NPE（网络出口引擎）产品技术白皮书

1 前言

 

    随着网络的飞速发展，网络出口设备越来越重要，原有的路由器模式，防火墙模式，服务器模式等逐渐成为网络出口瓶颈；在国内Ipv4地址匮乏的现实，NAT成为网络出口必须功能，传统路由器和防火墙的NAT性能成为出口瓶颈；网络攻击的日益猖獗，网络日志和安全功能成为设备基本功能，对于路由器来说，安全整合性能将大幅下降，成为网络瓶颈；网络应用的广泛，对于带宽的要求越来越高，性能逐渐成为出口设备的一大关键因素。

 

2 NPE产品简介

 

    NPE（Network outPutEngine，网络出口引擎）是星网锐捷网络有限公司在其系统平台RGOS上自主研发推出网络出口专用产品。根据网络出口设备所特有的需求,在基于全新NP架构上进行性能和功能的完美整合。

 

高性能

 

    NPE基于锐捷特快交换的应用级出口专用设备，其在锐捷特快交换基于流交换的基础上高效整合NAT,ACL,PBR，流量管理，防火墙等应用级功能，转发性能超过2Gbps;

 

高可靠

 

    NPE延续RGOS的稳定和可靠性，产品的稳定性得以有效提升。

 

3 NPE产品技术特点

 

3.1 REF

 

    REF（Ruijie Express Forwarding,锐捷特快交换）技术是锐捷网络吸收业界最新技术，自主创新推出的一种全新的应用业务处理路由交换方案，它具有良好的报文交换性能，业务处理能力和极高的包转发速率。

 

    REF是一种高级的七层交换技术，它主要是为高性能、多业务的IP网交换设计的。为优化包转发的路由查找机制和业务处理能力，REF定义了三个主要部件:转发信息库（Forwarding Information base）,邻接表（Adjacency Table）和流交换（Flow Switching）。

 

    转发信息库（FIB）是设备决定目标交换的查找表，FIB的条目与IP路由表条目之间有一一对应的关系，即FIB是IP路由表中包含的路由信息的一个镜像。由于FIB包含了所有必需的路由信息，因此就不用再维护路由高速缓存。当网络拓扑或路由发生变化时，IP路由表被更新，FIB的内容随之发生变化。

 

    REF利用邻接表提供数据包的数据链路层重写所需的信息。FIB中的每一项都指向邻接表里的某个下一跳中继段。若相邻节点间能通过数据链路层实现相互转发，则这些节点被列入邻接表中。系统一旦发现邻接关系,就将其写到邻接表中，邻接序列随时都在生成，每次生成一个邻接条目，就会为那个邻接节点预先计算一个链路层头标信息，并把这个链路层头标信息存储在邻接表中，当决定路由时，它就指向下一网络段及相应的邻接条目。随后在对数据包进行REF交换时，用它来进行封装。

 

    流交换（Flow Switching）流交换基于普通五元组流进行扩展处理,以支撑目前的多业务整合,提高业务性能,目前主要整合通常的ACL，策略路由,NAT,防火墙,QOS等业务.借鉴”一次路由,多次交换”的经验,同时独创流老化和路由之间互动技术,减少路由变动对流的影响。在目前业务处理中”短连接”业务逐渐增多，使用极速流创建技术，避免出现新建连接的瓶颈。

 

3.2 高速NAT

 

    在IPv4地址匮乏的中国，NAT作为国内网络出口设备必备的功能，其需要提供高速的NAT,在NPE设备技术上,NAT与REF高效的配合，并充分利用流交换技术，实现高速NAT，使其在作为网络出口设备的性能上不成为瓶颈：

 

    ·新建连接速率，每秒高达5万以上的新建连接回话；支持5000人以上同时在线连接。
 

    ·报文转发速率，在启动NAT的功能下，报文转发能力在2Gbps以上。

 

NPE的NAT功能同样丰富强大：

 

    ·支持NAPT、NAT以及路由的混合使用，满足各种复杂的网络地址规划;
 

    ·支持NAT静态映射，向外提供WWW、Telnet、FTP等服务；
 

    ·支持NAT Re-routing和反向NAT；
 

    ·提供NAT ALG功能，支持FTP、RTSP、MMS、H.323、SIP等特殊应用协议。

 

3.3 快速ACL

 

    RGOS使用访问控制列表提供强大的数据流过滤功能。NPE设备RGOS目前支持以下访问列表：

    ·标准IP访问控制列表
 

    ·扩展IP访问控制列表

 

