H3C SR6602-X雙萬兆綜合業務網關

產品特點

業界領先的開發理念

H3C SR6602-X雙萬兆網關基于業界領先緊湊型設計理念，在2U高設備上不僅集成高密度高速端口，支持FIP-20和FIP-10靈活接口設計，還實現了可插拔冗余電源和模塊、風扇可插拔功能，在保證設備高可靠性、網絡配置靈活性的同時確保業務模塊的兼容性，最大限度保護用戶投資。H3C SR6602-X萬兆網關采用高性能多核處理器作為NAT業務處理引擎，多核多線程處理器的應用，使SR6602-X萬兆網關具備高性能和靈活性等特點，從而在并行處理各種復雜的NAT業務同時能夠實現數據的高速轉發。

新一代網絡操作系統

H3C SR6602-X雙萬兆網關可以平滑升級到新一代的Comware V7網絡操作系統。Comware V7控制平面采用多核及SMP(Symmetrical Multi-Processing對稱多處理)技術，各軟件模塊有獨立的運行空間，可以動態加載、單獨升級，支持ISSU。Comware V7能夠保證關鍵業務性能及實時性。支持指定進程集合運行在專有的CPU上，為關鍵任務的運行提供資源保障、線程的搶先調度及合理的優先級設置，保證系統CPU負荷高時，有實時性要求的功能仍然可以及時響應事件進行處理。Comware V7能夠提供良好的進程級可靠性。支持進程內存保護、進程級重啟、進程級備份、進程級補丁等技術。

支持廣域網IRF2虛擬化

 傳統廣域網連接為了高可靠性往往采用雙線路、雙機備份的方式，雖然可靠性得到增強但是線路和設備利用率不高，維護管理復雜。H3C根據未來云計算網絡的虛擬化要求，率先在廣域網設備上支持IRF2（第二代智能彈性架構）技術，將物理上兩臺設備虛擬化成一臺邏輯設備，極大的降低了用戶網絡的運維成本，提升鏈路帶寬利用率以及設備的使用率。H3C SR6600-X系列路由器支持廣域網IRF2技術之后將為用戶提供更豐富的業務能力：

 通過分布式跨設備鏈路聚合技術，實現多條上行鏈路的負載分擔和互為備份，從而提高整個網絡架構的可靠性和鏈路資源的利用率，且在跨設備聚合鏈路上支持豐富的業務，如QoS、網流分析、NAT轉換、數據加密等；

 多臺SR6600-X設備通過IRF2技術虛擬為一臺邏輯設備，共用一個管理通道，簡化網絡設備管理，簡化網絡拓撲管理，提高運營效率，降低維護成本；

 通過專利的路由熱備份技術，在整個虛擬架構內實現控制平面和數據平面所有信息的實時備份和無間斷的三層轉發，極大的增強了虛擬架構的可靠性和高性能，同時消除了單點故障，避免了業務中斷。

支持一虛多的MDC虛擬化

 SR6602-X系列路由器不僅支持橫向虛擬化IRF2技術，支持虛擬路由器MDC技術。MDC技術可以把一臺SR6600-X通過軟件虛擬化成多臺邏輯網絡設備，硬件上虛擬設備享有獨立的CPU、內存、板卡等資源，軟件上虛擬設備享有獨立的控制平面、數據平面和管理平面，虛擬路由器之間相互獨立、互不影響，為用戶提供彈性擴展的租用邏輯網絡。

超高的NAT業務性能

SR6602-X的網關模式具有雙萬兆的強大NAT業務性能：SR6602-X網關模式NAT會話數最高支持400萬；在疊加NAT、防火墻以及策略路由等常見網關應用的情況下，256字節報文轉發性能可以達到15Gbps。在并發200萬NAT連接時，256字節以及IMIX互聯網混合報文的NAT轉發性能仍然仍可超10Gbps。SR6602-X強大的NAT轉發性能，完全可以滿足各種超大型園區網出口的性能要求，并能滿足用戶今后出口帶寬擴容需求。

靈活的出口選擇技術

作為網關出口經常要面對雙出口或多出口的情況，SR6602-X的網關模式支持靈活的出口選擇技術：在內部用戶訪問Internet方向，采用靈活的路徑選擇技術，可以根據出口網絡資源利用情況、內部用戶的訪問需求、目的網絡地址所屬運營商、基于用戶應用等因素，規劃網關出口的選擇；在Internet用戶訪問內部服務器方向，可以根據Internet用戶入內部網絡的運營商線路，智能選擇該用戶回程流量的運營商線路，保證入出網關流量的路徑一致；另外，在多出口場景時，還可以基于EAA功能解決個別出口超負載后的流量調整問題。針對出口鏈路設定一定的閾值，達到閾值后可以調整部分流量到負載較為空閑的鏈路上。

