1、1产品概述RG-NPE(Network outPut Engine,网络出口引擎)系列产品,是锐捷网络公司针对国内网络出口状况研发的专用设备。NPE 基于多核处理器技术进行架构,具备转发高性能,内嵌状态防火墙、符合公安部 82 号令的日志记录等功能,此外,NPE 针对国内普遍存在的NAT 进行优化,并发会话和新建会话能力在业内首屈一指(NPE50 的并发 NAT 会话 200 万条,新建会话 30 万条每秒)。2010 款 NPE 产品全新融入了智能 DNS 和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;集成了 DPI 引擎,让网络管理者轻松应对 P2P 等应用的流量控
2、制;重构了 Web 界面,让 NPE 网络出口引擎的专业在设备管理维护层面变得简化。作为网络出口的专用设备,NPE 系列产品已经广泛应用于政府机关、高校、普教、医疗等各个行业。NPE60 固化提供了 2 个万兆 SFP+接口;8 个光电复用的 GE 口,定位于大型网络出口; NPE50E 固化提供了 8 个光电复用的 GE 口,可扩展 2 个扩展槽,定位于中大型网络出口;NPE40 固化提供了 6 个千兆电口,1 个千兆光口,定位于中小型网络出口。产品特征先进的体系架构NPE 系列网络出口引擎采用多核处理器体系架构,单个处理器内部基于锐捷自主知识产权的虚拟多处理器(vCPU)技术,从而在 x-
3、flow 框架下构建起一个高性能、高稳定的转发平台全新的多核架构在满足高性能、低功耗、高灵活性、易升级的要求下,让 NPE 成功的向更深层次发展。如:更加完善的状态检测防火墙、对 P2P 等应用的流量控制等高性能 NAT由于 IPv4 地址的匮乏,NAT 作为网络出口设备必备功能,随着网络规模和出口带宽的扩大,需要更高速的 NAT,锐捷 NPE 设备,采用 NAT 与 REF(锐捷快速转发)高效配合,并2充分利用 x-flow 技术,实现高速 NAT,NPE 成为网络出口的高性能推力引擎。以 NPE50 为例:每秒高达 30 万条的 NAT 新建连接会话。在 2Gbps 的 NAT 线速转发下
4、,每秒达到新建 7万条 NAT 会话。并发达到 200 万条的 NAT 会话数。如果按照每个网络节点 300 条 NAT 会话,则可以同时支持将近 7000 台的网络节点同时在线。高性能 PBR根据用户制订的策略路由,基于源接口更加灵活的数据包路由转发机制。与功能强大的 ACL 配合使用,可以根据报文的源地址,目的地址,应用协议进行有效组合,实现策略路由。采用流表技术,在启用 QOS、ACL、NAT、PBR 等业务时,实现第一个报文逐条匹配,后续同一条流直接根据流表匹配,无需逐条查询,基于流的处理,使得在 100 条 ACL、PBR 的处理性能和 300 条的 ACL、PBR 的性能没有变化,
5、有效的提高网络出口设备的数据包转发能力。有效的流量控制流量控制是防止某些用户或者应用(如 BT 等 P2P 应用)占用过多的网络资源,使用流量管理用户能够公平使用带宽。对于一些常见的 DOS/DDOS 攻击,在其他防御手段都无效的情况下,流量限制也是一个简单直接的方式。NPE 嵌入了锐捷专业 DPI 引擎,具有丰富的流控功能:采用锐捷自主研发的新一代 DPI 引擎,能够准确识别包括 P2P 应用、IM、炒股软件、流媒体、企业办公、网络游戏等在内的总共 600 种协议;支持基于用户(源 IP 地址)、目标 IP 地址、时间、协议和应用等为参数进行灵活的阻断与允许功能。包括:进行上行与下行带宽控制
6、、进行 Session 数量控制等;3支持组对象的配置,如定义用户组(IP 组)、协议组(如 P2P 协议组、游戏组)对同一类型的应用、相同级别的用户进行带宽管理策略的控制;多链路负载均衡,保证数据转发的最佳路径选择出于对网络出口的性能和可靠性考虑,向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是,对于拥有两条或两条以上的互联网链路的用户,如何既保证多条链路带宽被充分利用不被浪费,又保证对内对外访问所选择的路径是最快速的最优的?NPE 全新融入多链路负载均衡技术,对多个 ISP 链路的可用性和性能进行监督,对双向数据流进行智能路径选择,从而保证用户拥有最佳的互联网接入体验。In
