第二大挑战——可靠性

　　园区网承载的业务越来越重要，自然其网络可靠性要求也会随之升高。防火墙设备的可靠性是保证网络可靠的基础，同样不能忽视。传统高端防火墙在硬件设计方面做出了一定改进，包括通过双电源、双风扇等部件冗余手段来保证高可靠性，但是这些传统手段已经不能完全满足当前园区出口级设备的高可靠性要求。对于高端防火墙来说，需要在以下几个方面着重加以强调。

　　软件系统可靠性: 软件系统对通信产品的重要性，等同于Windows之于电脑，安全、稳定、成熟的软件系统才能帮助用户打造真正的高可靠网络。一些厂商选择FreeBSD等开源代码进行修改，没有经历过大规模电信级应用环境的洗礼，在相对简单的应用环境下应用可以勉强支撑，在大型园区复杂的应用环境下必定会捉襟见肘。只有类似像H3C的Comware、CISCO的IOS这一级别的软件，才能保证系统的可靠性。

　　设备级冗余机制：电源冗余等手段仅能解决系统内部局部模块工作异常的问题，无法避免极端情况下设备级故障导致的断网，最好采用关键部件的全冗余设计。此外，双机热备作为传统解决单点故障的方案已经相对成熟，但传统的双机方案利用VRRP或者动态路由方式实现流量的切换，切换时间均以秒计;对于视频等实时性业务来说，秒级的切换时间是不能接受的，必须通过类似H3C F5000这种控制和转发平面完全物理分离的相关机制保证毫秒级的快速收敛和切换。

　　自我故障检测机制：对于高可靠性设备来说，实时的运行状态检测和链路状态检测是必不可少的， 除了传统的针对CPU、内存利用率的监控外，协议检测、机箱温度、风扇状态、多链路情况下的链路状态探测技术，均是帮助提高可靠性的有效手段。H3C的F5000就是通过物理上独立的检测平面，实现了BFD for BGP/IS-IS/OSPF/ VRRP(针对各种协议的快速故障检测机制，故障检测时间小于20ms)和机箱温度和板卡温度检测等功能，来保证当链路发生异常时能自动切换且切换性能小于50ms。

　　第三大挑战——扩展性

　　业务方面，云计算、物联网等信息化建设热点虽然尚未成熟普及，但均对网络提出了新的要求，例如需要采用IPv6技术解决海量信息点标识问题，采用VPN技术解决多业务承载问题、采用NAT日志满足公安部82号令问题等。因此，园区网络设计的时候需要考虑IPv6、MPLS VPN、NAT日志审计等相关特性，以及开启这些多业务特性时性能不会受到影响，从而保证基础网络设施和基础安全防护设施对于建设热点的技术扩展性。另外，新协议的支持和相关协议的NAT穿越能力也是用户评估园区出口防火墙时需要重点考察的问题。

　　系统方面，高端产品必须具备良好的可升级性及弹性配置，这也是出于对用户投资的有效保护。这种可升级性是全方位的，性能、接口、内存甚至电源和风扇都要做到灵活升级配置。这就要求产品在设计初始就必需充分考虑到产品的升级需求：小到内存条容量的升级，大到网络接口、设备性能/处理能力的升级。

　　对于以上要求，H3C的SecPath F5000无论在IPV6、NAT穿越还是部件升级扩容方面都做好了充分的准备。比如F5000获得了IPv6 Ready Phase-2的认证，可以保证IPv4向IPv6的过渡;F5000采用的可扩展硬件加速技术—“FGPA”，保证多业务并发而不影响性能;通过基于Crossbar的分布式架构，保证了F5000的性能、接口等可扩展性。也正是凭借在性能、可靠性和扩展性方面的全面优异表现，SecPath F5000已经先后在武汉大学、西南大学、哈尔滨工程大学、西安电子行政平台、无锡市民行政中心、贵州电网、西山煤电等众多行业客户的大型园区网出口得到应用。