【正文】 種問題：雖然網(wǎng)絡(luò)管理部門已經(jīng)作出了入網(wǎng)用戶必須安裝殺毒軟件的規(guī)定，但缺乏強(qiáng)制手段保障規(guī)則的有效實(shí)施，用戶往往視而不見。對(duì)于殺毒軟件檢測(cè)未通過的用戶，將被GSN視情況進(jìn)行警告、隔離處理。例如，一般職員禁止訪問存放重要資料的數(shù)據(jù)服務(wù)器；財(cái)務(wù)人員能夠訪問財(cái)務(wù)管理系統(tǒng)，但訪問外網(wǎng)受限，等等。并能根據(jù)主機(jī)信息生成詳細(xì)的圖形報(bào)表，以直觀的方式為管理員進(jìn)行呈現(xiàn)。銳捷網(wǎng)絡(luò)根據(jù)多年的網(wǎng)絡(luò)設(shè)計(jì)、實(shí)施和維護(hù)經(jīng)驗(yàn)，設(shè)計(jì)了一套業(yè)界領(lǐng)先的RGSNC管理系統(tǒng)，下面簡(jiǎn)單介紹下銳捷網(wǎng)絡(luò)綜合網(wǎng)絡(luò)管理解決方案。SNC具有如下特點(diǎn)：減少手動(dòng)錯(cuò)誤SNC基于界面的向?qū)降呐渲梅绞綆椭鷾p少配置更改過程中的手動(dòng)錯(cuò)誤。這樣可以大大減少網(wǎng)絡(luò)停止時(shí)間。目前很多高校已經(jīng)或開始建設(shè)校園內(nèi)的IPv6網(wǎng)絡(luò)（局部）或IPv6的城域網(wǎng)（覆蓋城域范圍內(nèi)的若干高校），這些IPv6網(wǎng)絡(luò)都將接入CERNET2。部署過程如下：首先把IPv6的CERNET2專線接到一臺(tái)核心的RGS8614上，在核心上開啟Ipv6雙棧及靜態(tài)路由，保證與CERNET2的互通。其次，把核心、區(qū)域匯聚的IPv6三層交換機(jī)（RGS861RGS860RGS5750）開啟雙棧及IPv6的靜態(tài)路由或OSPFv3。產(chǎn)品用于局域網(wǎng)出口日志NAT日志和URL訪問日志采集，配合銳捷認(rèn)證系統(tǒng)的日志信息進(jìn)行分析，以提供網(wǎng)絡(luò)用戶行為的日志審計(jì)和出口流量的統(tǒng)計(jì)分析，提供上網(wǎng)日志信息統(tǒng)計(jì)和違規(guī)信息統(tǒng)計(jì)功能以及出口流量分析功能。如果讓RGeLog和銳捷用戶認(rèn)證系統(tǒng)（SAM或SMP）對(duì)接，可以提供詳細(xì)的用戶信息，如用戶賬號(hào)、用戶名、地址、電話等。RGeLog也可以與銳捷全系列防火墻和銳捷認(rèn)證系統(tǒng)（SAM或SMP）配合，實(shí)現(xiàn)對(duì)防火墻提供的NAT五元組、URL訪問日志的分析。另一方面，針對(duì)網(wǎng)絡(luò)的有效提高網(wǎng)絡(luò)帶寬利用效，需要對(duì)數(shù)據(jù)流量進(jìn)行全面監(jiān)控和分析，為此，特別配置了一套銳捷流量分析系統(tǒng)，它是專門用來監(jiān)視網(wǎng)絡(luò)活動(dòng)，幫助用戶了解流量構(gòu)成、協(xié)議分布和用戶活動(dòng)的軟件，廣泛適用于各種行業(yè)網(wǎng)絡(luò)的流量統(tǒng)計(jì)，它利用Flow技術(shù)來收集網(wǎng)絡(luò)中有關(guān)流量的重要信息，并對(duì)收集的數(shù)據(jù)進(jìn)行深入分析，為管理人員提供豐富有用的報(bào)表，以些用于監(jiān)控網(wǎng)絡(luò)系統(tǒng)內(nèi)的帶寬效用情況、進(jìn)行流量與協(xié)議分析。硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，可靈活應(yīng)用于純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)、IPv4到IPv6共存的網(wǎng)絡(luò)，能充分滿足當(dāng)前園區(qū)網(wǎng)從IPv4向IPv6過渡的需要。RGS5750E系列交換機(jī)以極高的性價(jià)比為大型網(wǎng)絡(luò)匯聚、中型網(wǎng)絡(luò)核心、數(shù)據(jù)中心服務(wù)器接入提供了高性能、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。虛擬化技術(shù) 支持VSU（Virtual Switch Unit）即虛擬交換單元技術(shù)。NFPP (Network Foundation Protection Policy基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略)是用來增強(qiáng)交換機(jī)安全的一種保護(hù)體系，通過對(duì)攻擊源頭采取隔離措施，可以使交換機(jī)的處理器和信道帶寬資源得到保護(hù)，從而保證報(bào)文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常。智能偵測(cè)MPLS斷網(wǎng)，智能選擇冗余線路保持MPLS VPN的連通性。