(國際貿(mào)易)校園網(wǎng)出口解決方案

校園出口設(shè)計(jì)解決方案項(xiàng)目小組：CRZ.FZU小組成員：詹長貴、陳志洲、榮融目錄TOC\o"1-5"\h\z1.校園網(wǎng)出口設(shè)計(jì)的重要性22.當(dāng)前校園網(wǎng)出口面臨的挑戰(zhàn)32.1多出口支持挑戰(zhàn)32.2NAT性能挑戰(zhàn)32.3安全防御挑戰(zhàn)42.4流量控制挑戰(zhàn)42.5內(nèi)容審計(jì)挑戰(zhàn)42.6高可靠挑戰(zhàn)42.7擴(kuò)展挑戰(zhàn)4選擇的拓?fù)浞桨?方案分析5雙出口設(shè)計(jì)5RSR-16E匯總出口數(shù)據(jù)6ACE3000+NPE50的完美組合錯(cuò)誤!未定義書簽。4.3.1RG-ACE300084.3.2NPE5011實(shí)現(xiàn)的技術(shù)155.1NAT技術(shù)155.2PPTPVPN技術(shù)155.3策略路由技術(shù)165.4IPv6overGRE隧道技術(shù)165.5訪問控制技術(shù)177.產(chǎn)品的配件18RSR-16E配件18附件：19RSR-16E技術(shù)參數(shù)19校園出口設(shè)計(jì)解決方案第一章校園網(wǎng)出口設(shè)計(jì)的重要性目前各高校對校園網(wǎng)的建設(shè)非常重視，大多數(shù)都建成了一個(gè)能滿足數(shù)字、語音、圖像等多媒體信息以及綜合科研信息傳輸和處理需要的千兆以太綜合數(shù)字網(wǎng)。校園網(wǎng)大都采用了千兆以太網(wǎng)技術(shù)，百兆到桌面，網(wǎng)絡(luò)結(jié)構(gòu)為核心層、匯聚層和接入層三大部分。隨著各種網(wǎng)絡(luò)教育實(shí)踐活動(dòng)的廣泛開展，如網(wǎng)絡(luò)辦公、遠(yuǎn)程教學(xué)、科研工作、網(wǎng)上招生和在線培訓(xùn)考試等。同時(shí)，校園網(wǎng)內(nèi)部用戶也需要對外網(wǎng)資源的訪問。出口，在世界數(shù)字化得今天，是我們通往世界的橋梁！第二章當(dāng)前校園網(wǎng)出口面臨的挑戰(zhàn)2.1多出口支持挑戰(zhàn)當(dāng)前大部分國內(nèi)高校校園網(wǎng)出口都采用多出口的架構(gòu),原因是:提高訪問不同網(wǎng)絡(luò)資源的速度。和電信、網(wǎng)通等運(yùn)營商互聯(lián)僅在北京、上海、廣州三地有交換中心,且?guī)捯膊粔蚋?這就給教育網(wǎng)訪問公網(wǎng),運(yùn)營商網(wǎng)訪問教育網(wǎng)帶來瓶頸,需要采用多出口提高訪問速度。解決線路備份問題,避免出現(xiàn)單出口的單點(diǎn)故障。多出口的架構(gòu)一般在實(shí)際應(yīng)用中,需要出口設(shè)備支持多元素匹配的策略路由功能,而且實(shí)際應(yīng)用的策略路由的規(guī)則數(shù)有幾百條。早期或部分新的出口設(shè)備,啟用海量策略路由后,性能下降較多影響出口。NAT性能挑戰(zhàn)由于校園網(wǎng)大多采用私網(wǎng)地址，訪問外網(wǎng)需要進(jìn)行NAT網(wǎng)絡(luò)地址換，即使有些高校擁有較多教育網(wǎng)只但通過網(wǎng)通、電信線路訪問資源時(shí)仍然需要做,由于運(yùn)營商分配的地址有限，因此校園網(wǎng)出口設(shè)備需要做海量的NAT,出口設(shè)備NAT性能決定校園上網(wǎng)速度的重要因素。NAT性能主要取決幾個(gè)因素：NAT最大并發(fā)連接數(shù)；NAT新建連接速率；NAT吞吐能力。2.3安全防御挑戰(zhàn)校園網(wǎng)出口區(qū)域是校園網(wǎng)的“門戶”,作為鎮(zhèn)守校園網(wǎng)“門戶”的出口設(shè)備自然也成為安全的第一關(guān)。由于近幾年網(wǎng)絡(luò)帶寬的迅速增長,網(wǎng)絡(luò)威脅也呈現(xiàn)快速增長態(tài)勢，攻擊、掃描、入侵、DOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件、還有各種P2P應(yīng)用。出口設(shè)備既要防范校外網(wǎng)絡(luò)威脅進(jìn)來，又要防范校內(nèi)異常流量對出口設(shè)備造成破壞。校園網(wǎng)絡(luò)帶寬越大,網(wǎng)絡(luò)威脅可能造成的危害也就越大,出口設(shè)備安全防御面臨空前挑戰(zhàn)。