《EG技术交流》PPT课件.ppt

网络出口网络出口EGEG易网关技术交流易网关技术交流 多合一中小网络出口版 出口之道，在于出口之道，在于化繁为简化繁为简 锐捷 薛红卫 网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例 3 我们都在网络上干什么？ 近十五年来，互联网流量演变模型 关于P2P 5 关于偷菜 根据IDC的调查，目前在欧洲和美国有80%的公司在监控员工的在线 行为，而在世界500强企业中，绝大多数企业对员工的邮件，MSN等 上网行为进行监控，而且这一举措得到了法律条文上的支持。 6 关于法规 7 如何保证网络出口稳定不中断？ 单位网速为何越来越慢？ 员工访问的信息合法吗？如何阻断对黄赌毒网站访问？ 如何阻止访问与工作无关的网站，看电影，游戏，股票等 ？把单位当成网吧？ 如何配合好公安机关办案？ 如何落实国家整治互联网低俗之风的规定？ 问题小结 Page8 网上课堂流 畅运行！ 能正常使用 视频会议！ VoIP电话 不再断断 续续！ 能随时 访问各 种资源 能用BT下载 ！ 上网 速度快！ 打游戏 不卡！ 不掉线 能流畅 看电影！ 畅想网络新出口-用户体验 周末没有故障 电话！ 网络速 度快！ 能监控出口 应用状况！ 能对用 户进行 管理 完善的日志记 录/查询！ 出口不出 问题！ 没有用户 投诉！ 防止外部攻击 /入侵 界面友善， 易于管理！ 畅想网络新出口-网络管理体验 内容审计审计 ，符合公安部要求 准确定位违违法与泄密行为为 降低法律与泄密 风险风险 防止不良网站信息的访问访问 保护护内网计计算机安全，杜绝绝病毒泛滥滥 保障计计算机与网 络络主体安全 提升员员工效率，提高企业业生产产力 降低IT成本，出口带宽带宽 不被无关应应用消耗 降低成本 高稳稳定，高可靠，保证证7*24小时时运行 支撑出口高速数据访问访问 高速、稳稳定 何为最佳网络出口？ 网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例 12 网络出口之道 13 应用控制层 识别网络应用 基于用户应用的带宽限制 数据统计分析 数据转发层 高性能NAT/PBR 多链路及智能DNS的负 载均衡 内部区域 RG-S8600RG-S8600 RG-S8600RG-S8600 NPENPE ACEACE 日志管理层 用户上网认证 用户上网日志 服务器接入层 RG-WALLRG-WALL 安全防护层 DDoS攻击防御 病毒/木马/异常流量阻断 网络性能保障 外网数据中 心服务器群 流媒体服 务器群 中心托管 服务器群 网管服务 器群 SAMGSNeLog 托管及虚拟主机群 音频、视频文件及应用 WEB DNS E-mail eLogeLogSMPSMP 远程接入层 IPsec /SSL VPN接入 统一账户管理 Web防火墙 不适用于中小规模网 络出口！ 传统网络出口架构 14 网络出口 用户 Network 中小出口要求：简 架构简单 管理简单 WEB管理 部署简单 桥接、路由、旁路 等多种模式 中小出口要求：繁 六大核心功能不可少 p路由/NAT p智能流控 p安全防护 pURL过滤 p日志审计 p内容审计 中小型网络出口：简约不简单 网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例 Page16 EG产品家族 EG1000P W EG1000 L EG1000 C EG1000SEG1000MEG1000E 64位MIPS多核 架构 - 固化电口 5FE7GE7GE6GE8GE8GE 固化光电复用口 - 2GE2GE1GE8GE8GE+2万 兆SFP+ WIFI接入 支持(bgn) - - - 内存 256M512M1G2G4G4G 大容量存储 4G8G160G160G320G320G 典型带机数 50 100 20030012004000 典型外网带宽 15M 50M100M150M 内页: 标题前红色竖条可自由移动 标题 (1级) : 22-24pt 标题 (2-5级) :20-22pt 正文: 12-18pt 颜色: R89 G89 B89 中文字体:微软雅黑 英文字体:Arial 配色参考方案： 建议同一页面内不超 过三种颜色，以下是 10组配色方案，同一 页面内只选择一组使 用。（仅供参考） Page17 网络出口 局域网 互联网 多链路负载均衡 +应用路由 智能DNS Internet 设备自身强化 上网行为管理 内网安全联动 小出口的大智慧 上网加速 智能流控 网络攻击检测防御 1. EG基础高性能 业务能力 L3 L4 L7 高性能、低功耗 高灵活性、易升级 更容易向深层次应用发展 通用CPU 灵活的编程平台，能 适应各种业务处理。 缺少硬件加速能力。 ASIC 接口集成 基本的报文处理 和硬件加密能力 转发性能 网络处理器: 专用硬件转发引擎 ，极高的转发性能 。 4到7层业务处理能 力弱。 