网络出口网络出口 EGEG 易网关技术交流易网关技术交流多合一中小网络出口版
出口之道,在于化繁为简出口之道,在于化繁为简
锐捷 薛红卫
• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例
3
我们都在网络上干什么?
近十五年来,互联网流量演变模型
关于 P2P
5
关于偷菜
• 根据 IDC 的调查,目前在欧洲和美国有 80% 的公司在监控员工的在线行为,而在世界 500 强企业中,绝大多数企业对员工的邮件, MSN 等上网行为进行监控,而且这一举措得到了法律条文上的支持。
6
关于法规
7
• 如何保证网络出口稳定不中断?• 单位网速为何越来越慢?• 员工访问的信息合法吗?如何阻断对黄赌毒网站访问?• 如何阻止访问与工作无关的网站,看电影,游戏,股票等?把单位当成网吧?• 如何配合好公安机关办案?• 如何落实国家整治互联网低俗之风的规定?• ……
问题小结
Page8
网上课堂流畅运行!能正常使用视频会议!
VoIP 电话不再断断续续!能随时访问各种资源
能用 BT 下载!
上网速度快!
打游戏 不卡!
不掉线
能流畅看电影!
畅想网络新出口 - 用户体验
周末没有故障电话!网络速 度快! 能监控出口 应用状况!
能对用户进行管理
完善的日志记录 / 查询!
出口不出问题!
没有用户投诉!
防止外部攻击 / 入侵
界面友善,易于管理!
畅想网络新出口 - 网络管理体验
• 内容审计,符合公安部要求• 准确定位违法与泄密行为 降低法律与泄密风险
• 防止不良网站信息的访问•保护内网计算机安全,杜绝病毒泛滥 保障计算机与网络主体安全
•提升员工效率,提高企业生产力• 降低 IT 成本,出口带宽不被无关应用消耗 降低成本
•高稳定,高可靠,保证 7*24 小时运行•支撑出口高速数据访问
高速、稳定
何为最佳网络出口?
• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例
12
网络出口之道
13
应用控制层识别网络应用基于用户应用的带宽限制数据统计分析
数据转发层高性能 NAT/PBR多链路及智能 DNS 的负载均衡
内部区域RG-S8600RG-S8600
RG-S8600RG-S8600
NPENPE
ACEACE
日志管理层用户上网认证用户上网日志
服务器接入层
RG-RG-WALLWALL
安全防护层DDoS 攻击防御病毒 / 木马 / 异常流量阻断网络性能保障
外网数据中心服务器群
流媒体服务器群
中心托管服务器群
网管服务器群
SAMGSN eLog
托管及虚拟主机群
音频、视频文件及应用
WEB DNS E-mail
eLogeLog SMPSMP
远程接入层IPsec /SSL VPN 接入统一账户管理
Web 防火墙 不适用于中小规模网络出口!
传统网络出口架构
14
网络出口
用户Network
中小出口要求:简架构简单管理简单
WEB 管理部署简单
桥接、路由、旁路等多种模式
中小出口要求:繁六大核心功能不可少
路由 /NAT智能流控安全防护URL过滤日志审计内容审计
中小型网络出口:简约不简单
• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例
Page16
EG 产品家族
EG1000PW
EG1000L
EG1000C
EG1000S
EG1000M
EG1000E
64 位 MIPS 多核架构 -
固化电口 5FE 7GE 7GE 6GE 8GE 8GE
固化光电复用口 - 2GE 2GE 1GE 8GE 8GE+2万兆SFP+
WIFI接入 支持(bgn)
- - - - -
内存 256M 512M 1G 2G 4G 4G大容量存储 4G 8G 160G 160G 320G 320G典型带机数 50 100 200 300 1200 4000
典型外网带宽 15M 50M 100M 150M
Page17
网络出口
局域网
互联网 多链路负载均衡+ 应用路由
智能 DNS
Internet
设备自身强化
上网行为管理内网安全联动
小出口的大智慧
上网加速
智能流控
网络攻击检测防御
1. EG基础高性能
业务能力
L3
L4
L7 •高性能、低功耗•高灵活性、易升级•更容易向深层次应用发展
通用 CPU•灵活的编程平台,能适应各种业务处理。•缺少硬件加速能力。
ASIC•接口集成•基本的报文处理和硬件加密能力
转发性能
网络处理器 :•专用硬件转发引擎,极高的转发性能。•4 到 7 层业务处理能力弱。嵌入式 CPU
•接口集成•有限的报文处理和加密能力
多核 CPU
多核处理器架构
CPU单线程 内存访问时延 内存访问时延 内存访问时延 内存访问时延
CPU处理中
硬件线程 硬件线程 11
硬件线程 硬件线程 22
硬件线程 硬件线程 33
硬件线程 硬件线程 44
CPU多线程
时间t1 t2
时间节省!
