EG技术交流

Download Report

Transcript EG技术交流 

出口之道,在于化繁为简
网络出口EG易网关技术交流
多合一中小网络出口版
锐捷 薛红卫
•
网络出口面临的挑战
•
EG易网关解决之道
•
EG易网关产品特性
•
典型应用场景
•
EG易网关案例
我们都在网络上干什么?
3
关于P2P
关于偷菜
5
关于法规
• 根据IDC的调查,目前在欧洲和美国有80%的公司在监控员工的在线
行为,而在世界500强企业中,绝大多数企业对员工的邮件,MSN等
上网行为进行监控,而且这一举措得到了法律条文上的支持。
6
问题小结
•
•
•
•
•
•
•
如何保证网络出口稳定不中断?
单位网速为何越来越慢?
员工访问的信息合法吗?如何阻断对黄赌毒网站访问?
如何阻止访问与工作无关的网站,看电影,游戏,股票等?
把单位当成网吧?
如何配合好公安机关办案?
如何落实国家整治互联网低俗之风的规定?
……
7
畅想网络新出口-用户体验
能流畅
看电影!
上网
速度快!
网上课堂流
畅运行!
不掉线
VoIP电话
不再断断
续续!
能正常使用
视频会议!
能用BT下载!
能随时
访问各
种资源
打游戏
不卡!
Page8
畅想网络新出口-网络管理体验
出口不出
问题!
防止外部攻击
/入侵
周末没有故障
电话!
没有用户
投诉!
网络速
度快!
能监控出口
应用状况!
完善的日志记
录/查询!
能对用
户进行
管理
界面友善,
易于管理!
何为最佳网络出口?
•高稳定,高可靠,保证7*24小时运行
高速、稳定
•支撑出口高速数据访问
•提升员工效率,提高企业生产力
降低成本
保障计算机与网
络主体安全
降低法律与泄密
风险
• 降低IT成本,出口带宽不被无关应用消耗
• 防止不良网站信息的访问
•保护内网计算机安全,杜绝病毒泛滥
• 内容审计,符合公安部要求
• 准确定位违法与泄密行为
•
网络出口面临的挑战
•
EG易网关解决之道
•
EG易网关产品特性
•
典型应用场景
•
EG易网关案例
网络出口之道
第三步:安全—控制风险
√多层次安全:网络安全,应用安全,Web安全
√基于用户身份的远程接入/准出、策略管理、日志审计
第二步:优化—提升服务质量
√控制P2P等带宽滥用,保障关键用户、关键应用;
√多链路负载均衡、智能DNS,加速资源访问;
第一步:基础—建高性能、高可靠平台
√ 出口全万兆、IPv6 Ready
√ HA、BYPASS、双引擎、双电源
12
传统网络出口架构
服务器接入层
WEB DNS
托管及虚拟主机群
E-mail
外网数据中
心服务器群
音频、视频文件及应用
中心托管
服务器群
Web防火墙
GSN SAMeLog
流媒体服
务器群
网管服务
器群
数据转发层
远程接入层
高性能NAT/PBR
多链路及智能DNS的负载
均衡
应用控制层
NPE
IPsec /SSL VPN接入
统一账户管理
ACE
不适用于中小规模网
络出口!
识别网络应用
基于用户应用的带宽限制
数据统计分析
日志管理层
用户上网认证
安全防护层
DDoS攻击防御
病毒/木马/异常流量阻断
网络性能保障
用户上网日志
RG-WALL
eLog
SMP
RG-S8600
RG-S8600
内部区域
13
中小型网络出口:简约不简单
网络出口
Network
用户
路由
中小出口要求:简
架构简单
管理简单
内容
桥接、路由、旁路
等多种模式
安全
审计
WEB管理
部署简单
中小出口要求:繁
NAT
六大核心功能不可少
路由/NAT
智能流控
单个设备
安全防护
日志
URL
URL过滤
审计
过滤
日志审计
流控
内容审计
14
•
网络出口面临的挑战
•
EG易网关解决之道
•
EG易网关产品特性
•
典型应用场景
•
EG易网关案例
EG产品家族
EG1000P
W
EG1000
L
EG1000
C
EG1000S
EG1000M
EG1000E
64位MIPS多核
架构
-





固化电口
5FE
7GE
7GE
6GE
8GE
8GE
固化光电复用口
-
2GE
2GE
1GE
8GE
8GE+2万
兆SFP+
WIFI接入
支持(bgn)
-
-
-
-
-
内存
256M
512M
1G
2G
4G
4G
大容量存储
4G
8G
160G
160G
320G
320G
典型带机数
50
100
200
300
1200
4000
典型外网带宽
15M
50M
100M
150M
Page16
Internet
小出口的大智慧
智能流控
多链路负载均衡
互联网
+应用路由
智能DNS
网络攻击检测防御
网络出
口
设备自身强化
上网加速
内网安全联动
Page17
多业务与高性能
管理与图表分析
上网行为管理
局域网
MIPS多核处理器
1. EG基础高性能
总体
硬件
软件
• 锐捷是国内第一家—全系列出口产品支持万兆、IPv6
• EG采用MIPS多核处理器架构,多线程转发
• EG采用X-flow技术架构下的REF锐捷特快交换
多核处理器架构
通用CPU
•灵活的编程平台,能
适应各种业务处理。
业务能力
•缺少硬件加速能力。
L7
多核CPU
•高性能、低功耗
•高灵活性、易升级
•更容易向深层次应用发展
网络处理器:
•专用硬件转发引擎,
极高的转发性能。
L4
•4到7层业务处理能
力弱。
嵌入式CPU
•接口集成
•有限的报文处
理和加密能力
L3
ASIC
•接口集成
•基本的报文处理
和硬件加密能力
转发性能
多核+多线程=高效处理
CPU处理中
CPU
单线程
内存访问时延
内存访问时延
内存访问时延
内存访问时延
硬件线程 1
CPU
多线程
硬件线程 2
硬件线程 3
硬件线程 4
时间节省!
