1 媒介

 

    随着网络的飞速发展，网络出口设备越来越沉要，原有的路由器模式，防火墙模式，服务器模式等逐步成为网络出口瓶颈；在国内Ipv4地址匮乏的现实，NAT成为网络出口必须职能，传统路由器和防火墙的NAT机能成为出口瓶颈；网络攻击的日益疯狂，网络日志和安全职能成为设备根基职能，对于路由器来说，安全整合机能将大幅降落，成为网络瓶颈；网络利用的宽泛，对于带宽的要求越来越高，机能逐步成为出口设备的一大关键成分
。

 

2 NPE产品简介

 

    NPE（Network outPutEngine，网络出口引擎）是星网iSlot官方网站网络有限公司在其系统平台RGOS上自主研发推出网络出口专用产品
。凭据网络出口设备所特有的需要,在基于全新NP架构上进行机能和职能的整合
。

 

高机能

 

    NPE基于iSlot官方网站特快互换的利用级出口专用设备，其在iSlot官方网站特快互换基于流互换的基础上高效整合NAT,ACL,PBR，流量治理，防火墙蹬爪用级职能，转发机能超过2Gbps;

 

高靠得住

 

    NPE一连RGOS的不变和靠得住性，产品的不变性得以有效提升
。

 

3 NPE产品技术特点

 

3.1 REF

 

    REF（Ruijie Express Forwarding,iSlot官方网站特快互换）技术是iSlot官方网站网络吸收业界最新技术，自主创新推出的一种全新的利用业务处置路由互换规划，它拥有优良的报文互换机能，业务处置能力和高速的包转发速度
。

 

    REF是一种高级的七层互换技术，它重要是为高机能、多业务的IP网互换设计的
。为优化包转发的路由查找机造和业务处置能力，REF界说了三个重要部件:转发信息库（Forwarding Information base）,邻接表（Adjacency Table）和流互换（Flow Switching）
。

 

    转发信息库（FIB）是设备决定指标互换的查找表，FIB的条款与IP路由表条款之间有逐一对应的关系，即FIB是IP路由表中蕴含的路由信息的一个镜像
。由于FIB蕴含了所有必须的路由信息，因而就不用再守护路由高速缓存
。当网络拓扑或路由产生变动时，IP路由表被更新，FIB的内容随之产生变动
。

 

    REF利用邻接表提供数据包的数据链路层沉写所需的信息
。FIB中的每一项都指向邻接内外的某个下一跳中继段
。若相邻节点间能通过数据链路层实现相互转发，则这些节点被列入邻接表中
。系统一旦发现邻接关系,就将其写到邻接表中，邻接序列随时都在天生，每次天生一个邻接条款，就会为那个邻接节点预先推算一个链路层头标信息，并把这个链路层头标信息存储在邻接表中，当决定路由时，它就指向下一网络段及相应的邻接条款
。随后在对数据包进行REF互换时，用它来进行封装
。

 

    流互换（Flow Switching）流互换基于通常五元组流进行扩大处置,以支持目前的多业务整合,提高业务机能,目前重要整合通常的ACL，战术路由,NAT,防火墙,QOS等业务.借鉴”一次路由,屡次互换”的经验,同时独创流老化和路由之间互动技术,削减路由改观对流的影响
。在目前业务处置中”短衔接”业务逐步增多，使用高速流创建技术，预防出现新建衔接的瓶颈
。

 

3.2 高速NAT

 

    在IPv4地址匮乏的中国，NAT作为国内网络出口设备必备的职能，其必要提供高速的NAT,在NPE设备技术上,NAT与REF高效的共同，并充分利用流互换技术，实现高速NAT，使其在作为网络出口设备的机能上不成为瓶颈：

 

    ·新建衔接速度，每秒高达5万以上的新建衔接回话；支持5000人以上同时在线衔接
。
 

    ·报文转发速度，在启动NAT的职能下，报文转发能力在2Gbps以上
。

 

NPE的NAT职能同样丰强盛大：

 

    ·支持NAPT、NAT以及路由的混合使用，满足各类复杂的网络地址规划;
 

    ·支持NAT静态映射，向表提供WWW、Telnet、FTP等服务；
 

    ·支持NAT Re-routing和反向NAT；
 

    ·提供NAT ALG职能，支持FTP、RTSP、MMS、H.323、SIP等特殊利用和谈
。

 

3.3 急剧ACL

 

    RGOS使用接见节造列表提供壮大的数据流过滤职能
。NPE设备RGOS目前支持以下接见列表：

    ·尺度IP接见节造列表
 

    ·扩大IP接见节造列表

 

    您能够凭据网络具体情况选择分歧的接见节造列表对数据流进行节造
。ACLs 的全称为接入节造列表(Access Control Lists)，也称为接见列表（Access Lists），在有的文档中还称之为包过滤
。ACLs通过界说一些规定对网络设备接口上的数据报文进行节造：允许通过或抛弃
。

 

    对数据流进行过滤能够限度网络中的通讯数据的类型，限度网络的使用者或使用的设备
。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行查抄，凭据匹配前提(Conditions)决定是允许其通过(Permit)还是抛弃(Deny)
。

 

    ACLs 由一系列的表项组成，我们称之为接入节造列表表项(Access Control Entry：ACE)
。每个接入节造列表表项都申了然满足该表项的匹配前提及行为
。

 

    接见列表规定能够针对数据流的源地址、指标地址、上层和谈，功夫区域等信息
。

 

    在NPE设备上，将ACL和流互换高效的整合，实现ACL和ACE数量几多对于数据转发靠近零影响，有效的提高网络出口设备的数据包转发能力
。

 

