IP广域网

    华为公司针对企业市场的需要求提出了完整的IP承载网解决方案，可以为企业建设一张高性能、高可靠性、高安全性、易维护易管理，能够承载企业多种业务的IP承载网。

一、背景与挑战

    企业业务IT化和网络IP化使得企业信息化发展迅速，而信息化发展则进一步促进了企业业务发展。随着企业网络规模的不断扩大，网络所承载的业务种类也在不断增多。

                                                      企业信息化发展趋势

    承载企业综合业务的网络成为业务的关键要素，也是业务连续性的一个风险要素。这对企业广域网络提出了更高的要求和挑战。企业广域网络必须增强其可靠性、安全性以及可运维性，这样才能降低业务中断的风险。 

    随着企业业务不断的IT化和网络IP化，业务对网络资源的需求，尤其是广域网络带宽对需求则不断增加。然而，广域网络带宽资源由于成本原因，是不能无限扩大的。这就需要通过合理分配网络资源，保证关键应用的体验，使得投资收益最大化。

   为了不断适应业务发展变化和网络技术发展，企业广域网络势必需要扩展与升级，所以作为企业业务承载平台，企业广域网络需要具备持续演进的能力，以保证业务的连续性和对现有网络投资的保护。

二、解决方案

    针对广域网络面临的带宽不足、可靠性、安全性、可管理性等一系列问题，华为公司推出了敏捷广域网络解决方案。

                                           华为敏捷广域网络解决方案架构

    稳定的网络架构、敏捷的业务承载、全面的网络安全和统一的运维管理是华为敏捷广域网络解决方案架构的核心：

（1）稳定的网络架构——华为广域网络解决方案具备从设备级到网络级高可靠的能力；采用自研核心芯片，为用户提供平滑升级的解决方案；支持全面的IPv6技术和IPv6技术过渡方案，为客户建设可持续演进的网络架构。

（2）敏捷的业务承载——华为广域网络解决方案在承载多媒体和云业务的的链路上进行基于SDN的流量统一调度，通过多种形式的负载均衡技术与广域加速产品，充分利用链路资源，提高投资利用率；通过精细化Qos带宽管理，为客户提供差异化的业务体验。

（3）全面的网络安全——华为广域网络解决方案提供精细的业务识别，多维度的策略设置，完善的边界防护，流量的合理优化，有效防范来自广域网络内部及外部的恶意攻击和非法访问。

（4）统一的运维管理——华为广域网络解决方案可提供IP+光的协同统一管理，并实现了网络流量与和网络质量可视化监控，可视化运维，为用户提供简便的、统一的网络管理系统。

    稳定的网络架构

    华为广域网络解决方案能够提供业界最全最丰富的企业网络产品，包括光传输、光接入、以太网接入、WLAN接入、广域接入路由器、汇聚路由器、核心路由器，网络安全产品、网络管理系统，实现统一的的端到端网络基础架构解决方案。

    华为广域网络解决方案在设备级、网络协议级、拓扑级提供对整网架构的稳定保障：

                                                        华为高可靠架构组成

    设备级可靠：

（1）硬件冗余设计：双电源，双主控，板卡热插拔
    华为NE系列路由器提供关键部件冗余（主控1:1备份，电源1+1备份）；支持分区风扇设计，单风扇失效无影响；应用无源背板，可靠性高；采用独立的设备监控单元，和主控解耦；所有模块支持热插拔。

（2）无间断升级技术：热补丁，不间断系统升级（ISSU）
    华为NE系列路由器不仅支持热补丁(Hot Patching)，实现升级/修正过程中保证业务无中断，还支持不间断系统升级（ISSU），保障设备整个新版本(Full image)的整体升级无中断。

