产品概述

业界领先的开发理念

H3C SR6602-X双万兆网关基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支撑FIP-20和FIP-10天真接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配置天真性的同时确保营业模块的兼容性，最大限度珍爱用户投资。H3C SR6602-X万兆网关采用高性能多核处理器作为NAT营业处理引擎，多核多线程处理器的应用，使SR6602-X万兆网关具备高性能和天真性等特点，从而在并行处理各种复杂的NAT营业同时能够实现数据的高速转发。

新一代网络操作体系

H3C SR6602-X双万兆网关可以平滑升级到新一代的Comware V7网络操作体系。Comware V7控制平面采用多核及SMP(Symmetrical Multi-Processing对称多处理)技术，各软件模块有自力的运行空间，可以动态加载、单独升级，支撑ISSU。Comware V7能够保证关键营业性能及实时性。支撑指定进程荟萃运行在专有的CPU上，为关键义务的运行提供资源保障、线程的争先调度及合理的优先级设置，保证体系CPU负荷高时，有实时性要求的功能仍然可以及时相应事件进行处理。Comware V7能够提供优秀的进程级可靠性。支撑进程内存珍爱、进程级重启、进程级备份、进程级补丁等技术。

支撑广域网IRF2假造化

 传统广域网连接为了高可靠性每每采用双线路、双机备份的体例，虽然可靠性得到加强但是线路和设备行使率不高，维护管理复杂。H3C根据将来云计算网络的假造化要求，率先在广域网设备上支撑IRF2（第二代智能弹性架构）技术，将物理上两台设备假造化成一台逻辑设备，极大的降低了用户网络的运维成本，提拔链路带宽行使率以及设备的使用率。H3C SR6600-X系列路由器支撑广域网IRF2技术之后将为用户提供更雄厚的营业能力：
 通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而进步整个网络架构的可靠性和链路资源的行使率，且在跨设备聚合链路上支撑雄厚的营业，如QoS、网流分析、NAT转换、数据加密等；
 多台SR6600-X设备通过IRF2技术假造为一台逻辑设备，共用一个管理通道，简化网络设备管理，简化网络拓扑管理，进步运营服从，降低维护成本；
 通过专利的路由热备份技术，在整个假造架构内实现控制平面和数据平面所有信息的实时备份和无间断的三层转发，极大的加强了假造架构的可靠性和高性能，同时消弭了单点故障，避免了营业停止。

支撑一虚多的MDC假造化

 SR6602-X系列路由器不仅支撑横向假造化IRF2技术，支撑假造路由器MDC技术。MDC技术可以把一台SR6600-X通过软件假造化成多台逻辑网络设备，硬件上假造设备享有自力的CPU、内存、板卡等资源，软件上假造设备享有自力的控制平面、数据平面和管理平面，假造路由器之间相互自力、互不影响，为用户提供弹性扩展的租用逻辑网络。

超高的NAT营业性能

SR6602-X的网关模式具有双万兆的壮大NAT营业性能：SR6602-X网关模式NAT会话数最高支撑400万；在叠加NAT、防火墙以及策略路由等常见网关应用的情况下，256字节报文转发性能可以达到15Gbps。在并发200万NAT连接时，256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超10Gbps。SR6602-X壮大的NAT转发性能，完全可以知足各种超大型园区网出口的性能要求，并能知足用户往后出口带宽扩容需求。

天真的出口选择技术

作为网关出口经常要面对双出口或多出口的情况，SR6602-X的网关模式支撑天真的出口选择技术：在内部用户访问Internet方向，采用天真的路径选择技术，可以根据出口网络资源行使情况、内部用户的访问需求、目的网络地址所属运营商、基于用户应用等因素，规划网关出口的选择；在Internet用户访问内部服务器方向，可以根据Internet用户入内部网络的运营商线路，智能选择该用户回程流量的运营商线路，保证入出网关流量的路径同等；另外，在多出口场景时，还可以基于EAA功能解决个别出口超负载后的流量调整题目。针对出口链路设定肯定的阈值，达到阈值后可以调整部分流量到负载较为余暇的链路上。

