Contenu connexe Similaire à 【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない! (20) Plus de Juniper Networks (日本) (14) 【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!4. ジュニパーネットワークスの概要
設立 1996年2月
本社所在地 アメリカ合衆国カリフォルニア州サニーベール市
CEO ラミ・ラヒム
事業概要 ネットワーク機器(ルータ、スイッチ、ファイアウォール等)の製造・販売
従業員数 8,800名以上
売上高 46億ドル (2014年度)
ジュニパーネットワークス株式会社
• 設立 1999年3月
• 所在地 東京都新宿区西新宿3-20-2
オペラシティタワー45F
• 代表取締役社長 古屋知弘(ふるや ともひろ)
• 従業員数 130名
9. • 12 x 1GE (Cu) + 4 x 1GE
(SFP)
• 4 x 10GE (SFP+)
• 2x PIM slots (将来対応予定)
• 冗長用コントロール専用ポー
ト (SFP)
• 管理専用ポート (1GE)
• 16G eSATA + 120G SSD
• 冗長電源供給 (AC / DC)
• 平均電力: 150W
• サイズ: 1 RU
• 前面⇒背面エアフロー
• Firewall (IMIX) : 5 Gbps
• VPN (IMIX): 1 Gbps
• IPS (recommended policy)
: 3 Gbps
• NGFW : 1.5 Gbps
パフォーマンス
モジュラータイプの
インタフェース
ストレージ & 電力
サイズ
エンタープライズ向け高速FW 上位モデル
SRX1500
10. • 大規模キャンパス、大きな支社や支店向け
• ソフトウェア・セキュリティ・サービス
• AppSecure(アプリ識別) / IPS
• アンチウィルス、ウェブフィルタリング
• 脅威インテリジェンス
• Spotlight Secure
• Sky Advanced Threat Prevention – ゼロデイ
脅威防御
• 用途
• 大型のセキュアルータ
• VPNコンセントレータ
• 小規模データセンター
• 次世代ファイアウォール
機能 SRX1500
オンボード Ethernet ポート
16 x GE (12Cu +4SFP) 4 x
10GE (SFP+)
サポートJUNOSバージョン JUNOS 15.1X49
ファイアウォール スループット (ラージパケット) 10 Gbps
ファイアウォール スループット (IMIX) 5 Gbps
ファイアウォール
(firewall + routing PPS 64byte)
2 Mpps
VPN パフォーマンス (IMIX)
(AES256+SHA-1, 3DES+SHA 1)
1 Gbps
NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps
Intrusion Prevention System 3 Gbps
秒間新規セッション数 (CPS) 50 K
最大同時セッション数 2 M
冗長機能
(専用冗長コントロールポート – SFP)
アクティブ/スタンバイ または
アクティブ/アクティブ
SRX1500
15. vSRX VM
Hypervisors
(VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services
+
Flow Processing
+
Packet FWD
(JEXEC)
Junos Kernel
QEMU/KVM
Juniper Linux (Guest OS)
SRIOV
Junos Control Plane
(JCP/vRE)
MGD RPD
HWアプライアンスSRXと同等の機能実装
(Including Firewall, AppSecure, UTM/IDP, Integrated User
Firewall, SSL Proxy, VPN, NAT, Routing, HA Cluster, etc.)
サポートプラットホーム
• VMWare 5.1,5.5, 6.0
• Ubuntu 14.04 (KVM)
vSRXキー・ハイライト
• Junos Version 15.1 Base
• DPDK 2.1
• SR-IOV
• VMXNET3 and VirtIO (Driver
updates)
• Linux Base OS
• 64Bit Flowd
• Dedicated management I/F
• SCSI Support
• SNMP enhancements
• VMTools
• Min 4G vRAM and 8G HD
vSRX 2.0
• CentOS 7.0 (KVM)
• Contrail 2.2
16. 100GbpsのFWスループットを実現するvSRX
Hypervisors
(VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services
+
Flow Processing
+
Packet FWD
(JEXEC)Junos Kernel
QEMU/KVM
Linux (Guest OS)
SRIOV
Junos Control Plane
(JCP/vRE)
MGD RPD
vCPU1vCPU0
vCPU2
vCPU3
vCPU12
Intel 82599
NIC
RSS Hashing
vSRX機能特長:
• 最小2vCPUで15Gbpsの
FWスループットを確保
• 最大12vCPUで100Gbpsの
FWスループットを達成
• サーバ・パフォーマンス:
• Intel Xeon-R CPU E5-2670
v3@ 2.3Ghz
• 1 ソケット – 12 コア
• Intel 82599ES 12x10G NIC
vSRX VM
…
17. vSRX 2.0 パフォーマンス
Performance KVM with SRIOV KVM with SRIOV*
VSRX2.0 2 vCPU 12 vCPU
Firewall Throughput (Large Packet) 15.4 G 100 G
Firewall Throughput (IMIX) 3.1 G 25 G
TCP CPS 40K 240 K
IPSEC VPN Throughput (AES SHA1) 0.71 G 4 G
Appsecure Throughput 3.8 20 G
IPS (IDP Recommended) 1.5 G 9 G
Max concurrent Sessions 520K 2 M
*Note the above are preliminary performance numbers which are subject to change prior to FRS. Performance based on Intel Xeon CPU E5-2670 @2.3GHz
*AppFW, IPS performance are measured with HTTP 44KB payload
* IPS performance is based on data center use case (client-to-server protection) with the recommended IPS policy template.
