【正文】 狀態(tài)檢測：對基于六元組來識別網(wǎng)絡(luò)流量，并針對每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。NPE采用先進的流表處理技術(shù)，利用源IP、目的IP、源端口、目的端口、協(xié)議號等5個元素來定義一條流。WEB可視化管理，簡單易用NPE重構(gòu)了Web管理方式，讓使用者能夠輕松駕馭NPE網(wǎng)絡(luò)出口引擎的強大功能。NPE針對經(jīng)過出口的數(shù)據(jù)流、設(shè)備和網(wǎng)絡(luò)攻擊進行相關(guān)日志信息的記錄，為用戶事后分析、審計提供重要信息（日志服務(wù)器支持遠程web查看和檢索）。此時，NPE能夠通過線路帶寬大小、線路帶寬利用率、鏈路響應(yīng)等因素綜合分析判斷，智能的為用戶選擇最快速最優(yōu)的訪問線路。簡單的，可以通過所訪問的目的地址進行區(qū)分，訪問電信走電信線路，訪問網(wǎng)通走網(wǎng)通線路。（比如：政府的政務(wù)公開的服務(wù)器，高校的精品課程服務(wù)器等），NPE能夠通過智能判斷訪問用戶所在運營商，而將訪問數(shù)據(jù)智能解析定位到對應(yīng)的ISP鏈路上，以加速對服務(wù)器的訪問。但是，對于擁有兩條或兩條以上的互聯(lián)網(wǎng)鏈路的用戶，如何既保證多條鏈路帶寬被充分利用不被浪費，又保證對內(nèi)對外訪問所選擇的路徑是最快速的最優(yōu)的？ NPE全新融入多鏈路負載均衡技術(shù)，對多個ISP鏈路的可用性和性能進行監(jiān)督，對雙向數(shù)據(jù)流進行智能路徑選擇，從而保證用戶擁有最佳的互聯(lián)網(wǎng)接入體驗。NPE嵌入了銳捷專業(yè)DPI引擎，具有豐富的流控功能：采用銳捷自主研發(fā)的新一代DPI引擎，能夠準確識別包括P2P應(yīng)用、IM、炒股軟件、流媒體、企業(yè)辦公、網(wǎng)絡(luò)游戲等在內(nèi)的總共600種協(xié)議；支持基于用戶（源IP地址）、目標IP地址、時間、協(xié)議和應(yīng)用等為參數(shù)進行靈活的阻斷與允許功能。有效的流量控制流量控制是防止某些用戶或者應(yīng)用（如BT、迅雷、網(wǎng)絡(luò)電視等P2P應(yīng)用）占用過多的網(wǎng)絡(luò)資源，保證用戶能夠公平使用帶寬。與功能強大的ACL配合使用，可以根據(jù)報文的源地址，目的地址,應(yīng)用協(xié)議進行有效組合，實現(xiàn)策略路由。如果按照每個網(wǎng)絡(luò)節(jié)點150條NAT會話，則可以同時支持將近20000臺的網(wǎng)絡(luò)節(jié)點同時在線。在啟用NAT功能并端口線速轉(zhuǎn)發(fā)的情況下，可提供每秒15萬的UDP新建連接、14萬條的TCP新建全連接。銳捷NPE設(shè)備，采用NAT與REF（銳捷快速轉(zhuǎn)發(fā)）高效配合，并充分利用xflow技術(shù)，實現(xiàn)高速NAT，NPE成為網(wǎng)絡(luò)出口的高性能推力引擎。先進的體系架構(gòu)NPE系列網(wǎng)絡(luò)出口引擎采用多核處理器體系架構(gòu)，單個處理器內(nèi)部基于銳捷自主知識產(chǎn)權(quán)的虛擬多處理器（vCPU）技術(shù)，從而在xflow框架下構(gòu)建起一個高性能、高穩(wěn)定的轉(zhuǎn)發(fā)平臺全新的多核架構(gòu)在滿足高性能、低功耗、高靈活性、易升級的要求下，讓NPE成功的向更深層次發(fā)展。此外，NPE針對國內(nèi)普遍存在的NAT進行優(yōu)化，并發(fā)會話和新建會話能力在業(yè)內(nèi)首屈一指。RGNPE（Network outPut Engine，網(wǎng)絡(luò)出口引擎）系列產(chǎn)品，是銳捷網(wǎng)絡(luò)公司針對國內(nèi)網(wǎng)絡(luò)出口狀況研發(fā)的專用設(shè)備。