5G通信網(wǎng)絡(luò)5G網(wǎng)關(guān)軟件設(shè)計(jì)方案

PAGE5G通信網(wǎng)絡(luò)5G網(wǎng)關(guān)軟件設(shè)計(jì)方案目錄1 前言 41.1 簡介 41.2 術(shù)語、定義、縮略語（可選） 41.3 參考資料（可選） 52 總體設(shè)計(jì) 52.1 需求規(guī)定 52.1.1 總體需求分析 52.1.2 整體架構(gòu)需求分析 62.1.3 5G網(wǎng)關(guān)軟件功能需求分析 72.1.4 網(wǎng)關(guān)云平臺需求分析 82.2 開發(fā)及運(yùn)行環(huán)境 102.3 關(guān)鍵技術(shù)分析 112.3.1 多核并發(fā)處理模型 112.3.2 中心控制器 122.3.3 DPDK技術(shù) 123 架構(gòu)設(shè)計(jì) 123.1 設(shè)計(jì)思路 123.2 系統(tǒng)架構(gòu) 133.2.1 設(shè)備層軟件架構(gòu) 143.2.2 控制器層軟件架構(gòu) 153.2.3 應(yīng)用層軟件架構(gòu) 153.2.4 數(shù)據(jù)展示層架構(gòu) 163.3 模塊清單 163.4 各模塊與子系統(tǒng)設(shè)計(jì) 183.4.1 5G網(wǎng)關(guān)軟件模塊設(shè)計(jì) 193.4.2 網(wǎng)關(guān)云平臺模塊設(shè)計(jì) 294 接口設(shè)計(jì) 394.1 用戶接口 394.1.1 命令行特性 394.1.2 語法幫助 404.1.3 使用語法幫助補(bǔ)齊命令 404.1.4 命令簡寫 414.1.5 命令模式 414.1.6 常用命令介紹 424.2 外部接口 424.3 內(nèi)部接口 575 數(shù)據(jù)庫設(shè)計(jì) 766 系統(tǒng)安全設(shè)計(jì) 786.1 系統(tǒng)安全 786.1.1 系統(tǒng)設(shè)計(jì)安全 786.1.2 遠(yuǎn)程管理安全 796.1.3 Token身份鑒別 796.1.4 定期升級機(jī)制 806.1.5 修改非標(biāo)端口 806.1.6 限制開放端口 806.1.7 HTTPS加密通信 806.2 數(shù)據(jù)安全 816.2.1 數(shù)據(jù)加密存儲 816.2.2 數(shù)據(jù)傳輸校驗(yàn)機(jī)制 816.3 后備與恢復(fù) 826.3.1 配置備份 826.3.2 系統(tǒng)回滾 826.3.3 數(shù)據(jù)備份 836.4 出錯(cuò)處理 836.4.1 故障定位及處理 836.4.2 人機(jī)界面設(shè)計(jì) 846.4.3 調(diào)試及測試方法 84前言簡介5G智慧校園網(wǎng)關(guān)利用5G，SDN和邊緣計(jì)算的技術(shù)，結(jié)合網(wǎng)絡(luò)通信及安全能力，應(yīng)用服務(wù)能力，數(shù)據(jù)分析及感知能力，從而形成5G邊緣計(jì)算的企業(yè)級智能網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)。作為網(wǎng)絡(luò)出口，提供網(wǎng)絡(luò)管理及安全服務(wù)（5G接入及專線接入）；作為應(yīng)用運(yùn)行承載，提供邊云結(jié)合的智能計(jì)算服務(wù)（網(wǎng)絡(luò)應(yīng)用，行業(yè)應(yīng)用）；作為邊緣的數(shù)據(jù)資源，提供網(wǎng)關(guān)大數(shù)據(jù)平臺的數(shù)據(jù)源以完成綜合分析及感知服務(wù)。作為ICT融合的核心基礎(chǔ)設(shè)施節(jié)點(diǎn)，搭建第三方的應(yīng)用生態(tài)，通過三大服務(wù)體系，為學(xué)校等行業(yè)客戶提供ICT定制化方案，切入行業(yè)市場。 文檔描述了軟件設(shè)計(jì)方案，涉及到系統(tǒng)架構(gòu)和功能設(shè)計(jì)，給軟件詳細(xì)設(shè)計(jì)提供指導(dǎo)。術(shù)語、定義、縮略語（可選）序號術(shù)語或縮略語說明性定義15G智慧校園網(wǎng)關(guān)本文中與5G邊緣計(jì)算網(wǎng)關(guān)，5G邊緣網(wǎng)關(guān)同義。2網(wǎng)關(guān)云平臺本文中與邊緣計(jì)算管理平臺同義。3SDN軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork）4DockerDocker是一個(gè)開源的應(yīng)用容器引擎，讓開發(fā)者可以打包他們的應(yīng)用以及依賴包到一個(gè)可移植的鏡像中，然后發(fā)布到任何流行的Linux或Windows機(jī)器上，也可以實(shí)現(xiàn)虛擬化。5SNMP簡單網(wǎng)絡(luò)管理協(xié)議（SNMP，SimpleNetworkManagementProtocol），該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)，用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況。6OverlayOverlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域，指的是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下，實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離，并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。