2.4流量控制挑戰(zhàn)近幾年，各種P2P應(yīng)用（BT、電騾、迅雷、網(wǎng)絡(luò)電視等）非常豐富，這些應(yīng)用占用了大量的網(wǎng)絡(luò)資源,出口帶寬的增長幾乎永遠(yuǎn)無法滿足這些應(yīng)用的胃口,正常的應(yīng)用帶寬難以得到保障,所以非常有必要對一些影響正常應(yīng)用的特定應(yīng)用進(jìn)行必要的流量控制。2.5內(nèi)容審計(jì)挑戰(zhàn)邊界設(shè)備需要為海量的NAT記錄日志以滿足國家相關(guān)內(nèi)容的審計(jì)要求。由于開啟日志會(huì)嚴(yán)重影響性能，使得本來就難以承擔(dān)海量NAT工作的邊界設(shè)備性能進(jìn)一步降低。2.6高可靠挑戰(zhàn)校園網(wǎng)出口區(qū)域由于其特殊的位置,因此校園網(wǎng)出口的不可用會(huì)導(dǎo)致整個(gè)校園網(wǎng)成為一個(gè)信息的孤島,如何保證出口設(shè)備的高可靠,如何保證出口網(wǎng)絡(luò)線路可靠,也都擺著校園網(wǎng)管理者的面前。2.7擴(kuò)展挑戰(zhàn)校園網(wǎng)絡(luò)迅速擴(kuò)展,出口設(shè)備背后支持的用戶數(shù)不斷增長,雖然很多校園骨干網(wǎng)絡(luò)已經(jīng)是萬兆網(wǎng)絡(luò),但出口設(shè)備與校園骨干網(wǎng)接入仍然采用千兆線路,網(wǎng)絡(luò)帶寬瓶頸依然存在二出口設(shè)備與骨干網(wǎng)采用萬兆接口相連以解決帶寬瓶頸的需

求,會(huì)在未來一年擴(kuò)展中逐漸浮現(xiàn)出。但若現(xiàn)有出口設(shè)備不支持萬兆接口,恐怕就無法面對擴(kuò)展的挑戰(zhàn),現(xiàn)有出口設(shè)備投資無法得到長期回報(bào)。3.選擇的拓?fù)浞桨傅谒恼路桨阜治鲈诔隹诓渴鹆虽J捷網(wǎng)絡(luò)NPE網(wǎng)絡(luò)出口引擎和流控設(shè)備；NPE保證了出口的高性能。流控設(shè)備對各種應(yīng)用進(jìn)行識(shí)別和基于應(yīng)用的帶寬控制。從架構(gòu)上，全網(wǎng)錐形架構(gòu)；實(shí)現(xiàn)的效果是校內(nèi)任何匯聚設(shè)備到出口只有1跳。雙出口設(shè)計(jì)設(shè)置Cernet(1G)，電信ChinaNet(200M)。提高了訪問不同網(wǎng)絡(luò)資源的速度，解決線路備份問題,避免出現(xiàn)單出口的單點(diǎn)故障。RSR-16E匯總出口數(shù)據(jù)RSR-16E是銳捷公司與juniper公司合作，針對電信、政府、電力、金融、教育、企業(yè)等用戶網(wǎng)絡(luò)需求現(xiàn)狀定制的一款集高性能轉(zhuǎn)發(fā)、高靈活性業(yè)務(wù)處理和高密度接入能力于一體的高端多業(yè)務(wù)路由器。4.2.1豐富的業(yè)務(wù)支持能力全面的VPN業(yè)務(wù)可滿足最多的客戶需求，最大程度提高供應(yīng)商收入；支持傳統(tǒng)的VPN同時(shí)，同時(shí)支持基于IP的2層VPLS與3的VPNRFC2547；IPSec和GRE等；支持LLQ，對話音、視頻及其他實(shí)時(shí)敏感性應(yīng)用提供高質(zhì)量的保證；按DLCI、VP、VC、VLAN、信道（DSO）和端口QoS；分類、速率限制、整形、加權(quán)循環(huán)調(diào)度、嚴(yán)格優(yōu)先級(jí)調(diào)度、加權(quán)隨機(jī)早期檢測、隨機(jī)早期檢測和數(shù)據(jù)包標(biāo)記；第2層（802.1p、CLP、DE）映射到第3層QoS（IPDSCP、MPLSEXP）；基于硬件的IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4雙棧；強(qiáng)大的組播支持包括IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGPVPN中的組播，以高效利用資源、傳輸高價(jià)值內(nèi)容；基于網(wǎng)絡(luò)的安全業(yè)務(wù)包括NAT和狀態(tài)防火墻、以及按VRF的NAT和狀態(tài)防火墻；用于匯聚鏈路的MLPPP、MLFR.15和MLFR.16,802.3ad；利用Flow記帳、源級(jí)使用以及目的級(jí)使用特性，可按應(yīng)用和CoS資源使用靈活計(jì)費(fèi)，以及基于距離的計(jì)費(fèi)；通過合作伙伴關(guān)系實(shí)現(xiàn)多廠商網(wǎng)絡(luò)管理解決方案；基于XML的ScriptAPI便于第三方和內(nèi)部OSS開發(fā)。