浅谈华为AR600、AR6100、AR6200和AR6300系列路由器常用几个应用场景

华为NetEngine AR6140-16G4XG路由器(4*GE WAN, 4*SFP+, 12*GE LAN, 1*USB2.0, 4*SIC)

浅谈华为AR600、AR6100、AR6200和AR6300系列路由器常用几个应用场景

SD-WAN解决方案分支互联接入

如图1所示，在SD-WAN解决方案中，AR600&6100&6200&6300系列作为边缘网关设备，支持MPLS专线、Internet、LTE等多种物理链路。AR600&6100&6200&6300系列集成丰富的SD-WAN特性，支持混合链路接入，业务可视可控，降低广域互联成本和提升管理运维效率。

图3-1 SD-WAN解决方案分支互联接入场景

广域互联的应用

根据运营商提供的网络环境，用户可以通过GE、同异步串口、Async、CE1/CT1 PRI、E1-F、T1-F、3G/LTE cellular、ISDN BRI、POS、CPOS、ADSL、VDSL、G.SHDSL、E1-IMA、CE3、E&M或者xPON等接口接入网络。路由器可以提供双上行链路，实现主备接口备份，保证上网业务的可靠性。

WAN接口的支持情况与设备的型号以及安装的单板有关，请以设备的实际情况为准。

如图1所示，企业A采用ADSL方式接入网络，企业B采用GE和E1/CE1双链路接入网络(E1/CE1作为GE的备份链路)，企业C采用G.SHDSL方式接入网络，企业D采用3G方式接入网络，以达到广域互联的目的。

图3-2 广域互联的应用

VPN接入的应用

总公司和分支机构利用Router通过Internet互联构建私有专网，建立VPN隧道来保证数据安全。

如图1所示，公司总部网络通过Router与外部网（Internet）相连，公司分支机构的局域网通过Router与外部网相连。总部与分支机构、总部与出差人员之间分别建立L2TP/GRE/MPLS/IPSec VPN隧道和L2TP/IPSec VPN隧道来保证数据的安全传输。公司分支机构和总部建立VPN隧道后，分支机构之间可以通过总部进行通信；也可以通过部署DSVPN，实现分支机构之间动态建立隧道，提升了转发性能和效率，减少了总部的资源消耗。

图3-3 VPN接入的应用

企业安全的应用

Router可以部署在企业内部网与外部网的连接处，保护企业内部网（包括企业内部各局域网）的信息安全。

如图1所示，企业内部网通过Router可以限制外部网用户访问企业内部网，比如禁止外部网用户访问企业的对内服务器，允许访问企业的对外服务器。企业内部的关键部门财务部、市场部各自组成一个小的局域网。如果企业内部网用户需要访问外部网，可以在进行NAT（Network Address Translation）转换之后向外部网发起访问。

Router可以通过多种方式来保护企业内部网的信息安全。比如：

Router开启包过滤防火墙或状态检测防火墙，将企业内部网与外部网进行隔离，保护内部网免受外部非法用户的侵入。
Router对内网用户提供NAC（Network Access Control）机制，针对不同企业员工提供不同的接入权限，保证企业的接入安全。
开启IPS，做到主动防护，给企业网络提供安全环境，并精确管理用户访问的网络资源。

图3-4 企业安全的应用

语音的应用

企业基于IP网络自建语音通信系统，可以使企业内部的语音通信不产生通信费用，节省企业成本。

AR可以在组网中作为电话交换机（PBX）或语音接入网关（AG），满足不同业务需求。

作为PBX

PBX（Private Branch eXchange）是专用电话设备中的一种交换实体，可接入公共电话交换网PSTN（public switched telephone network）。传统PBX是企业内部自用的语音程控交换机，完成企业内部之间以及与公共电信网络的电话交换，实现了对外线来电与内线呼出的统一管理，并将电话、传真、调制解调器等功能合并。随着通信技术的发展，传统PBX逐渐暴露出对计算机电信集成和VoIP技术的支持不足、缺乏开放性和标准化、通信成本高等问题。基于Internet的IP PBX应运而生，弥补了以上不足，可以完全将语音通信集成到公司的数据网络中，从而建立能够连接分布在全球各地办公地点和员工的统一语音和数据网络。

