H3C智能广域网解决方案.ppt

《H3C智能广域网解决方案.ppt》由会员分享，可在线阅读，更多相关《H3C智能广域网解决方案.ppt（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、杭州华三通信技术有限公司H3C H3C 智能广域网解决方案智能广域网解决方案目录目录n广域网发展趋势广域网发展趋势nH3CH3C智能广域网解决方案智能广域网解决方案n可持续发展的网络架构可持续发展的网络架构n一体化业务安全和智能一体化业务安全和智能 n面向业务的统一管理平台面向业务的统一管理平台 广域网业务应用发展广域网业务应用发展VPN 隧道VPN 隧道VPN 隧道广域网数据承载通道广域网数据承载通道广域网业务承载多样化广域网业务承载多样化Video(VoD/Surveillance)Data StreamVoiceData StreamSANData StreamXML DataHTTP/

2、HTTPS广域网架构模型发展广域网架构模型发展广域网核心广域网核心园区网园区网分支广域分支广域出口出口分支局域网分支局域网远程远程移动用户移动用户数据中心数据中心数据中心数据中心第三方第三方/合作伙伴合作伙伴Internetn简单广域互连已不能满足需要简单广域互连已不能满足需要n满足不同业务的多种架构模型满足不同业务的多种架构模型n双集中双集中n扁平化扁平化n双平面双平面n区域中心区域中心n面向业务的架构模型才是最适面向业务的架构模型才是最适合的合的广域网架构模型多样化广域网架构模型多样化广域网部署技术发展广域网部署技术发展20%0%40%60%80%100%Source:IDC WAN Su

3、rvey,Dec 2007目前已部署目前已部署 计划部署计划部署防火墙防火墙VPN(加密加密)防病毒防病毒广域带宽管理广域带宽管理接入控制接入控制IP语音语音广域网加速广域网加速96.0%2.5%1.0%89.9%89.8%6.0%6.6%2.0%2.0%入侵防御入侵防御/检测检测16.3%3.1%75.5%57.9%52.1%43.0%29.2%26.9%9.6%24.2%16.0%28.0%15.0%34.4%22.4%目前无计划部署目前无计划部署 Percent of sample(n=200)在广域网路由设备上业务部署情况n安全已经成为必须安全已经成为必须n精细化是未来趋势精细化是未来

4、趋势n广域网带宽管理广域网带宽管理n广域网准入控制广域网准入控制n广域网语音融合广域网语音融合n广域网应用加速广域网应用加速广域网技术融合多样化广域网技术融合多样化广域网业务承载多样化广域网业务承载多样化广域网架构模型多样化广域网架构模型多样化广域网技术融合多样化广域网技术融合多样化新一代广域网建设要求新一代广域网建设要求可持续发展的网络架构可持续发展的网络架构一体化业务安全和智能一体化业务安全和智能面向业务的统一管理面向业务的统一管理可持续发展的网络架构可持续发展的网络架构一体化业务安全和智能一体化业务安全和智能面向业务的统一管理面向业务的统一管理网络高可用性可持续发展网络高可用性可持续发展

5、BFDBFD、NQANQA、NSFNSF、FRRFRR面向业务的精细化面向业务的精细化QoSQoSHQoSHQoS、HCarHCar、TETE、VOQVOQ网络架构模型可持续发展网络架构模型可持续发展扁平化、区域中心、双平面扁平化、区域中心、双平面网络应用可持续发展网络应用可持续发展IPv4/v6IPv4/v6，单播，单播/组播，组播，MPLSMPLS面向业务的广域网虚拟化面向业务的广域网虚拟化MPLS L3VPN/L2VPNMPLS L3VPN/L2VPNEADEAD准入控制准入控制安全融合安全融合网络优化网络优化 组件化统一管理平台组件化统一管理平台分支智能管理分支智能管理 iARiAR智

6、能报表智能报表H3C 智能广域网解决方案智能广域网解决方案H3C智能广域网智能广域网解决方案解决方案nH3C统一广域服务解决方案n可持续演进的广域基础架构n 面向业务的网络应用可持续发展nH3C智能广域网解决方案n可持续发展的网络架构n面向业务的网络模型可持续发展业务应用与网络架构的持续发展业务应用与网络架构的持续发展管理模式管理模式统一集中管理按照用户机构层次分级管理模式分为骨干平台和接入平台两级管理模式网络架构网络架构网络架构可持续配合用户业务模式网络架构可持续配合用户业务模式业务模型业务模型业务特点业务特点n业务集中于中心节点n业务访问流量主要在业务中心节点和分支节点之间n业务点分散于各

