RG-S2600-S系列安全智能交换机主打胶片 睿易产品和解决方案市场部 2015-05-15.

Presentation on theme: "RG-S2600-S系列安全智能交换机主打胶片 睿易产品和解决方案市场部 2015-05-15."— Presentation transcript:

1 RG-S2600-S系列安全智能交换机主打胶片 睿易产品和解决方案市场部

2 目 录 Contents RG-S2600G-S系列规格概述 RG-S2600G-S系列主要特性 RG-S2600G-S应用场景

3 S2600-S系列参数规格 RG-S2628G-S RG-S2652G-S S2600-S系列主要规格：
从最初的百兆到千兆再到万兆，以太网不断满足着人们快速增长的需求，给人们带来超乎寻常的体验。目前，人们对带宽的要求正在迅速提高，如迅猛发展的存储网络必需的海量数据传输通道；大量高带宽汇聚的城域网络；不断丰富的宽带应用所需的带宽支持；大型金融机构的数据集中；企业核心业务、ERP、CRM等复杂的应用扩展。今天，千兆为骨干、百兆为接入的主流结构，将逐渐向万兆为骨干、千兆为接入的结构过渡。 S2600-S系列主要规格： S2628G-S：24口10/100M自适应电口，2个千兆电口+2个SFP千兆光口（非复用） S2652G-S： 48口10/100M自适应电口，2个千兆电口+2个SFP千兆光口（非复用）

4 产品关键性能指标 产品型号 RG-S2628G-S RG-S2652G-S 产品型态
24口10/100/1000M自适应端口，2个千兆电口，2个千兆光口 48口10/100/1000M自适应端口，4个千兆电口，4个千兆光口 交换容量 20.6G 转发性能 9.5Mpps 15.3Mpps ACL条目数 64 静态路由功能 支持,16条 支持，16条 CPU保护 支持 防ARP欺骗 防非法DHCP欺骗 风扇 无风扇设计

5 目 录 Contents RG-S2600G-S系列规格概述 RG-S2600G-S系列主要特性 RG-S2600G-S应用场景

6 RG-S2600G-S系列百兆安全智能接入交换机
绿色节能设计 增值 方便易用易管理 手段 多业务的支持 目的 强大的安全策略 保障 设备级的安全稳定 基础

7 设备级别的安全稳定——CPP CPP 全称：CPU Protect Policy 中文：CPU保护策略 现状：大量攻击以消耗CPU资源为手段，软件防护方式消耗CPU自身资源 目标：硬件控制发往CPU的报文类型和流量大小，保护CPU利用率，确保正常协议报文和管理报文的处理。

8 CPP可以提高交换机抗攻击能力和保护网络拓扑与路由协议的稳定性
CPU恢复正常 CPU利用率过高 内存 CPU 硬件保护CPU 线卡接口 线卡接口 CPP可以提高交换机抗攻击能力和保护网络拓扑与路由协议的稳定性 数据平面 线卡接口 攻击数据

9 NFPP 设备级别的安全稳定——NFPP 安全监控 安全防护 第一步：设置攻击基准 防护方式： 手工设置防护 智能自动防护 联动全网防护
第二步：监控数据流，超过攻击基准的数据流视为攻击 第三步：发出警告信息

10 设备级别的安全稳定——NFPP 安全管理平台 很好！我安全了！谢谢你们！ 设置每用户ARP报文攻击基准为8PPS
隔离攻击源 隔离攻击源 隔离攻击源 警告信息 NFPP技术在CPU或端口隔离该用户ARP报文 不客气，我们自己也稳定了！ 以ARP洪泛攻击为例

11 设备级别的安全稳定——RLDP 端口环路检测 解决多个用户通过傻瓜交换机接入时，误将两个端口用网线直连而引起的端口环路问题。比如学生好奇将HUB的两个端口用网线直连会引起端口环路，导致广播风暴的产品，严重的情况下会致使交换机宕机，而大面积不能上网。 单向链路检测 当光纤中收发线路对接错误，或者接头不工作导致单向接收或单向发送时，此时端口显示的为UP，但其实链路已经不正常了，很难查出此故障！。而RLDP功能就能很轻松检测出来这种链路故障，方便故障定位。 双向链路检测 双向跟单向的区别在于一条链路的两端均不能工作了，就是既不能发也不能收……而单向链路还可以接或者收……

12 RG-S2600G-S系列百兆安全智能接入交换机
绿色节能设计 增值 方便易用易管理 手段 多业务的支持 目的 强大的安全策略 保障 设备级的安全稳定 基础

13 强大的安全策略——防ARP欺骗 手工绑定IP和MAC， 无需第三方软件支持 自动防护，无需人工绑定IP和MAC，
减轻网管工作量，节省人力成本。 DAI 端口安全 + ARP-Check 1、SAM+ARP-Check 2、GSN+ARP-Check 动态分配IP地址 静态分配IP地址 网络从此不断！教学科研正常开展，学生不再投诉！银行办公系统正常，保险业务也不再中断！政府公文流转正常，信息及时下达，文件审批也不再延迟！

