网络出口 EG 易网关技术交流

网络出口网络出口 EGEG 易网关技术交流易网关技术交流多合一中小网络出口版

出口之道，在于化繁为简出口之道，在于化繁为简

锐捷薛红卫

• 网络出口面临的挑战• EG 易网关解决之道• EG 易网关产品特性• 典型应用场景• EG 易网关案例

3

我们都在网络上干什么？

近十五年来，互联网流量演变模型

关于 P2P

5

关于偷菜

• 根据 IDC 的调查，目前在欧洲和美国有 80% 的公司在监控员工的在线行为，而在世界 500 强企业中，绝大多数企业对员工的邮件， MSN 等上网行为进行监控，而且这一举措得到了法律条文上的支持。

6

关于法规

7

• 如何保证网络出口稳定不中断？• 单位网速为何越来越慢？• 员工访问的信息合法吗？如何阻断对黄赌毒网站访问？• 如何阻止访问与工作无关的网站，看电影，游戏，股票等？把单位当成网吧？• 如何配合好公安机关办案？• 如何落实国家整治互联网低俗之风的规定？• ……

问题小结

网上课堂流畅运行！能正常使用视频会议！

VoIP 电话不再断断续续！能随时访问各种资源

能用 BT 下载！

上网速度快！

打游戏不卡！

不掉线

能流畅看电影！

畅想网络新出口 - 用户体验

周末没有故障电话！网络速度快！能监控出口应用状况！

能对用户进行管理

完善的日志记录 / 查询！

出口不出问题！

没有用户投诉！

防止外部攻击 / 入侵

界面友善，易于管理！

畅想网络新出口 - 网络管理体验

• 内容审计，符合公安部要求• 准确定位违法与泄密行为降低法律与泄密风险

• 防止不良网站信息的访问•保护内网计算机安全，杜绝病毒泛滥保障计算机与网络主体安全

•提升员工效率，提高企业生产力• 降低 IT 成本，出口带宽不被无关应用消耗降低成本

•高稳定，高可靠，保证 7*24 小时运行•支撑出口高速数据访问

高速、稳定

何为最佳网络出口？

12

网络出口之道

13

应用控制层识别网络应用基于用户应用的带宽限制数据统计分析

数据转发层高性能 NAT/PBR多链路及智能 DNS 的负载均衡

内部区域RG-S8600RG-S8600

RG-S8600RG-S8600

NPENPE

ACEACE

日志管理层用户上网认证用户上网日志

服务器接入层

RG-RG-WALLWALL

安全防护层DDoS 攻击防御病毒 / 木马 / 异常流量阻断网络性能保障

外网数据中心服务器群

流媒体服务器群

中心托管服务器群

网管服务器群

SAMGSN eLog

托管及虚拟主机群

音频、视频文件及应用

WEB DNS E-mail

eLogeLog SMPSMP

远程接入层IPsec /SSL VPN 接入统一账户管理

Web 防火墙不适用于中小规模网络出口！

传统网络出口架构

14

网络出口

用户Network

中小出口要求：简架构简单管理简单

WEB 管理部署简单

桥接、路由、旁路等多种模式

中小出口要求：繁六大核心功能不可少

路由 /NAT智能流控安全防护URL过滤日志审计内容审计

中小型网络出口：简约不简单

EG 产品家族

EG1000PW

EG1000L

EG1000C

EG1000S

EG1000M

EG1000E

64 位 MIPS 多核架构 -

固化电口 5FE 7GE 7GE 6GE 8GE 8GE

固化光电复用口 - 2GE 2GE 1GE 8GE 8GE+2万兆SFP+

WIFI接入支持(bgn)

- - - - -

内存 256M 512M 1G 2G 4G 4G大容量存储 4G 8G 160G 160G 320G 320G典型带机数 50 100 200 300 1200 4000

