渊博的人 2007-12-7 23:06
Juniper J系列路由器软件首家评测
[align=left][align=left][font=宋体][size=12pt]作为一个企业级用户,您需要高密度的[/size][/font][font=Arial][size=12pt]10G[/size][/font][font=Arial][size=12pt] POS[/size][/font][font=宋体][size=12pt]接口,并实现线速转发的电信级路由器吗?也许微软、[/size][/font][font=Arial][size=12pt]Google[/size][/font][font=宋体][size=12pt]会需要,不过暂时多数用户还没有如此大的广域网通信需求,高速链路和昂贵的电信级设备也是大多数企业用户无法承受的或目前业务所不需要的。但是,别和电信级标准说不,哪怕是在分支办公室这样的应用场所。因为,企业要实现真正的业务永续,那么企业关注的不应该仅仅只是网络的核心。作为网络的边缘,虽然投资不大,但它在保证企业实现业务永续的重要性上其实和网络核心是一样的。因为作为将远端数据转发到数据中心的网络最边缘的路由器也应该是个最稳定的路由器保证网络的不间断,它的不稳定,不健壮,将无法实现真正的业务永续。还有即使是人数不多的企业网运营团队,也需要规范的维护思想、流程,便捷的维护操作手段。[/size][/font][font=Arial][size=12pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=12pt]据悉,[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]公司正在不断加强其在企业网市场的竞争力,特别是向企业提供交换机和中低端路由器。作为在电信级路由器市场取得骄人战绩的[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]公司,他们推出的面向企业网路由器和交换机会有什么样的特色呢?更高的性能、更安全的网络解决方案和产品一直是[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]的追求。而在上至[/size][/font][font=Arial][size=12pt]T1600[/size][/font][font=宋体][size=12pt],小至[/size][/font][font=Arial][size=12pt]J[/size][/font][font=宋体][size=12pt]系列路由器,横向到所有交换机乃至安全产品中都采用[/size][/font][font=Arial][size=12pt]JUNOS[/size][/font][font=宋体][size=12pt]操作系统则是[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]产品的最大特点。作为在电信级市场取得骄人成绩的[/size][/font][font=Arial][size=12pt]JUNOS[/size][/font][font=宋体][size=12pt]操作系统则是[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]真正成功的基石。现在[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]在企业级产品,包括中低端路由器[/size][/font][font=Arial][size=12pt]----J[/size][/font][font=宋体][size=12pt]系列中都融入了电信级产品的精髓[/size][/font][font=Arial][size=12pt]----JUNOS[/size][/font][font=宋体][size=12pt],它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性。[/size][/font][font=Arial][size=12pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=12pt]《网络世界》评测实验室有机会对[/size][/font][font=Arial][size=12pt]Juniper[/size][/font][font=宋体][size=12pt]公司的[/size][/font][font=Arial][size=12pt]J6350[/size][/font][font=宋体][size=12pt]路由器进行了评测。此次测试的重点在于[/size][/font][font=Arial][size=12pt]JUNOS[/size][/font][font=宋体][size=12pt]的健壮性,易用性以及安全性。让我们率先体验一下[/size][/font][font=Arial][size=12pt]JUNOS[/size][/font][font=宋体][size=12pt]能够给企业网带来的帮助。[/size][/font][font=Arial][size=12pt][/size][/font][/align][/align][align=left][align=left][font=宋体][size=12pt]测试亮点[/size][/font][font=Arial][size=12pt][/size][/font][/align][/align][align=left][align=left][font=Arial][size=12pt]● [/size][/font][font=宋体][size=12pt]模块化设计确保系统健壮[/size][/font][font=Arial][size=12pt][/size][/font][/align][/align][align=left][align=left][font=Arial][size=12pt]● [/size][/font][font=宋体][size=12pt]软件设计减少人为错误,保证网络稳定[/size][/font][font=Arial][size=12pt][/size][/font][/align][/align][align=left][align=left][font=Arial][size=12pt]● [/size][/font][font=宋体][size=12pt]多项默认设计确保系统安全性[/size][/font][font=Arial][size=12pt][/size][/font][/align][/align][align=left][align=left][font=Arial][size=12pt] [/size][/font][/align][/align][align=left][align=left][b][font=Arial][size=12pt]JUNOS[/size][/font][/b][b][font=宋体][size=12pt]模块化设计分析[/size][/font][/b][font=Arial][size=12pt] [/size][/font][/align][/align][font=Times New Roman] [/font]