3.4 高速战术路由

 

    战术路由是一种比基于指标网络进行路由越发矫捷的数据包路由转发机造
。利用了战术路由，设备将通过路由图决定若何对必要路由的数据包进行处置，路由图决定了一个数据包的下一跳转发设备
。

 

    利用战术路由，必必要指定战术路由使用的路由图，并且要创建路由图
。一个路由图由好多条战术组成，每个战术都界说了1个或多个的匹配规定和对应操作
。一个接口利用战术路由后，将对该接口接管到的所有包进行查抄，不切合路由图任何战术的数据包将依照通常的路由转发进行处置，切合路由图中某个战术的数据包就依照该战术中界说的操作进行处置
。

 

    NPE设备上，将战术路由与流互换高效整合，实现PBR规定数量几多对于数据转发靠近零影响，有效的提高网络出口设备的数据包转发能力
。

 

3.5 流量节造

 

    流量限度是预防某些用户或者利用（如BT等P2P利用）占用过多的网络资源，使用流量治理用户可能平正使用带宽
。对于一些常见的DOS/DDOS攻击，在其他防御伎俩都无效的情况下，流量限度是一个单一向接的方式
。

 

NPE拥有丰硕的流量节造职能：

    ·带宽限度：能够提供从基于接口的粗粒度，到基于战术的每用户细粒度的带宽限度；
 

    ·并发会话数限度：基于战术的或者每用户的并发会话数限度；
 

    ·新建会话速度限度：基于战术的或者每用户的新建会话速度限度；

 

3.5 IPFIX

 

    IPFIX全称为IP Flow Information eXport，即IP流信息输出，它是由IETF颁布的用于网络中的流信息丈量的尺度和谈
。它使网络中流量统计信息的体式尺度化
。该和谈可工作于任何厂商的网络设备和治理系统平台之上,并用于输出基于网络设备的流量统计信息
。这使得网络治理员很容易地提取和查看存储在网络设备中的沉要流量统计信息
。

 

    使能IPFIX流统计职能的路由器/互换机对报文中好多信息进行统计,蕴含三层和谈类型、传输层端口、源/主张地址、服务类型等，IPFIX的重要利用有：

 

    网络利用和用户检测
 

    网络规划
 

    安全分析和攻击检测
 

    流量计费

 

NPE IPFIX重要蕴含如下职能：

 

    ·主模式流纪录输出

 

    ·主模式缓存：主模式缓存用来保留原始的流纪录信息，每个流纪录表项的大幼是固定的，系统为每个活跃的流创建一个流纪录表项，纪录该流的特点信息及统计信息
。

 

    ·流聚合缓存支持：一个流聚合模式，就是通过其界说的特定关键字段，对主模式的流进行沉新的聚合产生新的流
。系统为这些聚合模式保留肯定的缓存，类似于主缓存，这里称作流聚合缓存
。NPE系统中支持以下九种流聚合模式：

    Destination Prefix 聚合模式
 

    Prefix 聚合模式
 

    Protocol Port聚合模式
 

    Source Prefix聚合模式
 

    Destination Prefix-ToS聚合模式
 

    Prefix-port聚合模式
 

    Prefix-ToS聚合模式
 

    Protocol-port-ToS聚合模式
 

    Source Prefix-ToS聚合模式

 

    ·多种流过滤采样机造支持：支持基于ACL对特定流采样、随机采样和采样几率配置等多种方式
。

 

3.6日志治理

 

    日志对于网络安全的分析和安全设备的治理极度沉要
。NPE针对各类网络攻击和安全威胁进行日志纪录，选取统一的体式，支持本地查看的同时，还可能通过统一的输出接口将日志发送到日志服务器，为用户过后分析、审计提供沉要信息
。

 

NPE日志蕴含：

    ·设备日志：设备状态，系统事务日志
 

    ·上网纪录日志：基于五元组的上网纪录日志
 

    ·攻击日志：设备网络受到攻击的日志信息

 

3.7 内嵌防火墙

 

NPE设备作为网络出口设备集成防火墙职能：

 

    ·报文过滤：报文过滤是防火墙最根基的职能，它凭据安全战术对数据流进行查抄，让合法的流量通过，将犯法的流量阻止，从而达到接见节造的主张
。

 

    ·状态检测：对基于六元组来鉴别网络流量，并针对每条网络流量成立从二层至七层的状态信息
。并基于这些状态信息进行各类丰硕的安全节造和更深粒度的报文过滤
。

 

    ·TCP状态跟踪与查抄：跟踪转发TCP流量的状态，阻断犯法的TCP状态迁徙，过滤带有谬误挨次号的TCP报文，有效预防TCP会话劫持，TCP沉放等一类的入侵
。

 

    ·特殊利用和谈支持：如FTP、H.323、MMS、RTSP、SIP等和谈，这些和谈的数据通路是通过号令通路动态成立的，其中的端口是随机的
。若是单一地打开所有可能的端口，但这样就大大降低了防火墙的安全性
。NPE可能凭据用户定造的战术来对这些特殊利用成立状态，并进行端口侦测，并解析出成立数据通路的端口，成立数据通路的衔接，这样属于数据通路的数据流就可能穿过NPE，并且不会打开更多额表的端口
。

 

    ·攻击防御:：基于状态检测，NPE能够防御的各类网络攻击蕴含：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等
。

 

    ·内容过滤：NPE可能针对URL地址进行矫捷地分类，并利用到各类战术上，实现基于用户战术的URL接见过滤
。以来还将支持与内容过滤服务器的联动来提供更深粒度的网络内容过滤
。