华为

　　CloudEngine S12700E系列交换机

　　交换机亮点特性

　　全可编程架构

　　l CloudEngine S12700E采用华为自研Solar系列全可编程架构芯片，协议演进和技术更新需要转发流程变化时，客户无需更换新的硬件，通过软件更新即可支持，业务快速灵活上线，保护客户投资；而传统ASIC芯片采用固定的转发架构和转发流程，新业务无法快速部署，需要等待1～3年后的硬件支持。

　　有线无线融合

　　l CloudEngine S12700E内置随板AC，无需额外购买AC硬件；整机最大可管理10K AP；整机转发性能可达4T-bit，解决外置AC处理性能瓶颈，从容面向高速无线时代。

　　l CloudEngine S12700E支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持PPPoE/802.1X/MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了园区交换机从“以数据交换为中心”到“以业务体验为中心”的飞跃。

　　网络精准管理

　　l iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

　　l SVF2.0超级虚拟交换网，创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡，而且将AP纵向虚拟为框式交换机的端口，使得原来“核心/汇聚+接入交换机+AP”的网络架构，虚拟化为一台设备进行管理，简化网络管理。

　　l CloudEngine S12700E把WLAN领域中“AC管理AP”的优秀实践应用到“核心交换机管理接入交换机”上，免除了接入交换机的繁琐配置，实现开局时接入交换机和AP的“零配置”。

　　系统开放能力

　　l 支持Netconf/YANG，用户可通过Netconf/YANG进行自动配置。

　　l OPS（Open Programmability System），是基于Python语言的开放可编程系统。IT管理员可以通过Python脚本对交换机进行运维功能的编程，快速实现功能创新，实现智能化运维。

　　安全可信系统

　　l 系统通过对代码的数字签名来标识软件来源以及软件开发者的真实身份，保证代码在签名之后不被恶意篡改。华为交换机使用了内存签名和外层签名两层签名机制防止软件被篡改。

　　l 支持基于硬件信任根的安全启动，从可信硬件锚开始，逐级校验加载的软件代码，防止交换机的主控、线卡、交换网板在启动阶段被入侵。

　　l 芯片提供了经NIST SP 800-90A和NIST SP 800-90B认证的安全随机数产生模块（Random Number Generater），为系统运行提供真正的安全随机数源，保证加密安全可信。

　　网络级可靠性

　　l CloudEngine S12700E支持硬件Eth-OAM、BFD等链路检测技术，及G.8032、智能以太保护协议SEP等标准/兼容标准的链路倒换技术，提供端到端50ms硬件级倒换，打造反应迅速、业务可靠的园区。

　　l CloudEngine S12700E支持快速自愈保护技术HSR（High-speed Self  Recovery ），独家实现端到端IP MPLS承载网50ms倒换保护，进一步提升网络可靠性。

　　Easy Operation

　　l Easy Deploy 可以对网络中新部署设备做到即插即用，对网络中运行的所有设备统一管理。功能包括：网络设备Zero-Touch 部署，自动加载版本文件、配置、补丁等启动文件；网络设备批量升级、批量下发配置；新设备快速替换，新设备免配置即插即用。

　　智能诊断

　　l 开放式智能诊断系统OIDS（Open Intelligent Diagnosis System）将常规部署于网管上的设备健康监控和故障诊断功能集成在交换机软件内部，实现设备单机侧智能诊断功能。交换机部署OIDS后会周期性地采集并记录设备运行信息，并自动判断是否产生故障，如果产生故障则自动定位或者帮助定位故障原因，提高维护人员的故障定位效率，全面提升设备的可维护性。

　　解决方案提升

　　极简管理

　　l 部署自动化，支持VxLAN、BGP-EVPN等特性，构建统一虚拟交换网，可支持高达512个虚拟网络自动化部署，实现在同一张物理网络上进行多套业务网络或租户网络的融合部署，业务/租户网络彼此安全隔离，真正实现了“一网多用”。

　　l 策略自动化，支持基于SDN实现全网有线及无线用户策略的自动化部署，和精细化管理控制，实现“业务随行”。

　　智能运维

　　l 该系列交换机支持Telemetry技术，实时采集设备数据并上送至华为iMaster NCE园区网络分析组件CampusInsight，CampusInsight通过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，并能及时有效地定界故障以及定位故障发生原因，发现影响用户体验的网络问题，精准保障用户体验。

　　l 该系列交换机支持音视频业务的智能运维，基于增强型媒体传输质量指标（Enhanced Media Delivery Index，eMDI）特性，将设备作为监控节点周期统计并上报音视频业务类指标参数至iMaster NCE园区网络分析组件CampusInsight，由CampusInsight结合多个节点的监控结果，对音视频业务质量类故障进行快速定界。

