Juniper France Tech Blog
Showing results for 
Search instead for 
Do you mean 

Ce test a été réalisé en par l’université de Nantes (Yan Dupont) et RENATER.

 

RENATER, Réseau National de télécommunications pour la Technologie l’Enseignement et la Recherche, fédère les infrastructures de télécommunication pour la recherche et l’éducation. RENATER interconnecte les centres de recherche et d’éducation aux autres réseaux nationaux de la recherche (NREN) via le réseau pan-européen  GÉANT.

Le réseau RENATER permet la collaboration des chercheurs et enseignants français entre eux et avec leurs collègues dans le monde grâce à des services de vidéo-conférence, transfert de données ultra-performant.

 

L’interconnexion des centres de calcul (centres de données) est un sujet majeur pour l’éducation et la recherche. Par exemple, c’est grâce à la construction d’une grille mondiale de calcul composée de dizaines de centre de calculs travaillant en collaboration avec le CERN (Centre Européen de Recherche Nucléaire) que le Bosons de Higgs a été découvert. La science est par nature un gros consommateur de calcul et de données. Les réseaux de nationaux de la recherche considèrent que dans un futur proche les centres de calcul vont grossir et que le nombre de leurs utilisateurs va aussi croitre rapidement avec l’émergence des technologies liées au Cloud.

 

Les centres de calculs sont très importants pour nous et nous avons la chance de posséder des relations fortes avec nos utilisateurs. Nous travaillons à leur fournir des services qui correspondent à leur besoin mais nous essayons d’aller au-delà en leur proposant des services innovants qui pourraient leur offrir de nouvelle opportunité de développement. Nous étudions Ethernet VPN (EVPN) pressenti comme futur protocole pour l’interconnexion des centres de calcul. Il est crucial de vérifier auprès de ces centres de calcul si EVPN correspond à leur attente et à leur cas d’usage. La capacité de pouvoir démontrer grâce à un PoC (Proof of Concept) les nouvelles fonctionnalités est un atout important. Un centre de calcul est opérationnel 24/7, il est vital de démontrer la fiabilité de toute brique ou service que nous proposons à nos utilisateurs.  

 

L’utilisation de routeur virtuel comme les Juniper Networks® vMX 3D Universal Edge Router correspond à notre besoin en terme de simulation pour notre ingénierie. Nous pouvons créer facilement des backbone complets permettant de valider le control plane et le forwarding plane. La démonstration de concept de mobilité de machine virtuelle sur EVPN nous permet notamment de juger la maturité de l’implémentation. Ce type de testbed n’est pas utilisé dans notre environnement comme test de performance. La mobilité de Machine Virtuelle (VM) est attendue depuis longtemps dans le monde des centres de calcul notamment pour développer de nouveau paradigme de services.

Démonstration de mobilité de machine virtuel

Démonstration

Objectifs et dispositif

Le but est de démontrer une mobilité de VM entre 2 sites sur un backbone EVPN.  Le routage à l’intérieur de l’instance EVPN doit être maintenu opérationnel après la migration. Le routage entre l’intérieur de l’instance EVPN et l’extérieure de l’instance (Internet) doit être maintenu opérationnel et optimal après la migration.

 

Notre installation est la suivante. Trois serveurs x86 jouent le rôle de 2 centre de calcul et le backbone EVPN :

  • Serveur Testbed-renater-a jouera le rôle du centre de calcul 1
  • Serveur Testbed-renater-c jouera le rôle du centre de calcul 1
  • Serveur Testbed-renater-b jouera le rôle du backbone EVPN + celui de l’Internet. Dans Testbed-renater-b, nous utilisons des virtual MXs :
    • vMX1 est un PE (Provider Edge) qui connecte le DC1 et une instance EVPN (EVI) appelée “BD3”
    • vMX2 est un PE (Provider Edge) qui connecte le DC2 et une instance EVPN (EVI) appelé e“BD3”
    • vMX3 est un PE qui interconnecte l’EVI “BD3” à l’Internet public.
      • Sur vMX3 un Logical System “VM133” (avec pour adresse IP 77.77.77.77) émule un “pseudo Internet” afin de vérifier le routage optimal entre l’instance EVPN et le reste du monde. VM133 échange via BGP de préfixes avec vMX3
      • Du point de vue de vMX3, VM133 est client de la VRF appelé IPVPN-1

 Visio 1 hi res.jpg

Figure 1: Nantes University Testbed (source RENATER®)

 

Visio 2 hi res.jpg

Visio 3 hi res.jpg

 

Figure 2: Final objective – Keeping routing optimal in VM mobility context (source RENATER®)

 

Après la mobilité de la VM, le trafic issu de l’Internet reste optimal. Ce trafic utilize le chemin direct (optimal) vers l’endroit où la VM a été déplacée sans passer par le PE où la VM était connecté orginellement. La flèche pointillée rouge de la Figure 2 illustre ce point.

 

Design

Le design suit principalement la documentation Juniper : DAY ONE: Using Ethernet VPNS for Data Center Interconnect. La différence principale est que l’EVI “BD3” n’est pas du type VLAN-aware bundle service mais VLAN-based service. Ce point n’a pas d’influence sur l’objectif de la démonstration.

 

Protocole implémenté sur le backbone : OSPF, BGP avec la family EVPN, MPLS, RSVP.

 

Les 3 serveurs utilisent KVM comme hyperviseur mais de toute façon EVPN est agnostique à la technologie de virtualisation employée. Pour la machine testbed-renater-b qu’héberge les vMX, nous avons choisi le para-virtualization qui permet la mobilité de machine d’un hyperviseur vers un autre sans reconfiguration de la VM. Nous avons implémenté les vMX routeurs en utilisant virtio. Pour la migration de VM d’un hyperviseur à l’autre, nous avons utilisé les outils standards de “KVM”.

