1 / 49

网络出口 EG 易网关技术交流

出口之道,在于化繁为简. 网络出口 EG 易网关技术交流. 多合一中小网络出口版. 锐捷 薛红卫. 网络出口面临的挑战 EG 易网关解决之道 EG 易网关产品特性 典型应用场景 EG 易网关案例. 我们都在网络上干什么?. 关于 P2P. 近十五年来,互联网流量演变模型. 迅雷、 BT 、电驴等 P2P 过度滥用, 导致 无效流量占用大量带宽资源, 网络奇慢!. 关于偷菜. 关于法规.

johnathan-kayden
Télécharger la présentation

网络出口 EG 易网关技术交流

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 出口之道,在于化繁为简 网络出口EG易网关技术交流 多合一中小网络出口版 锐捷 薛红卫

  2. 网络出口面临的挑战 • EG易网关解决之道 • EG易网关产品特性 • 典型应用场景 • EG易网关案例

  3. 我们都在网络上干什么? 3

  4. 关于P2P 近十五年来,互联网流量演变模型 迅雷、BT、电驴等P2P过度滥用, 导致无效流量占用大量带宽资源,网络奇慢!

  5. 关于偷菜 5

  6. 关于法规 • 根据IDC的调查,目前在欧洲和美国有80%的公司在监控员工的在线行为,而在世界500强企业中,绝大多数企业对员工的邮件,MSN等上网行为进行监控,而且这一举措得到了法律条文上的支持。 6

  7. 问题小结 • 如何保证网络出口稳定不中断? • 单位网速为何越来越慢? • 员工访问的信息合法吗?如何阻断对黄赌毒网站访问? • 如何阻止访问与工作无关的网站,看电影,游戏,股票等?把单位当成网吧? • 如何配合好公安机关办案? • 如何落实国家整治互联网低俗之风的规定? • …… 7

  8. 上网 速度快! 网上课堂流畅运行! 能流畅 看电影! VoIP电话不再断断续续! 能正常使用视频会议! 能用BT下载! 打游戏 不卡! 能随时访问各种资源 不掉线 畅想网络新出口-用户体验

  9. 出口不出问题! 防止外部攻击/入侵 周末没有故障电话! 网络速 度快! 能监控出口 应用状况! 完善的日志记录/查询! 没有用户投诉! 能对用户进行管理 界面友善, 易于管理! 畅想网络新出口-网络管理体验

  10. 高稳定,高可靠,保证7*24小时运行 • 支撑出口高速数据访问 高速、稳定 • 提升员工效率,提高企业生产力 • 降低IT成本,出口带宽不被无关应用消耗 降低成本 • 防止不良网站信息的访问 • 保护内网计算机安全,杜绝病毒泛滥 保障计算机与网络主体安全 • 内容审计,符合公安部要求 • 准确定位违法与泄密行为 降低法律与泄密风险 何为最佳网络出口?

  11. 网络出口面临的挑战 • EG易网关解决之道 • EG易网关产品特性 • 典型应用场景 • EG易网关案例

  12. 网络出口之道 12

  13. NPE 传统网络出口架构 不适用于中小规模网络出口! 服务器接入层 数据转发层 高性能NAT/PBR多链路及智能DNS的负载均衡 远程接入层 IPsec /SSL VPN接入 统一账户管理 应用控制层 识别网络应用基于用户应用的带宽限制数据统计分析 Web防火墙 ACE 日志管理层 用户上网认证 用户上网日志 安全防护层 DDoS攻击防御病毒/木马/异常流量阻断网络性能保障 WEB DNS E-mail 托管及虚拟主机群 RG-WALL 外网数据中心服务器群 中心托管服务器群 eLog SMP 音频、视频文件及应用 GSN SAM eLog RG-S8600 RG-S8600 内部区域 流媒体服务器群 网管服务器群 13

  14. 中小型网络出口:简约不简单 网络出口 Network 用户 • 中小出口要求:繁 • 六大核心功能不可少 • 路由/NAT • 智能流控 • 安全防护 • URL过滤 • 日志审计 • 内容审计 • 中小出口要求:简 • 架构简单 • 管理简单 • WEB管理 • 部署简单 • 桥接、路由、旁路等多种模式 14

