華為ip城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化解決方案

1、IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化解決方案,Page 2,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,高品質(zhì)IP城域網(wǎng)的四個要素,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化應(yīng)用實例,目 錄,Page 3,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,全球范圍內(nèi)數(shù)據(jù)業(yè)務(wù)收入年18%增長,Page 4,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,,,,問 題：,難以提供豐富靈活的業(yè)務(wù)；缺乏安全可靠的支撐負(fù)載；不能簡單迅速的進(jìn)行擴(kuò)展；不能方便快捷的進(jìn)行管理。

2、 構(gòu)建業(yè)務(wù)豐富靈活、運營安全可靠、擴(kuò)展簡單迅速、管理方便快捷的高品質(zhì)數(shù)據(jù)網(wǎng)絡(luò)需要對現(xiàn)有網(wǎng)絡(luò)進(jìn)行優(yōu)化。,Page 5,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,1、網(wǎng)絡(luò)規(guī)模基本滿足需求，但增值業(yè)務(wù)提供能力不足業(yè)務(wù)基本限于單一的上網(wǎng)、互聯(lián)，無法滿足復(fù)雜多變的、個性化的用戶需求，難以提供增值業(yè)務(wù)，實現(xiàn)網(wǎng)絡(luò)價值的提升，比如端到端的MPLS VPN、實時視頻、可控組播、QOS等業(yè)務(wù)如何提供。難以提供差異化的服務(wù)（SLA） ，網(wǎng)絡(luò)收益難以達(dá)

3、到最大化。除設(shè)備相關(guān)的如用戶帶寬保證、認(rèn)證、計費和授權(quán)機(jī)制沒有實現(xiàn)差別化，還涉及到SLA相關(guān)的技術(shù)指標(biāo)與管理系統(tǒng)。,Page 6,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,,2、網(wǎng)絡(luò)結(jié)構(gòu)不合理，局部性能不足，安全考慮不夠可能存在網(wǎng)絡(luò)層次不清、核心設(shè)備/關(guān)鍵鏈路沒有備份、無有效的網(wǎng)絡(luò)隔離、廣播沖突域過大、路由收斂時間過長、帶寬瓶頸、局部設(shè)備性能不夠，或者設(shè)備層層堆疊等問題，導(dǎo)致網(wǎng)絡(luò)平均時延和突發(fā)過大，難以支撐如實時視頻類大容量、大流量，復(fù)雜

4、業(yè)務(wù)。骨干層沒有考慮高性能防火墻，匯聚層關(guān)鍵設(shè)備上沒有應(yīng)用必要的ACL，或者缺乏對用戶接入認(rèn)證/隔離、設(shè)備訪問鑒權(quán)等不能實時監(jiān)控，存在管理漏洞和安全隱患。根據(jù)統(tǒng)計，導(dǎo)致網(wǎng)絡(luò)不可用的原因中約80％不是設(shè)備本身的缺陷，而是對接、組網(wǎng)、攻擊、病毒等。,Page 7,,,,,黑客攻擊事件和漏洞統(tǒng)計,數(shù)據(jù)來自 http://www.cert.org/stats,網(wǎng)絡(luò)攻擊事件和漏洞數(shù)據(jù)統(tǒng)計,Page 8,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,

5、,,Page 9,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,,3、網(wǎng)絡(luò)適應(yīng)性不強(qiáng)，缺乏可擴(kuò)展性網(wǎng)絡(luò)資源配置不合理，難以針對客戶需求定制新業(yè)務(wù)。初始網(wǎng)絡(luò)規(guī)劃缺乏長遠(yuǎn)規(guī)劃，采用較多私有協(xié)議、接口IP地址資源、路由策略規(guī)劃不清晰，擴(kuò)容時往往數(shù)據(jù)需重新規(guī)劃、配置,Page 10,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,,,4、城域網(wǎng)、傳送網(wǎng)網(wǎng)絡(luò)缺乏統(tǒng)一規(guī)劃部分城域網(wǎng)內(nèi)直接采用裸纖承載，光纖、BAS端口等資源浪費嚴(yán)重，且鏈路不可靠。5