 

Conclusion

Le test été un succès important pour nous. Il va nous aider à déployer de nouveaux services réseaux à la pointe du développement dans notre portfolio de services. L’utilisation de routeurs virtuels MX a démontré son utilité pour notre activité d’ingénierie réseau. Cela ouvre de nouvelles opportunités notamment dans le contexte des Network Function Virtualization (NFV).

 

Le déploiement d’Ethernet VPN est très important pour RENATER et cette expérience démontre que l’implémentation d’EVPN fourni par Juniper a un bon niveau de maturité. Grâce à Juniper, nous avons pu démontrer à nos utilisateurs que RENATER travaille à fournir des nouveaux services réseaux adaptés à leur besoin. Ils ont apprécié cette démonstration et nous espérons démarrer bientôt avec eux une collaboration sur ce sujet EVPN. Cette preuve de concept a été très utile, mais nous devons prendre en considération que cette fonctionnalité nécessite de fortes performances notamment lorsque les centres de calcul sont éloignés et la latence importante. Nous allons donc continuer notre étude sur EVPN dans ce cas mais aussi à propos d’autres fonctionnalités comme le load balancing par flow.

 


EVPN_VM_Mobility_demo_RENATER by xavier-jeannin

Network Test a réalisé cet automne des tests de capacité et de performances sur notre nouveau switch de coeur Datacenter Juniper QFX10002-72Q. Celui-ci a été testé à pleine charge, soit dans sa configuration 72 ports 40GE, soit dans sa configuration 24 ports 100GE, connectés sur un testeur Spirent N11U avec le même type d’interfaces.

 

 

Network Test est un organisme indépendant et reconnu pour ses services de mesure et tests d'équipements réseaux des constructeurs ou directement dans les environnements réseaux opérateurs ou grandes entreprises.

 

Ces tests sont disponibles en détail ici: http://networktest.com/jnprqfx10k/ et ont consisté à évaluer les éléments suivants:

- ses capacités de routage 40GE EVPN à travers des tunnels VxLAN

- son throughput 40GE et 100GE selon la RFC2544 unicast

- son throughput 40GE et 100GE selon la RFC3918 multicast

- sa consommation électrique

- sa capacité de buffering à 40GE et 100GE

- ses capacités en nombre d’ARP, de MAC RFC2889, d’IPv4/v6, de FW Filters (ACL)

- le nombre d'instances L3VPN et VRF lite en OSPF ou BGP associé à BFD

 

Tous ces tests devaient durer 2 semaines selon Network Test mais ils ont été finalement effectués en seulement 4 jours !

Grâce notamment à des outils d’automatisation, comme la création de templates Jinja2 et l’utilisation de PyEZ sur JunOS, les configurations de tests ont pu être préparées à l'avance et ainsi exécutées rapidement à la demande.

 

Le premier test EVPN/VxLAN était important car c'est le premier réalisé publiquement. EVPN/VxLAN est en effet devenu le standard maintenant adopté par les acteurs du Cloud et Datacenter hautes performances, c’est pourquoi Juniper tenait à démontrer comment et jusqu’à quel niveau de capacité, le QFX pouvait supporter ce type de technologie. Les hautes performances obtenues pour ces tests sont la preuve que Juniper a bien fait de choisir de développer son propre ASIC Q5 pour la nouvelle gamme de switchs QFX10000 de Datacenter, contrairement à ses concurrents qui continuent de s’appuyer sur les développements de Broadcom.

 

En effet, grâce à sa capacité mémoire embarquée directement sur l’ASIC Q5 pour faire des lookups, le QFX10002 obtient des résultats line-rate dès la taille de 400 octets par paquet routé à travers des tunnels VxLAN.

En ce qui concerne les RFC 2544, et RFC 3918, le QFX10002 atteint des valeurs line-rate en unicast et en multicast pour du trafic IMIX mais aussi pour des tailles de paquets plus petites à compter de 160 octets par paquet.

Le QFX10002 se positionne donc également comme un très bon équipement de diffusion vidéo avec plus de 128000 groupes multicast supportés.

 

Il est capable de supporter jusque 434000 MACs sans aucune collision et peut enregistrer jusque 512000 adresses.

Le QFX10002 a été capable d’enregistrer jusque 500000 routes IPv4 et IPv6 simultanément et d'acheminer sans perte le trafic envoyé vers ces destinations.

 

Les tests concernant le plan de contrôle ont pu démontrer la capacité à monter 4000 L3VPN avec 4000 instances VRF-lite, que ce soit en utilisant OSPF ou BGP comme protocole.

BFD a également été testé avec 4000 sessions en parallèle de celles en OSPF ou BGP en configurant un intervalle de détection à 3x1s.

60000 FW filters (ACL) ont pu être configurés (2500 par port 100GE) sans réduire les capacités de throughput de la machine.

 

Enfin, le QFX10002 consomme un peu moins de 1kW à pleine charge, ce qui est moins qu’indiqué dans nos datasheets qui précisent le pire des cas possibles (température anormalement élevée, ventilateurs à pleine vitesse).

 

Le QFX10002 présente déjà des références à peine sorti des usines de production de Juniper, notamment chez les grands acteurs du Cloud et de l'hébergement. Il est principalement déployé comme coeur de Fabric IP/BGP Datacenter pour interconnecter en 40GE plusieurs dizaines de switchs ToR 10GE déployés dans les baies de serveurs.

Le support à grande échelle de EVPN/VxLAN est donc essentiel dans ce cas de déploiement pour interconnecter en niveau 2 au-dessus de la Fabric IP tous les serveurs physiques ou virtuels qui y sont interconnectés dans un ou plusieurs Datacenters !

