2023华为云管理网络解决方案技术白皮书

1 1 1 3 6 6 4极智运维，洞悉全局 1.1传统网络挑战1.2网络云管理转型人工智能、大数据、云计算等新技术正在快速发展，未来十年各行业将面临数字化转型，企业业务随着数字化转型也变得丰富多样。多元化的业务对网络提出了新的要●商场或超市为顾客提供免费Wi-Fi，通过无线定位技术为顾客提供店铺和停车导航服务，通过客流数据分析帮助商超或超市实施精准营销。●连锁酒店希望远程统一管理，业务快速上线，并通过大数据分析实现增值业务，为酒店带来盈利；希望故障能够快速响应，提升顾客满意度。●学校使用电子教室，通过多媒体教学提高教学效率。传统网络的建设、管理和运维手段已无法满足数字化带来的新的网络需求。●网络部署效率低，新业务开通慢：需要有专业IT人员现场网规、开局部署和调试验收。数字化转型需要网络部署更便捷、更高效，从而实现新业务快速上线。●网络管理复杂，OPEX占比居高不下：由专业运维人员进行网络管理，管理和维护成本高。数字化转型需要网络管理简单、运维方便，从而适应业务多样化。●网络开放性差，网络和应用分离：网络管理系统与业务系统（如策略控制、计费、大数据分析等）独立部署，接口不兼容导致对接困难。数字化转型需要网络能够集成第三方应用，帮助企业扩展增值服务。因此，数字化带来网络模型的变化，传统的网络管理模式已经不能适应数字化业务带来的新需求。随着业务的云化，网络也从传统的重资产模型开始向轻资产的云服务化传统网络向云管理网络的转型主要体现在三个方面：●架构上：从分散管理到集中管理，传统网络各分支之间独立管理，云管理网络可以实现远程集中管理，提升管理效率。●运维上：从本地运维到远程运维，传统网络需要专业IT人员去现场，云管理网络可以跨越Internet实现远程管理。●规模上：从固定规模到弹性扩容，传统网络的设备规模受园区网管平台可管理规图1-1传统网络向云管理网络转型示意图华为云管理网络解决方案技术白皮书 2华为云管理网络解决方案华为云管理网络解决方案是基于华为公有云上的CloudCampus云管理平台，通过云端管理AP、交换机、路由器和防火墙等云盒设备，实现SMB和多分支网络的快速部署和集中管理，在云端实现网络的全生命周期管理，覆盖购买、网规、开局、部署、运维及运营等各个阶段。方案架构华为云管理网络解决方案提供三层架构，分为网络层，云管理平台和SaaS增值服务华为云管理网络解决方案技术白皮书图2-1华为云管理网络解决方案架构●网络层：通过工作在云模式下的网络设备（包括AP、交换机、AR和防火墙）为用户提供网络服务，覆盖零售、酒店、教育等行业场景。●云管理平台：部署在公有云上的网络管理控制系统，包含管理控制系统AgileController-Campus和智能分析系统CampusInsight。通过基于Web的管理用户界面，云管理平台提供在线网规、部署、网优、运维等全生命周期云服务。网络管理员使用浏览器或CloudCampusAPP登录云管理平台后，可以随时随地部署网络、修改网络配置、升级网络设备，从而跨越Internet实现了从本地管理到集中管理、本地运维到远程运维的升级转变。●SaaS增值服务层：云管理平台提供标准开放接口API，包括认证授权类、网络自动化类、网络运维类和增值数据类四种API类型。通过API与合作伙伴一起实现增值应用服务，目前已支持电子价签、电子书包、客流分析、无线非经等180多华为云管理网络解决方案技术白皮书种行业应用，覆盖零售、酒店、教育、医疗等各行业，帮助企业扩展SaaS增值服方案组件华为云管理解决方案涉及的方案组件如表2-1所示。表2-1云管理网络解决方案涉及的方案组件产品描述网络管理控制系统，基于开放的数字化架构，实现业务意图自理解、网络配置自动下发等智能化管理控制能力。网络智能分析系统，引入大数据分析技术和机器学习算法，聚焦全网用户体验感知和故障主动预测，实现网络智能运维。手机端移动APP，提供网规、部署、验收、运维等全生命周期的管理功能，支持场景化配置套餐、快速开局、Wi-Fi体检、远程巡检等系列AP园区无线接入AP，支持配套室内放装型、室内面板式、敏捷分布式、室外等50+款的全场景型号。换机系列路由器园区出口路由器，集路由、交换、Wi-Fi、4G及安全功能于一身，共ne系列防火墙园区防火墙，提供全面一体化的网络安全防护能力，共配套90+款方案价值●对于用户的价值：–100%的云管理网络：通过在线的网规、部署、优化和巡检工具，实现本地网障识别率85%。–开放合作的云管理：开放的架构，客户在一个平台上得到全方位的IT和网络服务，并按需选择丰富的增值业务，支持与业界20+主流合作伙伴对接，●对于MSP（ManagedSer–通过转售获取收益。–通过代建代维获得收益。–自动化部署模式，提高交付效率，降低部署成本。–智能化巡检及运维方式，提供便捷的网络健康关怀，故障提前预警提前解决，发生故障更快解决，降低运维成本。–通过SaaS增值服务更充分地了解客户的网络需求和现状，增加客户粘性，获得销售机会点。 3全云管理，极简体验华为云管理网络解决方案从全生命周期的网络管理角度出发，以体验为中心，致力于将网络管理的全生命周期的各个环节化繁为简。云管理网络解决方案在提供网络管理SaaS服务的基础上为用户带来网络的极简体验，一方面将传统的本地网络管理方式改变为公有云云化管理方式，避免本地部署各类网管服务器或工具软件，将网络管理服务作为一种SaaS服务提供给客户；另一方面，借助于网络管理SaaS云化服务的优势，进一步将网络管理全生命周期的各个环节进行优化和服务化，为网络管理提供极致的简化操作体验。下面从网络管理的全生命周期的各个环节介绍华为云管理网络解决方案提供的极简功能和操作体验。3.1传统管理vs全云管理3.2移动APP，随时随地掌控全局3.3网络规划设计：云网规3.4网络部署开局：云部署3.5网络开局验收：移动APP验收3.6网络运行：调优、漫游3.7网络运维：移动运维、云巡检、智能运维华为云管理网络解决方案技术白皮书3.1传统管理vs全云管理传统SNMP管理的问题与挑战面对互联网技术，尤其是移动互联网技术的飞速发展，传统的基于SNMP协议的本地管理已经不能满足网络管理和运维的需求。一方面，移动通信技术的发展，使得随时随地对网络进行管理和运维成为现实，传统的SNMP网管协议属于局域网管理协议，无法有效支持跨广域网或互联网随时随地对网络进行管理；另一方面，传统的网络管理协议SNMP并不是面向配置的协议，随着网络规模的增大、复杂性的增加，SNMP已经不能适应当前复杂网络的管理，特别是不能满足配置管理的需求。全云管理的优势及技术原理华为云管理网络解决方案采用新一代网管协议NETCONF来对设备进行管理，是新一代的网络管理技术和平台。如果说采用SNMP协议在本地进行网络管理是网络管理技术1.0时代，利用公有云平台或互联网远程登录设备或网管软件进行管理是网络管理技术2.0时代，那么从公有云平台进行网络管理则属于网络技术3.0时代。