7、层网络中n用户机构层次分明，各层网络间有互访需求n单业务中心节点架构n业务点分散于各层网络中n用户机构层次分明，各层网络间有互访需求n多业务中心节点架构业务点中心汇聚业务点分散、多中心总线架构业务点分散，业务中心集中扁平化组网模型树状多层组网模型承载平台组网模型H3C H3C 广域网解决方案广域网解决方案组网模型扁平化模型网模型扁平化模型总部园区部园区/数据中心数据中心分支分支/网点网点n业务模型：模型：n服务器和应用系统都集中部署在总部，即业务集中于中心节点。分支内主要是PC终端，业务流量以分支向总部的汇聚为主、分支间流量较少n一般用于大中型总部和分支的组网或者省级银行和下面网点之间的组网。

8、这种组网的网络层次少、结构简单n典型行典型行业：n金融省分、大中型企业、零售业扁平化组网模型扁平化组网模型SR88/SR66MSR运营商广域链路局域网局域网局域网广域网广域网组网模型网模型树状多状多层模型模型n业务模型：模型：n业务点分散于各层网络；业务系统分散，有横向、纵向业务访问流量。n用户网络层次较多，网络的层次划分通常与用户机构的层级划分或行政层次划分一致n单业务中心节点n典型行典型行业：n政府、政法、财税、电力等行业局域网局域网局域网局域网局域网局域网局域网局域网局域网二级网核心局域网局域网局域网局域网局域网局域网运营商广域链路运营商广域链路运营商广域链路运营商广域链路运营商广域链路

9、运营商广域链路局域网局域网局域网局域网局域网局域网三级网核心一级网核心局域网局域网局域网运营商广域链路运营商广域链路局域网局域网局域网局域网局域网局域网运营商广域链路运营商广域链路局域网局域网局域网局域网局域网局域网局域网运营商广域链路运营商广域链路局域网局域网城域链路城域链路城域链路城域链路城域链路城域链路城域链路城域链路城域链路城域链路城域链路城域链路树状多层组网模型树状多层组网模型SR88SR88/66MSRSR88SR88/66MSR广域网广域网组网模型承网模型承载平台模型平台模型区域中心区域中心广域承载骨干广域承载骨干骨干路由器1数据中心数据中心区域中心区域中心区域中心区域中心数据中

10、心数据中心区域中心区域中心骨干路由器3骨干路由器2骨干路由器4n业务模型：模型：n业务点分散于各层网络；业务系统分散，有横向、纵向业务访问流量。n用户网络层次较多，网络的层次划分通常与用户机构的层级划分或行政层次划分一致n多业务中心节点n典型行典型行业：n金融、政府、超大企业等行业的全国一级骨干网区域中心区域中心广域骨干平面广域骨干平面B BA-1A-2B-1B-2A-1A-2B-1B-2广域骨干平面广域骨干平面A A区域中心区域中心区域中心区域中心区域中心区域中心区域中心区域中心区域中心区域中心承载平台组网模型承载平台组网模型SR88SR88/66SR88SR88/广域广域组网模型网网模型网

11、络拓扑比拓扑比较扁平化组网模型扁平化组网模型树状多层组网模型树状多层组网模型承载平台组网模型承载平台组网模型拓扑结构拓扑结构适应条件适应条件n业务模型：业务集中在核心节点，各节点主要与核心节点之间有互访需求n管理模式：管理权力上收，集中控制n业务模型：n业务分散。各级网络之间有较多的互访需求，网状流量n业务中心节点不多于两个n管理模式：分级网管；网络骨干平台和业务接入分别管理，也可以按照用户机构的层级划分或行政层次进行管理界面划分n业务模型：n业务分散。各级网络之间有较多的互访需求，网状流量n多业务中心节点架构n管理模式：分为骨干平台和接入平台两级管理模式应用场景应用场景n大中型企业各地分支机

12、构与总部互连（广域链路VPN）n金融行业省级分行到网点的扁平化部署（广域链路）n政府电子政务网以及电子政务外网n电力分级调度网n金融、政府、超大企业等行业的全国一级骨干网特点特点n只需应用静态路由或者标准的动态路由即可组网，部署简单n集中管理，大幅度降低基层网络运维压力n汇聚设备要求具备多种接入方式：广域、以太、VPN，接入密度要求也较高n分层网络，结构清晰n网络架构符合用户纵向职能管理架构n分层网络架构丰富了管理层次，减轻核心管理团队的管理复杂度；增加了分支（下级）机构的网络维护灵活度n同级别横向业务在各级核心节点终结，减轻对广域骨干链路的压力（合理利用网络链路资源）n构建了简化的、统一的核