4.2.2廣泛地提供業(yè)務(wù)特性豐富的RGNOS軟件在平臺(tái)上運(yùn)行，確保一致的業(yè)務(wù)，并使供應(yīng)商可獨(dú)立于連接或服務(wù)地區(qū)密度向所有用戶推出所有業(yè)務(wù)；可通過任何接入技術(shù)，包括ATM、FR、以太網(wǎng)和TDM連接；支持不同類型的接口：DS0到0C-192/STM-64；降低運(yùn)營成本；可無縫遷移到更大的平臺(tái)，以適應(yīng)網(wǎng)絡(luò)的增長。4.2.3低投入高產(chǎn)出的基礎(chǔ)設(shè)施業(yè)務(wù)構(gòu)建可完全隔離控制層面、轉(zhuǎn)發(fā)層面和業(yè)務(wù)層面，可在單一平臺(tái)支持多種業(yè)務(wù)；在盡可能降低資本開支和運(yùn)營開支的同時(shí)，最大限度提高收入；將以前由NAT、狀態(tài)型防火墻、IPSec和QoS等不同設(shè)備執(zhí)行的功能整合到銳捷RSR-16E平臺(tái)中；在單一平臺(tái)上提供多種業(yè)務(wù)使客戶可以不必進(jìn)行資本投資即可嘗試許多不同的業(yè)務(wù)，從而擴(kuò)展業(yè)務(wù)，進(jìn)一步拓展用戶數(shù)量；邏輯路由器支持供應(yīng)商將一個(gè)路由器分割成多個(gè)管理域和路由域以便使兩個(gè)完全不同的機(jī)構(gòu)共享一個(gè)基礎(chǔ)設(shè)施。4.2.4高可靠性用于RE切換的無中斷切換，具有無中斷轉(zhuǎn)發(fā)特性；聯(lián)機(jī)軟件升級(jí)可實(shí)現(xiàn)無中斷的較小升級(jí)；MPLSFRR確保流量能夠迅速地繞過故障；MPLSTE路徑控制用于路徑優(yōu)化，結(jié)合了可預(yù)測的性能，可用于話音和視頻等延遲敏感型業(yè)務(wù)；LSPping等高級(jí)0A&M特性可用來排除MPLS的故障；支持GR（完美重啟），可實(shí)現(xiàn)業(yè)務(wù)無中斷重啟IS-IS、BGP、OSPF、0SPFv3、LDP、RSVP、第2層VPN和第3層VPN；模塊化RGNOS軟件可確保某一個(gè)模塊發(fā)生故障時(shí)不會(huì)對整個(gè)操作系統(tǒng)產(chǎn)生影響；4.2.5安全網(wǎng)絡(luò)高性能NAT、狀態(tài)型防火墻、攻擊檢測和通過多業(yè)務(wù)PIC實(shí)現(xiàn)的IPSec；隔離路由層面和控制層面，可利用狀態(tài)型防火墻保護(hù)控制層面；Flow狀態(tài)型數(shù)據(jù)包流監(jiān)控帶有標(biāo)準(zhǔn)的flowdv5和v8記錄，可全面監(jiān)控網(wǎng)絡(luò)；擴(kuò)展性高的過濾、單點(diǎn)發(fā)送RPF和速率限制可防止IP欺騙和DOS攻擊；高性能IPSec和MPLSIPSec具有數(shù)字證書支持特性，可進(jìn)一步加強(qiáng)安全性；其他無處不在的安全特性，如端口鏡像、加密管理會(huì)話業(yè)務(wù)、安全隧道功能、安全遠(yuǎn)程登錄和可配置的權(quán)限級(jí)別及用戶賬戶。RG-ACE3000——流控專家RG-ACE應(yīng)用控制引擎以DPI（DeepPacketInspect,深度包檢測）技術(shù)為核心，支持軟/硬件Bypass，提供了基于七層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化功能；在帶寬管理方面，配合用戶自定義的帶寬策略以及RG-ACE的核心帶寬自動(dòng)分配算法，可以為網(wǎng)絡(luò)鏈路劃分多個(gè)虛擬帶寬通道，能夠?qū)崿F(xiàn)最大帶寬限制、保證帶寬、帶寬租借、帶寬配額、應(yīng)用優(yōu)先級(jí)、隨機(jī)公平隊(duì)列等一系列帶寬管理功能，為客戶提供了帶寬管理、分析和優(yōu)化的一體化解決方案，能夠有效的檢測和防止不正常應(yīng)用對網(wǎng)絡(luò)帶寬資源的非正常消耗，保證關(guān)鍵應(yīng)用帶寬，限制非業(yè)務(wù)應(yīng)用帶寬，改善和保障了整體網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。4.3?1網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控與分析網(wǎng)絡(luò)流量的實(shí)時(shí)采集、監(jiān)控和精細(xì)分析使得網(wǎng)絡(luò)運(yùn)行狀況、應(yīng)用情況、帶寬使用情況等狀況完全可視化基于協(xié)議和基于IP地址（用戶）兩種類型的實(shí)時(shí)流量分析器，提供訪問的源/目的IP地址、服務(wù)端口、應(yīng)用協(xié)議、Session數(shù)以及流量大小等詳細(xì)信息。