通过公有云平台进行网络管理采用了一系列先进技术，如HTTPS、HTTP/2、YANG、NETCONF、Telemetry等新技术对设备进行统一的远程管理，如表1技术对比表所示。华为云管理网络解决方案可以快速帮助企业客户进入网络管理技术3.0时代。表3-1技术对比表对比项网管2.0网管3.0设备管理方式本地管理本地+远程管理云化管理网管部署方式本地部署网管个别功能云化部署，提供统一的远程操作入口网管功能完全云化部署网管协议设备监控技术设备配置手段●本地或远程WEB地WEB）●GUI(公有云HTTPS)●本地WEB/CLI(可选，兼容)设备管理模式●设备本地管理●本地网管管理●本地管理●远程管理（远程中直接管理设备，不需远程登录设备第三方应用的类型本地应用●网管部分功能云化●本地应用云化应用第三方应用的部署方式本地部署●部分支持云化集成●部分本地应用云化部署开放性很难集成第三方应用或向第三方应用开放，通常需要定制开发本地和远程应用混合，相对比较复杂，涉及到本地应用的部分必须进行定制开发通过云化的API，容易集成第三方应用，或者被集成到第三方应用可以支持大量的增值应用典型产品●绿洲（华三）●诺客（锐捷）●云管理网络（华传统的网络管理协议SNMP存在比较大的局限性和缺陷。为了弥补SNMP的局限性和缺陷，基于可扩展标记语言XML（ExtensibleMarkupLanguage）的NETCONF协议应运而生。NETCONF的一个重要特点是可以直接使用网络设备已有的功能模块，降低了NETCONF的开发成本，而且可以扩展设备未来将会支持的新特性。与SNMP相NETCONF的优点如表2SNMP与NETCONF的比较所示。项目SNMPNETCONF配置保护多用户操作产生冲突。配置备份配置查询的一条或多条记录进行操作，查询中需要多次交互才查询某个节点的全部配置数据，大批量数据收集时比SNMP快10倍。扩展性●协议模型采取分层定义，各层之间扩展时，能够不影响其它层协议。●协议采用了XML编码，使得协议在管理能力和系统兼容性方面具有一定的可扩展性。安全性仅SNMPv3版本提供认证己定义，没有扩展的余地。NETCONF利用现有的安全协议提供安全保证，如SSH和SOAP，并不与具体的安全协议绑定。在使用中，华为云管理网络解决方案将网络管理功能云化，将控制器、分析器等一系列网络管理功能部件部署在公有云上，形成一个统一平台，这样，企业不需要在本地部署软件和服务器，只要有上网条件就可以直接使用公有云提供的云化管理服务，快速实现网络管理，网络设备一上电就可以接受云化管理，达到设备即开、管理即通的效果。为配合云化管理，华为云管理网络解决方案对网络设备进行了重大技术升级换代，一方面，支持双模工作模式，设备既可以选择工作在传统模式，按传统设备的工作方式接受传统的本地管理，也可以选择工作在云化模式，通过公有云对其进行远程管理；另一方面，设备支持HTTPS、HTTP/2以及NETCONF等一些技术，以支持安全、可靠、便捷地跨越互联网进行管理。为大程度地方便客户使用，华为云管理网络解决方案还同步提供移动APP（CloudCampusAPP软件只要在手机端下载就可以使用，无需本地部CloudCampusAPP提供多种网络管理、运维功能，实现随时随地管理和运维。传统的APP是基于本地网管服务器设计的，因此，一方面要与本地网管配套使用，需要在本地配置可以供外网访问的设备（如防火墙）、功能（如SSLVPN）或访问权限；另一方面，传统网管APP属于单机版软件，通常只能通过厂商专有渠道才能获取，不可能通过公开渠道或公共市场获取，导致下载、安装、配置、更新等一系列环节都极不装，无需在本地部署服务器或访问设备，即装即用。华为CloudCampusAPP为网络全生命周期管理提供多种工具软件，如下图所示，覆盖售前工勘/网规、售后项目交付、日常网络运维等多个环节，提供快速开局、网络监控、配置管理、项目测试等功能。传统的无线网规分为手工网规和软件网规，前者依赖人工手工绘制AP点位，靠人工经验决定AP布放位置；后者借助工具软件，AP点位可由计算机自动生成。手工网规存在时间长、效果差等问题，当前，越来越多的项目都要求采用软件网规以保证无线网络的信号质量。传统的软件网规通常是单机版网规，只能本地部署、本地使用，必须在本地计算机或服务器上部署网规软件后才能使用，而且只能供企业自己使用。华为云管理网络解决方案将传统的网规软件进行云化升级，支持部署在公有云，提供SaaS服务，供企业客户在线使用，企业客户无需购买服务器、无需部署软件，只需购买服务即可达到即买即用的效果，帮助企业客户解决了购买、部署和维护网规软件一系列的问题。传统网规与云网规的使用效果简要如下图所示。图3-2传统网规与云网规对比示意华为云网规是一款基于公有云部署的网页版的WLAN网络规划工具，支持多个企业客户同时使用，不同企业客户的网规数据相互隔离。云化网规在WLAN的项目的售前、售后阶段均可使用，在WLAN项目的售前阶段，通过信号仿真确认AP型号和数量是否满足要求；在WLAN项目的售后阶段，通过信号仿真支撑概要设计，确定AP安装位置和信号覆盖情况。图3-3云网规界面图华为云网规的典型操作步骤：1.新建工程：基于客户提供的图纸（包括CAD图纸）/GIS地图创建室内/室外网规工程2.设置障碍物：根据现场情况，手动绘制或者自动识别障碍物3.设置区域：根据客户要求，设置不同覆盖场强要求的区域4.AP布放：根据区域设置，一键自动布放AP、自动规划和配置信道5.查看仿真：查看场强/信噪比仿真图，确认信号覆盖是否满足要求为云网规具有如下优点：●免安装：华为云网规部署在公有云上，企业客户只需具备上网条件，无需购买和●全场景：支持室内、室外、敏捷分布式、高密度等全场景的3D网规。●高效率：比传统单机版仿真效率提升一倍，制图效率提升三倍，是网络规划的新●高质量：支撑上万+WLAN项目，项目交付成功率100%，质量值得信赖。●功能全：提供各种各样的仿真功能，具有环境绘制、AP布放、信号仿真、生成报华为云管理网络解决方案支持云化部署设备，设备即插即用，自动从云管理平台获取配置，无需人工现场配置。华为云管理网络解决方案支持多种设备即插即用的开局方式，对于事先已在云管理平台中录入ESN的设备，可以采用注册查询中心开局方式和DHCP开局方式；对于无法事先在云管理平台录入ESN的，可以采用扫码开局方式；对于一些特殊应用场景，设备支持邮件开局、U盘开局、本地开局等方式，从而可以适应纷繁复杂的企业应用场下面主要介绍注册查询中心和扫码开局的开局流程。采用注册查询中心开局的流程如下图所示，设备在上电后采用注册查询报文与注册查询中心进行交互，获取其所要注册的云管理平台地址，然后再到对应的云管理平台进行注册和纳管。