典型外网带宽 15M 50M 100M 150M

网络出口

局域网

互联网多链路负载均衡+ 应用路由

智能 DNS

Internet

设备自身强化

上网行为管理内网安全联动

小出口的大智慧

上网加速

智能流控

网络攻击检测防御

1. EG基础高性能

业务能力

L3

L4

L7 •高性能、低功耗•高灵活性、易升级•更容易向深层次应用发展

通用 CPU•灵活的编程平台，能适应各种业务处理。•缺少硬件加速能力。

ASIC•接口集成•基本的报文处理和硬件加密能力

转发性能

网络处理器 :•专用硬件转发引擎，极高的转发性能。•4 到 7 层业务处理能力弱。嵌入式 CPU

•接口集成•有限的报文处理和加密能力

多核 CPU

多核处理器架构

CPU单线程内存访问时延内存访问时延内存访问时延内存访问时延

CPU处理中

硬件线程硬件线程 11




CPU多线程

时间t1 t2

时间节省！

多核 + 多线程 = 高效处理

REF － Ruijie Express Forwarding 锐捷特快交换 REF实现多业务整合，提高业务性能 ,目前整合 ACL ，策略路由， NAT ，

防火墙， QOS 等业务 ; 以 NAT 为例：空间预分配 ( 加大内存基础之上 ) ，优化算法，简化包头校

验，快速地址查找，提高 cache命中，正反向流快速转换；

类线程类线程类线程

接收报文 … 头部检查报文封装 QOS

报文封装FIB ADJ

快速状态处理快速ACL

快速PBR

流创建完整ACL

完整PBR

发送报文

极速路径

快速流路径

完整NAT

完整流路径

快速NAT

锐捷 REF 特快交换

2. EG优化服务质量

• 内置高性能 DPI引擎，超过 600 种协议识别；• 关键应用质量无法保证，如视频会议、 ERP 、 VoIP 、电子邮件、网页浏览；

• 关键用户的网络带宽无法保证；

关键应用保障前后

应用控制，优化带宽资源

即时通讯 P2P下载流媒体网络游戏MSN

企业应用炒股软件BitTorrent QQlive 联众游戏 HTTP

QQ eMule PPlive QQ堂Yahoo通迅雷 PPStream QQ游戏阿里旺旺 eDonkey网易泡泡

FTP

百度下吧

大智慧

新浪 UC

招商证券POP3 江海证券

浩方对战平台国泰君安钱龙魔兽世界酷我天网MAZE 新浪直播疯狂卡丁车超级旋风KUGOO

大话西游传奇股票瞧瞧看通达信

锐捷 EG优势

17 大类 700 多种应用协议识别，识别准确率 90% 以上终生免费特征库更新， HTTP 在线定期自动更新

国内领先的高性能 DPI引擎 : 应用识别全面、准确、更新及时

SMTPLotus-notes

SQL-SERVEROracle

MySQL

飞速土豆

和讯股道REALPLAYERMMS

飞信注：以上为部分应用举例

锐捷自研新一代DPI引擎

• 定位：简单流控；【大型网络，专业流控请使用锐捷 ACE 】• 内置实时流量监控器，无需外部安装管理服务器或流量察看软件1 、基于 vlan 、用户、 IP 、应用设置带宽策略

2 、用户流量、应用流量的排名和管理3 、支持弹性带宽，根据在线用户数调整每用户带宽

4 、支持基于时间的带宽策略5 、应用控制选择示例

流量优化： P2P 控制

EG内部 PC

Link choose=ISP1

200 ms

250 ms

350 ms

全路径健康检查，精确判断用户的链路健康状况路由可用性及链路带宽

锐捷就近性算法，保证出流量的最优化选择，让用户得到最佳的访问体验

确保整个连接的可用性透明 Ping 到目标设备算法 1 、带宽 + 时延 + 负载

算法 2 、线路带宽占比

Outbound优化：多链路负载均衡

SmartNAT功能保证用户接入链路的最优化选择智能 DNS ，确保用户对外业务服务器的完美解析

Internet

ISP A

LAN

ISP B

Internet Client(e.g. home user)

1b

www.domain.edu.cn

智能 DNS配置示例 -web

EG EG

Inbound优化：智能 DNS

EG 内嵌状态检测防火墙EG 支持 URL过滤、内容审计等行为管理功能EG 支持实名制 NAT 日志Web 安全采用锐捷 WG 产品（防止网页被篡改，网站被挂木马）

