神州數(shù)碼終結(jié)者系列防火墻技術(shù)白皮書(shū)v112

1、2008技術(shù)白皮書(shū)神州數(shù)碼終結(jié)者DCFW-1800S/E-x V2 系列 2008 神州數(shù)碼網(wǎng)絡(luò)Digital China Networks2008-12-1本白皮內(nèi)容是神州數(shù)碼DCFW-1800S/E-V2終結(jié)者系列技術(shù)白皮本公書(shū)。本材料的相關(guān)權(quán)力歸神州數(shù)碼網(wǎng)絡(luò)所有。白皮司，不得轉(zhuǎn)印、影印或復(fù)印。由于產(chǎn)品版本升級(jí)或其它原因本白皮書(shū)內(nèi)容會(huì)不定期進(jìn)行更新除非另有約定本白皮書(shū)僅作為使用指導(dǎo)本手冊(cè)中的所有陳述信息和建議不任何明示或暗示的擔(dān)保。本僅為文檔信息的使用而，非為或產(chǎn)品背書(shū)目的。支持信息本資料將定期更新，如欲獲取或相關(guān)信息，請(qǐng)查閱公司.cnm或直接致電本公司產(chǎn)品中心01082705312 及

2、神州數(shù)碼中心服務(wù)熱線。您的意見(jiàn)和建議請(qǐng)發(fā)送至：jiangz目錄神州數(shù)碼終結(jié)者系列簡(jiǎn)介6功能介紹7神州數(shù)碼DCFW-1800S/E終結(jié)者系列功能介紹10工作模式10透明模式10路由/NAT模式10混合模式10安全特性11安全策略11應(yīng)用層識(shí)別與控制11ARP防護(hù)12主機(jī)防御12URL過(guò)濾132.防護(hù)132.63.NAT15源NAT15目的NAT15路由16靜態(tài)路由16ISP路由16源路由17源接口路由17策略路由17動(dòng)態(tài)路由17等價(jià)多徑路由18鏈路故障探測(cè)19備份接口204.5.交換特性及接入5.4PPPOE21端口聚合21端口橋接組21802.1Q21網(wǎng)絡(luò)參數(shù)226.6.

3、16.26.3DNS/. 22DDNS23DHCP23QoS（流量管控）247.分類和標(biāo)記27.47.5流量和整形26帶寬保證26多層QoS27彈性QoS27. 2IPSecSSL. 28. 28. 309.認(rèn)證與10.靠性3111.日志審計(jì)3212.管理33管理方式33SNMP. 33系統(tǒng)管理34附錄：神州數(shù)碼終結(jié)者系列各型號(hào)規(guī)格表35DCFW-1800S-L-V235DCFW-1800S-H-V236DCFW-1800S-V237DCFW-1800E-V238DCFW-1800E-2G39DCFW-1800E-4G40DCFW-

4、1800E-8G41DCFW-1800E-10G42神州數(shù)碼終結(jié)者系列簡(jiǎn)介隨著計(jì)算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)及其應(yīng)用的普及，日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題。而ernet 所具有的開(kāi)放性、國(guó)際性和性在增加應(yīng)用度的同時(shí)，也對(duì)提出了更高的要求。作為技術(shù)成熟度最高、產(chǎn)品化最早的安全產(chǎn)品防火墻，由于其針對(duì)性強(qiáng)、易于實(shí)施和管理等特點(diǎn)，已經(jīng)成為實(shí)現(xiàn)ernet 網(wǎng)絡(luò)安全最重要和最有效的神州數(shù)碼網(wǎng)絡(luò)產(chǎn)品之一。作為國(guó)內(nèi)知名的網(wǎng)絡(luò)設(shè)備供應(yīng)商，始終關(guān)注的發(fā)展并提出了“L網(wǎng)”方案的全方位網(wǎng)絡(luò)應(yīng)用理念。在努力提高網(wǎng)絡(luò)設(shè)備安全性的同時(shí)，神州數(shù)碼網(wǎng)絡(luò)源優(yōu)勢(shì)，投入到依托多年網(wǎng)絡(luò)產(chǎn)品的研發(fā)經(jīng)驗(yàn)，整合神州數(shù)碼的資領(lǐng)域并取得了技術(shù)突破，DC

5、FW-1800S/E-x V2 系列多核架構(gòu)就是神州數(shù)碼網(wǎng)絡(luò) 10 年磨一劍的力作。神州數(shù)碼 DCFW-1800 系列是神州數(shù)碼研究開(kāi)發(fā)的面向全系列用戶的專業(yè)高性能純硬件解決方案。產(chǎn)品系列設(shè)備。能夠?yàn)楦鞣N用戶規(guī)模的問(wèn)題提供安全高速的目前，神州數(shù)碼DCFW-1800 系列產(chǎn)品型號(hào)有DCFW-1800E-10G、DCFW-1800E-8G、DCFW-1800E-4G、DCFW-1800E-2G、DCFW-1800E-V2、DCFW-1800S-V2、DCFW-1800S-H-V2 和DCFW-1800S-L-V2。特點(diǎn)介紹神州數(shù)碼DCFW-1800 系列領(lǐng)先的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)具有以下主要特點(diǎn)：強(qiáng)健的實(shí)

6、時(shí)操作系統(tǒng)最低的總體擁有成本領(lǐng)先的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)神州數(shù)碼DCFW-1800 系列是創(chuàng)新的新一代高效處理，它采用64 位高性能多核處理器技術(shù)，擁有包括TCP 會(huì)話保持與報(bào)文重組、QoS流量管理的級(jí)加速方案，并且提供獨(dú)立的硬件DFA 引擎。輔以高達(dá)48Gbps 高速交換總線，以及新一代64 位實(shí)時(shí)并行操作系統(tǒng)-DCFOS，確保了整個(gè)系統(tǒng)不僅在處理網(wǎng)絡(luò)通信，并且在處理應(yīng)用安全防護(hù)時(shí)擁有充足的系統(tǒng)資源保障。強(qiáng)健的實(shí)時(shí)操作系統(tǒng)DCFW-1800 系列采用64 位實(shí)時(shí)并行操作系統(tǒng)，其并行的處理能力和模塊化的結(jié)構(gòu)易于集成和擴(kuò)展安全功能。的安全加固64 位操作系統(tǒng)針對(duì)新一代多核處理器安全機(jī)構(gòu)進(jìn)行了全面的優(yōu)化和安

7、全加固，極大地提高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和并行多任務(wù)的處理機(jī)制，為神州數(shù)碼新一代的網(wǎng)絡(luò)安全系統(tǒng)提供了極大的可擴(kuò)展能力，包括支持核處理器和集成安全功能。積累多年被證實(shí)的專業(yè)硬件安全產(chǎn)品研發(fā)和市場(chǎng)經(jīng)驗(yàn)，DCFW-1800 系列在軟硬件的穩(wěn)定性和可靠性上都有了進(jìn)一步提高。全面優(yōu)化的軟硬件系統(tǒng)擁有高穩(wěn)定性和靠性，為網(wǎng)絡(luò)流量和網(wǎng)絡(luò)日益膨脹的企業(yè)IT 環(huán)境提供了強(qiáng)大的保障。DCFW-1800系列能夠在最大程度上確保企業(yè)關(guān)鍵業(yè)務(wù)的不間斷運(yùn)行。最低的總體擁有成本神州數(shù)碼 DCFW-1800 系列提供了非常友好的使用和管理界面，部署簡(jiǎn)單、易于和管理。靈活的特性可以滿足不同用戶對(duì)不同應(yīng)用環(huán)境

8、的需求。獨(dú)特創(chuàng)新的新一代架構(gòu)提供給用戶最大化的可擴(kuò)展能力，有效保護(hù)用戶投資。功能介紹神州數(shù)碼 DCFW-1800 系列豐富詳盡的防護(hù)功能，從而保障用戶的硬件及其配套操作系統(tǒng)DCNOS 支持。表1-2 列出神州數(shù)碼DCFW-1800系列支持的主要功能以及功能描述：表1-2：神州數(shù)碼DCFW-1800 系列主要功能列表功能描述防護(hù)TCP/IP防護(hù)（IP 碎片、IP Option、IP 地址、Land、Smurf掃描保護(hù)（IP 地址掃描端口掃描）Flood 保護(hù)（Syn FloodICMP FloodUDP Flood）IPSecSC（基于SSL 的登錄解決方案）撥號(hào)控制基于安全域的控制基于時(shí)間的控

