RG-NPE(Network outPut Engine,网络出口引擎)系列产品(以下简称NPE),是锐捷网络针对国内网络出口状况研发的专用设备。NPE基于多核处理器技术进行架构,具备转发高性能,内嵌状态防火墙、符合公安部82号令的日志记录等功能。此外,NPE针对国内普遍存在的NAT进行优化,并发会话和新建会话能力在业内首屈一指。
NPE产品全新融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;集成了DPI引擎,让网络管理者轻松应对P2P等应用的流量控制;重构了Web界面,让NPE网络出口引擎的专业在设备管理维护层面变得简化。
作为网络出口的专用设备,NPE系列产品已经广泛应用于政府机关、高校、普教、医疗等各个行业。RG-NPE60E固化提供了2个万兆SFP+接口;8个光电复用的GE口,可扩展2个扩展槽定位于大型网络出口; RG-NPE50E固化提供了8个光电复用的GE口,可扩展2个扩展槽,定位于中大型网络出口;RG-NPE40固化提供了6个千兆电口,1个千兆光口,定位于中小型网络出口。#p#
先进的体系架构
NPE系列网络出口引擎采用多核处理器体系架构,单个处理器内部基于锐捷自主知识产权的虚拟多处理器(vCPU)技术,从而在x-flow框架下构建起一个高性能、高稳定的转发平台。
全新的多核架构在满足高性能、低功耗、高灵活性、易升级的要求下,让NPE成功的向更深层次发展。如:更加完善的状态检测防火墙、对P2P等应用的流量控制等。
高性能NAT
由于IPv4地址的匮乏,NAT成为网络出口设备必备功能,随着网络规模和出口带宽的扩大,需要更高速的NAT。锐捷网络NPE设备,采用NAT与REF(锐捷快速转发)高效配合,并充分利用x-flow技术,实现高速NAT,NPE成为网络出口的高性能推力引擎。根据泰尔实验室测试,显示RG-NPE60:
每秒高达30万条的NAT新建连接会话。在启用NAT功能并端口线速转发的情况下,可提供每秒15万的UDP新建连接、14万条的TCP新建全连接。
并发达到300万条的NAT会话数。如果按照每个网络节点150条NAT会话,则可以同时支持将近20000台的网络节点同时在线。
高性能PBR
根据用户制订的策略路由,基于源接口更加灵活的数据包路由转发机制。与功能强大的ACL配合使用,可以根据报文的源地址,目的地址,应用协议进行有效组合,实现策略路由。
采用流表技术,在启用QoS、ACL、NAT、PBR等业务时,实现第一个报文逐条匹配,后续同一条流直接根据流表匹配,无需逐条查询,基于流的处理,使得在100条ACL、PBR的处理性能和300条的ACL、PBR的性能没有变化,有效的提高网络出口设备的数据包转发能力。
有效的流量控制
流量控制是防止某些用户或者应用(如BT、迅雷、网络电视等P2P应用)占用过多的网络资源,保证用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击,在其他防御手段都无效的情况下,流量限制也是一个简单直接的方式。NPE嵌入了锐捷网络专业DPI引擎,具有丰富的流控功能:
采用锐捷自主研发的新一代DPI引擎,能够准确识别包括P2P应用、IM、炒股软件、流媒体、企业办公、网络游戏等在内的总共900种协议。
支持基于用户(源IP地址)、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能。包括:进行上行与下行带宽控制、进行Session数量控制等。
支持组对象的配置,如定义用户组(IP组)、协议组(如P2P协议组、游戏组)对同一类型的应用、相同级别的用户进行带宽管理策略的控制。#p#
多链路负载均衡,保证数据转发的最佳路径选择
出于对网络出口的性能和可靠性考虑,向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是,对于拥有两条或两条以上的互联网链路的用户,如何既保证多条链路带宽被充分利用不被浪费,又保证对内对外访问所选择的路径是最快速的最优的? NPE全新融入多链路负载均衡技术,对多个ISP链路的可用性和性能进行监督,对双向数据流进行智能路径选择,从而保证用户拥有最佳的互联网接入体验。