图3-4通过注册查询中心开局的流程开局操作分为两个阶段：开局准备阶段和开局实施阶段●开局准备阶段：主要是预先将设备信息（关键是ESN）录入到云管理平台上，同时进行设备离线配置，便于设备上线注册到对应的企业网络及其站点以及配置自动下发，相关流程如下（即上图中的1~2a.企业网络管理员将设备信息录入到云管理平台，同时对网络设备进行离线配b.企业网络管理员选择将设备注册信息同步到设备注册查询中心，云管理平台自动将相关信息同步给设备注册查询中心。●开局实施阶段：设备上电上线，到云管理平台上注册纳管，实现自动化配置，主要流程如下（即上图中的3~8a.现场人员给空配置的设备上电。b.设备到注册查询中心查询自己的工作模式和归属云管理平台等信息。c.注册查询中心返回相关的结果，包括设备模式以及归属云管理平台等信息。d.设备根据注册查询结果切换到云管理模式。e.设备根据注册查询结果向归属的云管理平台进行注册。f.设备注册成功后，云管理平台给设备下发对应的配置。现场开局人员可以采用CloudCampusAPP进行扫码开局，实现快速部署。现场开局将其上传到云管理平台，这样，设备就可以在云管理平台上注册和纳管。根据场景划分，APP提供两种开局工具。针对单AP且AP作为网关的场景，推荐使用“快速开局”。针对多AP且上行设备作网关的场景，推荐使用“扫描录入”或“网规开局”。单AP且AP作为网关场景由于AP需要做网关，所以需要通过手机下发给AP相关配置：模式切换、控制器地址、上线方式、PPPoE账号密码等，我们推荐使用“快速开局”（此功能仅安卓版本支持根据指引一步一步完成操作即可成功让一台AP上线。开局步骤如下：1.准备动作，AP连接网线并上电，打开APP，进入“工具--快速开局”，登录，选择AP要上线的站点或者创建站点。；（码框中只有一个条形码或者二维码，可以有效提升扫码速率）。图3-5扫码示意图3.查询设备基本信息，APP会自动连接AP的离线管理SSID“hw_manage_xxxx”4.设备开局配置，登录成功后，如图2，选择AP的上线图3-6选择上线方式示意图5.设备注册，下发成功后，等待AP在云管理平台上线，这个过程可能涉及AP重启，需要等待5分钟左右，如图3。图3-7设备注册示意图6.SSID配置，如果在云管理平台上提前预配置了SSID，此步骤可以跳过，如图4。图3-8SSID配置示意图7.单点验收，基于AP上线后开启的SSID进行网络的质量验收。多AP且上行设备作网关的场景由于上行有网关设备，所以只需将AP信息录入到云管理平台后，AP的相关配置就可以通过网关从注册中心或云管理平台获取下来，我们推荐“扫码录入”或者“网规开局”。●扫码录入常用在没有做网规的项目中，通过扫描设备的SN和MAC上传到云管理平台，支持多种设备，包括防火墙、交换机、AR、AP。●网规开局常用在云管理平台上导入了云网规工程后的项目中，通过扫描AP的SN和MAC上传到云管理平台。图3-9设备录入示意图无线网络开局部署之后，通常需要进行开局验收，以验证无线网络的覆盖效果。华为云管理网络解决方案提供极简的开局验收功能和手段，可以通过CloudCampusAPP实现快速验收。CloudCampusAPP提供多种验收方式和功能。首页提供一键Wi-Fi体检，如下图所示，从多个维度检测WLAN网络的质量，同时支持针对多个结果横向对比、数据导出、分享等。图3-10Wi-Fi体检界面图除此之外，还提供大量的工具供用户在日常的网络验收、运维中使用：●Wi-Fi状态：查看当前Wi-Fi的状态信息，如信号强度、信道、协商速率等信息●Wi-Fi稳定性：测试当前Wi-Fi的稳定性●找AP：查看周围AP的所属厂商，粗略定位AP的位置，查看AP的环境干扰情况●看干扰：查看当前网络的信号干扰情况●查终端：随时获取非法接入终端的信息，方便网络运维者进行管理●测网速：支持互联网和内网的网速测试●漫游体验：在整个网络覆盖区域行走并持续打点测试，测试漫游功能●游戏测试：检测网络的稳定性，测试网络的波动变化和丢包率●Tracert：Tracert测试，预置了常用的Tracert地址●普通室内：没有在云网规端创建工程，在APP本地导入图纸进行网络相关测试，支持导出报告●高速测试：在高速公路场景下移动并记录周围的Wi-Fi信息，为高速公路部署AP配置信道时提供参考依据及其他测试项的趋势图●扫一扫：扫描设备的条形码，扫描出SN、MAC地址，并将扫描出的数据记录在Excel表格中（支持导入WAC为测试人员提供方便●蓝牙串口：通过蓝牙串口连接登录AP，类似手机端IPOP●Wi-Fi串口：通过管理VAP连接登录AP，类似手机端IPOP●离线诊断：获取云AP的日志，协助定位云AP异常离线问题在网络运行过程，需要根据网络状况实时调整网络配置或参数，使网络运行在优状态，即网络调优；同时，终端在无线网络中漫游时，要支持无缝漫游和业务。华为云管理网络的AP既可以在没有WAC时独立工作（即云管理AP模式也可以在有无法由单个的云管理AP来实施对全网业务的协同，华为云管理网络解决方案提供创新的解决方案，云管理AP可以自动完成全网协同工作，实现网络无线调优和无缝漫云管理AP可以各自独立工作，但WLAN网络一些业务如调优、负载均衡需要集中处理，为兼顾可靠性、时效性，在无WLANAC（简称WAC）的场景下，需要一个类似WAC的全局控制角色。华为云管理网络解决方案提供一种全新的解决方案，在一组AP里面自动选举一个能力比较强的AP作为LeaderAP，由LeaderAP完成全网业务功能，包括调优、负载均衡等功能。云AP和传统WAC调优的核心算法逻辑是一致的，都是通过AP探测、收集周围邻居射频、干扰信息，然后上报调优计算引擎，计算引擎计算完毕后，将各AP分配的信道、功率下发给对应的AP。和传统WAC不同的是，传统网络的调优计算引擎是在WAC上，云网络的调优计算引擎是在LeaderAP上。华为云管理网络解决方案支持三种调优方式：●自动模式：根据设置的调优云AP调优的过程如下：1.在云管理平台上选择调优方式，将调优相同的配置、参数下发到AP。2.AP上根据配置模式执行相应的调优探测，切换信道扫描周边邻居信息。3.AP在探测期间，定期上报探测到的数据。4.LeaderAP间隔一定周期计算一次调优结果，共计算3次以达到算法收敛的效5.LeaderAP终将调优结果下发到组内的各个AP，包括计算好的信道、功率。华为云管理网络解决方案创新提供无缝的跨AP漫游解决方案，云管理AP支持二层漫游和三层漫游。下面仅以二层漫游为例进行介绍。用户在同一个二层网络内的AP间进行漫游，漫游前后AP的业务VLAN保持不变，则为二层漫游。判断二层漫游的原则：同一个站点下，两个AP的SSID、业务VLAN相同，就为二层漫游。图3-11二层漫游示意图二层漫游的流程如下：1.AP空口扫描、识别邻居、建链。每个AP都会和自己邻居建链，从而形成漫游域的连续覆盖。如下图所示，AP1建立自己的漫游邻居信息。