    您可以根据网络具体情况选择不同的访问控制列表对数据流进行控制。ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。

 

    对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。

 

    ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。

 

    访问列表规则可以针对数据流的源地址、目标地址、上层协议，时间区域等信息。

 

    在NPE设备上，将ACL和流交换高效的整合，实现ACL和ACE数目多少对于数据转发接近零影响，有效的提高网络出口设备的数据包转发能力。

 

3.4 高速策略路由

 

    策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，设备将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发设备。

 

    应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。

 

    NPE设备上，将策略路由与流交换高效整合，实现PBR规则数目多少对于数据转发接近零影响，有效的提高网络出口设备的数据包转发能力。

 

3.5 流量控制

 

    流量限制是防止某些用户或者应用（如BT等P2P应用）占用过多的网络资源，使用流量管理用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击，在其他防御手段都无效的情况下，流量限制是一个简单直接的方式。

 

NPE具有丰富的流量控制功能：

    ·带宽限制：可以提供从基于接口的粗粒度，到基于策略的每用户细粒度的带宽限制；
 

    ·并发会话数限制：基于策略的或者每用户的并发会话数限制；
 

    ·新建会话速率限制：基于策略的或者每用户的新建会话速率限制；

 

3.5 IPFIX

 

    IPFIX全称为IP Flow Information eXport，即IP流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。它使网络中流量统计信息的格式标准化。该协议可工作于任何厂商的网络设备和管理系统平台之上,并用于输出基于网络设备的流量统计信息。这使得网络管理员很容易地提取和查看存储在网络设备中的重要流量统计信息。

 

    使能IPFIX流统计功能的路由器/交换机对报文中很多信息进行统计,包括三层协议类型、传输层端口、源/目的地址、服务类型等，IPFIX的主要应用有：

 

    网络应用和用户检测
 

    网络规划
 

    安全分析和攻击检测
 

    流量计费

 

NPE IPFIX主要包含如下功能：

 

    ·主模式流记录输出

 

    ·主模式缓存：主模式缓存用来保存原始的流记录信息，每个流记录表项的大小是固定的，系统为每个活跃的流创建一个流记录表项，记录该流的特征信息及统计信息。

 

    ·流聚合缓存支持：一个流聚合模式，就是通过其定义的特定关键字段，对主模式的流进行重新的聚合产生新的流。系统为这些聚合模式保留一定的缓存，类似于主缓存，这里称作流聚合缓存。NPE系统中支持以下九种流聚合模式：

    Destination Prefix 聚合模式
 

    Prefix 聚合模式
 

    Protocol Port聚合模式
 

    Source Prefix聚合模式
 

    Destination Prefix-ToS聚合模式
 

    Prefix-port聚合模式
 

    Prefix-ToS聚合模式
 

    Protocol-port-ToS聚合模式
 

    Source Prefix-ToS聚合模式

 

    ·多种流过滤采样机制支持：支持基于ACL对特定流采样、随机采样和采样几率配置等多种方式。

 

3.6日志管理

 

    日志对于网络安全的分析和安全设备的管理非常重要。NPE针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息。

 

NPE日志包括：

    ·设备日志：设备状态，系统事件日志
 

    ·上网记录日志：基于五元组的上网记录日志
 

    ·攻击日志：设备网络受到攻击的日志信息

 

3.7 内嵌防火墙

 

NPE设备作为网络出口设备集成防火墙功能：

 

    ·报文过滤：报文过滤是防火墙最基本的功能，它根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。

 

    ·状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。

 

    ·TCP状态跟踪与检查：跟踪转发TCP流量的状态，阻断非法的TCP状态迁移，过滤带有错误顺序号的TCP报文，有效防止TCP会话劫持，TCP重放等一类的入侵。

 

    ·特殊应用协议支持：如FTP、H.323、MMS、RTSP、SIP等协议，这些协议的数据通道是通过命令通道动态建立的，其中的端口是随机的。如果简单地打开所有可能的端口，但这样就大大降低了防火墙的安全性。NPE能够根据用户定制的策略来对这些特殊应用建立状态，并进行端口侦测，并解析出建立数据通道的端口，建立数据通道的连接，这样属于数据通道的数据流就能够穿过NPE，并且不会打开更多额外的端口。

 

    ·攻击防御:：基于状态检测，NPE可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。

 

    ·内容过滤：NPE能够针对URL地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。以后还将支持与内容过滤服务器的联动来提供更深粒度的网络内容过滤。