-
-
H3C SR6602-X雙萬兆綜合業務網關
產品特點業界領先的開發理念H3C SR6602-X雙萬兆網關基于業界領先緊湊型設計理念,在2U高設備上不僅集成高密度高速端口,支持FIP-20和FIP-10靈活接口設計,還實現了可插拔冗余電源和模塊、風扇可插拔功能,在保證設備高可靠性、網絡配置靈活性的同時確保業務模塊的兼容性,最大限度保護用戶投資。H3C SR6602-X萬兆網關采用高性能多核處理器作為NAT業務處理引擎,多核多線程處理器的應用,
產品特點
業界領先的開發理念
H3C SR6602-X雙萬兆網關基于業界領先緊湊型設計理念,在2U高設備上不僅集成高密度高速端口,支持FIP-20和FIP-10靈活接口設計,還實現了可插拔冗余電源和模塊、風扇可插拔功能,在保證設備高可靠性、網絡配置靈活性的同時確保業務模塊的兼容性,最大限度保護用戶投資。H3C SR6602-X萬兆網關采用高性能多核處理器作為NAT業務處理引擎,多核多線程處理器的應用,使SR6602-X萬兆網關具備高性能和靈活性等特點,從而在并行處理各種復雜的NAT業務同時能夠實現數據的高速轉發。
新一代網絡操作系統
H3C SR6602-X雙萬兆網關可以平滑升級到新一代的Comware V7網絡操作系統。Comware V7控制平面采用多核及SMP(Symmetrical Multi-Processing對稱多處理)技術,各軟件模塊有獨立的運行空間,可以動態加載、單獨升級,支持ISSU。Comware V7能夠保證關鍵業務性能及實時性。支持指定進程集合運行在專有的CPU上,為關鍵任務的運行提供資源保障、線程的搶先調度及合理的優先級設置,保證系統CPU負荷高時,有實時性要求的功能仍然可以及時響應事件進行處理。Comware V7能夠提供良好的進程級可靠性。支持進程內存保護、進程級重啟、進程級備份、進程級補丁等技術。
支持廣域網IRF2虛擬化
傳統廣域網連接為了高可靠性往往采用雙線路、雙機備份的方式,雖然可靠性得到增強但是線路和設備利用率不高,維護管理復雜。H3C根據未來云計算網絡的虛擬化要求,率先在廣域網設備上支持IRF2(第二代智能彈性架構)技術,將物理上兩臺設備虛擬化成一臺邏輯設備,極大的降低了用戶網絡的運維成本,提升鏈路帶寬利用率以及設備的使用率。H3C SR6600-X系列路由器支持廣域網IRF2技術之后將為用戶提供更豐富的業務能力:
通過分布式跨設備鏈路聚合技術,實現多條上行鏈路的負載分擔和互為備份,從而提高整個網絡架構的可靠性和鏈路資源的利用率,且在跨設備聚合鏈路上支持豐富的業務,如QoS、網流分析、NAT轉換、數據加密等;
多臺SR6600-X設備通過IRF2技術虛擬為一臺邏輯設備,共用一個管理通道,簡化網絡設備管理,簡化網絡拓撲管理,提高運營效率,降低維護成本;
通過專利的路由熱備份技術,在整個虛擬架構內實現控制平面和數據平面所有信息的實時備份和無間斷的三層轉發,極大的增強了虛擬架構的可靠性和高性能,同時消除了單點故障,避免了業務中斷。
支持一虛多的MDC虛擬化
SR6602-X系列路由器不僅支持橫向虛擬化IRF2技術,支持虛擬路由器MDC技術。MDC技術可以把一臺SR6600-X通過軟件虛擬化成多臺邏輯網絡設備,硬件上虛擬設備享有獨立的CPU、內存、板卡等資源,軟件上虛擬設備享有獨立的控制平面、數據平面和管理平面,虛擬路由器之間相互獨立、互不影響,為用戶提供彈性擴展的租用邏輯網絡。
超高的NAT業務性能
SR6602-X的網關模式具有雙萬兆的強大NAT業務性能:SR6602-X網關模式NAT會話數最高支持400萬;在疊加NAT、防火墻以及策略路由等常見網關應用的情況下,256字節報文轉發性能可以達到15Gbps。在并發200萬NAT連接時,256字節以及IMIX互聯網混合報文的NAT轉發性能仍然仍可超10Gbps。SR6602-X強大的NAT轉發性能,完全可以滿足各種超大型園區網出口的性能要求,并能滿足用戶今后出口帶寬擴容需求。
靈活的出口選擇技術
作為網關出口經常要面對雙出口或多出口的情況,SR6602-X的網關模式支持靈活的出口選擇技術:在內部用戶訪問Internet方向,采用靈活的路徑選擇技術,可以根據出口網絡資源利用情況、內部用戶的訪問需求、目的網絡地址所屬運營商、基于用戶應用等因素,規劃網關出口的選擇;在Internet用戶訪問內部服務器方向,可以根據Internet用戶入內部網絡的運營商線路,智能選擇該用戶回程流量的運營商線路,保證入出網關流量的路徑一致;另外,在多出口場景時,還可以基于EAA功能解決個別出口超負載后的流量調整問題。針對出口鏈路設定一定的閾值,達到閾值后可以調整部分流量到負載較為空閑的鏈路上。
