校園網(wǎng)絡(luò)升級改造解決方案VIP

DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameCloudCampus大中型園區(qū)網(wǎng)絡(luò)設(shè)計指南（虛擬化場景）STYLEREF"1"\n2STYLEREF"1"安裝過程校園網(wǎng)絡(luò)升級改造解決方案V3.0文檔版本DOCPROPERTYDocumentVersion04(DOCPROPERTYReleaseDate2021-09-15)DOCPROPERTYProprietaryDeclaration版權(quán)所有?華為技術(shù)有限公司5PAGE130校園網(wǎng)絡(luò)升級改造解決方案目錄1概述 41.1高教網(wǎng)絡(luò)建設(shè)背景 41.2高校園區(qū)網(wǎng)絡(luò)挑戰(zhàn) 42高校各場景的建設(shè)需求 92.1基礎(chǔ)承載網(wǎng)場景 92.1.1教學(xué)場景 92.1.2辦公場景 102.1.3宿舍場景 102.2校園網(wǎng)安全場景 102.2.1終端安全 102.2.2內(nèi)網(wǎng)安全 112.3校園網(wǎng)運維場景 112.3.1即插即用，極速上線 112.3.2故障監(jiān)測預(yù)警，智能運維 122.3.3策略隨行一致體驗 122.3.4運維管理的需求 132.4校園網(wǎng)運營場景 132.4.1精細化運營 133極簡以太全光方案 143.1方案簡介 143.1.1方案拓撲結(jié)構(gòu) 143.1.2以太全光網(wǎng)架構(gòu)特點 153.1.3方案組件 153.1.4主要建設(shè)性能指標(biāo) 174極簡光綜合布線設(shè)計 194.1綜合布線概要一覽表 194.2水平子系統(tǒng)（房間至樓層弱電間）設(shè)計 194.3樓層弱電間設(shè)計 204.4垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機房）設(shè)計 204.5樓宇匯聚機房設(shè)計說明 214.6多媒體箱安裝規(guī)范 224.7房間內(nèi)布線示意 234.7.1中低密度房間 244.7.2大廳場景 255高校各場景的網(wǎng)絡(luò)設(shè)計 255.1基礎(chǔ)承載網(wǎng)場景設(shè)計 255.1.1教學(xué)場景 255.1.2辦公場景 275.1.3宿舍場景 285.2校園安全場景設(shè)計 285.2.1終端安全建設(shè)目標(biāo) 285.2.2信息安全建設(shè)目標(biāo) 335.2.3出口安全建設(shè)目標(biāo) 425.3校園運維場景設(shè)計 435.3.1零配置，減少日常維護復(fù)雜度 435.3.2簡化Vlan配置部署 435.3.3入室交換機零配置入網(wǎng)和光鏈路檢測 435.3.4網(wǎng)隨人動策略隨行 445.3.5智慧運維管理平臺 455.3.6多運營商有線無線統(tǒng)一認證計費運營設(shè)計 505.3.7校內(nèi)校外認證融合運營設(shè)計 505.3.8學(xué)校精細化管理設(shè)計 525.4方案價值 535.4.1滿足學(xué)校管理訴求，打消壟斷顧慮 535.4.2提升用戶體驗 535.4.3運營商快速拓新 546方案選型建議 627.1產(chǎn)品選型建議 627.1.1設(shè)備選型 62概述高教網(wǎng)絡(luò)建設(shè)背景教育部印發(fā)的《教育信息化十年發(fā)展規(guī)劃（2011－2020年）》中強調(diào)信息化對于提高教育質(zhì)量、構(gòu)建人力資源強國具有重大意義。以教育信息化帶動教育現(xiàn)代化，是我國教育事業(yè)發(fā)展的戰(zhàn)略選擇。教育部印發(fā)的《教育信息化“十三五”規(guī)劃》中也強調(diào)“十三五”期間，堅持“四個全面”戰(zhàn)略布局，牢固樹立和貫徹落實創(chuàng)新、協(xié)調(diào)、綠色、開放、共享的發(fā)展理念，以“構(gòu)建網(wǎng)絡(luò)化、數(shù)字化、個性化、終身化的教育體系，建設(shè)‘人人皆學(xué)、處處能學(xué)、時時可學(xué)’的學(xué)習(xí)型社會，培養(yǎng)大批創(chuàng)新人才”為發(fā)展方向，按照“服務(wù)全局、融合創(chuàng)新、深化應(yīng)用、完善機制”的原則，穩(wěn)步推進教育信息化各項工作，更好地服務(wù)立德樹人，更好地支撐教育改革和發(fā)展，更好地推動教育思想和理念的轉(zhuǎn)變，更好地服務(wù)師生信息素養(yǎng)的提升，更好地促進學(xué)生的全面發(fā)展，推動形成基于信息技術(shù)的新型教育教學(xué)模式與教育服務(wù)供給方式，提升教育治理體系和治理能力現(xiàn)代化水平，形成與教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系，充分發(fā)揮教育信息化對教育現(xiàn)代化的支持和引領(lǐng)作用。學(xué)校智慧校園建設(shè)是實現(xiàn)學(xué)校教育現(xiàn)代化的抓手和基礎(chǔ)核心工作。高校園區(qū)網(wǎng)絡(luò)挑戰(zhàn)傳統(tǒng)校園網(wǎng)方案設(shè)計無論是從管理、維護還是整合，均采用的是分布或分散式的模式，即管理層級過多、維護力量分散、功能和策略部署在接入層、資源整合采用多方溝通和協(xié)調(diào)。這種模式不但在現(xiàn)階段讓網(wǎng)絡(luò)中心難以提升服務(wù)質(zhì)量、提高服務(wù)響應(yīng)率，而且會降低用戶體驗度，同時也無法應(yīng)對無線校園乃至物聯(lián)網(wǎng)浪潮所帶來的挑戰(zhàn)。在高教行業(yè)中，隨著教學(xué)數(shù)字化的繼續(xù)發(fā)展，原先采用的三層物理架構(gòu)組網(wǎng)模型存在擴展性差、帶寬升級麻煩、終端部署困難、弱電間安全隱患凸顯等一系列問題，具體如下：施工部署的問題隨著業(yè)務(wù)增加，信息點位增多，業(yè)務(wù)無法靈活擴展，每增加一個業(yè)務(wù)/終端就需要從弱電井重新布線，導(dǎo)致橋架空間壓力大。業(yè)務(wù)改造都要從橋架中理線麻煩成本高，廢棄直接部署新網(wǎng)線導(dǎo)致橋架網(wǎng)線越來越多，不美觀，橋架空間壓力大。每次網(wǎng)絡(luò)改造或上新業(yè)務(wù)都要全網(wǎng)改造，同時施工經(jīng)常會弄斷其他業(yè)務(wù)網(wǎng)線，影響正常業(yè)務(wù)開展。端口擴展問題多媒體教室從最初的有線網(wǎng)部署開始，隨著教學(xué)改革，業(yè)務(wù)逐漸發(fā)展演進，從有線網(wǎng)->標(biāo)準(zhǔn)化考場專網(wǎng)->無線網(wǎng)->物聯(lián)網(wǎng)，這造成每次業(yè)務(wù)的發(fā)展都需要上線一批終端，拉數(shù)根網(wǎng)線進教室；可以預(yù)見的是：未來進入教室的終端只會越來越多，需要擴展的接入點端口和網(wǎng)線數(shù)量會成為每次業(yè)務(wù)發(fā)展的阻礙。帶寬升級問題隨著大帶寬業(yè)務(wù)需求（如錄播、WIFI6等）出現(xiàn)，校園網(wǎng)絡(luò)需要頻繁升級。無線業(yè)務(wù)驅(qū)動高教校園網(wǎng)升級，校園無線每升級一次，就需要對現(xiàn)網(wǎng)的線路改造替換一次。傳統(tǒng)以太網(wǎng)部署使用的是網(wǎng)線，網(wǎng)線分四類型、五類線、超五類線、六類線等不同類型，每次網(wǎng)絡(luò)升級都需要更換整個網(wǎng)絡(luò)線路，同樣存在網(wǎng)絡(luò)升級成本高的問題。終端準(zhǔn)入問題隨著信息化的不斷深入，數(shù)字化終端接入網(wǎng)絡(luò)的要求越來越多?，F(xiàn)在教室普遍存在多網(wǎng)絡(luò)，每張網(wǎng)絡(luò)具有多個終端。傳統(tǒng)以太網(wǎng)部署是將接入交換機放在弱電間，再鋪設(shè)網(wǎng)線到教室終端。每個教室終端需要鋪設(shè)一根網(wǎng)線，日益增多的教室終端導(dǎo)致需要海量的網(wǎng)線數(shù)量?；氐搅藛栴}1描述的場景。弱電間安全問題弱電間堆放大量有源通信設(shè)備，存在消防安全隱患。傳統(tǒng)的以太網(wǎng)部署需要將接入設(shè)備放置于弱電間，從而增加安全隱患。另外，受限于弱電間選址問題，弱電間環(huán)境普遍較差，輕則產(chǎn)生電磁干擾，重則影響網(wǎng)絡(luò)設(shè)備使用壽命。網(wǎng)絡(luò)安全問題為了保證校園網(wǎng)絡(luò)安全，學(xué)校都會部署很多的安全設(shè)備，傳統(tǒng)的安全設(shè)備只能阻斷南北向的數(shù)據(jù)流量的安全問題，但是在內(nèi)網(wǎng)出現(xiàn)安全問題后，很難校園網(wǎng)內(nèi)部的攻擊、病毒的傳播，學(xué)校依然會收到安全協(xié)查通報，攻擊/病毒等很難難阻斷。校園網(wǎng)運營難問題校園網(wǎng)需要運營商/投資方聯(lián)合運營，但是不少學(xué)校采用的運營商提供的運營模式與本學(xué)校的實際情況差距較大。學(xué)校不是運營商，運營經(jīng)驗不足，出現(xiàn)問題后設(shè)備的維護邊界不清，導(dǎo)致相互推諉扯皮等問題。如何保障學(xué)校運營的順利展開，采用什么樣的計費策略、收費繳費流程、采用怎樣的模式劃定設(shè)備維護邊界進行管理都是學(xué)校急需解決的問題。出口靈活擴容問題學(xué)校擴招、學(xué)生上網(wǎng)需求增加，新應(yīng)用及技術(shù)驅(qū)動，帶來帶寬需求增加。同時隨著有線無線同時運行，電腦、手機、pad等終端使用帶來出口設(shè)備認證并發(fā)需求增加。