1 前言

 

    随着网络的飞速生长
，网络出口装备越来越主要
，原有的路由器模式
，防火墙模式
，效劳器模式等逐渐成为网络出口瓶颈；在海内Ipv4地点匮乏的现实
，NAT成为网络出口必需功效
，古板路由器和防火墙的NAT性能成为出口瓶颈；网络攻击的日益放纵
，网络日志和清静功效成为装备基本功效
，关于路由器来说
，清静整合性能将大幅下降
，成为网络瓶颈；网络应用的普遍
，关于带宽的要求越来越高
，性能逐渐成为出口装备的一大概害因素。

 

2 NPE产品简介

 

    NPE（Network outPutEngine
，网络出口引擎）是星网55世纪网络有限公司在其系统平台RGOS上自主研发推出网络出口专用产品。凭证网络出口装备所特有的需求,在基于全新NP架构上举行性能和功效的完善整合。

 

高性能

 

    NPE基于55世纪特快交流的应用级出口专用装备
，其在55世纪特快交流基于流交流的基础上高效整合NAT,ACL,PBR
，流量治理
，防火墙等应用级功效
，转发性能凌驾2Gbps;

 

高可靠

 

    NPE延续RGOS的稳固和可靠性
，产品的稳固性得以有用提升。

 

3 NPE产品手艺特点

 

3.1 REF

 

    REF（Ruijie Express Forwarding,55世纪特快交流）手艺是55世纪网络吸收业界最新手艺
，自主立异推出的一种全新的应用营业处置惩罚路由交流计划
，它具有优异的报文交流性能
，营业处置惩罚能力和极高的包转发速率。

 

    REF是一种高级的七层交流手艺
，它主要是为高性能、多营业的IP网交流设计的。为优化包转发的路由查找机制和营业处置惩罚能力
，REF界说了三个主要部件:转发信息库（Forwarding Information base）,毗邻表（Adjacency Table）和流交流（Flow Switching）。

 

    转发信息库（FIB）是装备决议目的交流的查找表
，FIB的条目与IP路由表条目之间有逐一对应的关系
，即FIB是IP路由表中包括的路由信息的一个镜像。由于FIB包括了所有必需的路由信息
，因此就不必再维护路由高速缓存。当网络拓扑或路由爆发转变时
，IP路由表被更新
，FIB的内容随之爆发转变。

 

    REF使用毗邻表提供数据包的数据链路层重写所需的信息。FIB中的每一项都指向毗邻内外的某个下一跳中继段。若相邻节点间能通过数据链路层实现相互转发
，则这些节点被列入毗邻表中。系统一旦发明毗邻关系,就将其写到毗邻表中
，毗邻序列随时都在天生
，每次天生一个毗邻条目
，就会为谁人毗邻节点预先盘算一个链路层头标信息
，并把这个链路层头标信息存储在毗邻表中
，当决议路由时
，它就指向下一网络段及响应的毗邻条目。随后在对数据包举行REF交流时
，用它来举行封装。

 

    流交流（Flow Switching）流交流基于通俗五元组流举行扩展处置惩罚,以支持现在的多营业整合,提高营业性能,现在主要整合通常的ACL
，战略路由,NAT,防火墙,QOS等营业.借鉴”一次路由,多次交流”的履历,同时独创流老化和路由之间互下手艺,镌汰路由变换对流的影响。在现在营业处置惩罚中”短毗连”营业逐渐增多
，使用极速流建设手艺
，阻止泛起新建毗连的瓶颈。

 

3.2 高速NAT

 

    在IPv4地点匮乏的中国
，NAT作为海内网络出口装备必备的功效
，其需要提供高速的NAT,在NPE装备手艺上,NAT与REF高效的配合
，并充分使用流交流手艺
，实现高速NAT
，使其在作为网络出口装备的性能上不可为瓶颈：

 

    ·新建毗连速率
，每秒高达5万以上的新建毗连回话；支持5000人以上同时在线毗连。
 

    ·报文转发速率
，在启动NAT的功效下
，报文转发能力在2Gbps以上。

 

NPE的NAT功效同样富厚强盛：

 

    ·支持NAPT、NAT以及路由的混淆使用
，知足种种重大的网络地点妄想;
 

    ·支持NAT静态映射
，向外提供WWW、Telnet、FTP等效劳；
 

    ·支持NAT Re-routing和反向NAT；
 

    ·提供NAT ALG功效
，支持FTP、RTSP、MMS、H.323、SIP等特殊应用协议。

 

3.3 快速ACL

 

    RGOS使用会见控制列表提供强盛的数据流过滤功效。NPE装备RGOS现在支持以下会见列表：

    ·标准IP会见控制列表
 

    ·扩展IP会见控制列表

 

    您可以凭证网络详细情形选择差别的会见控制列表对数据流举行控制。ACLs 的全称为接入控制列表(Access Control Lists)
，也称为会见列表（Access Lists）
，在有的文档中还称之为包过滤。ACLs通过界说一些规则对网络装备接口上的数据报文举行控制：允许通过或扬弃。

 

    对数据流举行过滤可以限制网络中的通讯数据的类型
，限制网络的使用者或使用的装备。清静ACLs 在数据流通过网络装备时对其举行分类过滤
，并对从指定接口输入或者输出的数据流举行检查
，凭证匹配条件(Conditions)决议是允许其通过(Permit)照旧扬弃(Deny)。

 

    ACLs 由一系列的表项组成
，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都说明晰知足该表项的匹配条件及行为。

 

    会见列表规则可以针对数据流的源地点、目的地点、上层协议
，时间区域等信息。

 

    在NPE装备上
，将ACL和流交流高效的整合
，实现ACL和ACE数目几多关于数据转发靠近零影响
，有用的提高网络出口装备的数据包转发能力。

 