多核 + 多线程 = 高效处理
REF - Ruijie Express Forwarding 锐捷特快交换 REF实现多业务整合,提高业务性能 ,目前整合 ACL ,策略路由, NAT ,
防火墙, QOS 等业务 ; 以 NAT 为例:空间预分配 ( 加大内存基础之上 ) ,优化算法,简化包头校
验,快速地址查找,提高 cache命中,正反向流快速转换;
类线程 类线程 类线程
接收报文 … 头部检查报文封装 QOS
报文封装FIB ADJ
快速状态处理快速ACL
快速PBR
流创建 完整ACL
完整PBR
发送报文
极速路径
快速流路径
完整NAT
完整流路径
快速NAT
锐捷 REF 特快交换
2. EG优化服务质量
• 内置高性能 DPI引擎,超过 600 种协议识别;• 关键应用质量无法保证,如视频会议、 ERP 、 VoIP 、电子邮件、网页浏览;
• 关键用户的网络带宽无法保证;
关键应用保障前后
应用控制,优化带宽资源
即时通讯 P2P下载 流媒体 网络游戏MSN
企业应用 炒股软件BitTorrent QQlive 联众游戏 HTTP
QQ eMule PPlive QQ堂Yahoo通 迅雷 PPStream QQ游戏阿里旺旺 eDonkey网易泡泡
FTP
百度下吧
大智慧
新浪 UC
招商证券POP3 江海证券
浩方对战平台 国泰君安钱龙魔兽世界酷我天网MAZE 新浪直播 疯狂卡丁车超级旋风KUGOO
大话西游传奇股票瞧瞧看通达信
锐捷 EG优势
17 大类 700 多种应用协议识别,识别准确率 90% 以上终生免费特征库更新, HTTP 在线定期自动更新
国内领先的高性能 DPI引擎 : 应用识别全面、准确、更新及时
SMTPLotus-notes
SQL-SERVEROracle
MySQL
飞速土豆
和讯股道REALPLAYERMMS
飞信注:以上为部分应用举例
锐捷自研新一代DPI引擎
• 定位:简单流控;【大型网络,专业流控请使用锐捷 ACE 】• 内置实时流量监控器,无需外部安装管理服务器或流量察看软件1 、基于 vlan 、用户、 IP 、应用设置带宽策略
2 、用户流量、应用流量的排名和管理3 、支持弹性带宽,根据在线用户数调整每用户带宽
4 、支持基于时间的带宽策略5 、应用控制选择示例
流量优化: P2P 控制
EG内部 PC
Link choose=ISP1
200 ms
250 ms
350 ms
全路径健康检查,精确判断用户的链路健康状况路由可用性及链路带宽
锐捷就近性算法,保证出流量的最优化选择,让用户得到最佳的访问体验
确保整个连接的可用性透明 Ping 到目标设备算法 1 、带宽 + 时延 + 负载
算法 2 、线路带宽占比
Outbound优化:多链路负载均衡
SmartNAT功能保证用户接入链路的最优化选择 智能 DNS ,确保用户对外业务服务器的完美解析
Internet
ISP A
LAN
ISP B
Internet Client(e.g. home user)
1b
www.domain.edu.cn
智能 DNS配置示例 -web
EG EG
Inbound优化:智能 DNS
EG 内嵌状态检测防火墙EG 支持 URL过滤、内容审计等行为管理功能EG 支持实名制 NAT 日志Web 安全采用锐捷 WG 产品(防止网页被篡改,网站被挂木马)
3. 出口安全保障
内容过滤攻击防御