 

Lors d'une récente revue interne, Juniper a découvert un code non autorisé dans certaines versions ScreenOS qui permettrait à un attaquant chevronné d’obtenir un accès administrateur sur nos Firewalls ancienne génération NetScreen® et d’avoir la possibilité de déchiffrer les connexions VPN.

 

Ces failles de sécurité ne concernent que les codes ScreenOS 6.2.0r15 à 6.2.0r18 et ScreenOS 6.3.0r12 à 6.3.0r20. Vous pouvez vous référer au bulletin JSA10713 pour tous les détails.

Dès cette découverte, nos équipes de sécurité ont lancé une enquête, et nous avons développé rapidement des versions corrigées qui ont été mises à disposition sur notre site de téléchargement (http://www.juniper.net/support/downloads/screenos.html) en même temps que la révélation publique de ces failles de sécurité ScreenOS. Les anciennes versions impactées ont toutes été retirées.

 

Un certain nombre de medias a diffusé l’information sans avoir pris connaissance des conditions réelles et des règles de sécurité que les responsables réseaux et sécurité mettent en place dans leur entreprise.

 

 

Il est crucial en effet de comprendre ici que ces failles de sécurité sont difficiles à exploiter sans se faire prendre d’une part, et dans les conditions décrites ci-dessous qui constituent les bonnes pratiques à suivre lors d’un déploiement d’équipement réseau connecté à l’Internet. Jusqu’à présent, nous n’avons d’ailleurs eu aucune preuve qu’une de nos configurations clients ait été exploitée malicieusement.

 

Oui, le code espion comprenait le nom d'utilisateur et le mot de passe écrits en dur, pouvant donner à un attaquant chevronné et informé, un accès en tant qu’administrateur sur le Firewall. Mais en respectant les bonnes pratiques de sécurité et la configuration ScreenOS par défaut, cette vulnérabilité reste extrêmement difficile à exploiter pour les raisons suivantes:

  • L'administration à distance ne devrait pas être autorisée par l'Internet (zone de sécurité "untrust" par défaut)
  • Un administrateur interne devrait être autorisé à y accéder à partir d’un réseau dédié out-of-band d’administration uniquement ou d’un réseau plus spécifique contrôlé.
  • Un environnement sûr de cyber sécurité utilise également une base de données externe pour l’authentification sur les équipements réseau (par exemple RADIUS) et interdit l’authentification en local d’un Firewall, ceci pour des raisons de vérification et d’unicité des comptes et mots de passe d’accès.
  • Le déploiement d’un serveur externe de logs ou un SIEM (JSA-series, par exemple) est préconisé pour facilement détecter tout accès non autorisé qui exploiterait cette vulnérabilité.

Ainsi toutes ces bonnes pratiques citées ci-dessus empêchent et rendent l’exploitation de cette faille de l’accès à distance impossible.

 

En ce qui concerne la deuxième faille annoncée qui permettrait le déchiffrement du trafic VPN, son exploitation est encore plus difficile car elle implique une logique plus complexe et des compétences confirmées.

 

Le point important qu’il faut souligner ici est qu'avant de pouvoir déchiffrer le trafic, il faut pouvoir le récupérer ou du moins, le contrôler en mettant en place une solution de miroir ou de déviation de ce trafic sans que l’administrateur du Firewall ne puisse le soupçonner… Pas simple ! C’est un sacré challenge pour les attaquants qui doivent en plus le faire à distance, à moins que l’opérateur Telecom soit complice de ses actes.

 

De surcroît, pour déchiffrer le trafic VPN IPSEC, l'attaquant doit disposer d'informations qui sont elles-mêmes intégrées dans l'algorithme de chiffrement. Bien qu'il soit théoriquement possible de les déchiffrer, il est très difficile de le faire en pratique pour toute personne autre que celle qui a inventé la clé.

 

En tout état de cause, il est très important de comprendre que ces failles de sécurité annoncées publiquement par Juniper peuvent être corrigées dès maintenant avec la mise à jour du code Screenos éliminant ces possibilités d’intrusion. L'autre point important est de vous assurer que les bonnes pratiques de configuration et d’administration des équipements de son réseau décrites dans ce billet sont bien en place pour éviter toute tentative d’accès non autorisée ;- )

 

N’hésitez pas à contacter votre équipe Juniper ou votre partenaire intégrateur pour toute aide et toute information sur l’impact de ces vulnérabilités dans votre réseau. Nous nous tenons à votre disposition.

 

Vous avez juste à cliquer sur le lien: https://www.juniper.net/customers/support/#task et vous y trouverez les outils en ligne suivants dans la rubrique Use Tools:

 

  • SRX HA Configurator Generator: grâce à cet outil vous serez capable de générer la configuration intiale d'un cluster de chassis SRX branch très facilement et en gagnant du temps; notamment pour savoir quelles interfaces de contrôle et de fabric il faut définir et configurer selon le type de plateforme choisi :-)

 

 

  • SRX VPN Configurator: outil très intéressant pour vous guider dans la configuration de VPN site à site si vous n'avez pas notre GUI Security Director pour générer la configuration automatiquement ou si vous désirez configurer un VPN offline sans utiliser le wizard disponible dans le SRX :-)

 

Le vSRX2.0, le firewall virtuel de Juniper le plus performant du marché est enfin arrivé avec une bonne surprise sur ses capacités.

Read more...

Comme la plupart des lecteurs de blogs sur l’environnement IT, je suis attentif aux publications à des fins professionnelles, mais aussi par curiosité personnelle. Je vous propose ma contribution avec ce billet.

