华为IP城域网网络安全与优化解决方案.ppt

IP城域网网络安全与优化解决方案,Page2,IP城域网网络安全与优化的背景,高品质IP城域网的四个要素,华为公司IP城域网网络安全与优化应用实例,目录,Page3,IP城域网网络安全与优化的背景,全球范围内数据业务收入年18%增长,Page4,IP城域网网络安全与优化的背景,问题：,难以提供丰富灵活的业务；缺乏安全可靠的支撑负载；不能简单迅速的进行扩展；不能方便快捷的进行管理。构建业务丰富灵活、运营安全可靠、扩展简单迅速、管理方便快捷的高品质数据网络需要对现有网络进行优化。,Page5,IP城域网网络安全与优化的背景,1、网络规模基本满足需求，但增值业务提供能力不足业务基本限于单一的上网、互联，无法满足复杂多变的、个性化的用户需求，难以提供增值业务，实现网络价值的提升，比如端到端的MPLSVPN、实时视频、可控组播、QOS等业务如何提供。难以提供差异化的服务（SLA），网络收益难以达到最大化。除设备相关的如用户带宽保证、认证、计费和授权机制没有实现差别化，还涉及到SLA相关的技术指标与管理系统。,Page6,IP城域网网络安全与优化的背景,2、网络结构不合理，局部性能不足，安全考虑不够可能存在网络层次不清、核心设备/关键链路没有备份、无有效的网络隔离、广播冲突域过大、路由收敛时间过长、带宽瓶颈、局部设备性能不够，或者设备层层堆叠等问题，导致网络平均时延和突发过大，难以支撑如实时视频类大容量、大流量，复杂业务。骨干层没有考虑高性能防火墙，汇聚层关键设备上没有应用必要的ACL，或者缺乏对用户接入认证/隔离、设备访问鉴权等不能实时监控，存在管理漏洞和安全隐患。根据统计，导致网络不可用的原因中约80不是设备本身的缺陷，而是对接、组网、攻击、病毒等。,Page7,黑客攻击事件和漏洞统计,数据来自/stats,网络攻击事件和漏洞数据统计,Page8,IP城域网网络安全与优化的背景,Page9,IP城域网网络安全与优化的背景,3、网络适应性不强，缺乏可扩展性网络资源配置不合理，难以针对客户需求定制新业务。初始网络规划缺乏长远规划，采用较多私有协议、接口IP地址资源、路由策略规划不清晰，扩容时往往数据需重新规划、配置,Page10,IP城域网网络安全与优化的背景,4、城域网、传送网网络缺乏统一规划部分城域网内直接采用裸纤承载，光纤、BAS端口等资源浪费严重，且链路不可靠。5、管理不方便，故障定位和修复困难缺少统一的网管系统和集中的日志系统，导致对各种设备的数据管理、用户管理等不方便，故障恢复历时较长，影响客户满意度。,Page11,IP城域网网络安全与优化的背景,高品质IP城域网的四个要素,华为公司IP城域网网络安全与优化应用实例,目录,Page12,高品质IP城域网的四个要素,Page13,业务提供能力ServiceSupportability,网络业务接入容量,增值业务提供能力,服务质量保障,基本业务提供能力,高品质IP城域网的四个要素,网络提供业务的能力和对所提供业务的服务质量保证。,Page14,可靠性Reliability,有效的安全防御机制,合理的路由策略规划,完善的流量控制策略,可靠的设备及链路备用机制,高品质IP城域网的四个要素,网络对业务运行和服务质量的保障程度，发生故障的可能性以及故障的影响程度。,Page15,可扩展性Expansibility,长远的业务规划,合理的资源规划,通用的接口/协议,与传送网络的配合,网络对业务发展的适应程度，在原有网络增加业务、容量的难易程度以及对现有业务的影响。,高品质IP城域网的四个要素,Page16,可管理性Manageability,Network,认证服务器,Syslog服务器,网管方案,设备访问控制,用户和业务管理,日志系统,高品质IP城域网的四个要素,网络对设备、业务和用户的状态控制以及信息统计收集的难易程度。,Page17,高品质IP城域网核心层设备考虑,Page18,高品质IP城域网汇聚层设备考虑,Page19,高品质IP城域网接入层设备考虑,Page20,华为公司IP城域网网络安全与优化服务,华为公司IP城域网网络安全与优化应用实例,目录,Page21,华为公司IP城域网网络安全与优化服务,服务目标,提高IP城域网在业务提供能力、可靠性、可管理性、可扩展性四个方面的水平，最终使网络长期稳定、高效的运行，进而增加业务收益。提高网络维护和管理人员的维护水平和故障应对能力，提高维护效率。,Page22,IP城域网网络优化服务预期,Page23,网络安全与优化效果分析,网络安全与优化的效果,Page24,IP城域网业务提供能力,IP城域网业务提供能力,丰富灵活的业务和计费认证方式。,Page25,IP城域网全网业务指标,IP城域网业务指标,针对IP城域网的特点设计全网业务指标，在优化前后进行量化比较。,Page26,华为公司IP城域网网络优化服务,服务进程图,Page27,IP城域网评估全面、深入、量化,IP城域网评估,全面：进行多达6个类别的140余项网络检查和设备检查，全面彻底地保障网络的安全和性能，同时可以作为日常维护检查的参考。