华为SD-WAN软件定义网络解决方案

1、华为SD-WAN软件定义网络解决方案1华为SD-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战1SD-WAN成为当前解决传统WAN挑战的最佳手段技术变革驱动SD-WAN新方案诞生TDMCloudIP/MPLSSDH/PDHMPLS VPN / IPsec VPN / OTN SD-WAN（Hybrid WAN，SDN Controller）技术浪潮专线方案SD-WAN市场进入快速增长期智能化云化视频化IOTWAN流量占企业网络总流量的比例Source: IDC2016202020%80%企业WAN流量激增Futuriom：2020 SD-WAN Infrastructure Sur

2、vey运营商B2B大企业SD-WAN 建设关键诉求：随需互联，极智体验，一体管控积极建设SD-WAN已成为业界共识平安科技：2000+人寿网点，AI客服，平安云等新兴业务上线，采用传统MPLS专线流量成本激增50%意大利TIM：通过SD-WAN将TTM从数周提升到数分钟，为企业客户提供全面一站式Internet + VPN + 自服务金融建设银行：数字化转型，智能银行，引入新的业务体验：向导机器人、远程专家服务、金融太空舱等，需要大带宽，基于应用识别的智能选路，高效运维覆盖大企业，中小企业客户复杂的组网诉求以CPE为锚点，扩展VoIP，LAN等10+增值服务5G千兆无线上行，低时延，免布线应用

3、级智能选路，金融服务优体验保障引入Internet 承载AI客服，降低链路成本保障AI客服优质体验，实现分钟级的出单效率数字化时代如何构建SD-WAN网络如何突破传统CPE有线&无线性能瓶颈？如何优化关键应用体验？如何应对企业复杂组网需求？如何简化分支网络运维？5G超宽，高性能CPE5G千兆无线，超宽连接，构建高性能，低时延，抗丢包的SD-WAN网络智能选路，极智体验丰富的应用识别手段，灵活的选路能力，以及音视频等关键应用的优化随需互联，高品质网络构建大规模灵活，可靠，安全的企业互联是SD-WAN建设的核心一体管控，智能运维WAN/LAN/安全统一管理，极简开局，自动化部署，可视化运维1华为S

4、D-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战1华为SD-WAN，加速运营商2B和企业业务云化转型5G超宽，随需互联5G千兆无线，230M UL，900M DL（SA架构场景）CPU+NP 异构转发架构，3x业界性能，转发无拥塞20+组网模型按需编排，13K CPE大规模组网能力多种入云方式，业务一跳上云分布式控制组件站点开局网络编排应用策略可视运维全流自动化NetEngine 5G AR 柜台Wi-Fi大中型网点VTMVR金融迎宾机器人小型网点NetEngine 5G AR 5G云VR金融机器人业务VTM柜台结售汇MSTPMPLSRRRRRR智能选路，极智体验丰富应用识别技术

5、，首包识别+SA+自定义，准确率和效率提升1倍应用级智能选路，5G+ Fiber按需调度A-FEC使能视频20%丢包不卡顿，不花屏CPE主动防御增强，内置IPS/FW，构建端到端安全保障一体管控，智能运维Email/DHCP/U盘开局，多方式ZTP，网点网络分钟级部署应用/网点/设备/链路可视化运维，集中管理，简化运维WAN/LAN/安全统一管理，1套iMaster NCE，实现交换机、WiFi、路由器和防火墙统一管控1华为SD-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战15G超宽，随需互联智能选路，极智体验一体管控，智能运维5G AR：全系列NetEngine AR6000支

6、持5G，为企业构建5G高速园区出口NetEngine AR6120系列3倍业界性能 & 双电源冗余总部/大型分支NetEngineAR6280系列3倍业界性能 & 双主控双电源总部/大型分支NetEngineAR6300系列NetEngineAR6140系列高性能多接口 & 双电源冗余中型分支万兆上行&多业务中小型分支可插拔式5G 板卡5G AR：全系列NetEngine AR6000支持5G，为不同规模企业分支构建5G高速网络出口企业级5G路由器：全系列NetEngine AR6000支持5G上行超宽上行多链路互备，业务永续单芯多模，平滑演进3G / 4G / 5G5G全网通一步到位双模网络