 

L’équipe d’architecture réseau que j’anime au sein de les services informatiques de Docapost (http://www.docapost.com, filiale du groupe La Poste) a récemment été confrontée à des challenges que nous connaissons de façon récurrente : la transition vers une nouvelle organisation de nos datacenters, au niveau de la commutation et de la mise en service progressive d’interfaces 10 Gbps sur les équipements raccordés.

Read more...

Pas un jour sans que les offres Cloud, quelque soit leur forme, ne soient présentées comme une avancée majeure supportant le développement de votre entreprise!

 

Plus d’agilité, moins d’investissement, des ressources à la demande et donc une meilleure satisfaction « client » (qu’il soit interne ou externe), les bénéfices promis sont plus ou moins confirmés. Les débats sont importants et normaux au sujet d’un modèle de consommation de l’IT nouveau et pas encore contrôlable.

 

Juniper Networks participe à la Cloud Week (du 6 au 10 juillet) à Paris, et notamment aux Etats Généraux d’Eurocloud le 9 juillet; et ces sujets seront largement abordés dans les conférences et tables rondes durant toute la semaine.

 

Cependant la partie la moins « médiatisée » de la construction d’un Cloud est peut-être celle où les progrès à faire sont les plus importants pour les entreprises et les fournisseurs de Cloud : le datacenter, et plus précisément son infrastructure réseau, sont-ils prêts pour le Cloud ?

 

Juniper Networks a mandaté IDC France pour réaliser deux études desquelles ont été émis des livres blancs. La première, réalisée mi 2014, a interrogé les entreprises privées et publiques de plus de 1000 employés. La seconde, déroulée il y a quelques mois, s’est intéressée aux fournisseurs de Cloud. Les résultats sont clairs : peu d’organisations ont leur(s) datacenter(s) prêt(s) à répondre aux attentes ou pas suffisamment avec les bénéfices attendus.

 

Si les parties serveurs et stockage (consolidation, virtualisation et standardisation) ont énormément progressé, la partie réseau est en retard. Simplifier les infrastructures devient une exigence. L’automatisation est l’étape suivante :

  • 43% des responsables de datacenters estiment que leurs équipements réseaux sont inadaptés. (1)
  • 60% veulent investir pour bénéficier d’une gestion simplifiée, d’une automatisation renforcée et d’une fiabilité améliorée. (1)

 

 

Les fournisseurs de Cloud, acteurs de plus en plus nombreux de l’offre du marché, ont également ces challenges à relever :

 

  • 56% veulent faire évoluer leur architecture réseau, qu’il s’agisse de renouvellement par des équipements nouvelle génération (33%) ou de refonte totale (14%) (2)

 

Leurs exigences sont aussi la fiabilité, la simplicité, l’efficacité et l’optimisation des investissements et enfin le « time to market », nécessité clé pour délivrer les services attendus par leurs clients et facteur déterminant pour gagner des parts de marché.

 

Alors chez vous ou chez votre fournisseur « votre datacenter est-il prêt pour le Cloud ? »

 

Pour en savoir plus sur les conclusions des études IDC citées (1) – Segment Entreprises – Avril 2014 et (2) – Segment Fournisseurs de Cloud – Janvier 2015, consultez les livres blancs édités par IDC France sur notre site www.juniper.net/fr .

 

Plus de liens:

Url : La flexibilité de l'entreprise passe par le datacenter

Blog: Les nouvelles orientations du DC

Video: Juniper Networks QFX10000 Data Center and Cloud Switches

Press Release: Juniper Networks Innovation Showcase Features New Lineup of Breakthrough-Performance Networking Prod...

Juniper Networks QFX Series of Switches: http://www.juniper.net/us/en/products-services/switching/qfx-series/

 

 

Comment appliquer des règles de sécurité et de segmentations dans l'environnement virtuel ? Et pour quels services ? Quel composant (de sécurité ou non) peut le faire dans un environnement virtuel ?

 

Read more...

Firefly, ou plutôt vSRX comme on l'appelle plus souvent, est tout simplement une version virtualisée du Firewall SRX de Juniper avec de nombreuses fonctionnalités citées dans cet article.

Read more...

Bientôt, nous allons atteindre et même dépasser la barre des 5 milliards d’utilisateurs connectés. Il y a trente ans, l’innovation était un concept à sens unique, une démarche clairement orientée entreprises, où les consommateurs passaient au second plan. Depuis, les choses ont changé. Alors que près de la moitié de la population mondiale est connectée à Internet, les consommateurs ont désormais leur mot à dire et exigent des applications et services innovants pour la qualité de leur vie, à leur rythme et à leurs conditions.

 

 

L’environnent de l’entreprise est contraint d’évoluer au rythme des innovations, chaque année, plus nombreuses. Juniper Networks a analysé les tendances 2015 dans les réseaux, le cloud et la sécurité, et voici ses conclusions:

 

Les réseaux intelligents:

 

La diffusion de contenu sème la confusion chez les câblo-opérateurs

 

Si la tendance est au numérique depuis plusieurs années, l’industrie du câble n’a pour ainsi dire pas évolué. Mais 2015 sera l’année du changement. Avec l’avènement et l’essor de la diffusion de contenu en streaming, les abonnés, qui se tournent vers différents fournisseurs de contenu comme Netflix, commencent à demander de nouveaux services à leurs câblo-opérateurs. Selon le rapport « U.S. Digital Video Benchmark » publié cette année par Adobe, le nombre des consommateurs de contenu en streaming a augmenté de près de 400 % depuis l’an dernier. Cette tendance devrait se poursuivre, et pour rester dans la course et gérer l’augmentation du trafic IP, les câblo-opérateurs devraient miser sur les réseaux virtualisés en 2015. Même si la transition durera plusieurs années, ils vont d’ores et déjà examiner les possibilités qui s’offrent à eux et commencer à lancer des appels d’offres pour trouver des fournisseurs partageant leur vision.

