华为IP城域网网络安全与优化解决方案

华为公司IP城域网网络优化服务
服务进程图
系统调研 定期检查 业务提供能力 可 靠 性
网络评估
客户培训
可管理性
可扩展性
方案设计
方案实施
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 26
IP城域网评估
IP城域网评估－全面、深入、量化
全面：
难以提供差异化的服务（SLA） ，网络收益难以达到最大化。除设备相关的
如用户带宽保证、认证、计费和授权机制没有实现差别化，还涉及到SLA相关的 技术指标与管理系统。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
IP城域网网络安全与优化的背景
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
IP城域网网络安全与优化的背景
非话音业务
非话音业务发展比例预测
70～80% 50%
话音业务
50%
30～20%
2002
பைடு நூலகம்
2006
2010
全球范围内数据业务收入年18%增长
HUAWEI TECHNOLOGIES CO., LTD.
缺乏对用户接入认证/隔离、设备访问鉴权等不能实时监控，存在管理漏洞和安 全隐患。
根据统计，导致网络不可用的原因中约80％不是设备本身的缺陷，而是对接、
组网、攻击、病毒等。
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 6
网络攻击事件和漏洞数据统计
4、城域网、传送网网络缺乏统一规划
部分城域网内直接采用裸纤承载，光纤、BAS端口等资源浪费严重，且链路 不可靠。
5、管理不方便，故障定位和修复困难
缺少统一的网管系统和集中的日志系统，导致对各种设备的数据管理、用 户管理等不方便，故障恢复历时较长，影响客户满意度。
HUAWEI TECHNOLOGIES CO., LTD.
典型城域网结构
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 19
目
录
IP城域网网络安全与优化背景 高品质IP城域网的四个要素 华为公司IP城域网网络安全与优化服务
华为公司IP城域网网络安全与优化应用实例
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
高品质IP城域网的四个要素
可扩展性－Expansibility
网络对业务发展的适应程度，在原有网络 增加业务、容量的难易程度以及对现有业 务的影响。 长远的业务规划 合理的资源规划 与传送网络的配合 通用的接口/协议
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 21
IP城域网网络优化服务预期
网络 描 述
优化网络结构
提升服务质量
通过网络拓朴、网络设备、带宽流量、协议和接口的调 整和优化，优化网络结构，同时丰富增值业务提供能力。
通过备份机制、链路调整、带宽增加、流量控制等措施， 降低网络时延，确保网络高可靠，提供端到端的服务质 量保证。 通过访问控制、路由安全控制、网络隔离等策略，提升 网络的安全等级，避免由于网络安全漏洞原因造成的重 大损失。 建立统一的网管系统和日志系统，分布认证、集中计费， 提高网络的可管理性，使网络控制简单、维护方便。
HUAWEI Confidential
Page 20
华为公司IP城域网网络安全与优化服务
服务目标
提高IP城域网在业务提供能力、可靠性、可管理性、
可扩展性四个方面的水平，最终使网络长期稳定、高
效的运行，进而增加业务收益。
提高网络维护和管理人员的维护水平和故障应对能力，
提高维护效率。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 7
IP城域网网络安全与优化的背景
¤ ì ò ¹ ¹¹¹¹·¹¹¹¹¹¹¹¹ ú ù §
SECURITIES¹¹¹¹¹ ¨¤ Manufacturing¹¹¹¹¹ ¨ ì Telecommunication¹¹¹¹¹ ¨ Banking¹¹¹¹¹ ¨ Transportation¹¹¹¹¹ ¨ Retail¹¹¹¹¹ ¨ Insurance¹±¹¹¹ ¨¹
Internal
IP城域网网络安全与优化解决方案
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
目
录
IP城域网网络安全与优化的背景 高品质IP城域网的四个要素 华为公司IP城域网网络安全与优化服务
华为公司IP城域网网络安全与优化应用实例
HUAWEI Confidential
Page 15
高品质IP城域网的四个要素
可管理性－Manageability
网络对设备、业务和用户的状态控制以及 信息统计收集的难易程度。
网络管理平台
用户和业务管理
设备访问控制
认证服务器
Network
网管方案 日志系统
Syslog服务器
HUAWEI TECHNOLOGIES CO., LTD.
增强网络安全
方便网络管理
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 22
网络安全与优化的效果
网络安全与优化效果分析
网络运行中 网络服务恢复
网络运行中
网络服务不间断
及时发现处理 服务质量下降 服务中断 故障损失 服务质量下降 服务无中断 无故障损失
丢包率指标
平均丢包率（APLR） 空闲丢包率（IPLR）
CPU占用率
忙时CPU占用率（BCOR） 平均CPU占用率（ACOR）
负载指标
峰值带宽占用率（PBOR） 平均带宽占用率（ABOR）
……
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 25
HUAWEI Confidential
Page 12
高品质IP城域网的四个要素
业务提供能力－Service Supportability
网络提供业务的能力和对所提供业务的服务 质量保证。 基本业务提供能力 增值业务提供能力 网络业务接入容量 服务质量保障
PORTAL
SCP SMP
HUAWEI TECHNOLOGIES CO., LTD.