4.3?2應(yīng)用層自動(dòng)識(shí)別和分類P2P應(yīng)用：Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多種P2P軟件。IM應(yīng)用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多種主流的IM軟件。視頻/Streaming應(yīng)用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的視頻和流媒體應(yīng)用。網(wǎng)絡(luò)游戲：COUNTERSTRIKE、QUAKE1、DOOM3、QQGAME、CGA、SUBSPACE、XBOXLIVE、QUAKE-HALFLIFE、BATTLEFIELD1942、WOW、聯(lián)眾等網(wǎng)絡(luò)游戲。炒股軟件：大智慧證券信息平臺(tái)、天一證券網(wǎng)上交易系統(tǒng)、華泰網(wǎng)上交易分析系統(tǒng)、證券之星等炒股軟件。企業(yè)辦公、數(shù)據(jù)庫與中間件：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQLServer、Oracle、DB2、WebSphereMQ等企業(yè)的關(guān)鍵應(yīng)用。為用戶關(guān)鍵應(yīng)用提供量身定做的自定義特征碼。4.3.3網(wǎng)絡(luò)流量控制管理支持基于用戶（源IP地址）、目標(biāo)IP地址、時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行靈活的阻斷與允許功能；支持基于用戶（源IP地址）、目標(biāo)IP地址、時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行上行與下行帶寬控制；支持基于用戶（源IP地址）、目標(biāo)IP地址、時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行Session數(shù)量控制；支持組對象的配置，如定義用戶組（IP組）、協(xié)議組（如P2P協(xié)議組、游戲組）對同一類型的應(yīng)用、相同級(jí)別的用戶進(jìn)行帶寬管理策略的控制。4.3?4流量整型與應(yīng)用優(yōu)化支持自定義虛擬帶寬通道、最大帶寬限制、保證帶寬、帶寬租借、應(yīng)用優(yōu)先級(jí)以及隨機(jī)公平隊(duì)列等一系列的應(yīng)用優(yōu)化和帶寬管理控制功4.3?5提供豐富的圖表報(bào)告分析和統(tǒng)計(jì)提供一年內(nèi)的應(yīng)用或協(xié)議流量紀(jì)錄，并可生成天、周、月、季度、年時(shí)間段內(nèi)的應(yīng)用及協(xié)議的帶寬使用統(tǒng)計(jì)報(bào)告。包括：總帶寬分析報(bào)表、應(yīng)用帶寬分析報(bào)表、基于協(xié)議的帶寬分析報(bào)表、基于協(xié)議和流量方向（進(jìn)入/出去）的帶寬分析報(bào)表、基于應(yīng)用和流量方向（進(jìn)入/出去）的帶寬分析報(bào)表、基于IP地址的帶寬分析報(bào)表、用戶自定義士13主竺竺報(bào)表等等4.3.6應(yīng)用層防火墻應(yīng)用層防火墻能夠識(shí)別并阻斷黑客的端口掃描以及DoS攻擊行為，支持通過Session數(shù)控制、帶寬控制來提高網(wǎng)絡(luò)可用性和安全性;4.3?7集中化的圖形化管理平臺(tái)提供中英文的圖形化管理平臺(tái)，可以用一臺(tái)管理服務(wù)器集中的管理網(wǎng)絡(luò)上的多臺(tái)ACE設(shè)備。圖形化管理平臺(tái)采用JAVA架構(gòu),能夠適應(yīng)于各種操作系統(tǒng)和服務(wù)器，用戶只需利用瀏覽器即可遠(yuǎn)程訪問管理服務(wù)器進(jìn)行設(shè)備管理。NPE50——NAT轉(zhuǎn)換高手NPE50產(chǎn)品是銳捷網(wǎng)絡(luò)公司針對網(wǎng)絡(luò)出口實(shí)際需要開發(fā)的專用設(shè)備，采用全新NP架構(gòu)設(shè)計(jì)，主控板固化提供了3個(gè)光電復(fù)用的10/100/1000M以太網(wǎng)口，帶兩個(gè)支持熱拔插的NMX模塊插槽；NPE具備轉(zhuǎn)發(fā)高性能，在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況的報(bào)文流情況下（平均報(bào)文長度為500byte左右的混合報(bào)文），雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)，每秒可以創(chuàng)建30萬條以上的NAT會(huì)話，在2Gbps的NAT線速轉(zhuǎn)發(fā)情況下，每秒仍然可以達(dá)到新建7萬條的NAT會(huì)話，達(dá)到200萬條的并發(fā)NAT會(huì)話，內(nèi)嵌防火墻功能，具有強(qiáng)大的設(shè)備自身抗攻擊功能。