图3-12漫游域示意图2.用户在AP1上线，AP1将用户信息同步到邻居上。3.用户从AP1漫游到AP2，AP2从AP1获取用户信息。AP2根据获取的用户信息生成表项，用户漫游成功。AP1会删除其邻居的用户信息。图3-13AP信息同步示意图4.用户漫游成功，AP2会通知其邻居该用户信息，以便支撑下一次漫游。用户为二层漫游，流量可以通过该AP直接转发。图3-14AP2信息同步示意图华为云管理网络解决方案提供丰富多样的网络运维功能和手段，包括：Ping、Trace、网线检测、端口自环检测、MAC转发表查询、DHCP分配表查询、RF-ping、远程抓包等众多功能，可以极大地方便网络运维。除此之外，华为云管理网络解决方案还提供高级的运维功能和手段，包括移动APP运维、云巡检和智能运维等多项功能，大幅度简化网络运维的复杂度。CloudCampusAPP支持对于云管理网络的监控运维，监控首页可以查看所有站点的总体情况，包括设备状态、告警情况、设备数量等信息，如下图所示。图3-15监控示意图点击进入某站点，实时查看详细的监控内容，包括站点概览、设备、数据、终端等几设备栏中可以查看设备状态统计数据以及详细具体的设备详情，包括基本信息和华为云管理网络解决方案技术白皮书3-16设备状态界面图华为云管理网络解决方案技术白皮书3全云管理，极简体验图图3-17设备详情界面图1华为云管理网络解决方案技术白皮书3-18设备详情界面图2华为云管理网络解决方案技术白皮书3全云管理，极简体验图●数据数据栏可以看到网络中的基于日和基于周的统计数据，如Top5SSID流量、Top5设备流量等，如图3-19所示。华为云管理网络解决方案技术白皮书3-19数据统计界面图华为云管理网络解决方案技术白皮书3全云管理，极简体验图●终端终端栏中可以看到在线用户数的趋势图以及相关终端的详细信息，分别如下华为云管理网络解决方案技术白皮书3-20在线用户界面图华为云管理网络解决方案技术白皮书3全云管理，极简体验图图3-21终端详情界面图对网络质量有追求的企业客户，会定期对网络进行巡检，以确保网络运行稳定，同时检查网络是否存在隐患。华为云管理网络将传统的基于单一网络的巡检升级为基于公有云的云巡检，可以同时供多个企业网络使用，极大地简化网络巡检操作。传统巡检手段存在如下的限制：●巡检工具需要部署在客户网络中，如果巡检工具没有部署在客户网络中，需要部署代理服务器中转访问，才能进行巡检。●定位为巡检单一客户网络，同时巡检设备数量较少。云巡检很好解决了上述问题是：●云巡检部署在公有云，无需本地部署就可以使用，只要保证可以访问云管理平台云巡检的优势：●客户网络与云管理平台保持长连接，巡检通道可在云巡检工具和客户网络之间随时按需建立。●云巡检工具定位为巡检云管理平台所辖多客户网络，巡检效率有很大提高。华为云管理网络解决方案将云巡检作为服务集成部署在公有云平台上，提供给云管理MSP使用，以便为企业客户网络提供巡检服务。云管理MSP可以定期巡检企业客户网络，提供企业客户网络的汇总信息及明细信息，并针对检查中发现的设备在运行过程中存在的故障隐患和风险提出相关建议，对网络整体的健康程度进行云巡检的工作流程如图3-22所示，主要包括如下几步：图3-22云巡检工作流程图1.网络管理员在云管理平台上制定巡检策略，然后启动巡检任务。图3-23巡检策略界面图2.云管理平台给设备下发巡检任务，接收设备返回的巡检信息。3.云管理平台生成巡检报告。4.网络管理员配置邮件列表，以便导出巡检报告。图3-24邮件列表配置界面图云巡检的主要功能包括：●实时巡检：巡检员选择企业（租户）网络，实时开始租户网络巡检。●定期巡检：巡检员定制巡检策略，选择巡检周期及开始时间，定期巡检企业（租●更新策略包：设备版本更新后，巡检工具需要适配新的设备版本和新的巡检项。图3-25巡检历史记录界面图●导出巡检报告：巡检员导出企业（租户）网络巡检报告，可以配置发送邮箱，巡检报告生成后自动发送到指定邮箱。在巡检报告里，既可以看到网络的总体检查情况，如图3-26和图3-27所示，也可以看到每台设备的具体检查结果，如图3-28所示。图3-26巡检报告图1图3-27巡检报告图2图3-28巡检报告图3网络运维是网络管理工作的重点工作之一，传统的网络运维属于黑盒操作，无法深入探测网络细节，华为云管理网络提供智能运维解决方案，深入探测网络运行过程的细节，将网络运维变成白盒操作，提供极简的网络运维手段。对于智能运维的详细内 4极智运维，洞悉全局传统“以设备为中心”的网络运维，无法感知用户和业务体验，被动响应“故障”发生，难以满足数字化转型时代的用户和业务体验保障需求。华为云管理解决方案提出“以体验为中心”的园区网络运维理念，基于大数据和AI实现网络智能运维。华为CampusInsight园区网络智能分析器，颠覆传统聚焦网络和设备资源状态的监控方式，通过StreamingTelemetry实时采集网络数据和指标，利用大数据分析、人工智能算法学习网络模型并识别故障模式，帮助运维人员主动发现85%的潜在网络问题，并识别根因和主动修复，打造高品质的园区网络业务体验。4.1以“设备为中心”的救火式响应vs以“体验为中心”的预测性维护4.2智能运维方案架构4.3关键技术数字化转型提升生产效率和客户体验的同时，也带来园区网络的巨大变化。●终端数量的急剧增长。以IoT终端为例，2018年的全球物联网联接数量已达到70亿，其中80%为无线个域网和无线局域网，而且仍然在以17%的年增长率增长。除此之外，更多的数字化办公、生产、视频监控等终端接入网络。●终端类型、操作系统类型、业务类型、流量模型的持续多样和复杂化。但同时，网络运维的资源和人力，没有得到同比例的增长，这使得“以设备为中心”的“救火式”运维难以满足数字化转型的需求。●数字化空间对故障的处理和恢复时间的容忍度在降低。越来越多的面向生产和客户服务的数字化业务产生，比如医疗场景的自动分药系统、商业的无人支付系统、仓储的自动导引运输车（AGV这些数字化业务对故障的处理和恢复时间的容忍度远远低于普通的办公业务。以设备为中心的“救火式”运维，是当下园区网络的主要运维手段。它有两个典型特●以设备为中心，无法感知体验。传统的网络管理是以设备为中心的，网管提供设备管理、拓扑管理、告警配置等功能，运维人员通过网管监控拓扑、告警来获知网络的异常。然而，随着终端数量的增多、数字化业务的多样化，设备的正常运转已经无法代表用户和业务体验的正常。举例：AP设备正常运转，但如果存在很强的同频干扰，将导致AP服务的无线终端体验很差；网络设备正常运转，但如果存在QoS的配置错误，将导致某些应用的体验指标很差。●被动响应“故障”发生，依赖现场定位和修复，故障恢复时间长。网络运维人员，时刻等待着响应故障，尤其是一些重大活动、重大事件需要保障时。一旦出现故障，运维人员第一时间查看网络拓扑，命令行登录设备定位故障，60%以上的情境需要到达故障现场，针对已经消失的故障，需要等待故障复现或者尝试对故障进行复现。