方便易用易管理采用靈活復(fù)用的千兆電接口和千兆SFP口組合的形式，可最靈活滿足是否需要多個千兆鏈路上鏈或多個千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架構(gòu)靈活選擇連接形式；支持設(shè)備間的混合堆疊，通過堆疊不僅可以統(tǒng)一管理和使用設(shè)備，降低管理成本，同時可以靈活地組合和擴展端口，平滑擴容，保障了網(wǎng)絡(luò)的高度靈活和可擴展，網(wǎng)絡(luò)管理更加簡單；提供圖形化的安全策略管理平臺，支持安全策略自動同步下發(fā)、升級和維護功能，安全策略智能化，可大幅度提高交換機管理和配置效率，提高網(wǎng)絡(luò)安全；網(wǎng)絡(luò)時間協(xié)議（NTP）保證交換機時間的準確性，并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理；多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；CLI界面，方便高級用戶配置和使用；Javabased Web管理方式，實現(xiàn)對交換機的可視化圖形界面配置和管理，智能人性化的配置界面，實現(xiàn)快速和高效地配置設(shè)備。完善的QoS策略以DiffServ標準為核心的QoS保障系統(tǒng)，、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實現(xiàn)靈活精細的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，帶寬限制粒度達64Kbps，支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、以及不同業(yè)務(wù)所需要的服務(wù)質(zhì)量特性，提供差異化服務(wù)。全面的安全控制策略通過與銳捷網(wǎng)絡(luò)全局安全解決方案GSN的結(jié)合，可在安全策略方面為用戶提供全面的立體三維的技術(shù)特性和解決方案，完全解除安全威脅、攻擊、病毒、ARP欺騙等侵害，還網(wǎng)絡(luò)一片綠色，讓用戶更安心、省心上網(wǎng)；硬件實現(xiàn)端口與MAC地址和用戶IP地址的靈活綁定，嚴格限定端口上的用戶接入；通過將端口設(shè)為保護端口即可簡單方便地隔離用戶之間信息互通，保障了信息安全，同時不必占用VLAN資源；專用的硬件防范ARP網(wǎng)關(guān)和ARP主機欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)；支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCP Server，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查源IP，可有效防范DHCP動態(tài)分配IP環(huán)境下的ARP主機欺騙和源IP地址的欺騙；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備，保護網(wǎng)絡(luò)免遭干擾和竊聽；通過內(nèi)在的多種安全機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制（如專家級ACL、時間ACL、用戶自定義ACL）、基于數(shù)據(jù)流的帶寬限速、用戶安全接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。RGS2900E系列交換機提供了SNMP、Telnet、Web和Console口等多種配置方式方便網(wǎng)絡(luò)管理和維護，并提供最為靈活和完善的端口組合形式，非常利于用戶根據(jù)網(wǎng)絡(luò)布線需要，選擇所需的上行鏈路的接口形式。RGS2900E系列交換機包括RGS2928GE 、RGS2952GE二款產(chǎn)品，是銳捷網(wǎng)絡(luò)基于網(wǎng)絡(luò)安全和易用好管理的理念推出的新一代安全智能交換機，充分融合了網(wǎng)絡(luò)發(fā)展需要的高性能、高安全、多業(yè)務(wù)、易用性特點，為用戶提供全新的技術(shù)特性和解決方案。支持BFD，為各上層協(xié)議如路由協(xié)議，MPLS等提供一種快速檢測兩臺路由設(shè)備之間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路狀態(tài)變化時的收斂時間。高可靠性、完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；支持RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象；支持RERP，專門為核心以太網(wǎng)設(shè)計的二層鏈路冗余備份協(xié)議，其環(huán)路阻斷以及鏈路恢復(fù)都集中在主控設(shè)備上進行,非主控設(shè)備直接向主控設(shè)備匯報自己的鏈路情況,無需經(jīng)過其他非主控設(shè)備的處理,因此環(huán)路中斷以及恢復(fù)時間比STP快。