銳捷RG-NPE40網絡出口引擎
RG-NPE(Network outPut Engine,網絡出口引擎)系列產品(以下簡稱NPE),是銳捷網絡針對國內網絡出口狀況研發的專用設備。NPE基于多核處理器技術進行架構,具備轉發高性能,內嵌狀態防火墻、符合部82號令的日志記錄等功能。此外,NPE針對國內普遍存在的NAT進行優化,并發會話和新建會話能力在業內。
NPE產品全新融入了智能DNS和多鏈路負載均衡技術,使得用戶對內對外訪問都能智能選擇速路徑;集成了DPI引擎,讓網絡管理者輕松應對P2P等應用的流量控制;重構了Web界面,讓NPE網絡出口引擎的專業在設備管理維護層面變得簡化。
作為網絡出口的專用設備,NPE系列產品已經廣泛應用于、高校、普教、醫療等各個行業。RG-NPE60E固化提供了2個萬兆SFP+接口;8個光電復用的GE口,可擴展2個擴展槽定位于大型網絡出口; RG-NPE50E固化提供了8個光電復用的GE口,可擴展2個擴展槽,定位于中大型網絡出口;RG-NPE40固化提供了6個千兆電口,1個千兆光口,定位于中小型網絡出口。
*的體系架構
NPE系列網絡出口引擎采用多核處理器體系架構,單個處理器內部基于銳捷自主知識產權的虛擬多處理器(vCPU)技術,從而在x-flow框架下構建起一個高性能、高穩定的轉發平臺。
全新的多核架構在滿足高性能、低功耗、高靈活性、易升級的要求下,讓NPE成功的向更深層次發展。如:更加完善的狀態檢測防火墻、對P2P等應用的流量控制等。
高性能NAT
由于IPv4地址的匱乏,NAT成為網絡出口設備功能,隨著網絡規模和出口帶寬的擴大,需要更高速的NAT。銳捷網絡NPE設備,采用NAT與REF(銳捷快速轉發)高效配合,并充分利用x-flow技術,實現高速NAT,NPE成為網絡出口的高性能推力引擎。根據泰爾實驗室測試,顯示RG-NPE60:
每秒高達30萬條的NAT新建連接會話。在啟用NAT功能并端口線速轉發的情況下,可提供每秒15萬的UDP新建連接、14萬條的TCP新建全連接。
并發達到300萬條的NAT會話數。如果按照每個網絡節點150條NAT會話,則可以同時支持將近20000臺的網絡節點同時在線。
高性能PBR
根據用戶制訂的策略路由,基于源接口更加靈活的數據包路由轉發機制。與功能強大的ACL配合使用,可以根據報文的源地址,目的地址,應用協議進行有效組合,實現策略路由。
采用流表技術,在啟用QoS、ACL、NAT、PBR等業務時,實現個報文逐條匹配,后續同一條流直接根據流表匹配,無需逐條查詢,基于流的處理,使得在100條ACL、PBR的處理性能和300條的ACL、PBR的性能沒有變化,有效的提高網絡出口設備的數據包轉發能力。
有效的流量控制
流量控制是防止某些用戶或者應用(如BT、迅雷、網絡電視等P2P應用)占用過多的網絡資源,保證用戶能夠公平使用帶寬。對于一些常見的DOS/DDOS攻擊,在其他防御手段都無效的情況下,流量限制也是一個簡單直接的方式。NPE嵌入了銳捷網絡專業DPI引擎,具有豐富的流控功能:
采用銳捷自主研發的新一代DPI引擎,能夠準確識別包括P2P應用、IM、炒股軟件、流媒體、企業辦公、網絡游戲等在內的總共900種協議。
支持基于用戶(源IP地址)、目標IP地址、時間、協議和應用等為參數進行靈活的阻斷與允許功能。包括:進行上行與下行帶寬控制、進行Session數量控制等。
支持組對象的配置,如定義用戶組(IP組)、協議組(如P2P協議組、游戲組)對同一類型的應用、相同級別的用戶進行帶寬管理策略的控制。
多鏈路負載均衡,保證數據轉發的路徑選擇