7UnderlayUnderlay就是當(dāng)前數(shù)據(jù)中心網(wǎng)路基礎(chǔ)轉(zhuǎn)發(fā)架構(gòu)的網(wǎng)絡(luò)，只要數(shù)據(jù)中心網(wǎng)絡(luò)上任意兩點(diǎn)路由可達(dá)即可，指的是物理基礎(chǔ)層。8QoSQoS（QualityofService，服務(wù)質(zhì)量）指一個(gè)網(wǎng)絡(luò)能夠利用各種基礎(chǔ)技術(shù)，為指定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力,是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。參考資料（可選）總體設(shè)計(jì)需求規(guī)定總體需求分析隨著5G、物聯(lián)網(wǎng)時(shí)代的到來以及云計(jì)算應(yīng)用的逐漸增加，傳統(tǒng)的云計(jì)算技術(shù)已經(jīng)無法滿足終端側(cè)“大連接，低時(shí)延，大帶寬”的需求。隨著邊緣計(jì)算技術(shù)的出現(xiàn)，云計(jì)算將必然發(fā)展到下一個(gè)技術(shù)階段，將云計(jì)算的能力拓展至距離終端最近的邊緣側(cè)，并通過云邊端的統(tǒng)一管控實(shí)現(xiàn)云計(jì)算服務(wù)的下沉，供端到端的云服務(wù)，由此產(chǎn)生了邊緣云計(jì)算的概念。邊緣云計(jì)算，簡稱邊緣云，是基于云計(jì)算技術(shù)的核心和邊緣計(jì)算的能力，構(gòu)筑在邊緣基礎(chǔ)設(shè)施之上的云計(jì)算平臺。形成邊緣位置的計(jì)算、網(wǎng)絡(luò)、存儲、安全等能力全面的彈性云平臺，并與中心云和物聯(lián)網(wǎng)終端形成“云邊端三體協(xié)同”的端到端的技術(shù)架構(gòu)，通過將網(wǎng)絡(luò)轉(zhuǎn)發(fā)、存儲、計(jì)算，智能化數(shù)據(jù)分析等工作放在邊緣處理，降低響應(yīng)時(shí)延、減輕云端壓力、降低帶寬成本，并提供全網(wǎng)調(diào)度、算力分發(fā)等云服務(wù)。本項(xiàng)目需求主要利用5G邊緣網(wǎng)關(guān)，為教育校園用戶提供5G邊緣計(jì)算能力，利用SDN加邊緣計(jì)算（Docker容器）的技術(shù)，結(jié)合網(wǎng)絡(luò)通信，通信安全，集中管控等能力，滿足校園用戶痛點(diǎn)的應(yīng)用服務(wù)需求，從而形成5G邊緣計(jì)算智能節(jié)點(diǎn)。整體架構(gòu)需求分析為實(shí)現(xiàn)校園邊緣計(jì)算場景，方案設(shè)計(jì)時(shí)，需要在架構(gòu)上與傳統(tǒng)網(wǎng)絡(luò)管理模型有本質(zhì)的區(qū)別，通過借助SDN專控分離的思想，將控制層集中化，并將數(shù)據(jù)轉(zhuǎn)發(fā)層抽象化，簡化整體管理的復(fù)雜程度。因此本次方案架構(gòu)設(shè)計(jì)采用SDN分層的架構(gòu)，整體方案分為：設(shè)備層、控制器層、應(yīng)用層。設(shè)備層：基于多核處理器，融合SD-WAN/LAN、云管理、基本路由交換、VPN、上網(wǎng)行為管理、安全等多種功能，同時(shí)設(shè)備具備開放性生態(tài)化的容器平臺，可集成開源或者客戶開發(fā)的應(yīng)用，以擴(kuò)展設(shè)備功能，滿足中小學(xué)校園場景的邊緣智能網(wǎng)關(guān)場景；編排控制器層：控制器將作為本次方案整體的控制大腦，以軟件形態(tài)安裝到服務(wù)器或虛擬機(jī)中，部署位置不限。北向通過RESTAPI接口對接應(yīng)用層，南向通過Netconf/SNMP等協(xié)議對邊緣設(shè)備?？刂破鲗又饕獙?shí)現(xiàn)對網(wǎng)絡(luò)的集中控制、路由管理、配置下發(fā)等、開源容器監(jiān)控管理等控制面功能；數(shù)據(jù)展示層：應(yīng)用層為大數(shù)據(jù)展示分析平臺，對所有邊緣設(shè)備的各類數(shù)據(jù)信息集中呈現(xiàn)，便于管理人員了解整體網(wǎng)絡(luò)狀態(tài)及安全態(tài)勢。5G網(wǎng)關(guān)軟件功能需求分析網(wǎng)絡(luò)能力需求分析為了實(shí)現(xiàn)邊緣網(wǎng)絡(luò)及網(wǎng)絡(luò)功能的動(dòng)態(tài)編排，可通過Overlay實(shí)現(xiàn)虛擬網(wǎng)絡(luò)構(gòu)建，無需對傳統(tǒng)網(wǎng)絡(luò)做出任何改變。虛擬化后的業(yè)務(wù)網(wǎng)絡(luò)為Overlay，中間的傳統(tǒng)承載網(wǎng)絡(luò)為underlay。Overlay的技術(shù)路線，對物理設(shè)備的要求降至最低，業(yè)務(wù)完全定義在overlay網(wǎng)絡(luò)上。典型的overlay實(shí)現(xiàn)為VXLAN，是一種將二層報(bào)文用三層協(xié)議進(jìn)行封裝的技術(shù)，可以對二層網(wǎng)絡(luò)在三層范圍進(jìn)行擴(kuò)展。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識，使用戶可以創(chuàng)建16M相互隔離的虛擬網(wǎng)絡(luò)，突破了傳統(tǒng)VLAN所能表示的4K個(gè)隔離網(wǎng)絡(luò)的限制。邊緣5G網(wǎng)關(guān)的網(wǎng)絡(luò)組建基于隧道的建立，因此需要考慮網(wǎng)關(guān)支持多種隧道協(xié)議包括：IPSec、GRE、MPLS、VxLAN等。