 

Le trading hypercontextuel (HCT) supplante le trading à haute fréquence

 

Passé de 7 milliards de dollars en 2008 à 1,4 milliard de dollars en 2013, le trading à haute fréquence est sur le déclin. Il représente à l’heure actuelle moins de 50 % des volumes d’activité des marchés financiers, contre 70 % en 2008. Le trading HCT (hypercontextuel) constitue le nouveau mouvement de dérèglement du marché. Il repose sur l’assimilation en temps réel des fils d’actualités classiques (Bloomberg, Thomson-Reuters, AP, CNN) et des flux des réseaux sociaux (Twitter, Facebook, LinkedIn, Blogs, etc.) en vue d’exploiter les informations du marché et d’acquérir un avantage concurrentiel en termes de transactions boursières. Le tout est piloté par des analyses permettant le chargement, le traitement et l’extraction rapides des données dans le but de tirer parti des discontinuités du marché. Le trading HCT relève de l’informatique distribuée et de la performance. La latence est le principal enjeu et ne constitue plus un facteur de différenciation. Un système extrêmement intelligent s’impose. Les entreprises et leur environnement informatique vont devoir pré-assimiler plusieurs centaines de flux d’informations en temps réel, ce qui nécessitera une programmation et un équipement réseau extrêmement pointus.

 

Big Data et réseaux : un bien ou un mal ?

 

Face à l’« Internet des objets », dont les tentacules (les terminaux) continuent de se déployer dans nos vies, les données générées vont être beaucoup plus nombreuses. Ainsi une simple connexion entre un téléphone et un système de sécurité résidentiel produira des données qu’il faudra bien stocker quelque part. En 2015, il s’agira à la fois d’analyser ces données, de les interpréter via une infrastructure réseau appropriée et de les sécuriser au moyen de technologies dédiées. Les entreprises et opérateurs de télécommunications revoyant leurs méthodes de développement de réseaux pour gérer la déferlante de données, la demande de spécialistes des données va atteindre des niveaux record.

 

Le Cloud:

 

 

Des clouds privés d’un nouveau genre vont apparaître

 

Les entreprises hors de la sphère informatique habituelle exploiteront le cloud autrement pour proposer leurs produits et services. L’essor des paiements mobiles, la multiplication des équipements connectés et les questions de sécurité qui en découlent vont transformer les marchés verticaux de manière radicale. À l’instar de Nike, autrefois spécialisé dans les vêtements de sport et désormais marque lifestyle connectée avec ses dispositifs de suivi, ou de Starbucks, devenu un grand adepte des paiements mobiles et de la diffusion de contenu, nombre d’entreprises vont créer des clouds privés pour répondre aux exigences de leurs clients. Si le cloud, comme toute nouvelle technologie, était au départ l’apanage des chefs de file du secteur des hautes technologies (sites web, services financiers), les entreprises du monde entier et de tous horizons — par exemple, les compagnies pétrolières et gazières comme Hess — vont, elles aussi, pouvoir s’y mettre. En 2015, la création de clouds permettra de se démarquer dans tous les secteurs.

 

Les solutions SDN en 2015

 

Les réseaux SDN (Software-Defined Network) vont se multiplier, à mesure que le marché et la technologie gagnent en maturité et que de plus en plus d’entreprises prennent conscience de la valeur de ces solutions. Les entreprises françaises commencent à voir les avantages du SDN selon une étude publiée cette année par Juniper : automatisation accrue, sécurité renforcée et centralisation dans la gestion des ressources. Si, en théorie, ils peuvent faciliter la gestion des réseaux et réduire les coûts, qu’est-ce que les entreprises vont réellement en faire ? Le SDN (couplé aux analyses) procure l’agilité nécessaire pour fournir des services avant que les clients ne les réclament.

 

La Sécurité:

 

 

Le marché noir continue de gagner en maturité

 

Selon une étude réalisée par RAND Corporation et Juniper Networks, les marchés noirs de la cybercriminalité ont atteint un niveau de maturité significatif. Et, cette tendance devrait se poursuivre en 2015. Face à la vulnérabilité persistante des systèmes de point de vente et l’afflux de services cloud, les pirates motivés par l’argent ont de beaux jours devant eux.

De nouveaux outils de piratage et kits d’exploitation des vulnérabilités des systèmes informatiques devraient voir le jour. Par ailleurs, malgré les mesures de répression prises par les services de police à l’encontre des sites web frauduleux tels que Silk Road, de nouveaux marchés devraient se développer pour répondre à la forte demande d’enregistrements volés et autres biens illicites. Les principaux fournisseurs de cloud et sites marchands étant la cible d’attaques à grande échelle, le nombre de cartes bancaires et autres identifiants proposés à la vente sur le marché noir devrait demeurer significatif.

 

L’analyse des données s’étend à la sécurité

 

Face à la volonté permanente de fournir des renseignements mieux exploitables et de meilleure qualité sur les menaces, on peut s’attendre à une hausse de la demande de spécialistes des données dans le domaine de la sécurité (« Data Scientists »). Déjà fortement sollicités dans d’autres secteurs, les professionnels capables de fournir des données plus précises sur les menaces seront extrêmement recherchés. C’est en appliquant les meilleures pratiques de la science des données à la sécurité que les entreprises disposeront de renseignements fiables et utiles sur les pirates et leurs attaques, et parviendront à se démarquer.