[align=left][align=left][font=Arial][size=10.5pt] [/size][/font][/align][/align][size=10.5pt][font=Times New Roman] [/font][/size]
[font=Verdana]
[align=center][font=Verdana][img]http://newtest.cnw.cn/resources/2007_06/2007_06_20/200706200731184904968984.jpg[/img][/align][/font]
[font=Verdana][font=宋体][font=宋体]送测的两台[/font][font=Arial]Juniper[/font][font=宋体]路由器,上面是[/font][font=Arial]J4350[/font][font=宋体],下面的[/font][font=Arial]J6350[/font][font=宋体]。模块化设计可以使用更多样的广域网链路。[/font][font=Arial][/font]
[font=宋体]上个世纪[/font][font=Arial]90[/font][font=宋体]年代的[/font][font=Arial]PC[/font][font=宋体]机,有一个[/font][font=Arial]reset[/font][font=宋体]键,方便在系统软件出问题的时候重新启动。直到今天[/font][font=Arial]PC[/font][font=宋体]机运行缓慢或者程序出现问题,很多人还习惯重新启动计算机。但是网络管理员是不应该有这个习惯,比如路由器运转逐渐变慢,或者某个服务模块死锁就重新启动路由器,或者干脆断电重来,网络设备不应该有[/font][font=Arial]reset[/font][font=宋体]键的,在电信级决不是好设计,在企业级网络也不是好设计。[/font][font=Arial][/font]
[font=宋体]应用在电信级路由器上的[/font][font=Arial]JUNOS[/font][font=宋体]操作系统在设计上采用了模块化的设计思路,以确保电信运营商对电信级[/font][font=Arial]IP[/font][font=宋体]网络提出的高可用性、尽可能少的宕机时间、高安全性和高性能等要求。虽然在[/font][font=Arial]J[/font][font=宋体]系列路由器上出于企业级用户对成本控制的要求,没有采用诸如高性能的[/font][font=Arial]ASIC[/font][font=宋体]、冗余的设计,如关键设备、电源和风扇,但是[/font][font=Arial]JUNOS[/font][font=宋体]的电信级、模块化设计给应用在企业级分支办公室的路由器以更强的健壮性和高可用性。在我们的测试中也体现了这一点。[/font][font=Arial][/font]
[font=宋体]众所周知,路由器通过操作系统主要实现三种功能:路由、转发和服务。和其他公司的操作系统不同,[/font][font=Arial]JUNOS[/font][font=宋体]操作系统采用了模块化设计,把路由器的三种功能分别放在了转发引擎模块、路由引擎模块和服务引擎模块,它们都相互独立,不再混为一谈。不同的软件模块之间,利用定义好的内部接口,确保内部不同处理进程之间的有效沟通。[/font][font=Arial][/font]
[font=Arial] JUNOS[/font][font=宋体]的在设计中另一个关键点是采用了处理资源保护机制。保证每个模块相对独立的处理资源,比如在电信级路由器中不同的处理资源可能有自己的[/font][font=Arial]ASIC[/font][font=宋体]芯片。而对于使用[/font][font=Arial]CPU[/font][font=宋体]和[/font][font=Arial]NP[/font][font=宋体]处理器的[/font][font=Arial]J[/font][font=宋体]系列路由器来说,各个处理模块都会有自己独立的受保护的内存处理资源。而[/font][font=Arial]JUNOS[/font][font=宋体]在设计中提供给用户很大的透明性,用户可以看到路由器关键的[/font][font=Arial]CPU[/font][font=宋体]和内存资源被不同软件模块,不同的进程占用的情况。用户通过这些信息可以明确地判断出网络中的异常问题比如对管理模块的攻击行为,并且依据此来分配处理资源增加新业务,以保证网络可以有更多的智能和更好的性能。[/font][font=Arial][/font]
[font=宋体]这样的模块化、提供处理资源保护的软件设计会带来什么好处呢。首先是更好的可扩展性和延续性,不会因为一些模块的调整而影响整个软件系统,提高开发的效率。模块化的设计对于最终用户来说,最大的好处是减少了宕机的时间,保证关键的通信服务不受影响。模块化的操作系统软件设计,每个处理模块,系统都为其预留相应的处理资源,这样当诸如管理或者其他程序模块因遭受攻击;或运算出现异常的,如路由计算停滞,转发工作停滞,这些异常行为不会无限制的占用[/font][font=Arial]CPU[/font][font=宋体]资源和内存资源,从而让其他功能没有计算资源可用,最终导致整个路由器资源全被耗尽。更通俗的讲,在使用运行[/font][font=Arial]DoS[/font][font=宋体]操作系统的[/font][font=Arial]PC[/font][font=宋体]机,可能会因为一个声卡的驱动程序安装问题,导致整个计算机死机。而对于运行[/font][font=Arial]UNIX[/font][font=宋体]、[/font][font=Arial]Linux[/font][font=宋体]乃至最新微软[/font][font=Arial]Windows[/font][font=宋体]操作系统的[/font][font=Arial]PC[/font][font=宋体]机来说,首先很少会因为一个程序的问题,重新启动计算机,很多程序即使出现问题也不会让整个计算机上运行的其他程序连带效率降低。即使有程序运行出现问题,会占用较多[/font][font=Arial]CPU[/font][font=宋体]内存资源,决大多数情况下用户都能够通过后台监控到究竟是哪个程序在耗用计算机资源,把它停掉,而把计算机拉回到正常运行的状态,而不会中断关键业务的处理,丢失关键的数据。[/font][font=Arial] [/font]