強大的帶寬控制能力
在網關應用中,隨著P2P、多線程FTP等應用的不斷普及,這些多線程的應用正在越來越多的吞噬著本來就非常有限的出口帶寬資源,如果不對這些應用加以限制,它們會消耗全部的帶寬資源,使關鍵業務應用無法正常開展。
SR6602-X萬兆網關提供了強大的帶寬控制能力:
SR6602-X的網關模式支持實用的NAT連接數限制功能:網絡管理員可以靈活設定用戶可使用的并發連接數上限,這樣當多個用戶上網時,不會發生因某一用戶過多開啟上網應用系統而導致侵占其它用戶連接數資源。 SR6602-X的網關模式還可以對網絡中一臺主機的特定協議進行連接數限制,如內網Web服務器的HTTP連接數,從而避免內網服務器受到flood攻擊,同時也提升了服務器對外部訪問的及時響應。
支持靈活的每用戶限速功能:可以根據需要對內網的個別IP地址、IP網段進行限速,每個用戶的帶寬可以設為一個固定值或者網段所有用戶平均分享出口總帶寬。通過帶寬的控制能力可以將用戶的可用帶寬限制在一個合理的范圍內,防止個別用戶無限制消耗出口帶寬資源。
SR6602-X萬兆網關還支持強大的QoS擁塞管理功能:通過配置CBWFQ等隊列技術,即使在出口極度擁塞的情況下,也能保證網絡關鍵業務的帶寬和時延。
主備網絡的帶寬管理:充分利用備份網絡資源,主網絡資源緊張的情況下,根據事先設定好的策略,將一部分數據流量重路由到備份網絡上進行數據傳輸,使閑置的資源可以得到充分利用達到100%使用;
UCMP非平衡鏈路負載均衡:UCMP區別于傳統的ECMP,其最大特點是利用權重值來區別對待帶寬的使用,使得兩條不同帶寬的出口,可根據帶寬大小不同來承擔不同的數據流量傳輸;
完善的傳統VPN網關
作為大型企業的出口網關設備,在部署NAT功能的同時,還可能需要部署各種VPN應用。SR6602-X萬兆網關全面支持GRE、L2TP、IPSec等VPN功能,借助多核處理器內嵌的強大加密引擎,可以為用戶提供大容量、高性能的安全VPN接入。在硬件上支持獨立的硬件加密內核,在不增加用戶投資的前提下可提供8Gbps IPSec數據加密處理能力,6000條IPSec隧道、32000條L2TP隧道、4000條GRE隧道,高性能的加密能力以及超大的隧道容量可以滿足各種大型加密網關的要求,保證用戶數據在廣域網的傳輸安全。
技術領先的ADVPN和GDVPN KS網關
傳統VPN技術在靈活性和可維護性上還存在著不足,例如企業分支機構通常采用動態地址接入公共網絡,通信一方無法事先知道對端公網地址,以及全連接時配置的問題等等。H3C針對上述用戶業務需求,提供專業ADVPN(Auto Discovery Virtual Private Network,動態虛擬專用網絡)解決方案和Group Domain VPN(Group Domain Virtual Private Network,組域虛擬專用網絡)是一種實現密鑰和安全策略集中管理的VPN解決方案。
ADVPN是通過VAM(VPN Address Management,VPN地址管理)協議收集、維護和分發動態變化的公網地址等信息,解決無法事先獲得通信對端公網地址的問題。ADVPN可以在企業網各分支機構使用動態地址接入公網的情況下,在各分支機構間建立VPN。在組網的靈活性以及維護工作量精簡都有大幅提高,此外還提供很多豐富的特性,例如:ADVPN報文的NAT穿越、安全認證、IPSec的報文加密以及多VPN域等等。
Group Domain VPN是一種實現密鑰和安全策略集中管理的VPN解決方案。傳統的IPsec VPN是一種點到點的隧道連接,而Group Domain VPN是一種點到多點的無隧道連接。Group Domain VPN主要用于保護組播流量,例如音頻、視頻廣播和組播文件的安全傳輸。Group Domain VPN提供了一種基于組的IPsec安全模型。Group Domain VPN由KS(Key Server,密鑰服務器)和GM(Group Member,組成員)組成。SR6602-X萬兆網關不僅可以充當GM角色,更可以充當KS網關.。GDVPN相比較傳統的IPsec VPN,Group Domain VPN具有如下優點:
