Güvenlik

JunOS İşletim Sisteminin Temelleri

 

Juniper firmasına ait bir işletim sistemi olan JunOS yeni nesil Juniper ürünlerinin tümünde kullanılır. Bu ürün yelpazesinde firewall, switch, router gibi cihazlar yer alır. Dolayısıyla JunOS işletim sisteminin çalışma ve komut mantığını anlamak bu ürün yelpazesinin yönetiminde gerekli bilgiyi ve tecrübeyi sağlayacaktır. Bu makale dizisinde, işletim sisteminin mantığını anlatmakla başlayıp firewall yapılandırmasıyla devam edeceğiz.

 

JunOS modüler bir işletim sistemidir ve FreeBSD üzerinde geliştirilmiştir. Çoklu yazılım proseslerine ayrılacak şekilde yapılandırılmış bir işlevselliğe sahiptir. Her proses cihazın fonksiyonalitesinin bir parçasını işler ve kendi korunan memory alanında çalışır.

 

 

image001

 

 

Bu şekilde bir prosesin diğeriyle çakışmaması sağlanır ve proseslerden birisinde meydana gelen bir hata tüm sistemin çalışmasına engel olmaz.

 

JunOS işletim sistemli tüm Juniper ürünleri tek bir source code’a dayanan image’lar kullanır. Bu şekilde pek çok özellik ve servisin konfigürasyonu ve yönetimi aynı şekilde gerçekleştirilir.

 

 

image002

 

 

Kontrol ve İletim Ayırımı:

 

JunOS mimarisi, Control Plane ve Forwarding(Data) Plane olmak üzere iki ayrı bölüm üzerine tasarlanmıştır. Bu mimari ile işletim sistemi JunOS olan ürünlerde, routing control ve protocols switching işlemleri Control Plane’de gerçekleştirilirken, frame’lerin ve paketlerin iletilmesi Forwarding(Data) Plane tarafından gerçekleştirilir.

 

 

Control Plane ve Forwarding(Data) Plane süreçlerinin tamamen ayrılması sayesinde her proses maksimum performansa ve verimliliğe ulaşır.

Control Plane denildiğinde Routing Engine(RE) akla gelmelidir. Zira Routing Engine(RE) Control Plane’in beynidir. Routing Engine protocol update’lerinden ve sistemin yönetiminden sorumludur.

 

 

Routing tables(RT), bridging table, ve primary forwarding table(PFT) olmak üzere üç table’da Routing Engine(RE) sorumluluğundadır. Routing Engine(RE) bir internal link sayesinde Packet Forwarding Engine(PFE) ile iletişim halindedir.

Packet Forwarding Engine(PFE), genellikle cihaz içerisinde ayrı komponentler üzerinde çalışır. Transit trafikten sorumludur.

 

Ve sorumluluğunu yüksek performansla gerçekleştirmek için uygulamaya özel entegre devreler kullanır.

 

 

 

image003

 

 

 

Bu mimari ile, protocol güncelleştirmeleri ve sistem yönetimi gibi kontrol işlemleri, trafik iletim işlemlerinden ayrilır ve JunOS bu ayrı platformlar sayesinde yüksek performans sunar.

 

PFE, internal bir link aracılığıyla forwarding table’ı(FT), RE’den alır. FT güncellemeleri, JunOS OS kerneli için yüksek bir önceliğe sahiptir ve aşamalı olarak yapılmaktadır.

 

 

PFE’nin görevi frame ve paketlerin forward edilmesi yönünde RE’den aldığı talimatları istikrarlı ve performanslı bir şekilde yerine getirmektir. Bu mimari tasarım sayesinde high availability feature’larının birleştirilmesi mümkün olmaktadır. Örneğin

GRES, NSR ve ISSUs gibi.

 

 

Routing Engine(RE):    

 

Control Plane’in beynidir.