7、bound-智能 DNS 解析:针对 Internet 用户,对网络内部服务器的访问。(比如:政府的政务公开的服务器,高校的精品课程服务器等),NPE 能够通过智能判断访问用户所在运营商,而将访问数据智能解析定位到对应的 ISP 链路上,以加速对服务器的访问。Outbound-锐捷智能选路:针对网络内部用户,对 Internet 资源的访问。简单的,可以通过所访问的目的地址进行区分,访问电信走电信线路,访问网通走网通线路。但是,对于 2 条以上链路,以及同一运营商有多根相同链路情况下(如 2 根电信),是无法区分目的地址的。此时,NPE 能够通过线路带宽大小、线路带宽利用率、链路响应等因素综合
8、分析判断,智能的为用户选择最快速最优的访问线路。4完善的日志记录,基于用户身份的审计功能日志对于网络安全的分析和设备的安全管理非常重要,尤其在配合公安机关进行反向查询和定位安全事件的时候。NPE 针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录,为用户事后分析、审计提供重要信息(日志服务器支持远程 web 查看和检索)。符合公安部 82 号令的 NPE 日志包括:Flow 流日志:源 IP、目的 IP、源端口、目的端口、流起始时间、结束时间、接受字节数,发送字节数等关键信息出口 NAT 日志:经过 NAT 转换前的源 IP 地址、源端口,经过 NAT 转换后的源 IP 地址、源端口,
9、所访问的目的 IP、目的端口、协议、开始时间、结束时间等关键信息设备日志:设备状态,系统事件日志攻击日志:设备网络受到攻击的日志信息和锐捷认证系统(SAM、GSN)无缝对接,将用户认证上网信息和出口日志结合起来,实现快速的用户上网信息统计和违规用户定位。WEB 可视化管理,简单易用NPE 重构了 Web 管理方式,让使用者能够轻松驾驭 NPE 网络出口引擎的强大功能。Web界面主要功能包括:5全网出口流量统计概要视图:包括 NPE 流量视图、用户流量排名视图、应用流量排名视图(top 排名可自定义显示);全功能配置:NAT、路由、VPN 配置;网络安全、用户管理、流量管理配置;中文系统帮助信息
10、;内嵌高效状态防火墙NPE 设备作为网络出口设备集成丰富的防火墙功能:快速包过滤:NPE 提供性能卓越的 ACL 包过滤功能,支持标准和扩展的 ACL 访问控制列表。NPE 采用先进的流表处理技术,利用源 IP、目的 IP、源端口、目的端口、协议号等5 个元素来定义一条流。每秒可以处理和创建的流数量达到 10 万条报文过滤:报文过滤是防火墙最基本的功能,根据安全策略对数据流进行检查,让合法的流量通过,将非法的流量阻止,从而达到访问控制的目的。状态检测:对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。6攻击防
11、御::基于状态检测,NPE 可以防御的各种网络攻击包括:IP 畸形包攻击、IP假冒、TCP 劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood 等。设备软、硬件高可靠性管理控制引擎和转发引擎完全分离:更好的稳定性、更稳定的性能、更容易实现可靠的服务特性关键装置的冗余:1+1 电源冗余、双启动映像文件、双配置文件关键部件热拔插:电源热拔插、风扇热拔插、模块热拔插模块化软件设计:降低软件复杂度,同时将问题隔离在软件模块内;某个软件模块出错,不会让机器崩溃,并支持软件在线升级技术参数技术参数 参数描述产品型号 R
12、G-NPE40 RG-NPE50E RG-NPE60处理器 MIPS 多核处理器 MIPS 多核处理器 MIPS 多核处理器适用网络规模 3000 用户 800010000 用户 1000050000 用户内存 4G 4G 4GFlash 512M 512M 512M包转发率 1.5Mpps 6Mpps 9MppsNAT 并发会话数整机 80 万 整机 200 万 整机 300 万固定接口 6GE 电+1GE 光 8GE 光电复用 8GE 光电复用+2 个万兆口网络协议 l 支持 IPv4/IPv6 双协议栈l 支持 TCP/IP 协议簇,实现了 IP、ICMP、IGMP、TCP 和 UDP等
