【方案設計】高職教行業(yè)極簡以太全光3.0方案設計V1.1

DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameCloudCampus大中型園區(qū)網(wǎng)絡設計指南（虛擬化場景）STYLEREF"1"\n2STYLEREF"1"安裝過程銳捷高校極簡以太全光方案V3.0文檔版本DOCPROPERTYDocumentVersion04(DOCPROPERTYReleaseDate2021-09-15)DOCPROPERTYProprietaryDeclaration版權所有?華為技術有限公司5高教行業(yè)部PAGE130極簡全光網(wǎng)釋放智慧校園創(chuàng)新活力（銳捷高校極簡以太全光網(wǎng)建設方案V3.0）解決方案發(fā)行版本（20221015）銳捷網(wǎng)絡股份有限公司2022年10月15日目錄1概述 41.1高教網(wǎng)絡建設背景 41.2高校園區(qū)網(wǎng)絡挑戰(zhàn) 41.3什么是全光網(wǎng) 61.3.1光網(wǎng)絡的定義 61.3.2以太網(wǎng)協(xié)議和PON協(xié)議的發(fā)展歷程 72高校各場景的建設需求 92.1基礎承載網(wǎng)場景 92.1.1教學場景 92.1.2辦公場景 102.1.3宿舍場景 102.2校園網(wǎng)安全場景 102.2.1終端安全 102.2.2內網(wǎng)安全 112.3校園網(wǎng)運維場景 112.3.1即插即用，極速上線 112.3.2故障監(jiān)測預警，智能運維 122.3.3策略隨行一致體驗 122.3.4運維管理的需求 132.4校園網(wǎng)運營場景 132.4.1精細化運營 133銳捷極簡以太全光方案 143.1方案簡介 143.1.1方案拓撲結構 143.1.2以太全光網(wǎng)架構特點 153.1.3方案組件 153.1.4主要建設性能指標 174極簡光綜合布線設計 194.1綜合布線概要一覽表 194.2水平子系統(tǒng)（房間至樓層弱電間）設計 194.3樓層弱電間設計 204.4垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機房）設計 204.5樓宇匯聚機房設計說明 214.6多媒體箱安裝規(guī)范 224.7房間內布線示意 234.7.1中低密度房間 244.7.2大廳場景 255高校各場景的網(wǎng)絡設計 255.1基礎承載網(wǎng)場景設計 255.1.1教學場景 255.1.2辦公場景 275.1.3宿舍場景 285.2校園安全場景設計 285.2.1終端安全建設目標 285.2.2信息安全建設目標 335.2.3出口安全建設目標 425.3校園運維場景設計 435.3.1零配置，減少日常維護復雜度 435.3.2簡化Vlan配置部署 435.3.3入室交換機零配置入網(wǎng)和光鏈路檢測 435.3.4網(wǎng)隨人動策略隨行 445.3.5智慧運維管理平臺 455.3.6多運營商有線無線統(tǒng)一認證計費運營設計 505.3.7校內校外認證融合運營設計 505.3.8學校精細化管理設計 525.4方案價值 535.4.1滿足學校管理訴求，打消壟斷顧慮 535.4.2提升用戶體驗 535.4.3運營商快速拓新 546極簡以太全光網(wǎng)方案案例 556.1華中科技大學 556.2中國藥科大學 566.3四川輕化工大學 576.4重慶第二師范學院 586.5重慶大學 596.6西安理工大學 607方案選型建議 627.1產(chǎn)品選型建議 627.1.1設備選型 62

概述高教網(wǎng)絡建設背景教育部印發(fā)的《教育信息化十年發(fā)展規(guī)劃（2011－2020年）》中強調信息化對于提高教育質量、構建人力資源強國具有重大意義。以教育信息化帶動教育現(xiàn)代化，是我國教育事業(yè)發(fā)展的戰(zhàn)略選擇。教育部印發(fā)的《教育信息化“十三五”規(guī)劃》中也強調“十三五”期間，堅持“四個全面”戰(zhàn)略布局，牢固樹立和貫徹落實創(chuàng)新、協(xié)調、綠色、開放、共享的發(fā)展理念，以“構建網(wǎng)絡化、數(shù)字化、個性化、終身化的教育體系，建設‘人人皆學、處處能學、時時可學’的學習型社會，培養(yǎng)大批創(chuàng)新人才”為發(fā)展方向，按照“服務全局、融合創(chuàng)新、深化應用、完善機制”的原則，穩(wěn)步推進教育信息化各項工作，更好地服務立德樹人，更好地支撐教育改革和發(fā)展，更好地推動教育思想和理念的轉變，更好地服務師生信息素養(yǎng)的提升，更好地促進學生的全面發(fā)展，推動形成基于信息技術的新型教育教學模式與教育服務供給方式，提升教育治理體系和治理能力現(xiàn)代化水平，形成與教育現(xiàn)代化發(fā)展目標相適應的教育信息化體系，充分發(fā)揮教育信息化對教育現(xiàn)代化的支持和引領作用。學校智慧校園建設是實現(xiàn)學校教育現(xiàn)代化的抓手和基礎核心工作。高校園區(qū)網(wǎng)絡挑戰(zhàn)傳統(tǒng)校園網(wǎng)方案設計無論是從管理、維護還是整合，均采用的是分布或分散式的模式，即管理層級過多、維護力量分散、功能和策略部署在接入層、資源整合采用多方溝通和協(xié)調。這種模式不但在現(xiàn)階段讓網(wǎng)絡中心難以提升服務質量、提高服務響應率，而且會降低用戶體驗度，同時也無法應對無線校園乃至物聯(lián)網(wǎng)浪潮所帶來的挑戰(zhàn)。在高教行業(yè)中，隨著教學數(shù)字化的繼續(xù)發(fā)展，原先采用的三層物理架構組網(wǎng)模型存在擴展性差、帶寬升級麻煩、終端部署困難、弱電間安全隱患凸顯等一系列問題，具體如下：施工部署的問題隨著業(yè)務增加，信息點位增多，業(yè)務無法靈活擴展，每增加一個業(yè)務/終端就需要從弱電井重新布線，導致橋架空間壓力大。業(yè)務改造都要從橋架中理線麻煩成本高，廢棄直接部署新網(wǎng)線導致橋架網(wǎng)線越來越多，不美觀，橋架空間壓力大。每次網(wǎng)絡改造或上新業(yè)務都要全網(wǎng)改造，同時施工經(jīng)常會弄斷其他業(yè)務網(wǎng)線，影響正常業(yè)務開展。端口擴展問題多媒體教室從最初的有線網(wǎng)部署開始，隨著教學改革，業(yè)務逐漸發(fā)展演進，從有線網(wǎng)->標準化考場專網(wǎng)->無線網(wǎng)->物聯(lián)網(wǎng)，這造成每次業(yè)務的發(fā)展都需要上線一批終端，拉數(shù)根網(wǎng)線進教室；可以預見的是：未來進入教室的終端只會越來越多，需要擴展的接入點端口和網(wǎng)線數(shù)量會成為每次業(yè)務發(fā)展的阻礙。帶寬升級問題隨著大帶寬業(yè)務需求（如錄播、WIFI6等）出現(xiàn)，校園網(wǎng)絡需要頻繁升級。無線業(yè)務驅動高教校園網(wǎng)升級，校園無線每升級一次，就需要對現(xiàn)網(wǎng)的線路改造替換一次。傳統(tǒng)以太網(wǎng)部署使用的是網(wǎng)線，網(wǎng)線分四類型、五類線、超五類線、六類線等不同類型，每次網(wǎng)絡升級都需要更換整個網(wǎng)絡線路，同樣存在網(wǎng)絡升級成本高的問題。終端準入問題隨著信息化的不斷深入，數(shù)字化終端接入網(wǎng)絡的要求越來越多?，F(xiàn)在教室普遍存在多網(wǎng)絡，每張網(wǎng)絡具有多個終端。傳統(tǒng)以太網(wǎng)部署是將接入交換機放在弱電間，再鋪設網(wǎng)線到教室終端。每個教室終端需要鋪設一根網(wǎng)線，日益增多的教室終端導致需要海量的網(wǎng)線數(shù)量?；氐搅藛栴}1描述的場景。弱電間安全問題弱電間堆放大量有源通信設備，存在消防安全隱患。傳統(tǒng)的以太網(wǎng)部署需要將接入設備放置于弱電間，從而增加安全隱患。另外，受限于弱電間選址問題，弱電間環(huán)境普遍較差，輕則產(chǎn)生電磁干擾，重則影響網(wǎng)絡設備使用壽命。網(wǎng)絡安全問題為了保證校園網(wǎng)絡安全，學校都會部署很多的安全設備，傳統(tǒng)的安全設備只能阻斷南北向的數(shù)據(jù)流量的安全問題，但是在內網(wǎng)出現(xiàn)安全問題后，很難校園網(wǎng)內部的攻擊、病毒的傳播，學校依然會收到安全協(xié)查通報，攻擊/病毒等很難難阻斷。校園網(wǎng)運營難問題校園網(wǎng)需要運營商/投資方聯(lián)合運營，但是不少學校采用的運營商提供的運營模式與本學校的實際情況差距較大。學校不是運營商，運營經(jīng)驗不足，出現(xiàn)問題后設備的維護邊界不清，導致相互推諉扯皮等問題。如何保障學校運營的順利展開，采用什么樣的計費策略、收費繳費流程、采用怎樣的模式劃定設備維護邊界進行管理都是學校急需解決的問題。出口靈活擴容問題學校擴招、學生上網(wǎng)需求增加，新應用及技術驅動，帶來帶寬需求增加。同時隨著有線無線同時運行，電腦、手機、pad等終端使用帶來出口設備認證并發(fā)需求增加。師生上網(wǎng)使用需求增加導致出口設備壓力增大，設備故障風險直接影響全校網(wǎng)絡運行，所以需要更加穩(wěn)定的出口方案，同時滿足未來隨著業(yè)務發(fā)展可以靈活的擴容。什么是全光網(wǎng)光網(wǎng)絡的定義光網(wǎng)絡（OpticalNetwork）一般指使用光纖作為主要傳輸介質的廣域網(wǎng)、城域網(wǎng)或者新建的大范圍的局域網(wǎng)。