7、平滑升级NSASA企业级5G路由器大带宽：5G SA：230M UL，900M DL5G NSA：115M UL，900M DL双卡单待NSA/SA，5G/4G/3G双卡单待经久不掉线多链路互备多链路A-FEC，无感知切换SIM1SIM25G5GA-FEC信号干扰SIM2X5G 板卡5G/有线A-FEC5G板卡NetEngine 5G AR ULDL900Mbps230MbpsSA架构场景实测数据，单向最大值，数据包1400 byte4G5G相比4G，上行带宽提升4倍，下行带宽提升3倍5GVSULDL300Mbps50Mbps在SD-WAN时代，呼唤新代际的路由器，满足高性能的新要求SD-WA

8、N的“日常”多场景链接动态链路调整VPN & 多VAS 简化运维应用识别丰富组网监控DPI&FPIVPN&FW&WOCQOS & 调整L3-L7Application纯路由的“日常”转发性能要求转发性能要求VPNRoutingQoSL1-L3PackageVPN路由QoSWAN连接企业私有专线流量管理路由器的性能瓶颈是制约SD-WAN规模化商用部署的关键因素开启SD-WAN后，转发性能大幅下降80%转发性能传统 WAN SD-WANNetEngine 5G AR : 3倍业界性能，SD-WAN新引擎NetEngine 5G AR行业 650M1GbpsNetEngine AR6300 3Gbp

9、s架构 & 算法 创新内置丰富硬件加速引擎IPsec, SA, HQoS和ACL 加速引擎, 并具备AI扩展能力Ultra-Fast 算法, 性能倍增加速指令集，基于AI技术快速匹配ACL和路由CPU + NP 异构转发提供3倍业界性能CPU+ NP+硬件加速引擎3XSD-WAN性能Hardware-based forwardingHQoS acceleration多核ARM CPU (L4L7 业务处理)IPSec加速引擎SA加速引擎Core1Core2Core3CoreNPacket scheduling and queuing engine (POE)NP (L4 traffic off

10、load）ACL accelerationAI未来挂接升腾高密接口WAN:2*GE combo + 1*10GE SFP+LAN: 1*GE combo + 8* GENetEngine AR6121：中小企业5G路由器NetEngine AR6121支持5G SIC业务插卡灵活扩展，支持5G2*SIC或1*WSIC3倍业界转发性能(Tolly权威认证）友商HuaweiAR61212.32Gbps0.64Gbps6倍友商固定接口数量友商HuaweiAR612112（含1个万兆接口）2（1*GE Combo+1*GE）NetEngine AR6121 + 5G SIC业务板卡，为中小企业提供万兆

11、有线，千兆无线的WAN互联方案EVPN大规模灵活组网，按需自动编排，弹性扩容分布式控制组件RRPartial-MeshHub-SpokeFull-MeshMPLSInternetLTEDual-CPE &Multi-Link20+组网模型按需自动编排13K CPEs（max.) 大规模组网分布式RR按需扩容控制组件横向Scale Out两种部署模式：独立或共存RRCPE20+组网模型按需编排Full-Mesh，Partial-Mesh，Hub-Spoke，Dual-CPE &Multi-Link灵活部门隔离策略：Partial-Mesh企业并购：Full-Mesh网络快速互通整网可靠性：双Hu

12、b或双CPE多链路组网VS转控分离架构降低控制平面复杂性，消除与传统基于IKE的IPSec网络相关的N2问题共存模式多种组网模型灵活组网，满足不同分支网络需求VRRPVRRPLAN侧对接L3网络动态路由静态路由动态路由静态路由动态路由LAN侧对接L2网络MPLSInternetHub1Hub2ActiveActive/StandbyMPLSInternetLTE单设备多链路MPLSInternetLTE双设备多链路Internet单设备单链路MPLSInternetLTE双设备多链路（含逃生链路）逃生链路双Hub/双设备层次化组网Hub冗余支持单Hub双设备和双Hub（最多支持8个业务HUB节

13、点），Hub节点出现故障，Site节点自动切换至低优先级的Hub多种组网模型支持Hub-Spoke、Full-Mesh、Partial-Mesh、层次化组网等链路冗余链路冗余，基于业务策略自动切换单CPE最大10条链路，双CPE 20条智能选路支持逃生链路CPE冗余站点双CPE冗余，通过VRRP或路由切换进行备份灵活的LAN侧组网骨干区域区域RRHubRRHub-Spoke组网Full-Mesh组网Border路由BranchInternetMPLSHQSite2Internet多云多网随需互联ApplicationPolicyYouTube, Facebook, Local Breakout

