1 前言

 

    隨著網絡的飛速發展，網絡出口設備越來越重要，原有的路由器模式，防火墻模式，服務器模式等逐漸成為網絡出口瓶頸；在國內Ipv4地址匱乏的現實，NAT成為網絡出口必須功能，傳統路由器和防火墻的NAT性能成為出口瓶頸；網絡攻擊的日益猖獗，網絡日志和安全功能成為設備基本功能，對于路由器來說，安全整合性能將大幅下降，成為網絡瓶頸；網絡應用的廣泛，對于帶寬的要求越來越高，性能逐漸成為出口設備的一大關鍵因素。

 

2 NPE產品簡介

 

    NPE（Network outPutEngine，網絡出口引擎）是星網銳捷網絡有限公司在其系統平臺RGOS上自主研發推出網絡出口專用產品。根據網絡出口設備所特有的需求,在基于全新NP架構上進行性能和功能的整合。

 

高性能

 

    NPE基于銳捷特快交換的應用級出口專用設備，其在銳捷特快交換基于流交換的基礎上高效整合NAT,ACL,PBR，流量管理，防火墻等應用級功能，轉發性能超過2Gbps;

 

高可靠

 

    NPE延續RGOS的穩定和可靠性，產品的穩定性得以有效提升。

 

3 NPE產品技術特點

 

3.1 REF

 

    REF（Ruijie Express Forwarding,銳捷特快交換）技術是銳捷網絡吸收業界最新技術，自主創新推出的一種全新的應用業務處理路由交換方案，它具有良好的報文交換性能，業務處理能力和高速的包轉發速率。

 

    REF是一種高級的七層交換技術，它主要是為高性能、多業務的IP網交換設計的。為優化包轉發的路由查找機制和業務處理能力，REF定義了三個主要部件:轉發信息庫（Forwarding Information base）,鄰接表（Adjacency Table）和流交換（Flow Switching）。

 

    轉發信息庫（FIB）是設備決定目標交換的查找表，FIB的條目與IP路由表條目之間有一一對應的關系，即FIB是IP路由表中包含的路由信息的一個鏡像。由于FIB包含了所有必需的路由信息，因此就不用再維護路由高速緩存。當網絡拓撲或路由發生變化時，IP路由表被更新，FIB的內容隨之發生變化。

 

    REF利用鄰接表提供數據包的數據鏈路層重寫所需的信息。FIB中的每一項都指向鄰接表里的某個下一跳中繼段。若相鄰節點間能通過數據鏈路層實現相互轉發，則這些節點被列入鄰接表中。系統一旦發現鄰接關系,就將其寫到鄰接表中，鄰接序列隨時都在生成，每次生成一個鄰接條目，就會為那個鄰接節點預先計算一個鏈路層頭標信息，并把這個鏈路層頭標信息存儲在鄰接表中，當決定路由時，它就指向下一網絡段及相應的鄰接條目。隨后在對數據包進行REF交換時，用它來進行封裝。

 

    流交換（Flow Switching）流交換基于普通五元組流進行擴展處理,以支撐目前的多業務整合,提高業務性能,目前主要整合通常的ACL，策略路由,NAT,防火墻,QOS等業務.借鑒”一次路由,多次交換”的經驗,同時獨創流老化和路由之間互動技術,減少路由變動對流的影響。在目前業務處理中”短連接”業務逐漸增多，使用高速流創建技術，避免出現新建連接的瓶頸。

 

3.2 高速NAT

 

    在IPv4地址匱乏的中國，NAT作為國內網絡出口設備必備的功能，其需要提供高速的NAT,在NPE設備技術上,NAT與REF高效的配合，并充分利用流交換技術，實現高速NAT，使其在作為網絡出口設備的性能上不成為瓶頸：

 

    ·新建連接速率，每秒高達5萬以上的新建連接回話；支持5000人以上同時在線連接。
 

    ·報文轉發速率，在啟動NAT的功能下，報文轉發能力在2Gbps以上。

 

NPE的NAT功能同樣豐富強大：

 

    ·支持NAPT、NAT以及路由的混合使用，滿足各種復雜的網絡地址規劃;
 

    ·支持NAT靜態映射，向外提供WWW、Telnet、FTP等服務；
 

    ·支持NAT Re-routing和反向NAT；
 

    ·提供NAT ALG功能，支持FTP、RTSP、MMS、H.323、SIP等特殊應用協議。

 

3.3 快速ACL

 

    RGOS使用訪問控制列表提供強大的數據流過濾功能。NPE設備RGOS目前支持以下訪問列表：

    ·標準IP訪問控制列表
 

    ·擴展IP訪問控制列表

 

    您可以根據網絡具體情況選擇不同的訪問控制列表對數據流進行控制。ACLs 的全稱為接入控制列表(Access Control Lists)，也稱為訪問列表（Access Lists），在有的文檔中還稱之為包過濾。ACLs通過定義一些規則對網絡設備接口上的數據報文進行控制：允許通過或丟棄。

 

    對數據流進行過濾可以限制網絡中的通訊數據的類型，限制網絡的使用者或使用的設備。安全ACLs 在數據流通過網絡設備時對其進行分類過濾，并對從指定接口輸入或者輸出的數據流進行檢查，根據匹配條件(Conditions)決定是允許其通過(Permit)還是丟棄(Deny)。

 

    ACLs 由一系列的表項組成，我們稱之為接入控制列表表項(Access Control Entry：ACE)。每個接入控制列表表項都申明了滿足該表項的匹配條件及行為。

 

    訪問列表規則可以針對數據流的源地址、目標地址、上層協議，時間區域等信息。

 

