校园网络升级改造解决方案

DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameCloudCampus大中型园区网络设计指南（虚拟化场景）STYLEREF"1"\n2STYLEREF"1"安装过程校园网络升级改造解决方案V3.0文档版本DOCPROPERTYDocumentVersion04(DOCPROPERTYReleaseDate2021-09-15)DOCPROPERTYProprietaryDeclaration版权所有©华为技术有限公司5PAGE130校园网络升级改造解决方案目录1概述 41.1高教网络建设背景 41.2高校园区网络挑战 42高校各场景的建设需求 92.1基础承载网场景 92.1.1教学场景 92.1.2办公场景 102.1.3宿舍场景 102.2校园网安全场景 102.2.1终端安全 102.2.2内网安全 112.3校园网运维场景 112.3.1即插即用，极速上线 112.3.2故障监测预警，智能运维 122.3.3策略随行一致体验 122.3.4运维管理的需求 132.4校园网运营场景 132.4.1精细化运营 133极简以太全光方案 143.1方案简介 143.1.1方案拓扑结构 143.1.2以太全光网架构特点 153.1.3方案组件 153.1.4主要建设性能指标 174极简光综合布线设计 194.1综合布线概要一览表 194.2水平子系统（房间至楼层弱电间）设计 194.3楼层弱电间设计 204.4垂直子系统（楼层弱电间至楼宇汇聚机房）设计 204.5楼宇汇聚机房设计说明 214.6多媒体箱安装规范 224.7房间内布线示意 234.7.1中低密度房间 244.7.2大厅场景 255高校各场景的网络设计 255.1基础承载网场景设计 255.1.1教学场景 255.1.2办公场景 275.1.3宿舍场景 285.2校园安全场景设计 285.2.1终端安全建设目标 285.2.2信息安全建设目标 335.2.3出口安全建设目标 425.3校园运维场景设计 435.3.1零配置，减少日常维护复杂度 435.3.2简化Vlan配置部署 435.3.3入室交换机零配置入网和光链路检测 435.3.4网随人动策略随行 445.3.5智慧运维管理平台 455.3.6多运营商有线无线统一认证计费运营设计 505.3.7校内校外认证融合运营设计 505.3.8学校精细化管理设计 525.4方案价值 535.4.1满足学校管理诉求，打消垄断顾虑 535.4.2提升用户体验 535.4.3运营商快速拓新 546方案选型建议 627.1产品选型建议 627.1.1设备选型 62概述高教网络建设背景教育部印发的《教育信息化十年发展规划（2011－2020年）》中强调信息化对于提高教育质量、构建人力资源强国具有重大意义。以教育信息化带动教育现代化，是我国教育事业发展的战略选择。教育部印发的《教育信息化“十三五”规划》中也强调“十三五”期间，坚持“四个全面”战略布局，牢固树立和贯彻落实创新、协调、绿色、开放、共享的发展理念，以“构建网络化、数字化、个性化、终身化的教育体系，建设‘人人皆学、处处能学、时时可学’的学习型社会，培养大批创新人才”为发展方向，按照“服务全局、融合创新、深化应用、完善机制”的原则，稳步推进教育信息化各项工作，更好地服务立德树人，更好地支撑教育改革和发展，更好地推动教育思想和理念的转变，更好地服务师生信息素养的提升，更好地促进学生的全面发展，推动形成基于信息技术的新型教育教学模式与教育服务供给方式，提升教育治理体系和治理能力现代化水平，形成与教育现代化发展目标相适应的教育信息化体系，充分发挥教育信息化对教育现代化的支持和引领作用。学校智慧校园建设是实现学校教育现代化的抓手和基础核心工作。高校园区网络挑战传统校园网方案设计无论是从管理、维护还是整合，均采用的是分布或分散式的模式，即管理层级过多、维护力量分散、功能和策略部署在接入层、资源整合采用多方沟通和协调。这种模式不但在现阶段让网络中心难以提升服务质量、提高服务响应率，而且会降低用户体验度，同时也无法应对无线校园乃至物联网浪潮所带来的挑战。在高教行业中，随着教学数字化的继续发展，原先采用的三层物理架构组网模型存在扩展性差、带宽升级麻烦、终端部署困难、弱电间安全隐患凸显等一系列问题，具体如下：施工部署的问题随着业务增加，信息点位增多，业务无法灵活扩展，每增加一个业务/终端就需要从弱电井重新布线，导致桥架空间压力大。业务改造都要从桥架中理线麻烦成本高，废弃直接部署新网线导致桥架网线越来越多，不美观，桥架空间压力大。每次网络改造或上新业务都要全网改造，同时施工经常会弄断其他业务网线，影响正常业务开展。端口扩展问题多媒体教室从最初的有线网部署开始，随着教学改革，业务逐渐发展演进，从有线网->标准化考场专网->无线网->物联网，这造成每次业务的发展都需要上线一批终端，拉数根网线进教室；可以预见的是：未来进入教室的终端只会越来越多，需要扩展的接入点端口和网线数量会成为每次业务发展的阻碍。带宽升级问题随着大带宽业务需求（如录播、WIFI6等）出现，校园网络需要频繁升级。无线业务驱动高教校园网升级，校园无线每升级一次，就需要对现网的线路改造替换一次。传统以太网部署使用的是网线，网线分四类型、五类线、超五类线、六类线等不同类型，每次网络升级都需要更换整个网络线路，同样存在网络升级成本高的问题。终端准入问题随着信息化的不断深入，数字化终端接入网络的要求越来越多。现在教室普遍存在多网络，每张网络具有多个终端。传统以太网部署是将接入交换机放在弱电间，再铺设网线到教室终端。每个教室终端需要铺设一根网线，日益增多的教室终端导致需要海量的网线数量。回到了问题1描述的场景。弱电间安全问题弱电间堆放大量有源通信设备，存在消防安全隐患。传统的以太网部署需要将接入设备放置于弱电间，从而增加安全隐患。另外，受限于弱电间选址问题，弱电间环境普遍较差，轻则产生电磁干扰，重则影响网络设备使用寿命。网络安全问题为了保证校园网络安全，学校都会部署很多的安全设备，传统的安全设备只能阻断南北向的数据流量的安全问题，但是在内网出现安全问题后，很难校园网内部的攻击、病毒的传播，学校依然会收到安全协查通报，攻击/病毒等很难难阻断。校园网运营难问题校园网需要运营商/投资方联合运营，但是不少学校采用的运营商提供的运营模式与本学校的实际情况差距较大。学校不是运营商，运营经验不足，出现问题后设备的维护边界不清，导致相互推诿扯皮等问题。如何保障学校运营的顺利展开，采用什么样的计费策略、收费缴费流程、采用怎样的模式划定设备维护边界进行管理都是学校急需解决的问题。出口灵活扩容问题学校扩招、学生上网需求增加，新应用及技术驱动，带来带宽需求增加。