14、Office365, GoogleCentralized BreakoutSite2SaaSSaaSMPLS/InternetOptimal POPBranch基于应用灵活选择出局方式，快速访问Internet业务集中访问（默认）+本地出局（特定应用） 或 本地出局（默认)+集中访问（备份）Site2MPLS Site本地互访即分支CPE作为CE设备与对端MPLS PE设备互通IWG集中互访即通过HUB节点专用IWG实现与传统MPLS网络互通SD-WAN域InternetMPLS多租户IWG企业2企业1企业1企业1企业2IWG集中互访MPLS分支本地互访传统MPLS域部署云POP节点，站点访问

15、云SaaS服务通过接入节点接入可以通过智能选路、广域优化等方式提升云业务体验GoogleOffice 365GooglesalesforceOffice 365FacebookYouku多Hub方案，提升整网的互通性及可靠性Hub1Hub2Hub3Hub4Hub5Spoke1Spoke2RRHub7Hub6Hub8ISP1ISP3ISP2关键规格提升，提供更强组网能力：HUB-Spoke业务场景下，整网最大支持配置8个南北向业务HUB针对单租户，支持划分多个区域，最大支持16个区域划分单CPE最大支持10条上行链路，单站点双CPE，最大支持20条上行链路南北向业务HUB，支持多HUB备份和多H

16、UB负载分担；所有HUB支持作为分支互联的HUB，整网支持配置两个分支互联的HUB，互为主备；支持基于分支站点，配置业务HUB优先级；支持分支站点只选择连接部分业务HUB站点，最大支持5个业务HUB站点办公业务生产业务多租户Gateway，优化POP跨域互联SD-WANGWSD-WANGWSD-WANGWCPE1InternetOverlayCPE2分支2InternetOverlayOverlayMPLSSD-WANGWOverlay接入区1(主用)接入区2(备用)接入区3(主用)接入区4(备用)分支1IWGOption A/BCPE3VxLANPE高质量PoP点接入 POP间VxLAN，端

17、到端Overlay多租户IWG，灵活对接Option A/B对接PE就近接入高质量的PoP点支持主备PoP，实现高品质企业互联Underlay（链路）无关SD-WAN网络与传统MPLS网络灵活对接，快速兼容分支3PoPPoP1华为SD-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战15G超宽，随需互联智能选路，极智体验一体管控，智能运维首包识别（FPI）1234567Traffic flow映射表多种识别手段，应用精细化匹配通过报文的目的IP地址，查找IP和应用ID的映射表，实现首包快速识别适用SaaS应用，一次性“选对路”SA特征库识别（DPI）SA引擎未分类报文特征字识别关联识

18、别行为识别支持报文特征字识别、关联识别和行为识别等多种识别方法支持最大6000+的应用识别库iMaster NCE 灵活实现SA特征库升级自定义应用识别(五元组 )五元组自定义五元组自定义应用：先通过目的IP+目的端口+传输协议进行匹配，再通过源IP+源端口+传输协议进行匹配目的IP应用名称W3SaleforceHR.Office365基于体验优先的带宽利用率智能选路，带宽利用率提升到90%分支总部Internet应用识别Internet)分支总部MPLS应用识别4321MPLS(50M)总部MPLS(100M)432143214321分支总部MPLS应用识别基于链路质量选路Internet2

19、143低优先级应用高优先级应用4321432170%让：带宽利用率70%（可配置），低优先级业务避让高优先级业务43214321低优先级应用高优先级应用43212143回：带宽利用率50%(可配置)，低优先级业务回切50%Quality 低于SLA门限 链路切换432143214321分支应用识别Flow P1Flow P2Flow P343214321MPLS基于带宽利用率选路基于应用优先级选路层次化QoS，保障关键应用带宽Logical modelLLQPQCBQCBQschedulerLLQLevel 1: Packet ClassifyLevel 2: PVC/VLAN/DLCIWFQ

