ITAA  IT傻博士 onetom 原创
 
JUNOS compare with IOS&VRP [附VRP简介]

1.*****************远程修改配置安全性********************

JUNOS:commit confirmed命令可以允许设备配置文件在可以调整的时间内自动回退,避免远程维护中误操作

IOS/VRP:无,远程维护中一旦敲错命令,业务和管理流量均立即中断,需要到本地console口修改配置


2。******************用户登录和操作情况记录*****************

JUNOS:可以记录所有用户的登陆时间以及具体操作命令,可以同时在本地文件里保存备查和输出到SYSLOG服务器

IOS/VRP:用户登录信息不能本地保存,只能输出给SYSLOG服务器,完全无法记录用户执行过的具体操作命令


3.************************查看修改配置记录*********************

JUNOS: 可以通过show | compare命令查看现有已经做的但未保存的配置,同时多个用户登录并作配置时,此命令可以显示所有人的修改但未保存的配置

IOS/VRP: 无此功能,如有多个人修改配置,无法知道是哪个用户修改了什么配置


4.***************ACL条目处理顺序*****************

JUNOS:可以在不取消ACL应用的情况下随意更改顺序

IOS/VRP: 必须先取消在其他配置上的引用,然后整体取消ACL,然后重新在文本上重新编辑ACL的顺序,然后重新创建ACL,然后重新应用,如远程操作,有断网危险(现在即使已经出了解决方案,仍然没有JUNOS的insert命令方便)



5.*********ACL的logging功能对设备性能影响*****************

JUNOS:可以随意对于ACL开启log功能,并能将详细的syslog信息写入指定的文件,同时也可以动态的监视log文件的变化,对设备性能毫无影响

IOS/VRP:一旦开启ACL log功能,CPU立即一路飙升至99%-100%,设备不可用



6.**************配置灵活性******************************

JUNOS:可以在不插物理接口的情况下做整机的配置[包括此接口],使用时,插好相应的接口配置即生效

IOS/VRP:IOS/VRP均不支持此功能,不插接口无法进入接口配置,自然也就无法配置此接口;



7..*********************配置文件管理***********************
JUNOS:可以将写好的配置文件存在本地,也可以导出到外部设备[通过FTP],可以直接修改此文件[用写字板],修改完以后可以导入到路由器,割接时只需要load merge/override [文件名]并commit即可完成割接里配置的更改,不用一行一行的敲命令;
IOS/VRP:割接时需要一行一行的敲命令,费时费力且容易出错



8.********************SMURF攻击*****************************
JUNOS:使用如下配置监测SMURF攻击[FIREWALL FILTER应用到loopback接口]:                                                       term a {  from {    destination-address {        10.1.1.0/24;    }    protocol icmp;  }  then {    count icmp-counter;    log;    accept;  }}term b {  then accept;} 如果icmp-counter短时间内增加很快,认为有SMURF攻击,只需要把term a then accept,修改为term a then discard即可,操作简单,并且show firewall log可以查看所有的攻击者/中间者的源地址;
IOS/VRP:需要在所有三层接口上应用ACL,会打乱原有的所有ACL配置;



9.******************ONLINE DOC***************************
可以在命令行模式下取得完整的帮助文档和配置例子,举例如下:
lab@Juniper-lab# help topic ospf neighbor   Configuring an Interface on a Point-to-Multipoint Network  When you configure OSPFv2 on a nonbroadcast multiaccess (NBMA) network,  such as a multipoint ATM or Frame Relay, OSPFv2 operates by default in  point-to-multipoint mode. In this mode, OSPFv2 treats the network as a set  of point-to-point links. Because there is no autodiscovery mechanism, each  neighbor must be configured.  To configure OSPFv2 in point-to-multipoint mode, include the following  statement:  [edit protocols ospf area 0.0.0.0]  interface interface-name {      neighbor address;  }  For a list of hierarchy levels at which you can configure this statement,  see the statement summary section for this statement.  Specify the interface by IP address or interface name. For more  information about interface names, see the JUNOS Network Interfaces and  Class of Service Configuration Guide.  To configure multiple neighbors, include a neighbor statement for each  neighbor.     
JUNOS的软件配置CD随机一份,并可以在[url]http://www.juniper.net[/url]随时打包下载最新的JUNOS配置文档
IOS/VRP: CISCO/HUAWEI均无此项功能,需要另外查手册,另外CISCO在中低端设备已经不提供Documentation CD,网上也无法打包下载,只能上网查询,但在机房等现场无上网条件,这给设备调试和维护工作带来很大不便。请注意此项功能并不是打问号取得帮助信息,这项用问号取得帮助的功能绝大多数厂家都已经实现



10.***************带外管理************************
任何一台JUNIPER M/T路由设备均有带外网管接口,JUNIPER叫做fxp0
Cisco 7200/7500/GSR路由器,6500/7600交换机均无带外网管接口



11.**********网络管理流量应用限制*******************
JUNOS软件对于网络管理应用均有限制,这是为了保证网络管理流量的安全性,可以设定每分钟同时在线用户数和每分钟内最大发起的连接次数,默认的数值分别为75和150;                     
system {
    services {
        ssh connection-limit 10 rate-limit 4;
          }
        }