同时无线化进一步加剧了故障修复的复杂度，因为无线环境的复杂导致90%以上的问题需要现场定位。基于“以设备为中心”的网络管理运维手段，无法满足数字化新空间的需求。“以设备为中心”的运维理念，需要升级为“以体验为中心”的运维理念。“以体验为中心”的运维理念，包含两个方面：●感知体验、对体验进行可视化管理，包括：–对单个用户的360°体验可视化和旅程回放–对全局用户的体验可视化●主动识别用户和业务的体验问题，发现潜在故障并识别根因，终给出修复建议甚至自动修复，而非被动响应：–识别出体验差的用户和应用–识别潜在问题，提前消除问题–对问题或故障，进行根因定位，给出修复建议甚至自动修复4.2智能运维方案架构基于“以体验为中心”的运维理念构建的园区网络架构，相比较传统的园区网络运维方案，有如下变化。●通过网络智能分析器基于大数据和AI的智能分析，感知用户和应用的体验、发现故障/潜在故障和并识别根因，并将结果通过符合IT运维人员的工作思路，友好地●为了支撑网络智能分析器的智能分析，网络设备具备数据采集和一定边缘智能分析能力，并进行实时地数据上报。智能运维的实现流程如下图所示。●指标采集/边缘分析网络设备作为网络的触手，采集终端、设备和应用各个维度的指标和信息，包括终端接入的日志（包括协议交互）、终端KPI、射频KPI、设备KPI、音视频业务有些指标（比如音视频业务KPI）需要在边缘设备进行初步分析。●数据汇集网络设备将采集的指标数据上报给分析器。智能分析器汇集秒级的海量数据。●数据存储智能分析器对汇集的数据进行存储。●数据分析智能分析器基于大数据分析和AI算法识别潜在故障和根因定位。●结果展示智能分析器友好地展示分析结果，包括业务和用户体验、潜在故障、故障根因●修复建议对故障给出修复建议，包括具体修复步骤。传统网络管理系统采用SNMP来获取设备指标，但它有明显的缺陷，无法满足“以体验为中心”运维理念的需求。具体来说，首先SNMP使用“网管查询-设备响应”的拉模式（PullMode）采集数据。数据采集器与设备之间是一问一答的交互，一次查询对应一次响应。设备压力大，大量数据查询时效率低。其次SNMP使用刚性数据结构，完成一次有效采集需要多次数据请求。基于这样的设计机制，SNMP的数据查询的典型频率是5分钟，如果查询频率过快会严重影响设备的正常业务。StreamingTelemetry是从设备上远程高速采集数据的网络监控技术。设备通过推模式（PushMode）主动向采集器上送信息，提供更实时、更高速、更精确的网络监控功具体来说，StreamingTelemetry按照YANG模型组Protocol）协议传输数据，使得数据获取更高效，智能对接更便捷。●YANG模型是一种标准数据建模语言，可以为各种传输协议操作的配置数据模型、状态数据模型、远程调用模型和通知机制等。●GPB（GoogleProtocalBuffer）编码是Google提出的与语言无关、平台无关、扩展性好的序列化结构数据格式。●GRPC协议是Google开发的基于HTTP/2传输层协议承载的开源远程过程调用系总结，StreamingTelemetry的几个优点：●采用推模式主动推送数据，降低设备压力。●周期性推送数据，避免网络延时造成数据不准确。●可以监控大量网络节点，弥补传统网络监控方式的不足。StreamingTelemetry效率比SNMP效率高20倍以上，可以实现更加高效的数据采“以体验为中心”的运维理念，首先要感知体验、对体验进行可视化管理。可视化的体验管理需要有两个关键问题需要解决。1）如何综合评价一个网络的业务体验？2）如何综合评价一个用户当前和历史的体验？所以需要一个综合的体验评估体系对网络的业务体验进行评价，同时能够感知某一个具体用户的业务体验。质量评估体系体验评估体系是指对某个网络进行综合体验评估的体系。1）对关键体验指标的详细披露和诊断。包括该体验指标的健康度、影响该指标的各方面因素的情况。影响园区网络业务体验的关键指标包括：接入成功率、接入耗时、覆盖、漫游达标率、容量达标率、吞吐达标率、设备在服率。2）基于加权算法，给出对该园区网络的整体健康度的评估。该加权算法综合对该园区网络关键指标进行综合评估。3）对不同网络或同一个网络的不同区域，进行综合体验评估的排名。从而识别整体健康度排名靠后的、或者某些关键指标排名靠后的网络或区域。网络运维团队可以不断地通过改进排名末尾的指标，来提升该园区网络的整体健康度。4）网络质量自动评估，主动发送评估报告，提供专业评估报告服务。基于“全网概况”、“指标详情”、“整改建议”，实时或周期自动生成网络质量评估报告，提供可量化的网络体验。用户旅程回放通过对用户旅程回放，可以感知某一个具体用户的业务体验，包括当前的情况，以及过去发生了什么？尤其是过去的情况可以帮助网络运维团队诊断在过去某一时刻因为什么影响了用户的业务体验。要做到用户旅程可回放，包括两方面：1）网络节点通过Telemetry和Syslog向网络智能分析器上报用户在网络中的旅程。2）网络智能分析器对采集的海量数据进行大数据分析，并将用户旅程按照时间轴进行全方位的图形化展示。展示内容包括什么时间接入网络、认证结果、体验如何、什么时间发生了漫游以及遇到什么问题等。4.3.3数据分析——基于大数据分析和机器学习识别故障和根因定位随着业务云化、终端无线化和物联网等带来业务模型的变化，使得网络节点增长，业务故障点、故障原因也成倍增长。传统的“以设备为中心”“救火式”运维已无法满足数字化时代对故障响应的需求，工程师人工分析的手段已无法胜任对海量数据进行让机器基于故障特征库在秒级采集的大数据仓库中自动关联分析、挖掘，并结合专家经验识别异常；而同时，海量大数据的汇集也给通过机器学习从海量数据中发现未知关联和因果关系，创造了条件。机器学习通过对海量数据持续学习，从而识别出复杂的业务模式、构建动态基线预测数据趋势、挖掘未知的关联关系，从而识别潜在故障和根因定位。所以基于大数据和机器学习的智能网络运维算法应运而生。华为园区网络智能运维算法主要包括如下几类。基于故障规则库，精确匹配故障场景景，自动识别故障根因，并给出合理的修复建议。Drools规则引擎Drools规则引擎能够将决策逻辑从应用程序代码中剥离，使用Drools预定义的语义模块编写业务决策。CampusInsight分析器将华为工程师长期运维专家经验、以及真实局点故障问题持续学习提炼，形成故障规则库，编写D园区故障问题。当前基于故障规则库实现的UseCase包括有：弱信号覆盖的问题检测统计每个AP下历史接入用户的信号强度，如果某个AP下大部分接入用户信号较弱，且持续时间较长，超过规则基准，则判别此区域存在弱信号覆盖问题。