同时随着有线无线同时运行，电脑、手机、pad等终端使用带来出口设备认证并发需求增加。师生上网使用需求增加导致出口设备压力增大，设备故障风险直接影响全校网络运行，所以需要更加稳定的出口方案，同时满足未来随着业务发展可以灵活的扩容。高校各场景的建设需求基础承载网场景教学场景随着普通教室向标准化考场、多媒体教室进行改造，学校在业务迭代的过程中促进教室信息点持续增加，从传统的一个教室2-4个信息点（多媒体电脑、无线、视频监控）到现在新增云桌面、数字广播、大屏/黑板、电子班牌、物联网等6-12个信息点，教室的教学网络环境需要持续改造升级，要支持业务灵活扩展。同时越来越多的新建智慧教室、VR/AR教室、实训楼/实训室等新型教学环境，教学类业务对带宽和延迟需要越来越高：3D/VR/AR教室访问数据中心/云端资源需要无线提供高并发和大流量（WIFI6）的支撑——VR教学的终端，单终端50~300Mbps，时延要低于8ms。无线平板教学，单个终端需要30~50Mbps的带宽，延迟要小于20ms；云机房/PC机房东西向、南北向并发流量大，对带宽和网络稳定性要求高——进行镜像下发时，每个终端需要至少30Mbps带宽。60个设备同时访问SPOC、MOOC资源、PXE克隆、教学广播需要内部二层转发。主要教学应用对带宽的要求如下：办公场景行政人员办公经常面临工位频繁更换，信息点位不固定，甚至是大范围挪移，出现端口不够用的情况就只能使用傻瓜交换机级联拓展，存在发生环路引发网络运行不稳定的风险；而管理人员的办公室通常部署在每个楼层的末端，这种VIP办公室距离弱电间超过100m，就会造成拉线困难，同时VIP办公室要求施工简单，尽可能缩短工期，室内设备美观。办公网设备线路难以频繁改造，布线施工成难题。在办公室里除了需要满足高带宽要求外，还需要重点考虑数据的共享，老师会使用网上邻居进行数据共享，跨房间之间的打印机共享等业务，所以在办公网的设计规划中需要灵活划分业务隔离与共享。宿舍场景宿舍区域人数多、空间小、终端种类多、并发终端数量大，干扰较为严重。随着学生对上网网络质量和上网流量的需求越来越大，需要满足无线信号的全覆盖，同时提供优质的上网体验。校园网安全场景终端安全电脑、笔记本、手机等师生办公学习终端，打印机、刷卡器、监控等哑终端，电子班牌、智慧大屏、数字图书馆等公共上网终端，校园的各类型的业务终端井喷式增长。传统网络环境下一台IOT终端上线要经历IP申请、信息分配记录、找位置找端口、划分业务VLAN、配置访问策略、信息上线记录，到最后的上线联调，过程冗长终端上线效率低。同时，传统网络环境下对IOT终端的安全管控仍需要手动搜集MAC地址，再进行基于端口和MAC的绑定。或者将哑终端设置为免认证终端直接放通，这样就会存在用户私接入网以及不合法终端也能直接入网，存在被攻击、数据泄露的风险。传统校园网运维和安全存在着极大的麻烦和风险。校园物联网需要一个支持终端快速上线、安全隔离，人、物公用的易维护的好网络。内网安全当前网络与信息安全领域，正面临着全新的挑战。一方面，伴随大数据和云计算时代的到来，安全问题正在变成一个大数据问题，高校校园网络及信息系统每天都在产生大量的安全数据，并且产生的速度越来越快。另一方面，校园面对的网络空间安全形势严峻，需要应对的攻击和威胁变得日益复杂，这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。传统系统信息安全保障能力面临以下四个方面的问题：（1）不能及时识别信息安全事件当前，信息系统结构复杂，网络、安全设备较多，产生安全事件数量巨大，根据调查，至少95%以上的安全事件属于误报，真正存在的少量安全事件在海量的、不同结构的安全告警信息中难以有效识别发现。（2）威胁识别能力有限安全分析以人工方式为主，只能识别已知并且已描述的攻击，难以识别复杂的攻击，无法识别未知的攻击；安全事件之间存在横向和纵向方面（如不同空间来源、时间序列等）的关系未能得到综合分析，因此漏报严重，不能实时预测。一个攻击活动之后常常接着另外一个攻击活动，前一个攻击活动为后者提供基本条件；一个攻击活动在多个安全设备上产生了安全事件；多个不同来源的安全事件其实是一种协作攻击，这些都缺乏有效的综合分析；（3）安全预判能力有限，缺乏对抗能力安全运营以被动应急响应为主，难以对风险进行提前的评估与研判，总是疲于救火；为了切实加强信息系统安全保障能力，可以规划采用大数据技术来建设信息系统综合运维监控管理平台，实现大数据安全管理和数据中心信息安全违规检测。校园网运维场景即插即用，极速上线在用户的设备上线和替换过程中当前遇到三个问题：问题一：设备替换对人是有要求的，无法说任意的人均能换设备，问题二：能替换的人少，因受限制于校园网面积大等问题，替换效率低下。问题三：学生也比较强势，如果断网时间长会投诉。针对上面的三个问题，自动化运维已经解决了其中的一部分问题了，但这个过程中有几个地方经常出错1.接入模板不统一，不固定，渠道按自己理解的来制作，不是最佳实施方案，容易出现部署过程设备配置模板错误导致部署断网。2.耗时长，容易出错，特别是每台设备的vlan，ip要修改。集成商人工刷配置，每个人的技术，素质都不固定，很容易出现工作马虎，配错，漏配的情况。3.上架的时候可能拿错设备，接错口；另外传统网络在运维期间，由于各个接入设备的模板都不一样，在业务新入网时候需要更改接入设备的配置，对网络管理人员的运维能力还是有要求，特别是替换的时候，配置不同容易导致更换设备的时候配置错误引起断网。故障监测预警，智能运维多网融合，设备激增，专业人手不足，高校运维团队常年保持人数不变，运维成本逐年增加。传统网络故障定位过程繁琐，且无法提前感知风险。并且在当今世界，万物都通过网络实现互联。从园区或分支机构场所的用户和设备到数据中心或云中的应用，网络拥有巨大潜力，可以不断优化调整，保护所有IT与业务流程，并提供洞察力。唯有借助基于意图的网络。这种网络能够捕捉业务意图，并在整个网络范围实施策略和网络状态感知，进行数据预测并建立流量模型，主动服务于网络运维工作。同样高校的网络建设也应该符合意图网络发展趋势。策略随行一致体验传统网络状态下，用户移动，IP地址发生变化，当审计的时候，由于用户的IP地址不停变化，需要结合不同时间段内用户的IP地址情况综合去查，查询虽然可以实现，但是比较麻烦，达不到所见即所得的状态。近几年基于网络的业务爆炸式地增长，同时迎来无线网络的建设的浪潮，终端位置的移动接入成为常态，业务的灵活部署以及迁移成为刚需。以往的基于网络位置进行网络规划的方式无法满足现有复杂的业务场景。网络上承载的业务越来越多，后期会将视频监控、一卡通、数字广播、车辆出入系统等等纳入到整个网络的管理范围之内，当前的网络规划时按照一网一业务的策略去做，分别建设割裂的网络，无法统一管理和运维。由于无法实现网络端到端的统一策略部署，使得新的业务开展和优化比较困难。运维管理的需求在传统的网络建设之后，运维管理很容易被大家所忽视，这样就造成了信息部门对IT物理环境及其中所有设备的运行状况没有统一、规范的管理，无法及时清楚的掌握IT系统运行状况和设备运行状态，无法做到对IT系统状况的统计和分析，不能及时发现潜在问题对业务系统的影响，维护工作基本上处于被动的救火队状态，不利于知识共享和知识积累。鉴于网络系统和业务系统的正常运行对学校业务的重要意义，信息化建设同时要立足于工具层面的保障和管理手段进行统一的监控和管理。从而改变现有的运维模式，结束被动救火的运维策略，从而对网络和系统故障提前预知、提前防范，在故障出现时第一时间快速反映、迅速定位，借助技术工具和不断提高运维人员自身的技术能力这两个方面相结合更好地保障网络环境和业务系统安全、稳定运行。校园网运营场景精细化运营随着信息化的发展，基于学生大数据分析、自主可控安全管理的需要，传统运营商承建网络的方式已无法满足，更多学校希望按照自己的校园网建设标准建设内部网络方便统一管理和数据共享，但自己购买出口大带宽的方式又面临着每年巨大的资金投入，面对庞大的资金缺口，以及政策不允许运营商在学校垄断的要求下，更多的学校开始采用开放合作的方式，多方运营商通过合作与竞争提供更大的带宽和更灵活的资费供学生自由选择。学校：公平引入多家运营商；保留学校对学生的管理权，实现大数据分析、资源共享；学生：自主选择出口和套餐良好的入网和用网体验，高效的服务；运营商：发展更多校园网用户，保障收益通过带宽换取更多学校资源；极简以太全光方案方案简介以太（以太协议）全光（全光纤网络），即以光纤做为传播介质，通过光纤入室的部署方式，结合以太网的架构、组网，所构成的网络。其特殊点是，将有源接入交换机从楼层弱电井释放出来，通过光纤入室将全光接入交换机部署在每个房间里，房间的全光接入交换机与核心或者汇聚交换机全链路光纤部署，房间内的新增信息点位可以从房间光交换机就近接入，提升扩展效率，同时做到真正的1：1万兆/千兆入室。以太全光校园解决方案可以覆盖校园网络的接入层、汇聚/核心层和管理层。方案拓扑结构以太全光网架构特点极简太全光网络方案采用大二层结构，是新增了SDN控制器/以太全光服务器，服务器部署在核心机房。全光网络与传统以太网络的主要区别有三点：1、核心到接入层设备采用全光链路互联2、接入层设备从弱电间迁移到室内房间进行部署3、管理运维便捷性大幅提升，管理运维只需要管理两端（核心机房和末端房间），楼层弱电间采用无源透明汇聚设备，实现楼栋弱电间的免运维。方案组件以太全光网络方案需要部署设备如下：出口RSR77-X，核心N18K，SDN控制器，radius(SAM)，portal（eportal），核心侧彩光交换机，楼栋无源透明汇聚，RIIL等。出口配置：出口采用两台RSR77-X出口路由器，通过HA的方式保障设备冗余，同时通过BRAC方案无需运营商开放对接AAA系统(认证计费授权系统)，即可实现融合认证，智慧运营管理。核心设备配置：核心：部署在中心机房，核心（可以是VSU）可以采取整网三层架构/大二层/扁平化部署（本文采用扁平化架构进行描述），有线无线用户网关统一在核心设备上，配置成网关模式，核心设备进行集中认证（包括1x认证WEB认证，MAB认证）。DHCP服务器开在N18K上，有线和无线的IP地址获取都从N18K获取。核心汇聚设备：部署在中心机房，核心汇聚设备采用新型彩光交换机，可以依据入室房间数盒式彩光交换机或者核心交换机上插彩光交换板卡的方式，新型彩光交换机支持VSU组网方案，每个超聚合端口可以接入8个房间。SDN控制器/INC组件：INC组件作为组件形式部署在SDN控制器上，可以认为极光组件为SDN控制器的一个业务模块，用于管理零配置上线设备并下发配置模板。控制器可以配置业务网和业务子网，业务子网属于业务网。业务网可以是普通vlan也可以是supervlan（关联多个subvlan，泛接入的终端必须在同一个supervlan下），业务网可以创建多个业务子网。汇聚设备配置：楼栋汇聚设备：采用无源透明汇聚设备部署在大楼的光纤汇聚节点（无源设备无需取电，也可以基于实际部署环境任意部署），透明汇聚设备支持双链路上行到中心机房的彩光交换机上，实现链路的冗余设计。接入交换机配置：室内全光交换机部署在房间内，通过光纤互联到全光汇聚交换机，室内全光设备空配置接入网络后，通过DHCP获取到设备的零配置管理IP地址，并发起cwmp零配置上线请求，SDN控制器/极光组件服务器通过配置模板给室内全光设备下发配置。AP配置：可以配置成分布式(推荐部署)，也可以配置成集中式或者本地转发。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服务器：SAM作为RADIUS服务器，ePortal做为PORTAL服务器。RADIUS服务器除了传统的认证功能外还需要将用户的分组信息同步给N18K。RIIL一体化运维：通过RIIL实现全域资源监控和智能化运维。主要建设性能指标出口层建设要求稳定性要求出口区域部署两台RSR77-X部署HA模式，确保出欧设备足够的性能和设备稳定性，单点故障切换及恢复用户无感知，后续增加板卡即可提高系统性能和容量，保护投资设备性能指标认证：（所有认证业务包括WEB认证、MAC认证、PPPOE认证、BRAC认证）：SIP5-X单卡，1W用户（终端）整机性能：RSR77-X最多支持8张SIP5-X的线卡，在分别4张接口卡和4张业务卡的情况下可以支持160G的带宽和4万在线用户数；核心层建设要求在核心/汇聚层，提供超宽汇聚、核心100G端口转发能力，支持有线无线的融合。在控制管理区，包含控制、分析、安全等组件，通过管控平台可实现光链路状态检测、全网统一运维、多网/多设备统一纳管等。汇聚层的建设要求在每个楼栋设置1-2台彩光交换机汇聚（盒式或框式，2台可集群部署增强系统可靠性），从学校中心机房核心交换机到核心汇聚彩光交换机采用100G（向下兼容40G光纤链路互联，也可以根据实际需要规划25G/10G光纤链路互联）光纤链路互联。入室设备建设要求在多媒体教室&实训室&公共机房&办公室/中大型会议室按需部署1台或多台千兆/万兆上行的多口以太光交换机（4口/8口/16口/24口/48口可灵活选择），多口以太光交换机与楼栋以太全光汇聚采用千兆/万兆以太光纤互联互通（端口独享，上下行带宽对称）。多口以太光交换机支持通过下行千兆以太网电口连接房间内的有线设备，通过自身的1G/2.5G/5GPOE或POE+连接需要受电的WIFI6F放装AP/WIFI6F高密AP/POE摄像头实现有线无线一体化与多业务子网终端融合接入部署。在领导办公室&多人多终端办公室/小型会议室部署带光口（光口支持彩光模块）上行WIFi6面板AP（本地独立供电）与楼栋透明汇聚设备互联互通，实现有线无线一体化无线覆盖部署。