IPv6应用交付网关可帮助中小企业以最低的成本,帮助客户完成IPv6网络改造过渡阶段。
将其部署在用户数据中心的DMZ区域,专注解决IPv6转换业务。该设备作为IPv6与IPv4的转换
点,外网接入V6线路,内网接入V4线路。在转换协议的基础上,实现外链天窗完整呈现,V6流
量溯源,业务加速及安全。
阿姆瑞特 AI-6000 智能协议转换系统
阿姆瑞特 AI-6000 智能协议转换系统是专为纯 IPv6 与 IPv4 网络间通讯而设计的
专业系统,是集成了 NAT64、抗 DoS/DDoS 攻击、网络扫描保护、接入安全、僵尸网
络阻止、地理 IP 拦截等组件的先进的 IP64 协议转换系统,可为用户提供纯 IPv6 与 IPv4
网络间互通、IPv4 数据中心升级到 IPv6 等专业解决方案。
功能&技术特点:
主要功能
阿姆瑞特智能协议转换系统能够提供 toIPv4 和 toIPv6 双向协议转换,支持静态路由、OSPF、
BGP、链路监视、Service VLAN 等高级网络功能,并具有强大的抗 DoS/DDoS 攻击、僵尸网
络阻止、IP 欺骗阻止等特性,能够为用户提供从网络层到应用层的完美转换。
有状态 NAT64 转换
有状态 NAT64 是最常用的 NAT64 类型,典型的应用场景是多个 IPv6 主机访问远程 IPv4 服务
器时使用有状态 NAT64,只支持 IPv6 主机端发起访问。
无状态 NAT64(SIIT)转换
无状态 NAT64 也称为 SIIT(Stateless IP/ICMP Translation),是 IPv6 和 IPv4 地址之间的静
态一对一转换,类似于普通的IPv4到IPv4静态地址映射。 在典型的应用场景中,无状态NAT64
允许在任一方向上进行转换,所以 IPv4 或 IPv6 主机都可以发起访问。
CGNAT 转换
CGNAT 是大规模共享 IPv4 地址技术,适用于 ISP 数据中心或高校数据中心平滑升级到 IPv6
网络。阿姆瑞特 CGNAT 技术支持 IPv6 和 IPv4 源、目标地址双向地址池功能,实现数据中心
NAT44、NAT64 大规模地址转换。
旁路部署转换
作为一款网络基础设备,该系统配置了多种网络接口,不仅可以以路由模式部署于网络出口处,
还支持以旁路模式部署于网络拓扑中,实现 IPv6/v4 地址转换,并且支持 TCP/UDP 应用协议
转换,为平滑升级构建 IPv6 数据中心提供完美解决方案。
强大的攻击抵御能力
可以抵御多种形式的攻击,包括 Syn-flood、Land-Based、UDP Flood、Ping Flood、Ping of
Death、Tear Drop 等,并且这些攻击除 Syn-flood 外都无需配置,设备自动识别并加以阻止。
网络扫描保护
网络扫描是黑客发起攻击的第一个步骤,他们在外部的主机上运行软件以进行第一步的侦察,
通过这些方法就可以得到关于 IP、端口号以及域名等信息,甚至对目标主机进行暴力破解。能
够识别这些扫描行为,丢弃扫描连接并把黑客的 IP 地址记入黑名单。
地理 IP 控制功能
针对来自于一个国家或地区的攻击,网络管理员无需收集并维护攻击者的源 IP,只需在管理页
面中选择相应的国家或地区,就可以轻松地阻止来自或去往这些国家或地区的流量,也可以对
其流量设置带宽限制。
HTTPS 终结
当前仍有不少用户的 web 服务器仍然在提供 http 而不是 https 服务,通过简单的工具,黑客
就可以轻松获知用户所访问的 web 内容,甚至一些用于提交重要信息的表单也没有使用 https
来加密,这是一个极大的安全威胁。该系统所提供的 https 终结功能可以轻松把原有的 http
页面转换成 https 页面,从而消除这一威胁。此功能可以和服务器负载均衡功能相结合,使安
全性和可靠性相得益彰。
高性能
作为大型企业使用的智能协议转换系统,该系统采用电信级硬件架构设计,通过多核+ASIC 技