高干扰的问题检测统计一段时间内受到同频、邻频、非Wi-Fi频段等各种信号干扰的射频超过学习到的基线值（基于每个射频历史干扰数据学习产生并持续一段时间，则命中高干扰问高信道利用率的问题检测统计一段时间内射频持续处于繁忙状态，包括正常Wi-Fi数据传输对信道频段占用，以及信号干扰对信道频段占用，如果利用率的占用超过学习基线值（基于每个射频的历史信道利用率干扰数据学习产生），并持续一段时间，则命中高信道利用率问题。基于协议回放实现用户接入故障的根因定位传统的业务故障定位，通过网管和其它工具，可以将问题定位至某个网元或某个业务阶段，但如果故障现象不复现的话，往往难以进一步地排查出问题的根因。比如针对用户接入问题的故障定位，普遍的定位手段是对接入过程模拟和重现来证明哪一个阶段的问题，比如是认证失败导致的接入失败。然后通过报文抓取进一步检测失败的原因，比如是认证证书过期。这种定位手段依赖工程师到达问题现场的故障模拟重现，是低效的。而且对一些偶发性的故障往往束手无措。“协议回放”针对已经发生的故障进行过程回放，通过将终端在接入的3个阶段（关联、认证和DHCP）进行“协议回放”，把过程解剖至小颗粒，也就是每一个协议的报文交互，并基于故障知识库，精准给出本次个障出现的具体原因。具体过程是：1.网络设备上报终端在接入的3个阶段（关联、认证和DHCP）的协议报文。2.园区网络智能分析器细化分析各个协议交互过程的结果与耗时。3.分析器进行相关性分析，给出用户接入过程个障的深层次原因。非5G优先接入的问题检测以同时广播2.4GHz、5GHz两个频段的AP为统计维度，统计一段时间内接入的支持5GHz频段的终端，是否时常接入2.4GHz频段，并超过基准值，会导致用户体验可能下降。如果此AP下持续出现此场景，则判别为非5G优先接入问题。乒乓漫游的问题检测统计两个AP在短时间内，其下某用户在AP间产生多次漫游记录。如果漫游次数达到动态基线是对某一个指标构建的动态随时间变化的基线，用以定义该指标的正常范围，并预测该指标变化趋势。动态基线不是简单的静态基准线，而是随时间变化动态生成的趋势，包含了对未来走势的预测。所以可以用动态基线来检测判定是否发生异如下图所示，基于动态基线预测的范围（灰色阴影部分）与实际网络产生的数据（绿色折线图）对比，对于超出动态基线的数据时刻，可以初步判定为异常事件，从而识别潜在故障。动态基线的算法包括3个环节：数据集预处理、动态基线生成和异常检测。数据集预处理是指网络智能分析器对汇集的数据进行预先处理，使得数据是准确和完备的，尤其是去除噪声数据。预处理过程包括基于专家经验构建初始数据、数据清洗和多维度合并、对丢失的数据进行补齐、去除不合理的异常数据、对尾部数据进行修正、以及对波动大的数据进行合理化处理。动态基线生成是指通过算法来构建动态基线。包括使用AI算法进行阈值模型训练与预测，后根据经验进行灵敏度修正。当前基于此算法可实现的UseCase包括有：认证类的问题检测统计一段时间内认证失败/认证超时/认证慢的终端数量在总的终端数量中的占比，当此比例超过动态基线值，则判别发生认证类问题。关联类的问题检测统计一段时间内关联失败/关联慢的终端数量在总的终端数量中的占比，当此比例超过动态基线值，则判别发生关联类问题。统计一段时间内DHCP失败/DHCP慢的终端数量在总的终端数量中的占比，当此比例超过动态基线值，则判别发生DHCP类问题。设备类故障的问题检测统计网络设备指标（CPU、内存、端口拥塞、光模块异常等并持续一段时间超过动园区网络存在多类业务节点和网络节点，同一个节点有很多指标。这些不同的节点、不同的指标之间存在很多关联，使得网络的故障模式是复杂和多变的。针对同一个问题现象（比如用户认证失败）可能有不同的根因（弱覆盖、证书错误而不同的现象（带宽低体验差、信道利用率高）可能指向相同的根因（区域干扰）。所以通过对海量数据进行关联性分析，找出未知的关联、因果关系，从而有效地帮助运维人员寻找问题的根因。当前基于此算法可实现的UseCase包括有：无线信道利用率高的根因分析对于无线信道利用率过高的现象，通过关联分析终端数量变化、干扰情况、终端信号强度和空口协商速率，识别出规律和关联性，从而寻找问题的根因是负载急剧增多、出现干扰源或者是个别低速或低信号终端长期占用无线资源。质差用户的根因分析对于业务体验长时间差的用户，可以基于KPI关联分析算法进行根因定位。具体过程为：●基于用户的历史KPI，通过机器学习构建用户业务指标劣化的阈值，以此判定和识别出业务体验差的用户。●对影响业务体验的各种指标（4大类、9小类）进行全方位的分析，根据各指标的劣化情况，以及基于专家经验和机器学习持续优化的指标相关性权重，得出各指标对影响业务体验的关联程度，从而终得出根因。应用业务体验的相关指标：大类小类指标覆盖类干扰类干扰率吞吐类非5GHz优先信道利用率反压计数上行协商速率大类小类指标下行协商速率设备类内存占用率音视频应用质量感知和故障根因检测由于音视频业务花屏、卡顿类故障短时间出现，故障难以复现，需要基于业务流实时采集指标数据。当前业界基于真实音视频业务检测技术有:vMOS和MDI。其中vMOS(VideoMeanOpinio持，不能大规模部署。而MDI(MediaDeliveryIndex)解析开销较大，并且只能支持UDP承载的TS视频流，无法正确评估使用了FEC、RET增强的视频流。eMDI(EnhancedMediaDeliveryIndex，增强型媒体传输质量指标)是华为专为音视频流设计，用于实时检测真实业务报文的丢包、乱序、抖动等质量指标的质量监控和定位算法。相比较MDI，eMDI降低了解析开销，并增加了评估FEC、RET特性的指标，解决了MDI无法正确评估使用了FEC、RET增强的视频流的问题。具体采集流程为：话的建立与结束。并自动启用eMDI技术监控分析会话过程中的音视频流质量，包括丢包率、连续丢包数、乱序率和抖动等指标统计，并计算MOS值；同时AP还会补充计算下行空口丢包、时延等指标，从而识别质差音视频流。对各个网络节点上报的同一音视频业务流的MOS值进行综合对比，可以判别哪一段网络的业务质量不达标。同时对相关的空口指标、设备指标、端口拥塞等信息进行汇总分析，识别关联性，从而寻找问题的根因是无线网络质量、设备高负载或者是有线网络的节点拥塞。 5超宽极速，面向未来5.1高速园区无线接入，下一代无线技术Wi-Fi65.2传统铜线网络的福音：MultiGig技术5.1高速园区无线接入，下一代无线技术Wi-Fi65.1.1传统Wi-Fi面临的新挑战Wi-Fi已成为当今世界无处不在的技术，为数十亿设备提供连接，也是越来越多的用户上网接入的首选方式，并且有逐步取代有线接入的趋势。为适应新的业务应用和减小与有线网络带宽的差距，每一代802.11的标准都在大幅度的提升其速率。移动业务的快速发展和高密度接入对Wi-Fi网络的带宽提出了更高的要求，在2013年发布的802.11ac标准引入了更宽的射频带宽（提升至160MHz）和更高阶的调制技术（256-QAM传输速度高达1.73Gbps，进一步提升Wi-Fi网络吞吐量。