AR支持作为IP PBX和传统PBX使用，可以作为融合的语音平台，向用户提供专业的语音服务。

图3-5 AR作为PBX

在该组网中，AR是核心交换网关，融合了号码管理、业务控制、媒体转换等功能。依据标准协议提供开放的接口，可以与传统PBX对接，也可以接与接入网关对接，实现灵活组网。

设备支持的中继类型如下：

SIP（包括SIP IP、SIP PRA、SIP AT0）
PRA
QSIG
R2
AT0
BRA
H.323

作为AG接入网关

AG又称为接入网关（Access Gateway），用于公共交换电话网PSTN与IP多媒体子系统IMS网络之间的对接，可以实现模拟信号和数字信号的相互转换。

传统电话网络采用线路交换技术，使用独占线路，存在资源利用率不高、跨地域通话费用高等问题。随着VoIP语音技术的发展，IP承载网络很好地解决了以上问题。但由于传统电话网络已经发展多年，业界仍有大量的存量设备，短时间内将原有的传统电话网络替换成IP承载网络需要承担巨大的成本。通过基于IP网络的AG设备，只花费较低的成本就可以将传统电话网络与数据网络融合，实现网络改造的平滑演进。

AR支持作为AG使用，可以通过IP承载网络，以SIP协议接入IMS或NGN网络，或者以H.248协议与媒体网关控制器MGC对接。在这两种情况下AG分别称之为SIPAG和H.248AG。

图3-6 AR作为AG接入网关

FTTx的应用

AR作为ONU设备，与OLT配合实现光纤到企业。如图1所示，AR通过PON上行，实现光纤到家庭、小区和光纤到企业。

此外，通过PON上行实现FTTx（fiber to the x）业务，不仅解决了普通双绞线接入技术带来的带宽不足问题，而且为未来高速率的业务发展提供保障。

图3-7 FTTx的应用

上网行为管理的应用

随着网络应用和网络行为的多样化，企业网络管理员需要在复杂的网络环境中规范用户的上网行为。路由器支持上网行为管理，可以实现多种用户接入认证机制和应用控制，有效管理用户的上网行为，避免非法用户接入，防止员工进行与工作无关的网络行为，提高带宽资源利用率。

如图1所示，某企业通过RouterA作为网关设备连接到外网，机要室通过RouterB连接到RouterA，办公区和管理区通过RouterC连接到RouterA，访客区通过AP连接到RouterA。为保证企业内部网络的安全性，需控制用户对网络的访问，只有通过认证的用户，才允许访问管理员授权的网络资源。为规范用户的上网行为保证工作效率，在办公区需要禁止即时通信软件的使用，同时限制BT、eDonkey_eMule等下载软件的使用。另外，针对不同的业务流量，能够合理的分配带宽，保证核心业务。在网络拥塞时，管理区需要获得较高的带宽。

图3-8 上网行为管理的应用

用户接入与认证

为了保护企业整网的安全性，路由器从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力。

针对不同应用场景，路由器支持提供不同的认证方式，主要包括以下几种：

802.1x认证：通过基于端口和MAC地址的802.1x认证对接入用户进行认证。适用于新建网络、用户集中及对信息要求较高的场景。
MAC认证：通过MAC地址对用户进行接入控制，即基于用户进行MAC认证。适用于打印机、传真机等对安全性要求不高的哑终端接入认证场景。
Portal认证：通过Portal认证网站对接入用户进行认证。适用于用户分散、用户流动性大的场景。

针对不同的用户，路由器还支持以下认证功能：

支持配置静态用户认证功能。针对静态用户，可以使用其IP地址进行认证。
支持配置用户组，可为用户组配置优先级以及VLAN，使得不同用户组内的用户具有不同的优先级以及网络访问权限。

关于以上功能的详细介绍请参考NAC配置。

基于应用的控制管理

为了防止员工在工作时间访问与工作无关的网站，提高工作效率，企业管理员需要对上网用户做基于应用的控制管理。路由器支持智能应用控制SAC(Smart Application Control)，可以对各类应用进行智能分类，并针对不同类型的应用进行精细化策略控制。例如，对于QQ等与工作无关的网络行为限制访问，从而规范用户的上网行为，提高工作效率。关于SAC特性的详细介绍请参考SAC配置。