术的先进性克服了传统架构在处理第 7 层数据时的性能瓶颈问题。简单来说,对于数据包第 3
层的路由选择、转发、过滤以及网络层攻击的防护等由 ASIC 芯片来进行处理;对于第 7 层的
安全过滤由多核 CPU 并行进行处理,从而达到了安全和性能完美的统一。
丰富的路由功能
具有强大的路由功能,可以被部署在网络出口以着重发挥其强大的 NAT 和服务映射功能,或者
部署于网络内部的重要保护区域之前主要工作在纯路由模式,也可以被旁路部署于需要保护的
资源前面以实现无感知安全性。该系统同时提供丰富的网络接口,包括自适应的电口和 SFP 插
槽,用户可以方便地同时使用单模、多模等多种介质来组网。
链路监视与路由备份
目前许多用户都拥有多条互联网出口,这一点在高校中更为普遍。虽然现在的许多出口设备都
支持基于目标 IP 地址来选择路由,但各出口线路之间的互相备份更为重要。可以监视物理连接
的状态、网关设备的活动性以及远程主机的响应速度,不仅可以在链路完全断开的情况下,而
且还可以在某条链路质量较差的时候把连接切换到其它线路上。
策略路由
该系统具有成熟的基于策略的路由(PBR)的功能,它不仅可以基于目标 IP 地址进行路由的自
动选择,而且还支持基于源 IP 地址、服务/协议来进行路由选择。在与时间表配合之后,还可
以实现在上班时间仅让重要业务使用优质线路,而在下班之后优质线路也可供一般用户使用。
链路聚合
为了提供更大的吞吐量和更高的带宽,该系统使用整机状态表的方式,使安全网关支持端口聚
合成为了可能。端口聚合技术将多物理接口当作一个单一的逻辑接口来处理,它允许与交换机
之间通过多个端口并行连接同时传输数据以提供更高的带宽,有效地提高设备间的传输速度,
从而消除网络访问中的瓶颈。
集中管理
支持通过 InCenter 的远程集中管理。通过 InCenter,用户可以直观地以各种图表来自定义设
备的状态、性能监视页面,并对设备进行配置的实时备份、更改、配置差异分析,而且这些通
信都是经过了至少 512 位加密的,为用户提供了极强的安全性。阿姆瑞特 InCenter 同时向用
户提供基于 WCF 的 SDK,用户通过调用 API 就可以开发出具有自己特色的集中管理工具。
日志分析
阿姆瑞特 Insight 日志分析软件可以搜集详细的日志数据,并可使用日志分析工具所提供的强
大的逻辑查询功能对数据进行分析。管理员可以有效地对数据流进行分析,深度了解用户的网
络行为,并进行流量统计、用户统计,并展现潜在安全威胁等等。
IPv6过渡技术对比分析:
目录 | NAT64 | IVI | PNAT | IPv6应用转换 |
适用场景 | IPv6内部网络与外部IPv4互联网的通信(固定IPv6用户访问广域IPv4资源) | IPv6内部网络与外部IPv4互联网的通信(固定IPv6用户访问广域IPv4资源) | IPv6内部网络与外部IPv4互联网的通信(固定IPv6用户访问广域IPv4资源) | 广域IPv6网络访问广域IPv4资源 广域IPv4网络访问广域IPv6资源 |
DNS部署 | 需DNS64网关配合,实现A和AAAA记录的互相转换。部署和维护难度加大 | 需IVI DNS网关配合,实现A和AAAA记录的互相转换。部署和维护难度加大 | 自带ENR模块实现A和AAAA的互相转换 | 无需DNS网关,使用现有的DNS服务即可 |
部署方式 | 串接 | 串接 | 串接 | 旁路 |
实现方式 | IP网络层 | IP网络层 | IP网络层 | IP网络层+应用协议层 |
内容天窗问题 | 未解决。网络层的翻译,无法识别应用类型 | 未解决。网络层的翻译,无法识别应用类型 | 未解决,存在外链导致的天窗问题 | 已解决。可识别和支持多种应用层协议, |
内容加速 | 无。同样的请求,需分别进行翻译计算,无法对热点内容进行缓存加速 | 无。同样的请求,需分别进行翻译计算,无法对热点内容进行缓存加速 | 无 | 有。对相同的请求,只需访问一次源站点,节约出口带宽,同时,加速用户体验 |