把电信级精髓贡献给企业—Juniper J系列路由器软件特性测试报告

network

【编者按】昂贵的电信级路由器可能暂时不会被多数用户接受，不过别和电信级标准说不，哪怕是在分支办公室这样的应用场所。因为，企业要实现真正的业务永续，即使是网络的边缘，也需要网络设备稳定，健壮，企业网也需要规范的维护思想、流程，便捷的维护操作手段。据悉，Juniper公司正在不断加强其在企业网市场的竞争力，特别是向企业提供交换机和中低端路由器。JUNOS操作系统是Juniper的杀手锏。在J系列中都融入电信级产品的精髓----JUNOS，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性。《网络世界》评测实验室有机会对Juniper公司的J6350路由器进行了评测。此次测试的重点在于JUNOS的健壮性，易用性以及安全性。《网络世界》评测实验室率先体验JUNOS能够给企业网带来的帮助。[查看全文]　[报告下载] JUNOS模块化软件设计分析 　　上个世纪90年代的PC机，有一个reset键，方便在系统软件出问题的时候重新启动。但是网络管理员是不应该有这个习惯，网络设备不应该有reset键的，在电信级决不是好设计，在企业级网络也不是好设计。应用在电信级路由器上的JUNOS操作系统在设计上采用了模块化的设计思路，以确保电信运营商对电信级IP网络提出的高可用性、尽可能少的宕机时间、高安全性和高性能等要求。[查看全文] 测试验证JUNOS模块化设计带来高安全性 　　模块化设计的JUNOS在重新启动SNMP的过程中不会影响到其他应用比如转发引擎和路由引擎的工作，不会因此而导致整个系统的崩溃，不会对作为网络基础设施的路由器所担负的通信工作造成影响。同时，模块化的设计使得路由器即使在受到攻击时，也不会把所有的CPU内存资源耗费在对攻击源的响应上。在安全攻击曾出不穷的今天，好的体系架构是确保安全的最佳手段。[查看全文] 测试验证JUNOS模块化设计带来的易用性 　　JUNOS的模块化设计也给运营维护带来了很大帮助，能够在不间断正常流量的情况下增加ACL，同时在查看实时的监控信息时，不影响路由器的转发性能。[查看全文] 测试验证JUNOS易用灵活性 　　网络产品的易用性是否只对家庭网络产品有用呢？并非如此，尽管电信运营商和企业级用户的网络管理人员都具备专业的计算机网络知识，但是易用的网络设备仍旧能够给予他们更多的支持。[查看全文] JUNOS避免人为错误的贴心设计 　　对于电信级、企业级用户来说，网络如同生命线，而很多时候造成生命线中断的恰恰是人为因素，比如复杂的配置中一行错误的命令。易用的网络产品也有利于网络管理员，快速应对突发事件的发生。JUNOS上很多细心的设计避免人为错误的发生。[查看全文] 测试JUNOS默认安全特性 　　模块化操作系统的设计提供的系统级安全性。应该说作为网络的基石——路由器、交换机，它们的安全性无疑非常重要，而好的体系架构设计是保证这些“基石”安全性的基础。JUNOS操作系统还有很多默认设置给系统的安全带来增强。[查看全文] 小节：向电信级学习 　　随着网络成为企业、政府的生命线，而且随着网络的普及企业网的规模也不断扩展。愈来愈多的应用使得越来越多的企业的网络规模已经与不少电信网相当。企业网应该引入新的思路。[查看全文] 相关链接测试方法 JUNOS操作系统特性官方文档 JUNOS测试报告PDF版本下载 JUNOS测试blog(2) JUNOS测试blog(1)

