H3C SR6602-X双万兆综合业务网关

业界领先的开发理念

H3C SR6602-X双万兆网关基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性，最大限度保护用户投资。H3C SR6602-X万兆网关采用高性能多核处理器作为NAT业务处理引擎，多核多线程处理器的应用，使SR6602-X万兆网关具备高性能和灵活性等特点，从而在并行处理各种复杂的NAT业务同时能够实现数据的高速转发。

新一代网络操作系统

H3C SR6602-X双万兆网关可以平滑升级到新一代的Comware V7网络操作系统。Comware V7控制平面采用多核及SMP(Symmetrical Multi-Processing对称多处理)技术，各软件模块有独立的运行空间，可以动态加载、单独升级，支持ISSU。Comware V7能够保证关键业务性能及实时性。支持指定进程集合运行在专有的CPU上，为关键任务的运行提供资源保障、线程的抢先调度及合理的优先级设置，保证系统CPU负荷高时，有实时性要求的功能仍然可以及时响应事件进行处理。Comware V7能够提供良好的进程级可靠性。支持进程内存保护、进程级重启、进程级备份、进程级补丁等技术。

先进的虚拟化技术

H3C SR6602-X双万兆网关支持虚拟化IRF2，可以把多台SR6602-X设备虚拟成一台逻辑设备，统一控制平面、统一转发平面，可以减少网元节点数量、简化网络配置、提高网络可靠性。H3C SR6602-X双万兆网关支持虚拟路由器MDC，把一台SR6602-X通过软件虚拟化成多台逻辑网络设备，硬件上虚拟设备享有独立的CPU、内存、板卡等资源，软件上虚拟设备享有独立的控制平面、数据平面和管理平面，虚拟路由器之间相互独立、互不影响，为用户提供弹性扩展的租用逻辑网络。

超高的NAT业务性能

SR6602-X的网关模式具有双万兆的强大NAT业务性能：SR6602-X网关模式NAT会话数最高支持400万；在叠加NAT、防火墙以及策略路由等常见网关应用的情况下，256字节报文转发性能可以达到15Gbps。在并发200万NAT连接时，256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超10Gbps。SR6602-X强大的NAT转发性能，完全可以满足各种超大型园区网出口的性能要求，并能满足用户今后出口带宽扩容需求。

灵活的出口选择技术

作为网关出口经常要面对双出口或多出口的情况，SR6602-X的网关模式支持灵活的出口选择技术：在内部用户访问Internet方向，采用灵活的路径选择技术，可以根据出口网络资源利用情况、内部用户的访问需求、目的网络地址所属运营商、基于用户应用等因素，规划网关出口的选择；在Internet用户访问内部服务器方向，可以根据Internet用户入内部网络的运营商线路，智能选择该用户回程流量的运营商线路，保证入出网关流量的路径一致；另外，在多出口场景时，还可以基于EAA功能解决个别出口超负载后的流量调整问题。针对出口链路设定一定的阈值，达到阈值后可以调整部分流量到负载较为空闲的链路上。

强大的带宽控制能力

在网关应用中，随着P2P、多线程FTP等应用的不断普及，这些多线程的应用正在越来越多的吞噬着本来就非常有限的出口带宽资源，如果不对这些应用加以限制，它们会消耗全部的带宽资源，使关键业务应用无法正常开展。

SR6602-X万兆网关提供了强大的带宽控制能力：

l SR6602-X的网关模式支持实用的NAT连接数限制功能：网络管理员可以灵活设定用户可使用的并发连接数上限，这样当多个用户上网时，不会发生因某一用户过多开启上网应用系统而导致侵占其它用户连接数资源。 SR6602-X的网关模式还可以对网络中一台主机的特定协议进行连接数限制，如内网Web服务器的HTTP连接数，从而避免内网服务器受到flood攻击，同时也提升了服务器对外部访问的及时响应。

l 支持灵活的每用户限速功能：可以根据需要对内网的个别IP地址、IP网段进行限速，每个用户的带宽可以设为一个固定值或者网段所有用户平均分享出口总带宽。通过带宽的控制能力可以将用户的可用带宽限制在一个合理的范围内，防止个别用户无限制消耗出口带宽资源。

l SR6602-X万兆网关还支持强大的QoS拥塞管理功能：通过配置CBWFQ等队列技术，即使在出口极度拥塞的情况下，也能保证网络关键业务的带宽和时延。

l 主备网络的带宽管理：充分利用备份网络资源，主网络资源紧张的情况下，根据事先设定好的策略，将一部分数据流量重路由到备份网络上进行数据传输，使闲置的资源可以得到充分利用达到100%使用；

l UCMP非平衡链路负载均衡：UCMP区别于传统的ECMP，其最大特点是利用权重值来区别对待带宽的使用，使得两条不同带宽的出口，可根据带宽大小不同来承担不同的数据流量传输；

完善的传统VPN网关

作为大型企业的出口网关设备，在部署NAT功能的同时，还可能需要部署各种VPN应用。SR6602-X万兆网关全面支持GRE、L2TP、IPSec等VPN功能，借助多核处理器内嵌的强大加密引擎，可以为用户提供大容量、高性能的安全VPN接入。在硬件上支持独立的硬件加密内核，在不增加用户投资的前提下可提供8Gbps IPSec数据加密处理能力，6000条IPSec隧道、32000条L2TP隧道、4000条GRE隧道，高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求，保证用户数据在广域网的传输安全。