[font=宋体]我们在测试中逐一验证了模块化带来的好处。[/font][font=Arial][/font]
[font=宋体]测试验证模块化优势[/font][font=Arial] [/font]
[font=宋体]我们构建了一个真实的路由转发环境(详见[/font][font=Arial]“[/font][font=宋体]测试方法一:不间断的路由转发测试环境[/font][font=Arial]”[/font][font=宋体])。这样的测试压力,看来并没有给[/font][font=Arial]J6350[/font][font=宋体]路由器带来什么压力,测试结果显示,没有数据包的丢失,数据包的延迟不大。而从[/font][font=Arial]CPU[/font][font=宋体]和内存等占用情况看,对[/font][font=Arial]J6350[/font][font=宋体]路由器的资源消耗也不大。[/font][font=Arial][/font]
[font=宋体]在[/font][font=Arial]J6350[/font][font=宋体]路由器持续正常转发数据包的过程中,我们模拟[/font][font=Arial]SNMP[/font][font=宋体]模块因为特殊原因运转不正常而重起被测路由器[/font][font=Arial]J6350[/font][font=宋体]的[/font][font=Arial]SNMP[/font][font=宋体]管理模块。[/font][font=Arial]J6350[/font][font=宋体]路由器的操作系统,并没有因为重启[/font][font=Arial]SNMP[/font][font=宋体]这个重要的管理模块程序而导致整个路由器操作系统的崩溃。从测试仪收集的数据显示,路由器转发非常正常,在重启[/font][font=Arial]SNMP[/font][font=宋体]模块的过程中没有造成数据包丢失,也没有出现数据包延迟的波动(见测试结果图[/font][font=Arial]1[/font][font=宋体])。测试结果显示,模块化设计的[/font][font=Arial]JUNOS[/font][font=宋体]操作系统,在诸如[/font][font=Arial]SNMP[/font][font=宋体]这样的模块出现问题,重新启动的过程中不会影响到其他应用比如转发引擎和路由引擎的工作,不会因此而导致整个系统的崩溃,不会对作为网络基础设施的路由器所担负的通信工作造成影响。[/font][font=Arial][/font]
[font=Arial] [/font]
[/font][font=Arial] [/font]
[/font][align=center][font=Verdana][font=Verdana][font=宋体][b][img=500,103]http://cnw2005.cnw.com.cn/store/images/200761711622.jpg[/img][/b][/font][/font][/align][font=Verdana][font=宋体]重新启动[/font][font=Arial]SNMP[/font][font=宋体]模块没有任何丢包现象发生。[/font][font=Arial][/font]
[font=宋体]为了验证[/font][font=Arial]J6350[/font][font=宋体]路由器以及其运行的[/font][font=Arial]JUNOS[/font][font=宋体]操作系统的健壮性,我们针对[/font][font=Arial]J6350[/font][font=宋体]进行了一次[/font][font=Arial]DoS[/font][font=宋体]攻击。我们对[/font][font=Arial]J6350[/font][font=宋体]进行了[/font][font=Arial]100Mbps[/font][font=宋体]线速的[/font][font=Arial]Ping[/font][font=宋体]攻击(详细测试方法见测试方法二)。按照路由器的工作原理,针对路由器本身的诸如[/font][font=Arial]ping[/font][font=宋体]这样的[/font][font=Arial]ICMP[/font][font=宋体]数据包,路由器内置的处理器会专门地进行解包,并对其发出响应,对于依靠统一的[/font][font=Arial]CPU[/font][font=宋体]和内存资源完成数据包转发、路由信息维护,路由器内部监控和管理的路由器来说,极有可能因为[/font][font=Arial]Ping[/font][font=宋体]等[/font][font=Arial]DoS[/font][font=宋体]攻击造成[/font][font=Arial]CPU[/font][font=宋体]占用率过高,导致路由器瘫痪,而无法完成路由协议的正常维护操作,从而出现通信中断。开始测试时[/font][font=Arial]J6350[/font][font=宋体]路由器没有进行任何安全方面的配置,在[/font][font=Arial]Ping[/font][font=宋体]攻击开始后,路由器受到了一些影响,有一定数据包丢失,路由器的[/font][font=Arial]CPU[/font][font=宋体]占用率爬升到[/font][font=Arial]80%[/font][font=宋体]。虽然路由器的[/font][font=Arial]CPU[/font][font=宋体]占用率有所上升,但是路由器并没有因为这样强烈的[/font][font=Arial]Ping[/font][font=宋体]攻击而导致路由器频临死亡的状态,仍旧能够保证较强的转发能力,路由器的[/font][font=Arial]CPU[/font][font=宋体]资源并未因为受到攻击和维持转发而消耗所有的[/font][font=Arial]CPU[/font][font=宋体]资源,网络管理人员在这个时候依旧能够对路由器进行管理和操作,而且在敲入命令之后,路由器反映依旧如攻击发起前那样灵敏。我们在测试仪上看到,[/font][font=Arial]J6350[/font][font=宋体]仍旧能够维持正常的路由信息的更新和交换,[/font][font=Arial]J6350[/font][font=宋体]并没有因为遭受攻击而无法及时发送维护路由信息而导致总计[/font][font=Arial]300000[/font][font=宋体]条路由中任意一条路由的丢失,邻接关系的丢失。因为路由器仍旧有足够的处理能力,[/font][font=Arial]Juniper[/font][font=宋体]的工程师通过详细分析内部各进程资源的占用情况,通过[/font][font=Arial]J[/font][font=宋体]系列路由器自带的捕获数据包的功能等多种手段,发现受攻击的流量源头,通过增加访问控制列表,在[/font][font=Arial]Ping[/font][font=宋体]攻击数据包被成功过滤后,路由器[/font][font=Arial]CPU[/font][font=宋体]占用率恢复正常状态,丢包现象消失。模块化的设计使得路由器即使在受到攻击时,也不会把所有的[/font][font=Arial]CPU[/font][font=宋体]内存资源耗费在对攻击源的响应上。在安全攻击曾出不穷的今天,好的体系架构是确保安全的最佳手段。[/font][font=Arial][/font]