光網(wǎng)絡常見的傳輸協(xié)議：光網(wǎng)類型常見協(xié)議應用場景以太光網(wǎng)1000Base-LX園區(qū)網(wǎng)和數(shù)據(jù)中心SDH光網(wǎng)STM-16運營商城域網(wǎng)PTN光網(wǎng)MPLS-TP政企專線FC光網(wǎng)FC-AL存儲網(wǎng)絡DWDM光網(wǎng)OC48骨干網(wǎng)傳輸PON光網(wǎng)ITU-TG.984.2小區(qū)寬帶接入ONT光網(wǎng)ITU-TG.709多業(yè)務傳輸在園區(qū)網(wǎng)絡中全光網(wǎng)現(xiàn)有兩種方案路線，一種是PON，一種就是全光以太，從技術路線并不相同，一個是來源于運營商的家用寬帶，一個是企業(yè)園區(qū)網(wǎng)絡。以太全光網(wǎng)的方案可以適配面向教育、商旅、辦公等園區(qū)各種應用場景。通過全新光纖入室的部署方式，結合以太網(wǎng)協(xié)議，通過架構簡單的組網(wǎng)和SDN技術在萬物互聯(lián)時代為園區(qū)業(yè)務提供面向高帶寬、低延時、高度靈活、極簡運維的網(wǎng)絡承載。以太網(wǎng)協(xié)議和PON協(xié)議的發(fā)展歷程以太網(wǎng)的發(fā)展歷程以太網(wǎng)作為一種局域網(wǎng)（LAN）技術自1973年發(fā)明以來，已經(jīng)歷40多年的發(fā)展歷程，成為當前應用最為普遍的局域網(wǎng)技術。以太網(wǎng)主要由IEEE802.3工作組負責標準化，以太網(wǎng)從最初支持10Mbit/s的吞吐量開始，經(jīng)過不斷的發(fā)展，支持快速以太網(wǎng)（100Mbit/s）、千兆以太網(wǎng)（1Gbit/s）、萬兆以太網(wǎng)（10Gbit/s），100Gbit/s及400Gbit/s。同時，為了適應應用的多樣化，以太網(wǎng)速率打破了以10倍為一級來提升的慣例，開始支持2.5、5、25及400Gbit/s的速率。以太網(wǎng)的速度在IEEE802.3中的定義，目前所有傳輸方式中已知的最高速度400G位每秒，而且已經(jīng)開始商用。以太網(wǎng)技術不僅是支持銅線傳輸介質，同時也是光纖傳輸?shù)闹饕獏f(xié)議。以太網(wǎng)技術作為交換技術和傳輸技術廣泛應用于城域網(wǎng)建設，以太網(wǎng)已經(jīng)不僅僅局限于局域網(wǎng)應用，可以更廣泛地應用到城域網(wǎng)（MAN）和廣域網(wǎng)（WAN）的領域。以太網(wǎng)光纖模塊帶寬發(fā)展歷程PON的發(fā)展歷程PON網(wǎng)絡目前主要有兩種標準，EPON是由IEEE（電氣和電子工程師協(xié)會）制定標準，GPON是由ITU-T（國際電信聯(lián)盟電信標準分局）制定標準。兩種協(xié)議的發(fā)展歷程對比：PON的協(xié)議的發(fā)展歷程相比以太網(wǎng)的發(fā)展歷程較慢，從同時期發(fā)布標準來看，以太網(wǎng)協(xié)議基本高于PON協(xié)議帶寬10倍。高校各場景的建設需求基礎承載網(wǎng)場景教學場景隨著普通教室向標準化考場、多媒體教室進行改造，學校在業(yè)務迭代的過程中促進教室信息點持續(xù)增加，從傳統(tǒng)的一個教室2-4個信息點（多媒體電腦、無線、視頻監(jiān)控）到現(xiàn)在新增云桌面、數(shù)字廣播、大屏/黑板、電子班牌、物聯(lián)網(wǎng)等6-12個信息點，教室的教學網(wǎng)絡環(huán)境需要持續(xù)改造升級，要支持業(yè)務靈活擴展。同時越來越多的新建智慧教室、VR/AR教室、實訓樓/實訓室等新型教學環(huán)境，教學類業(yè)務對帶寬和延遲需要越來越高：3D/VR/AR教室訪問數(shù)據(jù)中心/云端資源需要無線提供高并發(fā)和大流量（WIFI6）的支撐——VR教學的終端，單終端50~300Mbps，時延要低于8ms。無線平板教學，單個終端需要30~50Mbps的帶寬，延遲要小于20ms；云機房/PC機房東西向、南北向并發(fā)流量大，對帶寬和網(wǎng)絡穩(wěn)定性要求高——進行鏡像下發(fā)時，每個終端需要至少30Mbps帶寬。60個設備同時訪問SPOC、MOOC資源、PXE克隆、教學廣播需要內部二層轉發(fā)。主要教學應用對帶寬的要求如下：辦公場景行政人員辦公經(jīng)常面臨工位頻繁更換，信息點位不固定，甚至是大范圍挪移，出現(xiàn)端口不夠用的情況就只能使用傻瓜交換機級聯(lián)拓展，存在發(fā)生環(huán)路引發(fā)網(wǎng)絡運行不穩(wěn)定的風險；而管理人員的辦公室通常部署在每個樓層的末端，這種VIP辦公室距離弱電間超過100m，就會造成拉線困難，同時VIP辦公室要求施工簡單，盡可能縮短工期，室內設備美觀。辦公網(wǎng)設備線路難以頻繁改造，布線施工成難題。在辦公室里除了需要滿足高帶寬要求外，還需要重點考慮數(shù)據(jù)的共享，老師會使用網(wǎng)上鄰居進行數(shù)據(jù)共享，跨房間之間的打印機共享等業(yè)務，所以在辦公網(wǎng)的設計規(guī)劃中需要靈活劃分業(yè)務隔離與共享。宿舍場景宿舍區(qū)域人數(shù)多、空間小、終端種類多、并發(fā)終端數(shù)量大，干擾較為嚴重。隨著學生對上網(wǎng)網(wǎng)絡質量和上網(wǎng)流量的需求越來越大，需要滿足無線信號的全覆蓋，同時提供優(yōu)質的上網(wǎng)體驗。校園網(wǎng)安全場景終端安全電腦、筆記本、手機等師生辦公學習終端，打印機、刷卡器、監(jiān)控等啞終端，電子班牌、智慧大屏、數(shù)字圖書館等公共上網(wǎng)終端，校園的各類型的業(yè)務終端井噴式增長。傳統(tǒng)網(wǎng)絡環(huán)境下一臺IOT終端上線要經(jīng)歷IP申請、信息分配記錄、找位置找端口、劃分業(yè)務VLAN、配置訪問策略、信息上線記錄，到最后的上線聯(lián)調，過程冗長終端上線效率低。同時，傳統(tǒng)網(wǎng)絡環(huán)境下對IOT終端的安全管控仍需要手動搜集MAC地址，再進行基于端口和MAC的綁定?；蛘邔〗K端設置為免認證終端直接放通，這樣就會存在用戶私接入網(wǎng)以及不合法終端也能直接入網(wǎng)，存在被攻擊、數(shù)據(jù)泄露的風險。傳統(tǒng)校園網(wǎng)運維和安全存在著極大的麻煩和風險。校園物聯(lián)網(wǎng)需要一個支持終端快速上線、安全隔離，人、物公用的易維護的好網(wǎng)絡。內網(wǎng)安全當前網(wǎng)絡與信息安全領域，正面臨著全新的挑戰(zhàn)。一方面，伴隨大數(shù)據(jù)和云計算時代的到來，安全問題正在變成一個大數(shù)據(jù)問題，高校校園網(wǎng)絡及信息系統(tǒng)每天都在產(chǎn)生大量的安全數(shù)據(jù)，并且產(chǎn)生的速度越來越快。另一方面，校園面對的網(wǎng)絡空間安全形勢嚴峻，需要應對的攻擊和威脅變得日益復雜，這些威脅具有隱蔽性強、潛伏期長、持續(xù)性強的特點。傳統(tǒng)系統(tǒng)信息安全保障能力面臨以下四個方面的問題：（1）不能及時識別信息安全事件當前，信息系統(tǒng)結構復雜，網(wǎng)絡、安全設備較多，產(chǎn)生安全事件數(shù)量巨大，根據(jù)調查，至少95%以上的安全事件屬于誤報，真正存在的少量安全事件在海量的、不同結構的安全告警信息中難以有效識別發(fā)現(xiàn)。（2）威脅識別能力有限安全分析以人工方式為主，只能識別已知并且已描述的攻擊，難以識別復雜的攻擊，無法識別未知的攻擊；安全事件之間存在橫向和縱向方面（如不同空間來源、時間序列等）的關系未能得到綜合分析，因此漏報嚴重，不能實時預測。一個攻擊活動之后常常接著另外一個攻擊活動，前一個攻擊活動為后者提供基本條件；一個攻擊活動在多個安全設備上產(chǎn)生了安全事件；多個不同來源的安全事件其實是一種協(xié)作攻擊，這些都缺乏有效的綜合分析；（3）安全預判能力有限，缺乏對抗能力安全運營以被動應急響應為主，難以對風險進行提前的評估與研判，總是疲于救火；為了切實加強信息系統(tǒng)安全保障能力，可以規(guī)劃采用大數(shù)據(jù)技術來建設信息系統(tǒng)綜合運維監(jiān)控管理平臺，實現(xiàn)大數(shù)據(jù)安全管理和數(shù)據(jù)中心信息安全違規(guī)檢測。校園網(wǎng)運維場景即插即用，極速上線在用戶的設備上線和替換過程中當前遇到三個問題：問題一：設備替換對人是有要求的，無法說任意的人均能換設備，問題二：能替換的人少，因受限制于校園網(wǎng)面積大等問題，替換效率低下。問題三：學生也比較強勢，如果斷網(wǎng)時間長會投訴。針對上面的三個問題，自動化運維已經(jīng)解決了其中的一部分問題了，但這個過程中有幾個地方經(jīng)常出錯1.接入模板不統(tǒng)一，不固定，渠道按自己理解的來制作，不是最佳實施方案，容易出現(xiàn)部署過程設備配置模板錯誤導致部署斷網(wǎng)。2.耗時長，容易出錯，特別是每臺設備的vlan，ip要修改。集成商人工刷配置，每個人的技術，素質都不固定，很容易出現(xiàn)工作馬虎，配錯，漏配的情況。3.上架的時候可能拿錯設備，接錯口；另外傳統(tǒng)網(wǎng)絡在運維期間，由于各個接入設備的模板都不一樣，在業(yè)務新入網(wǎng)時候需要更改接入設備的配置，對網(wǎng)絡管理人員的運維能力還是有要求，特別是替換的時候，配置不同容易導致更換設備的時候配置錯誤引起斷網(wǎng)。故障監(jiān)測預警，智能運維多網(wǎng)融合，設備激增，專業(yè)人手不足，高校運維團隊常年保持人數(shù)不變，運維成本逐年增加。傳統(tǒng)網(wǎng)絡故障定位過程繁瑣，且無法提前感知風險。并且在當今世界，萬物都通過網(wǎng)絡實現(xiàn)互聯(lián)。從園區(qū)或分支機構場所的用戶和設備到數(shù)據(jù)中心或云中的應用，網(wǎng)絡擁有巨大潛力，可以不斷優(yōu)化調整，保護所有IT與業(yè)務流程，并提供洞察力。唯有借助基于意圖的網(wǎng)絡。這種網(wǎng)絡能夠捕捉業(yè)務意圖，并在整個網(wǎng)絡范圍實施策略和網(wǎng)絡狀態(tài)感知，進行數(shù)據(jù)預測并建立流量模型，主動服務于網(wǎng)絡運維工作。同樣高校的網(wǎng)絡建設也應該符合意圖網(wǎng)絡發(fā)展趨勢。策略隨行一致體驗傳統(tǒng)網(wǎng)絡狀態(tài)下，用戶移動，IP地址發(fā)生變化，當審計的時候，由于用戶的IP地址不停變化，需要結合不同時間段內用戶的IP地址情況綜合去查，查詢雖然可以實現(xiàn)，但是比較麻煩，達不到所見即所得的狀態(tài)。近幾年基于網(wǎng)絡的業(yè)務爆炸式地增長，同時迎來無線網(wǎng)絡的建設的浪潮，終端位置的移動接入成為常態(tài)，業(yè)務的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡位置進行網(wǎng)絡規(guī)劃的方式無法滿足現(xiàn)有復雜的業(yè)務場景。網(wǎng)絡上承載的業(yè)務越來越多，后期會將視頻監(jiān)控、一卡通、數(shù)字廣播、車輛出入系統(tǒng)等等納入到整個網(wǎng)絡的管理范圍之內，當前的網(wǎng)絡規(guī)劃時按照一網(wǎng)一業(yè)務的策略去做，分別建設割裂的網(wǎng)絡，無法統(tǒng)一管理和運維。由于無法實現(xiàn)網(wǎng)絡端到端的統(tǒng)一策略部署，使得新的業(yè)務開展和優(yōu)化比較困難。運維管理的需求在傳統(tǒng)的網(wǎng)絡建設之后，運維管理很容易被大家所忽視，這樣就造成了信息部門對IT物理環(huán)境及其中所有設備的運行狀況沒有統(tǒng)一、規(guī)范的管理，無法及時清楚的掌握IT系統(tǒng)運行狀況和設備運行狀態(tài)，無法做到對IT系統(tǒng)狀況的統(tǒng)計和分析，不能及時發(fā)現(xiàn)潛在問題對業(yè)務系統(tǒng)的影響，維護工作基本上處于被動的救火隊狀態(tài)，不利于知識共享和知識積累。鑒于網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)的正常運行對學校業(yè)務的重要意義，信息化建設同時要立足于工具層面的保障和管理手段進行統(tǒng)一的監(jiān)控和管理。從而改變現(xiàn)有的運維模式，結束被動救火的運維策略，從而對網(wǎng)絡和系統(tǒng)故障提前預知、提前防范，在故障出現(xiàn)時第一時間快速反映、迅速定位，借助技術工具和不斷提高運維人員自身的技術能力這兩個方面相結合更好地保障網(wǎng)絡環(huán)境和業(yè)務系統(tǒng)安全、穩(wěn)定運行。校園網(wǎng)運營場景精細化運營隨著信息化的發(fā)展，基于學生大數(shù)據(jù)分析、自主可控安全管理的需要，傳統(tǒng)運營商承建網(wǎng)絡的方式已無法滿足，更多學校希望按照自己的校園網(wǎng)建設標準建設內部網(wǎng)絡方便統(tǒng)一管理和數(shù)據(jù)共享，但自己購買出口大帶寬的方式又面臨著每年巨大的資金投入，面對龐大的資金缺口，以及政策不允許運營商在學校壟斷的要求下，更多的學校開始采用開放合作的方式，多方運營商通過合作與競爭提供更大的帶寬和更靈活的資費供學生自由選擇。學校：公平引入多家運營商；保留學校對學生的管理權，實現(xiàn)大數(shù)據(jù)分析、資源共享；學生：自主選擇出口和套餐良好的入網(wǎng)和用網(wǎng)體驗，高效的服務；運營商：發(fā)展更多校園網(wǎng)用戶，保障收益通過帶寬換取更多學校資源；銳捷極簡以太全光方案方案簡介以太（以太協(xié)議）全光（全光纖網(wǎng)絡），即以光纖做為傳播介質，通過光纖入室的部署方式，結合以太網(wǎng)的架構、組網(wǎng)，所構成的網(wǎng)絡。其特殊點是，將有源接入交換機從樓層弱電井釋放出來，通過光纖入室將全光接入交換機部署在每個房間里，房間的全光接入交換機與核心或者匯聚交換機全鏈路光纖部署，房間內的新增信息點位可以從房間光交換機就近接入，提升擴展效率，同時做到真正的1：1萬兆/千兆入室。以太全光校園解決方案可以覆蓋校園網(wǎng)絡的接入層、匯聚/核心層和管理層。方案拓撲結構以太全光網(wǎng)架構特點極簡太全光網(wǎng)絡方案采用大二層結構，是新增了SDN控制器/以太全光服務器，服務器部署在核心機房。全光網(wǎng)絡與傳統(tǒng)以太網(wǎng)絡的主要區(qū)別有三點：1、核心到接入層設備采用全光鏈路互聯(lián)2、接入層設備從弱電間遷移到室內房間進行部署3、管理運維便捷性大幅提升，管理運維只需要管理兩端（核心機房和末端房間），樓層弱電間采用無源透明匯聚設備，實現(xiàn)樓棟弱電間的免運維。方案組件銳捷以太全光網(wǎng)絡方案需要部署設備如下：出口RSR77-X，核心N18K，SDN控制器，radius(SAM)，portal（eportal），核心側彩光交換機，樓棟無源透明匯聚，RIIL等。出口配置：出口采用兩臺RSR77-X出口路由器，通過HA的方式保障設備冗余，同時通過BRAC方案無需運營商開放對接AAA系統(tǒng)(認證計費授權系統(tǒng))，即可實現(xiàn)融合認證，智慧運營管理。核心設備配置：核心：部署在中心機房，核心（可以是VSU）可以采取整網(wǎng)三層架構/大二層/扁平化部署（本文采用扁平化架構進行描述），有線無線用戶網(wǎng)關統(tǒng)一在核心設備上，配置成網(wǎng)關模式，核心設備進行集中認證（包括1x認證WEB認證，MAB認證）。DHCP服務器開在N18K上，有線和無線的IP地址獲取都從N18K獲取。核心匯聚設備：部署在中心機房，核心匯聚設備采用新型彩光交換機，可以依據(jù)入室房間數(shù)盒式彩光交換機或者核心交換機上插彩光交換板卡的方式，新型彩光交換機支持VSU組網(wǎng)方案，每個超聚合端口可以接入8個房間。SDN控制器/INC組件：INC組件作為組件形式部署在SDN控制器上，可以認為極光組件為SDN控制器的一個業(yè)務模塊，用于管理零配置上線設備并下發(fā)配置模板?？刂破骺梢耘渲脴I(yè)務網(wǎng)和業(yè)務子網(wǎng)，業(yè)務子網(wǎng)屬于業(yè)務網(wǎng)。業(yè)務網(wǎng)可以是普通vlan也可以是supervlan（關聯(lián)多個subvlan，泛接入的終端必須在同一個supervlan下），業(yè)務網(wǎng)可以創(chuàng)建多個業(yè)務子網(wǎng)。匯聚設備配置：樓棟匯聚設備：采用無源透明匯聚設備部署在大樓的光纖匯聚節(jié)點（無源設備無需取電，也可以基于實際部署環(huán)境任意部署），透明匯聚設備支持雙鏈路上行到中心機房的彩光交換機上，實現(xiàn)鏈路的冗余設計。接入交換機配置：室內全光交換機部署在房間內，通過光纖互聯(lián)到全光匯聚交換機，室內全光設備空配置接入網(wǎng)絡后，通過DHCP獲取到設備的零配置管理IP地址，并發(fā)起cwmp零配置上線請求，SDN控制器/極光組件服務器通過配置模板給室內全光設備下發(fā)配置。AP配置：可以配置成分布式(推薦部署)，也可以配置成集中式或者本地轉發(fā)。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服務器：SAM作為RADIUS服務器，ePortal做為PORTAL服務器。RADIUS服務器除了傳統(tǒng)的認證功能外還需要將用戶的分組信息同步給N18K。RIIL一體化運維：通過RIIL實現(xiàn)全域資源監(jiān)控和智能化運維。主要建設性能指標出口層建設要求穩(wěn)定性要求出口區(qū)域部署兩臺RSR77-X部署HA模式，確保出歐設備足夠的性能和設備穩(wěn)定性，單點故障切換及恢復用戶無感知，后續(xù)增加板卡即可提高系統(tǒng)性能和容量，保護投資設備性能指標認證：（所有認證業(yè)務包括WEB認證、MAC認證、PPPOE認證、BRAC認證）：SIP5-X單卡，1W用戶（終端）整機性能：RSR77-X最多支持8張SIP5-X的線卡，在分別4張接口卡和4張業(yè)務卡的情況下可以支持160G的帶寬和4萬在線用戶數(shù)；核心層建設要求在核心/匯聚層，提供超寬匯聚、核心100G端口轉發(fā)能力，支持有線無線的融合。在控制管理區(qū)，包含控制、分析、安全等組件，通過管控平臺可實現(xiàn)光鏈路狀態(tài)檢測、全網(wǎng)統(tǒng)一運維、多網(wǎng)/多設備統(tǒng)一納管等。匯聚層的建設要求在每個樓棟設置1-2臺彩光交換機匯聚（盒式或框式，2臺可集群部署增強系統(tǒng)可靠性），從學校中心機房核心交換機到核心匯聚彩光交換機采用100G（向下兼容40G光纖鏈路互聯(lián)，也可以根據(jù)實際需要規(guī)劃25G/10G光纖鏈路互聯(lián)）光纖鏈路互聯(lián)。入室設備建設要求在多媒體教室&實訓室&公共機房&辦公室/中大型會議室按需部署1臺或多臺千兆/萬兆上行的多口以太光交換機（4口/8口/16口/24口/48口可靈活選擇），多口以太光交換機與樓棟以太全光匯聚采用千兆/萬兆以太光纖互聯(lián)互通（端口獨享，上下行帶寬對稱）。多口以太光交換機支持通過下行千兆以太網(wǎng)電口連接房間內的有線設備，通過自身的1G/2.5G/5GPOE或POE+連接需要受電的WIFI6F放裝AP/WIFI6F高密AP/POE攝像頭實現(xiàn)有線無線一體化與多業(yè)務子網(wǎng)終端融合接入部署。在領導辦公室&多人多終端辦公室/小型會議室部署帶光口（光口支持彩光模塊）上行WIFi6面板AP（本地獨立供電）與樓棟透明匯聚設備互聯(lián)互通，實現(xiàn)有線無線一體化無線覆蓋部署。在規(guī)則型集中辦公區(qū)/學生宿舍/教師單身公寓/學校下轄招待所/酒店等環(huán)境，部署支持普通光模塊的光面板AP（自帶1/4/8個千兆下行電口和2.5G上行光口）與全光的星空主機互聯(lián)互通，光面板AP支持通過本地獨立供電或光電混合纜集中供電，全光恒星主機通過自帶的上行萬兆接口通過全光主樓棟以太全光匯聚下行光口互聯(lián)互通，實現(xiàn)有線無線一體化無線覆蓋部署。運維環(huán)境設備要求業(yè)務及設備管理：通過軟件定義網(wǎng)絡的（SDN）控制器進行對前端多口以太全光交換機進行入網(wǎng)管理；通過軟件定義網(wǎng)絡的（SDN）控制器進行對前端入網(wǎng)的啞終端進行智能精準入網(wǎng)管控；通過軟件定義網(wǎng)絡的（SDN）控制器和校園集中承載網(wǎng)關配合進行多業(yè)務子網(wǎng)融合承載與互訪可視化控制與管理。業(yè)務監(jiān)控運維：通過銳捷樂享IT運維產(chǎn)品實現(xiàn)對園區(qū)網(wǎng)絡實現(xiàn)全域資源監(jiān)控，從機房動環(huán)、網(wǎng)絡、服務器到應用服務的全域資源監(jiān)控。對業(yè)務系統(tǒng)的監(jiān)控可以實現(xiàn)，對高校業(yè)務發(fā)生故障后可以快速定位故障是網(wǎng)絡的問題還是應用的問題，實現(xiàn)故障的定界和定位。系統(tǒng)也集成了網(wǎng)絡配置備份、自動化任務等運維工具，用于提升運維效率。同時運營管理構建了面向師生用戶的服務流程，為師生用戶提供IT故障報修和IT資源申請服務，為管理者提供服務管理數(shù)據(jù)；極簡光綜合布線設計綜合布線概要一覽表序號系統(tǒng)說明設備/線路要點1中心機房N/A核心交換機和傳統(tǒng)架構一致2園區(qū)主干光纜中心機房—樓宇匯聚機房的線路主干光纖和傳統(tǒng)架構一致3樓宇匯聚機房部署匯聚交換機和光配架透明匯聚設備透明匯聚設備光口數(shù)量=樓宇房間數(shù)量=光纖芯數(shù)。上聯(lián)的合路口支持雙鏈路上行到中心機房連接彩光交換機。4樓宇垂直子系統(tǒng)樓宇匯聚機房—樓層弱電間的布線大對數(shù)單模光纜大對數(shù)單模光纜到每個樓層弱電間5樓層弱電間樓層弱電間無需部署有源設備。如果空間局促，也可以采用壁掛機柜等方式來部署ODF架。大對數(shù)單模光纜—光配架—皮纖通過光配架，將大對數(shù)單模光纜跳轉為皮線光纖通向各房間。6樓宇水平子系統(tǒng)樓層弱電間—房間的布線皮線光纖選擇雙芯皮線光纖即可，匹配彩光模塊?？紤]到冗余和備份，實際工程中建議做適當預留。（光混纜場景部署光電混合纜到房間）7房間弱電接入點皮線光纖布放到房間內，可以選擇在多媒體箱落地（大房間），或者86暗盒落地（小房間）多媒體箱安裝小型化交換機或86暗盒安裝光口面板AP如果采用多媒體箱，需要增加多媒體箱到信息點的布線（網(wǎng)線）；如果房間內僅2-3個信息點且集中在一起，則無需額外布線，直接從光口面板AP的有線口接網(wǎng)線到電腦網(wǎng)口即可水平子系統(tǒng)（房間至樓層弱電間）設計水平子系統(tǒng)部署皮纖，皮線光纜內光纖采用G.657小彎曲半徑光纖，執(zhí)行標準：YD/T1997-2009接入網(wǎng)用碟形引入光纜。樓層所有設計光纖入室的房間均需敷設皮線光纜至樓層弱電間。皮纖建議采用2芯或4芯，實際連接入室交換機設備，其中彩光模塊需要兩芯。樓層弱電間一側皮纖端接頭宜采用LC或SC，與ODF光配架匹配。入室多媒體箱一側皮纖端接頭采用LC，與入室小型化交換機光模塊匹配。皮線光纜敷設長度可以遠大于90米，但水平布線（皮纖）+垂直布線（主干光纜）總長度不得超過2.5公里。水平橋架部分的規(guī)格可以根據(jù)皮纖布放數(shù)量做適當調整，轉彎半徑不宜過小。皮線光纜敷設具體設計施工標準可參考GB50311-2016綜合布線規(guī)范。布線示意圖如圖所示：水平子系統(tǒng)設計示意圖樓層弱電間設計樓層弱電間僅需部署ODF光配架即可。ODF光配架可以放置于標準落地機柜內，如空間緊張，也可以采用壁掛式機柜或壁掛設備箱安裝。ODF光配架為無源設備，無需考慮通風、散熱、供電等設計。為保障可靠性，ODF光配架兩端的尾纖應當采用熱熔。應確保所有入室皮纖至少有兩芯和主干光纜熔接連通。垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機房）設計各樓層弱電間至樓宇匯聚機房的垂直子系統(tǒng)采用大對數(shù)單模光纜。光纜光纖芯數(shù)應當大于該樓層皮纖數(shù)量，確保所有皮纖光路均能順利上行到匯聚機房。（如樓層房間數(shù)量15，則采用24芯光纜，如樓層房間數(shù)量37，則采用48芯光纜；如樓層房間數(shù)量85，則采用96芯光纜，以此類推）垂直子系統(tǒng)設計說明如圖所示：垂直子系統(tǒng)說明樓宇匯聚機房設計說明架構部署設計：采用透明匯聚方案時，樓棟內可采用1-2個機柜集中放置透明匯聚設備，采用單模光纖跳線互聯(lián)透明匯聚設備，采用雙上聯(lián)冗余設計要考慮樓棟骨干光纜的芯數(shù)冗余數(shù)量。整體部署方案如圖所示：多媒體箱安裝規(guī)范多媒體箱外觀圖光纖入室多媒體信息箱設計和安裝關鍵點：光纖入室多媒體信息箱分塑料外殼和金屬外殼二種，有暗裝式和明裝兩大類，其殼體務必完整無缺。對于新建項目，建議采用暗裝。光纖入室多媒體信息箱需具備表面散熱孔以利于設備散熱?？紤]到入室線纜的位置和管理上的方便，光纖入室多媒體信息箱一般安裝在房間入口或套間門廳等處。按照施工規(guī)范，箱體底部離地面高應為30cm~50cm。光纖入室多媒體信息箱內應配套220v市電接口用于設備供電。多媒體箱安裝示意圖多媒體箱安裝示意圖房間內布線示意室內網(wǎng)絡布線可參考GB50311-2016綜合布線系統(tǒng)工程設計規(guī)范中的相關章節(jié)。區(qū)別是本方案室內雙絞線的匯集點為室內多媒體箱而非樓層弱電間。高密度房間下圖為室內綜合布線示意圖，該方案適合室內信息點數(shù)大于4個的房間。室內綜合布線示意圖中低密度房間對于點位數(shù)較少（≤4個）且功能相同，布局臨近的房間，如診室，普通病房，連續(xù)的獨立小辦公室等，可以采用一套多媒體信息箱實現(xiàn)光纖入室部署以降低建設和維護成本。如圖所示。對于套間結構的房間，該方法同樣適用。（具體走線可以參考住宅的布線方案）室內綜合布線示意圖大廳場景針對公共大廳自助機接入等場景，由于無法確定最終自助機的數(shù)量和具體擺放位置，故對大廳內各具備擺放條件的連續(xù)墻面，應設計預留光纖面板插座和足量的電源插座。以供日后自助機安裝部署使用。高校各場景的網(wǎng)絡設計基礎承載網(wǎng)場景設計教學場景樓棟部署示意圖教室內部署示意圖部署方式：每棟教學樓部署多臺無源的透明匯聚設備，上行雙冗余光纖鏈路到中心機房的核心匯聚彩光交換機上，下行通過萬兆光纖到所有房間，教室/實訓室內部署1-2臺極簡多速率交換機作為室內交換機，連接所有IP終端，可以實現(xiàn)全校一張全光網(wǎng)，校園多業(yè)務泛載永無憂。1：1以太全光進教室，網(wǎng)絡靈活擴展一勞永逸，教室獨享光纖性能。方案價值：光纖入室，不占橋架空間，業(yè)務就近接入，靈活擴展；百G到樓、萬兆入室，1次部署，10年無憂，滿足多媒體教室、智慧教室、VR/AR教室、云實訓室等所有類型教室對于帶寬的要求；提供8/16/24等不同端口形態(tài)的靜音交換機，且支持2.5GPOE端口，連接WIFI6設備充分發(fā)揮WIFI6性能；支持SDN管理，設備即插即用，極大減輕運維工作量；采用成熟以太網(wǎng)協(xié)議，天然支持二層廣播和組播流量，廣播示教等業(yè)務更流暢；云機房、PC機房，鏡像下發(fā)，PXE克隆等高流量業(yè)務無帶寬瓶頸，更好支撐教學。無源匯聚設備的安裝，解決弱電間的管理維護等問題，同時實現(xiàn)核心到接入間的點到點透傳，帶寬無損，無分光。辦公場景部署方式：網(wǎng)絡結構：每棟辦公樓部署多臺全光樓棟無源透明匯聚設備，通過光纖到所有辦公室；大辦公室：部署1臺極簡多速率交換機連接所有IP終端，大型辦公室桌面可以部署業(yè)界首款自帶理線架的辦公桌面交換機進行擴展。VIP辦公室：部署1臺有線無線一體化的墻面AP，光AP采用彩光模塊；方案價值：光纖直達辦公室多速率交換機，接入終端可以彈性擴展，避免私接亂拉；提供4/8/16/24等不同端口形態(tài)的靜音交換機，且支持2.5GPOE端口，連接WIFI6設備充分發(fā)揮WIFI6性能；支持SDN管理，設備即插即用，極大減輕運維工作量；VIP辦公室部署墻面AP，美觀、施工簡單，有線無線一體化，體驗有保障；采用成熟以太網(wǎng)協(xié)議，打印機/文件共享等業(yè)務二層共享無障礙無源匯聚設備的安裝，解決弱電間的管理維護等問題，同時實現(xiàn)核心到接入間的點到點透傳，帶寬無損，無分光。宿舍場景無線星空方案無線星空方案的部署方式：每棟宿舍樓集中部署多臺無線恒星主機，承載120-300間宿舍無線，通過光電混合纜到所有宿舍光AP，光AP連接所有IP終端；方案價值：恒星主機管理所有光AP，做統(tǒng)一配置和優(yōu)化，無線干擾小，體驗優(yōu)；恒星主機光電混合直通光AP，中間無需任何有源設備和機箱，AP升級直接替換即可，方便擴展；光AP自帶1/4/8個有線網(wǎng)口，根據(jù)宿舍區(qū)域人數(shù)或有線端口需求隨需擴展；天然以太協(xié)議族，使用POE協(xié)議和AP協(xié)商供電，獨立對AP進行上下電管理企業(yè)級AP，認證、網(wǎng)優(yōu)、漫游體驗佳校園安全場景設計終端安全建設目標面向物聯(lián)網(wǎng)絡設計多業(yè)務承載校園網(wǎng)建設分為有線部分建設，無線部分建設，包括物聯(lián)承載網(wǎng)建設，極簡以太全光解決方案采用了物理網(wǎng)絡虛擬化的設計，學?？蛇x擇統(tǒng)一新建一張多業(yè)務承載網(wǎng)，在這一張網(wǎng)上承載N種多業(yè)務，對于無法改造的老校區(qū)也可選擇接入、匯聚繼續(xù)利舊現(xiàn)有校園網(wǎng)及鏈路，在核心層建立獨立的物聯(lián)網(wǎng)承載網(wǎng)關，這樣既能保證快速業(yè)務開通，也能減少物聯(lián)網(wǎng)投入，同時能保證物聯(lián)網(wǎng)業(yè)務的相對獨立，和安全隔離；建設可根據(jù)資金預算分為多期或一步到位；例如第一期建設校園網(wǎng)基礎網(wǎng)絡核心平臺、物聯(lián)網(wǎng)核心平臺，包含物聯(lián)網(wǎng)網(wǎng)關和物聯(lián)網(wǎng)統(tǒng)一管理服務，物聯(lián)承載專網(wǎng)的鏈路和接入?yún)R聚利用校園網(wǎng)設備和鏈路；第二期，可建設專用的無線物聯(lián)網(wǎng)（例如5G、LORA）；或建設專用的物聯(lián)網(wǎng)光纖鏈路，新接入一期建設的物聯(lián)網(wǎng)核心平臺；或從規(guī)劃之初，如果經(jīng)費足夠，建議建設兩張隔離的學習辦公校園網(wǎng)、物聯(lián)多業(yè)務承載專網(wǎng)，保障管理和安全的獨立性；所以極簡以太全光方案能夠很好的滿足一張物理網(wǎng)絡承載校園網(wǎng)有線、無線、專網(wǎng)業(yè)務，亦能非常平滑的過渡到校園網(wǎng)、物聯(lián)網(wǎng)、科研網(wǎng)這樣的多網(wǎng)共存的理想規(guī)劃，整體靈活可落地。泛載網(wǎng)接入通過在物理網(wǎng)絡上虛擬不同的業(yè)務網(wǎng)方式可實現(xiàn)泛載網(wǎng)，可實現(xiàn)門禁、消防、節(jié)能平臺等各種未來物聯(lián)網(wǎng)業(yè)務的統(tǒng)一承載，不需要區(qū)分物理位置任意接入，不關心接入端口、vlan信息，通過圖形化界面實現(xiàn)三分鐘即可快速生成虛擬網(wǎng)絡，提高效率、保證安全隔離的同時，降低物理設備、鏈路的投入。終端即插即用極簡以太全光通過室內交換機標準化、模板化配置，實現(xiàn)IP及業(yè)務，不依賴于部署位置和VLAN、端口，從而實現(xiàn)終端的泛載即插即用特性；極簡以太全光解決方案支持啞終端任意端口任意vlan下接入，且靜態(tài)IP地址的啞終端無需收集mac地址，終端信息自動在SDN控制器上顯示（可查看終端上線時間、MAC地址廠商、接入位置等），在SDN控制器上進行審批即可入網(wǎng)。SDN控制器還可以通過IP點陣圖的方式進行IP地址管理，靜態(tài)IP地址資源使用一目了然?？焖賹徟踩刖W(wǎng)傳統(tǒng)網(wǎng)絡方案物聯(lián)網(wǎng)終端缺乏易用的安全管理機制，為實現(xiàn)全網(wǎng)的安全及審計，在極簡以太全光解決方案中，無需手工綁定，只需要在在待審批頁面終端準入管控操作，可以查看到未審批通過的終端，管理員可以手動審批或設置自動審批?？刂破鲗徟ㄟ^的終端，會往交換機下發(fā)靜態(tài)ARP綁定表項。這個時候物聯(lián)網(wǎng)終端可以上網(wǎng)，物聯(lián)網(wǎng)終端準入管控入網(wǎng)成功。終端識別及分類：依靠銳捷的智能終端識別技術增強型指紋特征庫識別、有監(jiān)督的機器學習靜態(tài)模型、無監(jiān)督的機器學習模型能夠識別目前高教園區(qū)網(wǎng)中常見的20類物聯(lián)終端，并機器自動學習新的終端類型，解決高教園區(qū)網(wǎng)絡中物聯(lián)終端管理盲區(qū)，來判斷終端分類、終端上線狀態(tài)，從以前被動響應到可以主動發(fā)現(xiàn)問題，及時處理。業(yè)務網(wǎng)可視化安全隔離傳統(tǒng)的安全隔離需要使用命令行來進行訪問控制列表的設置，不僅復雜且時間長后難以維護，尤其是業(yè)務種類增多的時候更加復雜，添加刪除不當還容易造成斷網(wǎng)，銳捷極簡解決方案支持可視化安全業(yè)務隔離，在業(yè)務策略管理-子網(wǎng)隔離策略策略隔離矩陣，進行某兩個業(yè)務子網(wǎng)策略選擇為禁止訪問進行隔離。業(yè)務網(wǎng)之間的互訪業(yè)務網(wǎng)與校內網(wǎng)、互聯(lián)網(wǎng)之間的互訪信息安全建設目標高校信息化建設過程中信息安全越來越受到重視，隨著安全技術的不斷革新，安全運維的挑戰(zhàn)已經(jīng)從建設轉向使用，但由于缺乏好的工具對安全日志進行充分挖掘與利用，很難從海量的日志里獲得有用的信息，導致難以掌握全網(wǎng)的安全狀態(tài)，安全設備的價值并沒有被最大的發(fā)揮出來。本項目大數(shù)據(jù)安全管理模塊需要通過對多種設備日志的自動化收集、標準化和關聯(lián)分析，在做到日志審計的同時，通過大數(shù)據(jù)技術降低安全運維人員的時間成本和技術門檻，對網(wǎng)絡中存在的安全問題進行態(tài)勢感知。總體構建“可發(fā)現(xiàn)”、“可協(xié)同”、“可預測”、“可度量”的安全網(wǎng)絡建設體系。攻擊行為可發(fā)現(xiàn)隨著安全技術的不斷發(fā)展，安全攻擊威脅越來越向常態(tài)化、隱蔽化發(fā)展，包括0day模式的高級攻擊等，這讓用戶網(wǎng)絡安全形勢日益嚴峻，如何實現(xiàn)非法攻擊行為的及時發(fā)現(xiàn)是用戶網(wǎng)絡攻防戰(zhàn)中至關重要的一環(huán)。通過對基礎網(wǎng)絡、中間件、業(yè)務系統(tǒng)、終端、安全設備等多維度安全攻擊感知信息采集，結合深度分析、機器學習等關鍵技術，實現(xiàn)對用戶網(wǎng)絡中攻擊行為的及時發(fā)現(xiàn)和精準定位，并通過攻擊溯源、歸并告警等多種方式進行可視化呈現(xiàn)，讓網(wǎng)絡中的攻擊行為無處可藏安全防護可協(xié)同只依靠部署安全設備，并不等于安全，為實現(xiàn)對用戶整體網(wǎng)絡的安全防護，發(fā)揮各安全組件最佳整合協(xié)同效應，在用戶網(wǎng)絡安全攻防戰(zhàn)中，如何實現(xiàn)“人+平臺+設備”的有機結合及高效協(xié)同，跨越安全設備到真正安全間的鴻溝，是安全防護體系建設的一大難題。本次規(guī)劃通過分析平臺與安全設備聯(lián)動、云端智能分析協(xié)同、安全知識庫體系協(xié)助、安全專家咨詢、工單跟蹤閉環(huán)等機制，構建“人+平臺+設備”的立體化主動防御安全體系，幫助建設可協(xié)同的安全網(wǎng)絡，實現(xiàn)安全設備至真正安全的鴻溝跨越。威脅態(tài)勢可預測安全攻防戰(zhàn)本質上是時間戰(zhàn)，獲得時間優(yōu)勢就掌握了安全戰(zhàn)場上的主動權，如何實現(xiàn)對安全威脅態(tài)勢的提前預測，成為安全防護技術領域發(fā)展的新趨勢，也是下一代安全運營中心典型特征之一。本次規(guī)劃通過攻擊趨勢分析、業(yè)務曲線學習等機制，對未來威脅態(tài)勢進行提前預判，同時結合預警發(fā)布、專家咨詢服務等功能及機制設計，實現(xiàn)網(wǎng)絡未來威脅態(tài)勢預測，并提供針對性安全防護解決方案。安全狀態(tài)可度量在網(wǎng)絡安全領域，不存在百分之百的安全，當攻擊成本遠大于利益獲取時，網(wǎng)絡安全就可以得到保障。幫助用戶找到最適合自身場景的安全建設方案尤其重要，但如何進行安全狀態(tài)的量化評估一直是困擾用戶的難題，投入了大量精力對網(wǎng)絡進行安全建設，實際的安全狀態(tài)卻無法有效衡量。本次規(guī)劃根據(jù)安全日志、漏洞、風險、脆弱性等權重綜合評判現(xiàn)網(wǎng)安全狀態(tài)，量化全網(wǎng)及業(yè)務的安全評分，并通過安全評分趨勢、告警和工單處理等趨勢圖直觀的呈現(xiàn)安全建設業(yè)績，建設可度量的安全網(wǎng)絡。信息安全建設內容本次建設內容包括以安全策略管理、安全組織管理、安全運作管理和安全技術框架的中心樞紐，通過通過采集器將所有涉及全省XX信息系統(tǒng)資源的異構日志信息統(tǒng)一收集上來，通過探針將網(wǎng)絡內的流量信息進行統(tǒng)一采集，經(jīng)過處理分析組件過濾掉無效的流量數(shù)據(jù)和日志，最終篩選和關聯(lián)分析出真正有效的信息安全告警，實現(xiàn)快速定位網(wǎng)絡安全問題，利用工單和安全知識庫相結合，實現(xiàn)責任到人且快速處理問題，讓網(wǎng)絡安全事件完整閉環(huán)，實現(xiàn)在網(wǎng)絡安全方面極簡運營。同時通過自帶的漏掃引擎和配置核查系統(tǒng)制定定期安全巡檢工作（1）掌握全網(wǎng)安全信息精準把握安全態(tài)勢大數(shù)據(jù)安全分析需要支持SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業(yè)界主流的安全設備以及網(wǎng)絡設備，將現(xiàn)網(wǎng)當中的網(wǎng)絡設備、主機服務、安全設備、數(shù)據(jù)庫、中間件的相關日志進行統(tǒng)一的收集，并標準化為統(tǒng)一格式建立日志數(shù)據(jù)庫倉儲，并結合流量探針實現(xiàn)全網(wǎng)流量的采集，完成數(shù)據(jù)的歸并和統(tǒng)計，將當前信息系統(tǒng)資源日志和流量數(shù)據(jù)的價值充分發(fā)揮。（2）大數(shù)據(jù)分析多維度精準定核心風險信息安全系統(tǒng)建設需要支持漏洞掃描和安全配置核查，對業(yè)務系統(tǒng)進行全面的安全檢查，同時利用大數(shù)據(jù)分析技術，結合日志、流量、漏洞、資產(chǎn)、基線多方關聯(lián)分析技術明確真正有威脅的攻擊事件，大數(shù)據(jù)技術的日志分析和預設安全告警策略，不需要進行多次的調試，大數(shù)據(jù)安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。（3）實現(xiàn)安全事件的全流程管理功能信息安全系統(tǒng)需要實現(xiàn)全流程的安全事件管理功能，通過告警事件的派單動作，將事件轉入到具體的工單管理模塊中，并結合知識庫提供給排查人員安全事件的原理以及相應的解決方案，結合工單管理模塊責任到人，有利于工作的開展和追蹤；同時結合工單分發(fā)到整個事件閉環(huán)處理后，對已經(jīng)修復的漏洞、應急安全事件處理進行成果呈現(xiàn)。系統(tǒng)自帶安全運維知識庫，包含了安全事件、日志知識、基線、漏洞等多種安全問題的處理經(jīng)驗，給技術人員提供安全運維的支撐降低運維的技術門檻。（4）全網(wǎng)安全動態(tài)展示根據(jù)安全日志、漏洞、風險、脆弱性等權重綜合評判當前信息系統(tǒng)安全狀態(tài)，量化為安全評分或評級，并通過安全評分或評級的趨勢、告警和工單處理等趨勢圖直觀的呈現(xiàn)信息系統(tǒng)安全保障情況，實時展示安全態(tài)勢感知和攻擊溯源。信息安全建設總體框架整體方案架構整體方案以大數(shù)據(jù)技術架構為核心，集安全要素獲取、分析、處理、跟蹤、預測的全流程處理，同時結合機器學習等技術，實現(xiàn)對整體網(wǎng)絡的安全態(tài)勢感知。大數(shù)據(jù)分析平臺架構大數(shù)據(jù)安全平臺是由綜合展現(xiàn)層、業(yè)務功能層、綜合分析層、專項管理層、采集層以及接口等部分組成，如下圖所示。在安全管理系統(tǒng)中，主要由安全儀表板、個人工作臺、資產(chǎn)管理、風險管理、告警管理、安全事件管理、漏洞管理、安全基線管理、報表管理、知識庫管理、工單管理、系統(tǒng)管理組成。信息安全建設方案總體規(guī)劃整體大數(shù)據(jù)安全分析平臺采用ElasticSearch、hadoop等開源數(shù)據(jù)存儲、索引引擎，保證數(shù)據(jù)不被綁定，便于未來數(shù)據(jù)的二次應用；采用B/S架構，無需安裝客戶端軟件，支持全中文WEB管理界面，支持SSL加密模式訪問；支持針對網(wǎng)絡中各類安全產(chǎn)品、網(wǎng)絡設備、服務器、中間件、數(shù)據(jù)庫等產(chǎn)品進行日志收集和標準化，并通過探針進行流量數(shù)據(jù)采集，通過大數(shù)據(jù)綜合分析提供安全風險分析和問題定位能力。數(shù)據(jù)接入層規(guī)劃（1）日志接入規(guī)劃大數(shù)據(jù)安全平臺采用SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業(yè)界主流的安全設備以及網(wǎng)絡設備，將現(xiàn)網(wǎng)當中的網(wǎng)絡設備、主機服務、安全設備、數(shù)據(jù)庫、中間件的相關日志進行統(tǒng)一的收集，并標準化為統(tǒng)一格式建立日志數(shù)據(jù)庫倉儲，完成數(shù)據(jù)的歸并和統(tǒng)計，將現(xiàn)網(wǎng)日志數(shù)據(jù)的價值充分發(fā)揮。大數(shù)據(jù)平臺通過分布式架構進行日志接收和分析性能分擔，采集器負責日志接收能力負載，集群節(jié)點負責日志分析能力負載，從而滿足大規(guī)模日志接入和分析需求。系統(tǒng)需支持支持主流廠商安全設備、服務器、網(wǎng)絡設備、中間件等設備日志自識別接入；并支持非主流設備日志的自定義接入解析。 系統(tǒng)滿足設備的信息采集要求包括但不限于：（1）安全設備：主流廠商的防火墻、IDS、IPS等設備，如啟明、綠盟、銳捷、華為、Juniper、天融信等（2）操作系統(tǒng)：Linux、Windows、Windowserver、Uinx等操作系統(tǒng)（3）數(shù)據(jù)庫：Oracle、MySQL、SQLServer等（4）應用系統(tǒng)：如Apache、Tomcat、IIS、weblogic等（5）網(wǎng)絡設備：主流廠商的路由器、交換機、負載均衡等網(wǎng)絡設備等，如Cisco、華為、銳捷等。支持多級部署，采用日志采集器的方式，將下級網(wǎng)絡節(jié)點設備通過日志采集器統(tǒng)一采集后傳輸?shù)饺罩緜鬏斨疗脚_，支持多個日志采集器。分布式部署的方式下，可以制定策略傳輸指定日志，減少日志量。（2）流量采集規(guī)劃通過流量探針與大數(shù)據(jù)安全態(tài)勢感知與管控平臺相結合，網(wǎng)絡流量探針采用零拷貝、全程無鎖化技術處理網(wǎng)絡流量數(shù)據(jù)包，而且充分利用CPU向量化指令對各類模式進行識別或匹配，故即使在超大流量情況下，系統(tǒng)整體處理幾無延時。支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等協(xié)議的3-7層元數(shù)據(jù)提取、存儲、搜索，分析，可二次挖掘可疑攻擊行為。對網(wǎng)絡中的會話正常行為模式進行建模，分析網(wǎng)絡流量速率分布、會話趨勢、會話目的端口分布、會話協(xié)議分布、會話包數(shù)分布、會話字節(jié)數(shù)分布、會話源地址分布、會話目的地址分布、會話應用協(xié)議分布相關統(tǒng)計情況，通過分析會話流量對于正常行為模式的偏離而識別網(wǎng)絡攻擊，隱蔽傳輸與內網(wǎng)探測檢測等問題大數(shù)據(jù)分析層規(guī)劃大數(shù)據(jù)安全平臺自身支持漏洞掃描和安全配置核查，也可對接第三方的漏洞掃描設備，通過這兩個安全模塊將會對業(yè)務系統(tǒng)進行全面的安全檢查，同時利用大數(shù)據(jù)分析技術，結合日志、漏洞、資產(chǎn)、基線、流量等多方關聯(lián)分析技術明確真正有威脅的攻擊事件，大數(shù)據(jù)技術的日志分析和預設安全告警策略，不需要進行多次的調試，大數(shù)據(jù)安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。本次規(guī)劃系統(tǒng)可進行集中管理定義事件/日志/流量的過濾策略、歸并策略和關聯(lián)策略。支持對不同類型、來源于不同設備或系統(tǒng)的日志和流量進行關聯(lián)分析，支持GUI方式的關聯(lián)規(guī)則設置功能，關聯(lián)的類型包括基于規(guī)則和基于統(tǒng)計的。支持基于因果式的狀態(tài)關聯(lián)分析。系統(tǒng)支持基于異常統(tǒng)計模型的檢查分析功能，如：識別異常的流量攻擊等。系統(tǒng)提供狀態(tài)關聯(lián)、交叉關聯(lián)、邏輯關聯(lián)等多種關聯(lián)管理，可以通過資產(chǎn)、漏洞及攻擊進行交叉關聯(lián)，甄別定位真正對網(wǎng)絡有威脅的行為。態(tài)勢感知層規(guī)劃1、攻擊趨勢展示：結合系統(tǒng)收集到的攻擊事件信息，通過對攻擊事件來源、目標的溯源，從整體態(tài)勢上進行攻擊趨勢的展示，可以看到攻擊目標主要區(qū)域，攻擊來源地。2、安全信息概況：實時展示目前系統(tǒng)收集到的日志總數(shù)、基線違規(guī)的數(shù)量（例如服務器密碼強度、生存周期等基線要求）、檢測到的漏洞信息、安全告警的總數(shù)等。對網(wǎng)絡安全信息情況有整體了解。3、整網(wǎng)安全評分基于對網(wǎng)絡中資產(chǎn)的重要程度、資產(chǎn)的高中低的告警情況、基線掃描的違規(guī)情況、漏洞的掃描情況，進行加權計算，得出網(wǎng)絡綜合的安全評分，推薦的標準：分為優(yōu)良中差危，90分以上為優(yōu)，70-90為良，55-70為中，40-55為差，0-40為危。也可以根據(jù)實際的用戶安全要求標準進行調整。4、安全評分趨勢對最近一個月的安全評分進行趨勢圖呈現(xiàn)，可以幫助網(wǎng)絡管理者對整網(wǎng)的安全趨勢有直觀的了解，如果趨勢上升說明安全工作有成效，如果趨勢下降，則可以提前進行安全分析及加固措施。5、存在高風險的資產(chǎn)對高級別以上風險的資產(chǎn)進行呈現(xiàn)，提醒安全管理員重點關注。6、業(yè)務維度的安全評分 以業(yè)務為視角，結合業(yè)務相關的服務器、網(wǎng)絡設備等資產(chǎn)的安全告警、基線違規(guī)、漏洞情況進行綜合計算，實現(xiàn)對業(yè)務的安全情況進行量化評分。適用于各業(yè)務系統(tǒng)相關負責人對自己負責的業(yè)務進行針對性安全關注。7、大數(shù)據(jù)分析TOP5告警結合告警的嚴重級別及發(fā)生的次數(shù)，對最嚴重級別的告警進行呈現(xiàn)，可以提醒管理員進行重點關注。8、用戶訪問高危端口TOP5結合審計設備會話日志、探針流量檢測數(shù)據(jù)以及認證系統(tǒng)實名賬號信息，對用戶訪問高危端口的事件進行統(tǒng)計，包括445、135、3389等，頻繁訪問高危端口是安全威脅事件常見的特征，提醒管理員進行重點進行關注。9、未關閉的告警根據(jù)安全告警的處理狀態(tài)，對還未閉環(huán)的告警進行統(tǒng)計展示，包括待處理和已確認（知曉確認，但未處理）、已經(jīng)派單給負責人的，可以對進行中告警重點呈現(xiàn)。10、全球攻擊態(tài)勢感知根據(jù)系統(tǒng)采集的攻擊信息，對攻擊來源、目標等進行統(tǒng)計展示，對攻擊來源國家進行溯源，讓管理員對全網(wǎng)的攻擊態(tài)勢有全局的了解，如發(fā)生突發(fā)式攻擊形態(tài)變化，可以進行重點關注。信息安全方案價值整網(wǎng)安全狀態(tài)的掌握需要結合全網(wǎng)日志+流量數(shù)據(jù)進行綜合安全分析，從外部威脅（南向威脅）、外連威脅（北向威脅）、內部互聯(lián)威脅（東西向威脅）、安全脆弱性、全球攻擊態(tài)勢直觀展示整網(wǎng)安全態(tài)勢，做到聰者聽于無聲，明者見于未形，全天候全方位感知網(wǎng)絡安全態(tài)勢。簡單閉環(huán)安全問題從每天數(shù)以億計的數(shù)據(jù)中準確定位全網(wǎng)威脅最大、最真實的安全問題。利用基于狀態(tài)機的關聯(lián)分析、基于統(tǒng)計的機器學習、基于威脅情報的安全分析、基于機器學習和神經(jīng)網(wǎng)絡的分析算法等分析結果，以資產(chǎn)、業(yè)務等維度綜合關聯(lián)，形成完整的安全事件，并以殺傷鏈和時間軸方式直觀展示，一個頁面看清安全問題發(fā)生的過程和狀態(tài)，從而針對性的進行安全問題處理。主動安全防護變被動為主動，從已出問題（失陷態(tài)勢）、正在入侵（攻擊態(tài)勢）、已知風險（行為風險）、潛在風險（脆弱性）四個維度綜合呈現(xiàn)安全整體態(tài)勢，并層次遞進解決目前網(wǎng)絡中國的安全風險，做到主動防護的同時，支撐安全重點運維工作出口安全建設目標雙機熱備，更安全，易擴展兩臺RSR77-X組HA方案，保障出口設備冗余和高可用，設備出現(xiàn)故障后實現(xiàn)秒級切換，對整個用戶上網(wǎng)體驗無感知出口帶寬增加需要提升出口設備性能的時候，只需要增加板卡即可完成出口設備的性能擴容，無需對整臺設備進行替換，保護用戶已有的投資。校園運維場景設計零配置，減少日常維護復雜度通過集中管理的改造，可以極大的簡化校園網(wǎng)接入?yún)^(qū)域的管理和維護工作，但是將功能和策略的上收并不能完全解決入室交換機的配置工作量，主要原因如下：即使是將大部分的功能和策略上收，在入室交換機還是存在Vlan的配置和管理，由于高校規(guī)模龐大的接入設備數(shù)量，Vlan的配置和管理將帶來巨大的工作量。同時學生用戶通過各種渠道獲得了接入設備的登陸權限，有意無意的會造成接入設備的配置錯誤甚至配置丟失，雖然不會造成免認證和不受控上網(wǎng)，但會引起整個接入設備下的用戶無法接入網(wǎng)絡。解決這個問題需要管理員定期的修改設備管理賬號和密碼，同樣由于高校規(guī)模龐大的接入設備數(shù)量，這個工作基本上是不可能完成的任務。簡化Vlan配置部署為了簡化VLAN配置管理，“極簡以太全光網(wǎng)絡”通過管理軟件來上收校園網(wǎng)接入設備的Vlan配置部署，其核心思路是將VLAN配置管理的操作封裝成一個配置任務。該配置任務分為四個步驟：配置前備份、配置下發(fā)、配置后比對、配置后備份。當用戶需要對網(wǎng)絡進行VLAN配置時只需要創(chuàng)建任務并執(zhí)行任務即可；入室交換機零配置入網(wǎng)和光鏈路檢測網(wǎng)絡部署中有大量的入室交換機在學校的教室和辦公室，一旦入室交換機出現(xiàn)問題，維護工作尤為復雜。通過銳捷SDN技術可以輕松實現(xiàn)設備自動化運維，減輕運維人員的工作負擔。接入設備模板化，接入設備即插即用，消除人為能力因素，通過可視化提升效率，提升體驗。接入設備模板化配置，下聯(lián)端口vlan無關避免接錯口問題。通過自動化運維的解決方案做到設備0配置上線、0配置替換。改成全光網(wǎng)后當房間數(shù)比較多的時候，光纖鏈路診斷、故障的定位修復，一直是一個大難題，耗費的時間也很長。在傳統(tǒng)網(wǎng)絡中，鏈路的診斷和定位功能不夠精確，很難達到用戶的需求，基于這些需求，在極簡以太全光網(wǎng)方案中，希望把整個運維過程做到極簡，管理員只需要三步，就可以做到全流程的管控。第一步查看設備狀態(tài)：包括設備的在線狀態(tài)、連通狀態(tài)、配置狀態(tài)等；第二步查看鏈路的狀態(tài)：包括光鏈路自動告警和檢測，以及告警原因分析和處理建議等；第三步呢，就是高階光鏈路診斷，除了確定故障源之外，我們還支持手機掃描、一鍵獲取全鏈路詳情的功能。用戶也可以靈活選擇主動管理或被動管理，保證客戶一人管理，整個網(wǎng)絡一鍵搞定。網(wǎng)隨人動策略隨行無線網(wǎng)絡，物聯(lián)網(wǎng)絡業(yè)務終端快速增長，終端位置的移動接入成為常態(tài)，業(yè)務的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡位置進行網(wǎng)絡規(guī)劃的方式無法滿足現(xiàn)有復雜的業(yè)務場景。極簡以太全光解決方案支持終端位置移動IP網(wǎng)段隨行，因此我們只需要將策略應用在對應的用戶分組或者指定ip上，這樣用戶的所有的安全策略和權限就能移動隨行。面對海量的物聯(lián)網(wǎng)終端、打印機、移動PC入網(wǎng)，無需更改接入設備的配置，通過SDN技術把VLAN和IP、端口解耦。通過提供業(yè)務與IP網(wǎng)段的綁定可實現(xiàn)業(yè)務快速部署。業(yè)務終端可分布在全網(wǎng)任意區(qū)域，達到了業(yè)務之間的邏輯隔離。在整體安全策略部署方面采用SDN（軟件定義網(wǎng)絡）技術，提高安全設備資源利用率，提高整體安全性能，實現(xiàn)擴品牌跨型號安全設備冗余熱備。為更加方便部署安全策略，通過SDN實現(xiàn)用戶的IP隨行，實現(xiàn)IP即用戶，IP段即用戶組，做到用戶任意地方接入IP地址不變，由于地址不變，安全策略及權限也不用變化，做到安全策略隨行。智慧運維管理平臺銳捷樂享運維管理平臺的總體設計方案及系統(tǒng)功能架構：1.總體設計框架：銳捷樂享運維管理平臺結合當前智能運維的發(fā)展趨勢和的自身需求，智能運維管理系統(tǒng)的總體功能架構分為服務層、應用層和觸達層三個層面，系統(tǒng)功能架構圖如下所示：智能運維管理系統(tǒng)功能架構圖服務層：采用微服務架構的設計思路，將運維的標準服務能力下沉到平臺，平臺能力包括不限于采控、自動發(fā)現(xiàn)、CMDB、自動化運維、智能算法、執(zhí)行調度、自動執(zhí)行、權限控制等對象化的基礎服務，使運維平臺具備更用戶化的適應能力，以及與其他系統(tǒng)交互的能力。應用層：結合用戶的需求，每種運維場景通過組件化的方式進行封裝，支持的場景可靈活擴展，并通過統(tǒng)一的服務接口對外提供數(shù)據(jù)服務，構建豐富的應用功能，如運營服務、業(yè)務監(jiān)控、健康檢查、運維工具、全域資源健康等。觸達層：提供了多種展示視圖和方式，為不同的用戶提供不同的管理視圖，包括工作門戶、大屏展示視圖、通知等。2.系統(tǒng)技術架構：系統(tǒng)采用了Kubernetes容器和Docker的運行架構，可彈性使用系統(tǒng)資源。采用了混合式數(shù)據(jù)存儲方式，使用了Postgresql（關系型數(shù)據(jù)庫）、Clickhouse（時序數(shù)據(jù)庫）、Arangodb（圖形數(shù)據(jù)庫）、Redis（非關系類型數(shù)據(jù)庫）等多種類型數(shù)據(jù)庫，滿足對結構化、半結構化、非結構化數(shù)據(jù)的存儲和處理要求。前端基于FusionDesign的框架，通過基于DPL模式，設計前端之間的標準協(xié)議與工作流來快速構建符合業(yè)務訴求的DPL，提升DPL的構建效率和應用效率，進而實現(xiàn)業(yè)務UI的快速構建。同時加入了對WebGL、HTML5的支持，滿足數(shù)據(jù)多種可視化的呈現(xiàn)要求。系統(tǒng)技術架構圖集成運行平臺基于DevOps設計思想，實現(xiàn)系統(tǒng)的部一鍵部署、升級和可視化組件狀態(tài)運維管理，且平臺還提供了自動化的調度和負載分擔的機制，并可以按照需求進行擴容。系統(tǒng)的采集層、處理層、通訊層、展示層均以Docker容器的方式封裝隔離，通過Kubernetes進行編排和管理，然后通過集成平臺管理界面進行統(tǒng)一的集群安裝部署，平滑升級，并提供系統(tǒng)自檢、自愈、備份、擴容等功能。資源層運維平臺可以管理的所有對象，包含機房動環(huán)、IP終端、網(wǎng)絡設備、安全設備、無線設備、服務器、存儲、OS、中間件、數(shù)據(jù)庫、虛擬化、云平臺以及應用系統(tǒng)等。采集層運維平臺支持Agent和Agentless兩種采集方式，同時預留第三方的接口，可以對接第三方系統(tǒng)推送的數(shù)據(jù)。數(shù)據(jù)范圍包含了動環(huán)數(shù)據(jù)、設備運行數(shù)據(jù)、中間件/數(shù)據(jù)庫運行數(shù)據(jù)、流量數(shù)據(jù)、關系數(shù)據(jù)、日志數(shù)據(jù)、應用系統(tǒng)運行數(shù)據(jù)等，結合系統(tǒng)對黃金指標的定義，實現(xiàn)對數(shù)據(jù)的采集和分類。支持的采集協(xié)議包含了如SNMP、Telemetry(遙測)、SSH/Telnet、WinRM/WMI、NetFlow、NetStream、JDBC、JMX、HTTP、SMI-S、IPMI、WebSocket、crul（仿真探測）等。處理層數(shù)據(jù)處理層只要是對采集的原始數(shù)據(jù)進行清洗、過濾、抽取、轉換、計算等使其數(shù)據(jù)能滿足上層業(yè)務場景對數(shù)據(jù)的消費。