師生上網(wǎng)使用需求增加導(dǎo)致出口設(shè)備壓力增大，設(shè)備故障風(fēng)險直接影響全校網(wǎng)絡(luò)運行，所以需要更加穩(wěn)定的出口方案，同時滿足未來隨著業(yè)務(wù)發(fā)展可以靈活的擴容。高校各場景的建設(shè)需求基礎(chǔ)承載網(wǎng)場景教學(xué)場景隨著普通教室向標(biāo)準(zhǔn)化考場、多媒體教室進行改造，學(xué)校在業(yè)務(wù)迭代的過程中促進教室信息點持續(xù)增加，從傳統(tǒng)的一個教室2-4個信息點（多媒體電腦、無線、視頻監(jiān)控）到現(xiàn)在新增云桌面、數(shù)字廣播、大屏/黑板、電子班牌、物聯(lián)網(wǎng)等6-12個信息點，教室的教學(xué)網(wǎng)絡(luò)環(huán)境需要持續(xù)改造升級，要支持業(yè)務(wù)靈活擴展。同時越來越多的新建智慧教室、VR/AR教室、實訓(xùn)樓/實訓(xùn)室等新型教學(xué)環(huán)境，教學(xué)類業(yè)務(wù)對帶寬和延遲需要越來越高：3D/VR/AR教室訪問數(shù)據(jù)中心/云端資源需要無線提供高并發(fā)和大流量（WIFI6）的支撐——VR教學(xué)的終端，單終端50~300Mbps，時延要低于8ms。無線平板教學(xué)，單個終端需要30~50Mbps的帶寬，延遲要小于20ms；云機房/PC機房東西向、南北向并發(fā)流量大，對帶寬和網(wǎng)絡(luò)穩(wěn)定性要求高——進行鏡像下發(fā)時，每個終端需要至少30Mbps帶寬。60個設(shè)備同時訪問SPOC、MOOC資源、PXE克隆、教學(xué)廣播需要內(nèi)部二層轉(zhuǎn)發(fā)。主要教學(xué)應(yīng)用對帶寬的要求如下：辦公場景行政人員辦公經(jīng)常面臨工位頻繁更換，信息點位不固定，甚至是大范圍挪移，出現(xiàn)端口不夠用的情況就只能使用傻瓜交換機級聯(lián)拓展，存在發(fā)生環(huán)路引發(fā)網(wǎng)絡(luò)運行不穩(wěn)定的風(fēng)險；而管理人員的辦公室通常部署在每個樓層的末端，這種VIP辦公室距離弱電間超過100m，就會造成拉線困難，同時VIP辦公室要求施工簡單，盡可能縮短工期，室內(nèi)設(shè)備美觀。辦公網(wǎng)設(shè)備線路難以頻繁改造，布線施工成難題。在辦公室里除了需要滿足高帶寬要求外，還需要重點考慮數(shù)據(jù)的共享，老師會使用網(wǎng)上鄰居進行數(shù)據(jù)共享，跨房間之間的打印機共享等業(yè)務(wù)，所以在辦公網(wǎng)的設(shè)計規(guī)劃中需要靈活劃分業(yè)務(wù)隔離與共享。宿舍場景宿舍區(qū)域人數(shù)多、空間小、終端種類多、并發(fā)終端數(shù)量大，干擾較為嚴(yán)重。隨著學(xué)生對上網(wǎng)網(wǎng)絡(luò)質(zhì)量和上網(wǎng)流量的需求越來越大，需要滿足無線信號的全覆蓋，同時提供優(yōu)質(zhì)的上網(wǎng)體驗。校園網(wǎng)安全場景終端安全電腦、筆記本、手機等師生辦公學(xué)習(xí)終端，打印機、刷卡器、監(jiān)控等啞終端，電子班牌、智慧大屏、數(shù)字圖書館等公共上網(wǎng)終端，校園的各類型的業(yè)務(wù)終端井噴式增長。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下一臺IOT終端上線要經(jīng)歷IP申請、信息分配記錄、找位置找端口、劃分業(yè)務(wù)VLAN、配置訪問策略、信息上線記錄，到最后的上線聯(lián)調(diào)，過程冗長終端上線效率低。同時，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下對IOT終端的安全管控仍需要手動搜集MAC地址，再進行基于端口和MAC的綁定?；蛘邔〗K端設(shè)置為免認證終端直接放通，這樣就會存在用戶私接入網(wǎng)以及不合法終端也能直接入網(wǎng)，存在被攻擊、數(shù)據(jù)泄露的風(fēng)險。傳統(tǒng)校園網(wǎng)運維和安全存在著極大的麻煩和風(fēng)險。校園物聯(lián)網(wǎng)需要一個支持終端快速上線、安全隔離，人、物公用的易維護的好網(wǎng)絡(luò)。內(nèi)網(wǎng)安全當(dāng)前網(wǎng)絡(luò)與信息安全領(lǐng)域，正面臨著全新的挑戰(zhàn)。一方面，伴隨大數(shù)據(jù)和云計算時代的到來，安全問題正在變成一個大數(shù)據(jù)問題，高校校園網(wǎng)絡(luò)及信息系統(tǒng)每天都在產(chǎn)生大量的安全數(shù)據(jù)，并且產(chǎn)生的速度越來越快。另一方面，校園面對的網(wǎng)絡(luò)空間安全形勢嚴(yán)峻，需要應(yīng)對的攻擊和威脅變得日益復(fù)雜，這些威脅具有隱蔽性強、潛伏期長、持續(xù)性強的特點。傳統(tǒng)系統(tǒng)信息安全保障能力面臨以下四個方面的問題：（1）不能及時識別信息安全事件當(dāng)前，信息系統(tǒng)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)、安全設(shè)備較多，產(chǎn)生安全事件數(shù)量巨大，根據(jù)調(diào)查，至少95%以上的安全事件屬于誤報，真正存在的少量安全事件在海量的、不同結(jié)構(gòu)的安全告警信息中難以有效識別發(fā)現(xiàn)。（2）威脅識別能力有限安全分析以人工方式為主，只能識別已知并且已描述的攻擊，難以識別復(fù)雜的攻擊，無法識別未知的攻擊；安全事件之間存在橫向和縱向方面（如不同空間來源、時間序列等）的關(guān)系未能得到綜合分析，因此漏報嚴(yán)重，不能實時預(yù)測。一個攻擊活動之后常常接著另外一個攻擊活動，前一個攻擊活動為后者提供基本條件；一個攻擊活動在多個安全設(shè)備上產(chǎn)生了安全事件；多個不同來源的安全事件其實是一種協(xié)作攻擊，這些都缺乏有效的綜合分析；（3）安全預(yù)判能力有限，缺乏對抗能力安全運營以被動應(yīng)急響應(yīng)為主，難以對風(fēng)險進行提前的評估與研判，總是疲于救火；為了切實加強信息系統(tǒng)安全保障能力，可以規(guī)劃采用大數(shù)據(jù)技術(shù)來建設(shè)信息系統(tǒng)綜合運維監(jiān)控管理平臺，實現(xiàn)大數(shù)據(jù)安全管理和數(shù)據(jù)中心信息安全違規(guī)檢測。校園網(wǎng)運維場景即插即用，極速上線在用戶的設(shè)備上線和替換過程中當(dāng)前遇到三個問題：問題一：設(shè)備替換對人是有要求的，無法說任意的人均能換設(shè)備，問題二：能替換的人少，因受限制于校園網(wǎng)面積大等問題，替換效率低下。問題三：學(xué)生也比較強勢，如果斷網(wǎng)時間長會投訴。針對上面的三個問題，自動化運維已經(jīng)解決了其中的一部分問題了，但這個過程中有幾個地方經(jīng)常出錯1.接入模板不統(tǒng)一，不固定，渠道按自己理解的來制作，不是最佳實施方案，容易出現(xiàn)部署過程設(shè)備配置模板錯誤導(dǎo)致部署斷網(wǎng)。2.耗時長，容易出錯，特別是每臺設(shè)備的vlan，ip要修改。集成商人工刷配置，每個人的技術(shù)，素質(zhì)都不固定，很容易出現(xiàn)工作馬虎，配錯，漏配的情況。3.上架的時候可能拿錯設(shè)備，接錯口；另外傳統(tǒng)網(wǎng)絡(luò)在運維期間，由于各個接入設(shè)備的模板都不一樣，在業(yè)務(wù)新入網(wǎng)時候需要更改接入設(shè)備的配置，對網(wǎng)絡(luò)管理人員的運維能力還是有要求，特別是替換的時候，配置不同容易導(dǎo)致更換設(shè)備的時候配置錯誤引起斷網(wǎng)。故障監(jiān)測預(yù)警，智能運維多網(wǎng)融合，設(shè)備激增，專業(yè)人手不足，高校運維團隊常年保持人數(shù)不變，運維成本逐年增加。傳統(tǒng)網(wǎng)絡(luò)故障定位過程繁瑣，且無法提前感知風(fēng)險。并且在當(dāng)今世界，萬物都通過網(wǎng)絡(luò)實現(xiàn)互聯(lián)。從園區(qū)或分支機構(gòu)場所的用戶和設(shè)備到數(shù)據(jù)中心或云中的應(yīng)用，網(wǎng)絡(luò)擁有巨大潛力，可以不斷優(yōu)化調(diào)整，保護所有IT與業(yè)務(wù)流程，并提供洞察力。唯有借助基于意圖的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)能夠捕捉業(yè)務(wù)意圖，并在整個網(wǎng)絡(luò)范圍實施策略和網(wǎng)絡(luò)狀態(tài)感知，進行數(shù)據(jù)預(yù)測并建立流量模型，主動服務(wù)于網(wǎng)絡(luò)運維工作。同樣高校的網(wǎng)絡(luò)建設(shè)也應(yīng)該符合意圖網(wǎng)絡(luò)發(fā)展趨勢。策略隨行一致體驗傳統(tǒng)網(wǎng)絡(luò)狀態(tài)下，用戶移動，IP地址發(fā)生變化，當(dāng)審計的時候，由于用戶的IP地址不停變化，需要結(jié)合不同時間段內(nèi)用戶的IP地址情況綜合去查，查詢雖然可以實現(xiàn)，但是比較麻煩，達不到所見即所得的狀態(tài)。近幾年基于網(wǎng)絡(luò)的業(yè)務(wù)爆炸式地增長，同時迎來無線網(wǎng)絡(luò)的建設(shè)的浪潮，終端位置的移動接入成為常態(tài)，業(yè)務(wù)的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡(luò)位置進行網(wǎng)絡(luò)規(guī)劃的方式無法滿足現(xiàn)有復(fù)雜的業(yè)務(wù)場景。網(wǎng)絡(luò)上承載的業(yè)務(wù)越來越多，后期會將視頻監(jiān)控、一卡通、數(shù)字廣播、車輛出入系統(tǒng)等等納入到整個網(wǎng)絡(luò)的管理范圍之內(nèi)，當(dāng)前的網(wǎng)絡(luò)規(guī)劃時按照一網(wǎng)一業(yè)務(wù)的策略去做，分別建設(shè)割裂的網(wǎng)絡(luò)，無法統(tǒng)一管理和運維。