9、制基于 MAC 的控制IP-MAC-端口地址綁定NAT/PAT 功能多個(gè)地址到同一個(gè)公網(wǎng)地址多個(gè)地址到多個(gè)公網(wǎng)地址地址到公網(wǎng)地址外部網(wǎng)絡(luò)主機(jī)服務(wù)器地址到接口公網(wǎng) IP 地址虛擬 IP應(yīng)用協(xié)議的 NAT 穿越FTPTFTPHTTPSUN RPCRTSPRPCH323SIPRSHSQL NETv2內(nèi)容安全Java Applet 阻斷ActiveX 阻斷可執(zhí)行文件阻斷URL 過(guò)濾P2P&IMMSNYahooBitTorrent迅雷eMule網(wǎng)絡(luò)PPPoEDHCPDNSDDNSARPVSwitch路由靜態(tài)路由動(dòng)態(tài)路由（RIP 以及 OSPF）策略路由（SBR 以及 SIBR）ISP 路由QoS帶寬管理

10、IP-QoS應(yīng)用 QoS網(wǎng)游優(yōu)化管理命令行接口（CLI）WebUI（HTTP, HTTPS）ConsolenetSSHSNMP流量統(tǒng)計(jì)/Traceroute系統(tǒng)利用率審計(jì)用戶行為流日志NAT 轉(zhuǎn)換日志實(shí)時(shí)日志地址綁定日志流量告警日志實(shí)時(shí)流量統(tǒng)計(jì)和分析功能安全事件統(tǒng)計(jì)功能神州數(shù)碼DCFW-1800S/E終結(jié)者系列功能介紹1.工作模式1.1透明模式在很多用戶網(wǎng)絡(luò)中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)是先于建設(shè)進(jìn)行的，當(dāng)用戶打而導(dǎo)致一些關(guān)鍵應(yīng)用算進(jìn)行建設(shè)時(shí)，往往會(huì)發(fā)現(xiàn)由于初期的網(wǎng)絡(luò)設(shè)計(jì)不是依賴于網(wǎng)絡(luò)拓?fù)涞模虼嗽趯?duì)這些關(guān)鍵應(yīng)用進(jìn)行安全防護(hù)時(shí)，必須采用透明模式接入,DCFW-1800使用透明模式可以在不改變用戶現(xiàn)有網(wǎng)

11、絡(luò)結(jié)構(gòu)的情況下讓建設(shè)無(wú)縫過(guò)度。路由/NAT模式1.2對(duì)于需要使用配置在路由模式下運(yùn)行,做三層轉(zhuǎn)發(fā)的網(wǎng)絡(luò)環(huán)境,神州數(shù)碼終結(jié)者系列也可以在路由模式下可以被化分為一個(gè)或多個(gè)安全域,數(shù)據(jù)報(bào)文會(huì)在三層域之間轉(zhuǎn)發(fā),并且被轉(zhuǎn)發(fā)的流量會(huì)被執(zhí)行安全檢查.對(duì)于路由模式被轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文的 IP 地址不會(huì)被轉(zhuǎn)換.同時(shí)對(duì)于需要執(zhí)行地址轉(zhuǎn)換(NAT)的情形,能夠通過(guò)配置NAT 策略來(lái)實(shí)現(xiàn).包括實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)多的地址和端口轉(zhuǎn)換。1.3混合模式在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，用戶需要在同一個(gè)網(wǎng)關(guān)設(shè)備上透明模式和路由模式共存的需求，如果這兩種工作模式不能混合在一起同時(shí)工作，那用戶網(wǎng)絡(luò)將會(huì)由于被割裂而無(wú)法實(shí)施接入的困局。DCFW-

12、1800S/E-V2系列提供混合模式，將透明模式和路由/NAT模式無(wú)縫結(jié)合，從而實(shí)現(xiàn)安全與路由交換的完美。2.安全特性神州數(shù)碼 DCFW-1800 終結(jié)者中運(yùn)行的 DCNOS 是 64 位實(shí)時(shí)并行操作系統(tǒng)，具備豐富的安全特性，可為網(wǎng)絡(luò)及應(yīng)用安全提供全方位的安全控制功能2.1 安全策略安全策略是設(shè)備的基本功能。默認(rèn)情況下，會(huì)設(shè)備上所有安全域之間的信息傳輸。而安全策略則通過(guò)策略規(guī)則（Policy Rule）決定從一個(gè)安全域到另一個(gè)安全域的哪些流量該被允許，哪些流量該被。同一安全域不同接口間的流量也可以通過(guò)安全策略來(lái)定義其行為。DCNOS 中的安全策略可以基于以下元素來(lái)定義：源安全域、目的安全域、源

13、地址、目的地址、源端口、目的端口、行為、生效時(shí)間、流量標(biāo)識(shí)以及應(yīng)用層控制等。根據(jù)以上元素建立的安全策略可以對(duì)流量的轉(zhuǎn)發(fā)做到全面而細(xì)致的控制。2.2 應(yīng)用層識(shí)別與控制神州數(shù)碼 DCFW-1800 終結(jié)者系列提供廣泛的應(yīng)用層、統(tǒng)計(jì)和控制過(guò)、炒股濾功能。該功能能夠?qū)TP、HTTP、P2P 應(yīng)用、實(shí)時(shí)通信工具、以及VoIP 語(yǔ)音數(shù)據(jù)等應(yīng)用進(jìn)行識(shí)別，并根據(jù)安全策略配置規(guī)則，保證應(yīng)用的正常通信或?qū)ζ溥M(jìn)行指定的操作，如、流量統(tǒng)計(jì)、流量控制和阻斷等。DCFOS 利用分片重組及傳輸層技術(shù)，使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下，也能有效的獲取應(yīng)用層信息，從而

14、保證安全策略的有效實(shí)施。目前可識(shí)別并可控的P2P 應(yīng)用包括：迅雷BTEMule VAGAA可識(shí)別的即時(shí)通訊工具包括：騰訊MSNSkype淘寶雅虎通 網(wǎng)易泡泡新浪UC2.3 ARP防護(hù)神州數(shù)碼終結(jié)者防火器設(shè)備集成套豐富、完善的方案網(wǎng)絡(luò)、防護(hù)二層、路由器和交換機(jī)功能于一體，提供一整。事實(shí)表明，在一些Windows上，即使是靜態(tài)綁定的條目仍然可以被改變OS支持一個(gè)專有的協(xié)議來(lái)認(rèn)證ARP請(qǐng)求和響應(yīng)。對(duì)于那些很難做靜態(tài)綁定或者不能做靜態(tài)綁定的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，這是一個(gè)最好的解決方案。裝有終結(jié)者防火器ARP客戶端的PC會(huì)與終結(jié)者防火器設(shè)備進(jìn)行基于認(rèn)證的ARP協(xié)議通訊，這就保證每臺(tái)安裝客戶端的PC能夠獲得來(lái)自于

15、終結(jié)者防火器設(shè)備認(rèn)證過(guò)的設(shè)備MAC地址。這個(gè)交換使用公鑰基礎(chǔ)設(shè)施（PKI）來(lái)確保ARP信息的真實(shí)性。該協(xié)議執(zhí)行強(qiáng)大的反和防重放機(jī)制，使系統(tǒng)免受各種重放的ARP包。，包括的ARP包和ARP客戶端還可以PC的可疑二層行為并阻斷受的PC對(duì)同一局域網(wǎng)內(nèi)的其他PC或網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)ARP。此外，DCNOS可以探測(cè)客戶端是否安裝了ARP驗(yàn)證工具并且在客戶端安裝該工具之前其ernet。這能幫助管理員強(qiáng)制部署ARP防護(hù)策略。這個(gè)協(xié)議和工具能夠向下兼容傳統(tǒng)的ARP協(xié)議。因此，如果策略允許，將不會(huì)出現(xiàn)跟原有設(shè)備/客戶端的互操作問(wèn)題。ARP客戶端不需要任何設(shè)置。每一臺(tái)PC只需要執(zhí)行一次安裝，之后不需要任何操作，十分簡(jiǎn)便