壮大的带宽控制能力

在网关应用中，随着P2P、多线程FTP等应用的赓续普及，这些多线程的应用正在越来越多的吞噬着原本就特别很是有限的出口带宽资源，假如舛错这些应用加以限定，它们会消费悉数的带宽资源，使关键营业应用无法正常开展。
SR6602-X万兆网关提供了壮大的带宽控制能力：
 SR6602-X的网关模式支撑实用的NAT连接数限定功能：网络管理员可以天真设定用户可使用的并发连接数上限，如许当多个用户上网时，不会发生因某一用户过多开启上网应用体系而导致侵占其它用户连接数资源。 SR6602-X的网关模式还可以对网络中一台主机的特定协议进行连接数限定，如内网Web服务器的HTTP连接数，从而避免内网服务器受到flood攻击，同时也提拔了服务器对外部访问的及时相应。
 支撑天真的每用户限速功能：可以根据必要对内网的个别IP地址、IP网段进行限速，每个用户的带宽可以设为一个固定值或者网段所有效户平均分享出口总带宽。通过带宽的控制能力可以将用户的可用带宽限定在一个合理的范围内，防止个别用户无穷制消费出口带宽资源。
 SR6602-X万兆网关还支撑壮大的QoS拥塞管理功能：通过配置CBWFQ等队列技术，即使在出口极度拥塞的情况下，也能保证网络关键营业的带宽和时延。
 主备网络的带宽管理：充分行使备份网络资源，主网络资源严重的情况下，根据事先设定好的策略，将一部分数据流量重路由到备份网络上进行数据传输，使闲置的资源可以得到充分行使达到100%使用；
 UCMP非平衡链路负载均衡：UCMP区别于传统的ECMP，其最大特点是行使权重值来区别对待带宽的使用，使得两条不同带宽的出口，可根据带宽大小不同来承担不同的数据流量传输；

完美的传统VPN网关

作为大型企业的出口网关设备，在部署NAT功能的同时，还可能必要部署各种VPN应用。SR6602-X万兆网关周全支撑GRE、L2TP、IPSec等VPN功能，借助多核处理器内嵌的壮大加密引擎，可以为用户提供大容量、高性能的安全VPN接入。在硬件上支撑自力的硬件加密内核，在不增长用户投资的前提下可提供8Gbps IPSec数据加密处理能力，6000条IPSec隧道、32000条L2TP隧道、4000条GRE隧道，高性能的加密能力以及超大的隧道容量可以知足各种大型加密网关的要求，保证用户数据在广域网的传输安全。

技术领先的ADVPN和GDVPN KS网关

传统VPN技术在天真性和可维护性上还存在着不足，例如企业分支机构通常采用动态地址接入公共网络，通讯一方无法事先知道对端公网地址，以及全连接时配置的题目等等。H3C针对上述用户营业需求，提供专业ADVPN（Auto Discovery Virtual Private Network，动态假造专用网络）解决方案和Group Domain VPN（Group Domain Virtual Private Network，组域假造专用网络）是一种实现密钥和安全策略集中管理的VPN解决方案。
ADVPN是通过VAM（VPN Address Management，VPN地址管理）协议收集、维护和分发动态转变的公网地址等信息，解决无法事先获得通讯对端公网地址的题目。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。在组网的天真性以及维护工作量精简都有大幅进步，此外还提供许多雄厚的特征，例如：ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。
Group Domain VPN是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接，而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN重要用于珍爱组播流量，例如音频、视频广播和组播文件的安全传输。Group Domain VPN提供了一种基于组的IPsec安全模型。Group Domain VPN由KS（Key Server，密钥服务器）和GM（Group Member，组成员）组成。SR6602-X万兆网关不仅可以充当GM角色，更可以充当KS网关.。GDVPN相比较传统的IPsec VPN，Group Domain VPN具有如下好处：
 网络扩展性强。传统的IPsec VPN中，每对通讯对等体之间都必要建立IKE SA和IPsec SA，管理复杂度为，而Group Domain VPN中所有组成员之间共用一对IPsec SA，管理复杂度低，可扩展性更好。
 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接，因为封装了新的IP头，必要重新部署路由。Group Domain VPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全雷同，因此，不必要改变原有部署的路由。
 更好的QoS处理。传统的IPsec VPN因为在原有IP报文外封装了新的IP头，报文在网络中传输时，必要重新配置QoS策略。Group Domain VPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。
 组播服从更高。因为传统的IPsec VPN是点到点的隧道连接，当必要对组播报文进行IPsec珍爱时，本端必要向组播组里的每个对端均发送一份加密报文，因此组播服从低。Group Domain VPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播服从高。
 可提供any-to-any的连通性。所有组成员共用一对IPsec SA，统一个组中的任意两个组成员之间都可以实现报文的加密息争密，真正实现了所有节点之间的互联。

全方位的网络安全防护

SR6602-X内置多种安全特征，为用户的网络提供全方位安全防护：
 周全的防火墙功能：
 支撑包过滤防火墙、状况防火墙，过滤各种攻击报文，并能提供过滤日志。特有的ACL加速算法，消弭了ACL过滤规则数目对防火墙性能的影响；
 周全的内置防攻击手段：
 支撑各种ARP防攻击技术，如：ARP限速、ARP Proxy、授权ARP、ARP自动确认、ARP源MAC同等性检查等等，可以很好地提防内网中日益猖獗的ARP攻击，保证网络营业运行的稳固性；
 单包攻击提防：可以对Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等单包攻击举动进行有用提防；
 扫描攻击提防：攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过正确定位潜在目标的位置，探测目标体系的网络拓扑结构和启用的服务类型，为进一步侵入目标体系做预备；
 泛洪攻击提防：有用阻止SYN Flood攻击、ICMP Flood攻击、UDP Flood
 黑名单功能：根据报文的源IP地址进行报文过滤的一种攻击提防特征。同基于ACL（Access Control List，访问控制列表）的包过滤功能相比，黑名单进行报文匹配的体例更为简单，可以实现报文的高速过滤，从而有用地将特定IP地址发送来的报文屏蔽掉；
 流量统计辅助攻击提防：重要用于对内外部网络之间的会话建立情况进行统计与分析，具有肯定的实时性，可帮助网络管理员及时掌握网络中各类型会话的统计值，并可作为制订攻击提防策略的一个有用依据；
 支撑URL过滤，避免用户访问非法网站；
 完整的用户举动跟踪记录：支撑完美的日志功能，配合H3C公司的iMC UBAS（用户举动审计）解决方案，使网络管理员可以方便监控上网用户的举动，保证网络安全运行。

优秀的接口扩展性

H3C SR6602-X网关路由器凭借天真接口平台设计具备壮大的扩展能力。FIP-10可同时支撑4个多功能接口模块（MIM），FIP-20可以同时支撑2个高速接口模块（HIM）或2个多功能接口模块（MIM），并支撑HIM和MIM接口模块之间混插。
SR6602-X网关模式可以支撑FE、GE以及10GE等多种速率的以太接口卡，在接口介质上可以支撑电口和SFP光口，光口还可以支撑百兆、千兆自适应。用户按需购买，应用天真方便。

壮大的路由处理能力

H3C SR6602-X网关路由器支撑大容量路由转发表项，同时支撑雄厚的路由策略和壮大的策略路由功能，可对网络流量进行天真的控制和调度，知足行业和运营商用户不同行务特征要求。此外，H3C SR6602-X还周全支撑基于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-ISv6、BGP/BGP4+等。

运营级可靠性设计

 SR6602-X秉承高端设计理念给用户提供周全的可靠性保障：在硬件上，提供可插拔电源冗余设计，支撑交流或直流电源输入，保证用户在一起电源故障的情况下能够继承运行设备；支撑悉数接口模块的热插拔功能，确保用户在不间断营业的情况下插拔或者替换单独的模块，并提供热补丁技术，实现软件平滑升级。
 支撑MPLS TE FRR（Fast ReRoute ，快速重路由），具备快速路由备份（FRB：Fast Routing Backup）特色功能，并结合BFD功能，实现故障链路的快速切换。
 支撑IP FRR（Fast ReRoute ，快速重路由），可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动，并可以结合BFD功能，实现故障链路的快速路由切换。
 支撑IGP快速收敛。
 支撑假造路由冗余协议（VRRP），结合BFD故障检测机制，实现快速的VRRP倒换能力。此外，还支撑加强型假造路由冗余协议（VRRPE），可实现多个假造路由器的负载分担功能。
 支撑OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart，完善重启)功能实现主备引擎倒换时不间断转发。