Juniper网络高可用性组网方案

场景一：实现业务高可用性

        企业基本的需求，期望消除设备的单点故障，保障业务持续性运作。那么单从网络层出发考虑，要实现用户安全地不间断的访问业务，那交换机和防火墙是必不可少的。本方案采用Juniper瞻博网络的产品解决方案为例说明高可用及对接公有云的简单应用。案例分2部分说明，图1为高可用性部分拓扑；图2为整体拓扑。

第1部分：先祭出高可用性部分拓扑图1

图1. 高可用性方案拓扑图

方案说明：

该方案可以使用的产品：

• Juniper SRX系列防火墙（Juniper SRX系列防火墙均支持双机高可用性，无需许可）
  • SRX300-345属Branch分支系列，适用于200人以内的环境
  • SRX550M适用大型分支，适用于500人以内环境
  • SRX1500适用于入门型数据中心设备
  • SRX4000及以上设备适用于中型及大型数据中心
• Juniper EX系列企业交换机
• Juniper QFX数据中心级交换机系列
• Juniper VSRX虚拟防火墙（用于私有云及公有云环境）

        本方案中采用2台Juniper EX系列交换机，构建企业核心交换网络。EX系列交换机可以多台（至少2台）组建成一个VC（虚拟机箱），即逻辑上变为一台设备，可以实现跨交换机聚合，管理和业务层的冗余容错，当任意一台设备故障或进行设备维护时，均不会造成业务中断。

        再来看一下边缘，边缘是企业对外交流的窗口，非常重要。不仅要考虑设备本身的故障问题，还要考虑设备的功能和扩展性方面，是否能够满足基本安全和更多的安全功能扩展。本方案中采用2台Juniper SRX系列防火墙，以HA（高可用性）模式部署。Juniper SRX的HA使用Juniper的私有JSRP协议，支持双活和主备2种模式，调整灵活，即可解决单点故障带来的风险，也可在来不及升级设备容量时，临时将处理能力翻倍。

该场景下，实现了核心和边缘的冗余，去除了设备单点故障带来的影响。

场景二：高可用模式下对接公有云

        多云环境，是现在大多数企业的普遍情况。在这种混合环境下，进行安全的数据交互，成为企业构建网络时，必须要考虑的因素之一。

第2部分：高可用模式下对接公有云拓扑图2

图2.高可用模式下对接公有云拓扑

        该场景下，通过在公有云端部署Juniper VSRX虚拟防火墙，然后与企业本地部署的Juniper SRX防火墙之间建立IPSEC VPN通道，由此将企业边缘扩展到了云端，让管理员管理云端的服务，就像管理本地的服务一样便捷和安全。

VSRX虚拟防火墙，可以部署在私有云（支持VMWARE ESXI、NSX和KVM）和公有云（目前支持AWS和AZURE）上，提供基本的网络访问保护和高级的安全功能。

        整个方案中用到了Juniper的交换机、防火墙还有虚拟防火墙，它们有一个非常大的优势，就是都采用了Junos操作系统。对于管理员来说，学会了Junos就可以同时管理Juniper的交换机和防火墙了。