3.4 高速战略路由

 

    战略路由是一种比基于目的网络举行路由越发无邪的数据包路由转发机制。应用了战略路由
，装备将通过路由图决议怎样对需要路由的数据包举行处置惩罚
，路由图决议了一个数据包的下一跳转发装备。

 

    应用战略路由
，必需要指定战略路由使用的路由图
，并且要建设路由图。一个路由图由许多条战略组成
，每个战略都界说了1个或多个的匹配规则和对应操作。一个接口应用战略路由后
，将对该接口吸收到的所有包举行检查
，不切合路由图任何战略的数据包将凭证通常的路由转发举行处置惩罚
，切合路由图中某个战略的数据包就凭证该战略中界说的操作举行处置惩罚。

 

    NPE装备上
，将战略路由与流交流高效整合
，实现PBR规则数目几多关于数据转发靠近零影响
，有用的提高网络出口装备的数据包转发能力。

 

3.5 流量控制

 

    流量限制是避免某些用户或者应用（如BT等P2P应用）占用过多的网络资源
，使用流量治理用户能够公正使用带宽。关于一些常见的DOS/DDOS攻击
，在其他防御手段都无效的情形下
，流量限制是一个简朴直接的方法。

 

NPE具有富厚的流量控制功效：

    ·带脱期制：可以提供从基于接口的粗粒度
，到基于战略的每用户细粒度的带脱期制；
 

    ·并发会话数限制：基于战略的或者每用户的并发会话数限制；
 

    ·新建会话速率限制：基于战略的或者每用户的新建会话速率限制；

 

3.5 IPFIX

 

    IPFIX全称为IP Flow Information eXport
，即IP流信息输出
，它是由IETF宣布的用于网络中的流信息丈量的标准协议。它使网络中流量统计信息的名堂标准化。该协议可事情于任何厂商的网络装备和治理系统平台之上,并用于输出基于网络装备的流量统计信息。这使得网络治理员很容易地提取和审查存储在网络装备中的主要流量统计信息。

 

    使能IPFIX流统计功效的路由器/交流机对报文中许多信息举行统计,包括三层协议类型、传输层端口、源/目的地点、效劳类型等
，IPFIX的主要应用有：

 

    网络应用和用户检测
 

    网络妄想
 

    清静剖析和攻击检测
 

    流量计费

 

NPE IPFIX主要包括如下功效：

 

    ·主模式流纪录输出

 

    ·主模式缓存：主模式缓存用来生涯原始的流纪录信息
，每个流纪录表项的巨细是牢靠的
，系统为每个活跃的流建设一个流纪录表项
，纪录该流的特征信息及统计信息。

 

    ·流聚合缓存支持：一个流聚合模式
，就是通过其界说的特定要害字段
，对主模式的流举行重新的聚合爆发新的流。系统为这些聚合模式保存一定的缓存
，类似于主缓存
，这里称作流聚合缓存。NPE系统中支持以下九种流聚合模式：

    Destination Prefix 聚合模式
 

    Prefix 聚合模式
 

    Protocol Port聚合模式
 

    Source Prefix聚合模式
 

    Destination Prefix-ToS聚合模式
 

    Prefix-port聚合模式
 

    Prefix-ToS聚合模式
 

    Protocol-port-ToS聚合模式
 

    Source Prefix-ToS聚合模式

 

    ·多种流过滤采样机制支持：支持基于ACL对特定流采样、随机采样和采样几率设置等多种方法。

 

3.6日志治理

 

    日志关于网络清静的剖析和清静装备的治理很是主要。NPE针对种种网络攻击和清静威胁举行日志纪录
，接纳统一的名堂
，支持外地审查的同时
，还能够通过统一的输出接口将日志发送到日志效劳器
，为用户事后剖析、审计提供主要信息。

 

NPE日志包括：

    ·装备日志：装备状态
，系统事务日志
 

    ·上网纪录日志：基于五元组的上网纪录日志
 

    ·攻击日志：装备网络受到攻击的日志信息

 

3.7 内嵌防火墙

 

NPE装备作为网络出口装备集成防火墙功效：

 

    ·报文过滤：报文过滤是防火墙最基本的功效
，它凭证清静战略对数据流举行检查
，让正当的流量通过
，将不法的流量阻止
，从而抵达会见控制的目的。

 

    ·状态检测：对基于六元组来识别网络流量
，并针对每条网络流量建设从二层至七层的状态信息。并基于这些状态信息举行种种富厚的清静控制和更深粒度的报文过滤。

 

    ·TCP状态跟踪与检查：跟踪转发TCP流量的状态
，阻断不法的TCP状态迁徙
，过滤带有过失顺序号的TCP报文
，有用避免TCP会话挟制
，TCP重放等一类的入侵。

 

    ·特殊应用协议支持：如FTP、H.323、MMS、RTSP、SIP等协议
，这些协议的数据通道是通过下令通道动态建设的
，其中的端口是随机的。若是简朴地翻开所有可能的端口
，但这样就大大降低了防火墙的清静性。NPE能够凭证用户定制的战略来对这些特殊应用建设状态
，并举行端口侦测
，并剖析出建设数据通道的端口
，建设数据通道的毗连
，这样属于数据通道的数据流就能够穿过NPE
，并且不会翻开更多特另外端口。

 

    ·攻击防御:：基于状态检测
，NPE可以防御的种种网络攻击包括：IP畸形包攻击、IP冒充、TCP挟制入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。

 

    ·内容过滤：NPE能够针对URL地点举行无邪地分类
，并应用到种种战略上
，实现基于用户战略的URL会见过滤。以后还将支持与内容过滤效劳器的联动来提供更深粒度的网络内容过滤。