华为Agile Controller方案

华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用，IT与CT技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用，产品具备丰富的网关业务能力，如vFW，vIPSec，vLB，vIPS，vAV，vURL过滤等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台，提供标准的API接口，可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。

USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理，构建统一的智能化云安全平台，实现业务灵活定制，资源弹性扩缩，网络可视化管理，满足企业业务快速上线、变化频繁，运维简单、高效等诉求。

产品特性与优势一机多能，精准管控具备丰富的特性功能，能够为数据中心提供虚拟层防护，也可为租户灵活提供安全增值业务。

• 一机多能：集传统防火墙、VPN、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

• 入侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

• 防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新。

• 上网行为管理：采用基于云的URL分类过滤，预定义的URL分类库已超过1.2亿，阻止员工访问恶意网站带来的威胁，满足合规要求。

并可对员工的发帖、FTP等上网行为进行控制。

可对上网记录进行审计。

• Anti-DDoS：可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。

华为E1000E-G12/G16系列AI防火墙(盒式)1概述随着企业业务不断的数字化、云服务化，网络在企业运营中占据着重要的位置，出于各种目的，网络攻击者通过身份仿冒、网站挂马、恶意软件等多种方式进行网络渗透与攻击，影响企业网络的正常使用。

采用防火墙部署网络边界是当前防护企业网络安全的主要方式，但是防火墙通常只能基于签名实现威胁的分析和阻断，该方法对未知威胁无有效的处置方法，还会引起设备性能的降低。

这种单点、被动、事中防御的方式已经不能有效的解决未知威胁攻击，对于隐匿于加密流量中的威胁在不损坏用户隐私的情况下更是无法有效的识别。

华为E1000E-G12/G16系列AI防火墙，在提供NGFW能力的基础上，联动其他安全设备，主动防御网络威胁，增强边界检测能力，有效防御高级威胁，同时解决性能下降问题。

NP 引擎提供快速转发能力，防火墙性能显著提升。

2产品亮点极速：自研业务加速引擎，极致性能，复杂业务处理效率提升至业界2倍智能：基于智能技术，深度集成高级威胁检测，降低Capex 80%智能：采用智能技术免解密检测加密流量融合：内置“诱捕”系统降低勒索软件/APT扩散融合：可信可控的视频终端安全接入，威胁全网可视融合：云管理方式简化设备上线运维3 软件特性功能特性描述一体化防护 集传统防火墙、VPN 、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS 、URL 过滤、反垃圾邮件等多种功能于一身，全局配置视图和一体化策略管理。

应用识别与管控 可识别6000+应用，访问控制精度到应用功能。

应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。

云管理模式 设备自行向云管理平台发起认证注册，实现即插即用，简化网络创建和开局。

远程业务配置管理、设备监控故障管理，实现海量设备的云端管理。

云应用安全感知 可对企业云应用进行精细化和差异化的控制，满足企业对用户使用云应用的管控需求。

入侵防御与Web 防护 第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。

Realize Your Potential华为技术有限公司Huawei S9300系列交换机详版彩页01 Huawei S9300系列交换机Huawei S9300系列是华为公司面向融合多业务的网络架构而推出的新一代高端智能T比特核心路由交换机。

该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务S9303 S9306 S9312S9310产品特点S9300敏捷交换机，让网络更敏捷地为业务服务• S9300 敏捷单板内置高速灵活的以太网络处理器ENP，针对以太网专属设计。

借其灵活的报文处理及流量控制能力，深入贴近业务，满足现在及未来的各种挑战，助力客户构建弹性扩展的网络。

ENP芯片采用全可编程架构，可以完全自定义流量的转发模式、转发行为和查找算法。

通过微码编程实现新业务，客户无需更换新的硬件，快速灵活，6个月即可上线，而传统AS I C 芯片采用固定的转发架构和转发流程，新业务无法快速部署，需要等待1～3年的硬件支持。

• 凭借敏捷单板，S9300支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持802.1X/ MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。

• 凭借敏捷单板，S9300支持iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

• 凭借敏捷单板，S9300支持1588v2和同步以太，满足网络设备间的高精度时间同步，相比GPS的时间不同方案，提升安全的同时降低成本。

创新的CSS集群技术• S9300可通过集群卡连接和业务口连接两种方式实现虚拟化。

CSS集群创新性采用交换网集群技术，提供业界主机间最大的320G集群带宽；业务口集群支持成员机通过LPU上的普通业务口连接，将LPU上的业务口配置为堆叠物理成员端口后加入逻辑堆叠端口，通过SFP+光模块和光纤或SFP+堆叠线缆将堆叠物理成员端口连接。

01041.1 电信网络发展的机遇与挑战1.2 电信产业自动驾驶网络探索与实践08 1.3 华为自动驾驶网络探索实践1114 2.2 华为自动驾驶网络目标架构011. 电信自动驾驶网络探索与实践112. 华为自动驾驶网络战略与架构2.1 华为自动驾驶网络战略CONTENTS目录694. 自动驾驶网络产业发展建议745. 总结24263.1 华为自动驾驶网络解决方案3.2 网络极简系列产品35 3.3 iMaster智能运维系列产品243. 华为自动驾驶网络解决方案和产品75 6. 参考文献Page 01电信自动驾驶网络探索与实践电信自动驾驶网络探索与实践在历史发展的滚滚长河中，人类追求先进生产力的脚步从不曾停歇。

