Juniper發表資料中心產品藍圖

Juniper（瞻博）繼2008年初發表了交換器產品線後，日前又正式發表了該公司未來的資料中心網路架構簡化的策略。綜觀Juniper機房網路簡化策略的最主要核心，是以交換器EX系列的4200、8208為主，輔以新推出的大型防火牆與IPS（入侵偵測防禦設備）設備SRX 5000系列，試圖以網路設備的虛擬化，統整資料中心網路與資安設備，減少設備數量。

透過EX系列交換器的虛擬化，讓資料中心網路簡化
在網路層級的簡化上，Juniper香港與臺灣區技術總監游源濱表示，一般規模較大的企業網路拓樸，都會以3層式的架構設計，包括與伺服器連結，提供使用者端服務的存取層；扮演中間層級的匯集層；以及最終收攏線路的核心層。而Juniper所提出的未來資料中心網路架構中，在存取層端，就希望透過EX 4200系列交換器的虛擬化功能，達到層級簡化的效果。

游源濱表示，傳統企業的資料中心網路在設計時，在存取層多會採用2種方法：其一是在每個機櫃上安置1臺交換器，然後再由每個機櫃牽2對（4條網路線，上、下鏈以及其各自的備援）網路線到匯集層的交換器，這種方法稱之為Top of rack。利用這種方法連結資料中心的設備，雖然單純，但是當資料中心規模擴大時，由於每個機櫃都需要2對線路與匯集層的交換器連結，將會使得線路十分複雜，匯集層的交換器連接埠數量也非常吃重，使得匯集層的交換器維護不易，甚至讓使用者根本搞不清楚哪臺交換器與哪些伺服器連結。

另外一種方法稱為End of row，則是讓所有存取層的多臺機櫃，共用1臺連接埠數量較高的大型交換器，然後再透過這些交換器，每臺牽2對線與匯集層的交換器連結，減少存取層與匯集層之間的連線數量。此種做法雖然解決了匯集層線路過於複雜的問題，但是因為使用者必須牽許多跨機櫃的線路至存取層的交換器，存取層的線路依然過度複雜，不易管理。且購買較大型的存取層用交換器，其費用也較高。

為了解決這些問題，游源濱指出，Juniper的機房網路策略中，就希望以EX 4200交換器的虛擬化功能解決。該功能被稱為虛擬機櫃（Virtual Chassis），只要在內網網路（無論是光纖或銅線）能夠連結的範圍內，不同位置的4200都可以串接虛擬成為一臺大型的交換器。

這代表著，透過虛擬機櫃的技術，企業可以使用傳統Top of rack的建置方式，在每臺機櫃上放置EX 4200，然後透過虛擬機櫃的功能，將每臺機櫃上的EX 4200虛擬為單一的交換器設備，如此一來，由於每臺存取層的交換器都被視做同一臺設備，使用者只需要牽2對線到匯集層的交換器，就能完成網路連結與備援，大幅減少網路拓樸的複雜度。此外，因為多臺EX 4200虛擬成為一臺機箱型交換器之後，任一臺發生故障，其他臺會自動接手，即便是分配路由路徑，扮演大腦角色的交換器發生問題，也可以在1～2秒內自動切換到其他正常運作的交換器，由它繼續扮演大腦的角色，存取層連線的穩定性也受到了保障。

由於EX 4200透過虛擬機櫃的技術最多可以串接20臺，所以可以大幅減少匯集層交換器收攏的交換器連接埠數。游源濱表示，因為需要連接的埠數少了很多，匯集層就可以直接使用高連接埠密度的交換器，直接收攏全企業的網路連線，省去核心層和匯集層的區別，直接整合為一層。Juniper除了希望透過這樣的策略，協助使用者簡化網路的複雜度之外，也希望能夠透過這樣的策略減少使用者的資料中心空間、用電等成本，而根據Juniper的說法，如果採用這樣的配置，企業資料中心的用電都可以有6成以上的節省。「根據我們自己的計算，在一個擁有2,500個埠、80個光纖GbE埠以及20個10GbE骨幹埠的企業中，透過EX 4200虛擬機櫃的方式，能夠幫這個企業省下65.7％的電力、80.5％的機櫃空間。」游源濱說。

雖然Juniper和思科（Cisco）所提出的未來機房網路策略，都著眼在總設備數量的減少，但在做法上可以看見很明顯的不同，現階段來看，Juniper的資料中心網路簡化策略，和思科的單一大型設備分配資源切割為多個邏輯定義的虛擬化方式恰恰相反，反而是著眼在多臺小型交換器的虛擬串連，減化不同層級所必須使用總設備數量。

而為了因應這個策略，Juniper也在日前推出了大型的交換器EX 8208，做為其匯集層與核心層統合之用的高密度連接埠交換器，最多可以支援384個GbE等級、64個10GbE（線速）等級的連接埠。並且也已經內定支援100GbE等級的連線。EX 8208交換器預計將在今年2月正式出貨。

資安設備整合，則以SRX做為策略中一環

除了透過交換器虛擬化減少資料中心網路拓樸的層級外，Juniper的資料中心網路架構簡化策略中，也以新資安設備SRX 5000系列，做為其整體策略的一環。SRX系列是Juniper新推出資安設備，擁有防火牆、IPS、IPSec VPN、NAT轉譯、QoS等功能，也能做為交換器使用。

除了擁有多功能外，就資安設備來說，SRX 5000系列也是一臺超級大容量的設備，以SRX 5800為例，該設備最多可支援440個GbE，或44個10GbE等級的連接埠，效能達到120Gbps。

游源濱表示，SRX之所以會這樣設計，也是Juniper的資料中心網路簡化策略的一環。由於資安設備，如防火牆、IPS等，在網路拓樸上的位置不定，企業在規畫資料中心的網路時，不但無法以單一介面完全管理各類型的資安設備，也沒有辦法以整合的方式減少資安設備的數量。

而SRX就能解決這個問題，達到資料中心資安設備的彙整。游源濱指出，SRX是一個獨立的資安平臺，並非是傳統交換器透過插卡擴充容量，但實際上每個功能依然各自獨立的系統。這代表著整個設備的總效能能夠透過分配，處理不同的流量。舉例來說，傳統交換器插卡方式，如果每張板卡的最大處理效能是1Gbps，如果使用者的某個應用流量超過1Gbps，就必須另外透過附載平衡的方式分配到不同板卡上去處理。而SRX則不同，由於是完整的系統，所以與任何板卡連結的流量，都能透過全系統的效能來處理，省去許多使用上的難處。

在Juniper的策略中，使用者可以透過在核心交換器EX 8208上做設定，透過EX 8208與SRX設備的溝通，系統會自動將政策中確定需要接受資安掃描的流量導入SRX設備，而不需要掃描的流量則直接通過。如此一來，企業的資料中心就不需要另外設立多臺資安設備，轉而是以EX 8208為主要節點，將流量導入SRX中掃描，減少企業使用防火牆、IPS設備的數量。

SRX設備未來預計還會加入獨立虛擬環境切割的功能，可將SRX切割成多個邏輯上的資安設備，方便企業管理。此外，SRX也將會在今年下半年推出流量辨識與控管的功能，可以透過SRX平臺辨識應用的種類，並且決定該種應用的流量大小。

整體來看，Juniper的資料中心網路架構簡化策略，主要是以EX系列的交換器為重心，試圖透過虛擬化技術減少網路交換器連結的層級，以及總體設備數量，簡化存取層與匯集層的連線複雜度。此外，也希望透過SRX平臺，達到資安設備的統合。文⊙劉哲銘