另外，在2015年发布了802.11acwave2标准，将波束成形和MU-MIMO等功能推向主流，提升了系统接入容量。但遗憾的是802.11ac仅支持5GHz频段的终端，削弱了2.4GHz频段下的用户体验。然而，随着视频会议、无线互动VR、移动教学等业务应用越来越丰富，Wi-Fi接入终端越来越多，IoT的发展更是带来了更多的移动终端接入无线网络，甚至以前接入终端较少的家庭Wi-Fi网络也将随着越来越多的智能家居设备的接入而变得拥挤。因此Wi-Fi网络仍需要不断提升速度，同时还需要考虑是否能接入更多的终端，适应不断扩大的客户端设备数量以及不同应用的用户体验需求。图5-1不同Wi-Fi标准下的接入量与人均带宽关系下一代Wi-Fi需要解决更多终端的接入导致整个Wi-Fi网络效率降低的问题，早在2014年IEEE802.11工作组就已经开始着手应对这一挑战，2019年正式推出的802.11ax(下个章节介绍为什么叫Wi-Fi6)标准将引入上行MU-MIMO、OFDMA频分复用、1024-QAM高阶编码等技术，将从频谱资源利用、多用户接入等方面解决网络容量和传输效率问题。目标是在密集用户环境中将用户的平均吞吐量相比如今的Wi-Fi5提高至少4倍，并发用户数提升3倍以上，因此，Wi-Fi6(802.11ax)也被称为高效无线Wi-Fi6(802.11ax)继承了Wi-Fi5(802.11ac)的所有先进MIMO特性，并新增了许多针对高密部署场景的新特性。以下是Wi-Fi6的核心新特性：●OFDMA频分复用技术802.11ax之前，数据传输采用的是OFDM模式，用户是通过不同时间片段区分出来的。每一个时间片段，一个用户完整占据所有的子载波，并且发送一个完整802.11ax支持上下行多用户模式，因此也可称为MU-OFDMA它通过将子载波分配给不同用户并在OFDM系统中添加多址的方法来实现多用户复用信道资源。这一技术已被蜂窝无线LTE广泛使用。OFDMA相比OFDM一般有三点好处：更细的信道资源分配；提供更好的QOS；更多的用户并发及更高的用户带终端受天线数量受限于尺寸，一般来说只有），空间流（天线）要少，因此，在AP中引入MU-MIMO技术，同一时刻就可以实现AP与多个终端之间同时传输数据，大大提升了吞吐量。MU-MIMO在802.11ac就已经引入，但只支持DL4x4MU-MIMO（下行）。在802.11ax中进（下行可同时进行MU-MIMO传输和分配不同RU进行多用户多址传输，既增加了系统并发接入量，又均衡了吞吐量。●更高阶的调制技术(1024-QAM)802.11ax标准的主要目标是增加系统容量，降低时延，提高多用户高密场景下的效率，但更好的效率与更快的速度并不互斥。802.11ac采用的256-QAM正交幅度调制，每个符号传输8bit数据（2^8=256802.11ax将采用1024-QAM正交25%，也就是相对于802.11ac来说，802.11ax的单条空间流数据吞吐量又提高了25%。●空分复用技术（SR）&BSSCo802.11ax中引入了一种新的同频传输识别机制，叫BSSColoring着色机制，在PHY报文头中添加BSScolor字段对来自不同BSS的数据进行“染色”，为每个通道分配一种颜色，该颜色标识一组不应干扰的基本服务集（BSS接收端可以及早识别同频传输干扰信号并停止接收，避免浪费收发机时间。如果颜色相同，则认为是同一BSS内的干扰信号，发送将推迟；如果颜色不同，则认为两者之间无干扰，两个Wi-Fi设备可同信道同频并行传输。以这种方式设计的网络，那些具有相同颜色的信道彼此相距很远，此时我们再利用动态CCA机制将这种信号设置为不敏感，事实上它们之间也不太可能会相互干扰。–扩展覆盖范围(ER)由于802.11ax标准采用的是LongOFDMsymbol发送机制，每次数据发送持续时间从原来的3.2us提升到12.8us，更长的发送时间可降低终端丢包率；另外802.11ax小可仅使用2MHz频宽进行窄带传输，有效降低频段噪声干–支持2.4GHz频率.无线通信系统中，频率较高的信号比频率较低的信号更容易穿透障碍物，而频率越低，波长越长，绕射能力越强，穿透能力越差，信号损失衰减越小，传输距离越远。虽然5GHz频段可带来更高的传播速度，但信号衰减也越大，所以传输距离比2.4GHz要短。因此，我们在部署高密无是边缘区域覆盖补盲–目标唤醒时间（TWT）.目标唤醒时间TWT（TargetWakeupTime）是802.11ax支持的另一个重要的资源调度功能，它借鉴于802.11ah标准。它允许设备协商他们什么时候和多久会被唤醒，然后发送或接收数据。此外，Wi-FiAP可以将客户端设备分组到不同的TWT周期，从而减少唤醒后同时竞争无线介质的设备数量。TWT还增加了设备睡眠时间，对采用电池供电的终端来说，大大提高了电池寿命。5.1.3华为Wi-Fi6解决方案的创新华为推出的AirEngineWi-Fi6系列产品是业界早商用部署的。为了更好的匹配云管理网络Wi-Fi部署场景，华为在Wi-Fi6技术上进行了创新，在无线覆盖，智能运维，物联优化上做了以下增强。●华为第三代智能天线智能天线与全向天线相比有很多优势，比如不同方向的信号覆盖强度可灵活调整，信号可跟随用户而动。华为第三代智能天线目前业界领先，在水平面上具有多个定向辐射和1个全向辐射模式，天线以全向模式接收终端发射的信号；智能天线算法根据接收到的信号判断终端所在位置，并控制CPU发送控制信号选择大辐射方向指向终端的定向辐射模式。图5-2全向天线和华为智能天线●三射频&双5G设计目前被大量使用的Wi-FiAP基本都是双频设计（2.4GHz&5GHz为了提供更多用户的接入及更大的带宽，每个Wi-FiAP厂商都在优化射频算法、业务处理算法，但在某些特定的高密场景，优化后的Wi-FiAP仍然无法承载更高密度的用户接入或提供瞬时流量突发业务。这就好比节假日期间一条拥挤的高速公路，通过各种车流量的管控，分流，仍然会发生拥堵现象，解决这个问题简单的方华为将LTE领域中控制同频干扰的技术移植到Wi-Fi领域，在两个5GHz射频之间增加了高性能滤波器模块，实现两个5GHz射频互不干扰，且能够同时承载多用户并发接入，提升总吞吐量。●SmartRadio智能射频调优/智能EDCA调度/智能无损漫游802.11ax标准是为高效高容量的Wi-Fi网络设计的，但是真正要实现高效高容量，需要所有的终端也都支持802.11ax标准，对目前市场上大量存在的802.11ax终端全面普及之前，华为通过被称为SmartRadio技术的软件算法优化，在802.11axAP中实现了对802.11ac及之前标准的Wi-Fi终端兼容，让这些老终端依然能够得到较大的体验提升。