支持BFD，為各上層協(xié)議如路由協(xié)議，MPLS等提供一種快速檢測(cè)兩臺(tái)路由設(shè)備之間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路狀態(tài)變化時(shí)的收斂時(shí)間。RGS2900E系列交換機(jī)提供了SNMP、Telnet、Web和Console口等多種配置方式方便網(wǎng)絡(luò)管理和維護(hù)，并提供最為靈活和完善的端口組合形式，非常利于用戶根據(jù)網(wǎng)絡(luò)布線需要，選擇所需的上行鏈路的接口形式。完善的QoS策略以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)靈活精細(xì)的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，帶寬限制粒度達(dá)64Kbps，支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、以及不同業(yè)務(wù)所需要的服務(wù)質(zhì)量特性，提供差異化服務(wù)。RGNPE（Network outPut Engine，網(wǎng)絡(luò)出口引擎）系列產(chǎn)品，是銳捷網(wǎng)絡(luò)公司針對(duì)國(guó)內(nèi)網(wǎng)絡(luò)出口狀況研發(fā)的專用設(shè)備。先進(jìn)的體系架構(gòu)NPE系列網(wǎng)絡(luò)出口引擎采用多核處理器體系架構(gòu)，單個(gè)處理器內(nèi)部基于銳捷自主知識(shí)產(chǎn)權(quán)的虛擬多處理器（vCPU）技術(shù)，從而在xflow框架下構(gòu)建起一個(gè)高性能、高穩(wěn)定的轉(zhuǎn)發(fā)平臺(tái)全新的多核架構(gòu)在滿足高性能、低功耗、高靈活性、易升級(jí)的要求下，讓NPE成功的向更深層次發(fā)展。在啟用NAT功能并端口線速轉(zhuǎn)發(fā)的情況下，可提供每秒15萬的UDP新建連接、14萬條的TCP新建全連接。與功能強(qiáng)大的ACL配合使用，可以根據(jù)報(bào)文的源地址，目的地址,應(yīng)用協(xié)議進(jìn)行有效組合，實(shí)現(xiàn)策略路由。NPE嵌入了銳捷專業(yè)DPI引擎，具有豐富的流控功能：采用銳捷自主研發(fā)的新一代DPI引擎，能夠準(zhǔn)確識(shí)別包括P2P應(yīng)用、IM、炒股軟件、流媒體、企業(yè)辦公、網(wǎng)絡(luò)游戲等在內(nèi)的總共600種協(xié)議；支持基于用戶（源IP地址）、目標(biāo)IP地址、時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行靈活的阻斷與允許功能。（比如：政府的政務(wù)公開的服務(wù)器，高校的精品課程服務(wù)器等），NPE能夠通過智能判斷訪問用戶所在運(yùn)營(yíng)商，而將訪問數(shù)據(jù)智能解析定位到對(duì)應(yīng)的ISP鏈路上，以加速對(duì)服務(wù)器的訪問。此時(shí)，NPE能夠通過線路帶寬大小、線路帶寬利用率、鏈路響應(yīng)等因素綜合分析判斷，智能的為用戶選擇最快速最優(yōu)的訪問線路。WEB可視化管理，簡(jiǎn)單易用NPE重構(gòu)了Web管理方式，讓使用者能夠輕松駕馭NPE網(wǎng)絡(luò)出口引擎的強(qiáng)大功能。狀態(tài)檢測(cè)：對(duì)基于六元組來識(shí)別網(wǎng)絡(luò)流量，并針對(duì)每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。NPE采用先進(jìn)的流表處理技術(shù)，利用源IP、目的IP、源端口、目的端口、協(xié)議號(hào)等5個(gè)元素來定義一條流。NPE針對(duì)經(jīng)過出口的數(shù)據(jù)流、設(shè)備和網(wǎng)絡(luò)攻擊進(jìn)行相關(guān)日志信息的記錄，為用戶事后分析、審計(jì)提供重要信息（日志服務(wù)器支持遠(yuǎn)程web查看和檢索）。簡(jiǎn)單的，可以通過所訪問的目的地址進(jìn)行區(qū)分，訪問電信走電信線路，訪問網(wǎng)通走網(wǎng)通線路。但是，對(duì)于擁有兩條或兩條以上的互聯(lián)網(wǎng)鏈路的用戶，如何既保證多條鏈路帶寬被充分利用不被浪費(fèi)，又保證對(duì)內(nèi)對(duì)外訪問所選擇的路徑是最快速的最優(yōu)的？ NPE全新融入多鏈路負(fù)載均衡技術(shù)，對(duì)多個(gè)ISP鏈路的可用性和性能進(jìn)行監(jiān)督，對(duì)雙向數(shù)據(jù)流進(jìn)行智能路徑選擇，從而保證用戶擁有最佳的互聯(lián)網(wǎng)接入體驗(yàn)。有效的流量控制流量控制是防止某些用戶或者應(yīng)用（如BT、迅雷、網(wǎng)絡(luò)電視等P2P應(yīng)用）占用過多的網(wǎng)絡(luò)資源，保證用戶能夠公平使用帶寬。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)150條NAT會(huì)話，則可以同時(shí)支持將近20000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線。