高品质IP城域网的四个要素
业务提供能力 Service Supportability
网络可靠性 Network Reliability
网络可扩展性 Network Expansibility
网络可管理性 Network Manageability
网络综合效益
HUAWEI TECHNOLOGIES CO., LTD.
2、网络结构不合理，局部性能不足，安全考虑不够
可能存在网络层次不清、核心设备/关键链路没有备份、无有效的网络隔离、
广播冲突域过大、路由收敛时间过长、带宽瓶颈、局部设备性能不够，或者设 备层层堆叠等问题，导致网络平均时延和突发过大，难以支撑如实时视频类大 容量、大流量，复杂业务。
骨干层没有考虑高性能防火墙，汇聚层关键设备上没有应用必要的ACL，或者
HUAWEI Confidential
Page 3
IP城域网网络安全与优化的背景
问
题：
难以提供丰富灵活的业务； 缺乏安全可靠的支撑负载； 不能简单迅速的进行扩展； 不能方便快捷的进行管理。
构建业务丰富灵活、运营安全可靠、扩展简单迅速、管理方便快 捷的高品质数据网络需要对现有网络进行优化。
HUAWEI TECHNOLOGIES CO., LTD.
•汇聚层设备是业务的最佳落脚点 •丰富的业务支持能力 专线接入 LAN汇聚 VPN业务 流媒体（组播业务） BAS能力 NAT功能 新业务快速提供能力 •支持大规模业务开展 •完善的安全特性
典型城域网结构
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 18
高品质IP城域网接入层设备考虑
核心层
汇聚层
BAS
接入层
分散式BAS
•接口多样化，提供多种接入 方式 LAN 2M等多种专线 WLAN …… •实现对用户、业务的精细管 理 •管理方便，便于业务开通、 维护，降低运维成本，提高客 户满意度 •性价比优
专线/VPN接入用户 HFC/LAN用户 专线/VPN接入用户 宽带用户
HUAWEI Confidential
Page 13
高品质IP城域网的四个要素
可靠性－Reliability
网络对业务运行和服务质量的保障程度，发 生故障的可能性以及故障的影响程度。 可靠的设备及链路备用机制 合理的路由策略规划 完善的流量控制策略
有效的安全防御机制
HUAWEI TECHNOLOGIES CO., LTD.
0 5 10 14 13 15 20 25 ò ½ § Ê À Ñ 30 35 40 45 50 18 25 33 39.5 38
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
IP城域网网络安全与优化的背景
3、网络适应性不强，缺乏可扩展性
HUAWEI Confidential
Page 4
IP城域网网络安全与优化的背景
1、网络规模基本满足需求，但增值业务提供能力不足
业务基本限于单一的上网、互联，无法满足复杂多变的、个性化的用户需求，
难以提供增值业务，实现网络价值的提升，比如端到端的MPLS VPN、实时视频、 可控组播、QOS等业务如何提供。
HUAWEI Confidential
Page 10
目
录
IP城域网网络安全与优化的背景 高品质IP城域网的四个要素 华为公司IP城域网网络安全与优化服务
华为公司IP城域网网络安全与优化应用实例
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 11
黑客攻击事件和漏洞统计
90000 80000 70000 60000 50000 40000 30000 20000 10000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 Vulnerabilities incidents
数据来自 http://www.cert.org/stats
修复时间＝？ 服务中断区域 服务中断区域
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 23
IP城域网业务提供能力
IP城域网业务提供能力
丰富灵活的业务和计费认证方式。
业务提供和保障 MPLS VPN
优化前
优化后
组播
专线链路租用
QOS
……
核心层
汇聚层
BAS
分散式BAS
HFC/LAN用户
专线/VPN接入用户 宽带用户
典型城域网结构
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 17
高品质IP城域网汇聚层设备考虑
核心层
汇聚层
BAS
接入层
分散式BAS
专线/VPN接入用户 HFC/LAN用户 专线/VPN接入用户 宽带用户
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 24
IP城域网业务指标
IP城域网全网业务指标
针对IP城域网的特点设计全网业务指标，在优化前后进行量化比较。
指标类型
指标名称
建议值
测试值
时延指标
网络平均时延（NATD） 网络空闲时延（NITD）
HUAWEI Confidential
Page 16
高品质IP城域网核心层设备考虑
•稳定第一 设备可靠性 网络可靠性 •高性能 路由能力、转发能力 端口密度、种类 •业务支持能力 现有业务支持（VPN、组播、 QoS） 新业务快速提供 •IP标准适应性 IP标准在发展 平滑升级到IPv6
网络资源配置不合理，难以针对客户需求定制新业务。
初始网络规划缺乏长远规划，采用较多私有协议、接口
IP地址资源、路由策略规划不清晰，扩容时往往数据需重新规划、配置
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
IP城域网网络安全与优化的背景