secoway usg9500統(tǒng)一安全網(wǎng)關(guān)售前技術(shù)培訓(xùn)膠片

1、Secoway USG9500售前技術(shù)培訓(xùn)安全網(wǎng)關(guān)目錄123USG9500產(chǎn)品介紹USG9500硬件架構(gòu)介紹USG9500特性介紹1USG9500產(chǎn)品定位及概述 市場定位USG9500主要定位于運營商、金融、教育、能源、等高端用戶，、大規(guī)模主要部署在其高速網(wǎng)絡(luò)出口，提供防護、安全NAT轉(zhuǎn)換、控制、海量接入等安全功能。 體系結(jié)構(gòu)最領(lǐng)先的“NP多核分布式”架構(gòu) 產(chǎn)品特點最高性能量 、高可靠性、最大容量網(wǎng)關(guān) 、最多接口種類&最大接口容2USG9500規(guī)格參數(shù)3型號USG9520USG9560USG9580插槽數(shù)量3個，可配置業(yè)務(wù)板和接口板8個插槽，可配置業(yè)務(wù)板和接口板16個插槽，可配置業(yè)務(wù)板和接口板

2、吞吐量20G*220G*520G*10并發(fā)連接數(shù)800萬*2800萬*5800萬*10每秒新建連接數(shù)50萬*250萬*550萬*10性能12G*212G*512G*10隧道數(shù)8萬*232萬32萬虛擬數(shù)409640964096可靠性模塊熱插拔/組件熱插拔/雙機熱備/鏈路聚合/雙主控/BYPASS接口板類型以太網(wǎng) GE接口單槽位：40GE（光/電）以太網(wǎng) 10GE接口單槽位：4 10G，810G(收斂卡，只有40G性能)目錄123USG9500產(chǎn)品介紹USG9500軟硬件架構(gòu)介紹USG9500特性介紹4硬件架構(gòu) USG9580外觀結(jié)構(gòu) 高度：32U 背板容量: 30T, 400G/Slot 交換容

3、量: 12.58T 主控MPU: 1 : 1備份 交換網(wǎng)：31備份 風(fēng)扇：22備份電源：分區(qū)供電，44備份5序號模塊單元數(shù)量進風(fēng)口 2MPU板 2交換板 4接口板+業(yè)務(wù)板 16走線區(qū) 2風(fēng)扇框 4低頻濾波單元 4系統(tǒng)配電模塊 8獨立單元 1硬件架構(gòu) USG9560外觀結(jié)構(gòu) 高度：14U 背板容量: 15T, 400G/Slot 交換容量: 7.08T 主控SRU： 1：1備份 交換網(wǎng)：21備份 風(fēng)扇：11備份 電源：分區(qū)供電， 22備份 6序號模塊單元數(shù)量進風(fēng)口 1SRU板 2交換板 1 (共3塊，其中2塊交換網(wǎng)板物理集成在主控板上)接口板+業(yè)務(wù)板 8走線區(qū) 1風(fēng)扇框 2低頻濾波單元 2系統(tǒng)配

4、電模塊 4獨立單元 1硬件架構(gòu) USG9520直流機箱雙主控4U3個業(yè)務(wù)槽位風(fēng)扇1+1備份（同框）電源1+1備份USG9520直流機箱高4U主控板、線卡前，電源、風(fēng)扇等后7硬件架構(gòu) USG9520交流機箱雙主控3個業(yè)務(wù)槽位5U電源1+1備份風(fēng)扇1+1備份（同框） USG9520交流機箱高5U 主控板、線卡、電源前，風(fēng)扇后8板卡業(yè)務(wù)處理板優(yōu)勢特性SPI4TMCPU單板20Gbps性能的處理能力“多核+FPGA+ASIC”處理SERDESSMFPGA“母卡+”方式隨需配置CPUTM集成4枚高性能多核處理器多核處理器ASICFPGA全線速處理穩(wěn)定可靠硬件可編程針對NAT優(yōu)化多核、多線程靈活實現(xiàn)NAT