  15. 网络出口面临的挑战 • EG易网关解决之道 • EG易网关产品特性 • 典型应用场景 • EG易网关案例

  16. EG产品家族

  17. Internet 小出口的大智慧 多链路负载均衡 +应用路由 智能DNS 上网行为管理 内网安全联动 上网加速 智能流控 网络攻击检测防御 互联网 网络出口 设备自身强化 局域网

  18. 1. EG基础高性能

  19. 通用CPU • 灵活的编程平台,能适应各种业务处理。 • 缺少硬件加速能力。 业务能力 L7 • ASIC • 接口集成 • 基本的报文处理和硬件加密能力 L4 • 网络处理器: • 专用硬件转发引擎,极高的转发性能。 • 4到7层业务处理能力弱。 • 嵌入式CPU • 接口集成 • 有限的报文处理和加密能力 L3 转发性能 多核处理器架构 多核CPU • 高性能、低功耗 • 高灵活性、易升级 • 更容易向深层次应用发展

  20. CPU处理中 CPU 单线程 内存访问时延 内存访问时延 内存访问时延 内存访问时延 硬件线程 1 CPU 多线程 硬件线程 2 硬件线程 3 硬件线程 4 时间节省! 时间 t1 t2 多核+多线程=高效处理

  21. 锐捷REF特快交换 类线程 类线程 完整流路径 类线程 流 创建 完整 ACL 完整 PBR 完整 NAT 报文 封装 QOS 快速 NAT 快速 状态 处理 快速 ACL 快速 PBR … 头部 检查 接收 报文 发送报文 快速流路径 报文 封装 FIB ADJ 极速路径 • REF-Ruijie Express Forwarding 锐捷特快交换 • REF实现多业务整合,提高业务性能 ,目前整合ACL,策略路由,NAT,防火墙,QOS等业务 ; • 以NAT为例:空间预分配(加大内存基础之上),优化算法,简化包头校验,快速地址查找,提高cache命中,正反向流快速转换;

  22. 2. EG优化服务质量

  23. 应用控制,优化带宽资源 • 内置高性能DPI引擎,超过600种协议识别; • 关键应用质量无法保证,如视频会议、ERP、VoIP、电子邮件、网页浏览; • 关键用户的网络带宽无法保证; 关键应用保障前后

  24. 锐捷自研新一代DPI引擎 即时通讯 P2P下载 流媒体 网络游戏 企业应用 炒股软件 MSN BitTorrent QQlive 联众游戏 HTTP 大智慧 QQ eMule PPlive QQ堂 FTP 招商证券 Yahoo通 迅雷 PPStream QQ游戏 江海证券 POP3 飞速土豆 国泰君安 阿里旺旺 eDonkey 浩方对战平台 SMTP 网易泡泡 百度下吧 钱龙 酷我 魔兽世界 Lotus-notes 新浪UC 天网MAZE 股票瞧瞧看 新浪直播 疯狂卡丁车 SQL-SERVER 超级旋风 通达信 飞信 REALPLAYER 大话西游 Oracle MMS 和讯股道 KUGOO 传奇 MySQL 注:以上为部分应用举例 锐捷EG优势 国内领先的高性能DPI引擎: 应用识别全面、准确、更新及时 17大类700多种应用协议识别,识别准确率90%以上 终生免费特征库更新,HTTP在线定期自动更新

  25. 流量优化:P2P控制 • 定位:简单流控;【大型网络,专业流控请使用锐捷ACE】 • 内置实时流量监控器,无需外部安装管理服务器或流量察看软件 2、用户流量、应用流量的排名和管理 5、应用控制选择示例 1、基于vlan、用户、IP、应用设置带宽策略 3、支持弹性带宽,根据在线用户数调整每用户带宽 4、支持基于时间的带宽策略

  26. 200 ms Link choose=ISP1 250 ms 350 ms Outbound优化:多链路负载均衡 • 全路径健康检查,精确判断用户的链路健康状况 • 路由可用性及链路带宽 • 锐捷就近性算法,保证出流量的最优化选择,让用户得到最佳的访问体验 • 确保整个连接的可用性 • 透明 Ping 到目标设备 EG 内部PC 算法1、带宽+时延+负载 算法2、线路带宽占比