报文过滤报文过滤 :报文过滤 :通过访问控制列表(通过访问控制列表( ACLACL )实现了灵活的各种)实现了灵活的各种粒度的报文过滤 粒度的报文过滤 ,, 包括:标准包括:标准 ACL ACL 、扩展、扩展 ACLACL 。。状态检测 :状态检测 :基于六元组来识别网络流量,并针对每条网络基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤,包括:报头检种丰富的安全控制和更深粒度的报文过滤,包括:报头检查 、查 、 IPIP 分片支持、特殊应用协议支持等。分片支持、特殊应用协议支持等。攻击防御 :攻击防御 :基于状态检测可以防御的各种网络攻击包括:基于状态检测可以防御的各种网络攻击包括:IPIP 畸形包攻击、畸形包攻击、 IPIP 假冒、假冒、 TCPTCP 劫持入侵、劫持入侵、 SYN SYN floodflood 、、 SmurfSmurf 、、 Ping of Ping of DeathDeath 、、 TeardropTeardrop 、、 LandLand 、、 ping floodping flood 、、 UDP FloodUDP Flood等等。等等。
状态检测
本地防攻击策略库
内嵌状态防火墙
4. 行为管理:净化网络环境
军事 经济 在线聊天 网络游戏体育
违反道德 旅游成人 WEB通讯 赌博 毒品
政治 文学艺术 门户网站 毒品教育 娱乐 色情 商业社会生活 BBS 站点商业
搜索引擎犯罪技能
求职招聘
广告
IT类
博客房地产旅游 体育 儿童政治 远程代理法律艺术
游戏 科学 宗教信仰锐捷 EG优势
41 个大类、 1300 万 URL 条目数据 本地化信息采集和分类分析免费更新, HTTP 在线定期自动更新
锐捷自主研发的 URL分类数据库 : 分类准确、覆盖面广、承诺 10 年免费更新
暴力
购物
锐捷自主研发中文 URL 数据库
•范围: BBS 论坛、博客、贴吧 .
•内容:论坛名称、发帖主题、发帖内容
•内容:文件路径、名称、类型、大小、 FTP账号
•审计 / 过滤:基于路径、名称、类型
•范围:SMTP 、 POP3 、WebMail.
•内容:发信人、收信人、主题、正文、附件
•审计 / 过滤:基于敏感关键字、附件类型
•范围:QQ 、 MSN 等即时聊天工具
•内容:未加密聊天内容、上下线记录
即时通讯 论坛发帖
邮件 FTP
文件
5. 内容审计,保障安全
33
1 、邮件内容审计
2 、 IM聊天审计
3 、搜索引擎审计
内容审计 WEB页面
• 全 WEB 管理界面 +Step by Step 配置向导 + 帮助选项6. 易管理
35
SSL VPN 与 WEB认证配置界面
• 路由模式
36
• 桥接模式( EG 内置硬件 BYPAS
S )• 旁路模式
(适用于网络任何位置)
桥接模式和旁路模式属于即插即用,不需要对其他网络设备做任何变更
交换机
EG 易网关
交换机 交换机
EG 易网关
NPE或防火墙
EG 易网关
部署方式
37
EG 易网关客户价值总结
• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例
中小学客户主要需求1. 技术力量薄弱,能够简单易用。2. 防止学生对黄赌毒等不良网站的信息访问3. 能够存储公安 /网监检查所需的日志信息4. 能够让带宽有限的出口跑得更快,避免个别老师下 BT拥塞出口EG 易网关对应特色功能1 、锐捷人性化 WEB 界面,带配置向导2 、内置 41 大类 600万条 URL 目录, URL过滤不影响出口数据转发性能;3 、内置硬盘,本地化日志存储,结合设备组织架构管理功能,轻松进行日志审计;4 、能识别超过 600 应用协议,专业的流量控制功能保证关键应用 /用户网络访问最佳体验;
电信ISP
EG1000EG1000
服务器区域服务器区域
科技楼(机房)科技楼(机房)RG-S2924GRG-S2924G
RG-S2924GRG-S2924G
RG-S2924GRG-S2924G
办公楼办公楼
办公区办公区 _A_A
办公区办公区 _B_B
RG-S7604RG-S7604
中小学网络出口
酒店及写字楼网络出口
客房网络
出口