在规则型集中办公区/学生宿舍/教师单身公寓/学校下辖招待所/酒店等环境，部署支持普通光模块的光面板AP（自带1/4/8个千兆下行电口和2.5G上行光口）与全光的星空主机互联互通，光面板AP支持通过本地独立供电或光电混合缆集中供电，全光恒星主机通过自带的上行万兆接口通过全光主楼栋以太全光汇聚下行光口互联互通，实现有线无线一体化无线覆盖部署。运维环境设备要求业务及设备管理：通过软件定义网络的（SDN）控制器进行对前端多口以太全光交换机进行入网管理；通过软件定义网络的（SDN）控制器进行对前端入网的哑终端进行智能精准入网管控；通过软件定义网络的（SDN）控制器和校园集中承载网关配合进行多业务子网融合承载与互访可视化控制与管理。业务监控运维：通过乐享IT运维产品实现对园区网络实现全域资源监控，从机房动环、网络、服务器到应用服务的全域资源监控。对业务系统的监控可以实现，对高校业务发生故障后可以快速定位故障是网络的问题还是应用的问题，实现故障的定界和定位。系统也集成了网络配置备份、自动化任务等运维工具，用于提升运维效率。同时运营管理构建了面向师生用户的服务流程，为师生用户提供IT故障报修和IT资源申请服务，为管理者提供服务管理数据；极简光综合布线设计综合布线概要一览表序号系统说明设备/线路要点1中心机房N/A核心交换机和传统架构一致2园区主干光缆中心机房—楼宇汇聚机房的线路主干光纤和传统架构一致3楼宇汇聚机房部署汇聚交换机和光配架透明汇聚设备透明汇聚设备光口数量=楼宇房间数量=光纤芯数。上联的合路口支持双链路上行到中心机房连接彩光交换机。4楼宇垂直子系统楼宇汇聚机房—楼层弱电间的布线大对数单模光缆大对数单模光缆到每个楼层弱电间5楼层弱电间楼层弱电间无需部署有源设备。如果空间局促，也可以采用壁挂机柜等方式来部署ODF架。大对数单模光缆—光配架—皮纤通过光配架，将大对数单模光缆跳转为皮线光纤通向各房间。6楼宇水平子系统楼层弱电间—房间的布线皮线光纤选择双芯皮线光纤即可，匹配彩光模块。考虑到冗余和备份，实际工程中建议做适当预留。（光混缆场景部署光电混合缆到房间）7房间弱电接入点皮线光纤布放到房间内，可以选择在多媒体箱落地（大房间），或者86暗盒落地（小房间）多媒体箱安装小型化交换机或86暗盒安装光口面板AP如果采用多媒体箱，需要增加多媒体箱到信息点的布线（网线）；如果房间内仅2-3个信息点且集中在一起，则无需额外布线，直接从光口面板AP的有线口接网线到电脑网口即可水平子系统（房间至楼层弱电间）设计水平子系统部署皮纤，皮线光缆内光纤采用G.657小弯曲半径光纤，执行标准：YD/T1997-2009接入网用碟形引入光缆。楼层所有设计光纤入室的房间均需敷设皮线光缆至楼层弱电间。皮纤建议采用2芯或4芯，实际连接入室交换机设备，其中彩光模块需要两芯。楼层弱电间一侧皮纤端接头宜采用LC或SC，与ODF光配架匹配。入室多媒体箱一侧皮纤端接头采用LC，与入室小型化交换机光模块匹配。皮线光缆敷设长度可以远大于90米，但水平布线（皮纤）+垂直布线（主干光缆）总长度不得超过2.5公里。水平桥架部分的规格可以根据皮纤布放数量做适当调整，转弯半径不宜过小。皮线光缆敷设具体设计施工标准可参考GB50311-2016综合布线规范。布线示意图如图所示：水平子系统设计示意图楼层弱电间设计楼层弱电间仅需部署ODF光配架即可。ODF光配架可以放置于标准落地机柜内，如空间紧张，也可以采用壁挂式机柜或壁挂设备箱安装。ODF光配架为无源设备，无需考虑通风、散热、供电等设计。为保障可靠性，ODF光配架两端的尾纤应当采用热熔。应确保所有入室皮纤至少有两芯和主干光缆熔接连通。垂直子系统（楼层弱电间至楼宇汇聚机房）设计各楼层弱电间至楼宇汇聚机房的垂直子系统采用大对数单模光缆。光缆光纤芯数应当大于该楼层皮纤数量，确保所有皮纤光路均能顺利上行到汇聚机房。（如楼层房间数量15，则采用24芯光缆，如楼层房间数量37，则采用48芯光缆；如楼层房间数量85，则采用96芯光缆，以此类推）垂直子系统设计说明如图所示：垂直子系统说明楼宇汇聚机房设计说明架构部署设计：采用透明汇聚方案时，楼栋内可采用1-2个机柜集中放置透明汇聚设备，采用单模光纤跳线互联透明汇聚设备，采用双上联冗余设计要考虑楼栋骨干光缆的芯数冗余数量。整体部署方案如图所示：多媒体箱安装规范多媒体箱外观图光纤入室多媒体信息箱设计和安装关键点：光纤入室多媒体信息箱分塑料外壳和金属外壳二种，有暗装式和明装两大类，其壳体务必完整无缺。对于新建项目，建议采用暗装。光纤入室多媒体信息箱需具备表面散热孔以利于设备散热。考虑到入室线缆的位置和管理上的方便，光纤入室多媒体信息箱一般安装在房间入口或套间门厅等处。按照施工规范，箱体底部离地面高应为30cm~50cm。光纤入室多媒体信息箱内应配套220v市电接口用于设备供电。多媒体箱安装示意图多媒体箱安装示意图房间内布线示意室内网络布线可参考GB50311-2016综合布线系统工程设计规范中的相关章节。区别是本方案室内双绞线的汇集点为室内多媒体箱而非楼层弱电间。高密度房间下图为室内综合布线示意图，该方案适合室内信息点数大于4个的房间。室内综合布线示意图中低密度房间对于点位数较少（≤4个）且功能相同，布局临近的房间，如诊室，普通病房，连续的独立小办公室等，可以采用一套多媒体信息箱实现光纤入室部署以降低建设和维护成本。如图所示。对于套间结构的房间，该方法同样适用。（具体走线可以参考住宅的布线方案）室内综合布线示意图大厅场景针对公共大厅自助机接入等场景，由于无法确定最终自助机的数量和具体摆放位置，故对大厅内各具备摆放条件的连续墙面，应设计预留光纤面板插座和足量的电源插座。以供日后自助机安装部署使用。高校各场景的网络设计基础承载网场景设计教学场景楼栋部署示意图教室内部署示意图部署方式：每栋教学楼部署多台无源的透明汇聚设备，上行双冗余光纤链路到中心机房的核心汇聚彩光交换机上，下行通过万兆光纤到所有房间，教室/实训室内部署1-2台极简多速率交换机作为室内交换机，连接所有IP终端，可以实现全校一张全光网，校园多业务泛载永无忧。1：1以太全光进教室，网络灵活扩展一劳永逸，教室独享光纤性能。方案价值：光纤入室，不占桥架空间，业务就近接入，灵活扩展；百G到楼、万兆入室，1次部署，10年无忧，满足多媒体教室、智慧教室、VR/AR教室、云实训室等所有类型教室对于带宽的要求；提供8/16/24等不同端口形态的静音交换机，且支持2.5GPOE端口，连接WIFI6设备充分发挥WIFI6性能；支持SDN管理，设备即插即用，极大减轻运维工作量；采用成熟以太网协议，天然支持二层广播和组播流量，广播示教等业务更流畅；云机房、PC机房，镜像下发，PXE克隆等高流量业务无带宽瓶颈，更好支撑教学。无源汇聚设备的安装，解决弱电间的管理维护等问题，同时实现核心到接入间的点到点透传，带宽无损，无分光。