嵌入式CPU 接口集成 有限的报文处 理和加密能力 多核CPU 多核处理器架构 CPU 单线程内存访问时延内存访问时延内存访问时延内存访问时延 CPU处理中 硬件线程硬件线程 1 1 硬件线程硬件线程 2 2 硬件线程硬件线程 3 3 硬件线程硬件线程 4 4 CPU 多线程 时间t1 t2 时间节省！ 多核+多线程=高效处理 REFRuijie Express Forwarding 锐捷特快交换 REF实现多业务整合，提高业务性能 ,目前整合ACL，策略路由，NAT，防 火墙，QOS等业务 ; 以NAT为例：空间预分配(加大内存基础之上)，优化算法，简化包头校验 ，快速地址查找，提高cache命中，正反向流快速转换； 类线程类线程类线程 接收 报文 头部 检查 报文 封装 QOS 报文 封装 FIBADJ 快速 状态 处理 快速 ACL 快速 PBR 流 创建 完整 ACL 完整 PBR 发送报文 极速路径 快速流路径 完整 NAT 完整流路径 快速 NAT 锐捷REF特快交换 2. EG优化服务质量 内置高性能DPI引擎，超过600种协议识别； 关键应用质量无法保证，如视频会议、ERP、VoIP、电子邮件、网页浏览； 关键用户的网络带宽无法保证； 关键应用保障前后 应用控制，优化带宽资源 即时时通讯讯P2P下载载流媒体网络络游戏戏 MSN 企业应业应 用 炒股软软件 BitTorrentQQlive联众游戏 HTTP QQ eMulePPliveQQ堂 Yahoo通迅雷PPStreamQQ游戏 阿里旺旺eDonkey 网易泡泡 FTP 百度下吧 大智慧 新浪UC 招商证券 POP3 江海证券 浩方对战 平台 国泰君安 钱龙 魔兽世界酷我 天网MAZE 新浪直播 疯狂卡丁车 超级旋风 KUGOO 大话话西游 传奇 股票瞧瞧看 通达信 锐锐捷EG优优 势势 17大类700多种应用协议识别 ，识别 准确率90%以上 终生免费特征库更新，HTTP在线定期自动更新 国内领先的高性能DPI引擎: 应用识别全面、准确、更新及时 SMTP Lotus-notes SQL-SERVER Oracle MySQL 飞速土豆 和讯股道 REALPLAYER MMS 飞信 注：以上为部分应用举例 锐捷自研新一代DPI引擎 定位：简单流控；【大型网络，专业流控请使用锐捷ACE】 内置实时流量监控器，无需外部安装管理服务器或流量察看软件 1、基于vlan、用户、IP、应用设置带宽策略 2、用户流量、应用流量的排名和管理 3、支持弹性带宽，根据在线用户数调整每用户带宽 4、支持基于时间的带宽策略 5、应用控制选择示例 流量优化：P2P控制 EG PC内部 Link choose=ISP1 200 ms 250 ms 350 ms p 全路径健康检查，精确判断用户的链路健康状况 路由可用性及链路带宽 p 锐捷就近性算法，保证出流量的最优化选择，让用 户得到最佳的访问体验 确保整个连接的可用性 透明 Ping 到目标设备 算法1、带宽+时延+负载 算法2、线路带宽占比 Outbound优化：多链路负载均衡 SmartNAT功能保证用户接入链路的最优化选择 智能DNS，确保用户对外业务服务器的完美解析 Internet ISP A LAN ISP B Internet Client (e.g. home user) 1b 智能DNS配置示例-web EG EG Inbound优化：智能DNS EG内嵌状态检测防火墙 EG支持URL过滤、内容审计等行为 管理功能 EG支持实名制NAT日志 Web安全采用锐捷WG产品（防止 网页被篡改，网站被挂木马） 3. 出口安全保障 内容过滤 攻击防御 报文过滤 报文过滤报文过滤 ：通过访问控制列表（通过访问控制列表（ACLACL）实现了灵活的各种）实现了灵活的各种 粒度的报文过滤粒度的报文过滤 , ,包括：标准包括：标准ACL ACL 、扩展、扩展ACLACL。 状态检测状态检测 ：基于六元组来识别网络流量，并针对每条网络基于六元组来识别网络流量，并针对每条网络 流量建立从二层至七层的状态信息。并基于这些状态信息进行各流量建立从二层至七层的状态信息。并基于这些状态信息进行各 种丰富的安全控制和更深粒度的报文过滤，包括：报头检查种丰富的安全控制和更深粒度的报文过滤，包括：报头检查 、 IPIP分片支持、特殊应用协议支持等。分片支持、特殊应用协议支持等。 攻击防御攻击防御 ：基于状态检测可以防御的各种网络攻击包括：基于状态检测可以防御的各种网络攻击包括： IPIP畸形包攻击、畸形包攻击、IPIP假冒、假冒、TCPTCP劫持入侵、劫持入侵、SYN floodSYN flood、SmurfSmurf、 Ping of DeathPing of Death、TeardropTeardrop、LandLand、ping floodping flood、UDP FloodUDP Flood等等等等 。 状态检测 本地防攻击策略库 内嵌状态防火墙 4. 行为管理：净化网络环境 军事经济在线聊天网络游戏 体育 违反道德旅游 成人WEB通讯赌博毒品 政治文学艺术门户网站毒品 教育娱乐色情 商业 社会生活BBS站点 商业 搜索引擎 犯罪技能 求职招聘 广告 IT类 博客 房地产 旅游体育 儿童 政治远程代理 法律 艺术 游戏科学 宗教信仰 锐锐捷EG优优 势势 41个大类、1300万URL条目数据本地化信息采集和分类分析 免费更新， HTTP在线定期自动更新 锐捷自主研发的URL分类数据库: 分类准确、覆盖面广、承诺10年免费更新 暴力 购物 锐捷自主研发中文URL数据库 范围：BBS论坛、博 客、贴吧. 内容：论坛名称、发 帖主题、发帖内容 内容：文件路径、名称 、类型、大小、FTP账 号 审计/过滤：基于路径 、名称、类型 范围：SMTP、 POP3、WebMail. 内容：发信人、收 信人、主题、正文 、附件 审计/过滤：基于 敏感关键字、附件 类型 范围：QQ、MSN 等即时聊天工具 内容：未加密聊天 内容、上下线记录 即时通讯 论坛发帖 邮件 FTP 文件 5. 内容审计，保障安全 33 1、邮件内容审计 2、IM聊天审计 3、搜索引擎审计 内容审计WEB页面 全WEB管理界面+Step by Step 配置向导+帮助选项 6. 易管理 35 SSL VPN与WEB认证配置界面 路由模式 36 桥接模式 （EG内置硬件BYPASS） 旁路模式 （适用于网络任何位置） p 桥接模式和旁路模式属于即插即用，不需要对其他网络设备做任何变更 交换机 EG易网关 交换机交换机 EG易网关 NPE或防火墙 EG易网关 部署方式 37 EG易网关客户价值总结 网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例 中小学客户主要需求 1.技术力量薄弱，能够简单易用。 2.防止学生对黄赌毒等不良网站的信息访问 3.能够存储公安/网监检查所需的日志信息 4.能够让带宽有限的出口跑得更快，避免个别 老师下BT拥塞出口 EG易网关对应特色功能 1、锐捷人性化WEB界面，带配置向导 2、内置41大类600万条URL目录，URL过滤不 影响出口数据转发性能； 3、内置硬盘，本地化日志存储，结合设备组织 架构管理功能，轻松进行日志审计； 4、能识别超过600应用协议，专业的流量控制 功能保证关键应用/用户网络访问最佳体验； 电信 ISP EG1000EG1000 服务器区域服务器区域 科技楼（机房）科技楼（机房） RG-S2924GRG-S2924G RG-S2924GRG-S2924G RG-S2924GRG-S2924G 办公楼办公楼 办公区办公区_A_A 办公区办公区_B_B RG-S7604RG-S7604 中小学网络出口 酒店及写字楼网络出口 客房网络 出口 PMS专网酒店办公网络 光纤专线ADSL 节流节流 行为管理提升工作效率 智能出口优化带宽使用 实名审计：Web认证、 SuperVLAN 两种方式支持 开源开源 “提升客人体验，让客 人满意。” AnyIP技术：网络即插即用 Web推送：客户关怀，就在身边 智能流控：“在看新闻，也在下载大文件” “降低信息化建设成本 和运维成本。” 41 RG-S2924G 办公区办公区 IPSec VPNIPSec VPN连接连接 EG1000 电信电信 网通网通 RG-S2951XG 销售部销售部 分支机构分支机构 SSL VPNSSL VPN连接连接 移动用户移动用户 RG-S7610 RG-S7610 RG-S5750RG-S5750 生产区生产区 家属区等家属区等 PBR策略选路 状态防火墙 应用控制 URL过滤 IPSec/SSL VPN支持 流量管理 扩展WLAN 企业客户主要需求 1.稳定可靠不中断，保证业务正常开展； 2.专业的应用控制/流量管理，保证企业关 键应用的数据转发速度； 3.集成VPN，满足移动用户/分支机构接入 4.避免员工上班时间偷菜，提升企业效率 EG易网关对应特色功能 1、支持路由/桥接模式，内置硬件BYPASS 2、超过600种协议识别能力，源自锐捷专 业流控经验，保证关键应用带宽； 3、全面支持L2TP、IPSec、SSL VPN 4、应用控制/专业URL过滤均能进行有效的 上网行为管理，杜绝“偷菜” 企业互联网出口网关 42 EG重点适用场景汇总 网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例 44 中澳班 教研楼 学术报告厅网络中心大楼 办公楼 图书馆 教学楼 食堂 教育网2M 电信20M RG-EG1000S 易网关 RG-S8606 万兆核心交换机 RG-S2628G RG-S2628G RG-S2628G RG-S2652G 三台堆叠 RG-S2652G 三台堆叠 福州八中 1、URL过滤，自研中文URL数据库 2、用户管理，组织架构导入 3、行为审计，URL记录，站点排名 4、应用控制、流量管理 八中开启功能示例 46 河南郑州班班通：教育城