網絡擴展性強。傳統的IPsec VPN中,每對通信對等體之間都需要建立IKE SA和IPsec SA,管理復雜度為,而Group Domain VPN中所有組成員之間共用一對IPsec SA,管理復雜度低,可擴展性更好。
無需改變原有路由部署。傳統的IPsec VPN是基于隧道的VPN連接,由于封裝了新的IP頭,需要重新部署路由。Group Domain VPN不需修改報文IP頭,報文外層封裝的新的IP頭與內層的原IP頭完全相同,因此,不需要改變原有部署的路由。
更好的QoS處理。傳統的IPsec VPN由于在原有IP報文外封裝了新的IP頭,報文在網絡中傳輸時,需要重新配置QoS策略。Group Domain VPN保留了原有的IP頭,網絡傳輸時可以更好地實現QoS處理。
組播效率更高。由于傳統的IPsec VPN是點到點的隧道連接,當需要對組播報文進行IPsec保護時,本端需要向組播組里的每個對端均發送一份加密報文,因此組播效率低。Group Domain VPN是無隧道的連接,只需對組播報文進行一次加密即可,本端無需單獨向每個對端發送加密報文,組播效率高。
可提供any-to-any的連通性。所有組成員共用一對IPsec SA,同一個組中的任意兩個組成員之間都可以實現報文的加密和解密,真正實現了所有節點之間的互聯。
全方位的網絡安全防護
SR6602-X內置多種安全特性,為用戶的網絡提供全方位安全防護:
全面的防火墻功能:
支持包過濾防火墻、狀態防火墻,過濾各種攻擊報文,并能提供過濾日志。特有的ACL加速算法,消除了ACL過濾規則數目對防火墻性能的影響;
全面的內置防攻擊手段:
支持各種ARP防攻擊技術,如:ARP限速、ARP Proxy、授權ARP、ARP主動確認、ARP源MAC一致性檢查等等,可以很好地防范內網中日益猖獗的ARP攻擊,保證網絡業務運行的穩定性;
單包攻擊防范:可以對Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等單包攻擊行為進行有效防范;
掃描攻擊防范:攻擊者運用掃描工具對網絡進行主機地址或端口的掃描,通過準確定位潛在目標的位置,探測目標系統的網絡拓撲結構和啟用的服務類型,為進一步侵入目標系統做準備;
泛洪攻擊防范:有效阻止SYN Flood攻擊、ICMP Flood攻擊、UDP Flood
黑名單功能:根據報文的源IP地址進行報文過濾的一種攻擊防范特性。同基于ACL(Access Control List,訪問控制列表)的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾,從而有效地將特定IP地址發送來的報文屏蔽掉;
流量統計輔助攻擊防范:主要用于對內外部網絡之間的會話建立情況進行統計與分析,具有一定的實時性,可幫助網絡管理員及時掌握網絡中各類型會話的統計值,并可作為制定攻擊防范策略的一個有效依據;
支持URL過濾,避免用戶訪問非法網站;
完備的用戶行為跟蹤記錄:支持完善的日志功能,配合H3C公司的iMC UBAS(用戶行為審計)解決方案,使網絡管理員可以方便監控上網用戶的行為,保證網絡安全運行。
良好的接口擴展性
H3C SR6602-X網關路由器憑借靈活接口平臺設計具備強大的擴展能力。FIP-10可同時支持4個多功能接口模塊(MIM),FIP-20可以同時支持2個高速接口模塊(HIM)或2個多功能接口模塊(MIM),并支持HIM和MIM接口模塊之間混插。
SR6602-X網關模式可以支持FE、GE以及10GE等多種速率的以太接口卡,在接口介質上可以支持電口和SFP光口,光口還可以支持百兆、千兆自適應。用戶按需購買,應用靈活方便。
強大的路由處理能力
H3C SR6602-X網關路由器支持大容量路由轉發表項,同時支持豐富的路由策略和強大的策略路由功能,可對網絡流量進行靈活的控制和調度,滿足行業和運營商用戶不同業務特性要求。此外,H3C SR6602-X還全面支持基于IPv4/IPv6靜態路由和動態路由協議,如:RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-ISv6、BGP/BGP4+等。