全球市场中，在已布好布线系统中，现今使用Cat5e、Cat6的线缆还是占绝大部分，两个加起来占约75%份额，这个比重非常大。如果要一次性去升级10Gbps的网络是不可能的，会涉及到的很多问题，如：需要更换新标准10G铜缆、需要重新施工、需要暂停日常的网络工作等等，都会直接影响企业的正常办公和增加更多的成本。所以在Cat5e、Cat6的线缆上提升速率，不能提升到10Gbps速率，要突破1Gbps速随着无线技术的发展，特别是Wi-Fi6的技术出现后，无线的网络速率已突破了1Gbps的带宽，在802.11ax时理论值可达10Gbps以上，所以实现应用中，常会遇到网络架构的问题，Wi-Fi6无线AP与交换机之间还是以传统1Gbps的速率进行传输，这个就无法满足无线高于1Gbps带宽的要求，成为无线网络架构方案中的速率瓶颈。Nbase-T的一个主要应用是，随着新一代802.11acWave2接入点技术的过渡，以及802.11AD/AX无线的发展，在未来几年里将会对2.5G或5G端口的进行广泛推动，因为这项技术能为企业在使用现有Cat5E/Cat6网线的部分设施时能够经济高效地提供更大的带宽，提高市场需求，2.5G、5G端口将会是市场转换上的亮点之一。华为支持MultiGig的设备在2.5G模式下同华为特定AP对接采用Cat5E及以上的屏蔽网线可以支持200m的超远距离传输。网线的分类见下表，通过线缆有无整体屏蔽和线对间屏蔽来区分各类线缆，通常可以把不同种类方式的屏蔽网线统称为STP，非屏蔽网线统称为UTP。华为MultiGig设备支持线缆规格如图5-3所示，各种屏蔽网线统称为STP。图5-3华为MultiGig设备支持的线缆规格 6安全可靠，可信合规伴随着企业数字化转型，传统园区网和互联网/云计算融合而诞生的云管理网络不但需要应对传统IP网络的威胁和漏洞，而且网络上云之后，用户数据、系统数据、软硬件系统等无不面临着来自线上安全方面的各种威胁，面对各种各样的线上网络入侵与攻击。建立在公有云PaaS上的云管理网络在给客户带来互联网融合能力的便利高效同时，也需要关注安全威胁带来的压力与挑战，通过积极主动的措施保证企业租户的网络和运维安全。过去几年中，华为云管理网络与所有云管理服务供应商（MSP–ManageServiceProvider）和客户一样，面临着层出不穷的云安全挑战，不断探索，收获颇多。华为云管理网络通过结合业界先进的云安全理念、世界领先的云管理SaaS优秀安全实践、华为长年积累的网络安全经验和优势与运营实践，摸索出了一整套行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵从的基础设施架构，支撑和完善涵盖了IaaS,PaaS和SaaS等常用云管理服务。在这背后，是华为云高度自治的扁平化组织，具备高度安全意识和能力的研发运维运营团队，以及先进的云服务DevOps流程和安全生态。华为云管理网络将一如既往，本着租户业务优先的原则，携手MSP合作伙伴，不断发布高质量的云管理服务安全服务，切实保护租户利益，帮助租户持续扩大业务，提升华为云市场竞争力，实现租户、MSP合作伙伴、华为云管理服务三者的长期共赢。6.1云管理网络的安全威胁6.2云管理网络的安全架构6.3云管理网络的安全技术6.1云管理网络的安全威胁华为云管理网络涉及的安全攻击与威胁包括：●设备层面–机房安全：非法进入、火灾、水灾、潮湿、雷电、静电等。–信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，攻击者初是扫描端口。识别出开放端口后，他们利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。–嗅探：嗅探查或者窃听就是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。探查数据包需要在服务器/客户端通信的通道中安装数据包探测器。–欺骗：欺骗就是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐藏初的攻击源，或者绕开存在的网络访问控制列表–拒绝服务（DoS/DDoS拒绝服务就是拒绝合法用户访问服务器或者服●系统层面–病毒、特洛伊木马和蠕虫：病毒就是一种设计的程序，它进行恶意的行为，并破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中外，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运–足迹：足迹的示例有端口扫描、ping扫描以及NetBIOS枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。–破解口令：如果攻击者不能够与服务器建立匿名连接，他或者她将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端。然后，攻击者只需要破解帐户的口令即可。使用空白或者脆弱的口令可以使攻击者的工作更–拒绝服务：可以通过多种方法实现拒绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力攻击应用程序而破坏服务，或者攻击者可以知道应用程序在其上寄宿的服务中或者运行服务器的操作系统中存在的–任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者要么就会损害服务器资源，要么就会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷：允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。–未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。●业务与应用层面–身份验证：网络窃听，暴力破解，词典攻击，重放cookie，盗窃凭据。–授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。–配置管理：未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据，缺乏个人可记帐性，越权进程和服务帐户。–会话管理：会话劫持；会话重放；中间人。–加密技术：密钥生成或密钥管理差；脆弱的或者自定义的加密术。–安全审计：用户拒绝执行某项操作；攻击者利用没有跟踪记录的应用程序；攻击者掩饰他或者她的跟踪记录。●安全管理层面–缺乏安全管理规章制度，或者没有严格执行安全管理规章制度。–人员安全意识不足。–多人共用帐号，责任无法追溯。安全资料不全，无法有效指导安全生产。6.2云管理网络的安全架构云管理网络遵循ITU-TX.805三层三面隔离的架构体系，为客户提供安全