[font=Arial] [/font][/font][font=Verdana]
[align=center][font=宋体][b][img]http://junipers.cn/upload_files/41/1iEKM__200761711856.jpg[/img][/b][/font][/font][/align][font=Verdana][font=Arial]DoS[/font][font=宋体]攻击稍有影响,在线添加[/font][font=Arial]ACL[/font][font=宋体]之后,恢复正常。[/font]
[font=宋体]
[font=Arial]DoS[/font][font=宋体]攻击稍有影响,在线添加[/font][font=Arial]ACL[/font][font=宋体]之后,恢复正常。[/font][font=Arial][/font]
[font=宋体]测试验证模块化设计的软件易用性[/font][font=Arial] [/font]
[font=Arial]J[/font][font=宋体]系列路由器后面板特写虽然没有冗余的电源,但是[/font][font=Arial]JUNOS[/font][font=宋体]带来了健壮的[/font][font=Arial]“[/font][font=宋体]心[/font][font=Arial]”[/font][font=宋体]。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]的模块化设计也给运营维护带来了很大帮助,能够在不间断正常流量的情况下增加[/font][font=Arial]ACL[/font][font=宋体]。我们在如测试方法一中提到的真实路由转发环境下,进行了添加[/font][font=Arial]ACL[/font][font=宋体]的操作。[/font][font=Arial]Juniper[/font][font=宋体]工程师添加的[/font][font=Arial]ACL[/font][font=宋体]分两个步骤,第一个步骤中添加的[/font][font=Arial]ACL[/font][font=宋体]和测试背景流相关,验证[/font][font=Arial]ACL[/font][font=宋体]是否启作用,而后修改[/font][font=Arial]ACL[/font][font=宋体],让[/font][font=Arial]ACL[/font][font=宋体]与背景流量无关。在整个测试过程中我们一直维持着正常的转发流量,在验证[/font][font=Arial]ACL[/font][font=宋体]确实起作用之后,[/font][font=Arial]Juniper[/font][font=宋体]工程师编辑与背景流量无关的[/font][font=Arial]ACL[/font][font=宋体]并提交时,路由器没有因为这些操作而影响正常流量的转发[/font][font=Arial],[/font][font=宋体]也就是说流量没有任何的中断。在添加[/font][font=Arial]ACL[/font][font=宋体]之后,[/font][font=Arial]Juniper[/font][font=宋体]的工程师还开启了[/font][font=Arial]ACL[/font][font=宋体]的[/font][font=Arial]Log[/font][font=宋体]功能,并将详细的[/font][font=Arial]Syslog[/font][font=宋体]写入到指定的文件当中,同时实时的监控[/font][font=Arial]ACL Log[/font][font=宋体]文件的变化,路由器并没有因为这些操作而丢弃数据包,数据包的转发延迟也相当稳定。这样的设计对于日常运维来说帮助很大,网络设备不会因为更改配置,以及监视实际流量情况而对整个关键的数据流量转发工作造成影响。[/font][font=Arial][/font]
[font=Arial]IP[/font][font=宋体]网络不是几十年前大学里研究用的网络。承载了语音、视频和关键商业应用的[/font][font=Arial]IP[/font][font=宋体]网络是企业的生命线。面对日益多变的世界,花样翻新的攻击手段,面对融合背景下越来越多地功能带来越来越复杂的软件设计,如果说设备出厂前就做到了百[/font][font=Arial]“[/font][font=宋体]毒[/font][font=Arial]”[/font][font=宋体]不侵,尽可认为是无稽之谈。网络设备应该从体系架构上为应对险恶[/font][font=Arial]“[/font][font=宋体]江湖[/font][font=Arial]”[/font][font=宋体]做好准备,在体系结构设计上尽可能减少对网络通信的中断,减少重新启动的次数。这样的设计也许在昨天应该说是好的设计,但是对于明天来说是必须的设计。[/font][font=Arial]
[b]
[b][font=Arial]JUNOS[/font][/b][b][font=宋体]易用性测试[/font][/b][/b][/font]
[/font][font=Arial] [/font]
[align=center][font=Verdana][img]http://newtest.cnw.cn/resources/2007_06/2007_06_20/200706206901184905471468.jpg[/img][/align][font=Verdana][font=Arial]Juniper J6350[/font][font=宋体]前面板特写,外形上和[/font][font=Arial]SSG[/font][font=宋体]系列颇为类似。双[/font][font=Arial]USB[/font][font=宋体]也增加了系统的易用性。[/font][font=Arial][/font]