本項(xiàng)目所要求的網(wǎng)絡(luò)功能，除包括網(wǎng)絡(luò)隧道組建及overlay組網(wǎng)外，還需包括快速網(wǎng)絡(luò)節(jié)點(diǎn)接入（ZTP），靜態(tài)、動(dòng)態(tài)、策略路由協(xié)議支持，NAT協(xié)議支持，IPv6支持，其他網(wǎng)絡(luò)協(xié)議以及網(wǎng)絡(luò)設(shè)備北向接口兼容等。邊緣能力需求分析5G網(wǎng)關(guān)借助使用公共網(wǎng)絡(luò)構(gòu)建，并接入到運(yùn)營商的網(wǎng)絡(luò)之中。一方面通過公共網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)，就要面臨公共網(wǎng)絡(luò)上存在的各類安全威脅，另一方面也帶來了安全防護(hù)的管理方面的諸多挑戰(zhàn)。尤其是在邊緣網(wǎng)點(diǎn)數(shù)量龐大的情況下，分散的設(shè)備策略配置管理，對管理員安全技能要求高，手工配置和維護(hù)困難。因此需具備集中式的網(wǎng)絡(luò)安全服務(wù)，避免在互聯(lián)網(wǎng)中大規(guī)模部署傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備所帶來的投資成本、管理成本的壓力，以及業(yè)務(wù)復(fù)雜度的提高和靈活性的降低。在邊緣能力方面，將提供包括防火墻、防DDoS攻擊、入侵防御、防病毒、Web過濾、內(nèi)容過濾、高性能攻擊緩解等安全防護(hù)能力；并可通過編排器進(jìn)行集中編排管理。其他能力需求同時(shí)需要具備應(yīng)用使用優(yōu)化能力，具有完善的QoS技術(shù)，以保障在數(shù)據(jù)發(fā)生擁塞時(shí)，重要流量得以被首先轉(zhuǎn)發(fā)；同時(shí)網(wǎng)關(guān)應(yīng)支持記錄日志信息，并通過RESTFULAPI接口或者其他接口，通過用戶Portal實(shí)現(xiàn)對日志信息進(jìn)行查詢。網(wǎng)關(guān)云平臺需求分析編排能力需求分析編排和控制作為整個(gè)方案的大腦，提供集中和統(tǒng)一的管理，管理對象包括：用戶、設(shè)備、業(yè)務(wù)、網(wǎng)絡(luò)等。在用戶管理方面需要采用三權(quán)分立的設(shè)計(jì)，確保所有操作記錄都能夠有效的設(shè)計(jì)和防止權(quán)限過大，為管理員用戶、自服務(wù)用戶進(jìn)行分權(quán)分域管理的功能。在設(shè)備管理方面，需要在安全性和管理性方面綜合考量，對接入邊緣設(shè)備的進(jìn)行鑒權(quán)認(rèn)證，防止非法設(shè)備接入平臺，保證整體方案安全；同時(shí)采用自動(dòng)運(yùn)維機(jī)制，邊緣設(shè)備能夠自動(dòng)連接到編排控制器。在業(yè)務(wù)管理方面，編排控制器需要通過API接口集中的管理邊緣網(wǎng)關(guān)；編排控制器通過將相關(guān)指令下發(fā)邊緣設(shè)備，實(shí)現(xiàn)對邊緣設(shè)備的管理，實(shí)現(xiàn)用戶本地的網(wǎng)絡(luò)的開通；編排控制器通過將邊緣網(wǎng)關(guān)協(xié)作工作，實(shí)現(xiàn)自動(dòng)化overlay網(wǎng)絡(luò)組建：通過網(wǎng)絡(luò)可編程性和自動(dòng)化能力將具體的網(wǎng)絡(luò)抽象為邏輯網(wǎng)絡(luò)，并將抽象的命令轉(zhuǎn)換為具體的規(guī)則/策略，從而自動(dòng)配置工作負(fù)載，實(shí)現(xiàn)網(wǎng)絡(luò)和安全服務(wù)的服務(wù)鏈。在網(wǎng)絡(luò)管理方面，編排控制器需要具備圖形化、易用的界面，需要采用對話框等圖形化方式對邊緣網(wǎng)關(guān)的各項(xiàng)業(yè)務(wù)功能進(jìn)行遠(yuǎn)程配置，簡單快捷的實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維和管理；能夠支持對網(wǎng)內(nèi)所有節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，支持信息的記錄和圖形化展示，直觀明白的展示當(dāng)前網(wǎng)絡(luò)狀況；對于告警信息采用分級處理的方式，對不同危害等級的告警進(jìn)行圖形化分析和展示。同時(shí)編排控制器需要具備擴(kuò)展性和開放性，因此還需要支持南北向接口開放。應(yīng)用管理需求分析5G邊緣網(wǎng)關(guān)設(shè)備具備開放的運(yùn)行環(huán)境，方便靈活部署各類應(yīng)用，自身開放的特點(diǎn)，校園用戶會(huì)根據(jù)自身需要，部署一些類校園應(yīng)用，因此需要對這些應(yīng)用進(jìn)行部署管理、運(yùn)行指標(biāo)可視化監(jiān)控等。生命周期管理：需要對說部署的docker軟件實(shí)現(xiàn)全生命周期管理，包括創(chuàng)建部署、掛起、刪除等功能。應(yīng)用狀態(tài)監(jiān)控：需對部署的應(yīng)用狀態(tài)信息進(jìn)行監(jiān)控，包括CPU狀態(tài)、內(nèi)存狀態(tài)、網(wǎng)卡狀態(tài)等信息。應(yīng)用網(wǎng)絡(luò)管理：需可對部署的應(yīng)用進(jìn)行網(wǎng)絡(luò)配置。應(yīng)用商店：需可對用戶的應(yīng)用上架、審核，提供應(yīng)用列表，其他用戶可自行選擇安裝，也可批量下發(fā)至對應(yīng)的邊緣網(wǎng)關(guān)設(shè)備。