13、心网络承载平台，适应与多中心部署局限局限n大量的路由邻居，对中心点设备造成较大压力n大量的长途广域链路投资较高，造成方案的区域覆盖能力有限n单一中心节点架构设计不能适应多中心扩展部署要求n要求下级管理人员具备一定的网络维护能力n独立的广域骨干平台架构，对广域链路的投资增加备注备注这种模型类似于树状多层网络模型，只是这种模型类似于树状多层网络模型，只是满足了多业务中心扩展的需求满足了多业务中心扩展的需求nH3CH3C智能广域网解决方案智能广域网解决方案n可持续演进的广域基础架构可持续演进的广域基础架构n 面向业务的网络虚拟化面向业务的网络虚拟化局域网局域网A核心对接核心对接设备设备局域网局域网B

14、局域网局域网A局域网局域网B城域核心城域核心设备设备广域骨干平台广域骨干平台城域网城域网共享数据中心共享数据中心n同一张物理网络上承载多部门的各种业务，如何保证其安全性同一张物理网络上承载多部门的各种业务，如何保证其安全性n保留网络设计中原有的层次结构、数据通道和所能提供的服务保留网络设计中原有的层次结构、数据通道和所能提供的服务n有效利用网络资源（空间、能源、设备容量）有效利用网络资源（空间、能源、设备容量）n简化运维管理、节省建设和维护开销简化运维管理、节省建设和维护开销广域网多业务通道承载需求广域网多业务通道承载需求SR88SR88/66SR88SR88/实际的物理基础设施实际的物理基础

15、设施虚拟广域网络虚拟广域网络1 1虚拟广域网络虚拟广域网络3 3虚拟广域网络虚拟广域网络2 2让让物理网络物理网络能够支持多个能够支持多个逻辑网络逻辑网络，最终用户体验和独享物理网络一样，最终用户体验和独享物理网络一样广域网虚拟化广域网虚拟化PEPEL2/L3 MPLSBackboneL2/L3 MPLS VPNL2/L3 MPLS VPN是目前在广域广泛应用的虚拟是目前在广域广泛应用的虚拟化技术：化技术：l提供安全的端到端业务隔离，接入方式灵活l适合大规模网络应用，可扩展性好l技术成熟，有国际标准支持实现网络虚拟化的技术实现网络虚拟化的技术SR88/66SR88/数据数据中心中心服务器群核心

16、交换机数据中心数据中心接入区WANWANVPN AVPN BVPN CVPN DVPN AVPN BVPN BVPN CVPN D虚拟广域网虚拟广域网二级局域网二级局域网一级局域网一级局域网驻外机构驻外机构n广域网虚拟通道可和园区网、数据中心直接对接广域网虚拟通道可和园区网、数据中心直接对接n园区网虚拟通道延伸至广域范围园区网虚拟通道延伸至广域范围虚拟广域网和园区网的对接虚拟广域网和园区网的对接MPLS MPLS 骨干网骨干网MPLS VPN层次化设计分层层次化设计分层PE（HoPE）SPESPEUPEUPECEBCEBRoute table ARoute table ARoute table

17、 BRoute table BCEACEA缺省路由缺省路由A A缺省路由缺省路由B BRoute table ARoute table ARoute table BRoute table B缺省路由缺省路由A A缺省路由缺省路由B BSPESPEUPEUPESPESPE维护全网私网、公网路由，维护全网私网、公网路由，包括包括UPEUPE下的所有私网路由下的所有私网路由UPEUPE只维护下联的只维护下联的CECE设备路由设备路由表和上层的表和上层的SPESPE的缺省路由的缺省路由地市地市区县区县区县区县UPEUPE的路由大大减少，不需要维护其他区县的私网路由的路由大大减少，不需要维护其他区县的私

18、网路由整网整网MPLS LSPMPLS LSP域大大减小，不需要扩散到区县级，只需覆盖省域大大减小，不需要扩散到区县级，只需覆盖省-市两级市两级CEBCEBCEACEA外部接入方案外部接入方案VPEMPLS MPLS 骨干网骨干网部门部门AVPN A部门部门BVPN BPEPEInternet移动办公用户移动办公用户部门部门B BLSP隧道隧道映射隧道映射 LSP隧道区县级单位区县级单位 部门部门 A AVPECEGREL2TP+IPsec VPNL2TP+IPSec VPNnVPE=VPN+PE，IP VPN与MPLS VPN的无缝对接n单位或者移动办公用户通过Internet/专线接入VP