16、。2.4 主機(jī)防御為了防止網(wǎng)絡(luò)中的者冒充接口IP向其他主機(jī)發(fā)送ARP報(bào)文，DCNOS能夠周期性地發(fā)送免費(fèi)ARP包來(lái)更新網(wǎng)絡(luò)中各主機(jī)中的其保持正確。ARP表項(xiàng)，以使此外，DCNOS的主機(jī)防御功能也可以讓代替不同主機(jī)發(fā)送免費(fèi)ARP包，保護(hù)被主機(jī)免受ARP。該功能啟用后，將以主機(jī)的IP和MAC采用設(shè)定的發(fā)送頻率向網(wǎng)絡(luò)中廣播免費(fèi)ARP報(bào)文，以此達(dá)到定期更新其他設(shè)備中該主機(jī)的ARP表項(xiàng)的作用。2.5 URL過(guò)濾DCFW-1800 終結(jié)者系列具備URL 過(guò)濾功能，它可以控制用戶的PC 對(duì)某些的。URL 過(guò)濾功能包含以下組成部分：包含不可以的URL。不同包含的最大URL 條數(shù)不同。包含的最大URL 條數(shù)不同

17、。白：包含允許URL。不同白關(guān)鍵字列表：如果 URL 中包含有關(guān)鍵字列表中的關(guān)鍵字，則 PC 不可以該URL。不同關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。不受限IP：不受URL 過(guò)濾配置影響，可以任何。只允許用：如果開(kāi)啟該功能，用戶只可以通過(guò)ernet，IP 地址類型的URL 將被。只允許白里的URL：如果開(kāi)啟該功能，用戶只可以白中的URL，其它地址都會(huì)被。防護(hù)2.6現(xiàn)今的網(wǎng)絡(luò)世界里存在著防不勝防的各種，如侵入或破壞網(wǎng)絡(luò)上的服務(wù)器、盜取服務(wù)器的敏感數(shù)據(jù)、破壞服務(wù)器對(duì)外提供的服務(wù)，或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)服務(wù)異常甚至中斷。作為設(shè)備的，必須具備網(wǎng)絡(luò)免受防護(hù)功能來(lái)檢測(cè)各種類型的網(wǎng)絡(luò)，從而采取相應(yīng)的措施

18、保護(hù)，以保證網(wǎng)絡(luò)及系統(tǒng)正常運(yùn)行。神州數(shù)碼終結(jié)者提供了基于域的防護(hù)功能。能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)中主流的目前終結(jié)者進(jìn)行合理處置，以達(dá)到保護(hù)用戶的目的。中支持對(duì)以下進(jìn)行防護(hù)：IP 地址（IP Spoofing）LandSmurfFraggleWinNukeSYN FloodICMP Flood 和UDP Flood地址掃描與端口掃描of Death3.NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)神州數(shù)碼終結(jié)者系列的 NAT 功能是將網(wǎng)絡(luò)主機(jī)的 IP 地址和端口轉(zhuǎn)換為外部網(wǎng)絡(luò)的地址和端口，以及將的外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為網(wǎng)絡(luò)主機(jī)的 IP 地址和端口。也就是“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。DCFW-1800 系列通

19、過(guò)創(chuàng)建并執(zhí)行NAT 規(guī)則來(lái)實(shí)現(xiàn)NAT 功能。NAT 規(guī)則有兩類，分別為源NAT 規(guī)則（SNAT Rule）和目的NAT 規(guī)則（DNAT Rule）。SNAT轉(zhuǎn)換源 IP 地址，從而隱藏IP 地址或者有限的 IP 地址；DNAT 轉(zhuǎn)換目的 IP地址，通常是將受保護(hù)的服務(wù)器（如 WWW 服務(wù)器或者 SMTP 服務(wù)器）的IP 地址轉(zhuǎn)換成公網(wǎng)IP 地址。3.1 源NAT源NAT(SNAT)提供三種工作模式：ic ：靜態(tài)源 NAT 轉(zhuǎn)換即一對(duì)一的轉(zhuǎn)換。該模式要求被轉(zhuǎn)換到的地址條目（trans-to-address）包含的 IP 地址數(shù)與流量的源地址的地址條目（src-address）包含的IP 地址數(shù)相

20、同。Dynamic IP：動(dòng)態(tài)源 NAT 轉(zhuǎn)換即多對(duì)多的轉(zhuǎn)換。該模式將源地址轉(zhuǎn)換到指定的IP 地址。每一個(gè)源地址會(huì)被到一個(gè)唯一的 IP 地址做轉(zhuǎn)換，直到指定地址全部被占用。Dynamic port : 即PAT。多個(gè)源地址將被轉(zhuǎn)換成指定IP 地址條目中的一個(gè)地址。如果不使用 sticky，地址條目中的第一個(gè)地址將會(huì)首先被使用，當(dāng)?shù)谝粋€(gè)地址的端口資源被用盡，第二個(gè)地址將會(huì)被使用。如果使用了sticky，每一個(gè)源IP 產(chǎn)生的所有會(huì)話將被 到同一個(gè)固定的IP 地址。3.2 目的NAT目的NAT(DNAT) 規(guī)則指定是否對(duì)符合條件的流量的目的IP 地址做NAT 轉(zhuǎn)換。通常用于隱藏或保護(hù)用于向提供服務(wù)的

21、內(nèi)外服務(wù)器。DCNOS 支持 1：1 和 1：N 以，并且在 1：N 和 N:N 的模式時(shí)支持服務(wù)器負(fù)載均衡功及 N:N 的端口能。和 IP4.路由神州數(shù)碼 DCFW-1800 終結(jié)者系列具有三層路由功能，通過(guò) VRouter【VRouter 的功能與路由器相同，并且擁有自己的路由表。DCFOS 目前支持一個(gè)VRouter，即 trust-vr。DCFW-1800 系列的所有路由配置都需要在 VRouter 配置模式下進(jìn)行?！?，進(jìn)行路由配置，對(duì)不同的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。DCFW-1800 系列支持靜態(tài)路由（Sic Routing）、ISP 路由、 源路由（ Source-Based Routing

22、 ，簡(jiǎn) 稱 SBR ）、 源接口路由 （Source-erface-Based Routing，簡(jiǎn)稱 SIBR）、策略路由（Policy-Based Routing，簡(jiǎn)稱PBR）、動(dòng)態(tài)路由（包括 RIP 和OSPF）和等價(jià)多徑路由（Equal Cost MultiPath Routing，簡(jiǎn)稱ECMP）。當(dāng) DCNOS 對(duì)進(jìn)入的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)時(shí)，按照這樣的順序選路：策略路由源接口路由源路由目的路由/ISP 路由/動(dòng)態(tài)路由。4.1 靜態(tài)路由靜態(tài)路由是手工定義的路由條目，根據(jù)目的地址指定下一跳，因此也稱作目的路由。對(duì)外連接較少或者內(nèi)網(wǎng)連接相對(duì)比較穩(wěn)定的網(wǎng)絡(luò)通常使用靜態(tài)路由。用戶可以根據(jù)需要確定是否

23、添加默認(rèn)路由條目。靜態(tài)路由中包含管理距離（distance-value）參數(shù)。該參數(shù)設(shè)定路由的優(yōu)先級(jí)，取值越小，優(yōu)先級(jí)越高，而在有多條路由選擇的時(shí)候，優(yōu)先級(jí)高的路由會(huì)被優(yōu)先使用。取值范圍是 1 到 255，默認(rèn)值為 1。當(dāng)路由距離為 255 時(shí)，該路由無(wú)效。靜態(tài)路由中也包括路由權(quán)值（weight-value）參數(shù)，該參數(shù)指定路由權(quán)值的大小。路由權(quán)值決定負(fù)載均衡中流量轉(zhuǎn)發(fā)的。范圍是 1 到 255，默認(rèn)值是 1。4.2 ISP路由很多用戶通常會(huì)申請(qǐng)多條線路進(jìn)行流量負(fù)載均衡。然而，一般的均衡是不會(huì)根據(jù)流量的流向做均衡的，如果網(wǎng)通的服務(wù)器通過(guò)電問(wèn)，網(wǎng)速就會(huì)很慢。DCFW-1800系列針對(duì)該問(wèn)題，提供