數(shù)據(jù)展示需求分析任何安全事件，在事后總是能分析出黑客滲透和竊密的痕跡，但不在事前和事中就及時(shí)發(fā)呢？一次滲透和攻擊，一般都包括復(fù)雜的信息搜集、攻擊嘗試、控制跳板、移動(dòng)提權(quán)、信息回傳過程?！爸钦咔]必有一失”，即使是最聰明的天才也難免會(huì)不留下任何可供防御者研究和分析的痕跡，如：①攻擊者和普通用戶訪問目的不同，如攻擊者的頁面訪問規(guī)律、信息輸入方式等都異于普通用戶②攻擊者和普通用戶訪問邏輯不同，如攻擊者的數(shù)據(jù)包特征、網(wǎng)絡(luò)行為特征等與普通用戶存在差異。③攻擊者和普通用戶訪問結(jié)果不同，如攻擊者的產(chǎn)生非必要的流量、導(dǎo)致目標(biāo)系統(tǒng)異常。傳統(tǒng)的設(shè)備、軟件和系統(tǒng)對此都無法察覺及智能分析出違規(guī)和異常信息的邏輯關(guān)系，只是機(jī)械地特征庫匹配、攔截或放行，無法有效判斷異常訪問，防護(hù)也就更不可能。因此需要以邊緣安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力，最終幫助管理人員提供決策與行動(dòng)依據(jù)。需包含如下幾個(gè)方面：了解當(dāng)前的狀態(tài)，包括狀態(tài)識別與確認(rèn)（攻擊發(fā)現(xiàn)），以及對態(tài)勢認(rèn)知所需信息來源和素材的質(zhì)量評價(jià)。了解攻擊的影響、攻擊者（對手）的行為和當(dāng)前態(tài)勢發(fā)生的原因及方式。包括：行為分析（攻擊行為的趨勢與意圖分析）和因果分析（包括溯源分析和取證分析）等。 開發(fā)及運(yùn)行環(huán)境關(guān)鍵技術(shù)分析多核并發(fā)處理模型中心控制器控制器是編排控制器的核心組件，具有設(shè)備管理、用戶配置、權(quán)限管理、日志管理、告警等多種功能，涉及到大量的企業(yè)業(yè)務(wù)邏輯，采用微服務(wù)的方式來將整個(gè)系統(tǒng)的復(fù)雜性降低，是控制器的合理解決方案，編排控制器使用SpringBoot微服務(wù)的方式來開發(fā)控制器。SprintBoot是用來簡化新Spring應(yīng)用的初始搭建以及開發(fā)過程。SpringBoot是伴隨著Spring4.0誕生的；從字面理解，Boot是引導(dǎo)的意思，因此SpringBoot幫助開發(fā)者快速搭建Spring框架；SpringBoot繼承了原有Spring框架的優(yōu)秀基因；SpringBoot簡化了使用Spring的過程。DPDK技術(shù)采用了DPDK技術(shù)完成在數(shù)據(jù)包高效的從網(wǎng)卡傳遞到數(shù)據(jù)轉(zhuǎn)發(fā)模塊，說明如下：a) 用戶空間實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，DPDK完成高效的收發(fā)包過程；b) 使用多核編程技術(shù)提高系統(tǒng)的資源利用率，從而提高轉(zhuǎn)發(fā)性能；c) 采用無鎖技術(shù)解決資源并發(fā)訪問問題；d) 使用大頁內(nèi)存減少cache-miss。架構(gòu)設(shè)計(jì)設(shè)計(jì)思路本方案采用SDN的思想，利用邊緣計(jì)算、虛擬化和NFV技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)功能和安全功能的集中部署、集中管理、按需提供、動(dòng)態(tài)編排，為用戶提供快速、便捷的接入能力，以及根據(jù)業(yè)務(wù)需求動(dòng)態(tài)編排網(wǎng)絡(luò)及網(wǎng)絡(luò)功能的能力。其次，用戶可利用邊緣計(jì)算網(wǎng)關(guān)的可擴(kuò)展性，靈活部署第三方應(yīng)用產(chǎn)品，便于實(shí)現(xiàn)應(yīng)用在邊緣節(jié)點(diǎn)本地化部署，滿足邊緣計(jì)算的低延時(shí)、成本優(yōu)化等核心優(yōu)勢。根據(jù)上述設(shè)計(jì)原則，本方案分為數(shù)據(jù)展示層、編排控制層、邊緣設(shè)備三個(gè)部分，其中：數(shù)據(jù)展示層集中呈現(xiàn)邊緣設(shè)備收集上來的安全日志、審計(jì)日志、流量日志等信息，進(jìn)行大數(shù)據(jù)分析建模，構(gòu)建風(fēng)險(xiǎn)態(tài)勢和數(shù)據(jù)呈現(xiàn)模型。編排控制層實(shí)現(xiàn)對邊緣設(shè)備的網(wǎng)絡(luò)編排及策略下發(fā)，簡化運(yùn)維管理難度，同時(shí)也可實(shí)現(xiàn)對第三方應(yīng)用的生命周期管理和信息收集。邊緣設(shè)備層采用通用標(biāo)準(zhǔn)設(shè)備，利用虛擬化能力及Docker能力，實(shí)現(xiàn)網(wǎng)絡(luò)接入、安全防護(hù)、第三方應(yīng)用等能力本地化部署，獲得“一分鐘敏捷交付”的能力，利用云計(jì)算核心技術(shù)積累構(gòu)建安全穩(wěn)定的邊緣計(jì)算系統(tǒng)。系統(tǒng)架構(gòu)設(shè)備層軟件架構(gòu)5G邊緣設(shè)備的總體軟件架構(gòu)如圖所示：5G邊緣網(wǎng)關(guān)設(shè)備采用通用硬件設(shè)備及通用底層系統(tǒng)實(shí)現(xiàn)邊緣能力的基本承載。