[font=宋体]网络产品的易用性是否只对家庭网络产品有用呢?并非如此,尽管电信运营商和企业级用户的网络管理人员都具备专业的计算机网络知识,但是易用的网络设备仍旧能够给予他们更多的支持。[/font][font=Arial][/font]
[font=宋体]对于电信级、企业级用户来说,网络如同生命线,而很多时候造成生命线中断的恰恰是人为因素,比如复杂的配置中一行错误的命令。同时易用的网络产品也有利于网络管理员,快速应对突发事件的发生。[/font][font=Arial][/font]
[font=Arial]J6350[/font][font=宋体]路由器给网络管理员提供了基于[/font][font=Arial]Web[/font][font=宋体]和命令行的配置方式。[/font][font=Arial]Web[/font][font=宋体]的配置方式比较简洁,不需要特别加载一些[/font][font=Arial]Java[/font][font=宋体]的程序就可以进行配置,但也因此其图形化的界面并不如一些使用[/font][font=Arial]Java[/font][font=宋体]控件的配置程序更一幕了然,而这可能也是一种很难得平衡。[/font][font=Arial][/font]
[font=宋体]不过[/font][font=Arial]JUNOS[/font][font=宋体]的命令行配置界面设计得有很多独到之处,很多细微之处的设计,不仅仅便于用户使用,而且能够在系统级层面避免配置错误的发生。[/font][font=Arial][/font]
[font=Arial]J6350[/font][font=宋体]路由器运行的[/font][font=Arial]JUNOS[/font][font=宋体]操作系统是从[/font][font=Arial]Juniper[/font][font=宋体]电信级的[/font][font=Arial]M/T[/font][font=宋体]系列路由器上继承而来,有着同样的内核,所以所有的操作方式、命令完全一致,据称只要经过一次培训,就会配置所有[/font][font=Arial]Juniper[/font][font=宋体]的路由器。据称未来[/font][font=Arial]Juniper[/font][font=宋体]将推出的以太网交换机产品,安全产品都会采用[/font][font=Arial]JUNOS[/font][font=宋体]操作系统,届时将具备更好的通用性。[/font][font=Arial]JUNOS[/font][font=宋体]操作系统的命令模式和[/font][font=Arial]UNIX[/font][font=宋体]操作系统的命令模式非常类似,有着[/font][font=Arial]UNIX/Linux[/font][font=宋体]系统使用经验的技术人员,会感觉非常熟悉,上手很快。[/font][font=Arial][/font]
[font=宋体]因为类似[/font][font=Arial]UNIX[/font][font=宋体]操作系统,所以系统有类似于[/font][font=Arial]UNIX[/font][font=宋体]的用户管理,不同的用户有不同的配置权限,比如系统设计上[/font][font=Arial]root[/font][font=宋体]用户只能通过[/font][font=Arial]console[/font][font=宋体]登录路由器,有的用户权限只能看不能进行配置。多个用户可以同时登录路由器进行配置,这对于电信运营商庞大的网络和服务来说有帮助,而系统可以记录每一个用户的配置行为,在安全上这对于避免人为恶意操作非常有益。在多人配置中[/font][font=Arial]JUNOS[/font][font=宋体]就像很多[/font][font=Arial]UNIX[/font][font=宋体]大机一样,用户在配置界面中可以通过发信息的方式互通有无,协调工作。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]操作系统提供了帮助功能,这个功能要比不少厂家的帮助功能要强大。它不仅仅会列出命令所连带的参数,甚至在一些情况下会提供配置例子,比如你不知道[/font][font=Arial]BGP[/font][font=宋体]如何配置,可以直接来问[/font][font=Arial]JUNOS[/font][font=宋体]总共需要几步如何来做。[/font][font=Arial][/font]
[font=宋体]不仅仅如此,像很多的网络设备操作系统一样,[/font][font=Arial]JUNOS[/font][font=宋体]操作系统采用了层级化的结构,比如要进行配置必须进入配置模式,要配置路由协议需要进入到相应路由协议层级下进行配置,而配置接口也需要进入到相应的层级下进行配置。这样的设计有着很好的条理性,但也会给配置和查看设备状态带来不便,从配置到完成后检查运行状况,管理员需要不停的进入、退出不同的层级。而[/font][font=Arial]JUNOS[/font][font=宋体]在设计上充分考虑到这一点,通过一些附加参数和命令的使用,管理员可以快速的在不同的层级之间进行跳转,比如在路由协议层级里配置接口,或者在一个接口配置层级里查看整个路由器的配置状况。这样的设计无疑提高了管理员的工作效率。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]这样灵活的设计还有不少,比如[/font][font=Arial]ACL[/font][font=宋体]的配置和管理,[/font][font=Arial]JUNOS[/font][font=宋体]可以在不取消[/font][font=Arial]ACL[/font][font=宋体]应用的情况下,对一组[/font][font=Arial]ACL[/font][font=宋体]进行编辑,调整[/font][font=Arial]ACL[/font][font=宋体]的顺序,正如前面介绍的,我们在测试中就是在不取消[/font][font=Arial]ACL[/font][font=宋体]应用的情况下,对[/font][font=Arial]ACL[/font][font=宋体]进行调整。[/font][font=Arial]JUNOS[/font][font=宋体]还可以实现我们[/font][font=Arial]PC[/font][font=宋体]机的即插即用特性,在不插物理接口的情况下对整个路由器进行配置,而当相应硬件接口模块到齐,只要插入模块相应配置就会生效。对于一些大型企业网络部署来说,可以更好的提高生产效率,不必等所有的设备模块都到齐就可以完成配置,并先期部署下去,待相应功能模块到齐之后启用相应链路和功能。[/font][font=Arial][/font]
[font=Arial] [/font]