20、(164)schedulerRRRRLevel 3 PortWFQ(164)InstanceEF-5%AF11 30% BE-65%schedulerINNER VLAN 10 30MschedulerGE1/0/0 50MService schedule in VPN AINNER VLAN 20 20MSchedule on the WAN interfaceFor VPNsH-QOSApplicationCBQCBQCBQCBQPQiMaster NCE-WAN集中QOS策略制订，包括Remark DSCP 、Car、shaping、Queue Schedule等iMaster NCE-

21、WAN下发策略到设备进行控制。MPLS/Internet应用队列VPN1：20%带宽VPN2：80%带宽部门队列本地出局：40%带宽Overlay：60%带宽VPN1VPN2Overlay本地出局基于应用的策略流分类：每个VPN流量可以基于IP五元组、应用、DSCP进行流分类流动作：不同流量进入不同的队列进行优先级调度及带宽限速基于VPN的策略可以设定不同VPN占用物理链路总带宽的比例可以设定每个VPN 本地出局和Overlay隧道间带宽分配比例智能A-FEC，链路丢包20%视频不卡顿智能A-FEC，低开销，优质体验通过对历史帧信息进行冗余编码，发送正常帧后转发相应冗余帧，接收端可以利用收到的

22、冗余帧进行丢包恢复华为自适应Adaptive-FEC(A-FEC)：利用智能数据分析引擎，根据链路质量，调整FEC保护窗口、保护模式，实现高恢复，低冗余A-FEC：根据链路质量，自动动态调整FEC保护窗口、保护模式网络环境包冗余率优化前优化后30M+65ms延迟+5%丢包7%无卡顿，清晰度下降无卡顿，更清晰30M+65ms延迟+10%丢包11%花屏，卡顿无花屏、无卡顿30M+65ms延迟+20%丢包22%花屏、卡顿现象加重无花屏、无卡顿接收设备使能FEC，恢复原始视频包Internet分支1分支2实时检测链路质量，按需调整FEC保护窗AR路由器（内置WOC）AR路由器（内置WOC）传输丢包冗余

23、包原始包华为 20%丢包，无卡顿，无花屏友商3%丢包，视频 花屏CPE新一代AR6000系列CPE内置IPS/URL/SA/FWCPE主动防御增强，构建端到端安全保障Traffic analysisLog analysisDocument behavior华为 &第三方云安全管道安全分权分域管理CPE安全Self-service PortalOrchestratorBSS/OSS SSH加密NETCONF & 双向安全认证HTTPSCPE主动防御增强，构建端到端安全保障云安全关键技术系统安全系统级安全保障：分权分域管理SSH加密NETCONF & 双向安全认证第三方系统对接数据HTTPS加密C

24、PE-管道-云端到端数据安全：CPE安全 1）新一代AR6000内置IPS/URL/SA/FW防护能力 2）管道安全 1）IPSec Overlay实现企业互联网络报文加密 2）基于VRF的多部门业务隔离，最大支持64个VRF构建端云协防能力： 1）与华为及第三方云清洗平台（Zscaler）对接 2）构建分布式云安全MPLSInternetSSHIPSec VPNHSSForcepointZscaler1华为SD-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战15G超宽，随需互联智能选路，极智体验一体管控，智能运维邮件、DHCP多方式开局，分钟级网络开通0接触完成DHCP开局：适配

25、具备DHCP服务器网络1）“0接触”，上电、插入网线，设备即插即用2）设备与站点不绑定，随机发货，设备“0错发”（可选）1键操作完成邮件开局：适配不同接口，不同接入方式1）不同接口适配：Eth，xDSL，GPON，LTE2）不同接入方式：DHCP，PPPOE，静态地址3）邮件激活，安全性更高远程配置邮件激活自动注册上线设备上电, 邮件激活 CPE自动注册上线远程配置，发送开局邮件分支 1分支 N图形化配置510分钟3分钟2分钟利用现有LTE / Internet网络资源，不依赖专线部署周期，通过ZTP方式实现分钟级网络开通设备上电, CPE获取IP和iMaster NCE 地址，自动注册上线远