由于無法實現(xiàn)網(wǎng)絡(luò)端到端的統(tǒng)一策略部署，使得新的業(yè)務(wù)開展和優(yōu)化比較困難。運維管理的需求在傳統(tǒng)的網(wǎng)絡(luò)建設(shè)之后，運維管理很容易被大家所忽視，這樣就造成了信息部門對IT物理環(huán)境及其中所有設(shè)備的運行狀況沒有統(tǒng)一、規(guī)范的管理，無法及時清楚的掌握IT系統(tǒng)運行狀況和設(shè)備運行狀態(tài)，無法做到對IT系統(tǒng)狀況的統(tǒng)計和分析，不能及時發(fā)現(xiàn)潛在問題對業(yè)務(wù)系統(tǒng)的影響，維護工作基本上處于被動的救火隊狀態(tài)，不利于知識共享和知識積累。鑒于網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)的正常運行對學(xué)校業(yè)務(wù)的重要意義，信息化建設(shè)同時要立足于工具層面的保障和管理手段進行統(tǒng)一的監(jiān)控和管理。從而改變現(xiàn)有的運維模式，結(jié)束被動救火的運維策略，從而對網(wǎng)絡(luò)和系統(tǒng)故障提前預(yù)知、提前防范，在故障出現(xiàn)時第一時間快速反映、迅速定位，借助技術(shù)工具和不斷提高運維人員自身的技術(shù)能力這兩個方面相結(jié)合更好地保障網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運行。校園網(wǎng)運營場景精細化運營隨著信息化的發(fā)展，基于學(xué)生大數(shù)據(jù)分析、自主可控安全管理的需要，傳統(tǒng)運營商承建網(wǎng)絡(luò)的方式已無法滿足，更多學(xué)校希望按照自己的校園網(wǎng)建設(shè)標(biāo)準(zhǔn)建設(shè)內(nèi)部網(wǎng)絡(luò)方便統(tǒng)一管理和數(shù)據(jù)共享，但自己購買出口大帶寬的方式又面臨著每年巨大的資金投入，面對龐大的資金缺口，以及政策不允許運營商在學(xué)校壟斷的要求下，更多的學(xué)校開始采用開放合作的方式，多方運營商通過合作與競爭提供更大的帶寬和更靈活的資費供學(xué)生自由選擇。學(xué)校：公平引入多家運營商；保留學(xué)校對學(xué)生的管理權(quán)，實現(xiàn)大數(shù)據(jù)分析、資源共享；學(xué)生：自主選擇出口和套餐良好的入網(wǎng)和用網(wǎng)體驗，高效的服務(wù)；運營商：發(fā)展更多校園網(wǎng)用戶，保障收益通過帶寬換取更多學(xué)校資源；極簡以太全光方案方案簡介以太（以太協(xié)議）全光（全光纖網(wǎng)絡(luò)），即以光纖做為傳播介質(zhì)，通過光纖入室的部署方式，結(jié)合以太網(wǎng)的架構(gòu)、組網(wǎng)，所構(gòu)成的網(wǎng)絡(luò)。其特殊點是，將有源接入交換機從樓層弱電井釋放出來，通過光纖入室將全光接入交換機部署在每個房間里，房間的全光接入交換機與核心或者匯聚交換機全鏈路光纖部署，房間內(nèi)的新增信息點位可以從房間光交換機就近接入，提升擴展效率，同時做到真正的1：1萬兆/千兆入室。以太全光校園解決方案可以覆蓋校園網(wǎng)絡(luò)的接入層、匯聚/核心層和管理層。方案拓撲結(jié)構(gòu)以太全光網(wǎng)架構(gòu)特點極簡太全光網(wǎng)絡(luò)方案采用大二層結(jié)構(gòu)，是新增了SDN控制器/以太全光服務(wù)器，服務(wù)器部署在核心機房。全光網(wǎng)絡(luò)與傳統(tǒng)以太網(wǎng)絡(luò)的主要區(qū)別有三點：1、核心到接入層設(shè)備采用全光鏈路互聯(lián)2、接入層設(shè)備從弱電間遷移到室內(nèi)房間進行部署3、管理運維便捷性大幅提升，管理運維只需要管理兩端（核心機房和末端房間），樓層弱電間采用無源透明匯聚設(shè)備，實現(xiàn)樓棟弱電間的免運維。方案組件以太全光網(wǎng)絡(luò)方案需要部署設(shè)備如下：出口RSR77-X，核心N18K，SDN控制器，radius(SAM)，portal（eportal），核心側(cè)彩光交換機，樓棟無源透明匯聚，RIIL等。出口配置：出口采用兩臺RSR77-X出口路由器，通過HA的方式保障設(shè)備冗余，同時通過BRAC方案無需運營商開放對接AAA系統(tǒng)(認證計費授權(quán)系統(tǒng))，即可實現(xiàn)融合認證，智慧運營管理。核心設(shè)備配置：核心：部署在中心機房，核心（可以是VSU）可以采取整網(wǎng)三層架構(gòu)/大二層/扁平化部署（本文采用扁平化架構(gòu)進行描述），有線無線用戶網(wǎng)關(guān)統(tǒng)一在核心設(shè)備上，配置成網(wǎng)關(guān)模式，核心設(shè)備進行集中認證（包括1x認證WEB認證，MAB認證）。DHCP服務(wù)器開在N18K上，有線和無線的IP地址獲取都從N18K獲取。核心匯聚設(shè)備：部署在中心機房，核心匯聚設(shè)備采用新型彩光交換機，可以依據(jù)入室房間數(shù)盒式彩光交換機或者核心交換機上插彩光交換板卡的方式，新型彩光交換機支持VSU組網(wǎng)方案，每個超聚合端口可以接入8個房間。SDN控制器/INC組件：INC組件作為組件形式部署在SDN控制器上，可以認為極光組件為SDN控制器的一個業(yè)務(wù)模塊，用于管理零配置上線設(shè)備并下發(fā)配置模板?？刂破骺梢耘渲脴I(yè)務(wù)網(wǎng)和業(yè)務(wù)子網(wǎng)，業(yè)務(wù)子網(wǎng)屬于業(yè)務(wù)網(wǎng)。業(yè)務(wù)網(wǎng)可以是普通vlan也可以是supervlan（關(guān)聯(lián)多個subvlan，泛接入的終端必須在同一個supervlan下），業(yè)務(wù)網(wǎng)可以創(chuàng)建多個業(yè)務(wù)子網(wǎng)。匯聚設(shè)備配置：樓棟匯聚設(shè)備：采用無源透明匯聚設(shè)備部署在大樓的光纖匯聚節(jié)點（無源設(shè)備無需取電，也可以基于實際部署環(huán)境任意部署），透明匯聚設(shè)備支持雙鏈路上行到中心機房的彩光交換機上，實現(xiàn)鏈路的冗余設(shè)計。接入交換機配置：室內(nèi)全光交換機部署在房間內(nèi)，通過光纖互聯(lián)到全光匯聚交換機，室內(nèi)全光設(shè)備空配置接入網(wǎng)絡(luò)后，通過DHCP獲取到設(shè)備的零配置管理IP地址，并發(fā)起cwmp零配置上線請求，SDN控制器/極光組件服務(wù)器通過配置模板給室內(nèi)全光設(shè)備下發(fā)配置。AP配置：可以配置成分布式(推薦部署)，也可以配置成集中式或者本地轉(zhuǎn)發(fā)。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服務(wù)器：SAM作為RADIUS服務(wù)器，ePortal做為PORTAL服務(wù)器。RADIUS服務(wù)器除了傳統(tǒng)的認證功能外還需要將用戶的分組信息同步給N18K。RIIL一體化運維：通過RIIL實現(xiàn)全域資源監(jiān)控和智能化運維。主要建設(shè)性能指標(biāo)出口層建設(shè)要求穩(wěn)定性要求出口區(qū)域部署兩臺RSR77-X部署HA模式，確保出歐設(shè)備足夠的性能和設(shè)備穩(wěn)定性，單點故障切換及恢復(fù)用戶無感知，后續(xù)增加板卡即可提高系統(tǒng)性能和容量，保護投資設(shè)備性能指標(biāo)認證：（所有認證業(yè)務(wù)包括WEB認證、MAC認證、PPPOE認證、BRAC認證）：SIP5-X單卡，1W用戶（終端）整機性能：RSR77-X最多支持8張SIP5-X的線卡，在分別4張接口卡和4張業(yè)務(wù)卡的情況下可以支持160G的帶寬和4萬在線用戶數(shù)；核心層建設(shè)要求在核心/匯聚層，提供超寬匯聚、核心100G端口轉(zhuǎn)發(fā)能力，支持有線無線的融合。在控制管理區(qū)，包含控制、分析、安全等組件，通過管控平臺可實現(xiàn)光鏈路狀態(tài)檢測、全網(wǎng)統(tǒng)一運維、多網(wǎng)/多設(shè)備統(tǒng)一納管等。匯聚層的建設(shè)要求在每個樓棟設(shè)置1-2臺彩光交換機匯聚（盒式或框式，2臺可集群部署增強系統(tǒng)可靠性），從學(xué)校中心機房核心交換機到核心匯聚彩光交換機采用100G（向下兼容40G光纖鏈路互聯(lián)，也可以根據(jù)實際需要規(guī)劃25G/10G光纖鏈路互聯(lián)）光纖鏈路互聯(lián)。入室設(shè)備建設(shè)要求在多媒體教室&實訓(xùn)室&公共機房&辦公室/中大型會議室按需部署1臺或多臺千兆/萬兆上行的多口以太光交換機（4口/8口/16口/24口/48口可靈活選擇），多口以太光交換機與樓棟以太全光匯聚采用千兆/萬兆以太光纖互聯(lián)互通（端口獨享，上下行帶寬對稱）。多口以太光交換機支持通過下行千兆以太網(wǎng)電口連接房間內(nèi)的有線設(shè)備，通過自身的1G/2.5G/5GPOE或POE+連接需要受電的WIFI6F放裝AP/WIFI6F高密AP/POE攝像頭實現(xiàn)有線無線一體化與多業(yè)務(wù)子網(wǎng)終端融合接入部署。在領(lǐng)導(dǎo)辦公室&多人多終端辦公室/小型會議室部署帶光口（光口支持彩光模塊）上行WIFi6面板AP（本地獨立供電）與樓棟透明匯聚設(shè)備互聯(lián)互通，實現(xiàn)有線無線一體化無線覆蓋部署。在規(guī)則型集中辦公區(qū)/學(xué)生宿舍/教師單身公寓/學(xué)校下轄招待所/酒店等環(huán)境，部署支持普通光模塊的光面板AP（自帶1/4/8個千兆下行電口和2.5G上行光口）與全光的星空主機互聯(lián)互通，光面板AP支持通過本地獨立供電或光電混合纜集中供電，全光恒星主機通過自帶的上行萬兆接口通過全光主樓棟以太全光匯聚下行光口互聯(lián)互通，實現(xiàn)有線無線一體化無線覆蓋部署。