　　大数据安全协防

　　l 该系列交换机通过Netstream采集园区网络数据，上报给华为HiSec Insight安全分析系统，进行网络的安全威胁事件信息检测和全网的安全态势展示，进一步地可自动或手动对安全威胁事件做出相应处理。HiSec Insight将此策略联动给控制器(iMaster NCE或Agile Controller），由控制器自动下发策略给交换机进行安全事件处理，保障园区网络安全。

　　License授权

　　华为CloudEngine S12700E支持传统的按特性License授权模式和智简网络统一软件包（Huawei IDN one software，以下简称N1模式）授权模式，N1模式面向以企业私有云方式部署的智简网络解决方案场景，简化了客户购买、升级软件服务的体验。

　　N1模式软件包特性

　　CloudEngine S12700E系列交换机是华为面向Wi-Fi 6全无线时代高端园区网络推出的全新一代旗舰级核心交换机，具备领先的数据交换能力及海量的终端接入能力，同时提供随板AC、VxLAN、业务随行、智能HQoS、iPCA、SVF等创新特性，是构建Wi-Fi 6时代高品

技术规格

　　产品特点

　　S5700系列以太网交换机，是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆高性能以太交换机。它基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）平台，具备大容量、高可靠（双电源插槽和硬件级以太OAM）、高密度千兆端口，可提供万兆上行，支持EEE能效以太网和iStack智能堆叠，充分满足企业用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。

　　让网络更敏捷地为业务服务

　　S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K内置高速灵活的以太网络处理器（Ethernet Network Processor），针对以太网专属设计。

　　· 以太网络处理器灵活的报文处理及流量控制能力，深入贴近业务，满足现在及未来的各种挑战，助力客户构建弹性扩展的网络。

　　· 以太网络处理器采用全可编程架构，可以完全自定义流量的转发模式、转发行为和查找算法。通过微码编程实现新业务，客户无需更换新的硬件，快速灵活，6个月即可上线，而传统设备采用固定的转发架构和转发流程，新业务无法快速部署，需要等待1～3年的硬件支持。

　　· 在完全覆盖传统交换机能力基础上，通过全可编程开放接口和自定义转发流程，满足企业定制化业务诉求。企业既可以直接利用多层次的开放接口自主开发新的协议、功能，也可以将诉求交由厂商，与厂商共同开发完成，打造企业专属园区网络。

　　更敏捷地实现丰富业务特性

　　· S5720-HI、S5730-HI、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K具备融合AC功能，无需额外购买AC硬件。

　　· S5720-HI、S5730-HI、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持统一用户管理功能，能够对有线用户和无线用户进行认证，屏蔽了接入层设备能力和接入方式的差异，支持802.1X认证、MAC地址认证和Portal认证等多种认证方式，支持对用户进行分组、分域、分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。

　　· S5700提供高品质的QoS（Quality of Service）能力，具备完善的队列调度算法、拥塞控制算法，创新的优先级调度算法和多级队列调度机制，能够对数据流实现多级的精确调度，从而满足企业不同用户终端、不同业务种类的服务质量要求。

　　更敏捷地实现网络精准管理

　　· S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持网络包守恒算法（Packet Conservation Algorithm for Internet，iPCA），改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

　　· S5720-EI、S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持双向主动测量协议的轻量级架构（TWAMP Light），能够精确测量任意IP链路的性能，轻松获取整网IP性能，无须专用探针器或专有协议。

　　· 超级虚拟交换网（Super Virtual Fabric，SVF）技术将原来“小型核心/汇聚+接入交换机+AP”的网络架构虚拟化为一台设备进行管理，提供业界最简化的网络管理方案。

　　· EasyDeploy把WLAN领域中“AC管理AP”的优秀实践应用到“交换机管理接入交换机”上，实现了开局时接入交换机和AP“零配置”。Easy Deploy方案中Commander交换机收集下挂Client的拓扑信息，并基于拓扑保存Client对应的启动信息；支持Client免配置更换。支持对Client批量下发配置和脚本，并支持对配置下发结果进行查询。Commander交换机支持收集并显示整网能耗信息。