每一次技术革命的出现，都代表了一次生产力的发展更迭，驱动人类社会迈向新的发展纪元。

工业革命，电力革命和信息技术革命在过去120年间实现了人类文明的三次巨大突破，当今，以人工智能、5G、云计算为主导的第四次工业革命所带来的改变，已在悄然发生，正在塑造一个万物感知、万物互联、万物智能的世界，它比我们想象中更快地到来。

电信网络发展的机遇与挑战华为展望2025年行业发展趋势，大带宽、低时延、广链接的需求正在驱动5G 加速商用，到2025年”全天候实时在线”将成为人与万物的“默认状态”。

GIV预测2025年全球将部署650万基站服务于28亿用户58%的人口将享有5G服务650万28亿58%Page 02电信自动驾驶网络探索与实践蓬勃发展的万物互联和融合智能化给电信产业的ICT投资带来了新的发展机遇，同时也带来了挑战。

根据OVUM分析报告显示，过去十年电信行业的收入增长从来没有跑赢过OPEX的增长，随着网络规模逐年增加，OPEX快速增长，产业结构化矛盾日益突出。

无线工厂将持续演进和发展，智能自动化在建筑、制作、医疗健康等领域中广泛应用。

与此同时，智能云和云边协同技术将成为全社会运行的基础环境。

随着行业数据的不断丰富，AI算法和学习也将不断升级。

华尔思华为安全HCIE直通车课程安全HCIE直通车课程涵盖了目前华为安全方向的所有初级高级课程知识，总共分为HCNA（4天）－NCNP（8天）－HCIE（6天）三个阶段，内容安排由浅入深，适合所有零安全基础的学生参加。

一、HCNA课程简介课程覆盖网络安全基础知识，防火墙基础知识，包过滤技术、NAT技术等防火墙基本原理以及在华为防火墙中的实现，华为防火墙用户管理及认证原理，IPSec、SSL等VPN技术原理以及在华为防火墙中的实现，UTM技术及相关防御策略的部署配置，终端安全技术及基本安全策略配置。

HCNA课程知识大纲：防火墙基础1.网络安全基本概念2.防火墙基本概念、防火墙功能特性、防火培设备管理和防火墙基础配置3.包过滤技术基础、防火墙转发原理、防火墙安全策略及应用4.网络地址转换技术基础、基于源IP地址NAT技术与配置、基于目的IP地址NAT技术与配置、双向NAT技术与配置、NAT应用场景配置5.防火墙双机热备技术基础、防火墙双机热备基本组网及配置6.防火墙用户管理基础、用户认证概念、AAA技术原理、用户认证管理及应用7.VLAN技术基础、WLAN技术基础、广域网接口特性技术基础VPN基础技术1.VPN基本概念、VPN分类、加密技术2.L2TP技术原理、Client-Initialized方式L2TP技术与配置3.GRE技术原理与配置4.IPSec基本概念、AH技术原理、ESP技术原理、IKE技术原理、IPSec配置5.SSL技术原理、虚拟网关概念与配置、Web代理技术与配置、文件共享技术与配置、端口转发技术与配置、网络扩展技术与配置二、HCNP课程简介HCNP课程内容覆盖以下四个方面：1）防火墙通用技术（防火墙基础技术、防火墙安全策略、防火墙用户管理、VPN、安全配置文件、攻击防范、虚拟化和带宽策略）2）终端安全体系规划、部署、维护与优化3）安全解决方案和规划设计方案4）安全体系架构和安全标准的最佳实践。