19、E网关后，根据认证用户的部门归属关系，把用户分别接入到对应的MPLS VPN中nVPE用于跨Internet接入场景nVPEVPE适合点对点的用户适合点对点的用户/小型小型部门接入部门接入VPN BVPN AH3C ROUTER/FW外部接入方案外部接入方案SSL VPN接入接入MPLS MPLS 骨干网骨干网部门部门AVPN A部门部门BVPN BPEPE移动办公用户移动办公用户部门部门B BLSP隧道隧道映射 LSP隧道VPEL2TP+IPsec VPNSSL VPNnSSL VPN无需客户端，Web接入，方便易用nSSL VPN支持加密，安全可靠nH3C VPE H3C VPE 设备支持

20、设备支持SSL VPNSSL VPN方式方式接入接入nSSL VPNSSL VPN适合移动办公用户接入适合移动办公用户接入VPN BVPN A移动办公用户移动办公用户部门部门A AI远程远程VPN接入解决方案接入解决方案3G 接入接入省政务外网骨干网省政务外网骨干网国土国土VPNVPNPEPEPEPELSPLSP隧道隧道VPEVPE设备设备环保环保VPNVPNLSPLSP隧道隧道隧道映射隧道映射 3G无线区县（乡镇区县（乡镇/村）村）无线做备份，或有线不容无线做备份，或有线不容易覆盖的地区易覆盖的地区IPSEC 隧道隧道n3G接入作为有线覆盖的补充n需要部署支持3G接入的路由器n支持电信、移动

21、、联通多种3G制式n实现灵活的组网方式流统计信息网管网管中心中心部门部门B部门部门AMPLS骨干网部门部门ACE部门部门BCECEPEPEPECEPEn基于MPLS VPN的流量报表，实时了解各部门业务流量状况n丰富的报表输出，直观的各部门流量状况展示MPLS VPN流量可视化管理流量可视化管理nH3CH3C统一广域服务解决方案统一广域服务解决方案n可持续演进的广域基础架构可持续演进的广域基础架构n 面向业务的网络高可靠性面向业务的网络高可靠性H3C H3C 广域网高可靠体系架构广域网高可靠体系架构多层多层次网次网络高络高可靠可靠技术技术高可靠高可靠网络设备网络设备高可靠广高可靠广域网网络域网

22、网络架构设计架构设计控制平面与转发平面分离；管理平面和控制平面分离；热补丁技术；控制平面与转发平面分离；管理平面和控制平面分离；热补丁技术；IRFIRF主控、电源等关键部件冗余备份；板卡热插拔；主控、电源等关键部件冗余备份；板卡热插拔；业务层业务层基于会话的状态热备份（基于会话的状态热备份（L2TP VPNL2TP VPN、AAAAAA、PortalPortal）骨干平台骨干平台双平面设双平面设计、双结计、双结点冗余负点冗余负载分担接载分担接入、入、双运双运营商营商双链双链路设计路设计网络层网络层FRR;ECMP;FRR;ECMP;路由快速收敛技术路由快速收敛技术;BFD;BFD；NQANQA

23、；不间断转发技术；不间断转发技术；GRGR；链路层链路层以太网端口捆绑以太网端口捆绑;多链路捆绑多链路捆绑;IP Trunk;IP Trunk；n网络故障收敛时间可以分检测、协议收敛和业务倒换多个阶段进行细化网络故障收敛时间可以分检测、协议收敛和业务倒换多个阶段进行细化n不同可靠性技术可以为网络带来不同级别的可靠性等级，不同可靠性技术可以为网络带来不同级别的可靠性等级，BFD+FRRBFD+FRR可以实现可以实现50ms50ms的电信级可靠性的电信级可靠性n可靠性等级的递增需要增加网络资源成本，需要根据网络实际状况和客户需求进行权衡可靠性等级的递增需要增加网络资源成本，需要根据网络实际状况和客

24、户需求进行权衡业务恢复业务恢复故障发生故障发生timetime链路故障检测链路故障检测协议收敛（路由、协议收敛（路由、LDPLDP等）等）和和业务倒换业务倒换t0网络业务流量中断网络业务流量中断网络资源成本递增网络资源成本递增t1t2链路故障感知，联动路由收敛链路故障感知，联动路由收敛协议重计算协议重计算和和转发路径更新转发路径更新消耗时间消耗时间消耗时间递减消耗时间递减消耗时间递减消耗时间递减十秒级秒级30ms级秒级或亚秒级路由协议默认心跳超时BFDOAMNQA路由协议相关参数优化协议重计算收敛转发表项重新下刷10M移动移动移动移动运营商运营商运营商运营商2 2电信电信电信电信10M10M数