[b]JUNOS避免人为错误的贴心设计[/b]
[/font][align=center][font=Verdana][font=Verdana][b][i][img]http://newtest.cnw.cn/resources/2007_06/2007_06_20/200706200221184906101500.jpg[/img][/i][/b][/font][/align][font=Verdana][font=Arial]J6350[/font][font=宋体]、[/font][font=Arial]J4350[/font][font=宋体]板上有[/font][font=Arial]4[/font][font=宋体]个千兆端口。[/font][font=Arial][/font]
[font=宋体]是人就有可能犯错误,而有些错误出现后则是灾难性的。比如可能因为网络配置或升级的需要,网管人员通过[/font][font=Arial]Telnet[/font][font=宋体]远程配置路由器,但这时候很有可能因为一个[/font][font=Arial]ACL[/font][font=宋体]设置时欠考虑的命令中断网络管理员远程访问的通路。在传统的情况下,网络管理人员就只能求助远方那边的人员帮忙,或者让他们在那边把错误改过来,或者干脆让他们把路由器重启。但如果远方那里没有人的话,那网管人员就要忙上好一阵了。[/font][font=Arial]JUNOS[/font][font=宋体]在设计的时候充分地考虑到了这一点,管理员完成配置之后,如果不再输入一个[/font][font=Arial]commit[/font][font=宋体]的命令,配置将不会生效。而且在一段时间之后如果配置不被确认,系统会再提示用户,如果系统仍旧得不到管理员的确认,则用户添加的配置无效。这样的好处在于减少了由于配置失误的原因,而引发网络中断后无法及时恢复的后果。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]操作系统会顺序保留前[/font][font=Arial]50[/font][font=宋体]个被确认生效且工作正常的配置,如果需要,可以利用[/font][font=Arial]rollback[/font][font=宋体]命令将以前的配置重新启用,这一设计非常贴心。假如用户在原有网络上增加新的服务,却不小心配置失误,导致原有应用受到影响,可以借助这一功能迅速恢复到以前状态,再进行相应的排错处理。而[/font][font=Arial]JUNOS[/font][font=宋体]也提供了相应的命令一方面检查没有提交的配置,同时能够对比未提交配置与已提交配置之间的差距,不同用户配置之间的差距,从而较为显著的提高排错的工作效率。还要提到的是[/font][font=Arial]JUNOS[/font][font=宋体]提供了命令的注释功能,管理员可以像编程序时那样,对一些配置加以注释,标记处自己做出的改变以及为什么改动,对于复杂的配置,这一小功能非常有用。[/font][font=Arial][/font]
[font=宋体]类似的减少人为配置错误的功能还有很多。比如管理员可以实现编辑一个[/font][font=Arial]TXT[/font][font=宋体]文件,把所有的配置做好,并检查好,在现场则可以直接将配置文件里用[/font][font=Arial]ftp[/font][font=宋体]等方式[/font][font=Arial]load[/font][font=宋体]进来,也不用再重新启动路由器[/font][font=Arial], [/font][font=宋体]当然[/font][font=Arial], [/font][font=宋体]也可以选择通过在终端程序上直接贴配置文件。比如现在由于业务复杂,路由器端口上的配置也相当复杂,[/font][font=Arial]JUNOS[/font][font=宋体]提供了[/font][font=Arial]copy[/font][font=宋体]功能,假如路由器几个端口除了[/font][font=Arial]IP[/font][font=宋体]地址等基础信息不同之外,绝大多数配置都极为类似,管理员可以直接将一个端口的配置文件[/font][font=Arial]copy[/font][font=宋体]到其他端口上,然后做简单的修改完成繁复的配置工作。同时,如果管理员没有对基础信息进行修改就[/font][font=Arial]commit[/font][font=宋体]配置,系统会报错,这一点也非常重要,在[/font][font=Arial]IP[/font][font=宋体]网上,如果出现两个地址完全一样、路由宣告域一样的接口,这一点点小小的纰漏造成的混乱可能是惊人的,而且在一个大型网络中可能排查出这样粗心大意造成的错误也会非常困难。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]提供的管理工具非常多。在我们测试过程中,[/font][font=Arial]Juniper[/font][font=宋体]的工程师可以通过[/font][font=Arial]CLI[/font][font=宋体]的配置界面实时查看接口接收、发送数据包的状况,而不必不厌其烦的不停[/font][font=Arial]show[/font][font=宋体]每个接口的状况。本以为这样的操作会消耗处理器的资源,但是实时监控数据转发流量对[/font][font=Arial]J6350[/font][font=宋体]路由器的转发性能没有丝毫的影响。[/font][font=Arial]JUNOS[/font][font=宋体]借用了[/font][font=Arial]UNIX[/font][font=宋体]系统的[/font][font=Arial]pipe[/font][font=宋体]功能[/font][font=Arial], [/font][font=宋体]并且可以多层[/font][font=Arial]pipe[/font][font=宋体],在实际使用中可以设定很多的过滤规则,方便管理员迅速的找到他想要的信息,比如在查看系统日志的时候可以根据时间找到相应时间段的日志,对于大型网络、应用复杂、配置信息多的场景帮助良多。还有就是[/font][font=Arial]JUNOS[/font][font=宋体]能够通过命令查看机箱、接口模块的产品序列号。可不要小看这个小功能,很多企业都在加强资产管理,如果资产管理和统计在网络建成运行一段时间后开始,这个小功能就能起大作用,网络管理员不必为了抄一个序列号而中断网络,插拔接口模块。[/font][font=Arial][/font]