6、、管理不方便，故障定位和修復(fù)困難缺少統(tǒng)一的網(wǎng)管系統(tǒng)和集中的日志系統(tǒng)，導(dǎo)致對各種設(shè)備的數(shù)據(jù)管理、用戶管理等不方便，故障恢復(fù)歷時較長，影響客戶滿意度。,Page 11,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化的背景,,,高品質(zhì)IP城域網(wǎng)的四個要素,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化應(yīng)用實例,目 錄,Page 12,高品質(zhì)IP城域網(wǎng)的四個要素,Page 13,,業(yè)務(wù)提供能力－Service Supportability,,,,網(wǎng)絡(luò)業(yè)務(wù)接入容量,增

7、值業(yè)務(wù)提供能力,服務(wù)質(zhì)量保障,基本業(yè)務(wù)提供能力,高品質(zhì)IP城域網(wǎng)的四個要素,網(wǎng)絡(luò)提供業(yè)務(wù)的能力和對所提供業(yè)務(wù)的服務(wù)質(zhì)量保證。,Page 14,,可靠性－Reliability,,,,,,,,,,,,,,,,,,,,有效的安全防御機(jī)制,合理的路由策略規(guī)劃,完善的流量控制策略,可靠的設(shè)備及鏈路備用機(jī)制,高品質(zhì)IP城域網(wǎng)的四個要素,網(wǎng)絡(luò)對業(yè)務(wù)運行和服務(wù)質(zhì)量的保障程度，發(fā)生故障的可能性以及故障的影響程度。,Page 15,,可擴(kuò)展性－Expan

8、sibility,,,長遠(yuǎn)的業(yè)務(wù)規(guī)劃,合理的資源規(guī)劃,通用的接口/協(xié)議,與傳送網(wǎng)絡(luò)的配合,網(wǎng)絡(luò)對業(yè)務(wù)發(fā)展的適應(yīng)程度，在原有網(wǎng)絡(luò)增加業(yè)務(wù)、容量的難易程度以及對現(xiàn)有業(yè)務(wù)的影響。,高品質(zhì)IP城域網(wǎng)的四個要素,Page 16,,可管理性－Manageability,,,,Network,認(rèn)證服務(wù)器,Syslog服務(wù)器,,,,網(wǎng)管方案,設(shè)備訪問控制,用戶和業(yè)務(wù)管理,日志系統(tǒng),高品質(zhì)IP城域網(wǎng)的四個要素,網(wǎng)絡(luò)對設(shè)備、業(yè)務(wù)和用戶的狀態(tài)控制以及信息統(tǒng)計

9、收集的難易程度。,Page 17,高品質(zhì)IP城域網(wǎng)核心層設(shè)備考慮,Page 18,高品質(zhì)IP城域網(wǎng)匯聚層設(shè)備考慮,Page 19,高品質(zhì)IP城域網(wǎng)接入層設(shè)備考慮,Page 20,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù),,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化應(yīng)用實例,目 錄,Page 21,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù),服務(wù)目標(biāo),,提高IP城域網(wǎng)在業(yè)務(wù)提供能力、可靠性、可管理性、可擴(kuò)展性四個方面的水平，最終使網(wǎng)絡(luò)長期穩(wěn)定、

10、高效的運行，進(jìn)而增加業(yè)務(wù)收益。提高網(wǎng)絡(luò)維護(hù)和管理人員的維護(hù)水平和故障應(yīng)對能力，提高維護(hù)效率。,Page 22,IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化服務(wù)預(yù)期,Page 23,,網(wǎng)絡(luò)安全與優(yōu)化效果分析,網(wǎng)絡(luò)安全與優(yōu)化的效果,Page 24,,IP城域網(wǎng)業(yè)務(wù)提供能力,,IP城域網(wǎng)業(yè)務(wù)提供能力,豐富靈活的業(yè)務(wù)和計費認(rèn)證方式。,Page 25,,IP城域網(wǎng)全網(wǎng)業(yè)務(wù)指標(biāo),,IP城域網(wǎng)業(yè)務(wù)指標(biāo),針對IP城域網(wǎng)的特點設(shè)計全網(wǎng)業(yè)務(wù)指標(biāo)，在優(yōu)化前后進(jìn)行量化比較。,Pag