24、 ISP 路由功能，使不同 ISP 流量走專有路由，從而提高網(wǎng)絡(luò)速度。目前 DCNOS 提供一個(gè)預(yù)定義 ISP 配置文件，包含兩個(gè) ISP，分別電信（）和中通（）。當(dāng)用戶的網(wǎng)絡(luò)接入線路同時(shí)包含多個(gè)運(yùn)營(yíng)商時(shí)，ISP 路由將會(huì)給設(shè)備配置及部署數(shù)據(jù)轉(zhuǎn)發(fā)帶來(lái)非常大的便利和靈活性。4.3 源路由源路由也是手工定義的一種路由，它與目的路由的不同之處在于他的選路依據(jù)是以數(shù)據(jù)包的源地址做出的。在檢測(cè)出數(shù)據(jù)包的源地址與源路由表項(xiàng)匹配后不管目的地址是多少都直接轉(zhuǎn)發(fā)至源路由表中定義的下一跳網(wǎng)關(guān) IP。源路由的優(yōu)先級(jí)要高于目的路由。4.4 源接口路由源接口路由與源路由有點(diǎn)類似，源接口路由是根據(jù)數(shù)據(jù)包來(lái)自與判別如何轉(zhuǎn)發(fā)

25、的，當(dāng)部署網(wǎng)絡(luò)時(shí)將具有同一屬性的用戶規(guī)劃至的哪個(gè)接口而同一接口下時(shí)，使用源接口路由就可以極其方便的定義不同用戶的網(wǎng)絡(luò)選路過(guò)程。源接口路由的選路優(yōu)先級(jí)要高于源路由。4.5 策略路由DCNOS 中的策略路由構(gòu)建元素包括數(shù)據(jù)包的源IP、目的 IP 和服務(wù)類型，并對(duì)匹配策略的數(shù)據(jù)包的下一跳進(jìn)行指定。策略路由是中最細(xì)致的選路標(biāo)準(zhǔn)，而且DCFW-1800中的策略路由可以針對(duì)不同的接口或安全域來(lái)部署。策略路由的選路優(yōu)先級(jí)在所有種類路由中是最高的。4.6 動(dòng)態(tài)路由動(dòng)態(tài)路由是根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動(dòng)調(diào)整的路由。DCFW-1800 系列防火墻根據(jù)路由協(xié)議自動(dòng)調(diào)整動(dòng)態(tài)路由表。DCFOS 目前支持 RIP 和 O

26、SPF 兩種動(dòng)態(tài)路由協(xié)議。DCFW-1800 系列對(duì)于RIP 的兩個(gè)版本（RIP-1 和RIP-2）均支持。對(duì) RIP協(xié)議的配置包括基本配置、引入路由、接口、鄰居、網(wǎng)絡(luò)和距離。另外，RIP 參數(shù)配置完成后，用戶還需要在不同的接口上配置 RIP 參數(shù)，包括指定接口接收和發(fā)送更新的RIP 版本號(hào)、水平分割以及接口的RIP 認(rèn)證。DCFW-1800 系列各項(xiàng)：配置 Router ID對(duì)于OSPF 的支持也很完善。OSPF 協(xié)議配置包括以下配置區(qū)域認(rèn)證配置區(qū)域的路由聚合配置區(qū)域的缺省花費(fèi)配置區(qū)域的虛擬鏈路配置stub 區(qū)域配置接口發(fā)送OSPF 報(bào)文的缺省花費(fèi)配置缺省度量配置缺省信息發(fā)布配置缺省距離配置

27、OSPF 定時(shí)器指定運(yùn)行OSPF 協(xié)議的接口網(wǎng)絡(luò)引入路由配置距離配置接口4.7 等價(jià)多徑路由等價(jià)多徑路由（ECMP）是為到達(dá)相同目的IP 地址或網(wǎng)段的數(shù)據(jù)流量在多條相同管理距離的路徑上進(jìn)行負(fù)載均衡而設(shè)計(jì)的。當(dāng)在上到達(dá)同一目的網(wǎng)絡(luò)存在多條具有相同管理距離的路由條目時(shí)，缺省情況下將在這些路由條目上使用負(fù)載均衡方式進(jìn)行轉(zhuǎn)發(fā)，每條路由上轉(zhuǎn)發(fā)的流量大小可以通過(guò)修改其權(quán)值參數(shù)來(lái)定義。DCFW-1800最多允許在 40 條路由上進(jìn)行負(fù)載均衡。ECMP在選路方式上支持以下幾種：by-5-tuple 基于五元組（源IP 地址、目的IP 地址、源端口、目的端口和服務(wù)類型）作哈希選路（hash）。by-src 基于

28、源 IP 地址作哈希選路（hash）。by-src-and-dst - 基于源IP 地址和目的IP 地址作哈希選路（hash）。默認(rèn)情況下，基于源IP 地址和目的IP 地址做哈希選路（hash）。4.8 鏈路故障探測(cè)DCFW-1800 系列的監(jiān)測(cè)功能能夠監(jiān)測(cè)指定的目標(biāo)（IP 地址或者主機(jī)）是否可達(dá)或者接口的鏈路是否連通。監(jiān)測(cè)功能用于 HA 以及接口多種方式對(duì)目標(biāo)進(jìn)行監(jiān)測(cè)：。支持通過(guò)接口狀態(tài)：通過(guò)對(duì)指定接口狀態(tài)的可用。來(lái)判斷與該接口連接的網(wǎng)絡(luò)鏈路是否：指定網(wǎng)絡(luò)上的一個(gè)目標(biāo)主機(jī)（IP 或），并通過(guò)指定的接口以指定的時(shí)間間隔向目標(biāo)主機(jī)發(fā)送報(bào)文，當(dāng)無(wú)法持續(xù)通目標(biāo)主機(jī)時(shí)，即認(rèn)為與該接口連接的鏈路不可用。

29、（即使此接口的狀態(tài)為 UP）HTTP：指定網(wǎng)絡(luò)上的一個(gè)目標(biāo)主機(jī)（IP 或），并通過(guò)指定的接口以指定的時(shí)間間隔向目標(biāo)主機(jī)發(fā)送 HTTP 請(qǐng)求報(bào)文，當(dāng)目標(biāo)主機(jī)持續(xù)沒(méi)有回應(yīng)時(shí)，即認(rèn)為與該接口連接的鏈路不可用。（即使此接口的狀態(tài)為 UP）ARP：指定網(wǎng)絡(luò)上的一個(gè)目標(biāo)主機(jī)（IP 或），目標(biāo)主機(jī)必須與接口位于同一廣播域。將通過(guò)指定借口以指定的時(shí)間間隔向目標(biāo)主機(jī)發(fā)送 ARP 請(qǐng)求報(bào)文，當(dāng)目標(biāo)主機(jī)持續(xù)沒(méi)有應(yīng)答時(shí)，即認(rèn)為與該接口連接的鏈路不可用。（即使此接口的狀態(tài)為 UP）對(duì)于同一接口開(kāi)啟鏈路探測(cè)時(shí)，以上功能可以組合使用，以到達(dá)對(duì)接口及鏈路狀態(tài)全面而完善的檢測(cè)。對(duì)接口開(kāi)啟鏈路探測(cè)功能時(shí)，當(dāng)通過(guò)以上任何式探測(cè)到接

30、口或鏈路出現(xiàn)故障時(shí)，現(xiàn)故障時(shí)將把與該接口相關(guān)的所有路由置為非活動(dòng)狀態(tài)。從而避免了某條鏈路出還繼續(xù)向該鏈路轉(zhuǎn)發(fā)報(bào)文。典型的應(yīng)用案例如：當(dāng)上的幾條路通過(guò)鏈路探測(cè)功由執(zhí)行負(fù)載均衡時(shí)，其中一條路由對(duì)應(yīng)的鏈路出現(xiàn)故障，這時(shí)的發(fā)現(xiàn)了，并立即將該條路由置為無(wú)效，從而避免了該條路由繼續(xù)參與負(fù)載均衡轉(zhuǎn)發(fā)而出現(xiàn)丟包或無(wú)法通信的現(xiàn)象。鏈路探測(cè)功能同時(shí)也用于接口備份時(shí)對(duì)于主接口及其鏈路狀態(tài)的檢測(cè)。當(dāng)鏈路探測(cè)功能查探到主接口或與其連接的出現(xiàn)故障時(shí)，將適時(shí)的啟用備份鏈路，以此能將鏈路故障導(dǎo)致的影響減至最小。此外鏈路探測(cè)還用于HA 時(shí)對(duì)活動(dòng)主機(jī)狀態(tài)的探測(cè)。4.9 備份接口備份接口（Backup-erface）也可稱之為鏈路