办公场景部署方式：网络结构：每栋办公楼部署多台全光楼栋无源透明汇聚设备，通过光纤到所有办公室；大办公室：部署1台极简多速率交换机连接所有IP终端，大型办公室桌面可以部署业界首款自带理线架的办公桌面交换机进行扩展。VIP办公室：部署1台有线无线一体化的墙面AP，光AP采用彩光模块；方案价值：光纤直达办公室多速率交换机，接入终端可以弹性扩展，避免私接乱拉；提供4/8/16/24等不同端口形态的静音交换机，且支持2.5GPOE端口，连接WIFI6设备充分发挥WIFI6性能；支持SDN管理，设备即插即用，极大减轻运维工作量；VIP办公室部署墙面AP，美观、施工简单，有线无线一体化，体验有保障；采用成熟以太网协议，打印机/文件共享等业务二层共享无障碍无源汇聚设备的安装，解决弱电间的管理维护等问题，同时实现核心到接入间的点到点透传，带宽无损，无分光。宿舍场景无线星空方案无线星空方案的部署方式：每栋宿舍楼集中部署多台无线恒星主机，承载120-300间宿舍无线，通过光电混合缆到所有宿舍光AP，光AP连接所有IP终端；方案价值：恒星主机管理所有光AP，做统一配置和优化，无线干扰小，体验优；恒星主机光电混合直通光AP，中间无需任何有源设备和机箱，AP升级直接替换即可，方便扩展；光AP自带1/4/8个有线网口，根据宿舍区域人数或有线端口需求随需扩展；天然以太协议族，使用POE协议和AP协商供电，独立对AP进行上下电管理企业级AP，认证、网优、漫游体验佳校园安全场景设计终端安全建设目标面向物联网络设计多业务承载校园网建设分为有线部分建设，无线部分建设，包括物联承载网建设，极简以太全光解决方案采用了物理网络虚拟化的设计，学校可选择统一新建一张多业务承载网，在这一张网上承载N种多业务，对于无法改造的老校区也可选择接入、汇聚继续利旧现有校园网及链路，在核心层建立独立的物联网承载网关，这样既能保证快速业务开通，也能减少物联网投入，同时能保证物联网业务的相对独立，和安全隔离；建设可根据资金预算分为多期或一步到位；例如第一期建设校园网基础网络核心平台、物联网核心平台，包含物联网网关和物联网统一管理服务，物联承载专网的链路和接入汇聚利用校园网设备和链路；第二期，可建设专用的无线物联网（例如5G、LORA）；或建设专用的物联网光纤链路，新接入一期建设的物联网核心平台；或从规划之初，如果经费足够，建议建设两张隔离的学习办公校园网、物联多业务承载专网，保障管理和安全的独立性；所以极简以太全光方案能够很好的满足一张物理网络承载校园网有线、无线、专网业务，亦能非常平滑的过渡到校园网、物联网、科研网这样的多网共存的理想规划，整体灵活可落地。泛载网接入通过在物理网络上虚拟不同的业务网方式可实现泛载网，可实现门禁、消防、节能平台等各种未来物联网业务的统一承载，不需要区分物理位置任意接入，不关心接入端口、vlan信息，通过图形化界面实现三分钟即可快速生成虚拟网络，提高效率、保证安全隔离的同时，降低物理设备、链路的投入。终端即插即用极简以太全光通过室内交换机标准化、模板化配置，实现IP及业务，不依赖于部署位置和VLAN、端口，从而实现终端的泛载即插即用特性；极简以太全光解决方案支持哑终端任意端口任意vlan下接入，且静态IP地址的哑终端无需收集mac地址，终端信息自动在SDN控制器上显示（可查看终端上线时间、MAC地址厂商、接入位置等），在SDN控制器上进行审批即可入网。SDN控制器还可以通过IP点阵图的方式进行IP地址管理，静态IP地址资源使用一目了然。快速审批安全入网传统网络方案物联网终端缺乏易用的安全管理机制，为实现全网的安全及审计，在极简以太全光解决方案中，无需手工绑定，只需要在在待审批页面终端准入管控操作，可以查看到未审批通过的终端，管理员可以手动审批或设置自动审批。控制器审批通过的终端，会往交换机下发静态ARP绑定表项。这个时候物联网终端可以上网，物联网终端准入管控入网成功。终端识别及分类：依靠的智能终端识别技术增强型指纹特征库识别、有监督的机器学习静态模型、无监督的机器学习模型能够识别目前高教园区网中常见的20类物联终端，并机器自动学习新的终端类型，解决高教园区网络中物联终端管理盲区，来判断终端分类、终端上线状态，从以前被动响应到可以主动发现问题，及时处理。业务网可视化安全隔离传统的安全隔离需要使用命令行来进行访问控制列表的设置，不仅复杂且时间长后难以维护，尤其是业务种类增多的时候更加复杂，添加删除不当还容易造成断网，极简解决方案支持可视化安全业务隔离，在业务策略管理-子网隔离策略策略隔离矩阵，进行某两个业务子网策略选择为禁止访问进行隔离。业务网之间的互访业务网与校内网、互联网之间的互访信息安全建设目标高校信息化建设过程中信息安全越来越受到重视，随着安全技术的不断革新，安全运维的挑战已经从建设转向使用，但由于缺乏好的工具对安全日志进行充分挖掘与利用，很难从海量的日志里获得有用的信息，导致难以掌握全网的安全状态，安全设备的价值并没有被最大的发挥出来。本项目大数据安全管理模块需要通过对多种设备日志的自动化收集、标准化和关联分析，在做到日志审计的同时，通过大数据技术降低安全运维人员的时间成本和技术门槛，对网络中存在的安全问题进行态势感知。总体构建“可发现”、“可协同”、“可预测”、“可度量”的安全网络建设体系。攻击行为可发现随着安全技术的不断发展，安全攻击威胁越来越向常态化、隐蔽化发展，包括0day模式的高级攻击等，这让用户网络安全形势日益严峻，如何实现非法攻击行为的及时发现是用户网络攻防战中至关重要的一环。通过对基础网络、中间件、业务系统、终端、安全设备等多维度安全攻击感知信息采集，结合深度分析、机器学习等关键技术，实现对用户网络中攻击行为的及时发现和精准定位，并通过攻击溯源、归并告警等多种方式进行可视化呈现，让网络中的攻击行为无处可藏安全防护可协同只依靠部署安全设备，并不等于安全，为实现对用户整体网络的安全防护，发挥各安全组件最佳整合协同效应，在用户网络安全攻防战中，如何实现“人+平台+设备”的有机结合及高效协同，跨越安全设备到真正安全间的鸿沟，是安全防护体系建设的一大难题。本次规划通过分析平台与安全设备联动、云端智能分析协同、安全知识库体系协助、安全专家咨询、工单跟踪闭环等机制，构建“人+平台+设备”的立体化主动防御安全体系，帮助建设可协同的安全网络，实现安全设备至真正安全的鸿沟跨越。威胁态势可预测安全攻防战本质上是时间战，获得时间优势就掌握了安全战场上的主动权，如何实现对安全威胁态势的提前预测，成为安全防护技术领域发展的新趋势，也是下一代安全运营中心典型特征之一。本次规划通过攻击趋势分析、业务曲线学习等机制，对未来威胁态势进行提前预判，同时结合预警发布、专家咨询服务等功能及机制设计，实现网络未来威胁态势预测，并提供针对性安全防护解决方案。安全状态可度量在网络安全领域，不存在百分之百的安全，当攻击成本远大于利益获取时，网络安全就可以得到保障。