PMS专网酒店办公网络
光纤专线 ADSL
节流节流
行为管理提升工作效率
智能出口优化带宽使用实名审计:Web认证、 SuperVLAN两种方式支持
开源开源 “提升客人体验,让客人满意。”AnyIP 技术:网络即插即用Web推送:客户关怀,就在身边智能流控:“在看新闻,也在下载大文件”
“降低信息化建设成本和运维成本。”
41
RG-S2924G
办公区办公区……
IPSec VPNIPSec VPN 连接连接
EG1000 电信电信网通网通
RG-S2951XG
销售部销售部
分支机构分支机构SSL VPNSSL VPN 连接连接
移动用户移动用户RG-S7610 RG-S7610
RG-S5750 RG-S5750
生产区生产区 家属区等家属区等
PBR策略选路
状态防火墙 应用控制URL过滤 IPSec/SSL VPN 支持流量管理 扩展WLAN
企业客户主要需求1. 稳定可靠不中断,保证业务正常开展;2.专业的应用控制 /流量管理,保证企业关键应用的数据转发速度;3.集成 VPN ,满足移动用户 / 分支机构接入4.避免员工上班时间偷菜…,提升企业效率EG 易网关对应特色功能1 、支持路由 /桥接模式,内置硬件BYPASS2 、超过 600 种协议识别能力,源自锐捷专业流控经验,保证关键应用带宽;3 、全面支持 L2TP 、 IPSec 、 SSL VPN4 、应用控制 / 专业 URL过滤均能进行有效的上网行为管理,杜绝“偷菜”
企业互联网出口网关
42
EG重点适用场景汇总
• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例
44
中澳班教研楼
学术报告厅网络中心大楼办公楼
图书馆教学楼
食堂教育网 2M
电信 20M
RG-EG1000S易网关RG-S8606万兆核心交换机
RG-S2628G
RG-S2628G
RG-S2628G
RG-S2652G三台堆叠
RG-S2652G三台堆叠
福州八中
1 、 URL过滤,自研中文 URL 数据库2 、用户管理,组织架构导入
3 、行为审计, URL 记录,站点排名
4 、应用控制、流量管理
八中开启功能示例
46
河南郑州班班通:教育城域网骨干网
班班通出口RG-EG1000S
班班通核心班班通资源服务器
班班通资源服务器
学校节点
运营商托管机房
班班通区级核心
班班通区级出口
班班通资源服务器
市级节点
区级节点
2*100M 互联网
2*100M VPN
10M 互联网
1G VPN
1G VPN
1G VPN
1G 互联网
1G 互联网
运营商MPLS VPN
河南郑州班班通:中等规模学校园区网
学校班班通核心RG-S5750S-24GT/12SFP
教学班 教学班 备课教室
威科姆教学终端 威科姆教学终端 备课电脑
接入交换RG-S2026G
接入交换RG-S2026G
接入交换RG-S2026G
班班通资源服务器
教学MPLS VPN
班班通出口EG1000S
江苏泰兴教育城域网
安全接入交换机 教育局办公内网
办公区汇聚
可信终端
可信终端
安全接入交换机
学校核心分布式全局 安全平台
下属学校
下属学校 接入区
乡镇汇聚换机 RG-S7604
乡镇汇聚换机 RG-S7604
学校出口EG 易网关学校核心
学校出口EG 易网关
分布式全局 安全平台
HA热备组
数据中心Riil-BMC关键业务管理中心
网络存储系统RG-iS2000
WG 应用保护系统( WEB 攻击防护)
GSN 全局安全管理平台
服务器汇聚RG-S5750
出口区域
高性能出口引擎RG-NPE50E
流量控制引擎RG-ACE3000出口防火墙泰州市教育局
核心交换机RG-S8614
配 IPFIX模块城域网核心
核心交换机RG-S8614
配 IPFIX模块
ISP 核心防火墙HA热备组