31、備份，是為了解決用戶在采用單 鏈路接入的情況下， 當(dāng)接入鏈路出現(xiàn)故障時(shí)而引起全網(wǎng)業(yè)務(wù)中斷的局面。DCFW-1800引入備份接口的目的在于：當(dāng)用戶擁有兩條或兩條以上接入鏈路時(shí)，通常情況下只有主鏈路處于活動(dòng)狀態(tài)，而另外一條鏈路則處于備份狀態(tài)（比如備份鏈路按流量時(shí)）。當(dāng)檢測(cè)到主鏈路出現(xiàn)故障時(shí)，會(huì)將與主鏈路有關(guān)的路由條目置為非活動(dòng)狀態(tài)，同時(shí)立即激活備份鏈路來(lái)代替主鏈路進(jìn)行轉(zhuǎn)發(fā)。在備份鏈路工作期間還將不斷的探測(cè)之前的主鏈路的狀態(tài)，一旦發(fā)現(xiàn)主鏈路恢復(fù)正常將馬上啟用主鏈路，同時(shí)將當(dāng)前鏈路再次置為備份狀態(tài)。DCFW-1800備份接口功能可以有效保證用戶網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性，結(jié)合其對(duì)于網(wǎng)絡(luò)鏈路狀態(tài)高度智能化的判斷，

32、使得理有效的管控。能將用戶的鏈路資源始終做到最合5.交換特性及接入5.1 PPPOEDCFW-1800 系列支持基本的 PPPOE 撥號(hào)功能外，還支持在同一物理口上同時(shí)綁定多個(gè)PPPOE 撥號(hào)線路。即一個(gè)物理接口綁定多個(gè)PPPoE 子接口功能。多個(gè) PPPoE 子接口功能指基于以太網(wǎng)口創(chuàng)建多個(gè) PPPoE 子接口后，一個(gè)物理以太網(wǎng)口便可以通過(guò)多個(gè) PPPoE 子接口連接多個(gè) ISP。每接口可最多綁定 8 個(gè) PPPoE子接口，即使用一個(gè)物理接口同時(shí)撥號(hào) 8 條PPPOE 線路。這為使用多 PPPOE 線路接入的網(wǎng)絡(luò)提供了良好的解決方案，并節(jié)省了的寶貴接口資源。5.2 端口聚合DCFW-1800

33、提供的端口聚合是將兩個(gè)或者多個(gè)物理接口的邏輯上起來(lái)。這些物理接口平均分擔(dān)通過(guò)該集聚接口的流量，集聚接口能夠接口的可用帶寬。如果集聚接口中的一個(gè)物理接口出現(xiàn)故障不能工作，那么其它接口還可以繼續(xù)處理流量。通過(guò)這種方法可以解決單接口接入帶寬的情況。5.3 端口橋接組在某些組網(wǎng)情況下需要進(jìn)行快速轉(zhuǎn)發(fā)使用。例如的幾個(gè)接口位于同一廣播域，作為一個(gè)交換環(huán)境來(lái)下聯(lián)做雙機(jī)熱備的兩臺(tái)交換機(jī)時(shí)就需要到這種解決方案。DCFW-1800中的端口橋接組（BGroup）就是為滿足這樣的需求而設(shè)計(jì)的。BGroup 將多個(gè)物理接口組織在一起。每一個(gè) BGroup一個(gè)獨(dú)立的廣播域，數(shù)據(jù)包可以在 BGroup 中的接口之間根據(jù) M

34、AC 地址由硬件進(jìn)行快速轉(zhuǎn)發(fā)。使用BGroup 能夠提高設(shè)備的轉(zhuǎn)發(fā)性能。用戶在創(chuàng)建一個(gè) BGroup 接口的同時(shí)，也創(chuàng)建了與該 BGroup 接口相對(duì)應(yīng)的 BGroup。用戶可以將 BGroup 接口綁定到二層安全域，然后將其添加到VSwitch 中，也可以將 BGroup 接口綁定到三層安全域，再為其配置 IP 地址。因此在二、三層交叉的組網(wǎng)設(shè)計(jì)時(shí) BGroup 可以為用戶提供靈活的組網(wǎng)方案。5.4 802.1Q在交換型網(wǎng)絡(luò)大行其道的今天，網(wǎng)絡(luò)設(shè)備對(duì)于 802.1Q 協(xié)議（dot1q）的支持非常重要，尤其是像這種復(fù)合型定位的設(shè)備，有可能需要部署在網(wǎng)絡(luò)中的任何位置，這就使得它更需要具備對(duì) 80

35、2.1Q 的完善解決方案。DCFW-1800不僅支持接口在路由模式下的 802.1Q 封裝，而且在透明模式下也能做到對(duì) 802.1Q 協(xié)議的完美處理。目前支持的VLAN 數(shù)為 4094 個(gè)。6.網(wǎng)絡(luò)參數(shù)為了能使DCFW-1800在中小型網(wǎng)絡(luò)中獲得更好的使用體驗(yàn)，在防火墻中集成了幾個(gè)常用服務(wù)功能，其中包括 DNS/DNS服務(wù))。、DHCP、DDNS(動(dòng)態(tài)6.1 DNS/DNS（Name System）是一種組織成域?qū)哟谓Y(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)，用于 TCP/IP 網(wǎng)絡(luò)，主要用來(lái)尋找ernet（如）并轉(zhuǎn)化為IP 地址（如“”）以定位相應(yīng)的計(jì)算機(jī)和相應(yīng)服務(wù)。神州數(shù)碼 DCFW-1800 系列的

36、DNS 功能如下：名字服務(wù)：為配置DNS 服務(wù)器和默認(rèn)，為自身需要進(jìn)行域名時(shí)提供服務(wù)。DNS功能作為DNS服務(wù)器，為與其連接的 PC 等（客戶端）提供 DNS端所有的功能。也就是說(shuō)客戶端將 DNS 地址指定為的 IP，客戶請(qǐng)求都發(fā)往，由完成動(dòng)作并將結(jié)果反饋給客戶端。這個(gè)功能可大大減少對(duì)客戶端DNS的工作量。緩存：在果啟用了DNS功能后，客戶端針對(duì)每個(gè)的首次結(jié)都會(huì)將該DNS項(xiàng)在緩存中，當(dāng)后續(xù)由其他客戶端需要該時(shí)，將直接從緩沖中查找，這樣就能大大提高速度。6.2 DDNSDDNS 是動(dòng)態(tài)服務(wù)（DynamicName Server）的縮寫，可以實(shí)現(xiàn)固定到動(dòng)態(tài) IP 地址之間的。通常情況下，用戶每次連

37、接因特網(wǎng)時(shí)都會(huì)從 ISP得到一個(gè)動(dòng)態(tài) IP 地址，即用戶每次連接因特網(wǎng)得到的 IP 地址都不同。動(dòng)態(tài)功能可以將動(dòng)態(tài)的綁定到用戶每次獲得的不同IP 地址上，每次當(dāng)用戶連接到因特網(wǎng)時(shí)，它都會(huì)自動(dòng)更新自己的動(dòng)態(tài)IP 與的綁定。在使用 DDNS 功能之前，用戶需要在 DDNS 服務(wù)的提供商那里進(jìn)行，以獲取動(dòng)態(tài)使用前請(qǐng)。DCFW-1800 系列支持以下三個(gè)動(dòng)態(tài)服務(wù)提供商：3322.：H：h： http:相應(yīng)的主頁(yè)進(jìn)行.cn。DDNS 在用戶無(wú)法獲得固定合法IP 而又需要聯(lián)網(wǎng)發(fā)布服務(wù)的情況下提供了可靠的解決方案，另外也讓設(shè)備間使用動(dòng)態(tài) IP 地址建立隧道成為可能。6.3 DHCPDHCP 是動(dòng)態(tài)主機(jī)配置協(xié)