5、特性9板卡業(yè)務(wù)處理板卡Service Prosing Unit (SPU)USG9500業(yè)務(wù)處理單元，負(fù)責(zé)對各個安全業(yè)務(wù)進行集中處理，是組件。按數(shù)據(jù)處理能力分為S01和S02兩種型號。S01擁有10G的業(yè)S務(wù)處理能力；S（Service Pro02擁有20G的業(yè)務(wù)處理能力。 S01可通過插接SPCsing Card）擴展為S02。板實現(xiàn)USG9500所有的安全業(yè)務(wù)處理功能。S分為如下三種類型：S業(yè)務(wù)板S Anti-DDoS業(yè)務(wù)板S，實現(xiàn)、NAT（NAT44、NAT64）、安全策略、IPv6等業(yè)務(wù)。，包括DDoS板和DDoS檢測板，分別為DDoS進行檢測和防御。IPS業(yè)務(wù)板S，處理IPS業(yè)務(wù)。1

6、0板卡接口處理板優(yōu)勢特性單板最高40Gbps的處理能力“NP+ASIC”處理PICNPTMSM“母卡+”方式隨需配置XAUISPI4SerDesSerDes多種網(wǎng)絡(luò)接口任意適配20G40G1 x 10GE1 x 10G20 x GE 光4 x10 GE 光LPUF-21母板12 x GE 光12 x GE 電LPUF-40母板2 x 10GE4 x10 GE 光11板卡 MPU主控板卡Main Prosing Unit (MPU)USG9500主控交換單元，負(fù)責(zé)系統(tǒng)的集中控制并承擔(dān)路由信息的學(xué)習(xí)交換，是整個設(shè)備的控制單元。USG9500主控板采用了1：1備份機制，主用主控板故障后，備份主控板可

7、以迅速接管當(dāng)前工作，確保業(yè)務(wù)不受影響。Switch Fabric Unit (SFU)USG9560有3個交換網(wǎng)單元，其中2個交換網(wǎng)單元分別與2個主控單元集成在一個主控板上，另外一個交換單元采用獨立的交換網(wǎng)板。Switch Route Unit (SRU)USG9580有4個交換處理單元。整個交換網(wǎng)實現(xiàn)3+1負(fù)載分擔(dān)冗余備份保護。12架構(gòu)系統(tǒng)邏輯架構(gòu)MPU板(主備份)風(fēng)扇系統(tǒng)冗余備份交換矩陣LPU接口板(內(nèi)置網(wǎng)絡(luò)處理器)SPU業(yè)務(wù)板（內(nèi)置多核處理器）SFULPU接口板（內(nèi)置網(wǎng)絡(luò)處理器）SPU業(yè)務(wù)板（內(nèi)置多核處理器）3 1冗余備份13電源系統(tǒng)冗余備份總線管理總線架構(gòu)三個平面分離14架構(gòu)分布式處理

8、流程15設(shè)備級高可靠USG9580風(fēng)扇1+ 1業(yè)務(wù)處理板B A C K P L A N E交換網(wǎng)電源N+ N交換網(wǎng)接口板16接口板交換網(wǎng)交換網(wǎng)業(yè)務(wù)處理板主控板B主控板A可靠性設(shè)計說明路由器架構(gòu)運營商級設(shè)備，路由器架構(gòu)，信元攪渾，可靠性高關(guān)鍵器件冗余主控板1+1備份，交換網(wǎng)3+1備份，風(fēng)扇、電源全冗余業(yè)務(wù)板和接口板分離避免接口故障影響業(yè)務(wù)板承載的業(yè)務(wù)中斷獨立交換網(wǎng)板主控板故障，不影響整機交換容量。業(yè)務(wù)板冗余業(yè)務(wù)板之間進行負(fù)載分擔(dān)，當(dāng)一塊業(yè)務(wù)板故障，承載的業(yè)務(wù)流量會分擔(dān)到其它業(yè)務(wù)板進行處理機框支持高擴展能力機框高擴展，可支持單板400G處理能力，后續(xù)硬件發(fā)展，可保留機框投資總結(jié) USG9500 V

9、2R1C01版本，機框采用200G交互網(wǎng)，以后升級到V3R1版本的時候，無須更換機框，直接更換160G新業(yè)務(wù)板和接口板即可。 新增的4*10GE收斂，插在LPUF-40母卡時，卡只能具備20G處理能力。 LPUF-21和LPUF-40的。不能混插在同一個母槽中17目錄123USG9500產(chǎn)品介紹USG9500硬件架構(gòu)介紹USG9500特性介紹18USG9500特性介紹ACL濾NAT功能應(yīng)用層內(nèi)容過濾CGN功能功能虛擬DDOS雙機熱備 IPS功能 DPI功能GTP功能防范19V2R1C01版本繼承老版本特性概述傳統(tǒng)功能1、基于IP、時間、方向的ACL濾。2、支持靜態(tài)路由、動態(tài)路由、策略路由以及路

