完善的安全防护策略
ARP病毒或攻击是网络中很常见,同时影响较大的一类攻击。RG-S5310系列交换机支持多种模式的ARP防欺骗功能,不论是用户通过DHCP服务器自动获取地址,还是使用固定的IP地址,RG-S5310系列能够记录用户真实的IP+MAC地址,并在交换机端口收到主机发送的ARP报文时,将ARP报文内容和记录的IP+MAC地址进行比对,只对内容真实的ARP报文进行转发,对虚假的ARP报文进行丢弃,从而将ARP欺骗屏蔽在网络之外,保障网络用户免受ARP病毒攻击。
主动防御网络中的各种DDoS攻击,网络由于其开放性,经常由于计算机感染病毒,或是接入网络的人员出于各种目的对网络设备、网络中的服务器进行攻击,导致网络无法正常使用。较常见的如ARP泛洪攻击导致网关无法响应请求、ICMP泛洪攻击导致网络设备CPU负载过高无法正常工作,DHCP请求泛洪攻击,导致DHCP服务器地址枯竭,用户无法正常获取IP地址访问网络。
RG-S5310系列提供业界先进的硬件CPU保护机制:特有的CPU保护策略(CPP,CPU Protect Policy),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全。
RG-S5310系列提供创新的基础网络保护策略(NFPP,Network Foundation Protection Policy)技术,能够限制用户向网络中发送ARP报文、ICMP请求报文、DHCP请求报文等数据包的数率,对超过限速阈值的报文进行丢弃处理,甚至能够识别攻击行为,对有攻击行为的用户进行隔离。从而保护基础网络免受网络攻击行为的影响,保障网络稳定。
支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题。
支持多种业务特性
硬件支持IPv4/IPv6双协议栈多层线速交换,可根据IPv6网络的需求规划和设计网络,提供灵活的IPv6网络通信方案。
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF等,满足不同网络环境中用户选择合适的路由协议灵活组建网络。
支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络。
虚拟交换单元(VSU,Virtual Switching Unit)
RG-S5310系列产品支持VSU(Virtual Switch Unit)即虚拟交换单元技术。能够将多台物理设备进行互联,使其虚拟为一台逻辑设备,利用单一IP地址、单一Telnet进程、单一命令行接口(CLI)、自动版本检查、自动配置等特性进行管理,对用户来说仅仅是在管理一台设备,但是却实现着多台设备带来的工作效率和使用体验。
简化管理:管理员可以对多台交换机统一管理,而不需要连接到每台交换机分别进行配置和管理。
简化网络拓扑:VSU在网络中相当于一台交换机,通过聚合链路和外围设备连接,不存在二层环路,没必要配置MSTP协议,各种控制协议是作为一台交换机运行的。
毫秒级故障恢复:VSU和外围设备通过聚合链路连接,如果其中一台设备或者一条成员链路出现故障,切换到另一条成员链路的时间只需要50到200毫秒。
高扩展性:用户新增的设备加入或离开虚拟化网络时可以实现“热插拔”,不影响其他设备的正常运行。
保护投资:VSU和外围设备通过聚合链路连接,既提供了冗余链路,又可以实现负载均衡,充分利用所有网络设备和带宽资源。同时可用任意形态的万兆端口通过任意的数据传输线缆组成VSU虚拟网络系统,不需要额外配置线缆、扩展卡,并且没有端口和线缆种类的限制,有效保护用户的投资。
支持生成树协议STP、RSTP、MSTP,保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
支持虚拟路由器冗余协议(VRRP),有效保障网络稳定。
支持快速链路检测协议(RLDP,Rapid Link Detection Protocol),可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
支持公有以太网多环保护技术(ERPS),国际标准为核心以太网设计的二层链路冗余备份协议,其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,ERPS在理想环境下的链路恢复能力能够达到毫秒级。
在不启用STP的情况下,可以通过快速上链保护协议(REUP,Rapid Ethernet Uplink Protection Protocol),提供一个快速上链保护功能,REUP使得用户在关闭STP的情况下,仍提供基本的链路冗余,同时提供比STP更快的毫秒级故障恢复。
产品关键部位涂覆三防漆,形成一层保护膜,加强防护,提升恶劣环境下的可靠性,设备支持高达10KV的端口防雷能力,保证在各种恶劣环境下稳定工作。
软件定义网络(SDN)
RG-S5310系列产品跟随时代发展,支持OpenFlow 1.3,可以和锐捷网络自研SDN controller 相互配合,轻松实现大规模二层架构组网,并且支持整网平滑升级到SDN网络,在大幅简化网络管理的难度的同时可显著降低网络维护的成本。
RG-S5310系列交换机支持端口自动节能,如果在一段时间内接口状态始终为down,则系统自动停止对该接口供电,自动进入节能模式;同时支持高效节能以太网(EEE),端口如果在连续一段时间之内空闲,系统会将该端口设置为节能模式,当有报文收发时再通过定时发送的监听码流唤醒端口恢复业务,达到节能的效果。
RG-S5310系列产品同时满足材料环保与安全性的欧盟RoHS标准。
简单轻松的网络维护
RG-S5310系列支持SNMP、RMON、Syslog、USB备份日志及配置等特性来进行网络的日常诊断及维护,同时管理员可采用命令行接口(CLI)、Web网管、Telnet等多样化的管理和维护方式更方便设备的管理。
支持标准IP ACL(基于IP地址的硬件ACL)
支持扩展IP ACL(基于IP地址、TCP/UDP端口号的硬件ACL)
支持MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)
支持基于时间ACL
支持专家级ACL (可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL)
支持ACL80
支持IPv6 ACL
支持全局ACL
支持ACL重定向
通过锐捷自主研发的用于快速检测以太网链路故障的链路协议——RLDP 来实现的。
一般的以太网链路检测机制都只是利用物理连接的状态,通过物理层的自动协商来检测链路的连通性。
但是这种检测机制存在一定的局限性,在一些情况下无法为用户提供可靠的链路检测信息,比如在光纤口上光纤接收线对接错,由于光纤转换器的存在,造成设备对应端口物理上是linkup 的,但实际对应的二层链路却是无法通讯的。再比如两台以太网设备之间架设着一个中间网络,由于网络传输中继设备的存在,如果这些中继设备出现故障,将造成同样的问题。
利用RLDP 协议用户将可以方便快速地检测出以太网设备的链路故障,包括单向链路故障、双向链路故障、环路链路故障。
2022年07月25日