Inbound-智能DNS解析:针对Internet用户,对网络内部服务器的访问。(比如:政府的政务公开的服务器,高校的精品课程服务器等),NPE能够通过智能判断访问用户所在运营商,而将访问数据智能解析定位到对应的ISP链路上,以加速对服务器的访问。
Outbound-锐捷智能选路:针对网络内部用户,对Internet资源的访问。简单的,可以通过所访问的目的地址进行区分,访问电信走电信线路,访问网通走网通线路。但是,对于2条以上链路,以及同一运营商有多根相同链路情况下(如2根电信),是无法区分目的地址的。此时,NPE能够通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断,智能的为用户选择最快速最优的访问线路。
完善的日志记录,基于用户身份的审计功能
日志对于网络安全的分析和设备的安全管理非常重要,尤其在配合公安机关进行反向查询和定位安全事件的时候。NPE针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录,为用户事后分析、审计提供重要信息(日志服务器支持远程web查看和检索)。符合公安部82号令的NPE日志包括:
Flow流日志:源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数,发送字节数等关键信息。
出口NAT日志:经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,所访问的目的IP、目的端口、协议、开始时间、结束时间等关键信息。
设备日志:设备状态,系统事件日志。
攻击日志:设备网络受到攻击的日志信息。
和锐捷认证系统(SAM、GSN)无缝对接,将用户认证上网信息和出口日志结合起来,实现快速的用户上网信息统计和违规用户定位。
WEB可视化管理,简单易用
NPE重构了Web管理方式,让使用者能够轻松驾驭NPE网络出口引擎的强大功能。Web界面主要功能包括:
全网出口流量统计概要视图:包括NPE流量视图、用户流量排名视图、应用流量排名视图(top排名可自定义显示)。
全功能配置:NAT、路由、VPN配置;网络安全、用户管理、流量管理配置。
中文系统帮助信息。
内嵌高效状态防火墙
NPE设备作为网络出口设备集成丰富的防火墙功能:
快速包过滤:NPE提供性能卓越的ACL包过滤功能,支持标准和扩展的ACL访问控制列表。NPE采用先进的流表处理技术,利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。每秒可以处理和创建的流数量达到10万条。
报文过滤:报文过滤是防火墙最基本的功能,根据安全策略对数据流进行检查,让合法的流量通过,将非法的流量阻止,从而达到访问控制的目的。
状态检测:对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。
攻击防御:基于状态检测,NPE可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。
设备软、硬件高可靠性
管理控制引擎和转发引擎完全分离:更好的稳定性、更稳定的性能、更容易实现可靠的服务特性。
关键装置的冗余:1+1电源冗余、双启动映像文件、双配置文件。
关键部件热拔插:电源热拔插、风扇热拔插、模块热拔插。
模块化软件设计:降低软件复杂度,同时将问题隔离在软件模块内;某个软件模块出错,不会让机器崩溃,并支持软件在线升级。#p#
技术参数
应用1:高校校园网出口/大型园区网
网络跑得快,全靠引擎带。
NPE的大并发会话数和高新建能力,为整个网络构建起一条高性能、稳定的出口平台。
NPE的高效能PBR,为整个网络提供了多出口线路环境下的最快网速访问。
开启NPE的状态防火墙,能有效解决网络攻击的问题,从而搭建一个绿色的安全通道。
开启NPE的多链路负载均衡功能,保证每条出口链路都能被充分利用,提升用户体验,避免资源浪费。
通过部署NPE的日志服务器,记录NAT日志和流日志,完全满足了公安部82号令的要求。
通过RG-eLog,图形化显示出口流量、用户流量top排名,用户会话数创建top排名。
通过与RG-eLog、RG-SAM的联动,实现基于用户身份的web监控(如流量、会话等排名),进行直接基于用户身份的行为审计。