25、据业务视频业务VRRP主路由器1020OSPF备路由器1 14 41.1.基础设备管理基础设备管理 -媒体和网络设备管理 -媒体和网络业务管理2.QoS2.QoS部署工具部署工具 -ACL管理，业务精细分类和标识 -QoS管理，QoS整体设计和指导3.NTA3.NTA流量监管流量监管 -结合网络设备NetStream/sFlow技术 -层次化业务流量统计分析和告警2 23 34.SLA4.SLA服务监测服务监测 -结合网络设备NQA网络质量分析技术 -端到端SLA服务水平监测和告警一体化一体化一体化一体化QoSQoSQoSQoS管理套件管理套件管理套件管理套件广域网流量广域网流量调度管理度管理

26、业务质量没有达到业务质量没有达到预期目的？预期目的？调整调整QoSQoS部署策略部署策略关键关键用户用户关键关键服务服务iMC QoSiMC QoS策略执行策略执行iMC NTAiMC NTA流量展示流量展示iMC SLAiMC SLA策略检测策略检测QoS Manager对QoS策略部署后，通过NTA和SLA模块，可以了解QoS策略实施后的业务流量情况和服务质量情况，从而为客户提供全面的QoS管理服务。广域网广域网QoS管理部署管理部署QoS、NTA和和SLAQoSQoS部署审计部署审计结合结合ACL管理，进行向导式部署，包括业务识别、流管理，进行向导式部署，包括业务识别、流量监管、拥塞避免

27、、队列调度和流量整形。量监管、拥塞避免、队列调度和流量整形。QoSQoS方案优化方案优化根据根据NTA流量分析和流量分析和SLA服务质量监测情况，可进行服务质量监测情况，可进行QoS策略调整和改进。策略调整和改进。广域网广域网QoS部署组件部署组件QoS MNTANTA流量分析报表：流量分析报表：流量趋势报表：查看接口指定时间段内的出、入流量、最大、最小和平均速率、流量时间变化趋势及流量明细信息。业务带宽趋势报表：查看指定时间段内接口流入、流出方向上，各网络业务占用带宽的比例的变化趋势及应用统计概况。流量最高节点报表：查看接口的流入、流出方向上，总流量Top N的网络节点及流量统计信息。流量最

28、高会话报表：掌握哪些特定的主机对耗尽了大量带宽，深入分析通信的主机之间使用了哪些应用。七层应用流量分析：结合网络DIG探针流量统计技术，支持用户根据应用特征码或导入应用定义文件自行定义关心的七层应用，包括：BT、DC、eDonkey、Gnutella、Kazza、MSN、QQ、AIM等。未定义应用深度挖掘报表：对于系统未定义的业务流量，按照四层协议不同分类（TCP、UDP），进一步以端口、源IP、目的IP进行深度挖掘。NTANTA流量监控：流量监控：行政单位流量监控：行政单位往往占用多个接口或IP段，NTA支持将多个接口或IP段定义为流量分析任务，监控行政单位整体应用流量。特定应用流量监控：特

29、定应用报文往往使用固定端口，或者报文有共性特征，系统针对27层应用分别实现任务式的跟踪监控。广域网广域网QoS部署组件部署组件NTA流量监管流量监管广域核心网广域网边缘路由器A1A2B1B2路径:路径:NQANQA技术介绍：技术介绍：H3C专利技术网络质量分析技术NQA，能够准确判断协议的可用性和网络的性能，支持TCP、UDP、RTP（G.711/729编解码）、ICMP、HTTP、FTP、DHCP、DLSW和SNMP等协议的质量测试。H3C广域网路由器的NQA技术可以实时监测Triple Play业务的转发情况，并根据预先定义的策略做出响应，以确保用户的业务流时刻都处在最佳的服务状态。SLA

30、SLA服务水平监测：服务水平监测：QoS策略部署后，使用SLA工具，通过对H3C网络设备控制（启用设备NQA功能），从而获取抖动、时延、丢包率等指标数据来量化QoS，并进行调整。广域网广域网QoS部署组件部署组件SLA服务监测服务监测nH3CH3C统一广域服务解决方案统一广域服务解决方案n一体化业务安全和智能一体化业务安全和智能 n广域广域EADEAD准入控制准入控制38EADEAD在广域网在广域网应用面用面临的的难题 传统传统EADEAD解决方案主要用于园区局域网的网络环境中，在广域解决方案主要用于园区局域网的网络环境中，在广域网络环境下也遭遇新的难题：网络环境下也遭遇新的难题：u如何在MP