5G邊緣網(wǎng)關(guān)軟件主要包括兩個(gè)部分，其一是基礎(chǔ)邊緣功能，部署在通用系統(tǒng)之上，具備網(wǎng)絡(luò)配置、安全能力、設(shè)備管理、策略實(shí)現(xiàn)等功能模塊：網(wǎng)絡(luò)配置：提供L2/L3服務(wù)，具體包括：VLAN功能、路由、橋接及混合轉(zhuǎn)發(fā)模式、靜態(tài)路由、策略路由、各種動(dòng)態(tài)路由協(xié)議、VRRP、DHCP、NAT、IPv6等；安全能力：提供訪問控制、入侵防御、病毒防護(hù)、DDoS攻擊防護(hù)等L2-L7層安全能力；設(shè)備管理：提供日志告警、設(shè)備權(quán)限劃分、網(wǎng)絡(luò)管理、人員對象管理等功能；策略實(shí)現(xiàn)：提供QOS與流控策略、安全策略、VPN隧道等功能。其二為應(yīng)用能力擴(kuò)展功能，用戶可自行安裝容器化軟件，并通過對外API接口實(shí)現(xiàn)對這些容器化軟件的網(wǎng)絡(luò)管理、配置管理、生命周期管理等。控制器層軟件架構(gòu)整個(gè)編排控制層對外提供統(tǒng)一的北向RestfulAPI接口及南向標(biāo)準(zhǔn)接口SNMP/RESTFulAPI等。編排控制器的三大核心模塊是用戶管理、設(shè)備管理與網(wǎng)絡(luò)編排功能，貫徹整個(gè)編排控制器的相關(guān)功能。設(shè)備管理模塊由日志采集、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控、展示/告警四個(gè)模塊組成。網(wǎng)絡(luò)編排由配置接口、配置管理、集中控制、虛擬網(wǎng)絡(luò)、自動(dòng)化編程五個(gè)部分組成。應(yīng)用層軟件架構(gòu)應(yīng)用層管理軟件具備對用戶自行安裝的docker進(jìn)行管理，具備生命周期管理、鏡像管理、節(jié)點(diǎn)管理、商店管理、用戶管理等功能。與邊緣網(wǎng)關(guān)之間采用RESTFulAPI接口實(shí)現(xiàn)對接，完成對docker的全生命周期的管理、狀態(tài)信息采集、應(yīng)用下發(fā)等。數(shù)據(jù)展示層架構(gòu)數(shù)據(jù)展示層面通過對邊緣設(shè)備的日志收集、匯總、分析，實(shí)現(xiàn)安全概覽、阻斷分析、異常分析、入侵感知、病毒感知、行為感知、輿情感知、黑客畫像、受害者畫像功能，幫助校園用戶實(shí)現(xiàn)對海量數(shù)據(jù)的集中呈現(xiàn)，幫助用戶解決資產(chǎn)畫像呈現(xiàn)、安全態(tài)勢實(shí)時(shí)展示、安全風(fēng)險(xiǎn)預(yù)測、安全事件回溯、安全應(yīng)急通報(bào)等問題。模塊清單編號模塊名稱模塊描述15G網(wǎng)關(guān)軟件1.1靜態(tài)路由對邊緣網(wǎng)關(guān)設(shè)備配置、管理靜態(tài)路由1.2策略路由對邊緣網(wǎng)關(guān)設(shè)備配置、管理策略路由1.3VRRP對邊緣網(wǎng)關(guān)設(shè)備配置VRRP1.4DHCP對邊緣網(wǎng)關(guān)設(shè)備配置DHCP，如服務(wù)器模式與客戶端模式1.5NAT對邊緣網(wǎng)關(guān)設(shè)備配置NAT1.6IPv6對邊緣網(wǎng)關(guān)設(shè)備配置IPv6地址、路由等，實(shí)現(xiàn)在IPv6環(huán)境下的接入部署1.7隧道功能對邊緣網(wǎng)關(guān)設(shè)備配置隧道功能，如IPSecVPN、SSLVPN、VXLAN等1.8數(shù)據(jù)管理與分析對邊緣網(wǎng)關(guān)設(shè)備配置數(shù)據(jù)管理與分析功能，如行為審計(jì)、流量管理、Web訪問管理等1.9日志告警對邊緣網(wǎng)關(guān)設(shè)備產(chǎn)生的日志進(jìn)行進(jìn)行配置管理1.10邊緣能力對邊緣網(wǎng)關(guān)設(shè)備的邊緣安全能力進(jìn)行配置，如訪問控制、入侵防御、防病毒等2網(wǎng)關(guān)云平臺2.1ZTP接入管理對上線接入的邊緣設(shè)備進(jìn)行管理及配置，采集設(shè)備基本信息，實(shí)現(xiàn)設(shè)備的零配置上線能力。2.2用戶管理三權(quán)分立，實(shí)現(xiàn)對不同用戶的權(quán)限管理，分為設(shè)備管理員、運(yùn)營管理員、組織管理員2.3設(shè)備管理對邊緣設(shè)備進(jìn)行配置及狀態(tài)監(jiān)控，如接口狀態(tài)、流量信息等2.4業(yè)務(wù)配置對邊緣設(shè)備業(yè)務(wù)需求進(jìn)行編排配置，如策略下發(fā)、網(wǎng)絡(luò)配置等2.5網(wǎng)絡(luò)監(jiān)控對所有邊緣設(shè)備狀態(tài)進(jìn)行監(jiān)控，構(gòu)建整體網(wǎng)絡(luò)拓?fù)洹?.6資源狀態(tài)監(jiān)控監(jiān)控邊緣設(shè)備自身資源可用情況，便于docker應(yīng)用的遠(yuǎn)程部署2.7告警管理對邊緣設(shè)備的狀態(tài)信息進(jìn)行告警配置及管理，如郵件告警、syslog告警等2.8應(yīng)用管理實(shí)現(xiàn)對docker應(yīng)用的可視化管理，如生命周期管理、鏡像管理等2.9應(yīng)用市場對docker應(yīng)用實(shí)現(xiàn)應(yīng)用市場能力，如審核應(yīng)用、應(yīng)用上線等2.10應(yīng)用門戶portal實(shí)現(xiàn)用戶直接通過瀏覽器即可訪問頁面，獲取部分系統(tǒng)管理功能及Docker應(yīng)用管理能力2.11校園網(wǎng)關(guān)數(shù)據(jù)展示平臺對所有邊緣設(shè)備的各類日志進(jìn)行匯總分析，實(shí)現(xiàn)安全概覽、阻斷分析、入侵感知、病毒感知等數(shù)據(jù)呈現(xiàn)等接口設(shè)計(jì)用戶接口5G邊緣網(wǎng)關(guān)軟件可通過命令行配置，也可以通過圖形界面進(jìn)行配置。其中命令行配置除了可以通過console口連接，也可以通過SSH，Telnet客戶端連接，圖形界面采用的B/S模式，可以通過HTTPS和HTTP進(jìn)行連接。命令行特性使用命令行接口（CLI），請按照以下步驟：第1步：當(dāng)進(jìn)入命令行接口出現(xiàn)命令提示符后，確認(rèn)相應(yīng)的權(quán)限。大多數(shù)配置命令都需要管理員權(quán)限。第2步：鍵入命令名稱。如果命令不含需要用戶輸入的參數(shù)，那么請直接跳到第3步。如果命令含需要用戶輸入的參數(shù)，那么繼續(xù)以下步驟：如果命令需要一個(gè)參數(shù)值，請輸入一個(gè)參數(shù)值。在輸入?yún)?shù)值時(shí)，可能要輸入關(guān)鍵字。命令的參數(shù)值部分一般指定了應(yīng)該輸入什么樣的參數(shù)，是某范圍內(nèi)的數(shù)值，或者字符串或者IP地址。關(guān)鍵字是指命令中要操作的對象。如果命令需要多個(gè)參數(shù)值，請按命令的提示依次輸入關(guān)鍵字和每個(gè)參數(shù)值。直到提示信息中出現(xiàn)按回車鍵信息為止。第3步：輸入完整的命令后，請按回車鍵。例如：“exit”是一個(gè)不含參數(shù)和關(guān)鍵字的命令。命令名稱為exit；“ipaddressA.B.C.D/M”是一個(gè)含有參數(shù)和關(guān)鍵字的命令。其中命令名稱為ip，關(guān)鍵字為address，參數(shù)值為A.B.C.D/M。語法幫助命令行接口內(nèi)置有語法幫助。如果對某個(gè)命令的語法不是很確定，請輸入該命令中所知道的部分，然后輸入“?”或“空格加？”。命令行會(huì)提示已經(jīng)輸入的部分命令后剩余部分的可能的命令清單。使用語法幫助補(bǔ)齊命令用戶輸入“Tab”鍵后，對命令進(jìn)行補(bǔ)齊的功能。當(dāng)輸入了一部分命令后，再輸入“Tab”鍵，如果匹配的命令有多個(gè)，則列出可能的命令清單，如果匹配的命令只有一個(gè)，那么命令行會(huì)自動(dòng)把用戶輸入的那部分命令補(bǔ)齊，并把光標(biāo)移至最后。在命令語法中看到各種符號，這些符號只是說明該如何輸入該命令，但是不是命令本身的一個(gè)部分。下表對這些符號進(jìn)行了概要說明。符號描述大寫字母大寫字母表示該命令的該部分必須輸入一個(gè)字符串參數(shù)。例如命令：User-groupNAMEfirewall中您必須在NAME那個(gè)位置輸入一個(gè)合法的用戶組的名字作為您所創(chuàng)建的用戶組的名字。A.B.C.D和A.B.C.D/MA.B.C.D表示IP地址，M表示掩碼。例如命令：iprouteA.B.C.D/M(A.B.C.D|INTERFACE)圓括號()和豎直線|圓括號一般和豎直線配合使用。圓括號括起來的部分表示這部分命令有幾個(gè)用豎直線分隔開的可選項(xiàng)，您必須選擇輸入其中一項(xiàng)。例如命令：timezone(utc|cst)中圓括號內(nèi)包含由豎直線分隔的兩個(gè)可選項(xiàng)，您必須輸入utc和cst其中的一個(gè)。中括號[]中括號表示里面的參數(shù)可輸入或可不輸入。例如命令：showuser[USERNAME]中第二個(gè)參數(shù)如果輸入表示有要顯示指定用戶名稱的接入用戶信息，如果不輸入表示顯示所有接入用戶的信息尖括號和數(shù)值范圍尖括號和數(shù)值范圍表示輸入的參數(shù)的取值范圍在那兩個(gè)數(shù)值之間的某個(gè)數(shù)。例如命令：policy<1-5000>中配置到設(shè)備上的策略ID可以是1至5000中的任何一個(gè)。命令簡寫命令簡寫是指可以只輸入命令單詞或關(guān)鍵字的前邊部分字母，只要那部分字母不會(huì)造成歧義，就可以直接回車執(zhí)行該命令。但需要用戶輸入的參數(shù)如PPPoE模板的名字等，要完整輸入。例如：ipaddress/16可以簡寫成：ipadd/16命令模式設(shè)備支持豐富的命令模式，下表列出了所有的命令模式。命令模式提示符進(jìn)入方法普通模式HOST>系統(tǒng)引導(dǎo)起來后，輸入密碼特權(quán)模式HOST#在普通模式下輸入enable全局配置模式HOST(config)#在特權(quán)模式下輸入configureterminal以太網(wǎng)接口配置模式HOST(config-ge0/0)#在全局配置模式下輸入interfaceIFNAME，例如：interfacege0/0VLAN配置模式HOST(config-vlan12)#在配置模式下輸入interfacevlan+VID常用命令介紹命令描述enable進(jìn)入特權(quán)模式，可以對設(shè)備進(jìn)行配置和寫操作exit退出當(dāng)前模式，返回到上一級模式。ping-c<1-10000>-s<0-65507>-w<0-10>WORD網(wǎng)絡(luò)連通性基本檢測工具，WORD為對方主機(jī)地址。-c表示ping包的個(gè)數(shù)，-s表示包的大小，-w是等待相應(yīng)的時(shí)間。list顯示當(dāng)前模式下可用的命令showrunning-config顯示當(dāng)前的配置信息（可以是沒有保存的）showstartup-config顯示已經(jīng)保存的啟動(dòng)配置信息showversion顯示版本信息外部接口在整體設(shè)計(jì)上考慮開放性、擴(kuò)展性、二次開發(fā)能力等，因此編排控制器提供的接口有：I內(nèi)部接口RESTfulAPI使用標(biāo)準(zhǔn)的HTTP方法對外提供管控接口；使用RESTfulAPI時(shí)，首先進(jìn)行Token認(rèn)證，使用認(rèn)證后的Token進(jìn)行操作。