（3）单点故障恢复：不间断转发（NSF），不间断路由（NSR）
    华为NE系列路由器不仅支持不间断转发（NSF），实现控制平面与转发平面分离；故障时立即倒换，倒换时间满足电信级需求。还支持不间断路由（NSR），实现倒换期间控制流不中断，无需邻居参与倒换，设备承载的业务不受影响；保证节点控制平面故障时仍能够正常转发业务流量，避免节点故障造成的业务流中断。

    网络协议级可靠：

（1）网络链路，节点故障探测技术：静态/动态BFD，单跳/多跳BFD，IPv6 BFD
    为公司通过对IETF标准的扩展首创静态BFD技术，既能支持标准的动态BFD技术，又能通过静态指定的远近端标识符的方式完成BFD配置。提供支持单跳BFD：用于相同网段路由器之间直连链路故障检测，及多跳BFD：用于不同网段路由器之间非直连链路故障检测。BFD随着网络向IPv6过渡，IPv6 BFD的支持也在日臻完善。

（2）业界领先的快速倒换技术：IP FRR，LDP FRR，VPN FRR等
    华为公司首创LDP FRR技术，通过主备标签技术完成网络故障的50ms倒换功能。通过BFD检测故障的上报，触发VPN FRR，解决了隧道终结点故障的快速收敛问题，故障恢复时间与私网路由的规模无关， 实现了简单、可靠、方便的部署。

    拓扑级可靠：

（1）双平面网络设计
    通过在骨干平台应用双平面，关键设备从一个网元点到另一个网元点都有两条通路，实现冗余备份，防止任何单点故障出现。

（2）双机双链路设计
    通过核心节点采用双路由器应用，防止任何单点故障出现。

（3）双运营商网络设计
    通过租用两家不同电信运营商的链路，防止任何单点故障出现。

                                                            稳定的网络架构

    敏捷的业务承载

    华为敏捷广域解决方案在业务保障方面具备四大优势：

（1）广域SDN流量调度，3倍提高广域链路利用率。

    华为敏捷广域网解决方案通过Agile Controller的引入，根据网络状态和业务请求，自动计算业务路径，优化带宽使用，并通过网络状态感知、业务优先级感知，完全呈现业务网络特征，实现了整网路径规划与计算，将整网链路利用率提升至>90%。SDN流量调度可以根据业务服务质量的要求和广域链路资源的占用情况动态调整业务的转发路径。当高优先级链路占用过高时，把非关键业务和对网络质量要求不高的业务调度到低优先级链路，或者绕道在空闲链路上传送，从而既保证了关键业务的服务质量，又提高了整体广域网链路资源的利用率。

（2）提供了多种形式的服务质量保障以支撑多业务承载。

    应用先进的分层队列调度HQoS(Hierarchical Quality of Service)将调度队列划分为物理级别、逻辑级别、应用或业务级别等多个调度级别，每一级别可以使用不同的特征进行流量管理，实现了多层次的流量管理，从而实现对多种用户和多种业务的服务管理。

    华为支持HQoS五级调度，独家支持MPLS HQoS，每DS-TE隧道支持8CT，实现精细化QoS E2E 解决方案。

              层次化的QoS解决方案，能够完成接口、子接口、用户组、用户和业务5级调度

（3）利用华为先进的非等价路由负载分担技术。

    在不同带宽的备份线路上分配不同大小的流量，更加合理的使用备份线路，彻底解决当不同路径带宽差异比较大时，可能出现低速路径流量阻塞，高速链路利用不足的问题，提高投资利用率。

（4）应用华为广域加速产品。

    根据应用特征优化和压缩广域传送的流量，使得网络带宽得到充分利用。通过应用WAN加速模块，传输速度大幅提升，带宽要求降低60%-70%，成本节省38%。

     全方位网络安全

    华为敏捷广域解决方案在安全保障方面具备三大优势：

    1、提供了防病毒、IPS、URL过滤、IPSec VPN、SSL VPN、GRE VPN、防垃圾邮件等所有主流安全功能，面对外部互联网实现全面的防御，对内防止病毒、木马、攻击等在网络的扩散，实现99%的AV检出率及IPS零误报。