深入：从网络级、业务级逐步细化到设备级、配置级、端口级的检查评估，深入评估网络现状。量化：输出网络评估汇总表，对于各类评估得出量化评分结果。业务提供能力、网络可靠性、网络可管理性、网络可扩展性四个方面输出量化评分结果。在网络优化完成以后，再次进行评估，量化本次优化的效果。,Page28,评估类别和项目全面、深入,IP城域网安全与优化评估,6个类别的140余项网络检查和设备检查，不仅全面彻底地保障网络的安全和性能，同时可以作为日常维护检查的参考。,Page29,评估结果汇总表按城域网评估方法六大类别评估,IP城域网安全与优化评估,Page30,评估结果汇总表按高品质城域网四要素评估,IP城域网安全与优化评估,Page31,IP城域网网络优化方案设计,IP城域网网络安全与优化方案设计,依据评估结果、客户需求调研和分析，形成IP城域网网络安全与优化技术建议书基于以下原则进行优化方案设计：尽量保护现有网络投资，结合业务发展规划进行优化方案设计；分步优化，优先解决相对紧急的服务质量、网络瓶颈、业务提供等问题；分期进行业务添加，优先提供急需的增值业务；有策略实施安全保障，逐步提高安全等级。,Page32,IP城域网网络优化实施,IP城域网网络安全与优化实施,实施准备：要求对优化方案进行充分的论证，取得各方面的认可；必要时事先进行方案测试；制订完整的IP城域网网络安全与优化服务计划书。工程方案设计：在优化方案的基础上形成IP城域网网络优化工程实施详细方案，确保网络割接零中断，业务平滑切换。实施人员：成立项目组，确保项目的人力资源。实施过程：完全按照IP城域网网络安全与优化服务交付指导书进行优化的实施。实施效果；实施后，要求按照评估标准再次进行评估，通过评估量化改进效果，形成闭环。,Page33,华为公司IP城域网网络优化的服务支持,拥有丰富的网络服务实施经验和强大的技术支持队伍，能够提供最优的方案并保证网络的顺利过渡。,充分与业界其他厂家合作，并且能够在实验室模拟各种网上实际组网应用，确保优化方案的可行性。,提供从网络评估、设计、优化、培训、保障等端到端的全套服务解决方案。,提供全系列的IP/数据网络产品族，在产品上、技术上都能够提供无盲点的全面支撑。,华为公司IP城域网网络安全与优化服务支持,Page34,华为公司IP城域网网络安全与优化服务,华为公司IP城域网网络安全与优化应用实例,目录,Page35,IP城域网网络安全与优化应用,IP城域网网络优化应用,湖南电信长沙、衡阳、郴州IP网；云南电信昆明、红河、玉溪宽带网；上海嘉定电信城域网；江西电信IP城域网；福建莆田电信城域网；陕西渭南电信城域网；天津联通城域网；黑龙江铁通IP省干网；黑龙江联通牡丹江城域网。,Page36,湘潭电信城域网原有组网结构,业务提供单一，不支持组播、MPLSVPN、VPDN、QOS等。,可靠性不足，重要设备和链路没有备份。,扩展性不够，核心设备负载过大，DSLAM级联带宽有限。,缺少统一的网管、计费、认证平台。,DSLAM光纤资源利用率较低，且没有环路保护。,Page37,湘潭IP城域网网络优化后拓扑图,ISDN/PSTN,拨号接入服TCH,河西MA5200,NE40（河西）,NE80（河东）,6808（河东）,12016（河西）,6808（河西）,ERX1400（河东）,ERX1400（河西）,认证计费网管中心,湘大MA5200,师院MA5200,工学院MA5200,GE,GE,MA5100,MA5100,GE,湘潭县DSLAM,湘乡DSLAM,岳塘DSLAM,SDH环,ATM155M,ATM155M,ATM155M,SDH环,SDH环,河东DSLAM,红旗,东宝,岳塘MA5200,砂子岭MA5200,河东MA5200,纺专MA5200,GE,ATM155M,GE,GE,GE,GE,Page38,湘潭IP城域网优化效果,业务开放能力大大提高。优化前后业务提供能力比照如下:,Page39,网络运行质量得到提升，故障处理时限明显缩短：,数据取自用户端发送5000个ping包测试数据。,湘潭IP城域网优化效果,Page40,单位：mS,单位：分钟,网络运行质量得到提升，故障处理时限明显缩短：,湘潭IP城域网优化效果,Page41,嘉定电信城域网数据中心组网图,Page42,骨干网流量分析实例,Page43,骨干网流量分析-网管,Page44,用户上网24小时模型分析数据流量,8月,9月,10月,KB,KB,KB,Page45,用户每月在线时长模型分析,8月,9月,10月,Page46,骨干层网络规划建议组网图,NE80,POS2.5G,嘉定城域网出口,NE80,2*2.5GPOS到NE80,4*GE到87504*GE到88508*GE到5200,2*2.5GPOS到NE80,4*GE到87504*GE到88508*GE到5200,Page47,汇聚层网络规划建议组网图,ISN8850,ISN8850,Radium8750,MA5200F,MA5200,NE80,GE,GE,FE,NE80,Page48,IDC网络规划建议组网图,2.5GPOS,GE,NE80,NE80,城域网骨干,