為了確保采集數(shù)據(jù)的實時入庫和高頻度實時查詢需求，滿足高可用、高并發(fā)、高性能等特性，系統(tǒng)采用了混合式的數(shù)據(jù)存儲方式，其中關系型數(shù)據(jù)庫Postgresql用來存儲系統(tǒng)的相關數(shù)據(jù)，如用戶數(shù)據(jù)、系統(tǒng)配置等數(shù)據(jù)；使用時序數(shù)據(jù)Clickhouse，用于存儲所有的指標數(shù)據(jù)，以滿足系統(tǒng)對指標的高性能查詢和數(shù)據(jù)分析；使用圖數(shù)據(jù)庫ArangoDB用來存儲CI之間的關系，便于對關系數(shù)據(jù)的及時更新和實時查詢；使用緩存數(shù)據(jù)庫Redis為系統(tǒng)中關鍵的功能如告警、風險檢查等關鍵功能進行加速支持，使其能快速讀取和計算；使用kafka滿足系統(tǒng)中大規(guī)模的消息高速吞吐處理；使用Zookeeper滿足系統(tǒng)分布式集群各組件的協(xié)調處理需求。業(yè)務層系統(tǒng)的業(yè)務應用層（APPserver或者webserver層）,該層為智能運維平臺的“上傳下達”層，負責按照展示層的需求調用處理層接口上的數(shù)據(jù)，同時按照應用需求對處理層提供的基礎數(shù)據(jù)進行簡單的再加工，如單位換算、簡單的數(shù)據(jù)過濾（如隱藏特定字段、特定排序等）。通訊層通訊層為展示層以及第三方系統(tǒng)提供統(tǒng)一的接口服務。包含了為所有業(yè)務提供鑒權、認證服務，提供了第三方的單點登錄接口，實現(xiàn)與第三方系統(tǒng)的登錄對接。展示層展示層為智能運維管理平臺的集中展示門戶，是使用者可觸達的入口。主要包括了工作門戶、運營輔助決策、通知中心。其中工作門戶使用了UI-CBB的實現(xiàn)架構，通過靈活的配置，讓使用者按照工作習慣實現(xiàn)自己的工作門戶。運營輔助決策主要使用的技術棧包括Html5、Javascript、Css、WebGL等主流的web前端技術滿足各種場景和應用的需求。3.部署架構樂享智能運維管理系統(tǒng)采用容器化部署平臺，其中容器采用Docker引擎，容器編排采用Kubernetes來進行管理。集群支持對微服務進行部署、監(jiān)控、啟停。集群組最小可以支持一個Master節(jié)點和一個Worker節(jié)點，同時也可以根據(jù)監(jiān)控資源的數(shù)量或者應用模塊的多少進行擴容。系統(tǒng)部署架構圖對于多節(jié)點監(jiān)控或者擴展存在分支網(wǎng)絡的情況，為了解決安全隔離或者廣域網(wǎng)傳輸?shù)?，也可以分離采控代理的方式進行部署。如以下部署方式：分離采控代理方式部署架構圖其中在K8S的環(huán)境中也具備采控代理的能力，在沒有分支部署需求或者采集資源不多的情況下，直接部署一個K8S的環(huán)境即可滿足對資源的自動發(fā)現(xiàn)、采集、動作執(zhí)行以及仿真探測等任務。4.主要技術應用建設智能運維管理系統(tǒng)需要借助新型的信息技術，在本次建設中我們推薦采用以下技術應用。1、基于業(yè)務體驗的提前預警：通過流量探針與仿真撥測設備對不同鏈路、不同業(yè)務的訪問體驗進行監(jiān)控，實現(xiàn)早于用戶發(fā)現(xiàn)異常。同時，為服務臺人員受理用戶的異常反饋后可以更快地識別故障區(qū)域、并更準確地分配處置任務。2、根因關聯(lián)分析：通過統(tǒng)一的CMDB整合了基礎網(wǎng)管、準入管理、流量采集分析等不同運維系統(tǒng)的運行數(shù)據(jù)及各CI實例之間的關系，當某個資源發(fā)現(xiàn)告警時，可以通過系統(tǒng)內置的關系圖自動計算出該告警產(chǎn)生的可能原因及對哪些資源會產(chǎn)生影響，協(xié)助服務人員更快速地定位發(fā)生異常的具體區(qū)域，并為查找原因提供數(shù)據(jù)支撐；3、圖數(shù)據(jù)庫在CMDB上的應用：為了直接的表達CI之間的關系，高效寫入大量的關系數(shù)據(jù)，提升關系的關聯(lián)查詢能力，系統(tǒng)引入圖數(shù)據(jù)庫替換傳統(tǒng)的關系型數(shù)據(jù)庫。圖數(shù)據(jù)庫在構建關系、插入大量數(shù)據(jù)及關聯(lián)查詢都進行針對性的優(yōu)化，比如存儲模型上、數(shù)據(jù)結構、查詢算法等，防止局部數(shù)據(jù)的查詢引發(fā)全部數(shù)據(jù)的讀取。在做關聯(lián)數(shù)據(jù)查詢上，效果遠好于傳統(tǒng)數(shù)據(jù)庫。同時，圖數(shù)據(jù)庫也對查詢語句做了專門的抽像，對于復雜查詢業(yè)務的實現(xiàn)更容易。4、引入黃金指標，對每類資源在基礎指標上進行再加工，基于SRE黃金指標構建運行狀態(tài)分析模型，將指標分為流量、錯誤、飽和度、時延四個維度。比如CPU、內存的利用率會根據(jù)權重的不同重新生成為系統(tǒng)飽和度的黃金指標。多運營商有線無線統(tǒng)一認證計費運營設計為了避免校園網(wǎng)壟斷，讓學生有更好的網(wǎng)絡體驗和更自由的選擇權，需要與多個運營商輕松實現(xiàn)聯(lián)調對接。本次通過認證計費系統(tǒng)和出口設備進行對接，可實現(xiàn)學生在校內使用統(tǒng)一的學號作為用戶名，靈活選擇運營商進行開戶上網(wǎng)。當學生使用電信網(wǎng)絡時候，出口設備智能選擇電信鏈路進行上網(wǎng)，當學生使用聯(lián)通網(wǎng)絡時候，出口設備智能選擇聯(lián)通鏈路進行上網(wǎng)，有效進行校園內部網(wǎng)絡和認證計費運營平臺的融合。校內校外認證融合運營設計在本次網(wǎng)絡融合設計中，學校內部認證和運營商認證要無縫融合。學校希望能對校內學生進行精細化管理，統(tǒng)一校內學生賬號。運營商需要不改變傳統(tǒng)運營商認證架構模式，盡量簡單實現(xiàn)認證需求。校內認證：校內學生采用學校分配的賬號進行認證，校內網(wǎng)絡免費使用。校外認證：當學生需要訪問互聯(lián)網(wǎng)，要到運營商進行開戶，開戶后根據(jù)運營商賬號信息，由出口設備代理學生向運營商BRAS通過PPPOE撥號進行認證上網(wǎng)。此融合認證模式下，學校只需要采購一臺出口設備，既可完成和多家運營商對接，學生可以自主選擇綁定運營商，校內資源免費、校外資源收費；校園業(yè)務可以在所有終端上開展，包括IPv6、組播、校園自有應用等，出口運營商采用PPPOE認證方式，不改變運營商認證模式。學?？蓪π扔脩舨捎肳EB認證、802.1X認證、二維碼認證等認證方式，靈活進行校內認證管理。以這種方式進行組網(wǎng)，達到校園網(wǎng)運營統(tǒng)一的目的，校園網(wǎng)、運營商寬帶網(wǎng)絡統(tǒng)一化，組網(wǎng)、維護、升級更簡單、高效；通過“極簡網(wǎng)絡“消除了運營商企業(yè)的商業(yè)屬性對高校教育的社會屬性的潛在影響，通過RG-SAM搭建了一個校外服務的準入和評估平臺，網(wǎng)絡中心對校園網(wǎng)用戶具有最高的管理、服務權限，而且通過該平臺還可以對運營商的服務進行量化的評估，運營商如果要獲得預期的商業(yè)收益，只能提升服務質量、保證服務效果，將服務的選擇權交還給校園網(wǎng)用戶。認證過程如下：校園網(wǎng)部署一臺N18K作為有線無線的準入邊界，校園網(wǎng)出口部署一臺RSR77設備作為校園網(wǎng)準出邊界，N18K和RSR77均會統(tǒng)一跟校園網(wǎng)SAM系統(tǒng)聯(lián)動，實現(xiàn)準入準出的一體化，學生采用校園網(wǎng)賬號通過校園網(wǎng)SAM認證系統(tǒng)認證后，可免費訪問校內資源，當用戶需要訪問校外互聯(lián)網(wǎng)時，則需要通過運營商SAM系統(tǒng)將校園網(wǎng)賬號轉換為運營商賬號，并通過運營商Radius認證，認證成功后由運營商路由器放行，用戶方可訪問互聯(lián)網(wǎng)資源，并由運營商的Radius系統(tǒng)進行計費。整個認證過程用戶端只需一次認證即可，認證轉換后臺自動完成。PPPOE代理撥號的認證方式，運營商不會改變原有運營模式，運營商可以制定各種豐富的計費策略，時長、包月、流量、帶寬限制等可以獨立選擇也可靈活組合，如包月限帶寬、包月限流量、純流量計費、包月計費等等，另外還支持同一賬號不同接入方式（有線、無線）不同的計費策略，如某個學生賬號有線接入XX元包月，無線接入按流量計費。當涉及到流量套餐和帶寬套餐時，運營商BRAS設備可進行控制和管理，同時相關策略也會同步到校園網(wǎng)SAM系統(tǒng)。學生訪問校內時使用校園網(wǎng)SAM賬號，且免費，訪問校外時必須綁定運營商賬號，且收費標準由運營商的套餐決定。具體實現(xiàn)方式如下：當學生訪問校內時，通過校園網(wǎng)SAM系統(tǒng)本地認證，由交換機或無線控制器做準入控制，當通過認證后，核心交換機放行數(shù)據(jù)，可直接訪問校內資源。當學生訪問校外資源時，需要通過運營商BRAS設備的準出認證，認證賬號必須是已經(jīng)跟運營商綁定的賬號，認證信息會依次通過校園網(wǎng)SAM、運營商SAM、運營商BOSS系統(tǒng)。學校精細化管理設計在校內部署有一套SAM身份認證平臺，學?？梢怨芾淼剿袑W生身份信息。通過在出口部署上網(wǎng)行為管理設備，配合SAM認證計費平臺。實現(xiàn)對學生的實名上網(wǎng)行為管理、實名審計。學校有線無線的認證管理、學生上網(wǎng)行為管理、上網(wǎng)日志等均由校園網(wǎng)SAM系統(tǒng)進行控制，除了計費及套餐的制定由運營商控制，學校與營運商可以公開化對賬。學校原有的校園網(wǎng)SAM賬號必須與運營商賬號進行綁定，否則學生無法通過認證，這樣可以保證已經(jīng)投資入圍的運營商的利益，防止未入圍的運營商進入校園網(wǎng)