[font=宋体]当一个企业的广域网络重要到牵一发动全身的时候,而当企业广域网大到有几十上百台路由器的时候,当设备的端口总数有百余个、每个设备上都有百条以上配置的时候,有着电信级设计理念的[/font][font=Arial]JUNOS[/font][font=宋体]的易用性就会体现出来。而这仅仅是广域网,而若是局域网,且有的办公区局域网内就有几十台交换机千余个信息点的时候,[/font][font=Arial]JUNOS[/font][font=宋体]一些细小之处的便利设计将更有帮助。[/font][font=Arial][/font]
[font=Arial] [/font]
[b][font=Arial]测试JUNOS默认安全特性[/font][/b]
[font=Arial] [/font]
[/font][align=center][font=Verdana][font=Verdana][b][i][img]http://newtest.cnw.cn/resources/2007_06/2007_06_20/200706200301184905269343.jpg[/img][/i][/b][/font][/align][font=Verdana][font=Arial]J6350[/font][font=宋体]前面板特写,[/font][font=Arial]Root[/font][font=宋体]用户只能从[/font][font=Arial]Console[/font][font=宋体]进入。而[/font][font=Arial]Commit[/font][font=宋体]功能让远程登录变得更可靠。[/font][font=Arial][/font]
[font=宋体]在前面的健壮性测试中我们已经验证了[/font][font=Arial]JUNOS[/font][font=宋体]在面临[/font][font=Arial]DoS[/font][font=宋体]攻击的情况下,模块化操作系统的设计提供的系统级安全性。应该说作为网络的基石[/font][font=Arial]----[/font][font=宋体]路由器、交换机,它们的安全性无疑非常重要,而好的体系架构设计是保证这些[/font][font=Arial]“[/font][font=宋体]基石[/font][font=Arial]”[/font][font=宋体]安全性的基础。[/font][font=Arial]JUNOS[/font][font=宋体]操作系统还有很多默认设置给系统的安全带来增强。[/font][font=Arial][/font]
[font=宋体]首先是[/font][font=Arial]JUNOS[/font][font=宋体]在系统级的默认设置上就提供了很强的安全性。比如在访问控制上,[/font][font=Arial]JUNOS[/font][font=宋体]系统默认要求管理员的密码不能过于简单,密码长度要超过[/font][font=Arial]6[/font][font=宋体]位,而且密码的组合必须是数字与字母的混合组合。这就避免了集成商、网络管理员为了图方便,简单设置密码,而造成安全的漏洞。同时[/font][font=Arial]JUNOS[/font][font=宋体]中设定的密码系统都默认经过[/font][font=Arial]MD5[/font][font=宋体]加密存在,避免密码的泄漏。另外,[/font][font=Arial]JUNOS[/font][font=宋体]默认设定,用户远程登录路由器时必须使用[/font][font=Arial]SSH[/font][font=宋体]嵌套的加密链路。[/font][font=Arial]JUNOS[/font][font=宋体]软件里,指定一些私有地址、[/font][font=Arial]Loopback[/font][font=宋体]地址为不可路由,如有特殊需要,才可以通过手工配置移出,这样的设计对安全性很有帮助,网上的一些攻击行为通常伪造的源地址都是这些在公网上不存在的地址。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]路由器还提供了防火墙的功能,能够通过添加安全策略,对非法流量进行过滤。并且[/font][font=Arial]show firewall log[/font][font=宋体]可以查看所有的攻击者[/font][font=Arial]/[/font][font=宋体]中间者的源地址,帮助管理员溯本求源。[/font][font=Arial]JUNOS[/font][font=宋体]还有更为特殊的针对管理控制层面的防火墙,[/font][font=Arial]JUNOS[/font][font=宋体]软件对于网络管理应用均有限制,这是为了保证网络管理流量的安全性,可以设定每分钟同时在线用户数和每分钟内最大发起的连接次数,默认的数值分别为[/font][font=Arial]75[/font][font=宋体]和[/font][font=Arial]150[/font][font=宋体],防止利用管理员端口对路由器发起[/font][font=Arial]DoS[/font][font=宋体]攻击。[/font][font=Arial][/font]
[font=Arial]JUNOS[/font][font=宋体]还提供了抓包的工具,管理员可以利用这个工具捕获发往路由器的控制报文,并且加以分析,结合对流量的分析,对内部资源的占用,分析出那些流量是可能的攻击流量,并加以限速,确保路由器的正常工作。[/font][font=Arial][/font]
[font=Arial][/font]
[b]小节:向电信级学习 [/b]
[font=Arial] [/font]
[/font][font=Verdana][b][i][img]http://newtest.cnw.cn/resources/2007_06/2007_06_20/200706200421184905383031.jpg[/img][/i][/b][/font]
[font=Verdana][font=宋体]我们的测试实验室,两台[/font][font=Arial]Juniper[/font][font=宋体]路由器,上面是[/font][font=Arial]J4350[/font][font=宋体],后面是测试仪,左侧是控制台[/font][font=Arial]——[/font][font=宋体]一台浪潮服务器。[/font][font=Arial][/font]
[font=宋体]随着网络成为企业、政府的生命线,而且随着网络的普及企业网的规模也不断扩展。愈来愈多的应用使得越来越多的企业的网络规模已经与不少电信网相当。加之业务永续这个概念的被越来越多的企业所接受,即便没有电信网相当规模的企业对作为支撑业务的基础[/font][font=Arial]----[/font][font=宋体]网络也提出了电信级的要求,而这种要求不仅仅局限在网络核心,网络的边缘和网络的核心都同样重要,更健壮,更强的可扩展性,更安全,更易用贯穿在网络的每个节点。仅仅有硬件,并不能实现这些目标,网络设备的操作系统才是实现这些目标的真正基石。当[/font][font=Arial]Juniper[/font][font=宋体]将代表电信网运营、管理精髓的[/font][font=Arial]JUNOS[/font][font=宋体]带入到企业网设备的时候,企业用户将感受到更大的利益,那就是网络更稳定,业务更流畅。[/font][font=Arial][/font]
