神州数码网络(北京)有限公司DCME多核引擎系列DCME-300多核引擎多核引擎是神州数码网络采用了业界最先进的多核处理器技术和CrossBar交换架构,针对多用户数、多流量、多业务种类而推出的新一代高性能互联网出口网关,集成了宽带路由器、高性能防火墙、交换机、硬件VPN、应用层流量管理及监控、内网安全等功能,开启6项功能后,性能表现相当优异, 在业界同类产品中相当出众,DCME-300对应于300用户的计算机局域网规模DCME-300采用64位多核处理器,配合安全防火墙操作系统为核心,对多核处理器进行优化,搭载海量高速DDR2内存,与传统防火墙、宽带路由器相比具有超高的线速吞吐能力和业界领先的新建连接能力,故把它称作”多核引擎”此外,专业防火墙功能极其强大,可有效抵御ARP、DDoS等各种网络攻击,支持链路负载均衡和策略路由,配置简单易用,特别适合于网吧、连锁型企业、中小学、区县医院、酒店、政府、运营商等复杂网络应用环境的应用产品定位n 大中型网吧/连锁型酒店、超市等/中小学/区县医院/政府等作为高性能安全互联网接入设备;n 高性能VPN网关;n 行业纵向网区县级多业务综合网关,如独创的ARP病毒彻底解决方案,出众的流量管理和监控、高性能防火墙等高性价比一揽子接入解决方案;产品特征n 全千兆及创新的高性能硬件架构DCME-300是一款5个GE的多核引擎, 全部为千兆接口, 采用Cavium多核处理器 + Mavell千兆交换总线架构配合专用处理器优化系统使得DCME具有无比高效的性能,采用硬件并发流水作业的方式,完成数据流量的深度检测、整形以及安全防御,尤其是在防火墙/VPN等功能开启后,混包性能高达133M, 完全满足多核引擎千兆接口接入到运营商的100M线路后,实现100M线路的满负荷。
n WAN口功能支持流量负载均衡支持静态路由、RIP路由及策略路由支持电信、网通、铁通和教育网路由的智能选择支持多链路备份支持案预设时间自动断线、自动拨号连接、断线自动重拨每WAN口支持最大8条ADSL链路n 灵活的LAN口功能虚拟交换机技术,设备每个LAN端口可划分到2-24个独立分区中,在设备配置时可针对每个不同分区实施不同的安全规则和带宽管理策略,并可对不同区之间的访问加以控制内建DHCP服务器,每个LAN分区可获取不同的IP地址段内建一个千兆DMZ接口,支持对外开放服务器功能和端口映射功能若未启用,此接口将作为LAN口使用内建一个千兆镜像端口,WAN口流量全部镜像到此端口,用于安全审计和管理并可与常见信息过滤系统兼容若未启用,此接口将作为LAN口使用端口速率自适应(10/100/1000M)和端口MDI/MDI-X(正反线)自适应n 专业防火墙功能设备基于最先进的SPI(状态包检测)技术,配合强大的多核硬件平台,处理效率更高、更安全内建ARP防御机制,在完成内网客户端和设备间IP/MAC的自动绑定后,即可防止ARP病毒攻击内嵌专业防火墙安全操作系统,将复杂的防火墙配置易用化,使用户能够轻松管理和维护设备,得到专业级安全保护。
强大的抗攻击能力,可有效抵御SYN Flood、DDoS、IP报文分片攻击、IP地址扫描攻击等攻击行为n 集成硬件IPSec VPN支持多个分支机构虚拟私网互联支持PnpVPN(即插即用VPN),配置非常容易硬件支持DES/3DES/AES/SHA-1/MD5 n PnpVPN(即插即用VPN)ClientPnpVPN是新一代的即插即用的VPN.其特点是VPN分支节点只需进行简单配置即可完成部署, 多核引擎可作为PnPVPN客户端与神州数码多核防火墙组成完整的PnPVPN系统.n 先进的应用层QoS带宽管理基于应用的带宽管理: 多核引擎可识别的100多种网络协议进行带宽管理,比如HTTP/POP/SMTP等协议分配较大带宽保障,而将BT/迅雷等协议的使用带宽进行限制,可有效抑制多进程下载工具和病毒攻击爆发所带来的高会话数威胁.基于PC或自定义PC组分配带宽:可对指定IP地址段设定共享带宽,或为范围内每一IP地址(基于上行和下行)设定最大可用带宽.基于会话数的管理:通过对IP的会话数进行限制,可有效抑制多进程下载工具和病毒攻击爆发所带来的高会话数威胁.独创弹性QoS技术,可充分利用网络带宽并保持不同带宽用户之间的比例平衡.阻断P2P(BT、迅雷、eMule等)、IM(、MSN等)软件。