31、LS VPN、NAT、802.1x、Portal等各种网络环境下进行统一的接入控制？u针对各种纷繁复杂的网络环境，如何在广域网下进行统一的终端接入控制管理？如何实现集中式的统一管理？u分支机构终端通过广域网线路进行统一的补丁分发和修复，大数量的并发操作，给广域网带宽带来重大负荷，如何解决？39广域安全准入控制解决方案广域安全准入控制解决方案广域安全准入控制解决方案广域安全准入控制解决方案是在EAD解决方案的基础之上，从组网应用、网络管理、组网应用、网络管理、带宽优化带宽优化三个层面入手，提供的针对于广域网特点的终端准入控制解决方案网络网络集中式Portal组网应用广域MPLS VPN组网应用管

32、理管理分级管理分级用户漫游集中式分权管理集中式用户漫游优化优化中大型分支补丁升级带宽优化小型分支补丁升级带宽优化40广域准入控制集中式广域准入控制集中式PortalPortal部署方案部署方案广域网InternetPortal认证点Portal认证点Portal认证点H3CH3C路由器路由器H3CH3C路由器路由器H3CH3C路由器路由器分支分支分支分支总部总部n广域分支出口或总部入口作为认证网关，用户访问核心网络资源/跨广域访问的时候需要进行安全认证和检查，保护核心资源、控制访问权限。用户本地网访问可不作安全认证。n认证服务器、补丁服务器等可集中部署、统一管理，便于执行全网一致的安全策略、降

33、低分支维护管理的复杂度。同时还可支持服务器分布部署、分权管理、分级管理等应用方案。n可对认证用户进行灵活的策略控制，下发安全控制策略、QoS保证策略等n广域端点准入方案无需调整分支内部网络，即能实现安全加固的平滑升级，支持分支内多厂商设备混合组网。41广域广域MPLS VPNMPLS VPN组网的网的EADEAD准入方案准入方案MPLS CoreInternetPortal认证点Portal认证点分支分支分支分支总部总部PEPEPEPEPEPEP PP PP Pn支持对广域MPLS VPN组网的部署应用，适应未来广域骨干网/核心网向MPLS VPN的升级、改造。n网络边缘CE/PE设备作为接入

34、的认证点，对各VPN用户执行不同的安全认证策略。n仍可共用集中部署的认证服务器/病毒服务器/补丁服务器等进行统一管理，也可根据VPN用户的需要分别部署各自的认证/补丁服务器。42EADEAD分分级管理管理场景及策略景及策略总部总部总部总部EADEAD管理中心管理中心管理中心管理中心二级二级EAD中心中心二级二级EAD中心中心三级三级EAD中心中心适用场景：适用场景：适用于银行、地税等行业，采用全国总部省中心地市的从上至下的管理结构，常采用多套多套EADEAD分分级部署级部署。管理要求总部统一定制策略、各分支机构用户可以漫游认证等典型案例：典型案例：国税山东农信华夏银行1、上级机构统一制定基准安

35、全策略，并下发给下级机构2、下级机构有在基准安全策略上增加新的检查项的权利并遵照实施既定安全策略3、上级机构需要各下级机构统一上报违规信息4、用户可在各分支机构进行认证漫游nH3CH3C统一广域服务解决方案统一广域服务解决方案n一体化业务安全和智能一体化业务安全和智能 n融合安全插卡融合安全插卡广域网管理中心iMCSecCenter流控流控IPSFWFWIPS流控流控FWIPS流控流控FWIPS流控流控n每次增加安全功能，都需要调整设备、线路配置，业务都要中断，无法做到无缝升级n“糖葫芦串”式的部署带来可靠性隐患，任何设备的故障都会导致线路上所有业务的中断n无法灵活控制业务流量的安全防护策略，

36、所有流量串行通过安全设备n设备台数多，占用大量机房空间，并且功耗、散热大虚拟防火墙为不同虚拟防火墙为不同VPNVPN提供独立的安全策略提供独立的安全策略 对攻击威胁层层设防，截源堵流对攻击威胁层层设防，截源堵流 广域网数据流广域网数据流X X光机，端到端的光机，端到端的QosQos负载均衡负载均衡 广域网链路流量动态分配广域网链路流量动态分配传统广域网安全技广域网安全技术部署的部署的问题UTMUTM一体化的一体化的 网络安全网络安全 业务平台，功能平滑升级业务平台，功能平滑升级n安全功能无缝升级，无需大量调整网络配置安全功能无缝升级，无需大量调整网络配置n支持流量逃生功能，安全板卡故障不会中断