出于對網絡出口的性能和可靠性考慮,向多個運營商同時租用多條互聯網線路的情況在國內是非常普遍的。但是,對于擁有兩條或兩條以上的互聯網鏈路的用戶,如何既保證多條鏈路帶寬被充分利用不被浪費,又保證對內對外訪問所選擇的路徑是速的的? NPE全新融入多鏈路負載均衡技術,對多個ISP鏈路的可用性和性能進行監督,對雙向數據流進行智能路徑選擇,從而保證用戶擁有的互聯網接入體驗。
Inbound-智能DNS解析:針對Internet用戶,對網絡內部服務器的訪問。(比如:政府的政務公開的服務器,高校的精品課程服務器等),NPE能夠通過智能判斷訪問用戶所在運營商,而將訪問數據智能解析定位到對應的ISP鏈路上,以加速對服務器的訪問。
Outbound-銳捷智能選路:針對網絡內部用戶,對Internet資源的訪問。簡單的,可以通過所訪問的目的地址進行區分,訪問電信走電信線路,訪問網通走網通線路。但是,對于2條以上鏈路,以及同一運營商有多根相同鏈路情況下(如2根電信),是無法區分目的地址的。此時,NPE能夠通過線路帶寬大小、線路帶寬利用率、鏈路響應等因素綜合分析判斷,智能的為用戶選擇速的訪問線路。
完善的日志記錄,基于用戶身份的審計功能
日志對于網絡安全的分析和設備的安全管理非常重要,尤其在配合機關進行反向查詢和定位安全事件的時候。NPE針對經過出口的數據流、設備和網絡攻擊進行相關日志信息的記錄,為用戶事后分析、審計提供重要信息(日志服務器支持遠程web查看和檢索)。符合部82號令的NPE日志包括:
Flow流日志:源IP、目的IP、源端口、目的端口、流起始時間、結束時間、接受字節數,發送字節數等關鍵信息。
出口NAT日志:經過NAT轉換前的源IP地址、源端口,經過NAT轉換后的源IP地址、源端口,所訪問的目的IP、目的端口、協議、開始時間、結束時間等關鍵信息。
設備日志:設備狀態,系統事件日志。
攻擊日志:設備網絡受到攻擊的日志信息。
和銳捷認證系統(SAM、GSN)無縫對接,將用戶認證上網信息和出口日志結合起來,實現快速的用戶上網信息統計和違規用戶定位。
WEB可視化管理,簡單易用
NPE重構了Web管理方式,讓使用者能夠輕松駕馭NPE網絡出口引擎的強大功能。Web界面主要功能包括:
全網出口流量統計概要視圖:包括NPE流量視圖、用戶流量排名視圖、應用流量排名視圖(top排名可自定義顯示)。
全功能配置:NAT、路由、VPN配置;網絡安全、用戶管理、流量管理配置。
中文系統幫助信息。
內嵌高效狀態防火墻
NPE設備作為網絡出口設備集成豐富的防火墻功能:
快速包過濾:NPE提供的ACL包過濾功能,支持標準和擴展的ACL訪問控制列表。NPE采用*的流表處理技術,利用源IP、目的IP、源端口、目的端口、協議號等5個元素來定義一條流。每秒可以處理和創建的流數量達到10萬條。
報文過濾:報文過濾是防火墻最基本的功能,根據安全策略對數據流進行檢查,讓合法的流量通過,將非法的流量阻止,從而達到訪問控制的目的。
狀態檢測:對基于六元組來識別網絡流量,并針對每條網絡流量建立從二層至七層的狀態信息。并基于這些狀態信息進行各種豐富的安全控制和更深粒度的報文過濾。
攻擊防御:基于狀態檢測,NPE可以防御的各種網絡攻擊包括:IP畸形包攻擊、IP、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。
設備軟、硬件高可靠性
管理控制引擎和轉發引擎*分離:更好的穩定性、更穩定的性能、更容易實現可靠的服務特性。
關鍵裝置的冗余:1+1電源冗余、雙啟動映像文件、雙配置文件。
關鍵部件熱拔插:電源熱拔插、風扇熱拔插、模塊熱拔插。
模塊化軟件設計:降低軟件復雜度,同時將問題隔離在軟件模塊內;某個軟件模塊出錯,不會讓機器崩潰,并支持軟件在線升級。