[font=Arial] [/font]
[b]测试方法一:不间断的路由转发测试环境 [/b]
[font=Arial] [/font]
[/font]
[align=center][img]http://newtest.cnw.cn/resources/2007_07/2007_07_09/200707096021186627358671.jpg[/img][/align][font=Verdana][font=宋体]不论是有几十个吉比特电信骨干网还是只有几兆带宽的企业网,都需要网络尽可能的减少故障中断时间。我们此次测试也是希望看看运行着[/font][font=Arial]JUNOS[/font][font=宋体]的[/font][font=Arial]J[/font][font=宋体]系列路由器,是否能够具备高端路由器那样的高可用性,低故障中断时间。为此我们用[/font][font=Arial]Spirent[/font][font=宋体]公司的[/font][font=Arial]SmartBits 6000[/font][font=宋体]配合[/font][font=Arial]Teramatrix[/font][font=宋体]卡和[/font][font=Arial]Terarouting 5.0[/font][font=宋体]软件,模拟了一个真实的不间断的路由通信环境。在这个环境中,我们用[/font][font=Arial]Smartbits[/font][font=宋体]在[/font][font=Arial]J6350[/font][font=宋体]的两个千兆接口每一侧模拟了一个[/font][font=Arial]AS[/font][font=宋体]域,并宣告[/font][font=Arial]150000[/font][font=宋体]条[/font][font=Arial]E-BGP[/font][font=宋体]路由,总计模拟了[/font][font=Arial]300000[/font][font=宋体]条的路由环境。同时在每个方向上我们模拟了[/font][font=Arial]500Mbps[/font][font=宋体]的流量,数据包长[/font][font=Arial]1518[/font][font=宋体]字节。需要说明的是每侧的流量目的地指向另一侧的[/font][font=Arial]150000[/font][font=宋体]条路由。[/font][font=Arial][/font]
[font=宋体]应该说这样的流量,如此大的路由拓扑是在一般的企业网难以企及的。由于背景流的目的地指向[/font][font=Arial]300000[/font][font=宋体]条路由的每个网段,这对路由器的转发提出了极高的要求。我们所有后续的测试都是在这样的通信背景下完成的。我们想看看,在[/font][font=Arial]J6350[/font][font=宋体]这样一个靠[/font][font=Arial]CPU[/font][font=宋体]和特定的[/font][font=Arial]NP[/font][font=宋体]处理器芯片同时处理路由、转发、管理、[/font][font=Arial]QoS[/font][font=宋体]、[/font][font=Arial]ACL[/font][font=宋体]、监控等众多工作的路由器中,[/font][font=Arial]JUNOS[/font][font=宋体]这个在运营商网络久经考验的操作系统会发挥何种不一样的作用。[/font][font=Arial][/font]
[font=Arial] [/font]
[b]测试方法二:DoS攻击[/b]
[font=Arial] [/font]
[/font][align=center][font=Verdana][b][i][img]http://newtest.cnw.cn/resources/2007_07/2007_07_09/200707098301186627427093.jpg[/img][/i][/b][/font][/align][font=Verdana][font=宋体]我们使用[/font][font=Arial]Smartbits 6000B[/font][font=宋体]的[/font][font=Arial]LAN3301A[/font][font=宋体]卡,配合[/font][font=Arial]SmartWindows[/font][font=宋体]测试软件,构建了对[/font][font=Arial]J6350[/font][font=宋体]路由器的一次[/font][font=Arial]DoS[/font][font=宋体]攻击。测试中我们将[/font][font=Arial]J6350[/font][font=宋体]路由器的一个接口与测试仪连接,测试仪以百兆线速的速率向[/font][font=Arial]J6350[/font][font=宋体]路由器的接口地址发起[/font][font=Arial]Ping[/font][font=宋体]攻击。[/font][font=Arial][/font]
[font=宋体]在进行[/font][font=Arial]Ping[/font][font=宋体]攻击的时候,用[/font][font=Arial]Smartbits 6000B[/font][font=宋体]连接[/font][font=Arial]J6350[/font][font=宋体]两个端口,而形成的总计[/font][font=Arial]300000[/font][font=宋体]的[/font][font=Arial]BGP[/font][font=宋体]路由网络,和双向共[/font][font=Arial]1G[/font][font=宋体]的真实网络通信流量并没有终止。我们希望通过这个测试看看[/font][font=Arial]J6350[/font][font=宋体]路由器在面对[/font][font=Arial]DoS[/font][font=宋体]攻击情况下性能是否受到影响。[/font][font=Arial] [/font]
[/font][/font][/font][/font][/font][/font][/font]
芸芸众生 2008-1-5 18:42
好详细的教程哦,真是个不错哦,谢谢楼主拿出来分享了