　　智能堆叠

　　智能堆叠技术（Intelligent Stack，iStack）能够将多台支持堆叠特性的交换机从逻辑上变成一台交换设备，作为一个整体参与数据转发。

　　· 堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。

　　· 智能堆叠提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。

　　· 智能堆叠简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。

　　云管理

　　在华为智简园区网络解决方案中，部分交换机能被管理控制系统（V200R019C00及之前版本的交换机配套的管理控制系统为CloudCampus@AC-Campus，而V200R019C10及后续版本为iMaster NCE-Campus）管理。

　　· 交换机支持即插即用。

　　· 交换机能够自动连接到管理控制系统，并通过双向证书认证保证管理通道安全。

　　· 交换机提供Netconf&YANG标准接口供管理控制系统远程下发配置。

　　· 通过管理控制系统能够对交换机进行远程维护和故障诊断。

　　VXLAN特性

　　S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持VxLAN二层网关、三层网关以及BGP EVPN等功能，可以通过Netconf/YANG进行配置。基于该特性，在同一张物理网络上可进行多套业务网络或租户网络的融合部署，业务/租户网络彼此安全隔离，真正实现了“一网多用”，在满足不同业务/客户的数据承载需求的同时，节省网络重复建设成本，提升网络资源使用效率。

　　大数据安全协防

　　· S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持加密通信检测（Encrypted Communication Analytics，ECA），它是一种流量识别和检测技术，能够识别网络中的加密流量和非加密流量，提取加密流量特征并上送HiSec Insight（高级威胁分析系统）。HiSec Insight利用AI算法从海量数据中训练流量模型，将交换机上报的加密流量特征与流量模型进行比对，从而识别恶意流量，并结合控制器自动隔离威胁，从而保障园区网络安全。

　　· S5720-HI、S5730-HI、CloudEngine S5731-S、CloudEngine S5731S-S、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持诱捕技术，通过响应不存在IP的扫描请求、响应在用IP未开放端口的扫描，诱骗攻击者对虚假目标（诱捕器）进行攻击，诱捕器模拟完成与攻击者的交互，获得攻击者的攻击行为、提取攻击工具，通过引流等手段，深度分析可疑流量，形成防御策略，阻断攻击行为的扩散，从而保障园区网络安全。

　　完善的VPN隧道

　　S5700支持Multi-VPN-Instance CE（MCE）功能。S5700支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI、S5700-HI、S5710-HI、S5720-EI、S5720-HI、S5730-HI、CloudEngine S5731-H、CloudEngine S5731-H-K、CloudEngine S5731S-H、CloudEngine S5732-H和CloudEngine S5732-H-K支持MPLS QoS、MPLS TE、VLL、VPLS和L3VPN等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。

　　轻松的运行维护

　　S5700支持自动配置、即插即用、USB开局、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700支持SNMP v1/v2c/v3、CLI（命令行）、Web网管、TELNET、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。

　　S5700支持GVRP（GARP VLAN Registration Protocol），实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口只能与主VLAN内的端口通信。

　　杰出的网流分析

　　S5700支持Netstream网络流量分析功能。作为网络流量输出器，S5700根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。

　　S5700支持sFlow功能。S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。

　　灵活的以太组网

　　S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级联环等各种组网，其协议简单可靠、维护方便。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。

　　S5700支持SmartLink和VRRP功能。S5700通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700支持多种快速连接故障检测功能。S5700支持完善的以太OAM（IEEE 802.3ah/802.1ag/ITU Y.1731）和BFD功能。

　　多样的安全控制

　　S5700支持MAC地址认证和802.1X认证，实现用户策略（VLAN、QoS、ACL）的动态下发。

　　S5700支持完善的DoS类防攻击和用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCP request flood、改变DHCP CHADDR值等等。S5700通过建立和维护DHCP Snooping绑定表，侦听接入用户的IP/MAC地址、租用期、VLAN-ID、接口等信息，防止网络上针对DHCP攻击。利用DHCP Snooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。

　　S5700支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。

　　成熟的IPv6特性

　　S5700基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4＋/ISIS for IPv6）、IPv6 over IPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4到IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。

　　业界首创的蓄电池内置

　　S5700-LI-BAT（S5700-28P-LI-BAT、S5700-28P-LI-24S-BAT）是业界首创的电池交换机，支持内置的锂电池作为备用电源，适用于网络接入层频繁断电的应用场景。其主要优点体现在：