強大的帶寬控制能力

在網關應用中，隨著P2P、多線程FTP等應用的不斷普及，這些多線程的應用正在越來越多的吞噬著本來就非常有限的出口帶寬資源，如果不對這些應用加以限制，它們會消耗全部的帶寬資源，使關鍵業務應用無法正常開展。

SR6602-X萬兆網關提供了強大的帶寬控制能力：

 SR6602-X的網關模式支持實用的NAT連接數限制功能：網絡管理員可以靈活設定用戶可使用的并發連接數上限，這樣當多個用戶上網時，不會發生因某一用戶過多開啟上網應用系統而導致侵占其它用戶連接數資源。 SR6602-X的網關模式還可以對網絡中一臺主機的特定協議進行連接數限制，如內網Web服務器的HTTP連接數，從而避免內網服務器受到flood攻擊，同時也提升了服務器對外部訪問的及時響應。

 支持靈活的每用戶限速功能：可以根據需要對內網的個別IP地址、IP網段進行限速，每個用戶的帶寬可以設為一個固定值或者網段所有用戶平均分享出口總帶寬。通過帶寬的控制能力可以將用戶的可用帶寬限制在一個合理的范圍內，防止個別用戶無限制消耗出口帶寬資源。

 SR6602-X萬兆網關還支持強大的QoS擁塞管理功能：通過配置CBWFQ等隊列技術，即使在出口極度擁塞的情況下，也能保證網絡關鍵業務的帶寬和時延。

 主備網絡的帶寬管理：充分利用備份網絡資源，主網絡資源緊張的情況下，根據事先設定好的策略，將一部分數據流量重路由到備份網絡上進行數據傳輸，使閑置的資源可以得到充分利用達到100%使用；

 UCMP非平衡鏈路負載均衡：UCMP區別于傳統的ECMP，其最大特點是利用權重值來區別對待帶寬的使用，使得兩條不同帶寬的出口，可根據帶寬大小不同來承擔不同的數據流量傳輸；

完善的傳統VPN網關

作為大型企業的出口網關設備，在部署NAT功能的同時，還可能需要部署各種VPN應用。SR6602-X萬兆網關全面支持GRE、L2TP、IPSec等VPN功能，借助多核處理器內嵌的強大加密引擎，可以為用戶提供大容量、高性能的安全VPN接入。在硬件上支持獨立的硬件加密內核，在不增加用戶投資的前提下可提供8Gbps IPSec數據加密處理能力，6000條IPSec隧道、32000條L2TP隧道、4000條GRE隧道，高性能的加密能力以及超大的隧道容量可以滿足各種大型加密網關的要求，保證用戶數據在廣域網的傳輸安全。

技術領先的ADVPN和GDVPN KS網關

傳統VPN技術在靈活性和可維護性上還存在著不足，例如企業分支機構通常采用動態地址接入公共網絡，通信一方無法事先知道對端公網地址，以及全連接時配置的問題等等。H3C針對上述用戶業務需求，提供專業ADVPN（Auto Discovery Virtual Private Network，動態虛擬專用網絡）解決方案和Group Domain VPN（Group Domain Virtual Private Network，組域虛擬專用網絡）是一種實現密鑰和安全策略集中管理的VPN解決方案。

ADVPN是通過VAM（VPN Address Management，VPN地址管理）協議收集、維護和分發動態變化的公網地址等信息，解決無法事先獲得通信對端公網地址的問題。ADVPN可以在企業網各分支機構使用動態地址接入公網的情況下，在各分支機構間建立VPN。在組網的靈活性以及維護工作量精簡都有大幅提高，此外還提供很多豐富的特性，例如：ADVPN報文的NAT穿越、安全認證、IPSec的報文加密以及多VPN域等等。

Group Domain VPN是一種實現密鑰和安全策略集中管理的VPN解決方案。傳統的IPsec VPN是一種點到點的隧道連接，而Group Domain VPN是一種點到多點的無隧道連接。Group Domain VPN主要用于保護組播流量，例如音頻、視頻廣播和組播文件的安全傳輸。Group Domain VPN提供了一種基于組的IPsec安全模型。Group Domain VPN由KS（Key Server，密鑰服務器）和GM（Group Member，組成員）組成。SR6602-X萬兆網關不僅可以充當GM角色，更可以充當KS網關.。GDVPN相比較傳統的IPsec VPN，Group Domain VPN具有如下優點：

 網絡擴展性強。傳統的IPsec VPN中，每對通信對等體之間都需要建立IKE SA和IPsec SA，管理復雜度為，而Group Domain VPN中所有組成員之間共用一對IPsec SA，管理復雜度低，可擴展性更好。

 無需改變原有路由部署。傳統的IPsec VPN是基于隧道的VPN連接，由于封裝了新的IP頭，需要重新部署路由。Group Domain VPN不需修改報文IP頭，報文外層封裝的新的IP頭與內層的原IP頭完全相同，因此，不需要改變原有部署的路由。