37、业务支持流量逃生功能，安全板卡故障不会中断业务n按需控制流量路径，安全策略部署灵活按需控制流量路径，安全策略部署灵活n节省空间占用、降低功耗节省空间占用、降低功耗广域网管理中心iMCSecCenter路由器路由器FW+IPS+ACGFW+IPS+ACG板卡板卡UTMn新一代防火墙提供新一代防火墙提供L2L7L2L7层一体化安全功能层一体化安全功能n多核的处理器平台保证多功能开启后的性能多核的处理器平台保证多功能开启后的性能n专业的防病毒功能、防止攻击和流控功能专业的防病毒功能、防止攻击和流控功能n节省空间占用、降低功耗节省空间占用、降低功耗骨干部署插卡，分支部署骨干部署插卡，分支部署骨干部署插

38、卡，分支部署骨干部署插卡，分支部署UTMUTM！交换机交换机LBLB板卡板卡H3C H3C 广域网融合安全解决方案广域网融合安全解决方案FWSSL VPNIPSACGH3C SRH3C SR系列路由器能够支持的四大安全服务系列路由器能够支持的四大安全服务路由器安全服务应用模式路由器安全服务应用模式提供边界安全防护和移动用户提供边界安全防护和移动用户/远程远程分支用户分支用户SSL VPNSSL VPN接入能力接入能力提供基础安全防护能力和深层业务识提供基础安全防护能力和深层业务识别、控制能力别、控制能力按需分配按需分配H3CH3C广域骨干广域骨干“网网络安全安全”融合能力融合能力FWIPS服务

39、器业务流服务器业务流H3C SR RouterSR Router+FW+IPSSR Router+FW+IPSn路由器路由器+SecBlade+SecBlade插卡，升级成综合多业务处理平台插卡，升级成综合多业务处理平台n对无须过滤的流直接对无须过滤的流直接PassPassn把对业务的处理与基础的路由把对业务的处理与基础的路由/交换结合起来交换结合起来视频数据流视频数据流H3C H3C 广域网融合安全的广域网融合安全的业务处理流程理流程分支分支1H3C SR6600+防火墙插卡防火墙插卡分支分支2分支分支3多业务传输平台SDH/MSTP数据语音视频UTM业务业务1业务业务2业务业务3安全业务板

40、卡安全业务板卡防火墙防火墙/UTMFWH3CH3C广域网融合安全广域网融合安全虚拟防火墙虚拟防火墙规范化规范化关键业务应用关键业务应用EmailP2P网络游戏网络游戏UTMUTMMedLowPOP3IMAPSMTPP2PSQL攻击攻击总总带带宽宽High网络游戏网络游戏HTTPDBVoIPBTeMule/eD2KCS关键业务关键业务应用应用图形界面，流量可视、可控、可度量图形界面，流量可视、可控、可度量协议识别协议识别流量分析流量分析流量限速流量限速带宽保证带宽保证清除恶意流量清除恶意流量保证正常业务保证正常业务ACGACGH3CH3C广域网融合安全广域网融合安全应用流量控制应用流量控制广域网

41、一体化安全管理广域网一体化安全管理广域网一体化广域网一体化广域网一体化广域网一体化安全管理安全管理安全管理安全管理统一安全统一安全统一安全统一安全事件分析事件分析事件分析事件分析统一安全统一安全统一安全统一安全策略部署策略部署策略部署策略部署统一安全统一安全统一安全统一安全设备管理设备管理设备管理设备管理统一安全统一安全统一安全统一安全响应控制响应控制响应控制响应控制优点优点1 1 1 1、部署方便、即插即用、部署方便、即插即用、部署方便、即插即用、部署方便、即插即用2 2 2 2、L2L7L2L7L2L7L2L7立体安全防护立体安全防护立体安全防护立体安全防护3 3 3 3、流量可视、可控、

42、可度量流量可视、可控、可度量4 4 4 4、简化管理、降低能耗简化管理、降低能耗简化管理、降低能耗简化管理、降低能耗n广域网融合安全是广域网融合安全是IT IT基础架构发展的一个大趋势，把对业务基础架构发展的一个大趋势，把对业务的处理紧密融合到网络数据交换中的处理紧密融合到网络数据交换中n广域网融合安全解决方案，提高整网综合安全防护能力、真广域网融合安全解决方案，提高整网综合安全防护能力、真正做到安全无处不在正做到安全无处不在H3C广域网融合安全方案整体优势广域网融合安全方案整体优势nH3CH3C统一广域服务解决方案统一广域服务解决方案n一体化业务安全和智能一体化业务安全和智能 nH3C H3