技术领先的ADVPN和GDVPN KS网关

传统VPN技术在灵活性和可维护性上还存在着不足，例如企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端公网地址，以及全连接时配置的 12N2'> 问题等等。H3C针对上述用户业务需求，提供专业ADVPN（Auto Discovery Virtual Private Network，动态虚拟专用网络）解决方案和Group Domain VPN（Group Domain Virtual Private Network，组域虚拟专用网络）是一种实现密钥和安全策略集中管理的VPN解决方案。

ADVPN是通过VAM（VPN Address Management，VPN地址管理）协议收集、维护和分发动态变化的公网地址等信息，解决无法事先获得通信对端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。在组网的灵活性以及维护工作量精简都有大幅提高，此外还提供很多丰富的特性，例如：ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。

Group Domain VPN是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接，而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。Group Domain VPN提供了一种基于组的IPsec安全模型。Group Domain VPN由KS（Key Server，密钥服务器）和GM（Group Member，组成员）组成。SR6602-X万兆网关不仅可以充当GM角色，更可以充当KS网关.。GDVPN相比较传统的IPsec VPN，Group Domain VPN具有如下优点：

l 网络扩展性强。传统的IPsec VPN中，每对通信对等体之间都需要建立IKE SA和IPsec SA，管理复杂度为 12N2'> ，而Group Domain VPN中所有组成员之间共用一对IPsec SA，管理复杂度低，可扩展性更好。

l 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接，由于封装了新的IP头，需要重新部署路由。Group Domain VPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全相同，因此，不需要改变原有部署的路由。

l 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头，报文在网络中传输时，需要重新配置QoS策略。Group Domain VPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。

l 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接，当需要对组播报文进行IPsec保护时，本端需要向组播组里的每个对端均发送一份加密报文，因此组播效率低。Group Domain VPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播效率高。

l 可提供any-to-any的连通性。所有组成员共用一对IPsec SA，同一个组中的任意两个组成员之间都可以实现报文的加密和解密，真正实现了所有节点之间的互联。

全方位的网络安全防护

SR6602-X内置多种安全特性，为用户的网络提供全方位安全防护：

l 全面的防火墙功能：

l 支持包过滤防火墙、状态防火墙，过滤各种攻击报文，并能提供过滤日志。特有的ACL加速算法，消除了ACL过滤规则数目对防火墙性能的影响；

l 全面的内置防攻击手段：

l 支持各种ARP防攻击技术，如：ARP限速、ARP Proxy、授权ARP、ARP主动确认、ARP源MAC一致性检查等等，可以很好地防范内网中日益猖獗的ARP攻击，保证网络业务运行的稳定性；

l 单包攻击防范：可以对Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等单包攻击行为进行有效防范；

l 扫描攻击防范：攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备；

l 泛洪攻击防范：有效阻止SYN Flood攻击、ICMP Flood攻击、UDP Flood

l 黑名单功能：根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL（Access Control List，访问控制列表）的包过滤功能相比，黑名单进行报文匹配的方式更为简单，可以实现报文的高速过滤，从而有效地将特定IP地址发送来的报文屏蔽掉；

l 流量统计辅助攻击防范：主要用于对内外部网络之间的会话建立情况进行统计与分析，具有一定的实时性，可帮助网络管理员及时掌握网络中各类型会话的统计值，并可作为制定攻击防范策略的一个有效依据；

l 支持URL过滤，避免用户访问非法网站；

l 完备的用户行为跟踪记录：支持完善的日志功能，配合H3C公司的iMC UBAS（用户行为审计）解决方案，使网络管理员可以方便监控上网用户的行为，保证网络安全运行。

良好的接口扩展性

H3C SR6602-X网关路由器凭借灵活接口平台设计具备强大的扩展能力。FIP-10可同时支持4个多功能接口模块（MIM），FIP-20可以同时支持2个高速接口模块（HIM）或2个多功能接口模块（MIM），并支持HIM和MIM接口模块之间混插。

SR6602-X网关模式可以支持FE、GE以及10GE等多种速率的以太接口卡，在接口介质上可以支持电口和SFP光口，光口还可以支持百兆、千兆自适应。用户按需购买，应用灵活方便。

强大的路由处理能力

H3C SR6602-X网关路由器支持大容量路由转发表项，同时支持丰富的路由策略和强大的策略路由功能，可对网络流量进行灵活的控制和调度，满足行业和运营商用户不同业务特性要求。此外，H3C SR6602-X还全面支持基于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-ISv6、BGP/BGP4+等。

运营级可靠性设计

l SR6602-X秉承高端设计理念给用户提供全面的可靠性保障：在硬件上，提供可插拔电源冗余设计，支持交流或直流电源输入，保证用户在一路电源故障的情况下能够继续运行设备；支持全部接口模块的热插拔功能，确保用户在不间断业务的情况下插拔或者更换单独的模块，并提供热补丁技术，实现软件平滑升级。

l 支持MPLS TE FRR（Fast ReRoute ，快速重路由），具备快速路由备份（FRB：Fast Routing Backup）特色功能，并结合BFD功能，实现故障链路的快速切换。

l 支持IP FRR（Fast ReRoute ，快速重路由），可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动，并可以结合BFD功能，实现故障链路的快速路由切换。

l 支持IGP快速收敛。

l 支持虚拟路由冗余协议（VRRP），结合BFD故障检测机制，实现快速的VRRP倒换能力。此外，还支持增强型虚拟路由冗余协议（VRRPE），可实现多个虚拟路由器的负载分担功能。

l 支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart，完美重启)功能实现主备引擎倒换时不间断转发。