10、由策略。3、支持各種DDOS防范：SYN Flood、UDP功能Flood、ICMP Flood、SMURF、Land、Fraggle等 4、支持多種NAT功能：NAT Outbound、Nat Server、域內(nèi)增強功能NAT、雙向NAT、目的NAT、以及多種基于應(yīng)用層的NAT ALG功能1、支持L2TP功能1、支持防御IPS功能2、支持IPSEC3、支持GRE4、不支持MPLS功能功能功能2、支持GTP協(xié)議檢測3、支持虛擬4、支持P2PIM限流功能5、支持QoS功能6、支持IPv6路由，CGN功能繼承特性20基本業(yè)務(wù)：優(yōu)異的防范能力防范豐富： 支持SYN Flood攻服務(wù)型UDP Floo

11、dSYN Flood擊， ICMP Flood擊， DNS Flood寬和服務(wù)。， UDP Flood攻等，保護網(wǎng)絡(luò)帶ServiystemZombie networkZombie networkICMP Flood：支持IP和端口掃描探測開放IP和端口。：支持業(yè)界流行的幾種畸，有效保證設(shè)備安全。防范只需要通過配置命令掃描型防止 畸形包形包傳統(tǒng)的，Zombie networkInstitute networkfirewallCC attackZombie network開啟即可，如果需要更高級的應(yīng)用層，可以配置專業(yè)的DDoS業(yè)務(wù)板提供更完善的功能。SMURF Attack trafficNorm

12、al trafficNormal network userZombie network21基本業(yè)務(wù)：完善的NAT功能NAT功能滿足多種應(yīng)用場景傳統(tǒng)NAT功能NAT、PAT、NAT server、NAT地址固定避免單用戶等出現(xiàn)異常為每個上線的私網(wǎng)用戶分配固定的公網(wǎng)地址和端口段范圍，滿足資源獨享，易于溯源用戶級NAT（端口段分配）轉(zhuǎn)換為 NET 4源/目的地址NAT擴展NATNAT sticky用戶級NAT靜態(tài)算法NAT支持靜態(tài)NAT支持策略NAT靜態(tài)算法NAT滿足電信靜態(tài)算法要求，由下發(fā)用戶的公私網(wǎng)和端口段范NET 1擁有所有預(yù)知信息，無需設(shè)備發(fā)送相關(guān)日志，節(jié)省設(shè)備性能日志三元組NATA首次er

13、net后，A的公網(wǎng)IP和Port就開放給ernet，有效解決了文件共享、語音通信、傳輸?shù)确矫娴腜2P技術(shù)Server1.2.3豐富的NAT ALG支持如下協(xié)議：DNS、FTP、H323、MMS、MSN、PPTP、RTSP、S、SIP、SQLNET、ILS、NETBIOS、RSH、user-defined以及IPv6 FTP、IPv6 RTSP等NET 3轉(zhuǎn)換為 NET 2Group域內(nèi)NAT用于內(nèi)網(wǎng)用戶提供服務(wù)器供其它城域用戶NAT日志可靠性發(fā)送完善的溯源方案NAT地址池中排除IP地址或端口保證NAT地址池中的地址和端口均可用，對不連續(xù)地址或端口可靈活設(shè)置豐富的NAT ALG支持雙向NAT，滿

14、足私網(wǎng)間互訪支持私網(wǎng)到私網(wǎng)的轉(zhuǎn)換NAT日志可靠性發(fā)送為了避免日志傳輸過程中丟失，NAT設(shè)備可以向主備日志服務(wù)器同時發(fā)送；同時為了避免日志服務(wù)器單臺設(shè)備性能不足，可以采用輪詢發(fā)送，實現(xiàn)日志服務(wù)器群的負(fù)載分擔(dān)22圍，基本業(yè)務(wù):全面的IPv6過渡技術(shù)IPv6網(wǎng)絡(luò)過渡方案NAT44/444，NAT64，DS-LiteNAT44(4)能夠大大提高IPv4公網(wǎng)地址復(fù)用率，緩解IPv4地址枯竭問題DS-Lite既可以讓新建網(wǎng)絡(luò)直接步入IPv6，同時又能兼容現(xiàn)網(wǎng)IPv4應(yīng)用的正常使用 6RD在已有IPv4基礎(chǔ)設(shè)施上，快速地為用戶提供IPv6介入能力DS-Lite + NAT64NAT44IPv6NAT64能夠