　　· 市电断电自动切换到蓄电池供电，保证业务不中断

　　· 电池交换机内置蓄电池，集成度高，节省空间，安装方便

　　· 智能电源管理，电池续航时间长

　　· 全网电池交换机统一可视化管理，方便运维，电池寿命可预测，无须整网定期更换电池，节省成本

　　· 电池可靠性高，支持电池保护和告警功能，超过工作温度进行过温保护

　　免接地设计

　　S5720-12TP-LI-AC设备可以免接地，只要保证220V电源输入可靠接地即可，有效解决了楼道等场景实际无法接地的问题。

　　适用于室外极端环境

　　S5720I-SI和S5735-S-I系列交换机支持工业级工作温度范围，部分型号工作温度范围最大可达-40°C～75°C，可以在极冷和极热环境中在室外机柜中工作。

　　S5720I-SI和S5735-S-I系列交换机拥有专业的户外防雷技术，支持±6kV防雷，适用于室外恶劣环境。

　　高密接入带宽倍增的CSFP

　　CSFP交换机支持下行端口CSFP功能，每个下行端口插入一个CSFP GE光模块和一对光纤实现双向2GE的带宽，是普通SFP光模块带宽的两倍，下行24个CSFP端口可实现双向带宽48GE，实现了相当于48个普通SFP端口的高密接入，节省了铺设光纤的成本和新增光模块的成本。

　　超大功率PoE++供电能力

　　S5720-LI、S5720I-SI和S5730-HI的每个PoE++端口可提供高达90W/60W/30W的电源，可为AP、监控摄像头等大功率终端设备供电，解决特定场景下的供电难题。

　　OPS开放可编程系统

　　OPS（Open Programmability System），是基于Python语言的开放可编程系统。IT管理员可以通过Python脚本对交换机进行运维功能的编程，快速实现功能创新，实现智能化运维，降低运维成本和操作的复杂度。

　　高密多速率端口

　　CloudEngine S5732-H24UM2CC-K、CloudEngine S5732-H48UM2CC-K、CloudEngine S5732-H24UM2CC、CloudEngine S5732-H48UM2CC、CloudEngine S5736-S24UM4XC多速率交换机拥有多速率端口密度、超强性能，可以提供大功率供电、速率按需定制的能力：

　　· 24和48多速率万兆电口，可为AP、IP电话、监控摄像头以及更多的终端提供大功率PoE++供电，实现高密大带宽接入。

　　· 接入速率通过RTU License按需定制（GE/2.5GE/5GE/10GE），实现业务演进。

　　· 丰富的上行光口（10GE/25GE/40GE/100GE），满足上行高速率带宽需求。

　　创新的光电混合接入

　　CloudEngine S5732-H48XUM2CC全万兆光电混合接入交换机，具有如下优势：

　　· 提供24个万兆光口和24个万兆多速率电口，可满足光口及多速率电口混合接入需求。如光口下接交换机，电口下接Wi-Fi 6 AP或其他有线终端。

　　· 配合光电混合缆，可实现最大300米远距离的PoE++供电，满足设备（如 Wi-Fi 6 AP等）接入距离大于100米的供电需求。

　　· 基于光纤的数据传输，可为接入设备提供高达10Gbps接入能力，满足极速上行需求。

　　· 接入设备带宽提升时，只需更换光模块即可完成带宽快速升级（如从10Gbps升级至25Gbps、40Gbps或100Gbps），无需重复布线，最大程度保护客户现有物理网络建设投资。

　　视频智能回传

　　CloudEngine S5735-S4T2X-IA150G1和CloudEngine S5735-S8P2X-IA200G1智能回传一体机，具备高品质视频回传网络所需要的易部署、易运维、高可靠、高安全的能力，广泛用于高清视频监控站点部署，保障前端视频高质量回传。IPC（IP Camera，IP摄像头）自动发现功能，无需人工录入，在设备上电后即可自动生成全网拓扑及视频连接路径，并图形化展示。当IPC离线时，只需点击诊断按钮，即可自动排障，分钟级定位到故障原因。当IPC花屏/卡顿时，网管系统会通过图形展现故障定界结果，并尝试对故障进行远程修复。