 更好的QoS處理。傳統的IPsec VPN由于在原有IP報文外封裝了新的IP頭，報文在網絡中傳輸時，需要重新配置QoS策略。Group Domain VPN保留了原有的IP頭，網絡傳輸時可以更好地實現QoS處理。

 組播效率更高。由于傳統的IPsec VPN是點到點的隧道連接，當需要對組播報文進行IPsec保護時，本端需要向組播組里的每個對端均發送一份加密報文，因此組播效率低。Group Domain VPN是無隧道的連接，只需對組播報文進行一次加密即可，本端無需單獨向每個對端發送加密報文，組播效率高。

 可提供any-to-any的連通性。所有組成員共用一對IPsec SA，同一個組中的任意兩個組成員之間都可以實現報文的加密和解密，真正實現了所有節點之間的互聯。

全方位的網絡安全防護

SR6602-X內置多種安全特性，為用戶的網絡提供全方位安全防護：

 全面的防火墻功能：

 支持包過濾防火墻、狀態防火墻，過濾各種攻擊報文，并能提供過濾日志。特有的ACL加速算法，消除了ACL過濾規則數目對防火墻性能的影響；

 全面的內置防攻擊手段：

 支持各種ARP防攻擊技術，如：ARP限速、ARP Proxy、授權ARP、ARP主動確認、ARP源MAC一致性檢查等等，可以很好地防范內網中日益猖獗的ARP攻擊，保證網絡業務運行的穩定性；

 單包攻擊防范：可以對Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等單包攻擊行為進行有效防范；

 掃描攻擊防范：攻擊者運用掃描工具對網絡進行主機地址或端口的掃描，通過準確定位潛在目標的位置，探測目標系統的網絡拓撲結構和啟用的服務類型，為進一步侵入目標系統做準備；

 泛洪攻擊防范：有效阻止SYN Flood攻擊、ICMP Flood攻擊、UDP Flood

 黑名單功能：根據報文的源IP地址進行報文過濾的一種攻擊防范特性。同基于ACL（Access Control List，訪問控制列表）的包過濾功能相比，黑名單進行報文匹配的方式更為簡單，可以實現報文的高速過濾，從而有效地將特定IP地址發送來的報文屏蔽掉；

 流量統計輔助攻擊防范：主要用于對內外部網絡之間的會話建立情況進行統計與分析，具有一定的實時性，可幫助網絡管理員及時掌握網絡中各類型會話的統計值，并可作為制定攻擊防范策略的一個有效依據；

 支持URL過濾，避免用戶訪問非法網站；

 完備的用戶行為跟蹤記錄：支持完善的日志功能，配合H3C公司的iMC UBAS（用戶行為審計）解決方案，使網絡管理員可以方便監控上網用戶的行為，保證網絡安全運行。

良好的接口擴展性

H3C SR6602-X網關路由器憑借靈活接口平臺設計具備強大的擴展能力。FIP-10可同時支持4個多功能接口模塊（MIM），FIP-20可以同時支持2個高速接口模塊（HIM）或2個多功能接口模塊（MIM），并支持HIM和MIM接口模塊之間混插。

SR6602-X網關模式可以支持FE、GE以及10GE等多種速率的以太接口卡，在接口介質上可以支持電口和SFP光口，光口還可以支持百兆、千兆自適應。用戶按需購買，應用靈活方便。

強大的路由處理能力

H3C SR6602-X網關路由器支持大容量路由轉發表項，同時支持豐富的路由策略和強大的策略路由功能，可對網絡流量進行靈活的控制和調度，滿足行業和運營商用戶不同業務特性要求。此外，H3C SR6602-X還全面支持基于IPv4/IPv6靜態路由和動態路由協議，如：RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-ISv6、BGP/BGP4+等。

運營級可靠性設計

 SR6602-X秉承高端設計理念給用戶提供全面的可靠性保障：在硬件上，提供可插拔電源冗余設計，支持交流或直流電源輸入，保證用戶在一路電源故障的情況下能夠繼續運行設備；支持全部接口模塊的熱插拔功能，確保用戶在不間斷業務的情況下插拔或者更換單獨的模塊，并提供熱補丁技術，實現軟件平滑升級。

 支持MPLS TE FRR（Fast ReRoute ，快速重路由），具備快速路由備份（FRB：Fast Routing Backup）特色功能，并結合BFD功能，實現故障鏈路的快速切換。

 支持IP FRR（Fast ReRoute ，快速重路由），可以和靜態路由/策略路由/RIP/IS-IS/OSPF進行聯動，并可以結合BFD功能，實現故障鏈路的快速路由切換。

 支持IGP快速收斂。

 支持虛擬路由冗余協議（VRRP），結合BFD故障檢測機制，實現快速的VRRP倒換能力。此外，還支持增強型虛擬路由冗余協議（VRRPE），可實現多個虛擬路由器的負載分擔功能。

 支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart，完美重啟)功能實現主備引擎倒換時不間斷轉發。

產品規格

SR6602-X路由器硬件規格

SR6602-X路由器軟件規格