運營級可靠性設計
SR6602-X秉承高端設計理念給用戶提供全面的可靠性保障:在硬件上,提供可插拔電源冗余設計,支持交流或直流電源輸入,保證用戶在一路電源故障的情況下能夠繼續運行設備;支持全部接口模塊的熱插拔功能,確保用戶在不間斷業務的情況下插拔或者更換單獨的模塊,并提供熱補丁技術,實現軟件平滑升級。
支持MPLS TE FRR(Fast ReRoute ,快速重路由),具備快速路由備份(FRB:Fast Routing Backup)特色功能,并結合BFD功能,實現故障鏈路的快速切換。
支持IP FRR(Fast ReRoute ,快速重路由),可以和靜態路由/策略路由/RIP/IS-IS/OSPF進行聯動,并可以結合BFD功能,實現故障鏈路的快速路由切換。
支持IGP快速收斂。
支持虛擬路由冗余協議(VRRP),結合BFD故障檢測機制,實現快速的VRRP倒換能力。此外,還支持增強型虛擬路由冗余協議(VRRPE),可實現多個虛擬路由器的負載分擔功能。
支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart,完美重啟)功能實現主備引擎倒換時不間斷轉發。
產品規格
SR6602-X路由器硬件規格
項目 | SR6602-X1 | SR6602-X2 |
轉發性能 | 240Mpps | |
交換容量 | 80Gbps | |
NAT最大并發數 | 400萬 | |
NAT轉發性能 | 15Gbps(256字節及IMIX互聯網混合報文) | |
NAT新建連接速度 | 20萬/s | |
固定接口 | 4個千兆光/電Combo | 4個千兆光/電Combo+2個10GE |
槽位 | 1個,支持FIP-10/20 | |
業務模塊槽位 | FIP-10支持4個MIM槽位,FIP-20支持2個HIM/MIM槽位 | |
內存 | 缺省 2GB,最大4GB | 缺省4GB,最大4GB |
Flash | 8M | |
USB | 1 | 1 |
AUX | 1 | 1 |
配置口 | 1 | 1 |
帶外管理網口 | 1 | 1 |
用戶接口類型 | 支持FE、GE、10Ge(LAN/WAN)、155M POS、622M POS、2.5G POS、155M CPOS接口、155M ATM、E1/T1等接口 支持155M POS/622M POS/Ge端口切換 | |
外形尺寸 (W×D×H) | 440mm×480mm×88mm | |
重量 | 12.1kg | |
額定輸入電壓 | 交流輸入額定范圍:100~240V 50/60Hz 直流輸入額定范圍:-48~-60V | |
最大電源功率 | 300W | |
環境溫度 | 工作環境溫度:0℃~45℃ | |
存儲環境溫度:-40℃~70℃ | ||
環境濕度 | 工作環境濕度:5%~95%,無冷凝 | |
存儲環境濕度:5%~95%,無冷凝 | ||
海拔高度 | 工作:-60m~4km |
SR6602-X路由器軟件規格
屬性 | 說明 |
豐富的NAT功能特性 | 支持NAT連接數限制 支持基于用戶IP帶寬限制 支持靜態NAT映射、NAPT動態映射(EasyIP方式、地址池方式) 支持NAT Server,提供各種內網服務映射功能,如WWW、FTP、E-MAIL等 支持NAT Server多個公網地址對應一個私網地址 支持NAT DNS服務器映射 支持NAT 雙向路徑一致性保證 支持NAT日志 支持NAT多出口應用(與靜態路由、策略路由配合),滿足各種多出口應用場景 支持豐富的NAT ALG轉換功能,如FTP、DNS、QQ、MSN、H323、SIP、NetBios等 |
二層協議 | 動態和靜態ARP ARP代理 多播ARP 免費ARP Ethernet,子接口VLAN 三層以太網接口捆綁(ETH-Trunk) QinQ終結 PPPoE Server 三層以太網接口的LLDP |
IP服務 | TCP、UDP、IP Option、IP unnumber 策略路由 三層以太網接口捆綁 |
IP路由 | 靜態路由 動態路由協議:RIPv1/v2、OSPFv2、BGP、IS-IS 路由迭代 路由策略 ECMP(等價多路徑) UCMP(非平衡鏈路負載均衡) BGP GTSM ISIS MTR(多拓撲路由) |