運維環(huán)境設(shè)備要求業(yè)務(wù)及設(shè)備管理：通過軟件定義網(wǎng)絡(luò)的（SDN）控制器進行對前端多口以太全光交換機進行入網(wǎng)管理；通過軟件定義網(wǎng)絡(luò)的（SDN）控制器進行對前端入網(wǎng)的啞終端進行智能精準(zhǔn)入網(wǎng)管控；通過軟件定義網(wǎng)絡(luò)的（SDN）控制器和校園集中承載網(wǎng)關(guān)配合進行多業(yè)務(wù)子網(wǎng)融合承載與互訪可視化控制與管理。業(yè)務(wù)監(jiān)控運維：通過樂享IT運維產(chǎn)品實現(xiàn)對園區(qū)網(wǎng)絡(luò)實現(xiàn)全域資源監(jiān)控，從機房動環(huán)、網(wǎng)絡(luò)、服務(wù)器到應(yīng)用服務(wù)的全域資源監(jiān)控。對業(yè)務(wù)系統(tǒng)的監(jiān)控可以實現(xiàn)，對高校業(yè)務(wù)發(fā)生故障后可以快速定位故障是網(wǎng)絡(luò)的問題還是應(yīng)用的問題，實現(xiàn)故障的定界和定位。系統(tǒng)也集成了網(wǎng)絡(luò)配置備份、自動化任務(wù)等運維工具，用于提升運維效率。同時運營管理構(gòu)建了面向師生用戶的服務(wù)流程，為師生用戶提供IT故障報修和IT資源申請服務(wù)，為管理者提供服務(wù)管理數(shù)據(jù)；極簡光綜合布線設(shè)計綜合布線概要一覽表序號系統(tǒng)說明設(shè)備/線路要點1中心機房N/A核心交換機和傳統(tǒng)架構(gòu)一致2園區(qū)主干光纜中心機房—樓宇匯聚機房的線路主干光纖和傳統(tǒng)架構(gòu)一致3樓宇匯聚機房部署匯聚交換機和光配架透明匯聚設(shè)備透明匯聚設(shè)備光口數(shù)量=樓宇房間數(shù)量=光纖芯數(shù)。上聯(lián)的合路口支持雙鏈路上行到中心機房連接彩光交換機。4樓宇垂直子系統(tǒng)樓宇匯聚機房—樓層弱電間的布線大對數(shù)單模光纜大對數(shù)單模光纜到每個樓層弱電間5樓層弱電間樓層弱電間無需部署有源設(shè)備。如果空間局促，也可以采用壁掛機柜等方式來部署ODF架。大對數(shù)單模光纜—光配架—皮纖通過光配架，將大對數(shù)單模光纜跳轉(zhuǎn)為皮線光纖通向各房間。6樓宇水平子系統(tǒng)樓層弱電間—房間的布線皮線光纖選擇雙芯皮線光纖即可，匹配彩光模塊。考慮到冗余和備份，實際工程中建議做適當(dāng)預(yù)留。（光混纜場景部署光電混合纜到房間）7房間弱電接入點皮線光纖布放到房間內(nèi)，可以選擇在多媒體箱落地（大房間），或者86暗盒落地（小房間）多媒體箱安裝小型化交換機或86暗盒安裝光口面板AP如果采用多媒體箱，需要增加多媒體箱到信息點的布線（網(wǎng)線）；如果房間內(nèi)僅2-3個信息點且集中在一起，則無需額外布線，直接從光口面板AP的有線口接網(wǎng)線到電腦網(wǎng)口即可水平子系統(tǒng)（房間至樓層弱電間）設(shè)計水平子系統(tǒng)部署皮纖，皮線光纜內(nèi)光纖采用G.657小彎曲半徑光纖，執(zhí)行標(biāo)準(zhǔn)：YD/T1997-2009接入網(wǎng)用碟形引入光纜。樓層所有設(shè)計光纖入室的房間均需敷設(shè)皮線光纜至樓層弱電間。皮纖建議采用2芯或4芯，實際連接入室交換機設(shè)備，其中彩光模塊需要兩芯。樓層弱電間一側(cè)皮纖端接頭宜采用LC或SC，與ODF光配架匹配。入室多媒體箱一側(cè)皮纖端接頭采用LC，與入室小型化交換機光模塊匹配。皮線光纜敷設(shè)長度可以遠大于90米，但水平布線（皮纖）+垂直布線（主干光纜）總長度不得超過2.5公里。水平橋架部分的規(guī)格可以根據(jù)皮纖布放數(shù)量做適當(dāng)調(diào)整，轉(zhuǎn)彎半徑不宜過小。皮線光纜敷設(shè)具體設(shè)計施工標(biāo)準(zhǔn)可參考GB50311-2016綜合布線規(guī)范。布線示意圖如圖所示：水平子系統(tǒng)設(shè)計示意圖樓層弱電間設(shè)計樓層弱電間僅需部署ODF光配架即可。ODF光配架可以放置于標(biāo)準(zhǔn)落地機柜內(nèi)，如空間緊張，也可以采用壁掛式機柜或壁掛設(shè)備箱安裝。ODF光配架為無源設(shè)備，無需考慮通風(fēng)、散熱、供電等設(shè)計。為保障可靠性，ODF光配架兩端的尾纖應(yīng)當(dāng)采用熱熔。應(yīng)確保所有入室皮纖至少有兩芯和主干光纜熔接連通。垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機房）設(shè)計各樓層弱電間至樓宇匯聚機房的垂直子系統(tǒng)采用大對數(shù)單模光纜。光纜光纖芯數(shù)應(yīng)當(dāng)大于該樓層皮纖數(shù)量，確保所有皮纖光路均能順利上行到匯聚機房。（如樓層房間數(shù)量15，則采用24芯光纜，如樓層房間數(shù)量37，則采用48芯光纜；如樓層房間數(shù)量85，則采用96芯光纜，以此類推）垂直子系統(tǒng)設(shè)計說明如圖所示：垂直子系統(tǒng)說明樓宇匯聚機房設(shè)計說明架構(gòu)部署設(shè)計：采用透明匯聚方案時，樓棟內(nèi)可采用1-2個機柜集中放置透明匯聚設(shè)備，采用單模光纖跳線互聯(lián)透明匯聚設(shè)備，采用雙上聯(lián)冗余設(shè)計要考慮樓棟骨干光纜的芯數(shù)冗余數(shù)量。整體部署方案如圖所示：多媒體箱安裝規(guī)范多媒體箱外觀圖光纖入室多媒體信息箱設(shè)計和安裝關(guān)鍵點：光纖入室多媒體信息箱分塑料外殼和金屬外殼二種，有暗裝式和明裝兩大類，其殼體務(wù)必完整無缺。對于新建項目，建議采用暗裝。光纖入室多媒體信息箱需具備表面散熱孔以利于設(shè)備散熱?？紤]到入室線纜的位置和管理上的方便，光纖入室多媒體信息箱一般安裝在房間入口或套間門廳等處。按照施工規(guī)范，箱體底部離地面高應(yīng)為30cm~50cm。光纖入室多媒體信息箱內(nèi)應(yīng)配套220v市電接口用于設(shè)備供電。多媒體箱安裝示意圖多媒體箱安裝示意圖房間內(nèi)布線示意室內(nèi)網(wǎng)絡(luò)布線可參考GB50311-2016綜合布線系統(tǒng)工程設(shè)計規(guī)范中的相關(guān)章節(jié)。區(qū)別是本方案室內(nèi)雙絞線的匯集點為室內(nèi)多媒體箱而非樓層弱電間。高密度房間下圖為室內(nèi)綜合布線示意圖，該方案適合室內(nèi)信息點數(shù)大于4個的房間。室內(nèi)綜合布線示意圖中低密度房間對于點位數(shù)較少（≤4個）且功能相同，布局臨近的房間，如診室，普通病房，連續(xù)的獨立小辦公室等，可以采用一套多媒體信息箱實現(xiàn)光纖入室部署以降低建設(shè)和維護成本。如圖所示。對于套間結(jié)構(gòu)的房間，該方法同樣適用。（具體走線可以參考住宅的布線方案）室內(nèi)綜合布線示意圖大廳場景針對公共大廳自助機接入等場景，由于無法確定最終自助機的數(shù)量和具體擺放位置，故對大廳內(nèi)各具備擺放條件的連續(xù)墻面，應(yīng)設(shè)計預(yù)留光纖面板插座和足量的電源插座。以供日后自助機安裝部署使用。高校各場景的網(wǎng)絡(luò)設(shè)計基礎(chǔ)承載網(wǎng)場景設(shè)計教學(xué)場景樓棟部署示意圖教室內(nèi)部署示意圖部署方式：每棟教學(xué)樓部署多臺無源的透明匯聚設(shè)備，上行雙冗余光纖鏈路到中心機房的核心匯聚彩光交換機上，下行通過萬兆光纖到所有房間，教室/實訓(xùn)室內(nèi)部署1-2臺極簡多速率交換機作為室內(nèi)交換機，連接所有IP終端，可以實現(xiàn)全校一張全光網(wǎng)，校園多業(yè)務(wù)泛載永無憂。1：1以太全光進教室，網(wǎng)絡(luò)靈活擴展一勞永逸，教室獨享光纖性能。方案價值：光纖入室，不占橋架空間，業(yè)務(wù)就近接入，靈活擴展；百G到樓、萬兆入室，1次部署，10年無憂，滿足多媒體教室、智慧教室、VR/AR教室、云實訓(xùn)室等所有類型教室對于帶寬的要求；提供8/16/24等不同端口形態(tài)的靜音交換機，且支持2.5GPOE端口，連接WIFI6設(shè)備充分發(fā)揮WIFI6性能；支持SDN管理，設(shè)備即插即用，極大減輕運維工作量；采用成熟以太網(wǎng)協(xié)議，天然支持二層廣播和組播流量，廣播示教等業(yè)務(wù)更流暢；云機房、PC機房，鏡像下發(fā)，PXE克隆等高流量業(yè)務(wù)無帶寬瓶頸，更好支撐教學(xué)。無源匯聚設(shè)備的安裝，解決弱電間的管理維護等問題，同時實現(xiàn)核心到接入間的點到點透傳，帶寬無損，無分光。辦公場景部署方式：網(wǎng)絡(luò)結(jié)構(gòu)：每棟辦公樓部署多臺全光樓棟無源透明匯聚設(shè)備，通過光纖到所有辦公室；大辦公室：部署1臺極簡多速率交換機連接所有IP終端，大型辦公室桌面可以部署業(yè)界首款自帶理線架的辦公桌面交換機進行擴展。VIP辦公室：部署1臺有線無線一體化的墻面AP，光AP采用彩光模塊；方案價值：光纖直達辦公室多速率交換機，接入終端可以彈性擴展，避免私接亂拉；提供4/8/16/24等不同端口形態(tài)的靜音交換機，且支持2.5GPOE端口，連接WIFI6設(shè)備充分發(fā)揮WIFI6性能；支持SDN管理，設(shè)備即插即用，極大減輕運維工作量；VIP辦公室部署墻面AP，美觀、施工簡單，有線無線一體化，體驗有保障；采用成熟以太網(wǎng)協(xié)議，打印機/文件共享等業(yè)務(wù)二層共享無障礙無源匯聚設(shè)備的安裝，解決弱電間的管理維護等問題，同時實現(xiàn)核心到接入間的點到點透傳，帶寬無損，無分光。