11、e 26,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化服務(wù),服務(wù)進(jìn)程圖,,Page 27,,IP城域網(wǎng)評估－全面、深入、量化,IP城域網(wǎng)評估,全面：進(jìn)行多達(dá)6個類別的140余項網(wǎng)絡(luò)檢查和設(shè)備檢查，全面徹底地保障網(wǎng)絡(luò)的安全和性能，同時可以作為日常維護(hù)檢查的參考。深入：從網(wǎng)絡(luò)級、業(yè)務(wù)級逐步細(xì)化到設(shè)備級、配置級、端口級的檢查評估，深入評估網(wǎng)絡(luò)現(xiàn)狀。量化：輸出網(wǎng)絡(luò)評估匯總表，對于各類評估得出量化評分結(jié)果。業(yè)務(wù)提供能力、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)可

12、管理性、網(wǎng)絡(luò)可擴(kuò)展性四個方面輸出量化評分結(jié)果。在網(wǎng)絡(luò)優(yōu)化完成以后，再次進(jìn)行評估，量化本次優(yōu)化的效果。,Page 28,,評估類別和項目－全面、深入,IP城域網(wǎng)安全與優(yōu)化評估,6個類別的140余項網(wǎng)絡(luò)檢查和設(shè)備檢查，不僅全面徹底地保障網(wǎng)絡(luò)的安全和性能，同時可以作為日常維護(hù)檢查的參考。,Page 29,評估結(jié)果匯總表－－按城域網(wǎng)評估方法六大類別評估,IP城域網(wǎng)安全與優(yōu)化評估,Page 30,評估結(jié)果匯總表－－按高品質(zhì)城域網(wǎng)四要素評估,I

13、P城域網(wǎng)安全與優(yōu)化評估,Page 31,,IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化方案設(shè)計,,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化方案設(shè)計,依據(jù)評估結(jié)果、客戶需求調(diào)研和分析，形成《IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化技術(shù)建議書》基于以下原則進(jìn)行優(yōu)化方案設(shè)計：盡量保護(hù)現(xiàn)有網(wǎng)絡(luò)投資，結(jié)合業(yè)務(wù)發(fā)展規(guī)劃進(jìn)行優(yōu)化方案設(shè)計；分步優(yōu)化，優(yōu)先解決相對緊急的服務(wù)質(zhì)量、網(wǎng)絡(luò)瓶頸、業(yè)務(wù)提供等問題；分期進(jìn)行業(yè)務(wù)添加，優(yōu)先提供急需的增值業(yè)務(wù)；有策略實施安全保障，逐步提高安全等級。,Pag

14、e 32,,IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化實施,,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化實施,實施準(zhǔn)備：要求對優(yōu)化方案進(jìn)行充分的論證，取得各方面的認(rèn)可；必要時事先進(jìn)行方案測試；制訂完整的《IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù)計劃書》。工程方案設(shè)計：在優(yōu)化方案的基礎(chǔ)上形成《IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化工程實施詳細(xì)方案》，確保網(wǎng)絡(luò)割接零中斷，業(yè)務(wù)平滑切換。實施人員：成立項目組，確保項目的人力資源。實施過程：完全按照《IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù)交付指導(dǎo)書》進(jìn)行優(yōu)化的實施。

15、實施效果；實施后，要求按照評估標(biāo)準(zhǔn)再次進(jìn)行評估，通過評估量化改進(jìn)效果，形成閉環(huán)。,Page 33,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化的服務(wù)支持,,擁有豐富的網(wǎng)絡(luò)服務(wù)實施經(jīng)驗和強(qiáng)大的技術(shù)支持隊伍，能夠提供最優(yōu)的方案并保證網(wǎng)絡(luò)的順利過渡。,充分與業(yè)界其他廠家合作，并且能夠在實驗室模擬各種網(wǎng)上實際組網(wǎng)應(yīng)用，確保優(yōu)化方案的可行性。,提供從網(wǎng)絡(luò)評估、設(shè)計、優(yōu)化、培訓(xùn)、保障等端到端的全套服務(wù)解決方案。,提供全系列的IP/數(shù)據(jù)網(wǎng)絡(luò)產(chǎn)品族，在產(chǎn)品上、技術(shù)

16、上都能夠提供無盲點的全面支撐。,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù)支持,Page 34,,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化服務(wù),,華為公司IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化應(yīng)用實例,目 錄,Page 35,,IP城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化應(yīng)用,,IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化應(yīng)用,湖南電信長沙、衡陽、郴州IP網(wǎng)；云南電信昆明、紅河、玉溪寬帶網(wǎng)；上海嘉定電信城域網(wǎng)；江西電信IP城域網(wǎng)；福建莆田電信城域網(wǎng)；陜西渭南電信城域網(wǎng)；天津聯(lián)通城域網(wǎng)；