 

Sécuriser l’Internet des objets

 

Face à la multiplication des équipements connectés à Internet, le nombre de pirates et d’attaques a de fortes chances d’augmenter. À l’ère de l’Internet des objets, les entreprises qui ne s’étaient jamais soucié de la sécurité de leurs logiciels ne vont plus pouvoir se voiler la face, sous peine de s’exposer à de lourdes conséquences. Les pirates capables de prendre le contrôle à distance d’équipements médicaux, de voitures, de thermostats et autres systèmes physiques représentent une menace de taille pour la société. Les sociétés qui développent ces technologies doivent désormais intégrer la sécurité dans leur processus et mettre au point des outils permettant de corriger rapidement les systèmes concernés. À défaut, les risques de piratage logiciel des environnements et systèmes physiques stratégiques seront bien plus nombreux.

 

Nette amélioration de la confidentialité des données des utilisateurs

 

La confidentialité des données jouera un rôle majeur dans le développement et l’adoption de nouveaux produits. Suite aux récentes révélations sur les programmes de surveillance à grande échelle des administrations et services de police, les individus sont nettement plus intransigeants sur la confidentialité de leurs données, et les sociétés l’ont bien compris. Apple a, par exemple, renforcé la sécurité de son nouvel iPhone et de son système d’exploitation en mettant au point un système de cryptage par défaut qui va jusqu’à lui interdire l’accès aux données en sa qualité d’éditeur. Résultat : il ne peut pas fournir d’informations sur ses clients à d’autres parties, comme l’administration, et les oblige ainsi à contacter directement l’utilisateur.

 

Outre la sécurité renforcée des produits grand public, les applications de communication respectueuses de la confidentialité vont commencer à se généraliser. Face à des utilisateurs soucieux de la protection de leurs données, les applications comme Wickr et Silent Circle vont gagner en popularité.

 

 

Consultez aussi pour plus d'informations, les liens suivants:

Juniper networks shares its Top 4 Predictions

Seven Security Predictions for 2015 par Kyle Adams

Top Juniper Networks Predictions for 2015

 

Ces dernières années, plusieurs administrateurs de réseaux Datacenters ont déjà pris l’initiative de réduire le nombre d’étages réseaux entre le cœur et l’accès. D’après IDC, ils sont 37% en 2014 contre 5% en 2011, parmi les grandes entreprises françaises à avoir implémenté une infrastructure de type « fabric » dans leurs Datacenters.

 

 

 

Cependant, certains se sont rendus compte trop tard qu’ils ne réduisaient pas pour autant la latence ou qu’ils n’optimisaient toujours pas la gestion des flux est-ouest, car par exemple, la décision de commutation ou de routage d’un flux local continuait à se faire au niveau des équipements de cœur !

 

 

L’approche de Juniper avec la technologie Virtual Chassis n’altère pas les décisions de commutation ou de routage locales. Chaque membre de ce châssis virtualisé possède sa propre table de routes et prend donc localement la décision d’orienter le paquet entrant vers le plus court chemin de destination. Le switch élu Maître de l’entité virtuelle Virtual Chassis, lui, est un membre comme les autres, mais qui a la particularité d’être le point central et unique d’administration, de configuration et de mise à jour des tables d’informations réseau du châssis virtuel.

 

Cette technologie innovante Virtual Chassis date déjà de 2008 et permet de réunir jusque 10 switchs dans la même entité virtuelle. Plus besoin de réfléchir à des architectures pour éviter les boucles réseau et pour autant avoir un maximum de résilience ! Et on ne réduit plus la bande passante disponible de moitié à cause du Spanning Tree !

 

 

De plus, depuis début 2014, Juniper a enrichi son offre de virtualisation d’infrastructure Datacenter avec la technologie Virtual Chassis Fabric (VCF). Il faut voir cette nouvelle option de virtualisation d’infrastructure comme une évolution de l’architecture Virtual Chassis en mode Spine and Leaf, et jusqu'à 32 membres depuis JunOS 14.1.

 

 

En effet, afin d’être prédictible sur le temps de latence du trafic est-ouest, optimiser la bande passante au cœur du châssis virtuel et augmenter le taux de disponibilité de l’infrastructure, la technologie Virtual Chassis Fabric interconnecte chaque switch de cœur (Spine) indépendamment avec chacun des switchs d’accès (Leaf). La technologie VCF est disponible sur toute la gamme QFX5100/3500/3600, ainsi que l’EX4300 pour offrir un large choix de connectivité 1G/10G/40G à l’accès et en cœur.

 

Pour en savoir plus sur notre solution VCF, je vous invite également à suivre notre vidéo d’explication suivante en français :

 

C'est ce que propose Juniper dans cette nouvelle approche du niveau de sécurité proposé par le Firewall.

 

L'annonce faite le 9 septembre 2014 - Juniper Networks Expands Spotlight Secure To Stop Advanced Malware And Emerging Threats explique comment augmenter les capacités d'actions du Firewall SRX sur des menaces multiples, sans dégrader ses capacités propres ni ses performances. En somme le rendre plus intelligent.

 

Et maintenant, nous augmentons encore le niveau de sécurité en rendant plus intelligent le Firewall SRX en lui fournissant des connaissances externes dynamiques pour compléter ses capacités de décision sur les nouvelles menaces avancées et persistantes (APT).

 

Ainsi, le moteur du Firewall continue d'utiliser les techniques précédentes, mais y apporte plus de contenu dynamique issu de la base Spotlight Secure, des connaissances sur les réseaux de commande des botnets (Command & Control), sur la Géolocalisation des réseaux, en y associant les fingerprints d'attaquant identifiés.

 

De plus l'ouverture à des sources personnalisées d'adresses IP, de signatures IPS et d'applications, est également possible pour que l'administrateur puisse les ajouter à ses règles de sécurité. L'interface graphique, Security Director, complète la solution afin d'en simplifier la gestion et l'administration.

 

 

Apres les généralités, le détail technique.