帮助用户找到最适合自身场景的安全建设方案尤其重要，但如何进行安全状态的量化评估一直是困扰用户的难题，投入了大量精力对网络进行安全建设，实际的安全状态却无法有效衡量。本次规划根据安全日志、漏洞、风险、脆弱性等权重综合评判现网安全状态，量化全网及业务的安全评分，并通过安全评分趋势、告警和工单处理等趋势图直观的呈现安全建设业绩，建设可度量的安全网络。信息安全建设内容本次建设内容包括以安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽，通过通过采集器将所有涉及全省XX信息系统资源的异构日志信息统一收集上来，通过探针将网络内的流量信息进行统一采集，经过处理分析组件过滤掉无效的流量数据和日志，最终筛选和关联分析出真正有效的信息安全告警，实现快速定位网络安全问题，利用工单和安全知识库相结合，实现责任到人且快速处理问题，让网络安全事件完整闭环，实现在网络安全方面极简运营。同时通过自带的漏扫引擎和配置核查系统制定定期安全巡检工作（1）掌握全网安全信息精准把握安全态势大数据安全分析需要支持SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多种日志收集的方式，同时兼容业界主流的安全设备以及网络设备，将现网当中的网络设备、主机服务、安全设备、数据库、中间件的相关日志进行统一的收集，并标准化为统一格式建立日志数据库仓储，并结合流量探针实现全网流量的采集，完成数据的归并和统计，将当前信息系统资源日志和流量数据的价值充分发挥。（2）大数据分析多维度精准定核心风险信息安全系统建设需要支持漏洞扫描和安全配置核查，对业务系统进行全面的安全检查，同时利用大数据分析技术，结合日志、流量、漏洞、资产、基线多方关联分析技术明确真正有威胁的攻击事件，大数据技术的日志分析和预设安全告警策略，不需要进行多次的调试，大数据安全平台会过滤掉无效的告警事件，在平台首页可以看到真正需要帮助的攻击事件。（3）实现安全事件的全流程管理功能信息安全系统需要实现全流程的安全事件管理功能，通过告警事件的派单动作，将事件转入到具体的工单管理模块中，并结合知识库提供给排查人员安全事件的原理以及相应的解决方案，结合工单管理模块责任到人，有利于工作的开展和追踪；同时结合工单分发到整个事件闭环处理后，对已经修复的漏洞、应急安全事件处理进行成果呈现。系统自带安全运维知识库，包含了安全事件、日志知识、基线、漏洞等多种安全问题的处理经验，给技术人员提供安全运维的支撑降低运维的技术门槛。（4）全网安全动态展示根据安全日志、漏洞、风险、脆弱性等权重综合评判当前信息系统安全状态，量化为安全评分或评级，并通过安全评分或评级的趋势、告警和工单处理等趋势图直观的呈现信息系统安全保障情况，实时展示安全态势感知和攻击溯源。信息安全建设总体框架整体方案架构整体方案以大数据技术架构为核心，集安全要素获取、分析、处理、跟踪、预测的全流程处理，同时结合机器学习等技术，实现对整体网络的安全态势感知。大数据分析平台架构大数据安全平台是由综合展现层、业务功能层、综合分析层、专项管理层、采集层以及接口等部分组成，如下图所示。在安全管理系统中，主要由安全仪表板、个人工作台、资产管理、风险管理、告警管理、安全事件管理、漏洞管理、安全基线管理、报表管理、知识库管理、工单管理、系统管理组成。信息安全建设方案总体规划整体大数据安全分析平台采用ElasticSearch、hadoop等开源数据存储、索引引擎，保证数据不被绑定，便于未来数据的二次应用；采用B/S架构，无需安装客户端软件，支持全中文WEB管理界面，支持SSL加密模式访问；支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化，并通过探针进行流量数据采集，通过大数据综合分析提供安全风险分析和问题定位能力。数据接入层规划（1）日志接入规划大数据安全平台采用SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多种日志收集的方式，同时兼容业界主流的安全设备以及网络设备，将现网当中的网络设备、主机服务、安全设备、数据库、中间件的相关日志进行统一的收集，并标准化为统一格式建立日志数据库仓储，完成数据的归并和统计，将现网日志数据的价值充分发挥。大数据平台通过分布式架构进行日志接收和分析性能分担，采集器负责日志接收能力负载，集群节点负责日志分析能力负载，从而满足大规模日志接入和分析需求。系统需支持支持主流厂商安全设备、服务器、网络设备、中间件等设备日志自识别接入；并支持非主流设备日志的自定义接入解析。 系统满足设备的信息采集要求包括但不限于：（1）安全设备：主流厂商的防火墙、IDS、IPS等设备，如启明、绿盟、、华为、Juniper、天融信等（2）操作系统：Linux、Windows、Windowserver、Uinx等操作系统（3）数据库：Oracle、MySQL、SQLServer等（4）应用系统：如Apache、Tomcat、IIS、weblogic等（5）网络设备：主流厂商的路由器、交换机、负载均衡等网络设备等，如Cisco、华为、等。支持多级部署，采用日志采集器的方式，将下级网络节点设备通过日志采集器统一采集后传输到日志传输至平台，支持多个日志采集器。分布式部署的方式下，可以制定策略传输指定日志，减少日志量。（2）流量采集规划通过流量探针与大数据安全态势感知与管控平台相结合，网络流量探针采用零拷贝、全程无锁化技术处理网络流量数据包，而且充分利用CPU向量化指令对各类模式进行识别或匹配，故即使在超大流量情况下，系统整体处理几无延时。支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等协议的3-7层元数据提取、存储、搜索，分析，可二次挖掘可疑攻击行为。对网络中的会话正常行为模式进行建模，分析网络流量速率分布、会话趋势、会话目的端口分布、会话协议分布、会话包数分布、会话字节数分布、会话源地址分布、会话目的地址分布、会话应用协议分布相关统计情况，通过分析会话流量对于正常行为模式的偏离而识别网络攻击，隐蔽传输与内网探测检测等问题大数据分析层规划大数据安全平台自身支持漏洞扫描和安全配置核查，也可对接第三方的漏洞扫描设备，通过这两个安全模块将会对业务系统进行全面的安全检查，同时利用大数据分析技术，结合日志、漏洞、资产、基线、流量等多方关联分析技术明确真正有威胁的攻击事件，大数据技术的日志分析和预设安全告警策略，不需要进行多次的调试，大数据安全平台会过滤掉无效的告警事件，在平台首页可以看到真正需要帮助的攻击事件。本次规划系统可进行集中管理定义事件/日志/流量的过滤策略、归并策略和关联策略。