20. CPE_B
Othe
r VM
Web
VM
APP
VM
DB
VM
IPSec VPN
CPE_C
Othe
r VM
Web
VM
APP
VM
DB
VM
IPSec VPN
Othe
r VM
Web
VM
APP
VM
DB
VM
CPE_D
IPSec VPN
ユーザB ユーザC ユーザD
IPSec VPN IPSec VPN IPSec VPN
Othe
r VM
Web
VM
APP
VM
DB
VM
IPSec VPN
CPE_A
ユーザA
IPSec VPN
• CPEとクラウドをセキュアに
接続
• クラウドサービスの
メリットをCPE環境でも活用
• ユーザ毎のセキュリティ
ポリシー
• 1Gbpsを超えるIPSECパ
フォーマンスで、クラウド
への接続をサポート
vSRXの適用事例(2)
マルチテナント・ネットワーク
vSRXはユーザの
VMグループ毎に配置
23. コンテナによるセキュリティ・マイクロ・サービス
業界初のコンテナ型ファイアウォール
cSRXの主要機能 – FW, IPS, アプリケーション・コントロール
Dockerベース
統一された管理ツール
Contrail/Openstackへ対応
2.8 GB
Mgmt
nsd IPS AppId
flowd
Packet IO
Container100 MB*
CLI/Netconf/RESTCONF
IN OUT
Single Sourced Code base System
daemon
s
cSRX
Docker Container
DST
vSRX VM
Hypervisors
(VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services
+
Flow Processing
+
Packet FWD
(JEXEC)
Junos Kernel
QEMU/KVM
Linux (Guest OS)
SRIOV
Junos Control
Plane (JCP/vRE)
MGD RPD
25. cSRX と vSRXの比較
vSRX cSRX
利用用途
ルーティング、FW、NAT、VPN、
ハイパフォーマンス
L4-L7 セキュリティサービス
(FW, IPS, AppFW)、
少ないフットプリント
vCPU 要件 最小2vCPUの割り当てが必要
• 割り当てる必要なし
• ワークロード・ベースの予約利用
メモリー要件 4GB 100MB
VPN/NAT・サポート サポート 未サポート
起動時間 7分以内 1秒未満
イメージサイズ 3 GB 150MB以下
ホスト要件
ホストOSとアンダーレイのHWは、
ネステッドVMのサポートが必須
ホストOSは、Dockerサポートが必須
26. cSRXの適用事例(1)
クラウドCPE
MPLS VPN
顧客サイト1
顧客サイト2
顧客サイト4
MX
L2/L3
Switch SRX QFX
顧客1
UTM
cSRX
顧客2
IPS+AppSecure
cSRX
顧客4
UTM+IPS
cSRX
MSSP仮想環境
顧客3
All-in-One
cSRX
顧客2NW
顧客サイト3
顧客3NW
顧客4NW
顧客1NW
オペレーター・
ネットワーク
NID
NID
NID
NID
管理・オーケストレーション・システム
Contrail
Security
Director Service
Orchestration
Junos Space
• 少ないフットプリント
• 高密度
• 高い拡張性
• マイクロ・サービス
• 高い俊敏性
要件事項と
cSRX利用メリット
• マネージド・セキュリティ・
サービスを提供できる
– より低コストで
• 大規模加入者環境において
– より高密度にインスタン
スを提供できる
• 顧客毎に柔軟にサービス提供
ができる