IPv4組播 | IGMPv1/v2/v3 PIM-DM、PIM-SM、PIM-SSM MSDP MBGP 組播靜態路由 組播主機跟蹤功能 |
IP應用 | DHCP Server/Relay/Client DNS Client NTP Server/Client Telnet Server/Client TFTP Client FTP Server/Client UDP Helper |
IPv6 | 基本功能:IPv6 ND、IPv6 PMTU、雙棧轉發、IPv6 ACL、DHCPv6 Server/Proxy IPv6隧道技術:IPv6手動隧道、IPv6-over-IPv4 、GRE隧道、IPv4兼容IPv6自動隧道、6to4隧道、ISATAP隧道、6PE 6VPE(IPv6 MPLS L3VPN) NATPT 靜態路由 動態路由協議:RIPng,OSPFv3,IS-ISv6,BGP4+ IPv6組播協議:MLDv1/v2、PIM6-DM、PIM6-SM、PIM6-SSM |
QoS | 流分類:基于端口、MAC地址、IP地址、IP優先級、DSCP優先級、TCP/UDP端口號、協議類型等 流量監管:CAR限速,粒度可配 基于目的地址或者源地址的限速(支持網段限速) GTS流量整形 優先級Mark/Remark 各種隊列調度機制 :FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ 擁塞避免算法:Tail-Drop、WRED LR速率限制 MPLS QoS IPv6 QoS 層次化QoS(H-QoS) QPPB(QoS Policy Propagation on BGP) |
增值業務 | 支持廣域網優化功能 |
安全特性 | ACL訪問控制列表 ACL加速 基于時間的訪問控制 包過濾防火墻 狀態防火墻ASPF 本機TCP防攻擊 控制平面限速 虛擬分片重組 URPF Web過濾 用戶分級管理和口令保護 AAA認證、授權、計費 RADIUS TACACS Portal認證(支持與EAD聯動和Portal逃生)、Portal熱備份 PKI證書 SSH 1.5/2.0 RSA IPSec、IPSec多實例、IKE BGP/BGP4+支持GTSM Password Control 攻擊檢測及防范 |
IP業務特性 | GRE隧道(支持點到多點應用) L2TP隧道 NetStream支持 v5/v8/v9報文格式、支持IPv4/IPv6/MPLS報文統計 ADVPN(Auto Discovery VPN) GDVPN(Group Domain VPN) |
可靠性 | VRRP /VRRP v3 虛擬路由冗余協議 VRRPE(VRRP增強) MPLS TE FRR(Fast ReRoute,快速重路由) IP FRR(Fast ReRoute,快速重路由):靜態路由/策略路由/RIP/IS-IS/OSPF IGP路由快速收斂 BFD:Static Route/RIP/OSPF/ISIS/BGP/VRRP/TE FRR/IPv6 GR:OSFP/BGP/IS-IS/ LDP/RSVP 軟件熱補丁 支持接口模塊、風扇框以及電源熱插拔 |
SDN技術 | 支持VXLAN、EVPN 支持PECP協議 支持BGP-LS等網絡信息收集協議 支持Netconf、YANG協議 支持Segment routing 支持CBTS 支持Openflow協議 支持BGP FlowSpec功能 |
管理與維護 | 通過命令行配置 通過Console口進行配置 通過以太網端口利用Telnet進行配置、遠程維護 通過AUX口利用Modem撥號進行配置、遠程維護 通過SNMP進行配置和管理(SNMP v1/v2c/v3) 通過Web瀏覽器進行配置和管理 支持RMON( 1,2,3,9組MIB) 支持系統日志 支持分級告警 Ping、Tracert NQA:支持網絡質量分析,支持與VRRP、策略路由、靜態路由聯動 風扇狀態檢測、維護和告警 電源狀態檢測、維護和告警 CF卡狀態檢測、維護 環境溫度變化檢測、告警 |
文件系統 | 支持FAT格式的文件系統 支持CF卡 支持USB外接存儲設備 支持Dual Image |
加載與升級 | 通過XModem協議實現加載升級 通過FTP、TFTP實現加載升級 |