路由cost值默认都为1) 分别指向两个不同的下一跳地址，并打开ECMP功能，同时指定需要负载均衡的链路条数；另外可在防火墙连接两条链路的接口上都打开NAT功能，这样所有流量都会在两条链路上进行负载分担并转换成公网IP去往互联网。

或通过命令行 ” set max-ecmp-routes 2 ” 来启用ECMP功能，由于ScreenOS最多支持四条链路的负载均衡，因此还可使用” set max-ecmp-routes 3 ” 或” set max-ecmp-routes 4 ”。

由于防火墙是状态检测设备，因此流量会基于会话以轮询的方式进行负载均衡；举个例子，假如共有10000个会话，如果在两条链路上打开ECMP功能的话，则其中约5000个会话从链路一出去，约5000个会话会从链路二出去；ECMP功能的好处是配置简单，但其缺点也是显而异见的，即它不能智能地依据路由远近去分配流量，而是绝对平均地以轮询的方式分配所有会话到不同链路，这样有可能导致某些流量不能从最佳路由出去；比如用户同时租用了电信和网通的两条链路，ECMP打开的后果可能会导致去往电信区域的数据从网通链路出去，而去往网通区域的数据从电信链路出去。因此ECMP功能最适用于租用同一个运营商若干条链路的用户，或租用若干个互联互通情况较好的运营商链路的用户。

另外ECMP还有一个缺点是跟某些应用不兼容；比如某些多连接的应用，且该应用还要求每个连接都来自同一个IP地址，而打开ECMP的情况下，很可能同一个用户发起的两个连接中的一个从链路一出去，第二个连接从链路儿出去，导致这些应用运行不正常，最常见的例子是工商银行的网上银行业务，中国移动网上营业厅以及联众的网络游戏系统。解决方案是打开ScreenOS的nat stick功能“set dip sticky”，即保证来自同一个源IP的不同会话始终被翻译成同一个IP地址,这样就可解决应用兼容性问题。

基于目标地址的路由

为了使流量能够选择最佳路由，最直接的手段就是通过基于目标地址路由的选路方式，比如将所有去往某运营商域内的流量手工的指到到通往该运营商的下一跳路由器上，再另外用一条默认路由将其余流量指向到另外一条链路；如果是电信和网通的两条链路我习惯将具体路由指向网通路由器，默认路由指向电信路由器，原因是因为网通的路由条目较少而电信的资源较多。

比较常见的基于目标地址路由来实现负载均衡的场合是大学的校园网，由于大学校园网一般都有若干条链路接入internet，比如一条连接电信，一条连接网通，一条连接教育科研网(Cernet)，而这三个网络之间的互联互通做得并不好，比如从电信链路出去访问Cernet的资源，会发现延时很大，速度很慢。这时使用基于目标地址的路由可以最大程度保证流量选择最佳路由出去。

基于源地址的路由 (PBR)

实现流量复杂均衡还有一个手段就是采用源地址路由的方式。一般的三层转发设备都是通过查询路由表 (存放基于目标地址的路由) 来实现路由选路，而源地址路由(PBR)方式提供了另外一个手段，即防火墙会先查询某预先定义的特殊路由表(PBR 路由表)来进行路由查询，当PBR路由表中没有命中的路由条目时再去查询默认的路由表；也就是说，PBR路由表的优先级比默认路由表高。

而PBR路由表中存放的路由都不是按照目标地址来进行选路的，而是基于别的一些因素；比如源地址，源端口，目标地址，目标端口以及IP包头的COS字段这5者的任意组合。因此用户可以利用该特性按照内网用户的源地址属性进行选录。

举个例子，加入用户租用了两条链路，一条带宽为2M，另一条带宽为10M，则可把内网的用户划分为12个网段，通过PBR将2个网段从2M链路送出去，另外10个网段从10M链路送出去以实现静态的负载均衡。

入方向的负载均衡

前面讲的三种方式其实都是出方向的负载均衡，即连接由内向外发起，适合大多数企业的环境；但可能有的用户，比如提供互联网服务的企业，需要同时实现入方向的负载均衡，即要求当互联网用户发起请求内网的服务器数据的连接时，选择就近的链路接入。

熟悉运营商路由策略的人都了解，每个运营商都只发布自己的域内路由；因此当用户连接的目标地址属于运营商A的地址范围的时候，该连接一定会进入运营商A的路由域并传输到达最终目的地址。

因此对于入方向的流量，其实并没有什么好的负载均衡手段，除非你有自己的独立于运营商的地址范围(自己的AS域)并通过BGP路由协议将自己的地址通告给所有的peer运管商，但这种条件很难达成。

幸好互联网的寻址系统还包括有一个DNS协议，如果DNS服务器能够将某服务器的域名解析成若干个分别对应不同运营商的地址，则连接就可以在连接这些运营商的链路上平均分摊以实现负载均衡；这个功能实现起来很简单，只需在DNS服务器上添加多条A记录即可(www.163.com就是这么做的)；但由于DNS服务器不会检查链路故障，因此当某条链路断掉后，DNS服务器依然会将域名随机的解析到该链路所属运营商的地址上，因此可能导致这部分流量服务不可用。

商业化的负载均衡设备(比如F5的Linkcontroller和Radware的LinkProof)都内置一个小DNS服务器，该DNS服务器可监控链路状态的变化，当发现某条链路故障时，就不会将域名解析到该链路所属运营商的地址，以实现服务的高可用性。当然，这类设备的价格要比防火墙贵很多很多。

点击此处加入我们，以便能及时获得最新渠道和产品资讯。