【51CTO.com 综合报道】随着网络的发展,互联网应用已经渗透到社会生活的每一个角落,网络成为人们学习、工作、生活不可或缺的工具,成为企业运营的基础平台。网络出口工作在网络的边缘,是内部网络与Internet之间的桥梁。作为桥梁,出口的重要性不言而喻。如果出口断了,内部网络将成为信息孤岛;如果出口慢了,将造成用户体验下降,甚至影响办公业务。锐捷网络综合多年的出口架构经验和数千名用户的调查反馈,归纳出网络出口的三大主要问题:
1、基本转发性能不足。
IPv4地址的缺乏,让NAT(网络地址转换)成为出口设备的必备工作;而NAT对于性能要求较高,久而久之就成为了上网速度慢的一个重要原因。中国的国情,决定了众多单位拥有2条甚至更多出口运营商链路的情况是普遍的。此时PBR(策略路由)成为必需,而PBR开启后出口设备死机、网络变慢的情况时有发生。更有甚者,部分大规模网络已经开始尝试万兆出口,性能问题更为突出。
2、业务无法高效运行。
BT、迅雷等P2P应用流量过大,挤占关键用户或关键应用带宽,造成服务质量差,用户上网体验下降。比如:视频会议断断续续,OA办公打开一个页面延迟时间很长。与此形成鲜明对比的是,多条出口链路中却有链路流量很小的情况。如何保证带宽被充分利用,业务运行能获取必须的带宽?
3、安全风险难以控制。
出口安全问题更为复杂,总体来看可以分为三类。第一类是攻击类安全问题。网络攻击可能影响网络运行,造成资源浪费或者引发一系列安全问题。如DDoS攻击会耗尽系统资源。目前的趋势是Web安全,比如防范网页被篡改、防范网站被挂马;第二类是日志审计问题。在重大政治事件、安全事件频发的大背景下,全国都在开展安全大检查,公安部82号令所要求的日志如何满足?如何避免公安网监日志检查带来的麻烦?第三类是实名制问题。不光接入网络要认证,访问Internet也要做准出认证,我们可以简单理解为网关认证。同时,在准出认证基础上,针对不同用户身份进行相应策略部署。
锐捷网络出口之道
锐捷网络出口解决方案的特色
第一步:高速,建立高性能、高稳定的基础平台。
首先,硬件要好。锐捷网络的出口产品是国内第一家全线支持万兆和IPv6。
其次,稳定性要高。锐捷网络所有出口产品均支持硬件BYPASS,在掉电、重启、设备故障的情况下,出口始终保持通畅。1+1冗余电源也在整个产品的设计过程中给予贯彻落实。
最后,NPE基于REF(锐捷网络特快交换)所建立的高性能NAT、PBR(策略路由),让基础转发性能问题得到彻底解决。并且ACE内嵌高性能DPI引擎,让协议识别和策略执行对性能无影响;RG-WALL全部采用多核平台架构,解决了传统防火墙性能上的瓶颈问题。
第二步:实现业务高效,提升服务质量。
通过锐捷网络高性能DPI引擎,有效识别应用,控制带宽。比如可以有效控制P2P等带宽滥用,保证关键用户、关键应用、关键时刻的带宽需要。
通过锐捷网络负载均衡技术,在出口有多条链路的情况下,可以保证从内网到外网的业务、从外网到内网的业务,都能选择最快速的访问路径。具体来说,Inbound采用智能DNS技术,Outbound采用多链路智能选路技术。
第三步:安全风险控制,保障出口的高速、高效。
关键点一:Web安全。比如2010年春晚中,由于赵本山、刘谦等的节目中大量的植入广告引发网友不满,导致央视网站被黑。今天的安全需要从网络安全、应用安全到Web安全,构建立体的安全防护体系。锐捷网络WebGuard基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。最终实现防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等。
关键点二:“实名制”。不管用户接入网络、上网日志,还是策略管理,锐捷网络的出口方案都能实现基于用户身份,落实到人。锐捷网络全系列出口设备均支持实名日志,eLog在收集NPE、防火墙NAT日志,ACE产生URL日志的同时,自动关联身份认证信息。在公安机关查询时,既方便,又能精确定位到人。
锐捷网络的实名制安全,不仅体现在基于用户身份的实名制日志审计,还体现在ACE+SAM通过Web认证功能时,实现实名制Web网络准出。同时,通过SSL VPN+SAM实现实名制远程VPN网络接入。