銳捷NPE設(shè)備，采用NAT與REF（銳捷快速轉(zhuǎn)發(fā)）高效配合，并充分利用xflow技術(shù)，實(shí)現(xiàn)高速NAT，NPE成為網(wǎng)絡(luò)出口的高性能推力引擎。此外，NPE針對(duì)國(guó)內(nèi)普遍存在的NAT進(jìn)行優(yōu)化，并發(fā)會(huì)話和新建會(huì)話能力在業(yè)內(nèi)首屈一指。方便易用易管理采用靈活復(fù)用的千兆電接口和千兆SFP口組合的形式，可最靈活滿足是否需要多個(gè)千兆鏈路上鏈或多個(gè)千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架構(gòu)靈活選擇連接形式；支持設(shè)備間的混合堆疊，通過堆疊不僅可以統(tǒng)一管理和使用設(shè)備，降低管理成本，同時(shí)可以靈活地組合和擴(kuò)展端口，平滑擴(kuò)容，保障了網(wǎng)絡(luò)的高度靈活和可擴(kuò)展，網(wǎng)絡(luò)管理更加簡(jiǎn)單；提供圖形化的安全策略管理平臺(tái)，支持安全策略自動(dòng)同步下發(fā)、升級(jí)和維護(hù)功能，安全策略智能化，可大幅度提高交換機(jī)管理和配置效率，提高網(wǎng)絡(luò)安全；網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）保證交換機(jī)時(shí)間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；多端口同步監(jiān)控，通過一個(gè)端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；CLI界面，方便高級(jí)用戶配置和使用；Javabased Web管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面配置和管理，智能人性化的配置界面，實(shí)現(xiàn)快速和高效地配置設(shè)備。全面的安全控制策略通過與銳捷網(wǎng)絡(luò)全局安全解決方案GSN的結(jié)合，可在安全策略方面為用戶提供全面的立體三維的技術(shù)特性和解決方案，完全解除安全威脅、攻擊、病毒、ARP欺騙等侵害，還網(wǎng)絡(luò)一片綠色，讓用戶更安心、省心上網(wǎng)；硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的靈活綁定，嚴(yán)格限定端口上的用戶接入；通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，保障了信息安全，同時(shí)不必占用VLAN資源；專用的硬件防范ARP網(wǎng)關(guān)和ARP主機(jī)欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)；支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCP Server，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動(dòng)態(tài)監(jiān)測(cè)ARP和檢查源IP，可有效防范DHCP動(dòng)態(tài)分配IP環(huán)境下的ARP主機(jī)欺騙和源IP地址的欺騙；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備，保護(hù)網(wǎng)絡(luò)免遭干擾和竊聽；通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動(dòng)態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制（如專家級(jí)ACL、時(shí)間ACL、用戶自定義ACL）、基于數(shù)據(jù)流的帶寬限速、用戶安全接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。RGS2900E系列交換機(jī)包括RGS2928GE 、RGS2952GE二款產(chǎn)品，是銳捷網(wǎng)絡(luò)基于網(wǎng)絡(luò)安全和易用好管理的理念推出的新一代安全智能交換機(jī)，充分融合了網(wǎng)絡(luò)發(fā)展需要的高性能、高安全、多業(yè)務(wù)、易用性特點(diǎn)，為用戶提供全新的技術(shù)特性和解決方案。高可靠性、完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；支持RLDP，可快速檢測(cè)鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測(cè)功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象；支持RERP，專門為核心以太網(wǎng)設(shè)計(jì)的二層鏈路冗余備份協(xié)議，其環(huán)路阻斷以及鏈路恢復(fù)都集中在主控設(shè)備上進(jìn)行,非主控設(shè)備直接向主控設(shè)備匯報(bào)自己的鏈路情況,無需經(jīng)過其他非主控設(shè)備的處理,因此環(huán)路中斷以及恢復(fù)時(shí)間比STP快。