EG技术交流.ppt

1、网络出口EG易网关技术交流,多合一中小网络出口版,出口之道，在于化繁为简,锐捷 薛红卫,网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例,3,我们都在网络上干什么？,近十五年来，互联网流量演变模型,迅雷、BT、电驴等P2P过度滥用， 导致无效流量占用大量带宽资源，网络奇慢！,关于P2P,5,关于偷菜,根据IDC的调查，目前在欧洲和美国有80%的公司在监控员工的在线行为，而在世界500强企业中，绝大多数企业对员工的邮件，MSN等上网行为进行监控，而且这一举措得到了法律条文上的支持。,6,关于法规,7,如何保证网络出口稳定不中断？ 单位网速为何越来越慢？ 员

2、工访问的信息合法吗？如何阻断对黄赌毒网站访问？ 如何阻止访问与工作无关的网站，看电影，游戏，股票等？把单位当成网吧？ 如何配合好公安机关办案？ 如何落实国家整治互联网低俗之风的规定？ ,问题小结,畅想网络新出口-用户体验,畅想网络新出口-网络管理体验,何为最佳网络出口？,网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例,12,网络出口之道,13,内部区域,RG-S8600,RG-S8600,ACE,日志管理层 用户上网认证 用户上网日志,服务器接入层,RG-WALL,安全防护层 DDoS攻击防御病毒/木马/异常流量阻断网络性能保障,eLog,SMP,远程

3、接入层 IPsec /SSL VPN接入 统一账户管理,Web防火墙,不适用于中小规模网络出口！,传统网络出口架构,14,中小出口要求：简 架构简单 管理简单 WEB管理 部署简单 桥接、路由、旁路等多种模式,中小出口要求：繁 六大核心功能不可少 路由/NAT 智能流控 安全防护 URL过滤 日志审计 内容审计,中小型网络出口：简约不简单,网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例,EG产品家族,网络出口,局域网,互联网,多链路负载均衡 +应用路由,智能DNS,Internet,设备自身强化,上网行为管理,内网安全联动,小出口的大智慧,上网加速,智

4、能流控,网络攻击检测防御,1. EG基础高性能,高性能、低功耗 高灵活性、易升级 更容易向深层次应用发展,多核CPU,多核处理器架构,多核+多线程=高效处理,REFRuijie Express Forwarding 锐捷特快交换 REF实现多业务整合，提高业务性能 ,目前整合ACL，策略路由，NAT，防火墙，QOS等业务 ; 以NAT为例：空间预分配(加大内存基础之上)，优化算法，简化包头校验，快速地址查找，提高cache命中，正反向流快速转换；,类线程,类线程,类线程,接收 报文,头部 检查,报文 封装,QOS,报文 封装,FIB,ADJ,快速 状态 处理,快速 ACL,快速 PBR,流 创

5、建,完整 ACL,完整 PBR,发送报文,极速路径,快速流路径,完整 NAT,完整流路径,快速 NAT,锐捷REF特快交换,2. EG优化服务质量,内置高性能DPI引擎，超过600种协议识别； 关键应用质量无法保证，如视频会议、ERP、VoIP、电子邮件、网页浏览； 关键用户的网络带宽无法保证；,关键应用保障前后,应用控制，优化带宽资源,即时通讯,P2P下载,流媒体,网络游戏,MSN,企业应用,炒股软件,BitTorrent,QQlive,联众游戏,HTTP,QQ,eMule,PPlive,QQ堂,Yahoo通,迅雷,PPStream,QQ游戏,阿里旺旺,eDonkey,网易泡泡,FTP,百度

6、下吧,大智慧,新浪UC,招商证券,POP3,江海证券,浩方对战平台,国泰君安,钱龙,魔兽世界,酷我,天网MAZE,新浪直播,疯狂卡丁车,超级旋风,KUGOO,大话西游,传奇,股票瞧瞧看,通达信,锐捷EG优势,17大类700多种应用协议识别，识别准确率90%以上,终生免费特征库更新，HTTP在线定期自动更新,国内领先的高性能DPI引擎: 应用识别全面、准确、更新及时,SMTP,Lotus-notes,SQL-SERVER,Oracle,MySQL,飞速土豆,和讯股道,REALPLAYER,MMS,飞信,注：以上为部分应用举例,锐捷自研新一代DPI引擎,定位：简单流控；【大型网络，专业流控请使用锐

7、捷ACE】 内置实时流量监控器，无需外部安装管理服务器或流量察看软件,1、基于vlan、用户、IP、应用设置带宽策略,2、用户流量、应用流量的排名和管理,3、支持弹性带宽，根据在线用户数调整每用户带宽,4、支持基于时间的带宽策略,5、应用控制选择示例,流量优化：P2P控制,EG,内部PC,全路径健康检查，精确判断用户的链路健康状况 路由可用性及链路带宽 锐捷就近性算法，保证出流量的最优化选择，让用户得到最佳的访问体验 确保整个连接的可用性 透明 Ping 到目标设备,算法1、带宽+时延+负载,算法2、线路带宽占比,Outbound优化：多链路负载均衡,SmartNAT功能保证用户接入链路的最优

8、化选择 智能DNS，确保用户对外业务服务器的完美解析,智能DNS配置示例-web,EG,EG,Inbound优化：智能DNS,EG内嵌状态检测防火墙 EG支持URL过滤、内容审计等行为管理功能 EG支持实名制NAT日志 Web安全采用锐捷WG产品（防止网页被篡改，网站被挂木马）,3. 出口安全保障,内容过滤,攻击防御,报文过滤,报文过滤 ：通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。 状态检测 ：基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤，包括：报头检查 、

9、IP分片支持、特殊应用协议支持等。 攻击防御 ：基于状态检测可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。,状态检测,本地防攻击策略库,内嵌状态防火墙,4. 行为管理：净化网络环境,军事,经济,在线聊天,网络游戏,体育,违反道德,旅游,成人,WEB通讯,赌博,毒品,政治,文学艺术,门户网站,毒品,教育,娱乐,色情,商业,社会生活,BBS站点,商业,搜索引擎,犯罪技能,求职招聘,广告,IT类,博客,房地产,旅游,体育,儿童,政治,远程代理,

10、法律,艺术,游戏,科学,宗教信仰,锐捷EG优势,41个大类、1300万URL条目数据,本地化信息采集和分类分析,免费更新， HTTP在线定期自动更新,锐捷自主研发的URL分类数据库: 分类准确、覆盖面广、承诺10年免费更新,暴力,购物,锐捷自主研发中文URL数据库,范围：BBS论坛、博客、贴吧. 内容：论坛名称、发帖主题、发帖内容,内容：文件路径、名称、类型、大小、FTP账号 审计/过滤：基于路径、名称、类型,范围：SMTP、POP3、WebMail. 内容：发信人、收信人、主题、正文、附件 审计/过滤：基于敏感关键字、附件类型,范围：QQ、MSN等即时聊天工具 内容：未加密聊天内容、上下线记

11、录,5. 内容审计，保障安全,33,1、邮件内容审计,2、IM聊天审计,3、搜索引擎审计,内容审计WEB页面,全WEB管理界面+Step by Step 配置向导+帮助选项,6. 易管理,35,SSL VPN与WEB认证配置界面,路由模式,36,桥接模式 （EG内置硬件BYPASS）,旁路模式 （适用于网络任何位置）,桥接模式和旁路模式属于即插即用，不需要对其他网络设备做任何变更,交换机,EG易网关,交换机,交换机,EG易网关,NPE或防火墙,EG易网关,部署方式,37,EG易网关客户价值总结,网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例,中小学客户

12、主要需求 1.技术力量薄弱，能够简单易用。 2.防止学生对黄赌毒等不良网站的信息访问 3.能够存储公安/网监检查所需的日志信息 4.能够让带宽有限的出口跑得更快，避免个别老师下BT拥塞出口,EG易网关对应特色功能 1、锐捷人性化WEB界面，带配置向导 2、内置41大类600万条URL目录，URL过滤不影响出口数据转发性能； 3、内置硬盘，本地化日志存储，结合设备组织架构管理功能，轻松进行日志审计； 4、能识别超过600应用协议，专业的流量控制功能保证关键应用/用户网络访问最佳体验；,电信,ISP,EG1000,科技楼（机房）,RG-S2924G,RG-S2924G,RG-S2924G,办公楼,

13、办公区_A,办公区_B,RG-S7604,中小学网络出口,酒店及写字楼网络出口,客房网络,出口,PMS专网,酒店办公网络,光纤专线,ADSL,节流,行为管理提升工作效率,智能出口优化带宽使用,实名审计：Web认证、 SuperVLAN两种方式支持,开源,“提升客人体验，让客人满意。”,AnyIP技术：网络即插即用,Web推送：客户关怀，就在身边,智能流控：“在看新闻，也在下载大文件”,“降低信息化建设成本和运维成本。”,41,RG-S2924G,办公区,IPSec VPN连接,EG1000,电信,网通,RG-S2951XG,销售部,分支机构,SSL VPN连接,移动用户,RG-S7610,RG

14、-S7610,RG-S5750,RG-S5750,生产区,家属区等,PBR策略选路,状态防火墙,应用控制,URL过滤,IPSec/SSL VPN支持,流量管理,扩展WLAN,企业客户主要需求 1.稳定可靠不中断，保证业务正常开展； 2.专业的应用控制/流量管理，保证企业关键应用的数据转发速度； 3.集成VPN，满足移动用户/分支机构接入 4.避免员工上班时间偷菜，提升企业效率,EG易网关对应特色功能 1、支持路由/桥接模式，内置硬件BYPASS 2、超过600种协议识别能力，源自锐捷专业流控经验，保证关键应用带宽； 3、全面支持L2TP、IPSec、SSL VPN 4、应用控制/专业URL过滤

15、均能进行有效的上网行为管理，杜绝“偷菜”,企业互联网出口网关,42,EG重点适用场景汇总,网络出口面临的挑战 EG易网关解决之道 EG易网关产品特性 典型应用场景 EG易网关案例,44,中澳班,教研楼,学术报告厅,网络中心大楼,办公楼,图书馆,教学楼,食堂,教育网2M,电信20M,RG-EG1000S 易网关,RG-S8606 万兆核心交换机,RG-S2628G,RG-S2628G,RG-S2628G,RG-S2652G 三台堆叠,RG-S2652G 三台堆叠,福州八中,1、URL过滤，自研中文URL数据库,2、用户管理，组织架构导入,3、行为审计，URL记录，站点排名,4、应用控制、流量管理,八中开启功能示例,46,河南郑州班班通：教育城域网骨干网,班班通出口 RG-EG1000S,班班通核心,班班通资源服务器,班班通资源服务器,学校节点,运营商托管机房,班班通区级核心,班班通区级出口,班班通资源服务器,市级节点,区级节点,2*100M 互联网,2*100M VPN,10M 互联网,1G VPN,1G VPN,1G VPN,1G 互联