3. 出口安全保障

内容过滤攻击防御

报文过滤报文过滤：报文过滤：通过访问控制列表（通过访问控制列表（ ACLACL ）实现了灵活的各种）实现了灵活的各种粒度的报文过滤粒度的报文过滤 ,, 包括：标准包括：标准 ACL ACL 、扩展、扩展 ACLACL 。。状态检测：状态检测：基于六元组来识别网络流量，并针对每条网络基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤，包括：报头检种丰富的安全控制和更深粒度的报文过滤，包括：报头检查、查、 IPIP 分片支持、特殊应用协议支持等。分片支持、特殊应用协议支持等。攻击防御：攻击防御：基于状态检测可以防御的各种网络攻击包括：基于状态检测可以防御的各种网络攻击包括：IPIP 畸形包攻击、畸形包攻击、 IPIP 假冒、假冒、 TCPTCP 劫持入侵、劫持入侵、 SYN SYN floodflood 、、 SmurfSmurf 、、 Ping of Ping of DeathDeath 、、 TeardropTeardrop 、、 LandLand 、、 ping floodping flood 、、 UDP FloodUDP Flood等等。等等。

状态检测

本地防攻击策略库

内嵌状态防火墙

4. 行为管理：净化网络环境

军事经济在线聊天网络游戏体育

违反道德旅游成人 WEB通讯赌博毒品

政治文学艺术门户网站毒品教育娱乐色情商业社会生活 BBS 站点商业

搜索引擎犯罪技能

求职招聘

广告

IT类

博客房地产旅游体育儿童政治远程代理法律艺术

游戏科学宗教信仰锐捷 EG优势

41 个大类、 1300 万 URL 条目数据本地化信息采集和分类分析免费更新， HTTP 在线定期自动更新

锐捷自主研发的 URL分类数据库 : 分类准确、覆盖面广、承诺 10 年免费更新

暴力

购物

锐捷自主研发中文 URL 数据库

•范围： BBS 论坛、博客、贴吧 .

•内容：论坛名称、发帖主题、发帖内容

•内容：文件路径、名称、类型、大小、 FTP账号

•审计 / 过滤：基于路径、名称、类型

•范围：SMTP 、 POP3 、WebMail.

•内容：发信人、收信人、主题、正文、附件

•审计 / 过滤：基于敏感关键字、附件类型

•范围：QQ 、 MSN 等即时聊天工具

•内容：未加密聊天内容、上下线记录

即时通讯论坛发帖

邮件 FTP

文件

5. 内容审计，保障安全

33

1 、邮件内容审计

2 、 IM聊天审计

3 、搜索引擎审计

内容审计 WEB页面

• 全 WEB 管理界面 +Step by Step 配置向导 + 帮助选项6. 易管理

35

SSL VPN 与 WEB认证配置界面

• 路由模式

36

• 桥接模式（ EG 内置硬件 BYPAS

S ）• 旁路模式

（适用于网络任何位置）

桥接模式和旁路模式属于即插即用，不需要对其他网络设备做任何变更

交换机

EG 易网关

交换机交换机

EG 易网关

NPE或防火墙

EG 易网关

部署方式

37

EG 易网关客户价值总结

中小学客户主要需求1. 技术力量薄弱，能够简单易用。2. 防止学生对黄赌毒等不良网站的信息访问3. 能够存储公安 /网监检查所需的日志信息4. 能够让带宽有限的出口跑得更快，避免个别老师下 BT拥塞出口EG 易网关对应特色功能1 、锐捷人性化 WEB 界面，带配置向导2 、内置 41 大类 600万条 URL 目录， URL过滤不影响出口数据转发性能；3 、内置硬盘，本地化日志存储，结合设备组织架构管理功能，轻松进行日志审计；4 、能识别超过 600 应用协议，专业的流量控制功能保证关键应用 /用户网络访问最佳体验；