t1
t2
时间
锐捷REF特快交换
类线程
类线程
类线程
完整流路径
流
创建
接收
报文
…
头部
检查
快速
状态
处理
完整
ACL
完整
PBR
完整
NAT
快速
ACL
快速
PBR
快速
NAT
报文
封装
QOS
发送报文
快速流路径
ADJ
FIB
报文
封装
极速路径
 REF-Ruijie Express Forwarding 锐捷特快交换
 REF实现多业务整合,提高业务性能 ,目前整合ACL,策略路由,NAT,防
火墙,QOS等业务 ;
 以NAT为例:空间预分配(加大内存基础之上),优化算法,简化包头校验
,快速地址查找,提高cache命中,正反向流快速转换;
2. EG优化服务质量
流量控制:限制P2P等非关键引用
智能选路:多ISP链路的负载均衡
智能DNS:对服务器访问路径选择
应用控制,优化带宽资源
•
内置高性能DPI引擎,超过600种协议识别;
•
关键应用质量无法保证,如视频会议、ERP、VoIP、电子邮件、网页浏览;
•
关键用户的网络带宽无法保证;
关键应用保障前后
锐捷自研新一代DPI引擎
即时通讯
MSN
QQ
Yahoo通
阿里旺旺
网易泡泡
新浪UC
飞信
P2P下载
BitTorrent
eMule
迅雷
eDonkey
百度下吧
天网MAZE
超级旋风
KUGOO
流媒体
网络游戏 企业应用 炒股软件
HTTP
QQlive
联众游戏
大智慧
PPlive
FTP
QQ堂
招商证券
PPStream
QQ游戏
POP3 江海证券
飞速土豆 浩方对战平台
SMTP 国泰君安
酷我
魔兽世界 Lotus-notes 钱龙
疯狂卡丁车 SQL-SERVER 股票瞧瞧看
新浪直播
REALPLAYER
Oracle 通达信
大话西游
MMS
MySQL 和讯股道
传奇
注:以上为部分应用举例
锐捷EG优势
国内领先的高性能DPI引擎: 应用识别全面、准确、更新及时
17大类700多种应用协议识别,识别准确率90%以上
终生免费特征库更新,HTTP在线定期自动更新
流量优化:P2P控制
•
•
定位:简单流控;【大型网络,专业流控请使用锐捷ACE】
内置实时流量监控器,无需外部安装管理服务器或流量察看软件
1、基于vlan、用户、IP、应用设置带宽策略
2、用户流量、应用流量的排名和管理
3、支持弹性带宽,根据在线用户数调整每用户带宽
4、支持基于时间的带宽策略
5、应用控制选择示例
Outbound优化:多链路负载均衡
 全路径健康检查,精确判断用户的链路健康状况
200 ms
路由可用性及链路带宽
 锐捷就近性算法,保证出流量的最优化选择,让用
Link choose=ISP1
户得到最佳的访问体验
250 ms
确保整个连接的可用性
透明 Ping 到目标设备
算法1、带宽+时延+负载
内部PC
EG
350 ms
算法2、线路带宽占比
Inbound优化:智能DNS
Internet Client
(e.g. home user)
Internet
ISP B
ISP A
 SmartNAT功能保证用户接入链路的最优化选择
EG
EG
 智能DNS,确保用户对外业务服务器的完美解析
智能DNS配置示例-web
LAN
1b
www.domain.edu.cn
3. 出口安全保障
网络安全
EG内嵌状态检测防火墙
EG支持URL过滤、内容审计等行
日志审计
为管理功能
行为管理
EG支持实名制NAT日志
Web安全
Web安全采用锐捷WG产品(防止
网页被篡改,网站被挂木马)
内嵌状态防火墙
报文过滤 :通过访问控制列表(ACL)实现了灵活的各种
粒度的报文过滤 ,包括:标准ACL 、扩展ACL。
状态检测 :基于六元组来识别网络流量,并针对每条网络
流量建立从二层至七层的状态信息。并基于这些状态信息进行各
种丰富的安全控制和更深粒度的报文过滤,包括:报头检查 、
IP分片支持、特殊应用协议支持等。
报文过滤
状态检测
攻击防御
攻击防御 :基于状态检测可以防御的各种网络攻击包括:
IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、
Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。
内容过滤
本地防攻击策略库
4. 行为管理:净化网络环境
净化网络环
基于关键字的
内容过滤;更
禁止用户通
过BBS、
禁止用户通过
互联网搜索、
浏览反动、政
治敏感、色情
等相关信息;
加深入的内容
审计,满足公
WebMail等 安部82号令等
发表反动、 法律条文
政治敏感及
色情等信息
URL过滤黄赌
境,落实国
毒不良网站;
家整治互联
内置41大类
网低俗之风
1300万条
行动
URL条目
锐捷自主研发中文URL数据库
军事
经济
在线聊天
网络游戏
违反道德
旅游
体育
成人
WEB通讯
赌博
毒品
广告
政治
文学艺术
门户网站
毒品
犯罪技能
博客
教育
娱乐
色情
社会生活
BBS站点
搜索引擎
商业
旅游
房地产
体育
购物
儿童
商业
求职招聘
艺术
法律
政治
远程代理
游戏
科学
宗教信仰
暴力
IT类
锐捷EG优势
锐捷自主研发的URL分类数据库: 分类准确、覆盖面广、承诺10年免费更新
41个大类、1300万URL条目数据
本地化信息采集和分类分析
免费更新, HTTP在线定期自动更新
5. 内容审计,保障安全
•范围:SMTP、
POP3、WebMail.
•内容:发信人、收
信人、主题、正文、
附件
•审计/过滤:基于
敏感关键字、附件
类型
•范围:QQ、MSN
等即时聊天工具
•内容:未加密聊天
内容、上下线记录
邮件
FTP
•内容:文件路径、名称、
类型、大小、FTP账号
•审计/过滤:基于路径、
名称、类型
文件
即时通讯
论坛发帖
•范围:BBS论坛、博
客、贴吧.
•内容:论坛名称、发
帖主题、发帖内容
内容审计WEB页面
1、邮件内容审计
2、IM聊天审计
3、搜索引擎审计
33
6. 易管理
• 全WEB管理界面+Step by Step 配置向导+帮助选项
SSL VPN与WEB认证配置界面
35
部署方式
•
路由模式
•
桥接模式
(EG内置硬件BYPASS)
•
旁路模式
(适用于网络任何位置)
NPE或防火墙
EG易网关
交换机
EG易网关
交换机
交换机
 桥接模式和旁路模式属于即插即用,不需要对其他网络设备做任何变更
36
EG易网关
EG易网关客户价值总结
1、专业流控,提升网速,强化带宽价值
• 对P2P等应用流量的控制,压缩了垃圾流量,提升了整体网速
• 对视频会议等关键应用的带宽保证,强化了网络对业务的价值
2、规范网络行为,提升工作效率,杜绝非法/不良信息
• 不良/非法网站的URL过滤,杜绝互联网低俗之风
• 偷菜、炒股等应用控制,提升上班时间工作效率
3、防火墙安全+内容审计,保护内网安全
• 内嵌状态检测防火墙,有效控制DDoS、机器狗等网络攻击和病毒
• 对邮件、论坛、IM等的审计,关键字过滤,杜绝敏感信息发送
4、符合国家法令,规避法律/政治风险
• NAT日志、URL日志,本地化存储,方便公安机关审查
37
•
网络出口面临的挑战
•
EG易网关解决之道
•
EG易网关产品特性
•
典型应用场景
•
EG易网关案例
中小学网络出口
中小学客户主要需求
1.技术力量薄弱,能够简单易用。
2.防止学生对黄赌毒等不良网站的信息访问
ISP
电信
3.能够存储公安/网监检查所需的日志信息
4.能够让带宽有限的出口跑得更快,避免个别
EG1000
RG-S2924G
EG易网关对应特色功能
RG-S7604
RG-S2924G
RG-S2924G
老师下BT拥塞出口
1、锐捷人性化WEB界面,带配置向导
2、内置41大类600万条URL目录,URL过滤不
影响出口数据转发性能;
3、内置硬盘,本地化日志存储,结合设备组织
架构管理功能,轻松进行日志审计;
4、能识别超过600应用协议,专业的流量控制
功能保证关键应用/用户网络访问最佳体验;