4.4.1先進(jìn)的硬件體系架構(gòu)采用雙核NP硬件體系架構(gòu)，NP內(nèi)雙核并行處理，性能倍增。在主控板上固化提供了3個(gè)GE口，直接和NP連接，不占用背板帶寬，達(dá)到線速轉(zhuǎn)發(fā)。GE口都支持光電復(fù)用，不需要額外單獨(dú)購買價(jià)格昂貴的GE模塊，節(jié)省投資,應(yīng)用靈活方便。模塊化設(shè)計(jì)，NPE50-20支持2個(gè)NMX模塊插槽，通過擴(kuò)展可以支持達(dá)到7個(gè)光電復(fù)用的GE口。NPE50-40則支持4個(gè)NMX模塊插槽，通過擴(kuò)展可以支持到11個(gè)光電復(fù)用的GE口支持1+1的冗余電源，保證系統(tǒng)的可靠性。支持USB的應(yīng)用，提供了2個(gè)標(biāo)準(zhǔn)USB插槽，采用USB2.0的標(biāo)準(zhǔn)，兼容USB1.1標(biāo)準(zhǔn)。支持USBFLASHMemory（U盤），可存儲(chǔ)配置文件及日志文件，因其具有良好的可移動(dòng)性，可減少許多重復(fù)的配置工作，大大減少系統(tǒng)維護(hù)的工作量。4.4.2高性能NAT由于IPv4地址的匱乏，NAT作為網(wǎng)絡(luò)出口設(shè)備必備功能，隨著網(wǎng)絡(luò)規(guī)模和出口帶寬的擴(kuò)大，需要更高速的NAT,銳捷NPE設(shè)備，采用NAT與REF（銳捷快速轉(zhuǎn)發(fā)）高效配合，并充分利用流交換技術(shù)，實(shí)現(xiàn)高速NAT,NPE作為網(wǎng)絡(luò)出口設(shè)備性能上不會(huì)成為瓶頸：在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況報(bào)文流情況下（平均報(bào)文長度為500byte左右的混合報(bào)文），雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)。每秒高達(dá)30萬條的NAT新建連接會(huì)話。在2Gbps的NAT線速轉(zhuǎn)發(fā)下，每秒達(dá)到新建7萬條NAT會(huì)話。并發(fā)達(dá)到200萬條的NAT會(huì)話數(shù)。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)300條NAT會(huì)話，則可以同時(shí)支持將近7000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線。4.4.3多功能NAT支持NAPT、NAT以及路由的混合使用，滿足各種復(fù)雜的網(wǎng)絡(luò)地址規(guī)劃；支持NAT靜態(tài)映射，向外提供WWW、Telnet、FTP等服務(wù)；支持NATRe-routing和反向NAT；提供NATALG功能，支持FTP、RTSP、MMS、H.323、SIP等特殊應(yīng)用協(xié)議。4.4.4快速ACL包過濾技術(shù)NPE提供性能卓越的ACL包過濾功能，支持標(biāo)準(zhǔn)和擴(kuò)展的ACL訪問控制列表。NPE采用先進(jìn)的流表處理技術(shù)，利用源IP、目的IP、源端口、目的端口、協(xié)議號(hào)等5個(gè)元素來定義一條流。每秒可以處理和創(chuàng)建的流數(shù)量達(dá)到10萬條。每個(gè)ACL包涵多個(gè)控制列表表項(xiàng)（ACE），NPE將ACL和流交換高效整合，實(shí)現(xiàn)ACL和ACE數(shù)目多少對于數(shù)據(jù)轉(zhuǎn)發(fā)接近零影響，有效的提高網(wǎng)絡(luò)出口設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。4.4.5高性能策略路由根據(jù)用戶制訂的策略路由，基于源接口更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。與功能強(qiáng)大的ACL配合使用，可以根據(jù)報(bào)文的源地址，目的地址，應(yīng)用協(xié)議進(jìn)行有效組合，實(shí)現(xiàn)策略路由。