 

Pour simplifier, ce schéma reprend l'architecture d'un Firewall SRX comme point d'application de politiques de sécurité utilisant de multiples sources, celles-ci centralisées grâce au Spotlight Secure Connector localisé dans un serveur physique ou virtuel avec Junos Space Security Director :

 

 

Spotlight Secure Cloud est une plate-forme de renseignements sur les menaces qui se nourrit de plusieurs sources pour délivrer de l'intelligence "actionnable", ouverte et consolidée, au niveau des Firewalls SRX.

 

Ces sources comprennent celles de Juniper, grâce à son équipe dédiée à la recherche sur la sécurité, des sources de menaces de tierces parties et des technologies de détection d'attaques que le client peut déployer en parallèle. Après des procédures de nettoyage, déduplication, vérification des sources, les sources Spotlight sont mises à jour constamment afin de garantir un service de sécurité optimal.

 

Le composant Spotlight Secure Connector permet de gérer les données mises à jour de Spotlight Secure Cloud, ainsi que d'autres sources utilisés par l'administrateur dont WebApp Secure ou d'une ou plusieurs listes d'adresses qu'il personnalise lui même. Ces listes peuvent provenir, par exemple, d'une liste de clients avec différents niveaux de service de sécurité, de listes d'IP crées par une solution tierce IPS, etc... L'idée étant de récupérer ses listes de manière dynamique par le connecteur pour les mettre à jour auprès du Firewall SRX.

 

 

Les administrateurs peuvent définir des politiques de contrôle de tous les flux via un seul point de gestion centralisée, Junos Space Security Director.

 

Voici ce que donne une politique de sécurité statique assez simple :

Par exemple :

  1. Autorisation de sortie du réseau parisien vers Internet
  2. Autorisation d'entrée d'Internet vers le serveur web Paris avec IPS actif.

 

Et une politique de sécurité contenant ces sources tierces plus riches :

L'exemple donne alors :

  1. Autorisation de sortie du réseau parisien vers Internet, MAIS vers certains réseaux européens, et tout en restreignant la communication vers des réseaux de Command&Control.
  2. Les règles suivantes sont distinguées pour le flux entrant vers le serveur web Paris :
  • Interdiction d'entrée depuis certains pays listés dans le groupe dynamique personnalisé "Restricted_Countries".
  • Autorisation d'entrée d'Internet avec IPS actif, MAIS en bloquant de manière proactive les attaquants dont le fingerprint est connu.

 

 

Pour en savoir plus sur la solution Spotlight Secure, SRX et Junos Space Security Director, suivez le lien et bonne lecture !

 

Autre blog parlant du sujet (en anglais):

Security for the Cloud Data Center with Juniper Spotlight Secure Threat Intelligence Platform

 

La version 13.3 de Security Director vous apporte principalement les nouvelles fonctionnalités suivantes :

 

- l’integration d’une partie Event Logging qui permet d’afficher et personnaliser des rapports associés aux événements de sécurité remontés,

 

- la notion de niveau de privilèges ou Role based Access Control pour la gestion hiérarchique des politiques de sécurité et des objets,

 

- et le support de la gestion de vos politiques UTM (Unified Threat Management).

 

Pour en savoir plus sur ces dernières fonctionnalités de Junos Space Security Director, je vous invite à regarder notre vidéo de démonstration suivante en français.

Elle comprend également un didacticiel pour pouvoir créer rapidement et facilement sur la plateforme Junos Space des templates de configuration pour vos équipements SRX :

 

Deux  approches possibles s’offrent à vous :

 

- soit vous vous laissez guider par notre solution commerciale prête à l’emploi, avec les dernières fonctions que nous avons déjà développées et les futures qui viendront avec la mise à jour de votre version selon vos besoins,

 

- soit vous prenez notre code source Opencontrail et vous en faites la base de votre propre contrôleur SDN en développant vos fonctions spécifiques, comme l’ont déjà réalisé plusieurs opérateurs de Cloud ; par exemple très récemment, et en un temps record, les équipes de développeurs de Cloudwatt.

 

 

Notre solution SDN Contrail est composée de deux  éléments principaux :

 

- un contrôleur centralisé, qu’on peut redonder et qui fournit les éléments de contrôle, de management et d'analyse,

 

- et des switchs/routeurs virtuels, déployés dans l'hyperviseur de chacun des serveurs virtualisés pour permettre de créer un réseau de tunnels d’interconnexion, dit Overlay, au-dessus de l’infrastructure réseau physique en place, dit Underlay.

 

 

Pour en savoir plus sur notre solution SDN Contrail et ses cas d’utilisation, je vous invite à suivre notre vidéo de démonstration suivante en français :

 

 

Juniper Networks a récemment annoncé la sortie de son nouveau switch EX4600, conçu principalement pour augmenter les performances du niveau de distribution de vos réseaux Campus. Il a en effet été dessiné pour répondre aux besoins des équipes réseaux des Entreprises de plus ou moins grande taille, qui se lancent dans la production de nouveaux services et applications qui requièrent haute disponibilité et haute performance.

 

Ce switch compact offre de base les dernières innovations que Juniper a déjà développé sur sa gamme QFX5100 pour les Datacenters, comme ISSU pour les mises à jour à chaud, la mise à disposition de ports 40GbE pour l’agrégation vers le cœur de réseau ou encore le contrôle interne des buffers. De plus, il peut être utilisé seul ou en Virtual Chassis, supporte les architectures MC-LAG, autant d’options pour simplifier le management et le provisioning de vos réseaux.