酒店及写字楼网络出口
光纤专线
ADSL
开源
“提升客人体验,让客
人满意。”
AnyIP技术:网络即插即用
Web推送:客户关怀,就在身边
出口
智能流控:“在看新闻,也在下载大文件”
节流
“降低信息化建设成本
和运维成本。”
智能出口优化带宽使用
实名审计:Web认证、 SuperVLAN两
种方式支持
客房网络 酒店办公网络
PMS专网
行为管理提升工作效率
企业互联网出口网关
EG1000
分支机构
电信
PBR策略选路
网通
企业客户主要需求
1.稳定可靠不中断,保证业务正常开展;
2.专业的应用控制/流量管理,保证企业关
键应用的数据转发速度;
移动用户
3.集成VPN,满足移动用户/分支机构接入
RG-S7610
RG-S7610
RG-S5750
RG-S5750
4.避免员工上班时间偷菜…,提升企业效率
EG易网关对应特色功能
1、支持路由/桥接模式,内置硬件BYPASS
2、超过600种协议识别能力,源自锐捷专
生产区 家属区等
RG-S2924G
RG-S2951XG
业流控经验,保证关键应用带宽;
3、全面支持L2TP、IPSec、SSL VPN
……
办公区
状态防火墙
4、应用控制/专业URL过滤均能进行有效的
销售部
URL过滤
应用控制
上网行为管理,杜绝“偷菜”
流量管理 IPSec/SSL VPN支持 扩展WLAN
41
EG重点适用场景汇总
• 中小学出口[渠道模式]
• 运营商政企客户定制网
关集采
• 校校通集采
• 中小企业网络出口
• 酒店网络出口
普教
运营商
企业
地市
酒店
商业
• 地市普教
• 地市医疗
• 地市小政府互联网出口
42
•
网络出口面临的挑战
•
EG易网关解决之道
•
EG易网关产品特性
•
典型应用场景
•
EG易网关案例
福州八中
RG-S2628G
电信20M
食堂
教育网2M
RG-S2652G
三台堆叠
RG-S8606
万兆核心交换机
RG-S2652G
三台堆叠
教学楼
RG-EG1000S
易网关
RG-S2628G
中澳班
图书馆
RG-S2628G
办公楼
网络中心大楼
教研楼
学术报告厅
44
八中开启功能示例
1、URL过滤,自研中文URL数据库
2、用户管理,组织架构导入
3、行为审计,URL记录,站点排名
4、应用控制、流量管理
河南郑州班班通:教育城域网骨干网
1G 互联网
班班通资源服务器
1G 互联网
市级节点
运营商托管机房
1G VPN
1G VPN
运营商MPLS VPN
1G VPN
2*100M 互联网
班班通区级出口
2*100M VPN
10M 互联网
班班通出口
RG-EG1000S
班班通资源服务器
班班通核心
班班通资源服务器
班班通区级核心
区级节点
学校节点
46
河南郑州班班通:中等规模学校园区网
教学MPLS VPN
班班通出口
EG1000S
班班通
资源服务器
接入交换
RG-S2026G
威科姆教学终端
教学班
学校班班通核心
RG-S5750S-24GT/12SFP
接入交换
RG-S2026G
威科姆教学终端
教学班
接入交换
RG-S2026G
备课电脑
备课教室
江苏泰兴教育城域网
高性能出口引擎
RG-NPE50E
数据中心
网络存储系统
RG-iS2000
Riil-BMC
关键业务
管理中心
泰州市教育局
出口防火墙
HA热备组
乡镇汇聚换机RGS7604
学校核心
服务器汇聚
RG-S5750
GSN全局安
全管理平台
出口区域
核心交换机
RG-S8614
配IPFIX模块
学校出口
EG易网关
分布式全局
安全平台
下属学校
流量控制引擎
RG-ACE3000
ISP
学校出口
EG易网关
WG应用保护系统
(WEB攻击防护)
核心交换机
核心防火墙 RG-S8614
HA热备组 配IPFIX模块
城域网核心
乡镇汇聚换
机RGS7604
学校核心
办公区汇聚
可信终端
安全接入
交换机
可信终端
分布式全局
安全平台
下属学校
安全接入
交换机
接入区
教育局办公内网