  27. Internet Client (e.g. home user) Internet ISP A ISP B LAN 1b www.domain.edu.cn Inbound优化:智能DNS • SmartNAT功能保证用户接入链路的最优化选择 • 智能DNS,确保用户对外业务服务器的完美解析 EG EG 智能DNS配置示例-web

  28. 3. 出口安全保障 • EG内嵌状态检测防火墙 • EG支持URL过滤、内容审计等行为管理功能 • EG支持实名制NAT日志 • Web安全采用锐捷WG产品(防止网页被篡改,网站被挂木马)

  29. 内嵌状态防火墙 报文过滤 :通过访问控制列表(ACL)实现了灵活的各种粒度的报文过滤 ,包括:标准ACL 、扩展ACL。 状态检测 :基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤,包括:报头检查 、IP分片支持、特殊应用协议支持等。 攻击防御 :基于状态检测可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。 报文过滤 状态检测 攻击防御 内容过滤 本地防攻击策略库

  30. 4. 行为管理:净化网络环境

  31. 锐捷自主研发中文URL数据库 军事 经济 在线聊天 网络游戏 违反道德 旅游 体育 成人 WEB通讯 赌博 毒品 广告 政治 文学艺术 门户网站 毒品 犯罪技能 博客 教育 娱乐 色情 购物 商业 房地产 儿童 社会生活 BBS站点 搜索引擎 旅游 体育 商业 求职招聘 艺术 政治 远程代理 法律 IT类 游戏 科学 暴力 宗教信仰 锐捷EG优势 锐捷自主研发的URL分类数据库: 分类准确、覆盖面广、承诺10年免费更新 41个大类、1300万URL条目数据 本地化信息采集和分类分析 免费更新, HTTP在线定期自动更新

  32. 5. 内容审计,保障安全 • 范围:SMTP、POP3、WebMail. • 内容:发信人、收信人、主题、正文、附件 • 审计/过滤:基于敏感关键字、附件类型 • 内容:文件路径、名称、类型、大小、FTP账号 • 审计/过滤:基于路径、名称、类型 文件 邮件 FTP • 范围:BBS论坛、博客、贴吧. • 内容:论坛名称、发帖主题、发帖内容 • 范围:QQ、MSN等即时聊天工具 • 内容:未加密聊天内容、上下线记录 即时通讯 论坛发帖

  33. 内容审计WEB页面 1、邮件内容审计 3、搜索引擎审计 2、IM聊天审计 33

  34. 6. 易管理 • 全WEB管理界面+Step by Step 配置向导+帮助选项

  35. SSL VPN与WEB认证配置界面 35

  36. 部署方式 • 旁路模式 • (适用于网络任何位置) • 桥接模式 • (EG内置硬件BYPASS) • 路由模式 NPE或防火墙 EG易网关 EG易网关 EG易网关 交换机 交换机 交换机 • 桥接模式和旁路模式属于即插即用,不需要对其他网络设备做任何变更 36

  37. EG易网关客户价值总结 37

  38. 网络出口面临的挑战 • EG易网关解决之道 • EG易网关产品特性 • 典型应用场景 • EG易网关案例

  39. 中小学网络出口 中小学客户主要需求 1.技术力量薄弱,能够简单易用。 2.防止学生对黄赌毒等不良网站的信息访问 3.能够存储公安/网监检查所需的日志信息 4.能够让带宽有限的出口跑得更快,避免个别老师下BT拥塞出口 ISP 电信 EG1000 办公楼 RG-S2924G EG易网关对应特色功能 1、锐捷人性化WEB界面,带配置向导 2、内置41大类600万条URL目录,URL过滤不影响出口数据转发性能; 3、内置硬盘,本地化日志存储,结合设备组织架构管理功能,轻松进行日志审计; 4、能识别超过600应用协议,专业的流量控制功能保证关键应用/用户网络访问最佳体验; 服务器区域 RG-S7604 RG-S2924G 科技楼(机房) 办公区_A RG-S2924G 办公区_B