　　路由器

　　CX6608&CX6620系列产品特点

　　强大的转发能力

　　CX6608&CX6620系列采用硬件转发引擎，可实现所有接口的全双工线速转发（包括IPv4/IPv6/MPLS）。

　　CX6608&CX6620系列实现组播线速转发，硬件完成两级复制：交换网板复制到接口板和转发引擎复制到接口。

　　接口板可以支持报文缓存，在出现瞬时突发流量时不丢包。

　　完善的QoS机制

　　CX6608&CX6620系列具备完善的QoS（Quality of Service）能力，包括：

　　· 基于规则的流分类，这些规则包括二层规则、三层规则、MPLS规则等。

　　· 差分服务，支持针对DSCP、EXP、802.1p、IP优先级来识别流量的优先级并进行差异服务。

　　· 流量标记，根据预定义的策略，修改特定数据流的DSCP、EXP、802.1p、IP优先级，以达到提升或降低数据流优先级的目的。

　　· 流量监管，可以对指定端口的全部流量或指定端口中的特定流进行流量监管，达到限制流量的目的。

　　· 拥塞避免，支持通过尾丢弃或WRED丢弃算法丢弃队列中的报文，防止队列溢出。

　　· 拥塞管理，提供PQ、WFQ队列调度算法，即可以保证调度的公平，又能确保高优先级的业务能够优先得到服务，可以满足多种业务组合的调度需求。

　　完善的QoS机制，对不同的业务保证不同的延迟、抖动、带宽和丢包率，保证VoIP（Voice over IP）、IPTV等电信级业务的开展，适应多业务承载IP网的发展要求。

　　周密的安全设计

　　CX6608&CX6620系列提供多种安全措施，可以为服务提供商以及网络的最终用户提供数据保护。这包括一系列的安全特性，可以防止拒绝服务攻击、非法接入以及控制平面的过载。具备分布式设计的CX6608&CX6620系列确保了数据平面和控制平面之间的自然分离，提供了业界领先的安全性能。

　　主要安全特性包括：

　　· 支持三种用户鉴权模式：本地验证、RADIUS服务器验证和HWTACACS服务器验证，可对用户身份进行验证，并进行合理授权。

　　· 支持基于硬件的包过滤和攻击报文采样，从而实现高性能和高扩展性。

　　· 支持对OSPF、IS-IS、RIP和BGP等上层路由协议，提供明文验证和MD5（Message Digest 5）等多种验证方法。

　　· 支持基于转发和控制平面的访问控制列表ACL（Access Control List）。

　　· 支持URPF（Unicast Reverse Path Forwarding），可以对本机报文进行源地址合法性检查，不合法的报文进行丢弃处理。

　　· 支持GTSM（Generalized TTL Security Mechanism）。

　　· 支持BGP Flow Specification，通过BGP携带的ACL策略或BGP学习的路由属性匹配的本地策略可以对设备流量进行清洗。

　　完备的IPv4/IPv6解决方案

　　CX6608&CX6620系列全面支持IPv4（Internet Protocol version 4）和IPv6（Internet Protocol version 6）双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。

　　· 支持多种IPv6 over IPv4隧道。

　　· 路由表/转发表足够大，不仅适应VPN PE（Virtual Private Network，Provider Edge）应用的高资源消耗需要，同时也满足今后业务的扩容。

　　· 支持IPv4/IPv6和MPLS（Multi-Protocol Label Switching）分布式转发，路由能力强。

　　· 支持VPN三种跨域场景：OptionA、OptionB、OptionC。

　　电信级的高可靠性和可管理性

　　CX6608&CX6620系列机箱基于运营级设计，支持单板热插拔。

　　同时，CX6608&CX6620系列的结构还提供了功能强大的监控系统。通过主控模块实现对整个系统的管理维护。主控模块可实现对单板、风扇和电源配电模块的管理、监控和维护。

　　CX6608&CX6620系列完全满足EMC（Electro Magnetic Compatibility）要求。系统采用模块级设计，实现了单板间的EMC隔离。

　　CX6608&CX6620系列完全满足电信级高端产品的高可靠性要求。在系统的设计和实现上，CX6608&CX6620系列提供如表所示的特性以保障高可靠性。

　　灵活的VS

　　VS(Virtual System)作为新一代IP承载设备的重要特性，对业务的统一运营、降低CAPEX/OPEX有积极作用。使用VS技术，能够将大型的物理路由器PS（Physical System）分割成多个单独的小型VS，改进资产分配。

　　· 降低运营的Capex和Opex。

　　· 促进网络扁平化。

　　· 多业务网络。

　　网络中的不同业务部署在不同的VS上，形成多业务网络。

　　形成逻辑的业务网络，各种业务隔离，提高安全性和可靠性。

　　· 新业务验证。

　　在现有的网络上通过划分VS，验证新的业务验证，比如IPV6，视频业务。

　　业务隔离,对现有网络应用无影响。

　　· 减少网络投资、提高资源利用率。

　　§ 通过LS逻辑隔离替代传统的不同设备的物理隔离，减少网络设备采购，降低网络投资。

　　§ 通过LS实现网络设备的资源按需发放，提升设备的资源利用率。

　　· 降低网络运营成本。

　　§ 物理网络设备的减少，将降低对制冷、电力、机房空间的需求，降低运营支出。

　　§ 减少了运维的网络设备数量，减轻运维压力。

　　· 提升网络的安全性和可靠性。

　　§ 通过LS实现租户、业务分区的隔离，降低安全风险。

　　§ LS之间完全隔离，单一LS的故障不会影响其他LS，提升可靠性。

　　完备的L2VPN解决方案

　　MPLS L2VPN：就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。MPLS L2VPN包括VPLS和VPWS两种。