IOS/VRP: 无此功能,如有恶意用户进行疯狂登陆,则会影响正常用户登录



12.************网络管理流量大小限制************************
JUNOS软件对于网络管理的流量大小均可以进行限制,这是为了保证网络管理的安全性,配置如下:
[edit firewall]
lab@Juniper-lab# show policer ssh-policer {  if-exceeding {    bandwidth-limit 1m;    burst-size-limit 100k;  }  then discard;}policer telnet-policer {  if-exceeding {    bandwidth-limit 3m;    burst-size-limit 500k;  }  then discard;}filter protect-RE {  term rate-limit-SSH {    from {        protocol tcp;        port ssh;    }    then policer ssh-policer;  }  term rate-limit-TELNET {    from {             protocol tcp;        port telnet;    }    then policer telnet-policer;  }  term else {    then accept;  }}
以上配置原理如下:凡是SSH到router的流量不能同时超过1Mbps[有100KB峰值],否则丢包;凡是telnet到router的流量不能同时超过3Mbps[有500KB峰值],否则丢包,这是为了防止有人用telnet/ssh端口的大流量来攻击路由器本身,这就保证了路由器不会因为此类攻击耗尽资源[注:并不一定是ssh/telnet端口,可以是指定的任意端口]
IOS/VRP: 无此功能,如有人用特定端口攻击路由器,则会严重影响正常用户登录设备,并且由于设备并不是转发和控制分离的,也会影响正常业务流量;




附:华为公司VRP网络操作系统简介


VRP (Versatile Routing Platform)即通用路由平台,是华为在通信领域多年的研究经验结晶,是华为所有基于IP/ATM构架的数据通信产品操作系统平台。运行VRP操作系统的华为产品包括路由器、局域网交换机、ATM交换机、拨号访问服务器、IP电话网关、电信级综合业务接入平台、智能业务选择网关,以及专用硬件防火墙等。核心交换平台基于IP或ATM。

华为VRP提供组件化体系结构 ,具备丰富功能特性及基于应用的可裁剪和可伸缩能力。VRP是华为完全自主知识产权的网络操作系统,它为多种硬件平台提供一致的网络界面、用户界面和管理界面,并提供灵活丰富的应用解决方案,特性多达300多项。VRP以IP/ATM交换平台为核心,集成了路由技术、QoS服务技术、×××隧道技术、安全技术和数字视频/语音技术等通信要件。以华为自主开发的IP TurboEngineTM 技术为例,网络层报文转发传统处理方式需通过物理层、链路层,再到网络层和路由策略层等,经过层层任务调度和分析处理,报文处理速度受各层协议栈处理流程和操作系统调度瓶颈的限制,只有靠CPU和总线的提高来提升转发速率;而IP TurboEngineTM 技术彻底改变的报文转发的调度流程和路由查找算法,由两部分核心技术构成:硬件转发/中断转发和快速路由查找算法。硬件转发/中断转发绕过传统的层层报文处理调度流程,在物理层缓冲区收到报文的中断服务程序内,就实现了对该报文的类型识别和路由查找,在中断内将该报文的头指针指向对应接口的发送队列,从而实现中断内转发。由于中断内程序指令不能过长而影响系统运行,高速的路由查找算法也是核心技术,它能保证在IPV4地址下,最多四次就能找到目的路由路径及相关接口索引,并且与路由表项规模无关,这种技术保证了在极短的程序指令内完成报文的路由查找,为实现中断转发提供实现基础,从而使设备的报文转发速度提高5-10倍!再配合分布式处理技术和Qos技术,使得华为网络产品在性能指标上具备国际一流水准。

华为的VRP具备自主的知识产权,是一个持续发展的平台,可以最大程度保护用户投资
华为 VRP与Cisco IOS的比较

3.2.1 界面友好
华为的VRP平台借鉴了Cisco的命令行风格,是便于熟知Cisco产品的用户非常方面地使用华为产品,但是其中所有软硬件技术均为自己的知识产权。用户界面风格是没有知识产权的,就象如今风靡全球的Windows桌面操作系统是来自Macintosh的灵感,wps2000借鉴了word的风格等,这种方便用户的“模仿”何乐而不为呢?并且华为VRP还支持命令行中文显示,便于国人使用,而Cisco不具备,可以说华为VRP提供给国人更友好的用户界面。

3.2.2 基于IP的业务平台的网络操作系统
VRP是一个以IP技术为核心的网络操作平台, 集成了较为完善的IP路由技术、IP交换技术、IP服务质量、IP多媒体技术和IP安全技术。在网络从无到有的发展过程中,网络协议的演进和发展非常迅速,许多“古老”协议在现今的网络应用中逐渐销声匿迹了,如AppleTalk, Decnet等已逐渐退出了历史舞台。由于VRP是一个全新的平台,它没有为了保持异种网络兼容性而不得不背负的沉重包袱。所以作为一个以提供纯IP业务为技术方向的系统,VRP系统的实现中充分保持并发挥了IP协议族简洁、高效的特点。