  40. 酒店及写字楼网络出口 “提升客人体验,让客人满意。” 开源 光纤专线 ADSL AnyIP技术:网络即插即用 Web推送:客户关怀,就在身边 出口 智能流控:“在看新闻,也在下载大文件” “降低信息化建设成本和运维成本。” 节流 智能出口优化带宽使用 实名审计:Web认证、 SuperVLAN两种方式支持 行为管理提升工作效率 客房网络 酒店办公网络 PMS专网

  41. 企业互联网出口网关 企业客户主要需求 1.稳定可靠不中断,保证业务正常开展; 2.专业的应用控制/流量管理,保证企业关键应用的数据转发速度; 3.集成VPN,满足移动用户/分支机构接入 4.避免员工上班时间偷菜…,提升企业效率 EG1000 电信 分支机构 IPSec VPN连接 PBR策略选路 SSL VPN连接 网通 移动用户 RG-S7610 RG-S7610 EG易网关对应特色功能 1、支持路由/桥接模式,内置硬件BYPASS 2、超过600种协议识别能力,源自锐捷专业流控经验,保证关键应用带宽; 3、全面支持L2TP、IPSec、SSL VPN 4、应用控制/专业URL过滤均能进行有效的上网行为管理,杜绝“偷菜” RG-S5750 RG-S5750 生产区 家属区等 RG-S2924G RG-S2951XG …… 办公区 销售部 • 状态防火墙 • 流量管理 • 扩展WLAN • URL过滤 • 应用控制 • IPSec/SSL VPN支持 41

  42. EG重点适用场景汇总 42

  43. 网络出口面临的挑战 • EG易网关解决之道 • EG易网关产品特性 • 典型应用场景 • EG易网关案例

  44. 福州八中 电信20M RG-S2628G 食堂 教育网2M RG-S2652G 三台堆叠 RG-EG1000S 易网关 RG-S8606 万兆核心交换机 RG-S2652G 三台堆叠 教学楼 RG-S2628G 中澳班 图书馆 RG-S2628G 教研楼 办公楼 网络中心大楼 学术报告厅 44

  45. 八中开启功能示例 1、URL过滤,自研中文URL数据库 2、用户管理,组织架构导入 3、行为审计,URL记录,站点排名 4、应用控制、流量管理

  46. 河南郑州班班通:教育城域网骨干网 1G 互联网 班班通资源服务器 1G 互联网 市级节点 运营商托管机房 1G VPN 1G VPN 运营商MPLS VPN 2*100M VPN 1G VPN 2*100M 互联网 10M 互联网 班班通出口 RG-EG1000S 班班通区级出口 班班通资源服务器 班班通核心 班班通区级核心 班班通资源服务器 区级节点 46 学校节点

  47. 河南郑州班班通:中等规模学校园区网 教学MPLS VPN 班班通出口 EG1000S 学校班班通核心 RG-S5750S-24GT/12SFP 班班通 资源服务器 接入交换 RG-S2026G 接入交换 RG-S2026G 接入交换 RG-S2026G 威科姆教学终端 威科姆教学终端 备课电脑 教学班 教学班 备课教室

  48. 数据中心 网络存储系统 RG-iS2000 Riil-BMC关键业务管理中心 服务器汇聚RG-S5750 HA热备组 GSN全局安全管理平台 乡镇汇聚换机RG-S7604 核心交换机RG-S8614 配IPFIX模块 WG应用保护系统(WEB攻击防护) 学校出口 EG易网关 ISP 学校核心 核心交换机RG-S8614 配IPFIX模块 安全接入交换机 核心防火墙HA热备组 学校出口EG易网关 城域网核心 办公区汇聚 分布式全局 安全平台 可信终端 下属学校 乡镇汇聚换机RG-S7604 学校核心 安全接入交换机 教育局办公内网 可信终端 分布式全局 安全平台 接入区 下属学校 江苏泰兴教育城域网 高性能出口引擎 RG-NPE50E 流量控制引擎 RG-ACE3000 泰州市教育局 出口防火墙 出口区域

More Related