38、議（Dynamic Host Configuration Protocol）的縮寫。DHCP 能夠自動(dòng)為子網(wǎng)分配適當(dāng)?shù)腎P 地址以及相關(guān)網(wǎng)絡(luò)參數(shù)，從而減少網(wǎng)絡(luò)管理工作量。同時(shí)，DHCP 能夠保證網(wǎng)絡(luò)中不會(huì)出現(xiàn)地址源。，并能重新分配閑置的IP 地址資DCFW-1800 系列功能。支持 DHCP 客戶端功能、DHCP 服務(wù)器功能和 DHCP中繼DHCP 客戶端：動(dòng)態(tài)獲得IP 地址。DHCP 服務(wù)器：的接口可以設(shè)置成 DHCP 客戶端，從 DHCP 服務(wù)器的接口可以設(shè)置成 DHCP 服務(wù)器，通過(guò)配置的地址池，向與該接口相連的主機(jī)分配IP 地址。DHCP 中繼：的接口可以設(shè)置成 DHCP 中繼，中繼從

39、DHCP 服務(wù)器獲得DHCP 信息，然后將獲得信息傳遞到與接口相連的主機(jī)。7.QoS（流量管控）QoS（Quality of Service）即“服務(wù)質(zhì)量”。它是指網(wǎng)絡(luò)為特定流量提供更高優(yōu)先服務(wù)的同時(shí)控制抖動(dòng)和延遲的能力，并且能夠降低數(shù)據(jù)傳輸丟包率。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)，QoS 能夠確保重要業(yè)務(wù)流量的正常傳輸。在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)絡(luò)中各種需要高帶寬的應(yīng)用層出不窮，而傳統(tǒng)通訊業(yè)務(wù)中的音頻、等應(yīng)用也加速聯(lián)網(wǎng)融合，在這種趨勢(shì)下就對(duì)網(wǎng)絡(luò)為應(yīng)用提供可的要求。、可管控的帶寬服務(wù)提出了更高DCFW-1800 系列提供了完善的 QoS 解決方案，能夠?qū)α鹘?jīng)的各種流量實(shí)施細(xì)致深入的流控策略，能夠?qū)崿F(xiàn)對(duì)用戶帶

40、寬和應(yīng)用帶寬的有效管理，可以根據(jù)不同網(wǎng)絡(luò)應(yīng)用的重要性為其提供不同的轉(zhuǎn)發(fā)優(yōu)先級(jí)。DCFW-1800分類和標(biāo)記的QoS 基于以下管理機(jī)制實(shí)現(xiàn)：和整形擁塞管理?yè)砣苊鈭D 7-1 描繪了 QoS 的體系結(jié)構(gòu)。圖 7-1：QoS 體系結(jié)構(gòu)IngressEgressIngress TrafficDSCP MarkingVoIPVoIPHTTPHTTPClasssifierIPIPPHY IFIngress TrafficClassification and MarkingLLQWREDQueuing Scheduling PHY IFandShaEgress TrafficCongestionConges

41、tionAvoidanceManagementMarker orr7.1 分類和標(biāo)記分類和標(biāo)記的過(guò)程就是識(shí)別出需進(jìn)行不同處理（優(yōu)先或者區(qū)分）的流量的過(guò)程。分類和標(biāo)記是執(zhí)行QoS 管理的第一步。DCFW-1800S標(biāo)準(zhǔn)?？筛鶕?jù)以下標(biāo)準(zhǔn)進(jìn)行分類。表 7-1 列出了不同字段的分類表 7-1：分類標(biāo)準(zhǔn)DCFW-1800提供專有的對(duì)應(yīng)用進(jìn)行智能識(shí)別標(biāo)記的功能，能夠識(shí)別現(xiàn)下互聯(lián)網(wǎng)中流行的百余種應(yīng)用，包括對(duì)P2P(迅雷、BT、eMule、eDonkey 等)和即時(shí)通訊應(yīng)用的識(shí)別分類。DCFW-1800還支持用戶自定義服務(wù)，并對(duì)自定義服務(wù)進(jìn)行識(shí)別和標(biāo)記。然后根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并區(qū)分出優(yōu)先

42、級(jí)。該功能的典型解決方案如：用戶可以為網(wǎng)絡(luò)中關(guān)鍵的 OA、及數(shù)據(jù)庫(kù)等應(yīng)用進(jìn)行標(biāo)識(shí)并為其設(shè)置高優(yōu)先級(jí)和保證帶寬，以使他們獲得優(yōu)先轉(zhuǎn)發(fā)。對(duì)于P2P 流量可以為他們?cè)O(shè)置最低優(yōu)先級(jí)，并對(duì)他們進(jìn)行帶寬限制。這樣就能使有限的帶寬資源最大限度的服務(wù)于急需的業(yè)務(wù)應(yīng)用。對(duì)于標(biāo)記DCFW-1800可攜帶的字段如下：第 2 層標(biāo)記字段：802.1Q/p第 3 層標(biāo)記字段：IP 優(yōu)先權(quán)和DSCPLayer標(biāo)準(zhǔn)描述Layer 1物理接口接口Layer 2802.1Q/p 服務(wù)類別（CoS）位串Layer 3IP 優(yōu)先權(quán)（IP Precedence）、DiffServ 代碼（DSCP）和源/目的IP 地址組Layer 4

43、端（TCP 或者 UDP）Layer 7應(yīng)用類型（Application Type）或者應(yīng)用簽名（ApplicationSignature）7.2 流量和整形QoS 管理提供和整形功能。和整形的作用是識(shí)別流量違約并做出響應(yīng)。和整形使用同樣的算法識(shí)別流量違約，但是做出的響應(yīng)不同。工具對(duì)流量違約進(jìn)行即時(shí)檢查，發(fā)現(xiàn)違約后立即采取設(shè)定的動(dòng)作進(jìn)行處理。例如，工具可以確定負(fù)載是否超出了定義的流量速率，然后對(duì)超出部分的流量進(jìn)行重新標(biāo)記或者直接丟棄。工具可以應(yīng)用在的入接口和出接口上。整形工具是一個(gè)與排隊(duì)機(jī)制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個(gè)接口，并且控制流量不超出指定的速率，使流量平

44、滑地通過(guò)該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。與整形相比較，具有以下區(qū)別，參見(jiàn)表 7-2。表 7-2：的行為與整形比較和IP QoS 結(jié)合使用，用戶可以很容易的通過(guò)將DCFW-1800為關(guān)鍵用戶控制流量并區(qū)分流量?jī)?yōu)先級(jí)。DCFW-1800最多可支持 20,000 個(gè)不同IP 地址的流量?jī)?yōu)先級(jí)區(qū)分和帶寬控制（可分別對(duì)接口的出方向和入方向進(jìn)行控制），這樣就相當(dāng)于系統(tǒng)中可容納超過(guò) 40,000 個(gè)QoS 隊(duì)列。7.3 帶寬保證DCFW-1800 系列中的帶寬保證功能使用擁塞管理工具實(shí)現(xiàn)。擁塞管理工具是QoS 工具中最重要的一個(gè)。擁塞管理工具即排隊(duì)工具，應(yīng)用在產(chǎn)生擁塞的接口上。由于網(wǎng)絡(luò)之間的速

45、率不匹配，在廣域網(wǎng)或者局域網(wǎng)中都有可能出現(xiàn)擁塞。只有當(dāng)接口發(fā)生擁塞時(shí)，排隊(duì)工具才會(huì)被啟用。DCFW-1800 系列（CBWFQ）和低延遲隊(duì)列（LLQ）。支持公平隊(duì)列CBWFQ：基于類別的公平隊(duì)列。使用戶能夠?yàn)槟骋活惲髁颗渲米钚д斡捎趤G棄，引起TCP 重傳通常延遲流量，很少引起TCP 重傳不靈活和不可適應(yīng)通過(guò)排隊(duì)機(jī)制來(lái)適應(yīng)網(wǎng)絡(luò)擁塞入接口和出接口工具出接口工具沒(méi)有緩存的速率限制有緩存的速率限制寬。LLQ：低延遲隊(duì)列。LLQ 是 PQ、CQ 和 WFQ 的綜合算LQ 一般用于語(yǔ)音和交互式。在配置時(shí)，所有 LLQ 類型的應(yīng)用所占總帶寬過(guò)鏈路帶寬的 33%。此外，DCFW-1800 系列還使用早期隨