接口信息-獲取物理接口信息GET/v1.0/api/interface-info字段類型描述nameString物理接口名稱real_nameString接口實(shí)際名稱statusNumber接口當(dāng)前狀態(tài)：1，up；0，dowmspeedNumber接口速率ip_addressString接口ip地址halfNumber接口雙工狀態(tài)rx_pktNumber接口每秒收到的包數(shù)send_pktNumber接口每秒發(fā)送的包數(shù)rx_byteNumber接口收到的字節(jié)數(shù)send_byteNumber接口發(fā)送的字節(jié)數(shù)hw_addrString接口的MAC地址bw_usageNumber帶寬使用率接口信息-獲取接口統(tǒng)計(jì)信息GET/v1.0/api/interface-monitor字段類型描述nameString接口名稱typeNumber接口類型statusString接口狀態(tài)tx_droppedString接口丟包數(shù)rx_packetsString接口收包數(shù)tx_overrunsString接口發(fā)包overrun丟包數(shù)rx_bytesString接口類型tx_errorsString接口發(fā)送的錯(cuò)包數(shù)rx_speed_packetsString接口收包速率rx_overrunsString接口收包overrun丟包數(shù)rx_speed_bytesString接口收包速率collisionsString沖突包數(shù)tx_speed_bytesString發(fā)送字節(jié)速率rx_errorsString接收錯(cuò)包數(shù)tx_bytesString發(fā)送字節(jié)數(shù)rx_droppedString收包時(shí)丟棄的包數(shù)tx_packetsString接口發(fā)包數(shù)tx_speed_packetsString接口發(fā)送的包速率接口信息-修改接口配置PUT/v1.0/api/interfaces字段類型描述typeNumber接口類型nameString接口名稱real_nameString接口實(shí)際名稱（一般和name一樣）alias_nameString接口別名vlan_idNumber子接口屬于哪個(gè)vlan的標(biāo)識vlan_phy_ifString標(biāo)識子接口的主接口名稱vsys_nameStringvsys名稱，標(biāo)識屬于哪個(gè)vsysdescString接口描述（未使用）address_typeNumber接口IP地址類型：0，未配置；1：靜態(tài)IP；2：dhcp；3：pppoeipaddrString接口地址dhcp_distanceNumberdhcp優(yōu)先級dhcp_default_gateNumber1：更新網(wǎng)關(guān)；0：默認(rèn)網(wǎng)關(guān)dhcp_dnsNumber1，更新DNS；0：默認(rèn)dnspppoe_userStringpppoe用戶名pppoe_passwdStringpppoe密碼pppoe_distanceNumberpppoe管理距離pppoe_weightNumberpppoe權(quán)重pppoe_specify_ipStringpppoe指定ip地址pppoe_default_gateNumber從服務(wù)器中重新獲取網(wǎng)關(guān)（1，開啟；0，關(guān)閉）pppoe_dnsNumber改變內(nèi)部DNS（1，改變；0，不改變）httpNumber接口訪問控制，能否以http的形式訪問httpsNumber接口訪問控制，能否以https的形式訪問telnetNumber接口訪問控制，能否以telnet的形式訪問pingNumber接口訪問控制，接口能否被ping通sshNumber接口訪問控制，能否以ssh的形式訪問bgpNumber接口訪問控制，能否以bgp的形式訪問ospfNumber接口訪問控制，能否以ospf的形式訪問ripNumber接口訪問控制，能否以rip的形式訪問dnsNumber接口訪問控制，能否以dns的形式訪問tctrlNumber接口訪問控制sslvpnNumber接口訪問控制SSLVPNlinkageNumber接口訪問控制，聯(lián)動(dòng)monitor_addrStringmonitor_addrnegotiateNumber物理接口自協(xié)商狀態(tài)halfNumber物理接口雙工狀態(tài)speedNumber物理接口速率mtuNumbermtushutNumber接口up/down管理狀態(tài)max_speedNumber接口能支持的最大速率，不使用webauthNumber接口訪問控制，能否以webauth的形式訪問cen_monitorNumber接口訪問控制，能否以cen_monitor的形式訪問，不使用externalNumber接口內(nèi)外網(wǎng)口狀態(tài)sec_ipArray輔助iptb_interface_ipArray接口ip地址，可能有多個(gè)hw_addrArray接口MAC地址vlan_countArray接口被vlan引用的次數(shù)數(shù)據(jù)庫設(shè)計(jì)數(shù)據(jù)存儲層面，利用ELK數(shù)據(jù)庫，基于集群來實(shí)現(xiàn)，可以有效的避免單點(diǎn)故障。日志分析與存儲主要用Logstash+Elasticsearc實(shí)現(xiàn)。ElasticSearch是一個(gè)基于Lucene的搜索服務(wù)器。它提供了一個(gè)分布式多用戶能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch是用Java開發(fā)的，并作為Apache許可條款下的開放源碼發(fā)布，是當(dāng)前流行的企業(yè)級搜索引擎。設(shè)計(jì)用于云計(jì)算中，能夠達(dá)到實(shí)時(shí)搜索，穩(wěn)定，可靠，快速，安裝使用方便。Logstash是開源的服務(wù)器端數(shù)據(jù)處理管道，能夠同時(shí)從多個(gè)來源采集數(shù)據(jù)、轉(zhuǎn)換數(shù)據(jù)，然后將數(shù)據(jù)發(fā)送到Elasticsearch中。Logstash事件處理有三個(gè)階段：inputs→filters→outputs。是一個(gè)接收，處理，轉(zhuǎn)發(fā)日志的工具。支持系統(tǒng)日志，webserver日志，錯(cuò)誤日志，應(yīng)用日志，總之包括所有可以拋出來的日志類型。Input：輸入數(shù)據(jù)到logstash。一些常用的輸入為：file：從文件系統(tǒng)的文件中讀取，類似于tail-f命令syslog：在514端口上監(jiān)聽系統(tǒng)日志消息，并根據(jù)RFC3164標(biāo)準(zhǔn)進(jìn)行解析redis：從redisservice中讀取beats：從filebeat中讀取Filters：數(shù)據(jù)中間處理，對數(shù)據(jù)進(jìn)行操作。一些常用的過濾器為：grok：解析任意文本數(shù)據(jù)，Grok是Logstash最重要的插件。它的主要作用就是將文本格式的字符串，轉(zhuǎn)換成為具體的結(jié)構(gòu)化的數(shù)據(jù)，配合正則表達(dá)式使用。內(nèi)置120多個(gè)解析語法。mutate：對字段進(jìn)行轉(zhuǎn)換。例如對字段進(jìn)行刪除、替換、修改、重命名等。drop：丟棄一部分events不進(jìn)行處理。clone：拷貝event，這個(gè)過程中也可以添加或移除字段。geoip：添加地理信息(為前臺kibana圖形化展示使用)Outputs：outputs是logstash處理管道的最末端組件。一個(gè)event可以在處理過程中經(jīng)過多重輸出，但是一旦所有的outputs都執(zhí)行結(jié)束，這個(gè)event也就完成生命周期。一些常見的outputs為：elasticsearch：可以高效的保存數(shù)據(jù)，并且能夠方便和簡單的進(jìn)行查詢。file：將event數(shù)據(jù)保存到文件中。graphite：將event數(shù)據(jù)發(fā)送到圖形化組件中，一個(gè)很流行的開源存儲圖形化展示的組件。系統(tǒng)安全設(shè)計(jì)系統(tǒng)安全系統(tǒng)設(shè)計(jì)安全5G邊緣網(wǎng)關(guān)安全功能對系統(tǒng)本身有效，可以抵御DDoS攻擊。系統(tǒng)Watchdog：Watchdog監(jiān)控業(yè)務(wù)程序，可以檢測任務(wù)退出，死循環(huán)等異常。異常業(yè)務(wù)重啟機(jī)制：業(yè)務(wù)出現(xiàn)OOPS或死循環(huán)等異常后，系統(tǒng)保留異常信息后，自動(dòng)重起異常任務(wù)，將對業(yè)務(wù)的影響降到最低。數(shù)據(jù)層面與控制層面及內(nèi)核數(shù)據(jù)完全隔離。一定程度上保證了各層次的獨(dú)立穩(wěn)定運(yùn)行；并且在出現(xiàn)問題時(shí)，不會(huì)互相影響。遠(yuǎn)程管理安全5G邊緣網(wǎng)關(guān)軟件遠(yuǎn)程管理采用SSH方式，SSH是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套組。SSH采用公開密鑰技術(shù)對網(wǎng)絡(luò)上兩臺主機(jī)之間的通信信息加密,并且用其密鑰充當(dāng)身份驗(yàn)證的工具。由于SSH將網(wǎng)絡(luò)上的信息加密,因此它可以用來安全地登錄到遠(yuǎn)程主機(jī)上,并且在兩臺主機(jī)之間安全地傳送信息。Token身份鑒別當(dāng)調(diào)用API接口時(shí)，首先進(jìn)行Token認(rèn)證，認(rèn)證通過后才可繼續(xù)后續(xù)操作。Token的意思是“令牌”，是服務(wù)端生成的一串字符串，作為客戶端進(jìn)行請求的一個(gè)標(biāo)識。當(dāng)用戶第一次登錄后，服務(wù)器生成一個(gè)Token并將此Token返回給客戶端，以后客戶端只需帶上這個(gè)Token前來請求數(shù)據(jù)即可，無需再次帶上用戶名和密碼。在存儲的時(shí)候把Token進(jìn)行對稱加密存儲，用到的時(shí)候再解密，防止Token泄露。對每一個(gè)請求會(huì)話都會(huì)進(jìn)行Token驗(yàn)證，保證服務(wù)不會(huì)被惡意使用。Token超時(shí)機(jī)制。當(dāng)前用戶長時(shí)間不活動(dòng)銷毀會(huì)話Token。定期升級機(jī)制5G邊緣網(wǎng)關(guān)軟件基于Linux開發(fā)，經(jīng)常有更新的程序和系統(tǒng)補(bǔ)丁出現(xiàn)，因此為了加強(qiáng)系統(tǒng)安全需要定期的更新系統(tǒng)內(nèi)核。及時(shí)跟蹤所有功能組件更新狀態(tài)，當(dāng)官網(wǎng)發(fā)布新版本后，經(jīng)過內(nèi)部驗(yàn)證無問題后會(huì)進(jìn)行對應(yīng)版本升級。對于一些開發(fā)軟件例如JDK、Mysql、Redis也會(huì)根據(jù)開發(fā)需要進(jìn)行更新。修改非標(biāo)端口對各個(gè)組件的端口修改為非默認(rèn)端口。例如Frp默認(rèn)配置端口為7000，修改配置為7070。限制開放端口只在軟件上開放業(yè)務(wù)所需要的接口，關(guān)閉