把电信级精髓贡献给企业—Juniper J系列路由器软件特性测试报告    2007-7-17      阅读人次：2049

测试亮点 ● 模块化设计确保系统健壮 ● 软件设计减少人为错误，保证网络稳定 ● 多项默认设计确保系统安全性 【CNW.com.cn 专稿】作为一个企业级用户，昂贵的电信级路由器让大多数企业用户无法承受。但是，别和电信级标准说不，哪怕是在分支办公室这样的应用场所。因为，企业要实现真正的业务永续。 据悉，Juniper公司正在不断加强其在企业网市场的竞争力，特别是向企业提供交换机和中低端路由器。上至T1600，下至J系列路由器，横到所有交换机乃至安全产品中都采用的JUNOS操作系统会是Juniper产品的最大特点。它让Juniper企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性。 《网络世界》评测实验室有机会对Juniper公司的J6350路由器进行了评测。此次测试的重点在于JUNOS的健壮性、易用性以及安全性。 （本次测试内容丰富，更多内容见网站详细测试报告） 模块化设计带来的健壮性 应用在电信级路由器上的JUNOS操作系统在设计上采用了模块化的设计思路，以确保电信运营商对电信级IP网络提出的高可用性、尽可能少的宕机时间、高安全性和高性能等要求，在我们的测试中也体现了这一点。（JUNOS模块化设计理念分析见网站详细测试报告） 我们构建了一个真实的路由转发环境（详见网站“测试方法一：不间断的路由转发测试环境”）。 300000条路由，双向1Gbps流量，这样的测试压力，看来并没有给J6350路由器带来什么压力。在J6350路由器持续正常转发数据包的过程中，我们模拟SNMP模块因为特殊原因运转不正常而重启被测路由器J6350的SNMP管理模块。J6350路由器的操作系统并没有因为重启SNMP这个重要的管理模块程序而导致整个路由器操作系统的崩溃，路由器转发非常正常，所有的路由状态没有受到影响（见测试结果图1）。 测试结果1 为了验证J6350路由器以及其运行的JUNOS操作系统的健壮性，我们针对J6350进行了一次百兆线速的Ping DoS攻击（详细测试方法见测试方法二）。开始测试时，J6350路由器没有进行任何安全配置，在Ping攻击开始后，路由器受到了一些影响，有一定数据包丢失，路由器的CPU占用率爬升到80%，但路由器CPU等处理资源仍有余量。因此，Juniper工程师有可能通过分析内部情况增加ACL过滤攻击源，让其转发正常。（详细的测试结果及分析见网站测试报告） JUNOS的模块化设计也给运营维护带来了很大帮助，能够在不间断正常流量的情况下增加ACL，开启ACL的Log功能等。路由器并没有因为这些操作而丢弃数据包，数据包的转发延迟也相当稳定。（详细结果及分析见网站测试报告） 网络设备应该从体系架构上为应对险恶“江湖”做好准备，在体系结构设计上尽可能减少对网络通信的中断，减少重新启动的次数。这样的设计也许在昨天说是好的设计，但是对于明天来说就是必须的设计。 电信级易用性 很多时候，造成网络中断的恰恰是人为因素，比如复杂的配置中一行错误的命令。易用的网络产品有利于网络管理员少出错，快速应对突发事件的发生。在此，JUNOS有很多独到之处。（更多结果和分析见网站测试报告） JUNOS中多个用户可以同时登录路由器进行配置，系统可以记录每一个用户的配置行为，在安全上这对于避免人为恶意操作非常有益。JUNOS操作系统提供了帮助功能，它不仅仅会列出命令所连带的参数，甚至提供配置例。JUNOS操作系统采用了层级化的结构，而特点是通过一些附加参数和命令的使用，管理员可以快速地在不同的层级之间进行跳转。(类似的灵活设计还有很多，详见网站测试报告）。 JUNOS很多设计避免了错误的发生。比如管理员完成配置之后，如果不再输入一个commit的命令，配置将不会生效。JUNOS操作系统会顺序保留前50个被确认生效且工作正常的配置。如果需要，可以利用rollback命令将以前的配置重新启用。类似的减少人为配置错误的功能还有很多，比如提前编辑在线上传、JUNOS独特的复制配置功能、纠错功能（详见网站测试报告）。 JUNOS提供的管理工具非常多。在我们测试过程中，Juniper的工程师可以通过CLI的配置界面实时查看接口接收、发送数据包的状况，并对J6350路由器的转发性能没有丝毫的影响。而诸如JUNOS强大的pipe功能、查看机箱、接口模块的产品序列号等功能对网络管理员帮助良多（详见网站测试报告）。 默认设置带来的安全 在前面的健壮性测试中，我们已经验证了JUNOS在面临DoS攻击的情况下，模块化操作系统的设计所提供的系统级安全性。JUNOS操作系统还有很多默认设置给系统的安全带来增强。比如，JUNOS默认的管理员密码不能太简单，默认必须使用SSH加密链路等给路由器诸多安全保护（详见网站测试报告）。 JUNOS路由器还提供了防火墙的功能，能够通过添加安全策略，对非法流量进行过滤。JUNOS还有更为特殊的针对管理控制层面的防火墙（详见网站测试报告）。 JUNOS还提供了抓包的工具，管理员可以利用这个工具捕获发往路由器的控制报文，并且加以分析。