电信ISP

EG1000EG1000

服务器区域服务器区域

科技楼（机房）科技楼（机房）RG-S2924GRG-S2924G

RG-S2924GRG-S2924G

RG-S2924GRG-S2924G

办公楼办公楼

办公区办公区 _A_A

办公区办公区 _B_B

RG-S7604RG-S7604

中小学网络出口

酒店及写字楼网络出口

客房网络

出口

PMS专网酒店办公网络

光纤专线 ADSL

节流节流

行为管理提升工作效率

智能出口优化带宽使用实名审计：Web认证、 SuperVLAN两种方式支持

开源开源 “提升客人体验，让客人满意。”AnyIP 技术：网络即插即用Web推送：客户关怀，就在身边智能流控：“在看新闻，也在下载大文件”

“降低信息化建设成本和运维成本。”

41

RG-S2924G

办公区办公区……

IPSec VPNIPSec VPN 连接连接

EG1000 电信电信网通网通

RG-S2951XG

销售部销售部

分支机构分支机构SSL VPNSSL VPN 连接连接

移动用户移动用户RG-S7610 RG-S7610

RG-S5750 RG-S5750

生产区生产区家属区等家属区等

PBR策略选路

状态防火墙应用控制URL过滤 IPSec/SSL VPN 支持流量管理扩展WLAN

企业客户主要需求1. 稳定可靠不中断，保证业务正常开展；2.专业的应用控制 /流量管理，保证企业关键应用的数据转发速度；3.集成 VPN ，满足移动用户 / 分支机构接入4.避免员工上班时间偷菜…，提升企业效率EG 易网关对应特色功能1 、支持路由 /桥接模式，内置硬件BYPASS2 、超过 600 种协议识别能力，源自锐捷专业流控经验，保证关键应用带宽；3 、全面支持 L2TP 、 IPSec 、 SSL VPN4 、应用控制 / 专业 URL过滤均能进行有效的上网行为管理，杜绝“偷菜”

企业互联网出口网关

42

EG重点适用场景汇总

44

中澳班教研楼

学术报告厅网络中心大楼办公楼

图书馆教学楼

食堂教育网 2M

电信 20M

RG-EG1000S易网关RG-S8606万兆核心交换机

RG-S2628G

RG-S2628G

RG-S2628G

RG-S2652G三台堆叠

RG-S2652G三台堆叠

福州八中

1 、 URL过滤，自研中文 URL 数据库2 、用户管理，组织架构导入

3 、行为审计， URL 记录，站点排名

4 、应用控制、流量管理

八中开启功能示例

46

河南郑州班班通：教育城域网骨干网

班班通出口RG-EG1000S

班班通核心班班通资源服务器

班班通资源服务器

学校节点

运营商托管机房

班班通区级核心

班班通区级出口


市级节点

区级节点

2*100M 互联网

2*100M VPN

10M 互联网

1G VPN

1G VPN

1G VPN

1G 互联网

1G 互联网

运营商MPLS VPN

河南郑州班班通：中等规模学校园区网

学校班班通核心RG-S5750S-24GT/12SFP

教学班教学班备课教室

威科姆教学终端威科姆教学终端备课电脑

接入交换RG-S2026G




教学MPLS VPN

班班通出口EG1000S

江苏泰兴教育城域网

安全接入交换机教育局办公内网

办公区汇聚

可信终端

可信终端

安全接入交换机

学校核心分布式全局安全平台

下属学校

下属学校接入区

乡镇汇聚换机 RG-S7604

乡镇汇聚换机 RG-S7604

学校出口EG 易网关学校核心

学校出口EG 易网关

分布式全局安全平台

HA热备组

数据中心Riil-BMC关键业务管理中心

网络存储系统RG-iS2000

WG 应用保护系统（ WEB 攻击防护）

GSN 全局安全管理平台

服务器汇聚RG-S5750

出口区域

高性能出口引擎RG-NPE50E

流量控制引擎RG-ACE3000出口防火墙泰州市教育局

核心交换机RG-S8614

配 IPFIX模块城域网核心

核心交换机RG-S8614

配 IPFIX模块

ISP 核心防火墙HA热备组

网络出口 EG 易网关技术交流

Documents

Transcript of 网络出口 EG 易网关技术交流