宿舍場景無線星空方案無線星空方案的部署方式：每棟宿舍樓集中部署多臺無線恒星主機，承載120-300間宿舍無線，通過光電混合纜到所有宿舍光AP，光AP連接所有IP終端；方案價值：恒星主機管理所有光AP，做統(tǒng)一配置和優(yōu)化，無線干擾小，體驗優(yōu)；恒星主機光電混合直通光AP，中間無需任何有源設(shè)備和機箱，AP升級直接替換即可，方便擴展；光AP自帶1/4/8個有線網(wǎng)口，根據(jù)宿舍區(qū)域人數(shù)或有線端口需求隨需擴展；天然以太協(xié)議族，使用POE協(xié)議和AP協(xié)商供電，獨立對AP進行上下電管理企業(yè)級AP，認證、網(wǎng)優(yōu)、漫游體驗佳校園安全場景設(shè)計終端安全建設(shè)目標(biāo)面向物聯(lián)網(wǎng)絡(luò)設(shè)計多業(yè)務(wù)承載校園網(wǎng)建設(shè)分為有線部分建設(shè)，無線部分建設(shè)，包括物聯(lián)承載網(wǎng)建設(shè)，極簡以太全光解決方案采用了物理網(wǎng)絡(luò)虛擬化的設(shè)計，學(xué)?？蛇x擇統(tǒng)一新建一張多業(yè)務(wù)承載網(wǎng)，在這一張網(wǎng)上承載N種多業(yè)務(wù)，對于無法改造的老校區(qū)也可選擇接入、匯聚繼續(xù)利舊現(xiàn)有校園網(wǎng)及鏈路，在核心層建立獨立的物聯(lián)網(wǎng)承載網(wǎng)關(guān)，這樣既能保證快速業(yè)務(wù)開通，也能減少物聯(lián)網(wǎng)投入，同時能保證物聯(lián)網(wǎng)業(yè)務(wù)的相對獨立，和安全隔離；建設(shè)可根據(jù)資金預(yù)算分為多期或一步到位；例如第一期建設(shè)校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)核心平臺、物聯(lián)網(wǎng)核心平臺，包含物聯(lián)網(wǎng)網(wǎng)關(guān)和物聯(lián)網(wǎng)統(tǒng)一管理服務(wù)，物聯(lián)承載專網(wǎng)的鏈路和接入?yún)R聚利用校園網(wǎng)設(shè)備和鏈路；第二期，可建設(shè)專用的無線物聯(lián)網(wǎng)（例如5G、LORA）；或建設(shè)專用的物聯(lián)網(wǎng)光纖鏈路，新接入一期建設(shè)的物聯(lián)網(wǎng)核心平臺；或從規(guī)劃之初，如果經(jīng)費足夠，建議建設(shè)兩張隔離的學(xué)習(xí)辦公校園網(wǎng)、物聯(lián)多業(yè)務(wù)承載專網(wǎng)，保障管理和安全的獨立性；所以極簡以太全光方案能夠很好的滿足一張物理網(wǎng)絡(luò)承載校園網(wǎng)有線、無線、專網(wǎng)業(yè)務(wù)，亦能非常平滑的過渡到校園網(wǎng)、物聯(lián)網(wǎng)、科研網(wǎng)這樣的多網(wǎng)共存的理想規(guī)劃，整體靈活可落地。泛載網(wǎng)接入通過在物理網(wǎng)絡(luò)上虛擬不同的業(yè)務(wù)網(wǎng)方式可實現(xiàn)泛載網(wǎng)，可實現(xiàn)門禁、消防、節(jié)能平臺等各種未來物聯(lián)網(wǎng)業(yè)務(wù)的統(tǒng)一承載，不需要區(qū)分物理位置任意接入，不關(guān)心接入端口、vlan信息，通過圖形化界面實現(xiàn)三分鐘即可快速生成虛擬網(wǎng)絡(luò)，提高效率、保證安全隔離的同時，降低物理設(shè)備、鏈路的投入。終端即插即用極簡以太全光通過室內(nèi)交換機標(biāo)準(zhǔn)化、模板化配置，實現(xiàn)IP及業(yè)務(wù)，不依賴于部署位置和VLAN、端口，從而實現(xiàn)終端的泛載即插即用特性；極簡以太全光解決方案支持啞終端任意端口任意vlan下接入，且靜態(tài)IP地址的啞終端無需收集mac地址，終端信息自動在SDN控制器上顯示（可查看終端上線時間、MAC地址廠商、接入位置等），在SDN控制器上進行審批即可入網(wǎng)。SDN控制器還可以通過IP點陣圖的方式進行IP地址管理，靜態(tài)IP地址資源使用一目了然。快速審批安全入網(wǎng)傳統(tǒng)網(wǎng)絡(luò)方案物聯(lián)網(wǎng)終端缺乏易用的安全管理機制，為實現(xiàn)全網(wǎng)的安全及審計，在極簡以太全光解決方案中，無需手工綁定，只需要在在待審批頁面終端準(zhǔn)入管控操作，可以查看到未審批通過的終端，管理員可以手動審批或設(shè)置自動審批?？刂破鲗徟ㄟ^的終端，會往交換機下發(fā)靜態(tài)ARP綁定表項。這個時候物聯(lián)網(wǎng)終端可以上網(wǎng)，物聯(lián)網(wǎng)終端準(zhǔn)入管控入網(wǎng)成功。終端識別及分類：依靠的智能終端識別技術(shù)增強型指紋特征庫識別、有監(jiān)督的機器學(xué)習(xí)靜態(tài)模型、無監(jiān)督的機器學(xué)習(xí)模型能夠識別目前高教園區(qū)網(wǎng)中常見的20類物聯(lián)終端，并機器自動學(xué)習(xí)新的終端類型，解決高教園區(qū)網(wǎng)絡(luò)中物聯(lián)終端管理盲區(qū)，來判斷終端分類、終端上線狀態(tài)，從以前被動響應(yīng)到可以主動發(fā)現(xiàn)問題，及時處理。業(yè)務(wù)網(wǎng)可視化安全隔離傳統(tǒng)的安全隔離需要使用命令行來進行訪問控制列表的設(shè)置，不僅復(fù)雜且時間長后難以維護，尤其是業(yè)務(wù)種類增多的時候更加復(fù)雜，添加刪除不當(dāng)還容易造成斷網(wǎng)，極簡解決方案支持可視化安全業(yè)務(wù)隔離，在業(yè)務(wù)策略管理-子網(wǎng)隔離策略策略隔離矩陣，進行某兩個業(yè)務(wù)子網(wǎng)策略選擇為禁止訪問進行隔離。業(yè)務(wù)網(wǎng)之間的互訪業(yè)務(wù)網(wǎng)與校內(nèi)網(wǎng)、互聯(lián)網(wǎng)之間的互訪信息安全建設(shè)目標(biāo)高校信息化建設(shè)過程中信息安全越來越受到重視，隨著安全技術(shù)的不斷革新，安全運維的挑戰(zhàn)已經(jīng)從建設(shè)轉(zhuǎn)向使用，但由于缺乏好的工具對安全日志進行充分挖掘與利用，很難從海量的日志里獲得有用的信息，導(dǎo)致難以掌握全網(wǎng)的安全狀態(tài)，安全設(shè)備的價值并沒有被最大的發(fā)揮出來。本項目大數(shù)據(jù)安全管理模塊需要通過對多種設(shè)備日志的自動化收集、標(biāo)準(zhǔn)化和關(guān)聯(lián)分析，在做到日志審計的同時，通過大數(shù)據(jù)技術(shù)降低安全運維人員的時間成本和技術(shù)門檻，對網(wǎng)絡(luò)中存在的安全問題進行態(tài)勢感知。總體構(gòu)建“可發(fā)現(xiàn)”、“可協(xié)同”、“可預(yù)測”、“可度量”的安全網(wǎng)絡(luò)建設(shè)體系。攻擊行為可發(fā)現(xiàn)隨著安全技術(shù)的不斷發(fā)展，安全攻擊威脅越來越向常態(tài)化、隱蔽化發(fā)展，包括0day模式的高級攻擊等，這讓用戶網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，如何實現(xiàn)非法攻擊行為的及時發(fā)現(xiàn)是用戶網(wǎng)絡(luò)攻防戰(zhàn)中至關(guān)重要的一環(huán)。通過對基礎(chǔ)網(wǎng)絡(luò)、中間件、業(yè)務(wù)系統(tǒng)、終端、安全設(shè)備等多維度安全攻擊感知信息采集，結(jié)合深度分析、機器學(xué)習(xí)等關(guān)鍵技術(shù)，實現(xiàn)對用戶網(wǎng)絡(luò)中攻擊行為的及時發(fā)現(xiàn)和精準(zhǔn)定位，并通過攻擊溯源、歸并告警等多種方式進行可視化呈現(xiàn)，讓網(wǎng)絡(luò)中的攻擊行為無處可藏安全防護可協(xié)同只依靠部署安全設(shè)備，并不等于安全，為實現(xiàn)對用戶整體網(wǎng)絡(luò)的安全防護，發(fā)揮各安全組件最佳整合協(xié)同效應(yīng)，在用戶網(wǎng)絡(luò)安全攻防戰(zhàn)中，如何實現(xiàn)“人+平臺+設(shè)備”的有機結(jié)合及高效協(xié)同，跨越安全設(shè)備到真正安全間的鴻溝，是安全防護體系建設(shè)的一大難題。本次規(guī)劃通過分析平臺與安全設(shè)備聯(lián)動、云端智能分析協(xié)同、安全知識庫體系協(xié)助、安全專家咨詢、工單跟蹤閉環(huán)等機制，構(gòu)建“人+平臺+設(shè)備”的立體化主動防御安全體系，幫助建設(shè)可協(xié)同的安全網(wǎng)絡(luò)，實現(xiàn)安全設(shè)備至真正安全的鴻溝跨越。威脅態(tài)勢可預(yù)測安全攻防戰(zhàn)本質(zhì)上是時間戰(zhàn)，獲得時間優(yōu)勢就掌握了安全戰(zhàn)場上的主動權(quán)，如何實現(xiàn)對安全威脅態(tài)勢的提前預(yù)測，成為安全防護技術(shù)領(lǐng)域發(fā)展的新趨勢，也是下一代安全運營中心典型特征之一。本次規(guī)劃通過攻擊趨勢分析、業(yè)務(wù)曲線學(xué)習(xí)等機制，對未來威脅態(tài)勢進行提前預(yù)判，同時結(jié)合預(yù)警發(fā)布、專家咨詢服務(wù)等功能及機制設(shè)計，實現(xiàn)網(wǎng)絡(luò)未來威脅態(tài)勢預(yù)測，并提供針對性安全防護解決方案。安全狀態(tài)可度量在網(wǎng)絡(luò)安全領(lǐng)域，不存在百分之百的安全，當(dāng)攻擊成本遠大于利益獲取時，網(wǎng)絡(luò)安全就可以得到保障。幫助用戶找到最適合自身場景的安全建設(shè)方案尤其重要，但如何進行安全狀態(tài)的量化評估一直是困擾用戶的難題，投入了大量精力對網(wǎng)絡(luò)進行安全建設(shè)，實際的安全狀態(tài)卻無法有效衡量。本次規(guī)劃根據(jù)安全日志、漏洞、風(fēng)險、脆弱性等權(quán)重綜合評判現(xiàn)網(wǎng)安全狀態(tài)，量化全網(wǎng)及業(yè)務(wù)的安全評分，并通過安全評分趨勢、告警和工單處理等趨勢圖直觀的呈現(xiàn)安全建設(shè)業(yè)績，建設(shè)可度量的安全網(wǎng)絡(luò)。