17、黑龍江鐵通IP省干網(wǎng)；黑龍江聯(lián)通牡丹江城域網(wǎng)?！?Page 36,湘潭電信城域網(wǎng)原有組網(wǎng)結(jié)構(gòu),業(yè)務(wù)提供單一，不支持組播、 MPLS VPN、 VPDN、 QOS等。,可靠性不足，重要設(shè)備和鏈路沒有備份。,擴(kuò)展性不夠，核心設(shè)備負(fù)載過大，DSLAM級聯(lián)帶寬有限。,缺少統(tǒng)一的網(wǎng)管、計費、認(rèn)證平臺。,,,,,,,,DSLAM光纖資源利用率較低，且沒有環(huán)路保護(hù)。,Page 37,,湘潭IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化后拓?fù)鋱D,,ISDN/PSTN,撥號

18、接入服TCH,河西MA 5200,NE40（河西）,NE80（河?xùn)|）,,,,6808（河?xùn)|）,12016（河西）,6808（河西）,ERX1400（河?xùn)|）,ERX1400（河西）,,,,,,,,,,認(rèn)證計費網(wǎng)管中心,湘大MA 5200,師院MA 5200,工學(xué)院MA 5200,GE,GE,,MA 5100,MA 5100,GE,湘潭縣DSLAM,湘鄉(xiāng)DSLAM,岳塘DSLAM,,,,SDH環(huán),ATM155M,ATM1

19、55M,ATM155M,SDH環(huán),SDH環(huán),河?xùn)|DSLAM,紅旗,東寶,岳塘MA 5200,砂子嶺MA 5200,河?xùn)|MA 5200,紡專MA 5200,,GE,ATM155M,,,GE,GE,GE,GE,Page 38,湘潭IP城域網(wǎng)優(yōu)化效果,,業(yè)務(wù)開放能力大大提高。優(yōu)化前后業(yè)務(wù)提供能力比照如下:,Page 39,網(wǎng)絡(luò)運行質(zhì)量得到提升，故障處理時限明顯縮短：,數(shù)據(jù)取自用戶端發(fā)送5000個ping包測試數(shù)據(jù)。,湘潭IP城域

20、網(wǎng)優(yōu)化效果,Page 40,單位：mS,單位：分鐘,網(wǎng)絡(luò)運行質(zhì)量得到提升，故障處理時限明顯縮短：,湘潭IP城域網(wǎng)優(yōu)化效果,Page 41,嘉定電信城域網(wǎng)數(shù)據(jù)中心組網(wǎng)圖,Page 42,骨干網(wǎng)流量分析實例,Page 43,骨干網(wǎng)流量分析-網(wǎng)管,Page 44,用戶上網(wǎng)24小時模型分析－數(shù)據(jù)流量,8月,9月,10月,KB,KB,KB,Page 45,用戶每月在線時長模型分析,8月,9月,10月,Page 46,骨干層網(wǎng)絡(luò)規(guī)劃建議－組網(wǎng)圖,N

21、E 80,POS 2.5G,嘉定城域網(wǎng)出口,NE 80,,,2 * 2.5G POS到NE 80,4 * GE 到 87504 * GE 到 88508 * GE 到 5200,,2 * 2.5G POS到NE 80,4 * GE 到 87504 * GE 到 88508 * GE 到 5200,,Page 47,匯聚層網(wǎng)絡(luò)規(guī)劃建議－組網(wǎng)圖,,,,,,,,,,,,,,,,,,,,,,,…,…,,,ISN 8850,ISN 8

22、850,Radium 8750,MA 5200F,MA 5200,NE 80,GE,GE,FE,NE 80,Page 48,IDC網(wǎng)絡(luò)規(guī)劃建議－組網(wǎng)圖,2.5G POS,,GE,,,,,,,,,NE 80,NE 80,城域網(wǎng)骨干,S 8016,S 8016,網(wǎng)管網(wǎng),計費網(wǎng),增值業(yè)務(wù)網(wǎng),辦公網(wǎng),城域網(wǎng)骨干層,IDC核心交換層,Page 49,紅河電信城域網(wǎng)優(yōu)化前組網(wǎng)圖,Page 50,紅河電信城域網(wǎng)優(yōu)化后組網(wǎng)圖,Page 51,華為公司I