13、协议l 支持多种路由协议:静态路由、 RIP(V1/V2)、OSPF、BGPl 支持 DHCPClient、DHCP Server7技术参数 参数描述产品型号 RG-NPE40 RG-NPE50E RG-NPE60l 支持 PPPoEl 支持 DNS Client、DNS Staticl 支持 Ping、 Tracert 故障检测l 支持 QoS( PQ、CQ、FIFO、WFQ、CBWFQ 等)ACL 访问控制标准 Acl、扩展 Acl、专家 Acl、时间 AclNAT 功能 l 源 NAT、目的 NAT、静态 NAT、NAPT 、No-NATl 支持多种 NAT ALG,包括 FTP、H.3
14、23、DNS 等VPN 功能 GRE、L2TP、PPTP、IPSec、SSL VPN流量控制 l 支持自主研发的 17 类/600 种应用;可自定义协议识别;l 基于应用/用户/时段的流量控制;l 基于应用/用户/时段的阻断网络安全 l ACL 包过滤l 状态检测机制l 攻击防御:抗内外网攻击、抗 DdoS 攻击等l 流量限制出口日志 l 满足公安部 82 号令要求l 提供对流日志、NAT 日志的记录l 支持出口日志的远程 web 访问和检索l 提供设备日志、攻击日志记录高可用性 l 支持 VRRP、VRRP+ 协议l 支持链路快速检测机制( DLDP)l 支持关键部件热插拔(电源、风扇、业务
15、模块)l 支持关键部件冗余(电源冗余,双启动映像 /双配置文件)管理 l 支持标准 CLI 命令行,支持 Web 界面管理l 支持 SNMPv1/v2/v3l 支持标准 MIB、厂商特定 MIBl 支持 TFTP 升级和配置文件管理、异步文件传输协议 X-MODEM 升级方式 电源 单电源 1+1 冗余 1+1 冗余功率 小于 30W 小于 96W 小于 96W尺寸 1U 2U 2U重量 6KG 15KG 15KG8典型应用应用 1:高校校园网出口/大型园区网网络跑得快,全靠引擎带。NPE 的大并发会话数和高新建能力,为整个网络构建起一条高性能、稳定的出口平台;NPE 的高效能 PBR,为整个
16、网络提供了多出口线路环境下的最快网速访问;开启 NPE 的状态防火墙和 URL 过滤,能有效解决网络攻击的问题,从而搭建一个绿色的安全通道。通过部署 NPE 的日志服务器,记录 NAT 日志和流日志,完全满足了公安部 82 号令的要求。通过 RG-eLog,图形化显示出口流量、用户流量 top 排名,用户会话数创建 top 排名。通过与 eLog、 SAM 的联动,实现基于用户身份的 web 监控(如流量、会话等排名) ,进行直接基于用户身份的行为审计。9订购信息型号 描述RG-NPE40 网络出口引擎NPE40 网络出口引擎,固化 6 个千兆电口,固化 1 个千兆光口,4G 内存,内置风扇,
17、1 个USB2.0 口,1 个 Console 口支持 WEB 界面管理。RG-NPE50E 网络出口引擎RG-NPE50E 网络出口引擎,固化 8 个 GE 光电复用口,内置风扇,可配置 1+1 冗余电源,2个可扩展插槽,1 个 USB 口,1 个 SD 卡接口,1 个 GE 管理口,1 个 Console 口,4G 内存。支持 Web 界面管理。RG-NPE60 网络出口引擎NPE60 网络出口引擎,固化 2 个万兆 SFP+接口,固化 8 个光电复用 GE 口, 4G 内存,内置风扇,标配 1+1 冗余电源,支持 web 界面管理NPE 系列接口配件(线缆或光纤接口)Mini-GBIC-SX 1000BASE-SX mini GBIC 转换模块Mini-GBIC-LX 1000BASE-LX mini GBIC 转换模块Mini-GBIC-LH 1000BASE-LH mini GBIC 转换模块, 40kmMini-GBIC-ZX50 1000BASE-ZX mini GBIC 转换模块, 50kmMini-GBIC-ZX80 1000BASE-ZX mini GBIC 转换模块, 80kmXG-SFP-SR-MM850 万兆 SFP+模块,300mXG-SFP-LR-SM1310 万兆 SFP+模块,10KmFNM-4GE-S 4GE 光电复用扩展模块