46、機(jī)檢測(cè)（WRED）算法實(shí)現(xiàn)擁塞避免。擁塞避免機(jī)制是排隊(duì)算法的補(bǔ)充，并且依賴于排隊(duì)算法。使用擁塞避免工具的目的是為了處理基于TCP 的數(shù)據(jù)流。7.4 多層QoSDCFW-1800 系列的 QoS 功能包括應(yīng)用 QoS 和 IP QoS 兩種，它們是兩個(gè)獨(dú)立的數(shù)據(jù)流控制工具。應(yīng)用 QoS 從全局出發(fā)，調(diào)度安排經(jīng)過(guò)系統(tǒng)的數(shù)據(jù)流，讓高優(yōu)先級(jí)的數(shù)據(jù)得到更好更快的服務(wù)；IP QoS 從每一個(gè)獨(dú)立的IP 出發(fā)，限定每一個(gè)IP的帶寬。同時(shí)使用這兩種 QoS，即為多層 QoS。配置多層 QoS 后，通過(guò)系統(tǒng)的流量需要經(jīng)過(guò)兩層QoS 控制。一般部署多層QoS 時(shí)會(huì)在第一層使用應(yīng)用QoS，在第二層使用IP 限流。流

47、量通過(guò)第一層應(yīng)用 QoS 時(shí)，重要數(shù)據(jù)，例如、VoIP，可以被加速，非重要數(shù)據(jù)，如P2P，會(huì)被丟棄或延遲。由此，通過(guò)第一層應(yīng)用QoS 后，整個(gè)系統(tǒng)中的流量就具備了優(yōu)先順序。所有經(jīng)過(guò)第一層應(yīng)用QoS 的流量進(jìn)入第二層IP 限流，實(shí)現(xiàn)限流控制。7.5 彈性QoS當(dāng)配置 QoS 功能后，不同的 IP 地址可獲得的最大帶寬通常會(huì)被限制在一個(gè)數(shù)值之內(nèi)，此時(shí)，即使接口有閑置帶寬，被限制的IP 也不可以使用，造成資源的浪費(fèi)。針對(duì)這一現(xiàn)象，DCFW-1800 系列用。提供彈性QoS 功能，以實(shí)現(xiàn)帶寬資源的充分利彈性 QoS 設(shè)置最大和最小兩個(gè)門限值，缺省最小門限值為 75，缺省最大門限值為 85。開(kāi)啟彈性Qo

48、S 功能后，當(dāng)出口帶寬利用率小于 75%時(shí)，用戶可以使用的實(shí)際帶寬緩慢的呈線性增加，當(dāng)帶寬利用率到達(dá) 85%時(shí)，用戶使用的帶寬呈指數(shù)減少，直到實(shí)際限定的帶寬。這兩個(gè)門限值用戶可根據(jù)實(shí)際情況自行修改。8.(Virtual Private Network)虛擬網(wǎng)，是指利用公用電信網(wǎng)絡(luò)為用戶提供網(wǎng)的所有各種功能。的組網(wǎng)方式為企業(yè)提供了一種低成本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并增加了企業(yè)網(wǎng)絡(luò)功能，擴(kuò)大了其雖然用戶實(shí)際上并不存在一個(gè)獨(dú)立網(wǎng)的范圍。由于采用了“虛擬網(wǎng)”技術(shù)，的網(wǎng)絡(luò)，但用戶既不需要建設(shè)或租用專線，也不需要裝備的設(shè)備，就能組成一個(gè)屬于用戶自己的電信網(wǎng)絡(luò)，從而在很大程度上降低了企業(yè)組網(wǎng)的費(fèi)用。此外，很好的私密

49、性和安全性。神州數(shù)碼的DCFW-1800 系列加密技術(shù)也使通過(guò)傳輸?shù)臄?shù)據(jù)具備了支持IPSec 和SSL,強(qiáng)大的功能可以為用戶提供高性能、高容量、穩(wěn)定靈活的解決方案。8.1 IPSecIPSec是現(xiàn)在互聯(lián)網(wǎng)上最重要的網(wǎng)關(guān)到網(wǎng)關(guān)技術(shù)，他已經(jīng)成為企業(yè)分支機(jī)構(gòu)間互聯(lián)的首選。DCFW-1800IPSec具有豐富的支持特性。從成網(wǎng)結(jié)構(gòu)上可分為：網(wǎng)關(guān)到網(wǎng)關(guān)方式和 HUB and Spoken（星型）方式；按數(shù)據(jù)驅(qū)動(dòng)類型可分為：基于策略的和基于路由的廠商設(shè)備互通；標(biāo)準(zhǔn)的IPSec技術(shù)使其能夠與國(guó)際全面的加密算法支持，包括 DES、3DES、AES、AES192、AES256，驗(yàn)證算法包括SHA、MD5，DH

50、組支持：Group1、Group2、Groutp5；協(xié)商模式支持預(yù)共享密鑰、手工密鑰及PKI;支持NAT 穿越技術(shù)具備DPD(對(duì)端下線檢測(cè))機(jī)制支持對(duì)端使用靜態(tài)IP、動(dòng)態(tài)IP 創(chuàng)建隧道支持對(duì)支持多隧道中的應(yīng)用進(jìn)行控制隧道間負(fù)載均衡支持防重放（Anti-Replay）功能支持響應(yīng)方設(shè)置Commit 位（mit）功能8.2 SSL為解決用戶安全私網(wǎng)數(shù)據(jù)，DCFW-1800 系列提供基于SSL 的登錄解決方案Secure Connect，簡(jiǎn)稱為SC。SC功能可以通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息的神州數(shù)碼 DCFW-1800 系列連通。的SC功能包含設(shè)備端和客戶端兩部分。配置了SC功能的作為設(shè)備端，具有以下

51、功能：接受客戶端連接；為客戶端分配IP 地址、DNS 服務(wù)器地址和WINS 服務(wù)器地址；進(jìn)行客戶端用戶的認(rèn)證與；對(duì)IPSec 數(shù)據(jù)進(jìn)行加密與轉(zhuǎn)發(fā)。DCFW-1800 系列用戶可以通過(guò)瀏覽器SC的客戶端工具為DigitalChina Secure Connect。該客戶端，然后將其安裝到 PC，連接設(shè)備端成功后，用戶就可以通過(guò)SCDCFW-1800功能安全的傳輸數(shù)據(jù)信息。的SSL不需要用戶預(yù)先安裝和配置客戶端，所有的安裝和配置都可以在接入時(shí)自動(dòng)完成，大大降低了的工作量，使該功能對(duì)最終用戶變得簡(jiǎn)單易用。此外 DCFW-1800可以針對(duì)用戶或用戶組的接入實(shí)現(xiàn)細(xì)粒度的集成了基于SSL 的用戶認(rèn)證機(jī)制，

52、控制，使特定的網(wǎng)絡(luò)資源只給正確的用戶DCFW-1800。的SSL功能具備以下特性：基于IP 層面的接入，兼容所有基于IP 的應(yīng)用私有IP 地址分配內(nèi)網(wǎng)的DNS 和WINS 服務(wù)器，提供SSL隧道支持多種加密算法自動(dòng)配置路由多個(gè)用戶域，每個(gè)域可以用自己的認(rèn)證服務(wù)器支持多種認(rèn)證方式，包括本地認(rèn)證、Active Directory、L對(duì)接入的用戶實(shí)時(shí)、Radius基于用戶的控制可以提供細(xì)粒度的控制。這種用戶可以是用戶名、部門的組合同一接口支持多SSL接入通道，提供更高安全性9.認(rèn)證與AAA 是 Authentication（認(rèn)證）、Authorization（費(fèi)）的簡(jiǎn)稱。具體內(nèi)容如下：）和 Acco