　　VPWS（Virtual Private Wire Service）：是指在分组交换网络PSN（Packet Switched Network）中尽可能真实地模仿以太网、SONET（Synchronous Optical Network）/SDH（Synchronous Digital Hierarchy）等业务的基本行为和特征的一种二层业务承载技术。在公用网络中提供的一种点到点的L2VPN业务。VPWS可以让两个站点之间的连接效果像直接用线路连接一样，它不能直接在服务提供者处进行多点间的交换。

　　VPLS 是通过分组交换网络PSN（Packet Switched Network）连接多个以太网LAN网段，使它们像一个LAN 那样工作。VPLS 也称为透明局域网服务TLS（Transparent LAN Service）或虚拟专用交换网服务（Virtual Private Switched NetworkService）。不同于普通L2VPN 的点到点业务，利用VPLS 技术，服务提供商可以通过MPLS骨干网向用户提供基于以太的多点业务。

　　灵活的配置回退功能

　　配置回退作为网络设备运维的一项重要的配置管理功能，对维护现网设备有重要的作用。配置回退可以降低用户操作错误率，提高用户维护设备配置效率。

　　NetEngine 8000

产品特点

　　大容量高紧凑

　　支持线卡容量4T/slot，实现大容量业务承载，且支持设备向更大容量平滑演进。整机采用高密度端口、紧凑性设计，可以有效的节省空间。

　　强大的业务支持能力

　　可以提供丰富的特性支持和强大的业务处理能力。具有：

　　· 强大的路由能力，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由等丰富的路由协议，支持明/密文认证，具备快速收敛功能，保证在复杂路由环境下安全稳定。

　　· 强大的业务承载能力，根据组网需求可以部署IP、MPLS、SRv6组网，支持L2VPN、 L3VPN、MVPN、EVPN业务，支持TE（Traffic Engineering）部署，支持灵活QinQ，还可提供GRE等功能，适应传统的接入需求和新兴的业务需求，满足多业务融合丰富的承载需求。

　　· 强大的可扩展组播能力，支持丰富的IPv4/IPv6组播协议，包括PIM-SM/SSM、MLDv1/v2、IGMPv3，IGMP Snooping，MLD Snooping等特性，可以灵活承载IPTV等视频业务，可以满足各种规模的组播业务的需求。

　　基于SRv6的智能联接

　　SRv6是面向未来的新一代极简协议，天然支持IPv6，满足海量地址空间接入；SRv6+ NCE实现云调度网，业务一跳入云、分钟级自动开通；SRv6可以标识应用和租户，实现时延、带宽等智能选路，保障SLA；同时SRv6实现了统一协议，简化了配置。

　　完善的网络分片

　　提供完善的网络分片功能，可以满足不同业务、不同客户的不同SLA要求。

　　高品质的QoS（Quality of Service）能力，先进的队列调度算法、拥塞控制算法，支持面向网络侧的MPLS H-QoS功能，支持在网侧部署QoS功能，实现了MPLSVPN、VLL和PWE3的QoS能力，实现对数据流的多级精确调度，从而满足不同用户、不同业务等级的SLA质量要求。

　　FlexE技术通过接口带宽隔离实现业务隔离，接口之间可以完全隔离互不影响，流量在物理层隔离，业务在同一张物理网络上进行网络分片。

　　具有良好的网络资源分配能力，提供面向整个网络的业务质量解决方案，满足客户不同优先级的业务SLA需求。

　　全生命周期自动化

　　基于NCE，实现全网的实时可视化感知和全生命周期自动化。基于NCE+iFIT的精准随流检测，业务质量实时可视，分钟级快速故障定位。

　　高精度时间解决方案1588v2

　　· IEEE 1588v2是网络测量和控制系统的精密时钟同步协议标准，定义了以太网络的PTP(精密时钟同步)协议，精度可以达到亚微秒级，实现频率同步和时间同步。

　　· 时间频率同步满足G8273.2标准，高精度时间满足无线及LTE需求，多跳节点（30个节点以内）抖动<1us支撑大规模组网。外部时钟源可通过设置优先级形成保护。设备会根据优先级、跳数等自动选择跟踪源；跟踪源变化时，能自动切换到最优源跟踪。200ns级单网元倒换保证时钟高可靠性。