14 强大的安全策略——ACL 深度的安全检查可以对报文前80个字节做基于硬件的匹配，或者基于源/目的IP，源/目的MAC，端口号，VLAN ID，协议类型等字段的安全匹配（ACL），对不符合要求的报文采取丢弃措施，使得在网络接入层对所有报文做深度的安全检查成为可能 实现全网网络安全的边缘化，比如过滤病毒常用的端口号，即可轻松拒绝病毒进入网络，保护网络整体的安全性；或者允许某个用户不能访问哪些资源，均可通过ACL来实现，保护敏感资源的安全性 比如： 允许科员访问WEB服务器， 服务器，但不能访问文件审批服务器 允许行政人员访问办公系统， 服务器，但是不能访问财务服务器 不允许学生访问任何办公系统，但是可以上Internet

15 强大的安全策略——DHCP服务器私设 DHCP server A B Pool DHCP Snooping DHCP源MAC地址检查
方案图示： Pool DHCP请求报文 信任端口 DHCP应答报文 DHCP server A 非信任端口 启动DHCP Snooping，将合法DHCP Server的端口设为信任端口，其他端口默认情况下均为非信任端口 B 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 如果不能防止DHCP服务器私设，将会使得用户A请到的IP地址是无效IP地址，从而导致用户无法上网！严重的情况下还会导致信息失窃，因为A将信息全部发送到了B！ 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer

16 强大的安全策略——端口安全 在交换机上设置端口安全,进行如下绑定:IP+MAC+端口 端口安全检测
受害者 MAC C 攻击者 MAC B Gateway MAC A 在交换机上设置端口安全,进行如下绑定:IP+MAC+端口 端口安全检测 检测所有访问报文是否与绑定信息匹配,如果不匹配,则丢弃这此报文 与绑定表不匹配 NO! IP+MAC地址仿冒 IP /MAC C MAC地址仿冒 MAC C IP地址仿冒 IP

17 RG-S2600G-S 系列百兆安全智能接入交换机
绿色节能设计 增值 方便易用易管理 手段 多业务的支持 目的 强大的安全策略 保障 设备级的安全稳定 基础

18 所有的客户端都接收相同的8 Mpps的视频流
多业务支持——IGMP Snooping 支持视频监控，数字电视，网络教学等业务的需求； 减少了链路带宽资源的占用； 减轻了网络设备的负载； 例如: 高清视频播流 所有的客户端都接收相同的8 Mpps的视频流 800 600 组播 单播 流量 450 Mpps 250 1 20 40 60 80 100 客户端数量

19 RG-S2600G-S系列百兆安全智能接入交换机
绿色节能设计 增值 方便易用易管理 手段 多业务的支持 目的 强大的安全策略 保障 设备级的安全稳定 基础

20 方便易用易管理 CLI界面，方便专业用户配置和使用，保持原有使用习惯。
图形化WEB界面，又可让用户从繁杂的命令中脱离出来，也可让没有丰富技术知识的管理员（比如学生）简单的配置交换机，降低部署成本。 支持标准SNMP v1/v2/v3，能支持使用SNMP的网管软件。

21 RG-S2600G-S 系列百兆安全智能接入交换机
绿色节能设计 增值 方便易用易管理 手段 多业务的支持 目的 强大的安全策略 保障 设备级的安全稳定 基础

22 绿色节能设计-RG-S2600G-S无风扇设计 自然散热 无风扇设计 减少故障点、降低功耗、消除噪声、延长设备生命周期 无噪声，人机友好：
低功耗，节能减排； 按照全网2000台交换机； 假定风扇平均功耗6W，全年全网共节省功耗：2000台×6W×24×365＝105000千瓦时， 按照每度电 1 RMB计算，每年节省电费：105000RBM！ 问题：风扇积尘导致轴承磨损、转速不均，易损坏。 据统计风扇失效通常占楼道交换机返修原因比例的20% 因更换风扇或故障设备产生一系列人工、车程费用。 自然散热 无风扇设计 无噪声，人机友好： 风扇噪声从 30 dB降为几乎 0dB。 高可靠，减少故障点； 按照全网2000台， 假定风扇年失效率2％，全年全网仅因为风扇而失效的交换机为：2000台×2%＝40台， 更换这40台设备需要花费大量的人力成本，还会中断网络运行， 及维修费用 减少故障点、降低功耗、消除噪声、延长设备生命周期

23 目 录 Contents RG-S2600G-S系列规格概述 RG-S2600G-S系列主要特性 RG-S2600G-S应用场景

24 RG-S2600G-S系列产品定位 百兆到桌面 企业 医疗 网吧 数据中心 教育 政府 www.ruijie.com.cn 高性能生产网
CAD设计 企业 医生工作站 高清电影 网络游戏 系统更新 医疗 网吧 教育办公网 科研实验网 视频教学 数字图书馆 服务器群接入 IP存储接入 数据中心 教育 政府 办公网 视频会议

25 RG-S2600G-S典型应用 应用场景 政府办公楼、中小学校、企事业单位各部门、 中小企业等 组网描述
核心采用锐捷网络的多业务IPv6核心路由交换机 S7800系列，接入采用百兆接入交换机RG-S2600G-S 方案卖点 实现百兆到桌面，灵活的弹性堆叠 满足网络的灵活扩展

26 www.ruijie.com.cn 服务器群 RG-S5750 防火墙 RG-S7800 RG-S7800 RG-S2600G-S

27 星网锐捷网络有限公司 地址：北京海淀区复兴路29号中意鹏奥大厦东塔A座11层 邮编：100036 Office Tel: Mobile Tel: Fax: