
Juniper网络高可用性组网方案
场景一:实现业务高可用性
企业基本的需求,期望消除设备的单点故障,保障业务持续性运作。那么单从网络层出发考虑,要实现用户安全地不间断的访问业务,那交换机和防火墙是必不可少的。本方案采用Juniper瞻博网络的产品解决方案为例说明高可用及对接公有云的简单应用。案例分2部分说明,图1为高可用性部分拓扑;图2为整体拓扑。
第1部分:先祭出高可用性部分拓扑图1

图1. 高可用性方案拓扑图
方案说明:
该方案可以使用的产品:
- Juniper SRX系列防火墙(Juniper SRX系列防火墙均支持双机高可用性,无需许可)
- SRX300-345属Branch分支系列,适用于200人以内的环境
- SRX550M适用大型分支,适用于500人以内环境
- SRX1500适用于入门型数据中心设备
- SRX4000及以上设备适用于中型及大型数据中心
- Juniper EX系列企业交换机
- Juniper QFX数据中心级交换机系列
- Juniper VSRX虚拟防火墙(用于私有云及公有云环境)
本方案中采用2台Juniper EX系列交换机,构建企业核心交换网络。EX系列交换机可以多台(至少2台)组建成一个VC(虚拟机箱),即逻辑上变为一台设备,可以实现跨交换机聚合,管理和业务层的冗余容错,当任意一台设备故障或进行设备维护时,均不会造成业务中断。
再来看一下边缘,边缘是企业对外交流的窗口,非常重要。不仅要考虑设备本身的故障问题,还要考虑设备的功能和扩展性方面,是否能够满足基本安全和更多的安全功能扩展。本方案中采用2台Juniper SRX系列防火墙,以HA(高可用性)模式部署。Juniper SRX的HA使用Juniper的私有JSRP协议,支持双活和主备2种模式,调整灵活,即可解决单点故障带来的风险,也可在来不及升级设备容量时,临时将处理能力翻倍。
该场景下,实现了核心和边缘的冗余,去除了设备单点故障带来的影响。
场景二:高可用模式下对接公有云
多云环境,是现在大多数企业的普遍情况。在这种混合环境下,进行安全的数据交互,成为企业构建网络时,必须要考虑的因素之一。
第2部分:高可用模式下对接公有云拓扑图2

图2.高可用模式下对接公有云拓扑
该场景下,通过在公有云端部署Juniper VSRX虚拟防火墙,然后与企业本地部署的Juniper SRX防火墙之间建立IPSEC VPN通道,由此将企业边缘扩展到了云端,让管理员管理云端的服务,就像管理本地的服务一样便捷和安全。
VSRX虚拟防火墙,可以部署在私有云(支持VMWARE ESXI、NSX和KVM)和公有云(目前支持AWS和AZURE)上,提供基本的网络访问保护和高级的安全功能。
整个方案中用到了Juniper的交换机、防火墙还有虚拟防火墙,它们有一个非常大的优势,就是都采用了Junos操作系统。对于管理员来说,学会了Junos就可以同时管理Juniper的交换机和防火墙了。