　　· 网管提供图形化时钟管理。

　　面向未来的IPv6兼容方案

　　支持IPv6路由协议，包括静态路由、OSPFv3、IS-ISv6、BGP4+等协议，支持IPv6访问控制列表和基于IPv6的策略路由，并提供大容量IPv6 FIB，未来可实现向IPv6的平滑演进。NetEngine 8000还支持IPv4和IPv6双协议栈，增强网络可扩展性。

　　全方位的可靠性解决方案

　　从多个层面提供可靠性保护，包括设备级、网络级、业务级可靠性，形成了面向整个网络的解决方案，完全满足企业对各种业务的可靠性需求，99.999％的系统可用性是构筑企业业务可靠互联的基石。

　　· 设备级可靠：提供关键部件的冗余备份。关键组件支持热插拔与热备份，NSR（Non-Stop Routing），NSF（Non-Stop Forwarding）等技术一起保障无中断业务运行。

　　· 网络级可靠：提供IP/LDP/VPN/TE快速重路由/Hot-Standby，TI-LFA、IGP、BGP以及组播路由快速收敛，虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），Trunk链路分担备份，BFD链路快速检测，Ethernet OAM，路由协议/端口/VLAN Damping等技术，保证整网稳定性，可以提供端到端200ms保护倒换，业务无中断。

　　· 业务级可靠：提供的VPN FRR和E-VRRP技术，VLL FRR和Ethernet OAM技术，组播双根保护技术以及PW Redundancy和E-Trunk技术，可以应用于L3VPN和L2VPN组网方案中，保证业务层面的冗余备份，使业务稳定可靠，不中断。

　　绿色的设计理念

　　整机采用完全绿色的设计，更加环保节能。

　　· 采用先进的冷却和节能系统，包括风道设计，散热设计，智能化风扇设计，可以做到温度自动感知和自动调节，极大的提高了电源的利用率。

　　· 支持动态调频和风扇智能调速技术，功耗大幅降低，使设备在绿色节能方面具有更明显的优势。

　　无线接入

　　产品特点（AirEngine 9700-M）

　　此为A级产品，在生活环境中，该产品可能会造成无线电干扰。在这种情况下，可能需要用户对其干扰采取切实可行的措施。

　　AirEngine 9700-M是华为面向中大型企业园区、企业分支和校园推出的无线接入控制器（Access controller），最大可管理2K AP，转发能力最高120Gbps。配合华为全系列802.11ac/802.11ax无线接入点，可组建中大型园区网络、企业办公网络、无线城域网络、热点覆盖等应用环境。

　　图1 AirEngine 9700-M

高容量、高性能设计

　　· AirEngine 9700-M最大可管理2048个AP，满足大中型园区的管理需求。

　　· 提供2个40GE光口（其中1个40GE和4个10GE互斥），12个10GE光口，16个GE电口，最大可转发120Gbit/s的数据。

SmartRadio空口优化

　　· 智能漫游负载均衡技术：利用智能漫游负载均衡算法，在用户漫游后对组网内AP进行负载均衡检测，调整各个AP的用户负载，提升网络稳定性。

　　· 智能频段动态调整技术：利用动态频段调整DFA算法（Dynamic Frequency Assignment）自动检测邻频和同频的信号干扰，识别2.4G冗余射频，通过AP间的自动协商，自动切换（双5G款型）或关闭冗余射频，降低2.4G同频干扰，增加系统容量。

　　· 智能冲突优化技术：利用动态EDCA和Airtime调度算法，对每个用户的无线信道占用时间和业务优先级进行调度，确保每个用户业务有序调度且相对公平的占用无线信道，提升业务处理效率和用户体验。

角色多样

　　内置Portal/AAA服务器，可为用户提供Portal认证/802.1X服务，降低用户投资成本。

组网灵活

　　· WLAN AC支持直连式、旁挂式组网模式；支持桥接/Mesh组网模式；支持数据集中转发和本地转发模式。

　　· 支持三层AP/WLAN AC间组网，同时支持AP在私网、WLAN AC在公网的NAT穿越部署。

　　· 兼容管理华为全系列802.11n、802.11ac和802.11ax AP，实现802.11n、802.11ac和802.11ax AP的混合组网，保护用户投资。