信息安全建設(shè)內(nèi)容本次建設(shè)內(nèi)容包括以安全策略管理、安全組織管理、安全運作管理和安全技術(shù)框架的中心樞紐，通過通過采集器將所有涉及全省XX信息系統(tǒng)資源的異構(gòu)日志信息統(tǒng)一收集上來，通過探針將網(wǎng)絡(luò)內(nèi)的流量信息進行統(tǒng)一采集，經(jīng)過處理分析組件過濾掉無效的流量數(shù)據(jù)和日志，最終篩選和關(guān)聯(lián)分析出真正有效的信息安全告警，實現(xiàn)快速定位網(wǎng)絡(luò)安全問題，利用工單和安全知識庫相結(jié)合，實現(xiàn)責(zé)任到人且快速處理問題，讓網(wǎng)絡(luò)安全事件完整閉環(huán)，實現(xiàn)在網(wǎng)絡(luò)安全方面極簡運營。同時通過自帶的漏掃引擎和配置核查系統(tǒng)制定定期安全巡檢工作（1）掌握全網(wǎng)安全信息精準(zhǔn)把握安全態(tài)勢大數(shù)據(jù)安全分析需要支持SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業(yè)界主流的安全設(shè)備以及網(wǎng)絡(luò)設(shè)備，將現(xiàn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)設(shè)備、主機服務(wù)、安全設(shè)備、數(shù)據(jù)庫、中間件的相關(guān)日志進行統(tǒng)一的收集，并標(biāo)準(zhǔn)化為統(tǒng)一格式建立日志數(shù)據(jù)庫倉儲，并結(jié)合流量探針實現(xiàn)全網(wǎng)流量的采集，完成數(shù)據(jù)的歸并和統(tǒng)計，將當(dāng)前信息系統(tǒng)資源日志和流量數(shù)據(jù)的價值充分發(fā)揮。（2）大數(shù)據(jù)分析多維度精準(zhǔn)定核心風(fēng)險信息安全系統(tǒng)建設(shè)需要支持漏洞掃描和安全配置核查，對業(yè)務(wù)系統(tǒng)進行全面的安全檢查，同時利用大數(shù)據(jù)分析技術(shù)，結(jié)合日志、流量、漏洞、資產(chǎn)、基線多方關(guān)聯(lián)分析技術(shù)明確真正有威脅的攻擊事件，大數(shù)據(jù)技術(shù)的日志分析和預(yù)設(shè)安全告警策略，不需要進行多次的調(diào)試，大數(shù)據(jù)安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。（3）實現(xiàn)安全事件的全流程管理功能信息安全系統(tǒng)需要實現(xiàn)全流程的安全事件管理功能，通過告警事件的派單動作，將事件轉(zhuǎn)入到具體的工單管理模塊中，并結(jié)合知識庫提供給排查人員安全事件的原理以及相應(yīng)的解決方案，結(jié)合工單管理模塊責(zé)任到人，有利于工作的開展和追蹤；同時結(jié)合工單分發(fā)到整個事件閉環(huán)處理后，對已經(jīng)修復(fù)的漏洞、應(yīng)急安全事件處理進行成果呈現(xiàn)。系統(tǒng)自帶安全運維知識庫，包含了安全事件、日志知識、基線、漏洞等多種安全問題的處理經(jīng)驗，給技術(shù)人員提供安全運維的支撐降低運維的技術(shù)門檻。（4）全網(wǎng)安全動態(tài)展示根據(jù)安全日志、漏洞、風(fēng)險、脆弱性等權(quán)重綜合評判當(dāng)前信息系統(tǒng)安全狀態(tài)，量化為安全評分或評級，并通過安全評分或評級的趨勢、告警和工單處理等趨勢圖直觀的呈現(xiàn)信息系統(tǒng)安全保障情況，實時展示安全態(tài)勢感知和攻擊溯源。信息安全建設(shè)總體框架整體方案架構(gòu)整體方案以大數(shù)據(jù)技術(shù)架構(gòu)為核心，集安全要素獲取、分析、處理、跟蹤、預(yù)測的全流程處理，同時結(jié)合機器學(xué)習(xí)等技術(shù)，實現(xiàn)對整體網(wǎng)絡(luò)的安全態(tài)勢感知。大數(shù)據(jù)分析平臺架構(gòu)大數(shù)據(jù)安全平臺是由綜合展現(xiàn)層、業(yè)務(wù)功能層、綜合分析層、專項管理層、采集層以及接口等部分組成，如下圖所示。在安全管理系統(tǒng)中，主要由安全儀表板、個人工作臺、資產(chǎn)管理、風(fēng)險管理、告警管理、安全事件管理、漏洞管理、安全基線管理、報表管理、知識庫管理、工單管理、系統(tǒng)管理組成。信息安全建設(shè)方案總體規(guī)劃整體大數(shù)據(jù)安全分析平臺采用ElasticSearch、hadoop等開源數(shù)據(jù)存儲、索引引擎，保證數(shù)據(jù)不被綁定，便于未來數(shù)據(jù)的二次應(yīng)用；采用B/S架構(gòu)，無需安裝客戶端軟件，支持全中文WEB管理界面，支持SSL加密模式訪問；支持針對網(wǎng)絡(luò)中各類安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫等產(chǎn)品進行日志收集和標(biāo)準(zhǔn)化，并通過探針進行流量數(shù)據(jù)采集，通過大數(shù)據(jù)綜合分析提供安全風(fēng)險分析和問題定位能力。數(shù)據(jù)接入層規(guī)劃（1）日志接入規(guī)劃大數(shù)據(jù)安全平臺采用SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業(yè)界主流的安全設(shè)備以及網(wǎng)絡(luò)設(shè)備，將現(xiàn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)設(shè)備、主機服務(wù)、安全設(shè)備、數(shù)據(jù)庫、中間件的相關(guān)日志進行統(tǒng)一的收集，并標(biāo)準(zhǔn)化為統(tǒng)一格式建立日志數(shù)據(jù)庫倉儲，完成數(shù)據(jù)的歸并和統(tǒng)計，將現(xiàn)網(wǎng)日志數(shù)據(jù)的價值充分發(fā)揮。大數(shù)據(jù)平臺通過分布式架構(gòu)進行日志接收和分析性能分擔(dān)，采集器負責(zé)日志接收能力負載，集群節(jié)點負責(zé)日志分析能力負載，從而滿足大規(guī)模日志接入和分析需求。系統(tǒng)需支持支持主流廠商安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備、中間件等設(shè)備日志自識別接入；并支持非主流設(shè)備日志的自定義接入解析。 系統(tǒng)滿足設(shè)備的信息采集要求包括但不限于：（1）安全設(shè)備：主流廠商的防火墻、IDS、IPS等設(shè)備，如啟明、綠盟、、華為、Juniper、天融信等（2）操作系統(tǒng)：Linux、Windows、Windowserver、Uinx等操作系統(tǒng)（3）數(shù)據(jù)庫：Oracle、MySQL、SQLServer等（4）應(yīng)用系統(tǒng)：如Apache、Tomcat、IIS、weblogic等（5）網(wǎng)絡(luò)設(shè)備：主流廠商的路由器、交換機、負載均衡等網(wǎng)絡(luò)設(shè)備等，如Cisco、華為、等。支持多級部署，采用日志采集器的方式，將下級網(wǎng)絡(luò)節(jié)點設(shè)備通過日志采集器統(tǒng)一采集后傳輸?shù)饺罩緜鬏斨疗脚_，支持多個日志采集器。分布式部署的方式下，可以制定策略傳輸指定日志，減少日志量。（2）流量采集規(guī)劃通過流量探針與大數(shù)據(jù)安全態(tài)勢感知與管控平臺相結(jié)合，網(wǎng)絡(luò)流量探針采用零拷貝、全程無鎖化技術(shù)處理網(wǎng)絡(luò)流量數(shù)據(jù)包，而且充分利用CPU向量化指令對各類模式進行識別或匹配，故即使在超大流量情況下，系統(tǒng)整體處理幾無延時。支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等協(xié)議的3-7層元數(shù)據(jù)提取、存儲、搜索，分析，可二次挖掘可疑攻擊行為。對網(wǎng)絡(luò)中的會話正常行為模式進行建模，分析網(wǎng)絡(luò)流量速率分布、會話趨勢、會話目的端口分布、會話協(xié)議分布、會話包數(shù)分布、會話字節(jié)數(shù)分布、會話源地址分布、會話目的地址分布、會話應(yīng)用協(xié)議分布相關(guān)統(tǒng)計情況，通過分析會話流量對于正常行為模式的偏離而識別網(wǎng)絡(luò)攻擊，隱蔽傳輸與內(nèi)網(wǎng)探測檢測等問題大數(shù)據(jù)分析層規(guī)劃大數(shù)據(jù)安全平臺自身支持漏洞掃描和安全配置核查，也可對接第三方的漏洞掃描設(shè)備，通過這兩個安全模塊將會對業(yè)務(wù)系統(tǒng)進行全面的安全檢查，同時利用大數(shù)據(jù)分析技術(shù)，結(jié)合日志、漏洞、資產(chǎn)、基線、流量等多方關(guān)聯(lián)分析技術(shù)明確真正有威脅的攻擊事件，大數(shù)據(jù)技術(shù)的日志分析和預(yù)設(shè)安全告警策略，不需要進行多次的調(diào)試，大數(shù)據(jù)安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。本次規(guī)劃系統(tǒng)可進行集中管理定義事件/日志/流量的過濾策略、歸并策略和關(guān)聯(lián)策略。支持對不同類型、來源于不同設(shè)備或系統(tǒng)的日志和流量進行關(guān)聯(lián)分析，支持GUI方式的關(guān)聯(lián)規(guī)則設(shè)置功能，關(guān)聯(lián)的類型包括基于規(guī)則和基于統(tǒng)計的。支持基于因果式的狀態(tài)關(guān)聯(lián)分析。系統(tǒng)支持基于異常統(tǒng)計模型的檢查分析功能，如：識別異常的流量攻擊等。系統(tǒng)提供狀態(tài)關(guān)聯(lián)、交叉關(guān)聯(lián)、邏輯關(guān)聯(lián)等多種關(guān)聯(lián)管理，可以通過資產(chǎn)、漏洞及攻擊進行交叉關(guān)聯(lián)，甄別定位真正對網(wǎng)絡(luò)有威脅的行為。態(tài)勢感知層規(guī)劃1、攻擊趨勢展示：結(jié)合系統(tǒng)收集到的攻擊事件信息，通過對攻擊事件來源、目標(biāo)的溯源，從整體態(tài)勢上進行攻擊趨勢的展示，可以看到攻擊目標(biāo)主要區(qū)域，攻擊來源地。2、安全信息概況：實時展示目前系統(tǒng)收集到的日志總數(shù)、基線違規(guī)的數(shù)量（例如服務(wù)器密碼強度、生存周期等基線要求）、檢測到的漏洞信息、安全告警的總數(shù)等。對網(wǎng)絡(luò)安全信息情況有整體了解。3、整網(wǎng)安全評分基于對網(wǎng)絡(luò)中資產(chǎn)的重要程度、資產(chǎn)的高中低的告警情況、基線掃描的違規(guī)情況、漏洞的掃描情況，進行加權(quán)計算，得出網(wǎng)絡(luò)綜合的安全評分，推薦的標(biāo)準(zhǔn)：分為優(yōu)良中差危，90分以上為優(yōu)，70-90為良，55-70為中，40-55為差，0-40為危。也可以根據(jù)實際的用戶安全要求標(biāo)準(zhǔn)進行調(diào)整。4、安全評分趨勢對最近一個月的安全評分進行趨勢圖呈現(xiàn)，可以幫助網(wǎng)絡(luò)管理者對整網(wǎng)的安全趨勢有直觀的了解，如果趨勢上升說明安全工作有成效，如果趨勢下降，則可以提前進行安全分析及加固措施。5、存在高風(fēng)險的資產(chǎn)對高級別以上風(fēng)險的資產(chǎn)進行呈現(xiàn)，提醒安全管理員重點關(guān)注。6、業(yè)務(wù)維度的安全評分 以業(yè)務(wù)為視角，結(jié)合業(yè)務(wù)相關(guān)的服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)的安全告警、基線違規(guī)、漏洞情況進行綜合計算，實現(xiàn)對業(yè)務(wù)的安全情況進行量化評分。適用于各業(yè)務(wù)系統(tǒng)相關(guān)負責(zé)人對自己負責(zé)的業(yè)務(wù)進行針對性安全關(guān)注。7、大數(shù)據(jù)分析TOP5告警結(jié)合告警的嚴(yán)重級別及發(fā)生的次數(shù)，對最嚴(yán)重級別的告警進行呈現(xiàn)，可以提醒管理員進行重點關(guān)注。8、用戶訪問高危端口TOP5結(jié)合審計設(shè)備會話日志、探針流量檢測數(shù)據(jù)以及認證系統(tǒng)實名賬號信息，對用戶訪問高危端口的事件進行統(tǒng)計，包括445、135、3389等，頻繁訪問高危端口是安全威脅事件常見的特征，提醒管理員進行重點進行關(guān)注。9、未關(guān)閉的告警根據(jù)安全告警的處理狀態(tài)，對還未閉環(huán)的告警進行統(tǒng)計展示，包括待處理和已確認（知曉確認，但未處理）、已經(jīng)派單給負責(zé)人的，可以對進行中告警重點呈現(xiàn)。10、全球攻擊態(tài)勢感知根據(jù)系統(tǒng)采集的攻擊信息，對攻擊來源、目標(biāo)等進行統(tǒng)計展示，對攻擊來源國家進行溯源，讓管理員對全網(wǎng)的攻擊態(tài)勢有全局的了解，如發(fā)生突發(fā)式攻擊形態(tài)變化，可以進行重點關(guān)注。信息安全方案價值整網(wǎng)安全狀態(tài)的掌握需要結(jié)合全網(wǎng)日志+流量數(shù)據(jù)進行綜合安全分析，從外部威脅（南向威脅）、外連威脅（北向威脅）、內(nèi)部互聯(lián)威脅（東西向威脅）、安全脆弱性、全球攻擊態(tài)勢直觀展示整網(wǎng)安全態(tài)勢，做到聰者聽于無聲，明者見于未形，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢。簡單閉環(huán)安全問題從每天數(shù)以億計的數(shù)據(jù)中準(zhǔn)確定位全網(wǎng)威脅最大、最真實的安全問題。利用基于狀態(tài)機的關(guān)聯(lián)分析、基于統(tǒng)計的機器學(xué)習(xí)、基于威脅情報的安全分析、基于機器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的分析算法等分析結(jié)果，以資產(chǎn)、業(yè)務(wù)等維度綜合關(guān)聯(lián)，形成完整的安全事件，并以殺傷鏈和時間軸方式直觀展示，一個頁面看清安全問題發(fā)生的過程和狀態(tài)，從而針對性的進行安全問題處理。主動安全防護變被動為主動，從已出問題（失陷態(tài)勢）、正在入侵（攻擊態(tài)勢）、已知風(fēng)險（行為風(fēng)險）、潛在風(fēng)險（脆弱性）四個維度綜合呈現(xiàn)安全整體態(tài)勢，并層次遞進解決目前網(wǎng)絡(luò)中國的安全風(fēng)險，做到主動防護的同時，支撐安全重點運維工作出口安全建設(shè)目標(biāo)雙機熱備，更安全，易擴展兩臺RSR77-X組HA方案，保障出口設(shè)備冗余和高可用，設(shè)備出現(xiàn)故障后實現(xiàn)秒級切換，對整個用戶上網(wǎng)體驗無感知出口帶寬增加需要提升出口設(shè)備性能的時候，只需要增加板卡即可完成出口設(shè)備的性能擴容，無需對整臺設(shè)備進行替換，保護用戶已有的投資。校園運維場景設(shè)計零配置，減少日常維護復(fù)雜度通過集中管理的改造，可以極大的簡化校園網(wǎng)接入?yún)^(qū)域的管理和維護工作，但是將功能和策略的上收并不能完全解決入室交換機的配置工作量，主要原因如下：即使是將大部分的功能和策略上收，在入室交換機還是存在Vlan的配置和管理，由于高校規(guī)模龐大的接入設(shè)備數(shù)量，Vlan的配置和管理將帶來巨大的工作量。同時學(xué)生用戶通過各種渠道獲得了接入設(shè)備的登陸權(quán)限，有意無意的會造成接入設(shè)備的配置錯誤甚至配置丟失，雖然不會造成免認證和不受控上網(wǎng)，但會引起整個接入設(shè)備下的用戶無法接入網(wǎng)絡(luò)。解決這個問題需要管理員定期的修改設(shè)備管理賬號和密碼，同樣由于高校規(guī)模龐大的接入設(shè)備數(shù)量，這個工作基本上是不可能完成的任務(wù)。簡化Vlan配置部署為了簡化VLAN配置管理，“極簡以太全光網(wǎng)絡(luò)”通過管理軟件來上收校園網(wǎng)接入設(shè)備的Vlan配置部署，其核心思路是將VLAN配置管理的操作封裝成一個配置任務(wù)。該配置任務(wù)分為四個步驟：配置前備份、配置下發(fā)、配置后比對、配置后備份。當(dāng)用戶需要對網(wǎng)絡(luò)進行VLAN配置時只需要創(chuàng)建任務(wù)并執(zhí)行任務(wù)即可；入室交換機零配置入網(wǎng)和光鏈路檢測網(wǎng)絡(luò)部署中有大量的入室交換機在學(xué)校的教室和辦公室，一旦入室交換機出現(xiàn)問題，維護工作尤為復(fù)雜。通過SDN技術(shù)可以輕松實現(xiàn)設(shè)備自動化運維，減輕運維人員的工作負擔(dān)。接入設(shè)備模板化，接入設(shè)備即插即用，消除人為能力因素，通過可視化提升效率，提升體驗。接入設(shè)備模板化配置，下聯(lián)端口vlan無關(guān)避免接錯口問題。通過自動化運維的解決方案做到設(shè)備0配置上線、0配置替換。改成全光網(wǎng)后當(dāng)房間數(shù)比較多的時候，光纖鏈路診斷、故障的定位修復(fù)，一直是一個大難題，耗費的時間也很長。在傳統(tǒng)網(wǎng)絡(luò)中，鏈路的診斷和定位功能不夠精確，很難達到用戶的需求，基于這些需求，在極簡以太全光網(wǎng)方案中，希望把整個運維過程做到極簡，管理員只需要三步，就可以做到全流程的管控。第一步查看設(shè)備狀態(tài)：包括設(shè)備的在線狀態(tài)、連通狀態(tài)、配置狀態(tài)等；第二步查看鏈路的狀態(tài)：包括光鏈路自動告警和檢測，以及告警原因分析和處理建議等；第三步呢，就是高階光鏈路診斷，除了確定故障源之外，我們還支持手機掃描、一鍵獲取全鏈路詳情的功能。用戶也可以靈活選擇主動管理或被動管理，保證客戶一人管理，整個網(wǎng)絡(luò)一鍵搞定。網(wǎng)隨人動策略隨行無線網(wǎng)絡(luò)，物聯(lián)網(wǎng)絡(luò)業(yè)務(wù)終端快速增長，終端位置的移動接入成為常態(tài)，業(yè)務(wù)的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡(luò)位置進行網(wǎng)絡(luò)規(guī)劃的方式無法滿足現(xiàn)有復(fù)雜的業(yè)務(wù)場景。極簡以太全光解決方案支持終端位置移動IP網(wǎng)段隨行，因此我們只需要將策略應(yīng)用在對應(yīng)的用戶分組或者指定ip上，這樣用戶的所有的安全策略和權(quán)限就能移動隨行。面對海量的物聯(lián)網(wǎng)終端、打印機、移動PC入網(wǎng)，無需更改接入設(shè)備的配置，通過SDN技術(shù)把VLAN和IP、端口解耦。通過提供業(yè)務(wù)與IP網(wǎng)段的綁定可實現(xiàn)業(yè)務(wù)快速部署。業(yè)務(wù)終端可分布在全網(wǎng)任意區(qū)域，達到了業(yè)務(wù)之間的邏輯隔離。在整體安全策略部署方面采用SDN（軟件定義網(wǎng)絡(luò)）技術(shù)，提高安全設(shè)備資源利用率，提高整體安全性能，實現(xiàn)擴品牌跨型號安全設(shè)備冗余熱備。為更加方便部署安全策略，通過SDN實現(xiàn)用戶的IP隨行，實現(xiàn)IP即用戶，IP段即用戶組，做到用戶任意地方接入IP地址不變，由于地址不變，安全策略及權(quán)限也不用變化，做到安全策略隨行。智慧運維管理平臺樂享運維管理平臺的總體設(shè)計方案及系統(tǒng)功能架構(gòu)：1.