15、解決IPv6IPv4的需求可與傳統(tǒng)IPv6過渡安全功能搭配使用，實現(xiàn)DSlite+NAT64NAT44支持IPv6安全功能已經(jīng)獲得國際IPv4+ IPv6IPv6 Ready 認(rèn)證僅需增加IPv6的License，無需升級硬件和BRASBRASBRASBRASBRAS BRAS23基本業(yè)務(wù)：高可靠的雙機熱備組網(wǎng)雙機熱備組網(wǎng)USG9500實現(xiàn)真正的“熱備份”，基于OSPF狀態(tài)的表項可以雙機實時同步，切換的時候不影響業(yè)務(wù)，切換時間1秒，可以滿足NGN等對可靠性、實時性要求非常高的場合。HRPVRRPOSPF在路由模式、透明模式下，支持Active- Active、Active-Slave多種組網(wǎng)模

16、型。 USG9500支持業(yè)務(wù)來回路徑不一致，組網(wǎng)更為簡單，靈活，會話表快速備份，HRPVRRP路由模式支持會話表狀態(tài)檢測，TCP方式的FW1主FW2主SYN FLOOD防范。HRP路由模式透明模式24基本業(yè)務(wù)：虛擬虛擬應(yīng)用USG9500支持多虛擬防一臺USG9500物理火墻特性，滿足多虛擬化場景，USG9500適合做每個虛擬租用場景均可以獨立支持TRUST、UNTRUST、DMZ、VZONE 8個安全區(qū)域，接口靈活劃分和分配。系統(tǒng)資源獨立分配，提供獨立的安全VZONE業(yè)務(wù)、NAT多實例、多實例特性。虛擬可獨立配置的每個用戶管理員,例如去開通DMZTrustDMZTrust一個鏈路,就象操作本地

17、防-1-100UnTrustUnTrust火墻一樣.25虛Virtual FW根Root FW基本業(yè)務(wù)：應(yīng)用L2TP&GRE類型1：L2TP，GREL2TP滿足撥號用戶上網(wǎng)，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)；USG9500USG9500支持靈活的驗證機制，PSTN/ISDN支持Radius服務(wù)器認(rèn)證，內(nèi)部地址分配功能，可根據(jù)需要進行選擇。出差員工LNSLAC總部LAC RADIUSLNS RADIUSGRE通過對絡(luò)報文進行封裝，為兩個不連通的網(wǎng)絡(luò)建立簡單的通道；機制簡單，不提供加密，可與IPSec配合，不提供流量控制和QoS功能。26LANL2TP 消息 數(shù)據(jù)消息控制消息會話隧道基本業(yè)務(wù)：

18、應(yīng)用IPSec類型2：IPSecIPSec特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式，來保證數(shù)據(jù)報在網(wǎng)絡(luò)上傳輸時的私有性、完整性、真實性和防重放；通過IPSec方式，USG9500可以提供總部與分支機構(gòu)之間的IPSec通過IKEv2或L2TP over IPSec方式提供出差員工與總部之間的互訪；，USG9500提供隧道化，IPSec雙機熱備功能，保證雙機切換時，對端無感知。提供IPSecv6接入，滿足IPv6網(wǎng)絡(luò)的平滑過渡。27增強業(yè)務(wù)：IPSIPS特點優(yōu)秀的IPS性能：單板8G穩(wěn)定的IPS功能：可靠強大的IPS能力：0-Dayelligence分析和持續(xù)應(yīng)急安全響應(yīng)協(xié)議識別；防躲避

19、特征檢測；協(xié)議異常檢測USGUSGAB分析和攻防技能CE攻防實驗D安全響應(yīng)基于的IPS簽名庫數(shù)目：USG8000+ABC28增強業(yè)務(wù)：DPIDPI優(yōu)勢P2PGame未知網(wǎng)絡(luò)流量Module 1 2 3 BT、Emule、迅雷、DC、PPLiveP2PSkype、MSNTalk等音聊天VOIP聯(lián)眾、魔獸世界GameDPI通過對數(shù)據(jù)流進行深度檢測，可以識別幾乎所有的應(yīng)用層業(yè)務(wù)，對P2P、IM、VoIP等類型的網(wǎng)絡(luò)數(shù)據(jù)流量進行分類，并對不同類型的協(xié)議進行相應(yīng)的控制。29VOIP限時阻斷帶寬保證置優(yōu)先級IP限連限流ELOG統(tǒng)計流量限速增強業(yè)務(wù)：DDoSDDoS：層次化防護動態(tài)統(tǒng)計分析利用協(xié)議流量整型源