（1）Anti-Virus：全球领先防病毒技术，丰富的解压算法，10种以上带加密壳和压缩壳的文件扫描，提供99%精准检出率。

（2）IPS：基于漏洞防护技术，针对漏洞（而非攻击代码）提供“虚拟补丁”，实现零误判。

（3）URL： 130个大类，6500万库，超过100页面/天的分析能力。

（4）强大的应用识别技术，能够检测20+大类、1200+种协议、6500+应用识别；支持在线升级，应用识别库实时更新。

（5）利用全面的认证方案，精细化的业务识别，可进行多维度的策略设置与执行。

（6）全面的认证方案：多种认证方式：LDAP、Radius、AD、CA。

（7）精细的业务识别：支持P2P、IM、VOIP、Game、Web Video、Stock等20多种大类，1200+协议，业界最多。

（8）多维度策略管理：基于用户、应用、时间、安全策略等多维度的管理。

    2、提供先进的流量管控解决方案，及时发现并清洗掉广域网络中的攻击流量和非正常业务流量，确保网络敏捷承载业务。

    （1） 动态引流清理：部署在骨干网核心路由器侧，Netflow检测中心检测到攻击，通告管理中心ATIC，由管理中心下发引流策略到AntiDDoS设备，实现动态引流清洗，提供链路拥塞防护。

    （2）层过滤机制：将攻击报文彻底清洗，将攻击对正常业务的影响降低到最小。基于会话检查防御DDoS攻击能准确定位攻击源和异常访问会话，准确清洗小流量的应用层攻击的同时确保正常访问不受影响。支持僵尸木马蠕虫防护，避免内部办公主机被黑客控制。

    （3）支持IPV6网络过渡：支持IPV4向IPV6网络过渡过程中，双栈共存时的DDoS防御。

                                                      全方位安全能力

    统一的网络管理

    华为敏捷广域解决方案提供统一的网络管理系统：

    华为网管系统U2000可以实现光传输网络和IP网络统一管理和协同运维。

    （1）实现流量协同，减少骨干网带宽的压力和投资。

    （2）实现协同保护，提升整体网络可靠性。

    （3）实现故障定位协同，提升运维的效率。

     华为网管系统eSight网管系统支持业界最多的第三方设备管理，可提供对20多家厂商，675款设备类型的支持，提供预定义多种类型的IT与IP设备。

    （1）提供对H3C设备类型支持超过150+，Cisco设备类型超过120+。

    （2）通过“自定义设备”功能，提供针对IP设备：路由器、交换机、WLAN、安全设备等，IT设备：打印机、服务器、工作站等进行新增设备类型或未预定义的第三方设备的管理。

     提供定制设备基本信息与定制设备的管理能力（告警、性能、面板）。

                                  华为eSight实现全网设备统一管理

     提供可视业务网络管理，包括智真网络可视运维、MPLS VPN可视运维、端到端网络质量探测和网络质量可视化。

    （1）提供企业总部与分支流量精细化管理，TopN应用流量，TopN主机信息一目了然，让网络流量变立体，帮助企业整网流量可视、异常可查、规划可依。

    （2）应用端到端可视化SLA评估，与设备NQA完美配合，对网络数据报文的时延、丢包、抖动等进行评估，及时发现网络问题，保障企业总部与分支办公体验。

                                                    可视化业务网络管理

三、应用及客户利益

（1）为客户提供业界最全最丰富的广域网络产品（IP+光+安全+网管），打造统一的端到端整网解决方案。

（2）多种形式的服务质量保障提供敏捷的多业务承载，支持多种形式的负载均衡，支持广域网加速，充分利用链路带宽资源，降低TCO。

（3）提供完善的认证方案，精细的业务识别，多维度的策略设置，打造安全无忧的解决方案。

（4）提供光传输网络和IP网络统一管理和协同运维，降低客户的管理成本。