43、C 智能化分支智能化分支53多业务支持多业务支持统一的管理统一的管理效率提升效率提升更低的更低的TCOTCO绿色绿色安全保证安全保证多业务融合的一多业务融合的一体化解决方案体化解决方案VPN,3G，WiFi,业务优化设备集成，设备成本,部署成本，维护成本大幅降低数据，语音统一支持多设备集成，大幅降低功耗TR-069/SNMP，只需管理一台设备防火墙，防毒墙，用户准入控制,保障整网安全分支多业务融合解决方案分支多业务融合解决方案54企业总部企业总部分支机构分支机构 WAN分支机构分支机构 分支路由器汇聚路由器分支路由器n分支网关集成路由器，交换机，AP，3G与一台设备上，为用户提供路由交换一体化

44、，有线无线一体化的绿色解决方案3G网络网络n集成交换模块集成交换模块，满足分支终端的连接需要，不再需要额外的交换机n集成集成WiFiWiFi，满足分支用户移动办公需求，提高工作效率n集成集成3G3G，为分支提供更可靠的网络备份方案典型应用典型应用一体化的分支一体化的分支55企业总部企业总部分支机构分支机构 WAN分支机构分支机构 分支路由器汇聚路由器分支路由器ACSn分支网点数目太多，变更分支的配置，升级分支版本工作量太大，怎么处理？n部分分支的IP地址动态获取，经常在变化，在中心很难纳入SNMP等网管的管理，怎么处理?自动申请配置下载配置下发典型应用典型应用 智能管理的分支智能管理的分支nT

45、R-069TR-069支持对分支版本与配置的批量升级，极大降低维护工作量支持对分支版本与配置的批量升级，极大降低维护工作量n对于对于IPIP地址变化的分支，地址变化的分支，TR-069TR-069支持分支路由器自动下载版本与配支持分支路由器自动下载版本与配置，实现了中心对所有分支的集中管理。置，实现了中心对所有分支的集中管理。nTR-069TR-069支持设备的零配置部署，极大简化了初始安装配置工作量支持设备的零配置部署，极大简化了初始安装配置工作量nTR-069TR-069是基于开放标准的技术，也就是说支持是基于开放标准的技术，也就是说支持TR-069TR-069的设备与第三的设备与第三方支

46、持该标准的管理平台可以互通，具有良好的互通性方支持该标准的管理平台可以互通，具有良好的互通性nH3CH3C统一广域服务解决方案统一广域服务解决方案n面向业务的统一管理平台面向业务的统一管理平台nH3C H3C 统一广域管理统一广域管理57广域网管理的特点广域网管理的特点iMCiMC统一平台，以管理服务为导向的层次化设计，轻松解决广域网管理面临的各种挑战统一平台，以管理服务为导向的层次化设计，轻松解决广域网管理面临的各种挑战广域网管理特点广域网管理特点iMCiMC广域网管理广域网管理优势优势网络规模大业务种类多核心、骨干、边缘和分支iMC分布式管理方案可满足各种规模的网络管理，双网管方案支持在线

47、热备。iMC双网管协议SNMP和TR069，以及分支WiNet智能内网管理，可实现大规模分支网络管理。支持设备、端口、MAC、VLAN、路由、VPN和TE等多种资源管理。iMC基于SOA架构的层次化管理方案，支持多种广域网业务，并可实现关键管理数据的共享和关联。VPN、路由、NAT和VLAN等网络、安全、语音和视频等管理任务重问题发现快设备、链路和拓扑多种拓扑技术：物理、二层、三层、VPN、邻居、分层、全网和自定义等拓扑支持。屏显、日志、邮件和短信等多种即时告警。日志、报表和告警监管指标多报表输出多网络可靠性、连通性iMC的iAR智能分析报表组件，可以按客户要求定制各种报表。业务性能、安全和质

48、量集中化数据分布式管理数据集中：统一数据、适时同步iMC集中化管理数据和分布式管理架构，以及管理帐号分级、分权技术完全满足广域网管理的特殊需要。管理权限：分级、分域、分权限58智能分析报表智能分析报表丰富的可定制报表输出功能，对各个组件报表的统一管理，包括预定义报表管理、自定义丰富的可定制报表输出功能，对各个组件报表的统一管理，包括预定义报表管理、自定义报表管理、周期报表管理等，满足政府信息中心对各种网络、业务数据的统计汇总和分析报表管理、周期报表管理等，满足政府信息中心对各种网络、业务数据的统计汇总和分析要求要求59设备管理分区分域设备管理分区分域管理者分级分权管理者分级分权自定义智自定义智能报表能报表统一的管理平台统一的管理平台运营级可视化运营级可视化网元管理网元管理高级特性高级特性简易部署简易部署网络流量网络流量透明化透明化iMC智能管理总结智能管理总结杭州华三通信技术有限公司