20、合法性認(rèn)證流量特征識別過濾特殊報文控制基于會話靜態(tài)過濾轉(zhuǎn)發(fā)棧的正常流量畸形報文過濾SYN FloodSYN-ACK FloodTCP分片Http Get FloodTCP Flood UDP Flood ICMP Flood連接耗盡TCP Flood UDP Flood UDP分片ICMP Flood流量整型避免目標(biāo)阻塞白LANDFraggleWinnukeIP Option 超大ICMP ICMP重定向 ICMP不可達TRACERTof DeathHttpt FloodCC防御Tear DropTCP標(biāo)志Https FloodDNS Query FloodDNS Reply FloodSIP

21、 FloodHTTP Get FloodHttpt Flood通過層次化的防護流程，精準(zhǔn)的防護技術(shù)有效的防范網(wǎng)絡(luò)的各種DoS/DDoS，同時保證網(wǎng)絡(luò)正常流量的低時延30丟棄增強業(yè)務(wù)：QoSQoS：端到端控制端到端的流量控制多級隊列調(diào)度與精細化流量整形接收報文帶寬保證擁塞管理分類與標(biāo)記提供業(yè)務(wù)提高客戶服務(wù)滿意程度保證資源利用最大化，全面服務(wù)質(zhì)量31V2R1C01版本新增功能介紹1、支持IPSec主主熱備組網(wǎng)2、CMPv2AIPSec&PKI1、端口預(yù)分配（port-range） 2、地址溯源靜態(tài)算法3、CGN會話數(shù)限制4、域內(nèi)ALG5、透明模式NAT3、SCEP自動更新4、多點接入5、異地容災(zāi)，

22、路由自動下發(fā)BCGN溯源C云計算D其他新增功能1、IPv6虛擬2、DDoS增強3、安全防護白1、虛擬互轉(zhuǎn)2、VRF限流，VRF限會話3、ACL擴容4、VRRP擴容5、轉(zhuǎn)發(fā)多實例4、虛擬支持GRE5、子接口限流32新增業(yè)務(wù)：IPSec雙機熱備組網(wǎng)A-A模式IPSec AA模式：組網(wǎng)更完善ePCRouter1SeGW1L2 connectionL2 connectionRouterAMMEeNB-1IP BackhaulBackboneVRRP1VRRP2SGWHRPVRRP3 VRRP4Eth-trunkL2 connectionRouterBNMSL2 connectioneNB-2Route

23、r2SeGW VRRP 主 SeGW VRRP 備IPSec流量非加密流量SeGW2V2R1C01版本新增IPSec主主雙機熱備組網(wǎng)：1、 SeGW1和SeGW2采用主主組網(wǎng)，分別起2對VRRP，互為主備，VRRP1以SeGW1為主，VRRP2以SeGW2為主；兩臺SeGW互相備份；2、eNB1和eNB2分別在不同的區(qū)域，分別選擇VRRP1和VRRP2做為主安全網(wǎng)關(guān)；3、當(dāng)其中一臺SeGW出現(xiàn)故障時，VRRP浮動到另一臺設(shè)備，對接入端無感知，另一臺SeGW有全部的IPSec會話，可順利做IPSec轉(zhuǎn)發(fā)。33新增業(yè)務(wù)：IPSec網(wǎng)關(guān)異地容災(zāi)異地容災(zāi)：組網(wǎng)更可靠USG9500做異地容災(zāi)，本地兩臺做

24、雙機熱備，異地之間做冷備；eNB和本地SeGW建立隧道，本地SeGW向EAP發(fā)布eNB路由；eNB同時和異地SeGW建立隧道，異地SeGW不發(fā)布此eNB路由；當(dāng)本地機房發(fā)生故障或時，本地兩臺設(shè)備全部癱瘓，eNB會即使啟用與異地建立的IPSec隧道進行業(yè)務(wù)轉(zhuǎn)發(fā)，同時異地SeGW會及時將eNB的路由發(fā)布到PS域，業(yè)務(wù)分發(fā)到異地進行轉(zhuǎn)發(fā)。34新增業(yè)務(wù)：IPSec多點接入多點接入：靈活的虛擬化Name=parisPre-share-key=paris2chinaServer1加密流量SW1LSWLSW非加密流量1ernetLSW2LSWSW2Name=russiaPre-share-key=russi