内置应用识别服务器

　　· 支持4~7层应用识别，可识别6000多种应用。包括LYNC/Face time/YouTube/Facebook等常见办公应用与P2P下载应用。

　　· 支持基于应用的策略控制技术，包括流量限制、流量阻断、优先级调整等策略。

　　· 支持应用识别库在线更新升级，无需升级软件版本。

完备的高可靠性设计

　　· 支持AC供电。

　　· 支持WLAN AC 1+1热备、N+1备份模式，业务不中断。

　　· 支持基于链路聚合控制协议LACP（Link Aggregation Control Protocol）、多生成树协议MSTP（Multiple Spanning Tree Protocol）的端口冗余备份。

　　· 支持广域逃生，本地转发模式下，AP与WLAN AC连接中断后，原有用户在线、新用户正常接入，业务不中断。

内置可视化网管平台

　　华为AirEngine 9700-M内置WEB网管，配置便捷，提供全方位监控和智能诊断。

以健康度为中心的一页式监控，KPI直观体现

　　单页整合统计信息与实时信息，关键性能指标如用户性能、射频性能、AP性能，图形化体现，帮助客户从海量监控信息中快速过滤出有效信息，设备与网络状态一目了然。

　　图2 WEB网管监控界面

以AP组为中心的模板化配置，简化配置，提高配置效率

　　· 以AP组为中心，常用参数默认选中，无需预先配置，简化配置步骤。

　　· 针对业务差异小的配置，支持参数复制功能，仅需修改差异配置，提高配置效率。

　　图3 WEB网管配置界面

一键式诊断，解决日常网络80%的网络故障

　　基于用户、AP、WLAN AC三个维度的一键式智能诊断，支持实时与定时诊断，并且针对故障问题提供可行性处理建议。

　　图4 WEB网管智能诊断

产品特点（AirEngine 8760-X1-PRO）

　　AirEngine 8760-X1-PRO是华为发布的支持Wi-Fi 6标准的新一代旗舰室内AP。内置智能天线，信号随用户而动，极大地增强用户对无线网络的使用体验。支持光/电上行口，便于用户使用不同的部署方式，灵活应对各种场景，适用于企业办公、政府、高教、普教等场景。

　　· 支持2.4GHz和5GHz双频同时提供业务，其中2.4G频段最大速率1.15Gbps，5G频段最大速率9.6Gbps，整机速率可达10.75Gbps。

　　§ 双射频模式：MIMO数最大可达2.4GHz(4x4:4)+5GHz(12x12:8)

　　§ 三射频模式：MIMO数最大可达2.4GHz(4x4:4)+5GHz(8x8:8)+5GHz(4x4:4)

　　§ 双射频+独立射频扫描模式：MIMO数最大可达2.4GHz(4x4:4)+5GHz(8x8:8)

　　· 支持2*10GE电口+1*10GE SFP+光口。

　　· 提供USB接口，可用于扩展IoT应用。

　　· 内置智能天线，基于智能切换算法自动调节覆盖方向和信号强度，以适应应用环境变化，并且可以随终端的移动进行精准稳定的覆盖。

　　· 内置物联网插槽，支持BLE5.0/Zigbee/RFID/Thread等物联网扩展。

　　· 内置独立射频扫描模块，实时检测干扰、非法设备等，适时调优网络。

　　· 内置蓝牙，配合CloudCampus APP可实现蓝牙串口运维。配合定位服务器，可实现蓝牙终端、Tag的精准定位。

　　· 支持FIT/FAT/云管理三种工作模式。

　　应用场景（AirEngine 8760-X1-PRO）

　　AirEngine 8760-X1-PRO支持FAT AP、FIT AP和云AP三种工作模式，根据网络规划的需求，可以灵活地在多种模式下切换。

FIT AP典型组网

　　图1 FIT AP典型组网（接入点模式）

　　在上述组网中设备作为FIT AP，用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。提供AC功能的华为产品，请参见WLAN AP版本配套和形态速查表。

FAT AP典型组网

　　图2 FAT AP典型组网

　　在上述组网中，设备作为FAT AP独立完成用户接入、认证、数据安全、业务转发和QoS等功能。

　　从V200R020C10版本开始，FAT AP还支持AP管理功能，可以作为Leader AP管理少量FIT AP，实现基本WLAN业务的批量部署和简单运维。

　　图3 Leader AP组网

云AP典型组网

　　图4 云AP典型组网

　　在上述组网中设备作为云AP，用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同云端的SDN控制器配合完成。客户可以使用SDN控制器中集成的Portal认证服务器，也可以使用企业自己部署的认证服务器。