班班通技术方案

班班通技术方案内容摘要：

、企业办公、网 络游戏等在内的总共600 多种协议。  网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。 基于协议和基于用户的实时流量分析器，提供基于源 /目的 IP 地址、服务端口、应用协议、 Session 数以及流量大小等详细信息。  支持基于用户（源 IP 地址）、目标 IP 地址、时间、协议和应用等为参数进行灵活的阻断与允许功能。 包括：进行上行与下行带宽控制、进行 Session 数量控制等。  支持组对象的配置，如定义用户组（ IP 组）、协议组（如 P2P协议组、游戏组）对同一类型的应用、相同级别的用户 进行带宽管理策略的控制。 自主研发 URL 过滤，跟非法网络说 ByeBye  URL 数据库：系统全天候获取 URL 信息， URL 规则库分为 41个类别， 600 万条目数。  URL 分类举例：军事、体育、政治、经济、教育、文学艺术、娱乐、游戏、商业、 IT 类、科学、社会生活、 BBS 站点、 WEB通信、在线聊天、门户网站与搜索引擎、远程代理、色情、成人、赌博、毒品、暴力、违反道德、犯罪技能、违反法律、博客、房地产、广告、宗教信仰、求职招聘、旅游  定期自动更新 URL 库：类似于 windows 自动更新程式，让设备可设定时间，定期从 服务 器获得最新 URL 库，保证设备 URL的实效性和准确性 深层次内容审计，本地化日志记录，基于用户身份的审计功能 日志对于网络安全的分析和设备的安全管理非常重要，尤其在配合公安机关进行反向查询和定位安全事件的时候。 EG 针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录。 为用户事后分析、审计提供重要信息（日志支持远程 web 查看和检索）。 EG 易网关的日志审计包括：  Flow 流日志：源 IP、目的 IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息  出口 NAT 日志：经过 NAT 转换前的源 IP 地址、源端口，经过 NAT 转换后的源 IP 地址、源端口，所访问的目的 IP、目的端口、协议、开始时间、结束时间等关键信息  URL 日志：支持上网五元组、 HTTP 访问的详细 URL 日志记录功能。  设备日志：设备状态，系统事件日志  攻击日志：设备网络受到攻击的日志信息 EG 易网关的内容审计包括：  支持邮件内容审计：邮件客户端方式，如 foxmail、 outlook等； webmail 方式，如新浪、 16雅虎等；  支持聊天内容审计： 、 MSN 等；  支持 BBS 论坛内容审计：天涯社区、猫扑、动网官方网站、PHPWIN 官方网 站等  支持加密内容审计、 UDP 内容审计；  EG 内置 160G 企业级 SATA 硬盘，支持日志本地化存储，和异地集中存储两种方式。 设备软、硬件高可靠性，保障网络出口不中断运行  支持桥接模式、路由模式、旁路模式等多种部署方式，充分满足多种环境下的部署要求： 1）桥接透明接入不改变任何其他设备配置，实现完整 URL 过滤、流量控制、内容审计；2）旁路方式确保网络无单点故障，不对网络性能产生任何影响。  内置硬件 BYPASS，保证设备掉电、重启等异常情况下转发不中断；  关键装置的冗余：多 PCI 总线冗余、 1+1 电源冗余（ EG1000E支持）、双启动映像文件 /双配置文件 .  模块化软件设计：在降低软件的复杂度同时，将问题隔离在软件模块内。 某个软件模块出错，不会让机器崩溃。  同时具备 web 界面和标准的 CLI 配置界面，降低学习和使用成本，给维护带来极大方便。 产品参数： 技术参数 参数描述 产品型号 RGEG1000S CPU MIPS 多核处理器 固化电口 6GE 固化光口 1GE 管理口 1GE 内存（ DDRII） 2G 内置硬盘 160G 企业级硬盘 USB 接口 固化 1 个 接口 SD 卡接口 1 个 SD 卡接口 硬件BYPASS 支持电口 /光口 BYPASS 部署方式 路由模式 /桥接模式 /旁路模式 /窥探模式 指示灯 每端口： Link/Active 状态指示（连接 /工作） 技术参数 参数描述 产品型号 RGEG1000S 每设备： Power、系统状态（饱和 /繁忙 /正常 /空闲）、 USB/SD状态、硬盘指示灯 网络协议 支持 TCP/IP 协议簇，实现了 IP、 ICMP、 IGMP、 TCP 和 UDP等协议 支持多种路由协议：静态路由、 RIP(V1/V2)、 OSPF 支持 DHCP Relay 、 DHCP Server 支持 PPPoE 支持 NAT，支持多种 NAT ALG，包括 FTP、 、 DNS 等 支持 Ping、 Tracert 故障检测 支持 QoS（ PQ、 CQ、 FIFO、 WFQ、 CBWFQ 等） 管理协议 中文 WEB 配置管理和监控 支持 SNMPv1/v2 CLI(Tel/Console) TFTP 升级和配置文件管理 支持异步文件传输协议 XMODEM 升级方式 网络安全 彻底 ARP 防攻击 防机器狗病毒 防内网攻击 /外网攻击 支持安全地址绑定 防止 WAN 口 Ping 防端口扫描攻击 防止分片报文攻击 防止 ICMP flood 攻击 防止 TearDrop 攻击 