53、unting（計(jì)認(rèn)證：驗(yàn)證用戶。：根據(jù)配置對(duì)用戶授予一定權(quán)限。計(jì)費(fèi)：用戶使用網(wǎng)絡(luò)資源應(yīng)付的費(fèi)用。DCFW-1800 系列支持以下認(rèn)證方式：本地認(rèn)證：將用戶信息（包括用戶名稱、本地認(rèn)證速度快，可以降低運(yùn)營(yíng)成本，但是和各種屬性）配置在上。信息量受設(shè)備硬件條件的限制。默認(rèn)情況下，使用本地認(rèn)證的方式對(duì)用戶進(jìn)行認(rèn)證。外部認(rèn)證：支持通過(guò) RADIUS 和LDAP 協(xié)議進(jìn)行外部認(rèn)證。將用戶信息在外部RADIUS、Active-Directory 或者LDAP 服務(wù)器上，通過(guò)外部RADIUS、Active-Directory 或者LDAP 服務(wù)器對(duì)的用戶進(jìn)行認(rèn)證。DCFW-1800 系列本地支持以下方式：根據(jù)

54、上為本地用戶帳號(hào)配置的相關(guān)屬性進(jìn)行。外部服務(wù)器認(rèn)證成功后：RADIUive-Directory/LDAP 協(xié)議的認(rèn)證和綁定在一起。目前DCFW-1800上的認(rèn)證功能可以用于Web 認(rèn)證和SSL用戶認(rèn)證。上創(chuàng)建Web 認(rèn)證：為內(nèi)網(wǎng)用戶在認(rèn)證服務(wù)器上創(chuàng)建用戶名、口令，并在基于用戶角色的安全策略，當(dāng)內(nèi)網(wǎng)用戶通過(guò)其他安全域的資源時(shí)首先策略允許的服務(wù)或資源。需要輸入用戶名、進(jìn)行認(rèn)證，認(rèn)證通過(guò)后方可使用Web 認(rèn)證的好處是：避免了在針對(duì)用戶 IP 地址進(jìn)行控制時(shí)，非用戶通過(guò)私自修改IP 地址來(lái)獲得他人的權(quán)限。而 Web 認(rèn)證完全不關(guān)心客戶配置了什么 IP 地址，僅根據(jù)用戶角色來(lái)判斷其權(quán)限，這樣就能對(duì)每個(gè)用

55、戶做到有效的管控。SSL用戶認(rèn)證：在認(rèn)證服務(wù)器上為 SSL用戶創(chuàng)建賬號(hào)，SSL用戶使用創(chuàng)建好的用戶名接入，并且在控制。上可根據(jù)具體用戶來(lái)制定訪問(wèn)策略，從而達(dá)到細(xì)粒度的10.靠性靠性（High Availability），簡(jiǎn)稱為 HA，是 DCFW-1800為需要靠性服務(wù)的用戶提供的雙機(jī)熱備解決方案。HA 能夠在主設(shè)備通信線路或發(fā)生故障時(shí)提供及時(shí)的備用方案，從而保證數(shù)據(jù)通信的暢通，有效增強(qiáng)網(wǎng)絡(luò)的可靠性。實(shí)現(xiàn) HA功能，用戶需要配置兩臺(tái)設(shè)備，組成HA 簇，系統(tǒng)使用HCMP 協(xié)議，按照兩臺(tái)設(shè)備上的 HA 配置信息，在 HA 簇中出主設(shè)備，另外一臺(tái)設(shè)備為備份設(shè)備。正常情況下主設(shè)備處于活動(dòng)狀態(tài)，轉(zhuǎn)發(fā)報(bào)文

56、，當(dāng)主設(shè)備出現(xiàn)故障時(shí)，備份設(shè)備其工作，轉(zhuǎn)發(fā)報(bào)文。這樣就保證了網(wǎng)絡(luò)通信的不間斷進(jìn)行，極大地提高了通信的可靠性。為保證備份設(shè)備能夠在主設(shè)備失效時(shí)代替主設(shè)備工作，主設(shè)備需要與備用設(shè)備進(jìn)行同步。同步的信息類型有三種：配置信息、文件以及 RDO（Runtime Dynamic Object）。RDO 的具體內(nèi)容主要包括：會(huì)話信息信息 DNS 緩存 ARP 表PKI 信息 DHCP 信息MAC 表?xiàng)l目系統(tǒng)使用兩種方法進(jìn)行同步，分別是實(shí)時(shí)同步和批量同步。當(dāng)主設(shè)備剛剛成功時(shí)，系統(tǒng)會(huì)使用批量同步方法，將主設(shè)備信息全部同步到備份設(shè)備；當(dāng)配置發(fā)生變化時(shí)，系統(tǒng)將使用實(shí)時(shí)同步的方法將變化的信息同步到備份設(shè)備。除 HA

57、相關(guān)配置和本地配置（例如，主機(jī)名稱配置），其它的配置都會(huì)被同步。11. 日志審計(jì)DCFW-1800事件日志告警日志安全日志配置日志網(wǎng)絡(luò)日志提供豐富的日志審計(jì)功能，可的系統(tǒng)日志包括：提供syslog日志格式，日志送日志。支持本地，發(fā)送至日志服務(wù)器，以及郵件方式發(fā)對(duì)于每接口的流量情況，在中能夠以二維柱狀圖的方式顯示出來(lái)，能夠統(tǒng)計(jì)每接口在5分鐘、1小時(shí)、3小時(shí)及24小時(shí)內(nèi)的雙方向流量情況，并可以將結(jié)果手動(dòng)導(dǎo)出。12. 管理12.1 管理方式DCFW-1800 系列支持Consolenet、SSH 以及WebUI 方式的。用戶可以配置各種方式的超時(shí)時(shí)間、端以及 HTTPS 的 PKI 信任域。對(duì)于We

58、bUI 管理界面，DCFW-1800支持使用HTTP 和HTTPS 兩種方式登錄管理，使用 HTTPS，因?yàn)椴捎?HTTPS 時(shí)管理端與樣可以有效的防止管理信息外泄。之間的交互會(huì)話將被加密，這使用net、SSH、HTTP 或者 HTTPS 方式登錄設(shè)備時(shí)，如果在一分鐘內(nèi)連續(xù)三次登錄失敗，系統(tǒng)會(huì)將登錄失敗的 IP 地址鎖定兩分鐘。被鎖定的 IP 地址在兩分鐘內(nèi)不能建立與設(shè)備的連接。12.2 SNMPDCFW-1800也支持SNMP功能，DCFW-1800 系列擁有一個(gè)SNMP，該 SNMP提供網(wǎng)絡(luò)管理，通過(guò)統(tǒng)計(jì)數(shù)據(jù)和接收重要系統(tǒng)時(shí)間通知網(wǎng)絡(luò)和設(shè)備的運(yùn)行情況。DCFW-1800 系列trap：的

59、SNMP生成以下各種熱啟動(dòng)trapSNMP 驗(yàn)證失敗trap端口狀態(tài)改變trapSA 協(xié)商狀態(tài)改變trapCPU 使用率超過(guò) 80%的trapDCFW-1800 系列支持以下版本的SNMP：SNMPv1 協(xié)議，具體描述請(qǐng)參閱 RFC-1157 中的 A Simple NetworkManagement Protocol；SNMPv2 協(xié)議，具體描述請(qǐng)參閱 RFC-1901 中的roduction toCommunity-based SNMPv2；RFC-1905 中的Protocol Operations forVer2 of the Simple Network Management Pro

60、tocol；RFC-1906 中的 Transport Maps for Ver2 of the Simple NetworkManagement Protocol。DCFW-1800 系列支持 RFC-1213 中定義的所有相關(guān)的管理信息庫(kù)組（Management Information Base for Network Management of TCP/IP-basedernets: MIB-II）。此外，DCNOS 提供一個(gè)私有 MIB 庫(kù)，用戶可以將其導(dǎo)入到管理主機(jī)的 MIB 瀏覽器進(jìn)行使用。12.3 系統(tǒng)管理DCFW-1800 系列支持分級(jí)管理體系，設(shè)備由系統(tǒng)管理員（Adminis