支持对不同类型、来源于不同设备或系统的日志和流量进行关联分析，支持GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的。支持基于因果式的状态关联分析。系统支持基于异常统计模型的检查分析功能，如：识别异常的流量攻击等。系统提供状态关联、交叉关联、逻辑关联等多种关联管理，可以通过资产、漏洞及攻击进行交叉关联，甄别定位真正对网络有威胁的行为。态势感知层规划1、攻击趋势展示：结合系统收集到的攻击事件信息，通过对攻击事件来源、目标的溯源，从整体态势上进行攻击趋势的展示，可以看到攻击目标主要区域，攻击来源地。2、安全信息概况：实时展示目前系统收集到的日志总数、基线违规的数量（例如服务器密码强度、生存周期等基线要求）、检测到的漏洞信息、安全告警的总数等。对网络安全信息情况有整体了解。3、整网安全评分基于对网络中资产的重要程度、资产的高中低的告警情况、基线扫描的违规情况、漏洞的扫描情况，进行加权计算，得出网络综合的安全评分，推荐的标准：分为优良中差危，90分以上为优，70-90为良，55-70为中，40-55为差，0-40为危。也可以根据实际的用户安全要求标准进行调整。4、安全评分趋势对最近一个月的安全评分进行趋势图呈现，可以帮助网络管理者对整网的安全趋势有直观的了解，如果趋势上升说明安全工作有成效，如果趋势下降，则可以提前进行安全分析及加固措施。5、存在高风险的资产对高级别以上风险的资产进行呈现，提醒安全管理员重点关注。6、业务维度的安全评分 以业务为视角，结合业务相关的服务器、网络设备等资产的安全告警、基线违规、漏洞情况进行综合计算，实现对业务的安全情况进行量化评分。适用于各业务系统相关负责人对自己负责的业务进行针对性安全关注。7、大数据分析TOP5告警结合告警的严重级别及发生的次数，对最严重级别的告警进行呈现，可以提醒管理员进行重点关注。8、用户访问高危端口TOP5结合审计设备会话日志、探针流量检测数据以及认证系统实名账号信息，对用户访问高危端口的事件进行统计，包括445、135、3389等，频繁访问高危端口是安全威胁事件常见的特征，提醒管理员进行重点进行关注。9、未关闭的告警根据安全告警的处理状态，对还未闭环的告警进行统计展示，包括待处理和已确认（知晓确认，但未处理）、已经派单给负责人的，可以对进行中告警重点呈现。10、全球攻击态势感知根据系统采集的攻击信息，对攻击来源、目标等进行统计展示，对攻击来源国家进行溯源，让管理员对全网的攻击态势有全局的了解，如发生突发式攻击形态变化，可以进行重点关注。信息安全方案价值整网安全状态的掌握需要结合全网日志+流量数据进行综合安全分析，从外部威胁（南向威胁）、外连威胁（北向威胁）、内部互联威胁（东西向威胁）、安全脆弱性、全球攻击态势直观展示整网安全态势，做到聪者听于无声，明者见于未形，全天候全方位感知网络安全态势。简单闭环安全问题从每天数以亿计的数据中准确定位全网威胁最大、最真实的安全问题。利用基于状态机的关联分析、基于统计的机器学习、基于威胁情报的安全分析、基于机器学习和神经网络的分析算法等分析结果，以资产、业务等维度综合关联，形成完整的安全事件，并以杀伤链和时间轴方式直观展示，一个页面看清安全问题发生的过程和状态，从而针对性的进行安全问题处理。主动安全防护变被动为主动，从已出问题（失陷态势）、正在入侵（攻击态势）、已知风险（行为风险）、潜在风险（脆弱性）四个维度综合呈现安全整体态势，并层次递进解决目前网络中国的安全风险，做到主动防护的同时，支撑安全重点运维工作出口安全建设目标双机热备，更安全，易扩展两台RSR77-X组HA方案，保障出口设备冗余和高可用，设备出现故障后实现秒级切换，对整个用户上网体验无感知出口带宽增加需要提升出口设备性能的时候，只需要增加板卡即可完成出口设备的性能扩容，无需对整台设备进行替换，保护用户已有的投资。校园运维场景设计零配置，减少日常维护复杂度通过集中管理的改造，可以极大的简化校园网接入区域的管理和维护工作，但是将功能和策略的上收并不能完全解决入室交换机的配置工作量，主要原因如下：即使是将大部分的功能和策略上收，在入室交换机还是存在Vlan的配置和管理，由于高校规模庞大的接入设备数量，Vlan的配置和管理将带来巨大的工作量。同时学生用户通过各种渠道获得了接入设备的登陆权限，有意无意的会造成接入设备的配置错误甚至配置丢失，虽然不会造成免认证和不受控上网，但会引起整个接入设备下的用户无法接入网络。解决这个问题需要管理员定期的修改设备管理账号和密码，同样由于高校规模庞大的接入设备数量，这个工作基本上是不可能完成的任务。简化Vlan配置部署为了简化VLAN配置管理，“极简以太全光网络”通过管理软件来上收校园网接入设备的Vlan配置部署，其核心思路是将VLAN配置管理的操作封装成一个配置任务。该配置任务分为四个步骤：配置前备份、配置下发、配置后比对、配置后备份。当用户需要对网络进行VLAN配置时只需要创建任务并执行任务即可；入室交换机零配置入网和光链路检测网络部署中有大量的入室交换机在学校的教室和办公室，一旦入室交换机出现问题，维护工作尤为复杂。通过SDN技术可以轻松实现设备自动化运维，减轻运维人员的工作负担。接入设备模板化，接入设备即插即用，消除人为能力因素，通过可视化提升效率，提升体验。接入设备模板化配置，下联端口vlan无关避免接错口问题。通过自动化运维的解决方案做到设备0配置上线、0配置替换。改成全光网后当房间数比较多的时候，光纤链路诊断、故障的定位修复，一直是一个大难题，耗费的时间也很长。在传统网络中，链路的诊断和定位功能不够精确，很难达到用户的需求，基于这些需求，在极简以太全光网方案中，希望把整个运维过程做到极简，管理员只需要三步，就可以做到全流程的管控。第一步查看设备状态：包括设备的在线状态、连通状态、配置状态等；第二步查看链路的状态：包括光链路自动告警和检测，以及告警原因分析和处理建议等；第三步呢，就是高阶光链路诊断，除了确定故障源之外，我们还支持手机扫描、一键获取全链路详情的功能。用户也可以灵活选择主动管理或被动管理，保证客户一人管理，整个网络一键搞定。网随人动策略随行无线网络，物联网络业务终端快速增长，终端位置的移动接入成为常态，业务的灵活部署以及迁移成为刚需。以往的基于网络位置进行网络规划的方式无法满足现有复杂的业务场景。极简以太全光解决方案支持终端位置移动IP网段随行，因此我们只需要将策略应用在对应的用户分组或者指定ip上，这样用户的所有的安全策略和权限就能移动随行。面对海量的物联网终端、打印机、移动PC入网，无需更改接入设备的配置，通过SDN技术把VLAN和IP、端口解耦。通过提供业务与IP网段的绑定可实现业务快速部署。业务终端可分布在全网任意区域，达到了业务之间的逻辑隔离。在整体安全策略部署方面采用SDN（软件定义网络）技术，提高安全设备资源利用率，提高整体安全性能，实现扩品牌跨型号安全设备冗余热备。