NPE設(shè)備上，將策略路由與流交換高效整合，實(shí)現(xiàn)PBR規(guī)則數(shù)目多少對于數(shù)據(jù)轉(zhuǎn)發(fā)接近零影響，有效的提高網(wǎng)絡(luò)出口設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。4.4.5靈活的流量控制流量限制是防止某些用戶或者應(yīng)用（如BT等P2P應(yīng)用）占用過多的網(wǎng)絡(luò)資源，使用流量管理用戶能夠公平使用帶寬。對于一些常見的DOS/DDOS攻擊，在其他防御手段都無效的情況下，流量限制是一個(gè)簡單直接的方式。NPE具有豐富的流量控制功能：帶寬限制：可以提供從基于接口的帶寬限速，到基于策略的每用戶的帶寬限制；并發(fā)會(huì)話數(shù)限制：基于策略的或者每用戶的并發(fā)會(huì)話數(shù)限制；新建會(huì)話速率限制：基于策略的或者每用戶的新建會(huì)話速率限制；4.4.6完備的日志管理日志對于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。NPE針對各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息，NPE日志包括：設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志上網(wǎng)記錄日志：上網(wǎng)記錄日志攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息4?4?7NPE內(nèi)嵌防火墻功能NPE設(shè)備作為網(wǎng)絡(luò)出口設(shè)備集成防火墻功能：報(bào)文過濾：報(bào)文過濾是防火墻最基本的功能，根據(jù)安全策略對數(shù)據(jù)流進(jìn)行檢查，讓合法的流量通過，將非法的流量阻止，從而達(dá)到訪問控制的目的。狀態(tài)檢測：對基于六元組來識(shí)別網(wǎng)絡(luò)流量，并針對每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報(bào)文過濾。TCP狀態(tài)跟蹤與檢查：跟蹤轉(zhuǎn)發(fā)TCP流量的狀態(tài)，阻斷非法的TCP狀態(tài)遷移，過濾帶有錯(cuò)誤順序號(hào)的TCP報(bào)文，有效防止TCP會(huì)話劫持，TCP重放等一類的入侵。特殊應(yīng)用協(xié)議支持：如FTP、H.323、MMS、RTSP、SIP等協(xié)議，這些協(xié)議的數(shù)據(jù)通道是通過命令通道動(dòng)態(tài)建立的，其中的端口是隨機(jī)的。如果簡單地打開所有可能的端口，但這樣就大大降低了防火墻的安全性。NPE能夠根據(jù)用戶定制的策略來對這些特殊應(yīng)用建立狀態(tài)，并進(jìn)行端口偵測，并解析出建立數(shù)據(jù)通道的端口，建立數(shù)據(jù)通道的連接，這樣屬于數(shù)據(jù)通道的數(shù)據(jù)流就能夠穿過NPE，并且不會(huì)打開更多額外的端口。攻擊防御：：基于狀態(tài)檢測，NPE可以防御的各種網(wǎng)絡(luò)攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardorp、Land、pingflood、UDPFlood等。內(nèi)容過濾：NPE能夠針對URL地址進(jìn)行靈活地分類，并應(yīng)用到各種策略上,實(shí)現(xiàn)基于用戶策略的URL訪問過濾。以后還將支持與內(nèi)容過濾服務(wù)器的聯(lián)動(dòng)來提供更深粒度的網(wǎng)絡(luò)內(nèi)容過濾。4.4.8提供設(shè)備硬件和軟件的高可靠性管理控制引擎和轉(zhuǎn)發(fā)引擎完全分離：更好的穩(wěn)定性、更穩(wěn)定的性能、更容易實(shí)現(xiàn)可靠的服務(wù)特性關(guān)鍵裝置的冗余：5條PCI總線冗余電源冗余雙啟動(dòng)映像文件雙配置文件關(guān)鍵部件熱拔插：電源熱拔插、風(fēng)扇熱拔插、模塊熱拔插模塊化軟件設(shè)計(jì)：某個(gè)軟件模塊出錯(cuò)，不會(huì)讓機(jī)器崩潰，軟件的復(fù)雜度降低支持軟件在線升級(jí)將問題隔離在軟件模塊內(nèi)多種備份機(jī)制支持VRRP、VRRP+支持鏈路備份機(jī)制支持路由備份采用標(biāo)準(zhǔn)的CLI配置界面，降低學(xué)習(xí)和使用成本，給維護(hù)帶來極大的方便。第五章實(shí)現(xiàn)的技術(shù)NAT技術(shù)電信提供的互聯(lián)網(wǎng)出口提供16個(gè)公網(wǎng)IP。需要通過NAT技術(shù)解決校內(nèi)用戶對外