總體設(shè)計框架：樂享運維管理平臺結(jié)合當(dāng)前智能運維的發(fā)展趨勢和的自身需求，智能運維管理系統(tǒng)的總體功能架構(gòu)分為服務(wù)層、應(yīng)用層和觸達層三個層面，系統(tǒng)功能架構(gòu)圖如下所示：智能運維管理系統(tǒng)功能架構(gòu)圖服務(wù)層：采用微服務(wù)架構(gòu)的設(shè)計思路，將運維的標(biāo)準(zhǔn)服務(wù)能力下沉到平臺，平臺能力包括不限于采控、自動發(fā)現(xiàn)、CMDB、自動化運維、智能算法、執(zhí)行調(diào)度、自動執(zhí)行、權(quán)限控制等對象化的基礎(chǔ)服務(wù)，使運維平臺具備更用戶化的適應(yīng)能力，以及與其他系統(tǒng)交互的能力。應(yīng)用層：結(jié)合用戶的需求，每種運維場景通過組件化的方式進行封裝，支持的場景可靈活擴展，并通過統(tǒng)一的服務(wù)接口對外提供數(shù)據(jù)服務(wù)，構(gòu)建豐富的應(yīng)用功能，如運營服務(wù)、業(yè)務(wù)監(jiān)控、健康檢查、運維工具、全域資源健康等。觸達層：提供了多種展示視圖和方式，為不同的用戶提供不同的管理視圖，包括工作門戶、大屏展示視圖、通知等。2.系統(tǒng)技術(shù)架構(gòu)：系統(tǒng)采用了Kubernetes容器和Docker的運行架構(gòu)，可彈性使用系統(tǒng)資源。采用了混合式數(shù)據(jù)存儲方式，使用了Postgresql（關(guān)系型數(shù)據(jù)庫）、Clickhouse（時序數(shù)據(jù)庫）、Arangodb（圖形數(shù)據(jù)庫）、Redis（非關(guān)系類型數(shù)據(jù)庫）等多種類型數(shù)據(jù)庫，滿足對結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的存儲和處理要求。前端基于FusionDesign的框架，通過基于DPL模式，設(shè)計前端之間的標(biāo)準(zhǔn)協(xié)議與工作流來快速構(gòu)建符合業(yè)務(wù)訴求的DPL，提升DPL的構(gòu)建效率和應(yīng)用效率，進而實現(xiàn)業(yè)務(wù)UI的快速構(gòu)建。同時加入了對WebGL、HTML5的支持，滿足數(shù)據(jù)多種可視化的呈現(xiàn)要求。系統(tǒng)技術(shù)架構(gòu)圖集成運行平臺基于DevOps設(shè)計思想，實現(xiàn)系統(tǒng)的部一鍵部署、升級和可視化組件狀態(tài)運維管理，且平臺還提供了自動化的調(diào)度和負載分擔(dān)的機制，并可以按照需求進行擴容。系統(tǒng)的采集層、處理層、通訊層、展示層均以Docker容器的方式封裝隔離，通過Kubernetes進行編排和管理，然后通過集成平臺管理界面進行統(tǒng)一的集群安裝部署，平滑升級，并提供系統(tǒng)自檢、自愈、備份、擴容等功能。資源層運維平臺可以管理的所有對象，包含機房動環(huán)、IP終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無線設(shè)備、服務(wù)器、存儲、OS、中間件、數(shù)據(jù)庫、虛擬化、云平臺以及應(yīng)用系統(tǒng)等。采集層運維平臺支持Agent和Agentless兩種采集方式，同時預(yù)留第三方的接口，可以對接第三方系統(tǒng)推送的數(shù)據(jù)。數(shù)據(jù)范圍包含了動環(huán)數(shù)據(jù)、設(shè)備運行數(shù)據(jù)、中間件/數(shù)據(jù)庫運行數(shù)據(jù)、流量數(shù)據(jù)、關(guān)系數(shù)據(jù)、日志數(shù)據(jù)、應(yīng)用系統(tǒng)運行數(shù)據(jù)等，結(jié)合系統(tǒng)對黃金指標(biāo)的定義，實現(xiàn)對數(shù)據(jù)的采集和分類。支持的采集協(xié)議包含了如SNMP、Telemetry(遙測)、SSH/Telnet、WinRM/WMI、NetFlow、NetStream、JDBC、JMX、HTTP、SMI-S、IPMI、WebSocket、crul（仿真探測）等。處理層數(shù)據(jù)處理層只要是對采集的原始數(shù)據(jù)進行清洗、過濾、抽取、轉(zhuǎn)換、計算等使其數(shù)據(jù)能滿足上層業(yè)務(wù)場景對數(shù)據(jù)的消費。為了確保采集數(shù)據(jù)的實時入庫和高頻度實時查詢需求，滿足高可用、高并發(fā)、高性能等特性，系統(tǒng)采用了混合式的數(shù)據(jù)存儲方式，其中關(guān)系型數(shù)據(jù)庫Postgresql用來存儲系統(tǒng)的相關(guān)數(shù)據(jù)，如用戶數(shù)據(jù)、系統(tǒng)配置等數(shù)據(jù)；使用時序數(shù)據(jù)Clickhouse，用于存儲所有的指標(biāo)數(shù)據(jù)，以滿足系統(tǒng)對指標(biāo)的高性能查詢和數(shù)據(jù)分析；使用圖數(shù)據(jù)庫ArangoDB用來存儲CI之間的關(guān)系，便于對關(guān)系數(shù)據(jù)的及時更新和實時查詢；使用緩存數(shù)據(jù)庫Redis為系統(tǒng)中關(guān)鍵的功能如告警、風(fēng)險檢查等關(guān)鍵功能進行加速支持，使其能快速讀取和計算；使用kafka滿足系統(tǒng)中大規(guī)模的消息高速吞吐處理；使用Zookeeper滿足系統(tǒng)分布式集群各組件的協(xié)調(diào)處理需求。業(yè)務(wù)層系統(tǒng)的業(yè)務(wù)應(yīng)用層（APPserver或者webserver層）,該層為智能運維平臺的“上傳下達”層，負責(zé)按照展示層的需求調(diào)用處理層接口上的數(shù)據(jù)，同時按照應(yīng)用需求對處理層提供的基礎(chǔ)數(shù)據(jù)進行簡單的再加工，如單位換算、簡單的數(shù)據(jù)過濾（如隱藏特定字段、特定排序等）。通訊層通訊層為展示層以及第三方系統(tǒng)提供統(tǒng)一的接口服務(wù)。包含了為所有業(yè)務(wù)提供鑒權(quán)、認證服務(wù)，提供了第三方的單點登錄接口，實現(xiàn)與第三方系統(tǒng)的登錄對接。展示層展示層為智能運維管理平臺的集中展示門戶，是使用者可觸達的入口。主要包括了工作門戶、運營輔助決策、通知中心。其中工作門戶使用了UI-CBB的實現(xiàn)架構(gòu)，通過靈活的配置，讓使用者按照工作習(xí)慣實現(xiàn)自己的工作門戶。運營輔助決策主要使用的技術(shù)棧包括Html5、Javascript、Css、WebGL等主流的web前端技術(shù)滿足各種場景和應(yīng)用的需求。3.部署架構(gòu)樂享智能運維管理系統(tǒng)采用容器化部署平臺，其中容器采用Docker引擎，容器編排采用Kubernetes來進行管理。集群支持對微服務(wù)進行部署、監(jiān)控、啟停。集群組最小可以支持一個Master節(jié)點和一個Worker節(jié)點，同時也可以根據(jù)監(jiān)控資源的數(shù)量或者應(yīng)用模塊的多少進行擴容。系統(tǒng)部署架構(gòu)圖對于多節(jié)點監(jiān)控或者擴展存在分支網(wǎng)絡(luò)的情況，為了解決安全隔離或者廣域網(wǎng)傳輸?shù)?，也可以分離采控代理的方式進行部署。如以下部署方式：分離采控代理方式部署架構(gòu)圖其中在K8S的環(huán)境中也具備采控代理的能力，在沒有分支部署需求或者采集資源不多的情況下，直接部署一個K8S的環(huán)境即可滿足對資源的自動發(fā)現(xiàn)、采集、動作執(zhí)行以及仿真探測等任務(wù)。4.主要技術(shù)應(yīng)用建設(shè)智能運維管理系統(tǒng)需要借助新型的信息技術(shù)，在本次建設(shè)中我們推薦采用以下技術(shù)應(yīng)用。1、基于業(yè)務(wù)體驗的提前預(yù)警：通過流量探針與仿真撥測設(shè)備對不同鏈路、不同業(yè)務(wù)的訪問體驗進行監(jiān)控，實現(xiàn)早于用戶發(fā)現(xiàn)異常。同時，為服務(wù)臺人員受理用戶的異常反饋后可以更快地識別故障區(qū)域、并更準(zhǔn)確地分配處置任務(wù)。2、根因關(guān)聯(lián)分析：通過統(tǒng)一的CMDB整合了基礎(chǔ)網(wǎng)管、準(zhǔn)入管理、流量采集分析等不同運維系統(tǒng)的運行數(shù)據(jù)及各CI實例之間的關(guān)系，當(dāng)某個資源發(fā)現(xiàn)告警時，可以通過系統(tǒng)內(nèi)置的關(guān)系圖自動計算出該告警產(chǎn)生的可能原因及對哪些資源會產(chǎn)生影響，協(xié)助服務(wù)人員更快速地定位發(fā)生異常的具體區(qū)域，并為查找原因提供數(shù)據(jù)支撐；3、圖數(shù)據(jù)庫在CMDB上的應(yīng)用：為了直接的表達CI之間的關(guān)系，高效寫入大量的關(guān)系數(shù)據(jù)，提升關(guān)系的關(guān)聯(lián)查詢能力，系統(tǒng)引入圖數(shù)據(jù)庫替換傳統(tǒng)的關(guān)系型數(shù)據(jù)庫。圖數(shù)據(jù)庫在構(gòu)建關(guān)系、插入大量數(shù)據(jù)及關(guān)聯(lián)查詢都進行針對性的優(yōu)化，比如存儲模型上、數(shù)據(jù)結(jié)構(gòu)、查詢算法等，防止局部數(shù)據(jù)的查詢引發(fā)全部數(shù)據(jù)的讀取。在做關(guān)聯(lián)數(shù)據(jù)查詢上，效果遠好于傳統(tǒng)數(shù)據(jù)庫。同時，圖數(shù)據(jù)庫也對查詢語句做了專門的抽像，對于復(fù)雜查詢業(yè)務(wù)的實現(xiàn)更容易。4、引入黃金指標(biāo)，對每類資源在基礎(chǔ)