为更加方便部署安全策略，通过SDN实现用户的IP随行，实现IP即用户，IP段即用户组，做到用户任意地方接入IP地址不变，由于地址不变，安全策略及权限也不用变化，做到安全策略随行。智慧运维管理平台乐享运维管理平台的总体设计方案及系统功能架构：1.总体设计框架：乐享运维管理平台结合当前智能运维的发展趋势和的自身需求，智能运维管理系统的总体功能架构分为服务层、应用层和触达层三个层面，系统功能架构图如下所示：智能运维管理系统功能架构图服务层：采用微服务架构的设计思路，将运维的标准服务能力下沉到平台，平台能力包括不限于采控、自动发现、CMDB、自动化运维、智能算法、执行调度、自动执行、权限控制等对象化的基础服务，使运维平台具备更用户化的适应能力，以及与其他系统交互的能力。应用层：结合用户的需求，每种运维场景通过组件化的方式进行封装，支持的场景可灵活扩展，并通过统一的服务接口对外提供数据服务，构建丰富的应用功能，如运营服务、业务监控、健康检查、运维工具、全域资源健康等。触达层：提供了多种展示视图和方式，为不同的用户提供不同的管理视图，包括工作门户、大屏展示视图、通知等。2.系统技术架构：系统采用了Kubernetes容器和Docker的运行架构，可弹性使用系统资源。采用了混合式数据存储方式，使用了Postgresql（关系型数据库）、Clickhouse（时序数据库）、Arangodb（图形数据库）、Redis（非关系类型数据库）等多种类型数据库，满足对结构化、半结构化、非结构化数据的存储和处理要求。前端基于FusionDesign的框架，通过基于DPL模式，设计前端之间的标准协议与工作流来快速构建符合业务诉求的DPL，提升DPL的构建效率和应用效率，进而实现业务UI的快速构建。同时加入了对WebGL、HTML5的支持，满足数据多种可视化的呈现要求。系统技术架构图集成运行平台基于DevOps设计思想，实现系统的部一键部署、升级和可视化组件状态运维管理，且平台还提供了自动化的调度和负载分担的机制，并可以按照需求进行扩容。系统的采集层、处理层、通讯层、展示层均以Docker容器的方式封装隔离，通过Kubernetes进行编排和管理，然后通过集成平台管理界面进行统一的集群安装部署，平滑升级，并提供系统自检、自愈、备份、扩容等功能。资源层运维平台可以管理的所有对象，包含机房动环、IP终端、网络设备、安全设备、无线设备、服务器、存储、OS、中间件、数据库、虚拟化、云平台以及应用系统等。采集层运维平台支持Agent和Agentless两种采集方式，同时预留第三方的接口，可以对接第三方系统推送的数据。数据范围包含了动环数据、设备运行数据、中间件/数据库运行数据、流量数据、关系数据、日志数据、应用系统运行数据等，结合系统对黄金指标的定义，实现对数据的采集和分类。支持的采集协议包含了如SNMP、Telemetry(遥测)、SSH/Telnet、WinRM/WMI、NetFlow、NetStream、JDBC、JMX、HTTP、SMI-S、IPMI、WebSocket、crul（仿真探测）等。处理层数据处理层只要是对采集的原始数据进行清洗、过滤、抽取、转换、计算等使其数据能满足上层业务场景对数据的消费。为了确保采集数据的实时入库和高频度实时查询需求，满足高可用、高并发、高性能等特性，系统采用了混合式的数据存储方式，其中关系型数据库Postgresql用来存储系统的相关数据，如用户数据、系统配置等数据；使用时序数据Clickhouse，用于存储所有的指标数据，以满足系统对指标的高性能查询和数据分析；使用图数据库ArangoDB用来存储CI之间的关系，便于对关系数据的及时更新和实时查询；使用缓存数据库Redis为系统中关键的功能如告警、风险检查等关键功能进行加速支持，使其能快速读取和计算；使用kafka满足系统中大规模的消息高速吞吐处理；使用Zookeeper满足系统分布式集群各组件的协调处理需求。业务层系统的业务应用层（APPserver或者webserver层）,该层为智能运维平台的“上传下达”层，负责按照展示层的需求调用处理层接口上的数据，同时按照应用需求对处理层提供的基础数据进行简单的再加工，如单位换算、简单的数据过滤（如隐藏特定字段、特定排序等）。通讯层通讯层为展示层以及第三方系统提供统一的接口服务。包含了为所有业务提供鉴权、认证服务，提供了第三方的单点登录接口，实现与第三方系统的登录对接。展示层展示层为智能运维管理平台的集中展示门户，是使用者可触达的入口。主要包括了工作门户、运营辅助决策、通知中心。其中工作门户使用了UI-CBB的实现架构，通过灵活的配置，让使用者按照工作习惯实现自己的工作门户。运营辅助决策主要使用的技术栈包括Html5、Javascript、Css、WebGL等主流的web前端技术满足各种场景和应用的需求。3.部署架构乐享智能运维管理系统采用容器化部署平台，其中容器采用Docker引擎，容器编排采用Kubernetes来进行管理。集群支持对微服务进行部署、监控、启停。集群组最小可以支持一个Master节点和一个Worker节点，同时也可以根据监控资源的数量或者应用模块的多少进行扩容。系统部署架构图对于多节点监控或者扩展存在分支网络的情况，为了解决安全隔离或者广域网传输等，也可以分离采控代理的方式进行部署。如以下部署方式：分离采控代理方式部署架构图其中在K8S的环境中也具备采控代理的能力，在没有分支部署需求或者采集资源不多的情况下，直接部署一个K8S的环境即可满足对资源的自动发现、采集、动作执行以及仿真探测等任务。4.主要技术应用建设智能运维管理系统需要借助新型的信息技术，在本次建设中我们推荐采用以下技术应用。1、基于业务体验的提前预警：通过流量探针与仿真拨测设备对不同链路、不同业务的访问体验进行监控，实现早于用户发现异常。同时，为服务台人员受理用户的异常反馈后可以更快地识别故障区域、并更准确地分配处置任务。2、根因关联分析：通过统一的CMDB整合了基础网管、准入管理、流量采集分析等不同运维系统的运行数据及各CI实例之间的关系，当某个资源发现告警时，可以通过系统内置的关系图自动计算出该告警产生的可能原因及对哪些资源会产生影响，协助服务人员更快速地定位发生异常的具体区域，并为查找原因提供数据支撑；3、图数据库在CMDB上的应用：为了直接的表达CI之间的关系，高效写入大量的关系数据，提升关系的关联查询能力，系统引入图数据库替换传统的关系型数据库。图数据库在构建关系、插入大量数据及关联查询都进行针对性的优化，比如存储模型上、数据结构、查询算法等，防止局部数据的查询引发全部数据的读取。在做关联数据查询上，效果远好于传统数据库。同时，图数据库也对查询语句做了专门的抽像，对于复杂查询业务的实现更容易。4、引入黄金指标，对每类资源在基础