    在NPE設備上，將ACL和流交換高效的整合，實現ACL和ACE數目多少對于數據轉發接近零影響，有效的提高網絡出口設備的數據包轉發能力。

 

3.4 高速策略路由

 

    策略路由是一種比基于目標網絡進行路由更加靈活的數據包路由轉發機制。應用了策略路由，設備將通過路由圖決定如何對需要路由的數據包進行處理，路由圖決定了一個數據包的下一跳轉發設備。

 

    應用策略路由，必須要指定策略路由使用的路由圖，并且要創建路由圖。一個路由圖由很多條策略組成，每個策略都定義了1個或多個的匹配規則和對應操作。一個接口應用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由圖任何策略的數據包將按照通常的路由轉發進行處理，符合路由圖中某個策略的數據包就按照該策略中定義的操作進行處理。

 

    NPE設備上，將策略路由與流交換高效整合，實現PBR規則數目多少對于數據轉發接近零影響，有效的提高網絡出口設備的數據包轉發能力。

 

3.5 流量控制

 

    流量限制是防止某些用戶或者應用（如BT等P2P應用）占用過多的網絡資源，使用流量管理用戶能夠公平使用帶寬。對于一些常見的DOS/DDOS攻擊，在其他防御手段都無效的情況下，流量限制是一個簡單直接的方式。

 

NPE具有豐富的流量控制功能：

    ·帶寬限制：可以提供從基于接口的粗粒度，到基于策略的每用戶細粒度的帶寬限制；
 

    ·并發會話數限制：基于策略的或者每用戶的并發會話數限制；
 

    ·新建會話速率限制：基于策略的或者每用戶的新建會話速率限制；

 

3.5 IPFIX

 

    IPFIX全稱為IP Flow Information eXport，即IP流信息輸出，它是由IETF公布的用于網絡中的流信息測量的標準協議。它使網絡中流量統計信息的格式標準化。該協議可工作于任何廠商的網絡設備和管理系統平臺之上,并用于輸出基于網絡設備的流量統計信息。這使得網絡管理員很容易地提取和查看存儲在網絡設備中的重要流量統計信息。

 

    使能IPFIX流統計功能的路由器/交換機對報文中很多信息進行統計,包括三層協議類型、傳輸層端口、源/目的地址、服務類型等，IPFIX的主要應用有：

 

    網絡應用和用戶檢測
 

    網絡規劃
 

    安全分析和攻擊檢測
 

    流量計費

 

NPE IPFIX主要包含如下功能：

 

    ·主模式流記錄輸出

 

    ·主模式緩存：主模式緩存用來保存原始的流記錄信息，每個流記錄表項的大小是固定的，系統為每個活躍的流創建一個流記錄表項，記錄該流的特征信息及統計信息。

 

    ·流聚合緩存支持：一個流聚合模式，就是通過其定義的特定關鍵字段，對主模式的流進行重新的聚合產生新的流。系統為這些聚合模式保留一定的緩存，類似于主緩存，這里稱作流聚合緩存。NPE系統中支持以下九種流聚合模式：

    Destination Prefix 聚合模式
 

    Prefix 聚合模式
 

    Protocol Port聚合模式
 

    Source Prefix聚合模式
 

    Destination Prefix-ToS聚合模式
 

    Prefix-port聚合模式
 

    Prefix-ToS聚合模式
 

    Protocol-port-ToS聚合模式
 

    Source Prefix-ToS聚合模式

 

    ·多種流過濾采樣機制支持：支持基于ACL對特定流采樣、隨機采樣和采樣幾率配置等多種方式。

 

3.6日志管理

 

    日志對于網絡安全的分析和安全設備的管理非常重要。NPE針對各種網絡攻擊和安全威脅進行日志記錄，采用統一的格式，支持本地查看的同時，還能夠通過統一的輸出接口將日志發送到日志服務器，為用戶事后分析、審計提供重要信息。

 

NPE日志包括：

    ·設備日志：設備狀態，系統事件日志
 

    ·上網記錄日志：基于五元組的上網記錄日志
 

    ·攻擊日志：設備網絡受到攻擊的日志信息

 

3.7 內嵌防火墻

 

NPE設備作為網絡出口設備集成防火墻功能：

 

    ·報文過濾：報文過濾是防火墻最基本的功能，它根據安全策略對數據流進行檢查，讓合法的流量通過，將非法的流量阻止，從而達到訪問控制的目的。

 

    ·狀態檢測：對基于六元組來識別網絡流量，并針對每條網絡流量建立從二層至七層的狀態信息。并基于這些狀態信息進行各種豐富的安全控制和更深粒度的報文過濾。

 

    ·TCP狀態跟蹤與檢查：跟蹤轉發TCP流量的狀態，阻斷非法的TCP狀態遷移，過濾帶有錯誤順序號的TCP報文，有效防止TCP會話劫持，TCP重放等一類的入侵。

 

    ·特殊應用協議支持：如FTP、H.323、MMS、RTSP、SIP等協議，這些協議的數據通道是通過命令通道動態建立的，其中的端口是隨機的。如果簡單地打開所有可能的端口，但這樣就大大降低了防火墻的安全性。NPE能夠根據用戶定制的策略來對這些特殊應用建立狀態，并進行端口偵測，并解析出建立數據通道的端口，建立數據通道的連接，這樣屬于數據通道的數據流就能夠穿過NPE，并且不會打開更多額外的端口。

 

    ·攻擊防御:：基于狀態檢測，NPE可以防御的各種網絡攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。

 

    ·內容過濾：NPE能夠針對URL地址進行靈活地分類，并應用到各種策略上，實現基于用戶策略的URL訪問過濾。以后還將支持與內容過濾服務器的聯動來提供更深粒度的網絡內容過濾。