技术参数 参数描述 产品型号 RGEG1000S 防止 Ping of Death 防止 Land 攻击 防止 Smurf/Fraggled 攻击 防止 Syn Flood 应用识别 支持自主研发的 17 类 /600 种应用；可自定义协议识别； P2P 应用：包括 Bittorrent、电驴、迅雷、 EDONKEY、百度下吧、天网 MAZE、超级旋风、 KUGOO、 VAGAA、 FLashGet、等几十种常用 P2P 应用 流媒体软件：包括 live、 PPSTREAM、 PPLIVE、飞速土豆、酷我、新浪直播等几十种常用的流媒体软件 聊天软件：包括 MSN、 、 YAHOO、阿里旺旺、新 浪 UC 等十多种聊天软件 常用的游戏软件：包括联众游戏、 堂、 游戏、浩方对战平台、地下城与勇士 、穿越火线、魔兽世界、传奇、大话西游等 企业内部典型应用：包括 HTTP、 FPT、 SMTP、 POP IMAP、Tel、 LOTUSNOTES、 SQL Server、 Oracle、 Mysql、 HTTPS 等 流量控制 基于应用 /用户 /时段的流量控制； 基于应用 /用户 /时段的阻断 URL 过滤 URL 日志 支持 41 类 /600 万个 URL 规则库； 支持自定义 URL； 支持远程 HTPP 自动升级 URL 库； 本地化日 志存储（ NAT 日志、流日志、 URL 日志等） 内容审计 支持邮件内容审计：邮件客户端方式，如 foxmail、 outlook等； webmail 方式，如新浪、 16雅虎等； 技术参数 参数描述 产品型号 RGEG1000S 支持聊天内容审计： 、 MSN 等； 支持 BBS 论坛内容审计：天涯社区、猫扑、动网官方网站、PHPWIN 官方网站等 支持加密内容审计、 UDP 内容审计； 其他特性 支持 WEB 认证 支持 IPSec VPN、 SSL VPN 支持智能 DNS 支持多链路负载均衡 支持 HTTP 在线远程升级特征库、主机软件版本等 规格 1U 输入电压 AC: 100~240V 50~60Hz 中型核心交换机 S5750S24GT/12SFP 产品图片 产品概述 RGS5750 系列是 IPv6 的万兆 多层交换机。 该系列产品为 IPv4 网络的建设、IPv4 向 IPv6 网络过渡、以及 IPv6 网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。 全千兆的端口形态，加上可扩展的万兆端口， 特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器 群的 接入使用。 硬件支持 IPv4/IPv6 双协议栈多层线速交换和功能特性，为 IPv6 网络 之间的通信提供了丰富的 Tunnel 技术，可灵活应用于纯 IPv4 网络、纯 IPv6 网络、IPv4 到 IPv6 共存的网络，能充分满足当前园区网从 IPv4 向 IPv6 过渡的需要。 产品特性 高性能  万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。 而万兆端口的可扩展性既方便用户现在使用万兆网路，也方便用户后续升级网络到万兆。 IPv4/IPv6 双栈协议多层交换  硬件支持 IPv4/IPv6 双协议栈多层线速交换，硬件区分和处理 IPv IPv6 协议报文，支持多种 Tunnel 隧道技术（ 如手工配置隧道、 6to4 隧道和 ISATAP 隧道等等），可根据 IPv6网络的需求规划和网络现状，提供灵活的 IPv6 网络间通信方案；  支持丰富的 IPv4 路由协议，包括静态路由、 RIP、 OSPF、 BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；  支持丰富的 IPv6 路由协议，包括静态路由、 RIPng、 OSPFvBGP4+等，不论是在升级现有网络至 IPv6 网络，还是新建IPv6 网络，都可灵活选择合适的路由协议组建网络。  S5750 硬件版本设备支持 MCE 功能，可以在 BGP/MPLS VPN 组网应用中承担多个 VPN 实例的 CE 功能，减少用户设备的投入 灵活完备的安全策略  具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 Dos 攻击、防黑客 IP 扫描机制、端口 ARP 报文的合法性检查、多种硬件 ACL 策略等，还网络一片绿色；  支持基于硬件的 IPv6 ACL，即使在 IPv4 网络内有 IPv6 用户，也可轻松在网络边缘 实现对 IPv6 用户的访问控制， 既可允许网络内 IPv4/IPv6 用户并存，也可以对 IPv6 用户 的访问权限进行控制，比如限制 对网络敏感资源的访问 等；  业界领先的硬件 CPU 保护机制：特有 的 CPU 保护策略（ CPP技术 ），对发往 CPU 的数据流，进行流区分和优先级队列分级处理，并 根据需要 实施带宽限速，充分保护 CPU 不被非法流量占用、恶意攻击和资源消耗，保障了 CPU 安全，充分保护了交换机的安全 ；  硬件实现端口 或交换机整机 与用户 IP 地址 和 MAC 地址 的灵活绑定，严格限定端口上 的 用户接入 或交换机整机上的用户接入问题；  支持 DHCP snooping，可只允许信任端口的 DHCP 响应，防止私设。