(Routing Table(RT) ve Forwarding Table(FT) ‘ı sağlar. Bütün protokol süreçlerinden sorumludur. Ayrıca interface’lerin kontrolü, chassis komponentleri, sistem yönetimi ve kullanıcıların cihaza erişim süreçleri gibi diğer süreçlerden de sorumludur.

 

Chasis’i izler ve kontrol eder. CLI ve Web GUI erişimleri de üzerinden sağlanır.

 

RE, PFE’yi yönetir. Layer2 ve Layer3 forwarding table’ı güncelleyerek PFE’yi kontrol eder. RE, hardware status mesajlarını PFE’den alır ve bu mesajlar sayesinde uygun hareketi belirler.

 

 

image004

 

Packet Forwarding Engine(PFE):



PFE, forwarding plane’in merkezi işlem komponentidir.

Layer2 ve Layer3 forwarding table’ı RE’den alır ve bu table sayesinde trafiği hedefine iletir. PFE’nin kullandığı table, RE’den alınan forwarding table’ın bir kopyasıdır. Kaydedilen ve kullanılan bu tablo sayesinde trafik verimli bir şekilde hedefine iletildiği gibi, tablonun senkronizasyonu belirli aralıklarla gerçekleştirilerek sürekli RE’ye danışma ihtiyacı da ortadan kalkmış olur.

               
Policy’ler, Stateless Firewall Filtering ve CoS gibi hizmetler de PFE’i tarafından gerçekleştirilmektedir. Ayrıca PFE’ye farklı interface kartları monte edilerek ek hizmetler de verilebilmektedir.

 

 

JunOS ve Traffic Processing

 

1- Transit Traffic:



Lokal sistem tarafından iletilen trafiktir. Bir ağ noktasından giren ve Forwarding Plane’deki FT(forwarding table) ile karşılaştırılarak başka bir ağ noktasından çıkış yapan tüm trafiği ifade eder. Transit trafiğin, Forwarding Plane’den geçerek hedefe iletilmesi esnasında, Control Plane’e yani tuttuğu RE’ye herhangi bir sorgu gitmez ve bu sayede yüksek performans elde edilir. Belirli bir hedefe gitmek üzere Forwarding Plane’e gelen trafiğin, sadece Forwarding Plane’den geçerek hedefe gidebilmesi için, Forwarding Plane tarafından tutulan FT(forwarding table)’de hedef için bir kayıt/bilgi bulunması gerekmektedir.

 

 

image005

 

 

2- Exception Traffic



Lokal sistem tarafından işlenen trafiktir ki hedefi lokal sistem olan bu trafik, Routing Engine(RE) CPU’su tarafından işlenir. Transit traffic sürecinin aksine, Exception Traffic, özel bir işleme tabi tutulur ve lokal sistem üzerinden geçerek herhangi bir hedefe gitmez. Yani Exception trafiği oluşturan paketlerin hedefi bizzat lokal sistemdir ya da paketlere dönen cevapların source’u Routing Engine(RE)’dir. Örneğin

– Routing protocol updates, Telnet sessions, pings, traceroutes işlemleri.

 

Packet Forwarding Engine(PFE) IP header’ındaki option alanına müdahale etmeyecek şekilde tasarlandığı halde, header’da işlem yapılacaksa paket Control Plane’e yani RE’ye gönderilir.

 

– Pek çok hata durumunda PFE tarafından üretilen ICMP mesajları Exception Traffic örneğidir.

 

 

image006

 

 

 

Exception Traffic Rate-Limit



JunOS işletim sistemi, tüm exception trafiği RE’ye gönderir. Forwarding Plane’den Control Plane’e (RE için) gönderilen exception traffic, internal link üzerinden geçmektedir. Internal link üzerinde oluşan trafiğin sıklığı, bir tıkanıklığa sebebiyet verip RE ile iletişimde kopma olmamasını sağlamak üzere Exception Traffic için rate-limit devreye girer. Built-in olarak gelen rate limiter konfigüre edilemez. Bir tıkanıklık anında JunOS OS tarafından hedefi RE olan trafik için preference atanır.

 

 

 

image007

 

 

Hoşçakalın.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu