《RG-NPE60网络出口引擎.docx》由会员分享,可在线阅读,更多相关《RG-NPE60网络出口引擎.docx(9页珍藏版)》请在三一办公上搜索。
1、产品概述RG-NPE (Network outPut Engine,网络出口引擎)系列产品,是锐捷网络公司针对 国内网络出口状况研发的专用设备。NPE基于多核处理器技术进行架构,具备转发高性能, 内嵌状态防火墙、符合公安部82号令的日志记录等功能,此外,NPE针对国内普遍存在的 NAT进行优化,并发会话和新建会话能力在业内首屈一指(NPE50的并发NAT会话200万条, 新建会话30万条每秒)。2010款NPE产品全新融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问 都能智能选择最优最快速路径;集成了 DPI引擎,让网络管理者轻松应对P2P等应用的流量 控制;重构了 Web界面,让N
2、PE网络出口引擎的专业在设备管理维护层面变得简化。作为网络出口的专用设备,NPE系列产品已经广泛应用于政府机关、高校、普教、医疗 等各个行业。NPE60固化提供了 2个万兆SFP+接口; 8个光电复用的GE 口,定位于大型网 络出口; NPE50E固化提供了 8个光电复用的GE 口,可扩展2个扩展槽,定位于中大型网 络出口; NPE40固化提供了 6个千兆电口,1个千兆光口,定位于中小型网络出口。产品特征先进的体系架构NPE系列网络出口引擎采用多核处理器体系架构,单个处理器内部基于锐捷自主知识产 权的虚拟多处理器(vCPU)技术,从而在x-flow框架下构建起一个高性能、高稳定的转发 平台全新
3、的多核架构在满足高性能、低功耗、高灵活性、易升级的要求下,让NPE成功的向 更深层次发展。如:更加完善的状态检测防火墙、对P2P等应用的流量控制等高性能NAT由于IPv4地址的匮乏,NAT作为网络出口设备必备功能,随着网络规模和出口带宽的 扩大,需要更高速的NAT,锐捷NPE设备,采用NAT与REF(锐捷快速转发)高效配合,并 充分利用x-flow技术,实现高速NAT,NPE成为网络出口的高性能推力引擎。以NPE50为例:每秒高达30万条的NAT新建连接会话。在2Gbps的NAT线速转发下,每秒达到新建7 万条NAT会话。并发达到200万条的NAT会话数。如果按照每个网络节点300条NAT会话
4、,则可以同时 支持将近7000台的网络节点同时在线。高性能PBR根据用户制订的策略路由,基于源接口更加灵活的数据包路由转发机制。与功能强大的 ACL配合使用,可以根据报文的源地址,目的地址应用协议进行有效组合,实现策略路由。采用流表技术,在启用QOS、ACL、NAT、PBR等业务时,实现第一个报文逐条匹配,后 续同一条流直接根据流表匹配,无需逐条查询,基于流的处理,使得在100条ACL、PBR的 处理性能和300条的ACL、PBR的性能没有变化,有效的提高网络出口设备的数据包转发能 力。有效的流量控制流量控制是防止某些用户或者应用(如BT等P2P应用)占用过多的网络资源,使用流 量管理用户能够
5、公平使用带宽。对于一些常见的DOS/DDOS攻击,在其他防御手段都无效的 情况下,流量限制也是一个简单直接的方式NPE嵌入了锐捷专业DPI引擎,具有丰富的流 控功能:采用锐捷自主研发的新一代DPI引擎,能够准确识别包括P2P应用、IM、炒股软件、流 媒体、企业办公、网络游戏等在内的总共600种协议;支持基于用户(源IP地址)、目标地址、时间、协议和应用等为参数进行灵活的阻 断与允许功能。包括:进行上行与下行带宽控制、进行Session数量控制等;支持组对象的配置,如定义用户组(IP组)、协议组(如P2P协议组、游戏组)对同 一类型的应用、相同级别的用户进行带宽管理策略的控制;多链路负载均衡,保
6、证数据转发的最佳路径选择出于对网络出口的性能和可靠性考虑,向多个运营商同时租用多条互联网线路的情况在 国内是非常普遍的。但是,对于拥有两条或两条以上的互联网链路的用户,如何既保证多条 链路带宽被充分利用不被浪费,又保证对内对外访问所选择的路径是最快速的最优的? NPE 全新融入多链路负载均衡技术,对多个ISP链路的可用性和性能进行监督,对双向数据流进 行智能路径选择,从而保证用户拥有最佳的互联网接入体验。Inbound-智能DNS解析:针对Internet用户,对网络内部服务器的访问。(比如:政 府的政务公开的服务器,高校的精品课程服务器等),NPE能够通过智能判断访问用户所在 运营商,而将访
7、问数据智能解析定位到对应的ISP链路上,以加速对服务器的访问。Outbound-锐捷智能选路:针对网络内部用户,对Internet资源的访问。简单的,可以 通过所访问的目的地址进行区分,访问电信走电信线路,访问网通走网通线路。但是,对于 2条以上链路,以及同一运营商有多根相同链路情况下(如2根电信),是无法区分目的地 址的。此时,NPE能够通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断, 智能的为用户选择最快速最优的访问线路。当哉位置羊路山配置 负裁均衡srn很戴均礴置曾籍。叫s 琵踣持球醴设酋说明:吝畦路会葡均衡,是在多奈链路上根整一定盖电谜行含宜的流量分配,提离馋膝资购利用筑
8、次|犊路烫夔均衡配衣JF启f尖闭:回开启多械甜员霰均荷疑霆均费狼略:智成略 我!员魅阿瞠:1叩;0用逾祝堇基裁:%软卷妆室墓数:1完善的日志记录,基于用户身份的审计功能日志对于网络安全的分析和设备的安全管理非常重要,尤其在配合公安机关进行反向查 询和定位安全事件的时候。NPE针对经过出口的数据流、设备和网络攻击进行相关日志信息 的记录,为用户事后分析、审计提供重要信息(日志服务器支持远程veb查看和检索)。符 合公安部82号令的NPE日志包括:Flow流日志:源1?、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节 数,发送字节数等关键信息出口 NAT日志:经过NAT转换前的源IP地
9、址、源端口,经过NAT转换后的源IP地址、 源端口,所访问的目的、目的端口、协议、开始时间、结束时间等关键信息设备日志:设备状态,系统事件日志攻击日志:设备网络受到攻击的日志信息和锐捷认证系统(SAM、GSN)无缝对接,将用户认证上网信息和出口日志结合起来,实 现快速的用户上网信息统计和违规用户定位。Utt93F3Q:QQi 如 |E %辛Kf 土前21,|0岳心ilTTUTQflhFBE3R孙fsfti用Mm】.ntwi 脚”pg23 5 H44EH 1口 If K C344ITIU- U S3 4Lat ins msbter峪m 福 m K ihqX留踏血MC HP 9 T?8E电咬营F
10、sre it k itj mafl &t KJ TO 114SK iW TflMITT司E1)4 il.T4ITS I.T E EM.fit 29 MS3 4110B Q T9MTttMA由TCI耳酒SHUT-r.f 嗓荻:;m it h iM mw w E l1W a T?0wrMRSSM1an %i御* 1部皱* 15 T?WW11*m LT E EM叫虹岖沮,L雎1浦吹村MWr蛔却 噌理二;ITS bI7 HO IM3M U E 叩1H JOB I Emtonr it m ikw a? n4W IW ? Tji可tcfmtiitrii:.戏iU TF- n。二 y&3UiCi Hl-WE
11、B可视化管理,简单易用NPE重构了 Web管理方式,让使用者能够轻松驾驭NPE网络出口引擎的强大功能。Web界面主要功能包括:全网出口流量统计概要视图:包括NPE流量视图、用户流量排名视图、应用流量排名视图(top排名可自定义显示);全功能配置:NAT、路由、VPN配置;网络安全、用户管理、流量管理配置;中文系统帮助信息;内嵌高效状态防火墙NPE设备作为网络出口设备集成丰富的防火墙功能:快速包过滤:NPE提供性能卓越的ACL包过滤功能,支持标准和扩展的ACL访问控制列 表。NPE采用先进的流表处理技术,利用源、目的IP、源端口、目的端口、协议号等5 个元素来定义一条流。每秒可以处理和创建的流数
12、量达到10万条报文过滤:报文过滤是防火墙最基本的功能,根据安全策略对数据流进行检查,让合法 的流量通过,将非法的流量阻止,从而达到访问控制的目的。状态检测:对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状 态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。攻击防御:基于状态检测,NPE可以防御的各种网络攻击包括:IP畸形包攻击、IP假 冒、TCP 劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、 UDP Flood 等。设备软、硬件高可靠性管理控制引擎和转发引擎完全分离:更好的稳定性、
13、更稳定的性能、更容易实现可靠的 服务特性关键装置的冗余:1+1电源冗余、双启动映像文件、双配置文件关键部件热拔插:电源热拔插、风扇热拔插、模块热拔插模块化软件设计:降低软件复杂度,同时将问题隔离在软件模块内;某个软件模块出错, 不会让机器崩溃,并支持软件在线升级技术参数技术参数参数描述产品型号RG-NPE40RG-NPE50ERG-NPE60处理器MIPS多核处理器MIPS多核处理器MIPS多核处理器适用网络规模3000用户800010000 用户1000050000 用户内存4G4G4GFlash512M512M512M包转发率1.5Mpps6Mpps9MppsNAT并发会话 数整机80万整
14、机200万整机300万固定接口6GE 电+1GE 光8GE光电复用8GE光电复用+2个万兆 口网络协议l支持IPv4/IPv6双协议栈l 支持 TCP/IP 协议簇,实现了 IP、ICMP、IGMP、TCP 和 UDP 等协议l支持多种路由协议:静态路由、RIP(V1/V2)、OSPF、BGPl 支持 DHCPClient、DHCP Server技术参数参数描述产品型号RG-NPE40RG-NPE50ERG-NPE60l 支持PPPoEl 支持 DNS Client、DNS Staticl支持Ping、Tracert故障检测l 支持 QoS(PQ、CQ、FIFO、WFQ、CBWFQ 等)ACL
15、访问控制标准Acl、扩展Acl、专家Acl、时间AclNAT功能l 源 NATMNAT、静态 NAT、NAPT、No-NATl 支持多种NAT ALG 包括FTP、H.323、DNS等VPN功能GRE、L2TP、PPTP、IPSec、SSL VPN流量控制l支持自主研发的17类/600种应用;可自定义协议识别;l基于应用/用户/时段的流量控制;l基于应用/用户/时段的阻断网络安全l ACL包过滤l状态检测机制l攻击防御:抗内外网攻击、抗DdoS攻击等l流量限制出口日志l满足公安部82号令要求l提供对流日志、NAT日志的记录l支持出口日志的远程web访问和检索l提供设备日志、攻击日志记录高可用性
16、l 支持VRRP、VRRP+协议l支持链路快速检测机制(DLDP)l支持关键部件热插拔(电源、风扇、业务模块)l支持关键部件冗余(电源冗余,双启动映像/双配置文件)管理l支持标准CLI命令行,支持Web界面管理l 支持 SNMPv1/v2/v3l 支持标准MIB、厂商特定MIBl支持TFTP升级和配置文件管理、异步文件传输协议X-MODEM 升级方式电源单电源1+1冗余1+1冗余功率小于30W小于96W小于96W尺寸1U2U2U重量6KG15KG15KG典型应用应用1:高校校园网出口/大型园区网Ri-WAl.LMAtaME谴也匿0心仙上|上中心SS48心建金5ilQWrCISf;蛔福ss:u千
17、完坏asRG -NPE 网络出口引掣出口数据中心网络跑得快,全靠引擎带。NPE的大并发会话数和高新建能力,为整个网络构建起一条高性能、稳定的出口平台;NPE的高效能PBR,为整个网络提供了多出口线路环境下的最快网速访问;开启NPE的状态防火墙和URL过滤,能有效解决网络攻击的问题,从而搭建一个绿色 的安全通道。通过部署NPE的日志服务器,记录NAT日志和流日志,完全满足了公安部82号令的 要求。通过RG-eLog,图形化显示出口流量、用户流量top排名,用户会话数创建top排名。通过与eLog、SAM的联动,实现基于用户身份的web监控(如流量、会话等排名), 进行直接基于用户身份的行为审计。
18、订购信息型号描述RG-NPE40网络出口NPE40网络出口引擎,固化6个千兆电口,固引擎化1个千兆光口,4G内存,内置风扇,1个USB2.0 口,1个Console 口支持WEB界面管理。RG-NPE50E网络出口引擎RG-NPE50E网络出口引擎,固化8个GE光电 复用口,内置风扇,可配置1+1冗余电源,2个 可扩展插槽,1个USB 口,1个SD卡接口,1 个GE管理口,1个Console 口,4G内存。支持 Web界面管理。RG-NPE60网络出口引擎NPE60网络出口引擎,固化2个万兆SFP+接口, 固化8个光电复用GE 口,4G内存,内置风扇, 标配1+1冗余电源,支持web界面管理N
19、PE系列接口配件(线缆或光纤接口)Mini-GBIC-SX1000BASE-SX mini GBIC 转换模块Mini-GBIC-LX1000BASE-LX mini GBIC 转换模块Mini-GBIC-LH1000BASE-LH mini GBIC 转换模块,40kmMini-GBIC-ZX501000BASE-ZX mini GBIC 转换模块,50kmMini-GBIC-ZX801000BASE-ZX mini GBIC 转换模块,80kmXG-SFP-SR-MM850万兆SFP+模块,300mXG-SFP-LR-SM1310万兆SFP+模块,10KmFNM-4GE-S4GE光电复用扩展模块