n 网络游戏加速及对P2P/IM应用的带宽管理支持联众世界、魔兽世界、天下II、穿越火线、特种部队、超级舞者、大话西游、巨人、魔域、天龙八部、街头篮球、跑跑卡丁车等游戏的协议优化,减少延迟提升玩家的体验效果,此功能非常适用于网吧行业多核引擎维护了一个游戏特征库,通过升级可以支持更多应用协议的识别和控制,这些应用包括各种版本的网络游戏、P2P软件、聊天工具和炒股软件.可对BT、迅雷、eMule、PPLive、PPStream、UUSee、风行网络电源、PPMate等多种P2P下载工具、视频工具的带宽进行限制和管理.可识别、MSN、Google Talk、Lava-Lava、Baidu Hi、Fetion、Aim、ICQ等IM软件进行限制和管理n 彻底解决ARP攻击MAC+IP+端口 360°全方位绑定ARP欺骗探测和可疑主机分析报表,该功能主要体现在日志报表功能中,根据ARP告警日志中出现最多的IP 或 MAC,进行统计和报表主动发送正确的ARP信息和交换端口隔离功能首创加密ARP协议,彻底解决ARP攻击DHCP报文监控运行安全客户端的PC与多核引擎之间,通过基于身份认证的私有ARP协议来保证PC获得网关认证过的MAC地址。
该协议基于PKI,其强大的反伪造和防重放机制使系统免受各种ARP变种攻击安全客户端可自动安装,而对于没有安装客户端的PC,管理员可设置禁止其访问网络免费分发的客户端程序安装到PC机后,可随时监控设备资源占用率及网络运行状态,发现攻击行为或网络断线等情况立即告警,同DCME配合实现由内至外的全方位管控n 故障调试功能专业的防火墙日志系统提供详细的系统、网络、安全日志.对指定IP的网络行流量、会话数、连接时间等进行监控.n 运营级高可靠性采用基于MIPS体系架构的CaviumNetworks多核网络处理器 采用业界领先的Marvell纯千兆交换芯片,稳定快速的处理数据主板采用高品质电子器件加SMT表面贴装工艺,保障硬件品质屏蔽式电源和机箱减少电磁辐射和干扰设备自我监测功能,实时监测设备温度和风扇转速,出现异常时自动关机,保护系统不会因此过热而损坏基于Ping、HTTP和ARP探测三种方式进行网络可达性检测并自动切换链路平均无故障时间:90000小时以上n 简便的全程管理全中文的图形化Web管理页面在配置向导的帮助下只需五分钟即可接通网络规格参数产品型号DCME-300参考并发带机数300台设备吞吐率300Mbps每秒新建连接数8000最大并发连接数100,000IPSec连接数1283DES+SHA-1 VPN吞吐率100Mbps处理器多核64位DRAM内存256MBFlash闪存256MB广域网WAN连接端口 (10/100/1000M)2×GEDMZ端口/镜像端口( 1000M),包含于LAN中1/1局域网LAN连接端口 (10/100/1000M)3外形尺寸(W×D×H)1U(442×240×44)电 源100-240V, 50/60Hz额定功率20W工作环境温度0-45℃环境相对湿度10-95%(不结露)重 量3kg功能列表项 目规格与参数网络功能多链路备援 多链路按时间计划自动切换多链路智能负载均衡UPnPPC即插即用上网源地址/目的地址路由电信/网通/铁通/教育网路由RIP动态路由协议最多可连接16条ADSL线路(PPPoE连接数)DHCP Client/DHCP ServerIP/MAC/端口地址绑定主动ARP广播QoS及带宽管理可管理主机数300台基于应用QoS带宽管理基于服务的保证带宽管理基于每IP或IP段的最大带宽管理基于IP的并发连接数管理基于接口的QoS带宽管理P2P、IM应用管理P2P 和IM特征码更新及流量分类 P2P 和IM服务阻断P2P 流量控制 用户行为管理Bit Torrent /eMule/eDonkey/ Thunder(迅雷)百度下吧/POCO/PPlive/酷狗/哇嘠画时代/ Yahoo! Messenger / MSN/Windows Messenger /新浪UC /网易POPO/搜Q/Fetion/AIM/ICQ网络游戏优化及管理联众世界、魔兽世界、天下II、穿越火线、特种部队、超级舞者、大话西游、巨人、魔域、天龙八部、街头篮球、跑跑卡丁车炒股软件优化及管理未来趋势/招商证卷/大智慧同花顺/指南针防火墙NAT(网络地址转换)/ PAT(端口地址转换)Web认证/Web页面内容过滤/URL黑白名单过滤/网页浏览记录/先进的SPI(状态包检测)防火墙ALG应用层安全网关H.323/SIP/FTP/TFTP/RSH/RTSP/SQL Net/HTTPMS-RPC/SUN-RPC/PPTP/GRE链路层攻击防护 主动反向查询 免费ARP包广播/探测 DHCP监控 同一个MAC的IP数检查 ARP客户端认证网络层攻击防护DoS和DDoS防护SYN flood/DNS Flood攻击防护畸形报文防护IP 报文分片攻击防护IP 异常选项检测TCP/UDP/ICMP Flood攻击防护及异常检测IP地址欺骗防护IP地址扫描攻击防护端口扫描防护静态和动态黑名单会话限制(基于源/目的/服务)基于Profile的安全防护局域网分区策略管理区域数量3个管 理系统软件升级集中安全管理平台系统配置文件备份/恢复基于HTTP/HTTPS全中文WEB管理典型应用一:网吧互联网接入 图1 DCME助力打造高效、稳定、高体验网吧一站式解决方案神州数码网络多核引擎DCME-300标配5个千兆口,其中3个LAN接口,可将网吧网络规划出聊天上网区、游戏区、视频区和VIP区. 不同区域设置不同的带宽分配和安全防护策略.DMZ口设计,网络服务器将得到防火墙一样的高安全性保护,镜像端口专为网吧设计,便于上级主管部门如公安的流量监控和内容审计,此外,该端口可设置任意IP地址,方便带外管理和监控.多核引擎针对网吧开发的游戏优化和加速功能,如联众世界、魔兽世界、天下II、穿越火线、特种部队、超级舞者、大话西游、巨人、魔域、天龙八部、街头篮球、跑跑卡丁车等,支持游戏特征码的升级更新,此功能能够保证对延时、抖动敏感的游戏业务获得极佳的用户体验。
多核引擎单WAN口最大支持8条ADSL的捆绑, 创造性的实现网吧出口带宽根据经营情况弹性按需升级,以保护投资. 此外,也支持多条ADSL与光纤的多出口负载均衡和线路的备份,某些区域光纤会在0点自动断网,为解决该问题,可设置断网前N分钟转移流量到备份链路,这样既为用户提供了不间断的宽带接入,又大大简化管理维护工作多核引擎可基于会话数、PC或自定义PC组分配带宽,及对可识别的100多种网络协议进行带宽管理,尤其适用于上网区, 比如HTTP/POP/SMTP等协议分配较大带宽保障,而将BT/迅雷等协议的使用带宽进行限制,可有效抑制多进程下载工具和病毒攻击爆发所带来的高会话数威胁.而在VIP区,根据需要放开P2P及FTP下载带宽的限制可实时监控网络流量、限制IP流量和并发连接数,让网管员对网络情况一目了然.多核引擎采用64位多核处理器和千兆Marvell交换芯片,配合高安全操作系统安全内核,强大的安全防护能力和图形化简易操作界面,使非专业人士也能轻松配置,在开启防火墙和带宽管理功能后, 性能和功能处于业界绝对领先水平,对来自于内网的攻击同样有极强防御能力多核引擎独创的ARP加密协议,彻底解决网吧ARP攻击问题, 丰富的流量、连接数、日志监控及报表功能,让管理变得非常轻松,真正为网吧打造高效、稳定、安全的一站式先进的互联网接入解决方案。
典型应用二:分支IPSec VPN互联 图2 DCME作为企业级VPN网关组用案例多核引擎DCME-300支持标准的IPSec,可与神州数码系列多核防火墙及DCR-100U等系列路由器无缝互联. 多核引擎内置硬件IPSec VPN,硬件支持DES/3DES/AES/SHA-1/MD5加解密的加速, VPN吞吐率高达100Mpps,可作为高性能的企业级VPN网关支持多个分支机构虚拟私网互联或VPN线路作为DDN/E1专线的备份应用多核引擎的新一代PnpVPN(即插即用VPN)功能, 也可作为PnPVPN客户端与神州数码多核防火墙组成完整的PnPVPN系统,VPN分支节点只需进行简单配置即可完成部署,配置非常容易.订货信息产品型号产品描述DCME-300 多核引擎,标配2个千兆WAN电口,3个千兆LAN口(包含1个GE 镜像/DMZ口);每秒新建连接数8000,最大并发连接数100000,推荐带机数300台DCME-IPSec-L-16DCME-IPSec-L-16 16方VPN许可 DCME-IPSec-L-128DCME-IPSec-L-128 128方VPN许可 欲了解进一步信息请访问神州数码网络公司网站:9第 9 页 共 9 页。