CISCO的 IOS并不象CISCO自己吹嘘的那样高效稳定,CISCO支持AppleTalk、DecNet、Banyan等网络恰恰是它的弱点,Cisco IOS在进行IP分组传送的时候,可能还要去考虑保持和古典网络协议的兼容性 -- 即使不使用这些协议,用户还是要为这些古典协议付出额外的效率、维护和花费。

CISCO的IOS背负了沉重的包袱,即使不运行和使用这些协议,用户也要为此付出额外的费用来负担增加的内存和处理开销,降低了系统的性能和可靠性,也增加了不必要的投资,这也是CISCO的版本为何如此之多的原因。所以,大而全是CISCO的优点,同时也是他的缺点。

3.2.3 操作系统的开放互连性
3.2.3.1 平台标准的开放性
VRP在开发的过程中,紧密跟随RFC标准、ITU-T标准和中国国家标准,并严格保证交付的软件系统对这些标准的顺从性。同时积极参加国家IP相关国家标准的制定工作。通过有效的协议标准顺从性测试和对国家标准制定的积极参与,VRP系统始终作为一个开放的系统,可以在所有协议特性上与其他数据通信厂商/电信厂商的IP产品进行良好互通。
Cisco IOS在其软件中大量的使用了私有协议,如扩展的HDLC, IGRP/EIGRP,CDP等等;这些私有协议在用户构建网络时妨碍了网络结构的扩展能力,培养私有协议的维护管理人员也增大了网络的总运营成本;与此同时,就像Pentium芯片中的私有序列号一样,无法预知运行结果的私有协议也为网络的安全带来了潜在的威胁。

3.2.3.2 平台体系结构的开放性
VRP是一个实现了较丰富IP业务的软件平台,如何保证平台根据网络的实际业务需求为用户在众多特性中选择并定制适合自己的版本,如何保证平台在未来的发展中继续平滑的扩展自己的业务支持范围,这对VRP的体系结构提出了很大的挑战。VRP平台是基于成熟的商用操作系统调度内核的开放式结构,平台可以提供的全部业务都以组件的形式被添加到VRP软件系统中去。组件和组件之间通过标准软总线接口进行连接,有效的保证了VRP软件的可伸缩能力。用户可以根据自己的组网实施需要对VRP软件系统的组件进行裁剪;同时,开放的软总线接接口也为第三方业务无缝的添加到系统提供了可能性。
Cisco IOS的软件缺乏可剪裁能力,缺乏根据用户网络部署需要对软件进行定制的能力,所有的业务、特性和协议都被固化在一起,可以设想,在IP业务极大丰富的明天,这样的操作系统如何支持急剧增加的新业务?

3.2.3.3 网络互通性和版本兼容性
随着VRP的发展,越来越多的业务被添加到这个软件平台体系中来。根据华为公司在电信领域多年的开发经验,华为认识到在实际的网络运行中,保持网上版本的一致性对网络的可维护性和可扩展性至关重要。所以,VRP在版本发展过程中,注重网上运行版本的一致性:VRP网上运行版本较为单一,有限的几个网上版本之间100%严格兼容。

Cisco提供的产品中,软件版本频繁升级,不同软件版本之间存在协议的互通性问题和配置管理的兼容性问题,这些问题增大了网络整体的维护难度,更限制了网络平滑扩容的可能性。

在一份Cisco与华为的对比材料中,作者一再声称“Cisco的IOS经过反复的修改升级,目前已经相当稳定和完善”,CISCO确实是“反复的修改升级”其IOS的的版本不计其数,比DOS、WINDOWS的版本多多了,不知道打了多少补丁,如何能保证版本之间的兼容性、互通性?如今以IP技术为主导的网络技术正在飞速的发展,新的技术和应用正在不断涌现和成熟,如何能做到“相当稳定和完善”?

CISCO的IOS背负的太多的历史负担,版本多达数百个,同时无休止的兼并和收购又要让原属于多个厂家的产品纳入Cisco IOS的旗下,每个版本都需要考虑兼容性,打了太多的补丁,造成系统中垃圾代码极多,造成网络运行中的隐患!可见CISCO的IOS背负了沉重的包袱,是他的一个致命弱点。

华为的VRP支持现今网络中最常见、实用的通信协议,如目前主流的TCP/IP协议栈,在金融领域还大规模使用的SNA/DLSW体系,在证券、寻呼等行业还广泛使用的IPX/SPX协议等,摒弃了过时的协议体系,使得VRP操作系统规模小,故障点和隐患也少,运行效率高,精悍但并不短小,这是华为VRP的优势。

华为的VRP平台作为一个将IP核心技术与电信级高可靠性软件设计融合为一体的通信平台,已经显示出了独特的优势和强大的生命力,在上海电信21万端口数据网络扩容中,基于VRP平台的华为接入服务器和路由器产品淘汰了一切外国厂商,一举中标,说明国产网络设备已经非常成熟和稳定,进入规模应用阶段,并且能够更好的适应国内数据网络的建设。