Рубрика «juniper» - 3

Работая более десяти лет в отрасли, меня неоднократно одолевал интерес, какое оборудование используют наши «соседи» — аплинки, даунлинки, пиринг-партнеры. Получить эту информацию не составляет труда, если IP-стык организован на основе Ethernet*: смотрим MAC- или ARP-таблицу, по трём первым байтам (OUI) определяем производителя оборудования.

В данной публикации я проведу краткий анализ используемых маршрутизаторов на сетях популярных точек обмена трафиком — MSK-IX и W-IX.
Читать полностью »

А поговорим мы с вами сегодня про сложные взаимоотношения американских ИТ-вендоров и спецслужб: о мировой ИТ-закулисе, скандале в Yahoo, тайне бекдора в Juniper, истории Apple vs ФБР. Также обсудим, зачем АНБ заплатило RSA 10 млн. долларов за криптобэкдор. Попробуем нарисовать несколькими штрихами современный ИТ-мир как он есть, и без лишней суеты и параноидальных выводов, и без слепого обожания в «розовых тонах». Что получилось — смотрите под катом.
Читать полностью »

Juniper Hardware Architecture - 1

Современные маршрутизаторы обрабатывают по несколько миллионов пакетов в секунду, работают с несколькими FV таблицами маршрутизации, позволяют реализовать огромное количество сервисов. Различные вендоры используют разный подход к построению оборудования. В данной статье не будет огромного количества выводов. Сегодня поговорим об архитектуре оборудования Juniper.
Читать полностью »

Центры обработки данных все больше полагаются на виртуализацию серверов, чтобы предоставлять услуги быстрее и эффективней, чем прежде. Однако с виртуализацией ЦОД появляются и новые проблемы, которые требуют дополнительных мер безопасности, требования к которым выше, чем к физическим ресурсам.

Безопасность в облаке: Juniper vSRX и cSRX - 1

Читать полностью »

В жизни каждого системного администратора наступают моменты, когда возникает необходимость автоматизировать выполнение каких-то операций или, например, приходится часть своих полномочий делегировать подчиненным. Причем, желательно это сделать безопасно, а возможность накосячить свести к минимуму. Хорошо, если речь идет про сервер под управлением *NIX-системы — имеется превеликое множество предназначенных для этого инструментов. Но так везет не всегда...Читать полностью »

Разделение control и data plane в сетевом оборудовании - 1

В работе сетевого устройства можно выделить две абстракции – управляющий уровень (control plane) и передающий уровень (data plane). Сontrol plane отвечает за логику работы сетевого устройства для обеспечения в дальнейшем возможности передачи пакетов (заполнение различных таблиц, например, маршрутизации, отработку различных служебных протоколов ARP/STP/и пр.). Data plane в свою очередь отвечает непосредственно за передачу полезного трафика через наше сетевое устройство. Т.е. сontrol plane нам предоставляет информацию куда и как слать сетевой трафик, а data plane уже выполняет поставленные перед ним задачи. Данные абстракции могут быть выделены как на логическом, так и на физическом уровне. Но всегда ли на сетевом оборудовании присутствует такое разделение и где именно выполняются функции каждой из абстракций? Давайте попробуем в этом разобраться.Читать полностью »

Часть 1. Технология виртуального шасси

Одним из основных преимуществ решений Juniper перед конкурентами являются их возможности стекирования. Вариантов довольно много, начиная от базового Virtual Chassis и заканчивая целым рядом датацентровых технологий.

Часть 1. Virtual Chassis

Преимущества стекирования Juniper - 1

Читать полностью »

При работе OSPF в широковещательной среде, которой является Ethernet, выбирается DR/BDR. Давайте разберемся как происходят выборы DR/BDR.

Предположим, что у нас имеется широковещательный сегмент состоящий из 10 маршрутизаторов. Каждый маршрутизатор должен будет установить соседство со всеми остальными. Количество необходимых соседств рассчитывается по формуле n(n-1)/2, и для 10 узлов равно 45. Количество сессий при увеличении количества узлов растет в геометрической прогрессии. В пределах каждой сессии пришлось бы отсылать hello пакеты и реплицировать каждое LSA, что привело бы к значительному увеличению флуда сигнальных сообщений протокола OSPF. Поэтому была придумана концепция DR/BDR (или DIS в ISIS).Читать полностью »

В данной статье я бы хотел рассказать об одном достаточно простом методе защиты от Syn Flood атак на маршрутизаторах Juniper серии MX. Данный метод может помочь при нескольких условиях, о которых рассказано ниже. Конечно, есть аппаратные и программные решения, технологии Syn Cookies, Syn Proxy и другие. Но, иногда, большую часть трафика получается заблокировать на маршрутизаторе без применения дополнительных механизмов или дорогостоящих устройств. Так как мы использовали для настройки маршрутизатора некоторые статьи наших коллег, решили поделиться и нашим опытом, он достаточно специфичны, но надеемся принесет пользу. Пример такой атаки приведен на графике ниже.
Juniper MX + IX + SynFlood - 1
Читать полностью »

Любой инженер, сталкивавшийся с MPLS, знает что метки могут распределяться двумя способами: DU (Downstream Unsolicited) и DD (Downstream On-Demand). В первом случае маршрутизатор начинает генерировать и передавать всем своим LDP соседям метки до префиксов, к которым он является next-hop. Во втором случае LSR будет генерировать метку до префикса и передавать ее только по запросу вышестоящего маршрутизатора. Пример первого случая — протокол LDP, второй случай — RSVP-TE. А как распределяются метки в VPLS? Давайте разберемся.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js