26、程配置，网络规划分支 1分支 N图形化配置远程配置自动注册10分钟2分钟告警实时监控自定义Dashboard（角色或偏好）全网实时告警（分钟级）简化运维：45+视图，可视运维，提升运维效率运维DEMO快速获取异常流量优化WAN投资及配置策略分钟级定位故障根因拓扑状态可视基于站点、链路的拓扑展示企业实时获取站点、链路的状态及性能信息快速定位故障设备或站点45+自定义视图站点/链路/应用/设备/用户健康度视图站点带宽利用率Top N 吞吐量站点Top N 应用流量链路吞吐量趋势模板化极简开局，降低开局复杂度快速开局，一站式完成，模板可复用效率低，界面关系松散，技能要求高耗时长步骤多，时间长，单站点

27、开局配置30分钟操作繁10个页面跳转完成开局配置，流程繁琐要求高依赖个人经验，技能要求高，易出错配置快单站点开局配置，仅需3分钟一站式1个页面，端到端完成配置，无需跳转模板化基于业务场景预置模板，同类站点可批量开局As-IsTo-Be 1个页面，模块批量开局，极速配置基于GIS地图以及VPN粒度的逻辑拓扑，状态一目了然支持GIS地图查看站点位置，显示不同站点状态，包括：正常、异常、离线；多维度站点性能数据：平均LQM、平均AQM、吞吐量、应用数、上下行带宽利用率；支持高德和谷歌地图系统，满足国内和海外市场诉求；全网拓扑，清晰可视：基于VPN粒度，查看逻辑拓扑支持查看单个租户的逻辑拓扑连接大屏监

28、控，全局掌控网络，提升运维体验网络资源统计GIS地图应用统计网络性能统计多维数据5大维度统一展示，全局掌控按需定制灵活布局，聚焦重点优化体验卓越可视化效果，提升体验告警统计支持多种类型日志，方便问题回溯提供多维度日志查询：系统操作日志（管理员/租户）系统安全日志（管理员/租户）系统运行日志（仅管理员）支持日志导出（CSV文件）控制器支持配置日志服务器地址，支持将日志上报给第三方服务器。（仅租户）周期定时任务支持创建周期任务支持以excel、pdf格式导出报表敏捷报表，提高运维决策体验可视化仪表盘关联查看多维度KPI数据，全局掌握业务状态支持丰富图形组件，直观易懂自定义布局，灵活调整简单拖拽创建

29、选择维度&度量，拖拉拽即可快速生成报表，零学习成本自助数据分析支持根据时间、字段、TOP N，比较等条件快速筛选，轻松完成自助数据分析监控业务，识别问题分析问题业务决策多种告警管理手段，及时掌控系统状态支持多种告警查询：当前/历史告警控制器告警信息设备告警信息支持告警清除/屏蔽支持通过邮件方式通知告警支持告警转储（仅管理员）支持网络巡检，随时检查网络潜在问题对指定租户进行巡检集成华为巡检专家经验库，发现网络潜在问题，提供维护建议各租户巡检记录，随时可查，历史记录可保存3年支持导出巡检报告（word格式）支持通过邮件方式发送巡检报告标准化北向API，与第三方系统快速集成Self-Service

30、Portal / DashboardBSS/OSSVAS Store第三方O层4 类200+ Restful API基础组网Overlay &策略uCPE & VAS运维 & 监控Multi-VPN管理POP管理应用/安全/云联接策略uCPE管理VNF镜像文件业务链编排CPE/应用/链路/站点状态查询告警&监控认证 & 鉴权站点/CPE配置网络配置标准化API，85%对接场景覆盖帮助运营商实现多系统统一运营，构快速建统一客户Portal、统一Service OrchestrationSD-WAN CPE华为iMaster NCE-WAN：开放架构，多租户，高可靠3+1 Cluster 和扩展控

31、制器集群（备）心跳数据同步WANDR容灾保护带宽 大于100Mbps时延 小于 100ms控制器集群（主）系统管理员 adminMSP1MSPn租户1租户2租户3租户n站点站点站点站点站点多租户：层级授权，灵活运营NETCONF南向接口VAS业务管理流量策略安全策略即插即用业务功能可视化运维多租户管理集群管理告警管理基础功能日志管理设备配置隧道管理网络巡检设备升级网络设备CPEuCPE增值业务OSS/BSS分析系统3rd VAS其他应用RESTful北向接口SD-WAN控制器IWG1华为SD-WAN方案介绍及亮点2案例231SD-WAN发展趋势与挑战1创新路上无捷径， “厚积”而 “薄发”华为NetEngi