Huawei USG6712E/USG6716ENext-Generation FirewallsWith the continuous digitalization and cloudification of enterprise services, networks play an important rolein enterprise operations, and must be protected. Network attackers use various methods, such as identityspoofing, website Trojan horses, and malware, to initiate network penetration and attacks, affecting thenormal use of enterprise networks.Deploying firewalls on network borders is a common way to protect enterprise network security. However,firewalls can only analyze and block threats based on signatures. This method cannot effectively handleunknown threats and may deteriorate device performance. This single-point and passive method doesnot pre-empt or effectively defend against unknown threat attacks. Threats hidden in encrypted traffic inparticular cannot be effectively identified without breaching user privacy.Huawei's next-generation firewalls provide the latest capabilities and work with other security devicesto proactively defend against network threats, enhance border detection capabilities, effectively defendagainst advanced threats, and resolve performance deterioration problems. Network Processors providefirewall acceleration capability, which greatly improves the firewall throughput.Product AppearancesUSG6712E/USG6716EProduct HighlightsComprehensive and integrated protection• Integrates the traditional firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management, URL filtering, and online behavior management functions all in one device.• Interworks with the local or cloud sandbox to effectively detect unknown threats and prevent zero-day attacks.• Implements refined bandwidth management based on applications and websites, preferentially forwards key services, and ensures bandwidth for key services.More comprehensive defense• The built-in traffic probe of a firewall extracts traffic information and reports it to the CIS, a security big data analysis platform developed by Huawei. The CIS analyzes threats in the traffic, without decrypting the traffic or compromising the device performance. The threat identification rate is higher than 90%.• The deception system proactively responds to hacker scanning behavior and quickly detects and records malicious behavior, facilitating forensics and source tracing.High performance• Uses the network processing chip based on the ARM architecture, improving forwarding performance significantly.• Enables chip-level pattern matching and accelerates encryption/decryption, improving the performance for processing IPS, antivirus, and IPSec services.• The throughput of a 1U device can reach 160 Gbit/s.High port density• The device has multiple types of interfaces, such as 100G, 40G, and 10G interfaces. Services can be flexibly expanded without extra interface cards.DeploymentData center border protection• Firewalls are deployed at egresses of data centers, and functions and system resources can be virtualized.The firewall has multiple types of interfaces, such as 100G, 40G, and 10G interfaces. Services can be flexibly expanded without extra interface cards.• The 18-Gigabit intrusion prevention capability effectively blocks a variety of malicious attacks and delivers differentiated defense based on virtual environment requirements to guarantee data security.• VPN tunnels can be set up between firewalls and mobile workers and between firewalls and branch offices for secure and low-cost remote access and mobile working.Enterprise border protection• Firewalls are deployed at the network border. The built-in traffic probe extracts packets of encrypted trafficand sends the packets to the CIS, a big data analysis platform. In this way, threats in encrypted traffic are monitored in real time. Encrypted traffic does not need to be decrypted, protecting user privacy and preventing device performance deterioration.• The deception function in enabled on the firewalls to proactively respond to malicious scanning behaviorand associate with the CIS for behavior analysis to quickly detect and record malicious behavior, protecting enterprise against threats in real time.• The policy control, data filtering, and audit functions of the firewalls are used to monitor social networkapplications to prevent data breach and protect enterprise networks.Hardware1. HDD/SSD Slot2. 20 x 10GE (SFP+)3. 4 x 40GE (QSFP+)4. 2 x HA (SFP+)5. 1 x USB3.06. 1 x GE (RJ45) management port7. 2 x 100GE (QSFP28)8. Console port USG6712E/USG6716ESoftware FeaturesSpecificationsSystem Performance and Capacity1. P erformance is tested under ideal conditions based on RFC2544, 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB HTTP files.3. F ull protection throughput is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled. Antivirus, IPS and SA performances are measured using 100 KB HTTP files.4. F ull protection throughput (Realworld) is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled, Enterprise Mix Traffic Model.5. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES128-GCM-SHA256.6. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.*SA: Service Awareness.Note: All data in this document is based on USG V600R006.Hardware Specifications1. S ome 10G ports and 100G ports are mutually exclusive. The ports can be configured as follows: 2 * 100G (QSFP28) + 2 * 40G (QSFP+) + 12 * 10GE (SFP+) + 2 * 10GE (SFP+) HA or 4 * 40G (QSFP+) + 20 * 10GE (SFP+) + 2 * 10GE (SFP+) HACertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2019 Huawei Technologies Co., Ltd. All rights reserved.。

CloudEngine 6800系列数据中心交换机CloudEngine 6800系列数据中心交换机产品概述产品外观48个10GE SFP+ 接口，或 2/4/8G FC 接口，6个40GE QSFP+接口�24个10GE SFP+ 接口，或 2/4/8G FC 接口，2个40GE QSFP+接口48个10GE SFP+接口，6个40GE QSFP+接口48个10GE Base-T接口，6个40GE QSFP+接口1华为CloudEngine系列交换机48个10GE Base-T接口，4个40GE QSFP+接口48个10GE SFP+接口，4个40GE QSFP+接口48个10GE SFP+接口，4个40GE QSFP+接口48个10GE SFP+接口，4个40GE QSFP+接口32个10GE Base-T接口，16个10GE SFP+接口，4个40GE QSFP+接口48个10GE SFP+接口24个10GE SFP+接口，2个40GE QSFP+接口华为CloudEngine系列交换机2产品特点高密度万兆接入，容量超群• 业界最高性能（1U TOR）；1080Mpps转发性能，L2/L3全线速转发；• 最大提供72个10GE接口，业界最高密度（1U TOR），满足万兆服务器高密接入需求，并且4个编号连续的10GE光接口可以聚合为一个40GE接口使用，从而增加组网灵活性，减少用户购置成本；• 最大支持6个40G高性能QSFP+接口，QSFP+接口允许作为4个10GE SFP+接口使用，提供灵活的组网能力；40GE上行与CE12800系列共同构建无阻塞的网络平台。

高可靠长距堆叠，性能卓越• 业界首创16台堆叠技术：»16台交换机堆叠提供最大768个10GE接入端口，满足数据中心高密度服务器接入需求；»多台设备虚拟化为一台逻辑设备,构建可扩展、易管理的数据中心网络平台；»堆叠系统实现控制平面和数据平面冗余备份，避免了单点故障的风险，极大的增强了系统的可靠性。