25、a2chinaServer2USG9500做為中心節(jié)點時，需要設(shè)置模板方式，做為響應(yīng)方接收多方節(jié)點發(fā)起的IPSec常設(shè)備出一個公共接口，所有的節(jié)點都向這個接口發(fā)起協(xié)商。此版本解決了模板方式共用用戶名和密鑰的缺陷，保證每個節(jié)點在組網(wǎng)規(guī)劃時，都能使用自己獨立的名字，獨立的預(yù)共享密鑰。同時支持對每個節(jié)點的隧道做限流。通中心節(jié)點可以虛擬自己的內(nèi)部網(wǎng)絡(luò)。的形式被多個企業(yè)租用，每個企業(yè)通過IPSec隧道實現(xiàn)在公網(wǎng)能夠安全35新增業(yè)務(wù)：完善的溯源機制支持各種溯源機制 設(shè)備可輸出完整的溯源日志，NAT信息和URL信息在同一條日志中，避免了日志服務(wù)器整合過程 可提供會話級溯源方案，精確到每個會話追蹤 提供用戶級

26、溯源方案， 滿足電信靜態(tài)溯源規(guī)范，由 址和端口段對應(yīng)關(guān)系算法。在日志量下發(fā)公私網(wǎng)地 上進行溯源。 不需要額外的日志插卡，對性能影響極小36新增業(yè)務(wù)：端口預(yù)分配NAT機制全新的NAT分配理念內(nèi)網(wǎng)ernetUSG9500地址池用戶1：公網(wǎng)，端口：5121024用戶2：公網(wǎng)，端口：10241536用戶3：公網(wǎng)，端口：15362048內(nèi)網(wǎng)用戶機制：為用戶分配固定的公網(wǎng)地址和公網(wǎng)端口段范圍；用戶上線分配IP和端口資源，下線回收；支持增量分配，端口資源不夠用時，可自動進行增量分配。優(yōu)勢：節(jié)省日志量：用戶上下行輸出syslog日志，一個私網(wǎng)用戶節(jié)省了日志資源。僅需輸出2條syslog日志，大大便于溯源：私網(wǎng)

27、用戶的時間段內(nèi)，無論什么目標(biāo)，始終采用一個公網(wǎng)地址和固定的端口段，在這段時間內(nèi)只要匹配這兩個信息，都可以追溯到源私網(wǎng)用戶。37新增業(yè)務(wù)：靜態(tài)算法NAT分配，調(diào)整下發(fā)靜態(tài)關(guān)系上報日志信息B/S相關(guān)系統(tǒng)IP address USG9500機制：優(yōu)勢：下發(fā)靜態(tài)算法 ；NAT設(shè)備，AAA，采用同樣的靜態(tài)算法和地址端口關(guān)系；節(jié)省日志傳輸效率：擁有所有信息，可以自動生成相應(yīng)的日志和關(guān)系表。符合電信規(guī)范：電信專利算法，少量廠家支持。38BTSBSSBSCelog新增業(yè)務(wù)：增強虛擬化適應(yīng)云網(wǎng)絡(luò)發(fā)展設(shè)置策略實現(xiàn)部分用戶跨虛擬系統(tǒng)互訪多實例技術(shù)，實現(xiàn)不同業(yè)務(wù)系統(tǒng)及不同的控制策略分支機構(gòu)A業(yè)務(wù)系統(tǒng)A50M業(yè)務(wù)系統(tǒng)B分支機100M將一個物理網(wǎng)關(guān)虛擬成多個虛擬業(yè)務(wù)系統(tǒng)C網(wǎng)關(guān)，相互間.分支機構(gòu)C減少用戶投資,一臺物理設(shè)備虛擬成多臺設(shè)備,各虛擬設(shè)備自己獨立的路由表,安全策略等.,從而保證各業(yè)務(wù)系統(tǒng)之間的安全性和私密性.：通過虛擬功能將用戶業(yè)務(wù)進行互訪：通過策略實現(xiàn)虛擬系統(tǒng)之間的互訪，滿足VIP用戶關(guān)鍵資源的需求；限流、限會話：可對每個虛擬系