部網(wǎng)絡(luò)的訪問需求，且實(shí)現(xiàn)在電信提供的互聯(lián)網(wǎng)出口發(fā)布對外的WEB等服務(wù)。NAT屬接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。PPTPVPN技術(shù)針對在校園網(wǎng)外的老師及同學(xué)們，當(dāng)需要訪問校園網(wǎng)資源時(shí)，可以使用PPTPVPN

技術(shù)來實(shí)現(xiàn)訪問。點(diǎn)對點(diǎn)通道協(xié)議（PointtoPointTunnelingProtocol簡稱PPTP）

的協(xié)議。它是由微軟公司支持的。在2003server中可以使用的。使用用戶級(jí)別的PPP

身份驗(yàn)證方法和用于數(shù)據(jù)加密的Microsoft點(diǎn)對點(diǎn)加密（MPPE）。用戶在家中可通過撥號(hào)的方式進(jìn)入校內(nèi)網(wǎng)。PPTP的工作原理：一般網(wǎng)絡(luò)協(xié)議的工作方法是進(jìn)行數(shù)據(jù)包(DataPacket)的交換包是由要發(fā)送的數(shù)據(jù)加上協(xié)議特定的控制信息組成。對于用戶來說關(guān)心的只是需要傳送的數(shù)據(jù)，對于附加的控制信息并不重要。PPTP的工作方式是在TCP/IP包中封裝原始包(nativepacket),例如IPX包，包括控制信息在內(nèi)的整個(gè)IPX包都將成為TCP/IP包的“數(shù)據(jù)〃‘然后它通過Internet進(jìn)行傳輸。另一端的軟件打開包去除增加的PPTP控制信息還原成IPX包并發(fā)送給IPX協(xié)議進(jìn)行常規(guī)處理。這一過程叫做通道(tunneling)。使用PPTP節(jié)省了大量長途電話或長途的專線費(fèi)用。據(jù)一般估計(jì)可節(jié)省20%?40%的費(fèi)用，對于有大量長途撥入的網(wǎng)絡(luò)甚至可以節(jié)省60%?80%的費(fèi)用。使用PPTP對于原有的網(wǎng)絡(luò)安全性并沒有大的破壞，因?yàn)樵蠰AN的廣泛的安全檢查照樣進(jìn)行，其實(shí)PPTP對于網(wǎng)絡(luò)用戶是透明的。另外它還通過壓縮、數(shù)據(jù)加密等手段保證了網(wǎng)絡(luò)的安全性。5.3策略路由技術(shù)在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進(jìn)行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應(yīng)的最優(yōu)路由轉(zhuǎn)發(fā)決策。當(dāng)欲使某些包由其他路徑而不是明確的最短路徑路由時(shí)，就可以啟用策略路由，即按照我們具體需要來決定數(shù)據(jù)包的路由?；诓呗月酚捎腥缦聨追N方式，即：基于源IP地址的策略路由;基于數(shù)據(jù)包大小的策略路由;基于應(yīng)用的策略路由;通過缺省路由平衡負(fù)載。根據(jù)實(shí)際情況我們需要特定如郵件等服務(wù)器接受和發(fā)送包的路徑是通過CERNET，所以選擇的是基于源IP地址的策略路由。IPv6overGRE隧道技術(shù)目前，外網(wǎng)大部分還使用IPV4地址作為數(shù)據(jù)的傳輸，但校園網(wǎng)中已經(jīng)開始部署IPV6。階段，IPv4仍然占有主導(dǎo)地位，v6網(wǎng)絡(luò)是一些孤島，絕大部分應(yīng)用仍基于IPv4。此時(shí)，大量采用隧道技術(shù)將各IPv6孤島互聯(lián)。隧道(tunnel)是指將一種協(xié)議封裝到另一種協(xié)議中。在隧道入口處，將被封裝協(xié)議封裝入封裝協(xié)議，在隧道出口處再將被封裝協(xié)議報(bào)文取出。在整個(gè)隧道的傳輸過程中，被封裝協(xié)議是作為封裝協(xié)議的負(fù)載。隧道技術(shù)只需要在隧道的出入口進(jìn)行修改，而對中間部分沒有特殊要求，較為容易實(shí)現(xiàn)。標(biāo)準(zhǔn)的GRE隧道技術(shù)可在IPv4隧道上承載IPv6數(shù)據(jù)報(bào)文。GRE隧道是兩點(diǎn)之間的鏈路，每條鏈路都是一條單獨(dú)的隧道。特點(diǎn)，實(shí)際接口(interfaceeth)的IPv4地址是隧道的源和目的，IPv6地址是配置在隧道邏輯接口上(interfacetunnel)的。