智能偵測MPLS斷網(wǎng)，智能選擇冗余線路保持MPLS VPN的連通性。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPvMSDP等協(xié)議族，為IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)、IPv4和IPv6共存的網(wǎng)絡(luò)提供了組播服務(wù)支持；支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；支持等價路由（ECMP）、權(quán)重路由（WCMP）等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下的通信需要。NFPP (Network Foundation Protection Policy基礎(chǔ)網(wǎng)絡(luò)保護策略)是用來增強交換機安全的一種保護體系，通過對攻擊源頭采取隔離措施，可以使交換機的處理器和信道帶寬資源得到保護，從而保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常。靈活完備的安全策略具有的多種內(nèi)在機制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描機制、端口ARP報文的合法性檢查、多種硬件ACL策略等，還網(wǎng)絡(luò)一片綠色；支持基于硬件的IPv6 ACL，即使在IPv4網(wǎng)絡(luò)內(nèi)有IPv6用戶，也可輕松在網(wǎng)絡(luò)邊緣實現(xiàn)對IPv6用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi)IPv4/IPv6用戶并存，也可以對IPv6用戶的訪問權(quán)限進行控制，比如限制對網(wǎng)絡(luò)敏感資源的訪問等；業(yè)界領(lǐng)先的硬件CPU保護機制：特有的CPU保護策略（CPP技術(shù)），對發(fā)往CPU的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護了交換機的安全；硬件實現(xiàn)端口或交換機整機與用戶IP地址和MAC地址的靈活綁定，嚴格限定端口上的用戶接入或交換機整機上的用戶接入問題；支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCP Server的欺騙；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查用戶的IP，直接丟棄不符合綁定表項的非法報文，有效防范ARP欺騙和用戶源IP地址的欺騙問題；基于源IP地址控制的Telnet設(shè)備訪問控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強了設(shè)備網(wǎng)管的安全性；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安全、時間ACL、基于數(shù)據(jù)流的帶寬限速等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。虛擬化技術(shù) 支持VSU（Virtual Switch Unit）即虛擬交換單元技術(shù)。而萬兆端口的可擴展性既方便用戶現(xiàn)在使用萬兆網(wǎng)絡(luò)，也方便用戶后續(xù)升級網(wǎng)絡(luò)到萬兆。RGS5750E系列交換機以極高的性價比為大型網(wǎng)絡(luò)匯聚、中型網(wǎng)絡(luò)核心、數(shù)據(jù)中心服務(wù)器接入提供了高性能、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。根據(jù)不同應(yīng)用對不同業(yè)務(wù)流分級處理，保證重要數(shù)據(jù)傳輸無延時。硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，可靈活應(yīng)用于純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)、IPv4到IPv6共存的網(wǎng)絡(luò)，能充分滿足當前園區(qū)網(wǎng)從IPv4向IPv6過渡的需要。RGS5750E系列交換機能夠提供靈活的介質(zhì)接口，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要。另一方面，針對網(wǎng)絡(luò)的有效提高網(wǎng)絡(luò)帶寬利用效，需要對數(shù)據(jù)流量進行全面監(jiān)控和分析，為此，特別配置了一套銳捷流量分析系統(tǒng)，它是專門用來監(jiān)視網(wǎng)絡(luò)活動，幫助用戶了解流量構(gòu)成、協(xié)議分布和用戶活動的軟件，廣泛適用于各種行業(yè)網(wǎng)絡(luò)的流量統(tǒng)計，它利用Flow技術(shù)來收集網(wǎng)絡(luò)中有關(guān)流量的重要信息，并對收集的數(shù)據(jù)進行深入分析，為管理人員提供豐富有用的報表，以些用于監(jiān)控網(wǎng)絡(luò)系統(tǒng)內(nèi)的帶寬效用情況、進行流量與協(xié)議分析。該產(chǎn)品可以用于高校校園網(wǎng)、企業(yè)辦公外網(wǎng)、政府機構(gòu)辦公網(wǎng)、醫(yī)療外網(wǎng)、普教城域網(wǎng)、普教校園網(wǎng)、金融外聯(lián)網(wǎng)等網(wǎng)絡(luò)出口設(shè)備的NAT日志和URL日志收集，作為用戶行為審計的依據(jù)。RGeLog也可以與銳捷全系列防火墻和銳捷認證系統(tǒng)（SAM或SMP）配合，實現(xiàn)對防火墻提供的NAT五元組、URL訪問日志的分析。RGeLog可以結(jié)合銳捷出口引擎（RGNPE）、應(yīng)用控制引擎(RGACE)全系列產(chǎn)品、銳捷認證系統(tǒng)（SAM或SMP），實現(xiàn)對出口引擎提供的NAT五元組、ACE提供的URL訪問日志的分析。如果讓RGeLog和銳捷用戶認證系統(tǒng)（SAM或SMP）對接，可以提供詳細的用戶信息，如用戶賬號、用戶名、地址、電話等?？焖俸唵蔚牟渴鸱绞剑诵曰牟僮鬟壿?，致力于將用戶的部署成本和操作成本降到最低。產(chǎn)品用于局域網(wǎng)出口日志NAT日志和URL訪問日志采集，配合銳捷認證系統(tǒng)的日志信息進行分析，以提供網(wǎng)絡(luò)用戶行為的日志審計和出口流量的統(tǒng)計分析，提供上網(wǎng)日志信息統(tǒng)計和違規(guī)信息統(tǒng)計功能以及出口流量分析功能。再次，在RGS861RGS860RGS5750上設(shè)置雙棧、IPv6靜態(tài)路由和ISATAP隧道，保證匯聚設(shè)備不支持IPv6的區(qū)域，可以實現(xiàn)跨三層支持IPv6功能，這樣就保證了全網(wǎng)IPv6的實現(xiàn)。其次，把核心、區(qū)域匯聚的IPv6三層交換機（RGS861RGS860RGS5750）開啟雙棧及IPv6的靜態(tài)路由或OSPFv3。應(yīng)用程序可以選擇使用IPv6或IPv4。部署過程如下：首先把IPv6的CERNET2專線接到一臺核心的RGS8614上，在核心上開啟Ipv6雙棧及靜態(tài)路由，保證與CERNET2的互通。而其它的本科高校最終都要接入CERNET2，因此我們此次為天水農(nóng)業(yè)學校校園網(wǎng)的規(guī)劃中也特別關(guān)注了這一點。目前很多高校已經(jīng)或開始建設(shè)校園內(nèi)的IPv6網(wǎng)絡(luò)（局部）或IPv6的城域網(wǎng)（覆蓋城域范圍內(nèi)的若干高校），這些IPv6網(wǎng)絡(luò)都將接入CERNET2。高校向來是國家前沿技術(shù)的陣地，在下一代互聯(lián)網(wǎng)的重大歷史機遇面前，承擔起IPv6的研究工作責無旁貸。這樣可以大大減少網(wǎng)絡(luò)停止時間。使管理員從多數(shù)重復(fù)性、非生產(chǎn)性工作中解放出來，提高工作的效率。SNC具有如下特點：減少手動錯誤SNC基于界面的向?qū)降呐渲梅绞綆椭鷾p少配置更改過程中的手動錯誤。RGSNC專注于網(wǎng)絡(luò)變更與配置管理，采用友好的全中文Web瀏覽器界面，可以遠程協(xié)同維護和管理，采用非代理模式，避免了傳統(tǒng)的“Agent”模式的繁瑣和重復(fù)性勞動，而且便于實施和后期維護，