 

Les fonctions clés du switch EX4600

 

  • Format fixe de base avec 24 ports 10 Gbps et 4 ports 40Gbps ports line-rate
  • Possibilité d’ajouter des modules d’expansion de 8 ports 10G ou 4 ports 40G dans les deux slots supplémentaires en face avant
  • Capacités de throughput à très haute performance supportant jusque 400 Gbps de bande passante,
  • Hautement disponible avec le support de In Service Software Upgrade (ISSU), de Graceful protocol Restart et la redondance des modules d’alimentation et de ventilation, qui peuvent être remplacés à chaud
  • Possibilité de choisir le modèle selon le sens de ventilation désiré par rapport aux contraintes d’intégration
  • Flexibilité d’utilisation et de déploiement, administration simplifiée grâce au support des technologies Virtual Chassis et MC-LAG

Avantages et Fonctionnalités

 

In-Service Software Upgrades

La fonctionnalité ISSU s'appuie sur l'architecture logicielle de la plate-forme EX4600 elle-même pour éliminer les risques associés aux mises à jour logicielles du switch. ISSU profite en effet de la capacité interne du switch à pouvoir monter une machine virtuelle (VM) en parallèle pour mettre à jour le système principal où Junos s'exécute, grâce à une nouvelle image disque Junos créée et vérifiée sur cette VM. Cette dernière image est ensuite lancée comme nouvelle image Junos de secours. Junos tourne du coup dans deux machines virtuelles séparées qui fonctionnent en relai l’une par rapport à l’autre dans le même switch. Le système attend que les deux images Junos se synchronisent avant d'échanger les rôles et détacher les éléments de l'ancienne image Master pour les rattacher à la nouvelle image. Pendant ce cycle de mise à jour logicielle, l'EX4600 bascule son système sur la nouvelle image de façon transparente, tout en maintenant le trafic des données. Une fois la mise à niveau terminée, l’ancienne image Junos (VM) est arrêtée.

 

Contrôle de performances avancé

Grâce à la technologie Insight Monitoring pour l'analyse des buffers, un contrôle des performances est assuré au sein même du switch. Il dispose d'un contrôle dynamique de l'utilisation de la mémoire tampon (buffer) et fournit avec un intervalle de 10 millisecondes des données précises sur les microrafales et la latence qui peuvent apparaitre lors du traitement du trafic. Il calcule à la fois la longueur des files d'attente et la latence, et enregistre les messages lorsque les seuils configurés sont franchis. Les statistiques de trafic de l'interface peuvent être mesurées toutes les 2 secondes. Les données peuvent être visualisées via CLI, le journal du système, ou envoyées vers des serveurs externes pour plus d'analyse. Les formats de rapports supportés incluent Java Script Object Notification (JSON), CSV et TSV. Ces fichiers peuvent être gérés par les systèmes d'orchestration, des contrôleurs SDN ou des applications de gestion de réseau (tels que Juniper Networks Junos Space Network Director) pour prendre de meilleures décisions de conception de réseau et identifier les points chauds du réseau.

 

Déploiement et Administration simplifiés

Le switch EX4600 supporte la technologie unique Juniper Networks Virtual Chassis, qui permet d’interconnecter jusque 10 commutateurs tout en operant qu’une seule entité logique avec une seule adresse IP. La technologie Virtual Chassis simplifie grandement la couche de distribution des réseaux d’entrep..., en éliminant les besoins de protocoles comme STP, VRRP, le routage complexe ou les configurations de multiples VLAN. Quand il est déployé en mode Virtual Chassis, le switch EX4600 réduit également le nombre d’équipements à administrer et peut complètement supprimer certains niveaux d’agrégation dans le réseau. Un simple Virtual Chassis peut couvrir plusieurs nœuds réseaux, réduisant la nécessité d’opérer plusieurs couches réseaux, ainsi que les coûts d’urbanisation et d’intégration. Avec l’EX4600 vous pouvez combiner des connexions 1GbE, 10GbE et 40GbE dans le même Virtual Chassis. Vous pouvez également mixer des EX4600 et des EX4300 dans cette même entité logique si vous avez besoin d’optimiser les coûts pour les besoins de connexion 1GbE.

 

Provisioning automatisé

Le switch EX4600 permet de réduire le temps et le coût de déploiement grâce à ses possibilités de provisioning automatisé. Il supporte en effet de nombreuses fonctionnalités d’automatisation réseau et plug-and-play, y compris le zero-touch provisioning, les scripts opérationnels et déclenchés sur événement, le rollback automatique ou à confirmer, et le scripting Python. L’EX4600 supporte aussi l’intégration avec les orchestrateurs comme Chef et OpenStack pour le Datacenter.

 

Un logiciel riche en fonctionnalités

L’EX4600 supporte en plus de ses fonctions de commutateur, des fonctionnalités WAN MPLS comme L3 VPN, IPv6 provider edge router (6PE), RSVP traffic engineering, et LDP pour permettre de segmenter ou virtualiser les réseaux autrement qu’au niveau Ethernet. Il peut être déployé aussi bien comme routeur MPLS LSR (Label-Switching Router) ou même routeur PE dans des environnements de petite échelle. Le switch EX4600 est le seul switch du marché à la fois aussi compact, aussi dense en connectivité 1GbE, 10GbE, 40 GbE, aussi peu consommateur d’énergie au regard de ses performances et de sa faible latence, et qui offre un tel panel de fonctions MPLS.

 

 

Pour plus d’information

 

Si votre réseau Campus doit faire face à ce type de nouveaux besoins, tout en réduisant vos coûts opérationnels, n’hésitez pas à nous contacter ou prendre de plus amples informations sur notre site:

http://www.juniper.net/us/en/products-services/switching/ex-series/ex4600/

 

Hardware guide: http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/pathway-pages/e...

 

Blog Source: http://forums.juniper.net/t5/Data-Center-Directions/Announcing-Juniper-s-Most-Highly-Available-Campu...