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPvMSDP等協(xié)議族，為IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)、IPv4和IPv6共存的網(wǎng)絡(luò)提供了組播服務(wù)支持；支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；支持等價(jià)路由（ECMP）、權(quán)重路由（WCMP）等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下的通信需要。靈活完備的安全策略具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描機(jī)制、端口ARP報(bào)文的合法性檢查、多種硬件ACL策略等，還網(wǎng)絡(luò)一片綠色；支持基于硬件的IPv6 ACL，即使在IPv4網(wǎng)絡(luò)內(nèi)有IPv6用戶，也可輕松在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)對(duì)IPv6用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi)IPv4/IPv6用戶并存，也可以對(duì)IPv6用戶的訪問權(quán)限進(jìn)行控制，比如限制對(duì)網(wǎng)絡(luò)敏感資源的訪問等；業(yè)界領(lǐng)先的硬件CPU保護(hù)機(jī)制：特有的CPU保護(hù)策略（CPP技術(shù)），對(duì)發(fā)往CPU的數(shù)據(jù)流，進(jìn)行流區(qū)分和優(yōu)先級(jí)隊(duì)列分級(jí)處理，并根據(jù)需要實(shí)施帶寬限速，充分保護(hù)CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護(hù)了交換機(jī)的安全；硬件實(shí)現(xiàn)端口或交換機(jī)整機(jī)與用戶IP地址和MAC地址的靈活綁定，嚴(yán)格限定端口上的用戶接入或交換機(jī)整機(jī)上的用戶接入問題；支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCP Server的欺騙；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動(dòng)態(tài)監(jiān)測(cè)ARP和檢查用戶的IP，直接丟棄不符合綁定表項(xiàng)的非法報(bào)文，有效防范ARP欺騙和用戶源IP地址的欺騙問題；基于源IP地址控制的Telnet設(shè)備訪問控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強(qiáng)了設(shè)備網(wǎng)管的安全性；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安全、時(shí)間ACL、基于數(shù)據(jù)流的帶寬限速等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。而萬兆端口的可擴(kuò)展性既方便用戶現(xiàn)在使用萬兆網(wǎng)絡(luò)，也方便用戶后續(xù)升級(jí)網(wǎng)絡(luò)到萬兆。根據(jù)不同應(yīng)用對(duì)不同業(yè)務(wù)流分級(jí)處理，保證重要數(shù)據(jù)傳輸無延時(shí)。RGS5750E系列交換機(jī)能夠提供靈活的介質(zhì)接口，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要。該產(chǎn)品可以用于高校校園網(wǎng)、企業(yè)辦公外網(wǎng)、政府機(jī)構(gòu)辦公網(wǎng)、醫(yī)療外網(wǎng)、普教城域網(wǎng)、普教校園網(wǎng)、金融外聯(lián)網(wǎng)等網(wǎng)絡(luò)出口設(shè)備的NAT日志和URL日志收集，作為用戶行為審計(jì)的依據(jù)。RGeLog可以結(jié)合銳捷出口引擎（RGNPE）、應(yīng)用控制引擎(RGACE)全系列產(chǎn)品、銳捷認(rèn)證系統(tǒng)（SAM或SMP），實(shí)現(xiàn)對(duì)出口引擎提供的NAT五元組、ACE提供的URL訪問日志的分析?？焖俸?jiǎn)單的部署方式，人性化的操作邏輯，致力于將用戶的部署成本和操作成本降到最低。再次，在RGS861RGS860RGS5750上設(shè)置雙棧、IPv6靜態(tài)路由和ISATAP隧道，保證匯聚設(shè)備不支持IPv6的區(qū)域，可以實(shí)現(xiàn)跨三層支持IPv6功能，這樣就保證了全網(wǎng)IPv6的實(shí)現(xiàn)。應(yīng)