GRE報(bào)文封裝格式IPv4報(bào)頭GRE報(bào)頭IPv6報(bào)頭IPv6有效數(shù)據(jù)IPv6報(bào)文先封裝為GRE報(bào)文，再封裝為IPv4報(bào)文°IPv4報(bào)文中的源和目的地址是隧道起點(diǎn)和終點(diǎn)所依托物理端口的IPv4地址。5.5訪問控制技術(shù)訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來決定。第六章IP地址規(guī)劃在該出口中存在八個(gè)網(wǎng)段需分配IP地址，分配如下:網(wǎng)段網(wǎng)絡(luò)地址地址1地址2廣播地址子網(wǎng)掩碼5201523345524678952503526456752

8901534552第七章產(chǎn)品的配件RSR-16E配件設(shè)備型號(hào)數(shù)目描述線卡機(jī)箱RSR16E-BASE-AC1包含帶冷卻系統(tǒng)4+2槽機(jī)箱,Midplane,1路由引擎,1控制板，和1AC電源模塊路由引擎RE-A-2000-4097-R2冗余路由引擎2000MHz處理器4GB內(nèi)存交流電源模塊PWR-RSR16E-AC-R2冗余RSR16E交流電源模塊控制板CB-RSR16E-R2冗余RSR16E控制板CB-RSR16E-BB1RSR16E控制板（已包含在RSR16E-BASE-AC和RSR16E-BASE-DC主機(jī)中）轉(zhuǎn)發(fā)引擎FEB-RSR16E1RSR16E轉(zhuǎn)發(fā)引擎以太網(wǎng)PICPC-1XGE-XENPAK11端口10GE以太網(wǎng)PIC（需配置XENPAK光模塊-見接口附件部分）PICPC-4OC48-SON-SFP14端口S0NET,SDH0C48,STM16PIC（需要OC48SFP光模塊，例如SFP-1OC48-SR,SFP-1OC48-IR,或者SFP-1OC48-LR）SFP光模塊SFP-1OC48-SR4OC-48SFP光模塊,SR可插拔光模塊XENPAK-1XGE-SR110GEXENPAK可插拔光模塊，10GBASE-SRMMF26-300mNPE50-20網(wǎng)絡(luò)出口引擎基本組件NPE50-20NPE50-20主機(jī)箱（1個(gè)主控板模塊插槽，2個(gè)用戶模塊插槽，2個(gè)電源插槽，風(fēng)扇內(nèi)置），主控板、電源需要另外購買。

PA240RNPE50系列電源模塊RG-FLASH-6464MFLASH卡NPE50-20路由器接口模塊NMX-2GEH2口光電復(fù)用GE口，支持熱拔插，如果直接連接光纖，需要額外配置相應(yīng)的SFP模塊NPE50-20接口配件(光纖接口)Mini-GBIC-SX1000BASE-SXminiGBIC轉(zhuǎn)換模塊附件：RSR-16E技術(shù)參數(shù)設(shè)備性能交換容量240G包處理能力150MPPSACL每塊板卡支持55萬條路由表200萬協(xié)議支持互聯(lián)網(wǎng)協(xié)議IPV4/IPV6路由協(xié)議OSPF、IS-IS、BGP、RIPv2、靜態(tài)路由組播協(xié)議IGMPv3、PIM-DM/SM、SDP、DVMRP、RP、PIM-SSM地址管理靜態(tài)、DHCP中繼MPLSLDP、RSVP-TE、流量工程、第3層2547VPN、第2層VPN、虛擬專用LAN業(yè)務(wù)(VPLS)、Diffserv-aware流量工程、MPLS繞過、MPLS快速重新路由鏈路保護(hù)、MPLS快速重新路由節(jié)點(diǎn)保護(hù)封裝類型以太網(wǎng)（MAC+VLAN標(biāo)記）、PPP（同步）、PPPoA、幀中繼、ATM、HDLC、串行（RS-232、RS-449、X.21、V.35、EIA-530）、802.1q、MLPPP、MLFR（FRF.15、FRF.16）、L2TP流量管理警管和整形、基于VLAN/VC/VP/DLCI/接口/捆綁的排隊(duì)、基于級(jí)別的排隊(duì)和優(yōu)先級(jí)分配、WRED語音支持FRF.12、LFI2、cRTP2安全性記錄和監(jiān)控系統(tǒng)日志、跟蹤路由、MPLSPing高可用性VRRP、IETF平滑重啟、冗余的轉(zhuǎn)發(fā)和路由引擎、平滑的路由引擎切換尺寸52.5厘米X44.5厘米X65.2厘米重量79磅（36安全性記錄和監(jiān)控系統(tǒng)日志、跟蹤路由、MPLSPing高可用性VRRP、IETF平滑重啟、冗余的轉(zhuǎn)發(fā)和路由引擎、平滑的路由引擎切換尺寸52.5厘米X44.5厘米X65.2厘米重量79磅（36公斤）物理指標(biāo)環(huán)境規(guī)格操作溫度+0°C到+40°（32°到104°F）NPE50-20技術(shù)參數(shù)